제로 트러스트를 통한 데이터 보호

배경

데이터 보호는 보안 및 규정 준수 팀의 주요 업무 중 하나입니다. 데이터는 미사용 또는 사용 중인 동안과 조직에서 제어하는 엔드포인트, , 인프라네트워크를 떠날 때 보호된 상태로 유지해야 합니다. 보호를 보장하고 데이터 액세스가 권한 있는 사용자로 제한되도록 하려면 데이터를 인벤토리에 포함하고, 분류하고, 레이블을 지정하고, 적절한 경우 암호화해야 합니다.

데이터 보호 전략의 세 가지 핵심 요소는 다음과 같습니다.

  1. 데이터 이해

    온-프레미스 및 클라우드 서비스에 있는 중요한 데이터를 모르는 경우 이러한 데이터를 적절히 보호할 수 없습니다. 조직 전체에서 데이터를 검색하고, 모든 데이터를 민감도 수준별로 분류해야 합니다.

  2. 데이터 보호 및 데이터 손실 방지

    중요한 데이터는 레이블을 지정하고 암호화하거나 과도한 공유를 차단하는 데이터 보호 정책으로 보호해야 합니다. 이렇게 하면 데이터가 회사 환경 외부로 이동하는 경우에도 권한 있는 사용자만 데이터에 액세스할 수 있습니다.

  3. 모니터링 및 수정

    중요한 데이터를 지속적으로 모니터링하여 정책 위반 및 위험 사용자 동작을 탐지해야 합니다. 이렇게 하면 액세스 취소, 사용자 차단 및 보호 정책 구체화와 같은 적절한 작업을 수행할 수 있습니다.

Diagram of monitoring activiting and remediation.

데이터와 중요한 콘텐츠를 파악하고, 레이블을 지정하고, 분류하는 경우 조직에서 수행할 수 있는 작업은 다음과 같습니다.

  • 이메일, 첨부 파일 또는 문서를 차단하거나 제거하기 위한 정책 결정을 알리고 적용합니다.

  • 디바이스 엔드포인트에서 민감도 레이블을 사용하여 파일을 암호화합니다.

  • 정책 및 기계 학습을 통해 민감도 레이블을 사용하여 콘텐츠를 자동으로 분류합니다.

  • 콘텐츠가 디지털 자산 안팎으로 이동할 때 정책을 사용하여 중요한 콘텐츠를 추적하고 모니터링합니다.

데이터에 대한 제로 트러스트 배포 목표

정보 보호 전략은 조직의 전체 디지털 콘텐츠를 포함해야 합니다. 기본적으로 레이블을 정의하고, 중요한 데이터를 검색하며, 환경 전체에서 레이블 및 작업의 사용을 모니터링해야 합니다. 민감도 레이블을 사용하는 방법에 대해서는 이 가이드의 뒷부분에서 설명합니다.

참고

대부분의 조직에서 제로 트러스트 과정을 시작하기 전에 데이터 보안의 특징은 다음과 같습니다.

  • 액세스는 데이터 민감도가 아니라 경계 제어를 통해 관리됩니다.

  • 일관되지 않은 데이터 분류를 사용하여 민감도 레이블이 수동으로 적용됩니다.

정보 보호에 대한 초기 배포 목표는 다음과 같습니다.

  1. 조직의 레이블 분류를 정의합니다.

  2. 배포 범위에 속하는 조직의 정보 보호 기능을 정의합니다.

  3. 범위에 있는 기능을 프로젝트 타임라인에 매핑합니다.

  4. Microsoft 제품 로드맵을 검토하여 조직의 정보 보호 과정에 맞춰 제공되는 기능을 알아봅니다.

위의 작업은 데이터 보안에 대한 제로 트러스트 방법을 구현하는 데 집중하는 조직뿐만 아니라 정보 보호 프로젝트를 계획하는 모든 조직에 대해서도 일관됩니다. 이 가이드에서는 이러한 작업에 대해 더 이상 설명하지 않습니다. 자세한 내용은 다음을 참조하세요.

데이터에 대한 엔드투엔드 제로 트러스트 프레임워크를 구현하는 경우 먼저 다음과 같은 초기 배포 목표에 집중하는 것이 좋습니다.

List icon with one checkmark.

I.Access결정은 암호화에 의해 제어됩니다.

II.데이터는 자동으로 분류되고 레이블이 지정됩니다.

이러한 목표가 완료되면 다음과 같은 추가 배포 목표에 집중합니다.

List icon with two checkmarks.

III.분류는 스마트 기계 학습 모델에 의해 보강됩니다.

IV.액세스 결정은 클라우드 보안 정책 엔진에 의해 제어됩니다.

V.민감도 레이블 및 콘텐츠 검사에 따라 DLP 정책을 통해 데이터 유출을 방지합니다.

Capabilities

Table of capabilities.

데이터에 대한 제로 트러스트 배포 가이드

이 가이드에서는 데이터 보호 완성도에 대한 제로 트러스트 방법을 단계별로 안내합니다. 이러한 항목은 정보의 민감도와 조직의 규모 및 복잡성에 따라 크게 달라질 수 있습니다.




Checklist icon with one checkmark.

초기 배포 목표

9\. 암호화를 통해 액세스 결정 관리

민감도 레이블이 적용되는 콘텐츠에 대한 액세스를 제한하기 위해 암호화를 사용하여 가장 중요한 데이터를 보호합니다.

문서 또는 이메일이 암호화되면 다음과 같이 콘텐츠에 대한 액세스가 제한됩니다.

  • 미사용 및 전송 중에 모두 암호화됩니다.

  • 파일 이름이 변경된 경우에도 조직 내부 또는 외부 어디에 있든 암호화된 상태로 유지됩니다.

  • 레이블의 암호화 설정에 따라 권한이 부여된 사용자만 암호를 해독할 수 있습니다.

이 단계를 실행합니다.

II. 자동으로 데이터 분류 및 레이블 지정

레이블이 수동으로 데이터에 지정되지 않거나 레이블이 잘못 적용되는 문제를 방지하기 위해 데이터 분류를 자동화합니다.

기업용 Microsoft 365 앱 또는 통합 레이블 지정 클라이언트의 콘텐츠에 자동으로 레이블 지정

Windows용 클라이언트를 전략적으로 선택하는 경우 Microsoft Office의 기본 제공 정보 보호 기능을 활용합니다. 이렇게 할 수 없는 경우 다른 해결 방법은 Azure Information Protection 통합 레이블 지정 클라이언트를 사용하는 것입니다.

다음 단계를 수행합니다.

  1. Office 앱에 대한 자동 레이블 지정을 구성하는 방법을 알아봅니다.

  2. 민감도 레이블을 콘텐츠에 자동으로 적용합니다.

중요한 온-프레미스 데이터가 있는 중요 비즈니스용 콘텐츠를 자동으로 분류, 레이블 지정 및 보호

AIP(Azure Information Protection) 스캐너를 사용하여 SharePoint 2013 이상 및 온-프레미스 파일 서버에 대한 파일을 자동으로 분류하고 보호할 수 있습니다.

이 단계를 실행합니다.




Checklist icon with two checkmarks.

추가 배포 목표

III. 스마트 기계 학습 모델을 통해 분류 확대

기업에는 레이블을 적절하게 지정하고 분류하는 데 어려울 수 있는 방대한 양의 데이터가 있습니다. 처음 두 단계가 완료되면 다음 단계는 더 스마트하게 분류하기 위해 기계 학습을 사용하는 것입니다.

Microsoft 365는 수동자동 패턴 일치를 포함하여 콘텐츠를 분류하는 세 가지 방법을 제공합니다.

학습 가능한 분류자(미리 보기)는 수동 또는 자동 패턴 일치 방법으로 쉽게 식별되지 않는 콘텐츠에 적합한 세 번째 방법입니다. 분류자는 분류하려는 수백 개의 콘텐츠 예제를 확인하여 콘텐츠 형식을 식별하는 방법을 학습합니다. 먼저, 명확하게 범주에 속하는 예제를 공급합니다. 이러한 예제가 처리되면 일치하는 예제와 일치하지 않는 예제를 모두 제공하여 테스트합니다. 그런 다음 분류자는 지정된 항목이 빌드 중인 범주에 속하는지 여부를 예측합니다. 그런 다음, 결과를 확인하고, 예측의 정확도를 높이는 데 도움이 되도록 긍정, 부정, 거짓 긍정 및 거짓 부정으로 정렬합니다. 학습된 분류자를 게시하는 경우 SharePoint Online, Exchange 및 OneDrive와 같은 위치에 있는 항목을 정렬하고 콘텐츠를 분류합니다.

다음 단계를 수행합니다.

  1. 학습 가능한 분류자를 사용할 수 있는 위치를 알아봅니다.

  2. 학습 가능한 분류자(미리 보기)를 만듭니다.

IV. 클라우드 보안 정책 엔진을 통해 액세스 결정 관리

Exchange, SharePoint 및 OneDrive에 저장된 데이터의 경우 정책을 통해 민감도 레이블을 사용하는 자동 분류를 대상 위치에 배포할 수 있습니다. Cloud Apps용 Microsoft Defender는 다음을 포함하여 중요한 파일을 관리하는 추가 기능을 제공합니다.

  • 과도한 권한 및 데이터 누출을 방지하기 위해 협력자 제거

  • 추가 검토를 위해 파일을 격리에 배치

  • 사전에 레이블을 중요한 파일 또는 특정 위험 사용자 시나리오에 적용하는 정책 만들기

다음 단계를 수행합니다.

  1. SharePoint, OneDrive 및 Exchange에 대한 자동 레이블 지정 정책을 구성합니다.

  2. Cloud Apps용 Microsoft Defender 와 Microsoft Information Protection을 통합하고 이를 사용하여 Box 또는 G-Suite와 같은 타사 환경에서도 데이터를 보호합니다.

V. 민감도 레이블 및 콘텐츠 검사를 기반으로 하는 DLP 정책을 통해 데이터 누출 방지

비즈니스 표준 및 업계 규정을 준수하기 위해 조직은 중요한 정보를 보호하고 부주의에 의한 노출을 방지해야 합니다. 중요한 정보에는 재무 데이터 또는 PII(개인 식별 정보)(예: 신용 카드 번호, 사회 보장 번호 또는 건강 기록)가 포함될 수 있습니다. Office 365 보안 & 규정 준수 센터의 DLP(데이터 손실 방지) 정책을 사용하면 Office 365에서 중요한 정보를 식별, 모니터링 및 자동으로 보호할 수 있습니다.

다음 단계를 수행합니다.

  1. DLP 정책을 사용하여 데이터를 보호하는 방법을 알아봅니다.

  2. DLP 정책을 만들고, 테스트하고, 튜닝합니다.

  3. 콘텐츠가 일단의 조건과 일치하는 경우 DLP를 사용하여 작업(예: 콘텐츠 보호, 액세스 제한 또는 이메일의 경우 전송 차단)을 적용합니다.

기존 데이터 보안 목표

민감도 레이블은 데이터에 대한 제로 트러스트 모델을 기반으로 합니다. 민감도 수준을 정의하는 것은 기업 비즈니스에 중요하고 정부의 규제를 받는 데이터 형식을 논의하고 결정하는 관련자를 식별하는 프로세스입니다. 그런 다음, 이러한 형식의 데이터를 극비 또는 기밀로 분류할 수 있도록 분류를 만들 수 있으며, 이에 따라 이 데이터가 포함된 문서에 레이블이 지정됩니다. 마찬가지로 일반 공용 또는 비업무용과 같은 다른 데이터 형식 민감도 수준 및 문서 레이블에 대한 보안 정책도 결정해야 합니다. 정책 결정이 완료되면 모든 위치에서 파일을 검색하고, 파일의 내용에 대한 유효성을 검사하며, 정책 결정과 비교하고, 레이블을 문서에 적절하게 지정합니다.

이러한 작업은 중요한 정보를 식별하고 표시하여 실수로 권한이 없는 엔터티와 정보를 공유하지 못하도록 방지함으로써 위험을 해결하는 데 도움이 됩니다. 또한 데이터 공유가 중단 없이 계속되므로 생산성에 미치는 영향을 최소화합니다.

민감도 레이블을 시작하는 데 도움이 되는 지침은 다음과 같습니다.

Diagram of the steps within phase 5 of the additional deployment objectives.

민감도 레이블을 수동으로 적용

올바른 레이블 분류 및 보호 정책을 정의하는 것은 정보 보호 배포에서 가장 중요한 단계이므로 정보에 대한 조직의 민감도 요구 사항을 반영하는 레이블 지정 전략을 만드는 것부터 시작합니다.

레이블은 콘텐츠 민감도 및 적용되는 회사 정책을 나타냅니다. 또한 레이블은 사용자가 플래그를 보호해야 하는 콘텐츠에 지정하는 기본 방법입니다.

적절한 레이블 분류는 직관적이고, 사용하기 쉬우며, 비즈니스 요구 사항에 맞게 조정됩니다. 이는 데이터 누출 및 오용을 방지하고 규정 준수 요구 사항을 처리하는 데 도움이 되며, 사용자의 작업 수행을 방해하지 않습니다.

다음 단계를 수행합니다.

중요한 온-프레미스 데이터를 사용하여 자동으로 중요 비즈니스용 콘텐츠 검색

AIP(Azure Information Protection) 스캐너를 사용하면 온-프레미스 파일 리포지토리 및 온-프레미스 SharePoint 2013 이상 사이트에서 중요한 정보를 검색, 분류, 레이블 지정 및 보호할 수 있습니다. AIP 스캐너는 클라우드로 이동하기 전에 데이터 위험 유형에 대한 즉각적인 인사이트를 제공합니다.

다음 단계를 수행합니다.

  1. AIP 스캐너를 설치하기 위한 필수 구성 요소를 검토합니다.

  2. Azure Portal에서 스캐너를 구성합니다.

  3. 스캐너를 설치합니다.

  4. 스캐너에 대한 Azure AD 토큰을 가져옵니다.

  5. 검색 주기를 실행하고, 스캐너에 대한 보고서를 봅니다.

모든 디바이스에서 Office 사용자가 사용할 수 있고 콘텐츠에 수동으로 적용되는 레이블 및 분류

민감도 레이블이 Microsoft 365 규정 준수 센터 또는 이와 동등한 레이블 지정 센터에서 게시되면 사용자가 데이터를 만들거나 편집할 때 해당 데이터를 분류하고 보호하는 데 활용할 수 있는 클라이언트 앱(예: 네이티브 Microsoft Office 기본 제공 레이블 지정 클라이언트 또는 Azure Information Protection 통합 레이블 지정 클라이언트)이 있습니다.

다음 단계를 수행합니다.

  1. Windows 컴퓨터에 대한 레이블 지정 클라이언트 기능을 비교하고, Office 앱의 민감도 레이블 기능에 대한 지원을 검토하여 시나리오에 중요한 민감도 기능 및 플랫폼 요구 사항을 확인합니다.

  2. Microsoft Team 사이트, Microsoft 365 그룹(이전의 Office 365 그룹) 및 SharePoint 사이트를 포함한 Office 앱에서 민감도 레이블 사용을 시작합니다. 또한 민감도 레이블을 사용하여 Power BI 서비스에서 중요한 데이터를 분류하고 레이블을 지정할 수 있으며, 데이터 세트, 보고서, 대시보드 및 데이터 흐름에 적용할 수 있습니다.

사용자가 만든 새 콘텐츠에 적용되는 기본 레이블

레이블 정책을 게시할 때 정책에 포함된 사용자 및 그룹에서 만든 모든 콘텐츠에 기본적으로 적용되는 특정 레이블을 식별할 수 있습니다. 이 레이블은 사용자 또는 시스템 설정에서 다른 작업을 수행하지 않는 경우에도 최소 보호 수준을 설정할 수 있습니다.

이 단계를 실행합니다.

앱 및 서비스 전체에서 중요한 문서를 나타내는 시각적 표시

민감도 레이블이 만들어지고 이메일 또는 문서에 적용되면 해당 레이블에 대해 구성된 모든 보호 설정이 콘텐츠에 적용됩니다. Office 앱을 사용하는 경우 레이블이 적용된 이메일 또는 문서의 머리글 또는 바닥글에 워터마크를 적용할 수 있습니다.

Screenshot of an Office document with a watermark and header about confidentiality.

이 단계를 실행합니다.

데이터를 감사하여 사용자 레이블 지정, 분류 및 보호 동작 이해

민감도 레이블이 조직에 게시되면 데이터 분류를 사용하여 중요한 콘텐츠, 위치 및 사용자 작업의 노출을 식별할 수 있습니다.

Microsoft 365 규정 준수 센터의 콘텐츠 탐색기 탭에서는 특정 문서에 있는 중요한 데이터의 양과 형식을 표시하여 위험한 데이터에 대한 보기를 제공합니다. 여기서는 레이블 또는 민감도 유형별로 필터링하여 중요한 데이터가 저장된 위치를 자세히 확인할 수 있습니다. 활동 탐색기 탭에서는 중요한 데이터, 민감도 및 보존 레이블과 관련된 활동(예: 레이블 다운그레이드 또는 변경으로 인한 보호 감소)에 대한 보기를 제공합니다. 또한 활동 탐색기는 데이터 누출 시나리오(예: 레이블 제거)로 이어질 수 있는 이벤트를 조사하는 데 도움이 됩니다. 이러한 활동을 이해하면 보호 또는 데이터 손실 방지를 위한 올바른 정책을 식별하여 가장 중요한 데이터를 안전하게 보호할 수 있습니다.

다음 단계를 수행합니다.

  1. 콘텐츠 탐색기를 시작하여 기본적으로 데이터 분류 개요 페이지에 요약된 항목을 확인합니다.

  2. 활동 탐색기를 시작하여 레이블이 지정된 콘텐츠와 관련된 활동 기록을 모니터링합니다.

이 가이드에서 설명하는 제품

Microsoft Azure

Azure Information Protection(통합 레이블 지정 클라이언트 및 스캐너 사용)

Microsoft 365

Microsoft Defender for Cloud 앱

결론

MIP(Microsoft Information Protection)는 중요한 데이터를 보호하기 위한 포괄적이고, 유연하며, 통합되고, 확장 가능한 방법입니다.

Diagram of Microsoft Information Protection for data with Corporate Egress highlighted.

추가 정보 또는 구현에 대한 지원이 필요하면 고객 성공 팀에 문의하세요.



제로 트러스트 배포 가이드 시리즈

Icon for the introduction

Icon for identity

Icon for endpoints

Icon for applications

Icon for data

Icon for infrastructure

Icon for networks

Icon for visibility, automation, orchestration