캐나다 통제 상품

통제되는 상품은 주로 군사 또는 국가 안보에 중요한 구성 요소 및 기술 데이터를 포함한 상품입니다. 캐나다 정부는 이러한 상품을 국내에서 통제하고 국방 생산법에 정의합니다. 통제 상품의 개요, 규제 방법 및 규제 상품의 정의에서 관련 법적 책임을 찾을 수 있습니다. 개인 및 조직은 제어된 상품을 검사, 소유 또는 이전해야 하는 경우 CGP(제어 상품 프로그램)에 등록해야 합니다.

제어된 상품 및 클라우드 서비스

CGP에 등록된 많은 조직은 제어된 상품 기술 데이터를 디지털 형식으로 관리하고 이러한 워크로드에 퍼블릭 클라우드 서비스의 이점을 적용하려고 합니다. 2024년 5월 16일, CGD(제어 상품 디렉터리)는 제어 상품 데이터에 대한 클라우드 솔루션을 사용하거나 제공하는 방법에 대한 업데이트된 지침을 발표했습니다. CGD 클라우드 지침에서는 클라우드 서비스 활용을 고려할 수 있는 CSP(클라우드 서비스 공급자)와 CGP 등록자 간의 제어된 상품 데이터를 보호하는 공동 책임에 대해 간략하게 설명합니다.

Microsoft 및 제어 상품

Microsoft Canada Inc.는 컨설팅 서비스 및 온라인 클라우드 서비스를 비롯한 전통적인 목적으로 CGP에 등록되어 있습니다. CGP에 등록된 조직의 디렉터리를 보려면 제어 상품 프로그램에 등록된 개인 및 조직 찾기를 참조하세요.

제어 상품에 대한 규정 준수 인증은 없지만 Microsoft의 CGP 등록에는 승인된 제어 제품 보안 계획이 포함되어 있으며, scope 서비스에 대한 CGD 클라우드 지침과의 일치를 설명합니다. 이 문서에서는 제어된 상품 워크로드에 대해 scope Microsoft Online Services를 평가할 때 CGP 등록자에 대한 고려 사항을 자세히 설명합니다.

Microsoft scope 클라우드 플랫폼 및 서비스

Microsoft는 전 세계적으로 광범위한 상용 클라우드 서비스 포트폴리오를 제공합니다. 다양한 제품 사용 약관 및 기능 및 복잡한 규정 고려 사항을 고려할 때 고객은 다음 서비스만 평가하여 제어되는 상품 데이터를 저장하고 처리할 수 있는 적합성을 고려할 것을 권장합니다.

• 캐나다 지역 Azure Core Services는 캐나다 지역(현재 캐나다 중부 또는 캐나다 동부) 내에 배포할 수 있는 제품 약관의 개인 정보 보호 & 보안 약관에 식별된 Azure Core Online Services로 구성됩니다. 캐나다 지역에서 사용할 수 있는 Azure Core Services를 보려면 지역별 사용 가능한 제품 Azure 를 참조하세요.

• 캐나다 지역 Office Core 서비스는 Exchange Online, SharePoint Online, 비즈니스용 OneDrive 및 Teams입니다.

일반 공급 전에 선택적으로 사용할 수 있는 이러한 서비스의 미리 보기 또는 시험판 버전은 이 지침에 대한 scope 없습니다.

캐나다 지역 Azure Core Services 및 캐나다 지역 Office Core Services는 Microsoft의 글로벌 클라우드 인프라의 일부입니다. 일부 캐나다 국방 산업 기반 고객은 Microsoft의 미국 정부 클라우드 제품에 액세스할 수 있습니다. 제어 상품 데이터의 맥락에서 이러한 미국 기반 제품의 평가는이 문서의 scope 넘어.

제어 상품 및 Microsoft Cloud Services

Microsoft Cloud는 고객이 특정 비즈니스 요구 사항을 충족하기 위해 평가, 조달, 구성 및 배포할 수 있는 전역적으로 배포되고 표준화된 온라인 서비스 세트입니다. 클라우드 테넌트가 올바르게 구성되면 기존 온-프레미스 기술 배포보다 향상된 유연성, 고급 기능 및 향상된 보안을 얻을 수 있습니다. Microsoft는 고객 데이터가 안전하고 사용자의 통제 하에 있도록 온라인 서비스를 설계합니다. Microsoft는 일반적으로 특정 고객 요구 사항을 충족하기 위해 온라인 서비스 제품을 제공하는 방법을 사용자 지정할 수 없습니다.

클라우드 서비스를 사용하도록 선택하는 경우 제어된 상품 규제 의무를 준수하고 클라우드에 저장하도록 선택한 제어 상품 데이터를 보호하는 궁극적인 책임을 져야 합니다. 공동 책임 의무는 다음과 같습니다.

• 이러한 서비스의 사용이 통제되는 상품의 검사, 소유 또는 이전을 규제하는 법률을 포함하여 관련 법률을 준수하는지 확인합니다.
• 서비스 내의 기능 또는 도구를 포함한 클라우드 서비스가 ITAR(국제 무기 규제)와 같은 미국 규정에 따라 통제될 수 있는 데이터를 포함하여 제어되는 상품의 관련 범주를 처리하는 데 적합한지 여부를 평가합니다. 이 평가에는 클라우드 서비스 공급자의 보안 책임 보호, 데이터 보존(미사용 스토리지) 약정, 데이터 처리 위치, 데이터 전송 위치, 타사 감사 및 고객 데이터의 사용자 검토를 포함할 수 있는 기능 또는 도구(예: 남용을 방지하기 위한 일부 AI 서비스의 출력 검토)의 적절성 평가가 포함될 수 있습니다.
• 클라우드 보안 기능을 평가하고 적용하여 클라우드에 저장하는 제어된 상품 데이터에 대한 액세스를 제한합니다.
• 제어된 상품 데이터가 헤더, 문서 이름 또는 파일 경로에 포함되지 않도록 합니다.
• 통제된 상품 데이터에 대한 무단 액세스와 관련된 잔여 위험을 관리하기 위해 사용자 고유의 보안 제어 및 기타 조치를 구현합니다. 여기에는 통제된 상품 데이터에 대한 액세스가 통제되는 상품 데이터를 검사, 소유 또는 전송하도록 요구하는 방식으로 Microsoft 직원에게 제공되지 않도록 하는 것을 포함하여 개인이 통제된 상품을 검사하도록 승인되었다고 결정하지 않는 한.

온라인 서비스 운영의 맥락에서 Microsoft는 통제된 상품 데이터를 건설적인 소유하지 않습니다. Microsoft 직원은 고객이 온라인 서비스에 업로드하도록 선택한 데이터의 특성에 대해 전혀 알지 않습니다. Microsoft는 또한 어떤 고객이 온라인 서비스를 사용하여 제어되는 상품 데이터를 저장하고 처리하려는지 이해하는 상업적 수단이 없습니다.

클라우드 서비스 공급자를 위한 제어된 상품 지침과 일치

온라인 서비스는 Microsoft가 볼륨 라이선싱 계약에 따라 고객에게 제공하는 표준화된 상용 상용 서비스입니다. 이 계약에는 Microsoft 제품 및 서비스 DPA(데이터 보호 부록) 및 Microsoft 제품 약관(제품 약관)이 포함됩니다.

Microsoft는 국제적으로 인정받는 보안 관행 및 정책을 준수하기 위해 캐나다 지역 Azure Core Services 및 캐나다 지역 Office Core Services를 설계하고 구현했습니다. 캐나다 사이버 보안 센터는 클라우드 서비스 공급자 정보 기술 보안 평가 프로세스(ITSM.50.100) 를 통해 CCCS 중간 클라우드 보안 프로필에 대한 많은 Microsoft Online Services를 평가했습니다. 또한 Microsoft는 ISO 27001, ISO 27002 및 ISO 27018의 요구 사항을 준수하는 기술 및 조직 조치를 구현하고 유지 관리합니다. 또한 각 캐나다 지역 Azure 핵심 서비스 및 캐나다 지역 Office Core 서비스(제한된 게시된 예외 포함)도 SSAE 18 SOC 1 Type II 및 SSAE 18 SOC 2 Type II의 일부를 구성하는 제어 표준 및 프레임워크를 준수합니다. 자세한 내용은 제품 약관의 DPA 및 개인 정보 & 보안 약관을 참조하세요.

CGD의 보안 계획 지침 은 다음과 같은 중요한 정의를 제공합니다.

• 액세스: 통제된 상품을 검사, 소유 또는 이전할 수 있는 위치에 있어야 합니다.
• 검사: 필수 기능 또는 의미를 검색하기 위해 자세히 고려하거나 분석을 수행합니다.
• 소유: 실제 소유물, 사람이 지정된 시간에 통제된 선에 대한 직접적인 신체적 통제가 있는 경우, 또는 건설적인 소유물, 즉 사람이 통제된 선을 직접 또는 다른 사람 또는 사람을 통해 통제된 선에 대한 통제권을 행사할 수 있는 힘과 의도를 가진 건설적인 소유물.
• 전송: 통제된 선과 관련하여 삭제하거나 어떤 방식으로든 콘텐츠를 공개합니다.

캐나다 지역 Azure Core Services 및 캐나다 지역 Office Core Services에 대해 구현된 보안 제어 및 운영 관행을 감안할 때 Microsoft는 이러한 서비스 또는 관련 기술 지원을 제공하면서 제어된 상품 데이터에 액세스, 검사, 소유 또는 전송하지 않습니다.

기술 지원

Microsoft Online Services는 고객이 온라인 서비스를 사용하여 제어된 상품 데이터(또는 다른 유형의 데이터)를 저장하거나 처리하는 방법 또는 시기를 Microsoft에서 볼 수 없도록 설계되었습니다. Microsoft 직원은 온라인 서비스의 고객 데이터에 대한 기본 스탠딩 액세스 권한이 없습니다. 매우 제한된 지원 및 엔지니어링 시나리오에서 Microsoft 지원 또는 엔지니어링 담당자는 고객 데이터에 액세스해야 할 수 있습니다. 이러한 드문 경우의 경우 Microsoft 지원 또는 엔지니어링 담당자(일반적으로 캐나다 외부에 있음)는 JIT(Just-In-Time) 권한 있는 액세스 관리 시스템을 통해 임시 자격 증명을 사용하여 관리 감독 하에 고객 데이터에 액세스할 수 있습니다. 제한된 액세스 워크플로를 사용하면 고객 데이터에 대한 액세스가 더 이상 필요하지 않을 때 신중하게 제어, 기록 및 해지됩니다. 이러한 시나리오에서도 Microsoft는 통제된 상품 워크로드가 연루되어 있는지 알지 못합니다.

Microsoft의 전역적으로 배포된 지원 및 엔지니어링 담당자는 제어 상품 규정의 요구 사항에 따라 보안이 평가되지 않습니다. 이러한 제한으로 인해 고객은 지원 계약 중에 온라인 서비스 내에서 처리하거나 Microsoft와 공유할 데이터를 결정할 책임이 있습니다. 더 광범위하게, 고객은 온라인 서비스의 사용이 이러한 직원이 통제 상품을 검사하지 않도록 보장 할 책임이 있습니다.

CGP의 지침은 "검사"라는 용어를 데이터를 자세히 고려하거나 분석에 적용하여 필수 기능 또는 의미를 검색하는 것으로 정의합니다. 이 지침은 본질적으로 일시적이며 데이터를 자세히 고려하거나 본질적인 의미를 결정하지 않는 데이터에 부수적인 노출이 통제된 선의 "검사"를 포함하지 않는다는 것을 시사합니다.

심층적인 위험 완화 조치의 추가 방어 수단으로 고객이 scope 서비스에서 고객 Lockbox 기능을 사용하도록 설정하는 것이 좋습니다. 고객 Lockbox는 고객이 이러한 상승된 요청을 승인하거나 거부할 수 있도록 하여 고객 데이터에 액세스해야 하는 지원 워크플로를 고객에게 제어합니다. 고객 Lockbox에 대한 자세한 내용은 다음을 참조하세요.

• Microsoft Azure 대한 고객 Lockbox
• Microsoft Purview 고객 Lockbox.

제한된 캐나다 기반 지원

기술 배포 또는 문제 해결 중에 기술 지원을 제공하기 위해 제어 상품의 검사 또는 소유가 필요한 시나리오가 제한될 수 있습니다. 자세한 검사가 필요한 경우 고객은 통제 상품 데이터를 검사할 필요가 있는 직원이 캐나다에 기반을 두고 통제 상품 규정에 따라 보안이 평가되도록 명시적 계약 약정을 포함하는 Microsoft Canada와의 별도 계약을 요청해야 합니다. Microsoft 캐나다와 직접 이 사용자 지정 계약을 수립하는 것은 고객의 책임입니다. 자세한 내용은 Microsoft 계정 팀에 문의하세요.

레코드 보관

Microsoft는 고객이 온라인 서비스 내에서 저장하거나 처리할 수 있는 데이터의 문자 또는 콘텐츠에 대해 알지 못하며 온라인 서비스에 업로드하는 데이터 유형과 관련된 고객으로부터 알림을 받을 수 없습니다. 따라서 Microsoft는 온라인 서비스를 사용하여 제어되는 상품 데이터를 저장하고 처리하려는 고객을 추적할 상업적 수단이 없습니다. 기록 보관 의무는 고객이 Microsoft의 온라인 서비스를 사용하기로 선택할 때만 유지됩니다.

보안 인시던트

온라인 서비스에 대한 Microsoft의 보안 인시던트 알림 약정은 DPA에 설명되어 있습니다. Microsoft 직원은 보안 인시던트가 영향을 줄 수 있는 특정 고객 데이터의 특성에 대해 알지 못합니다. 특정 보안 인시던트가 통제된 상품 데이터와 관련이 있는지 여부를 확인하고 규정의 섹션 10(h)에서 필요에 따라 CGP에 보고하는 것은 고객(또는 CGP 등록자)의 책임입니다.

질문과 대답

Microsoft Online Services 지원 및 엔지니어링 담당자는 어디에 있나요?

Microsoft는 전 세계 여러 지역에서 상업용 클라우드 제품에 대한 지원 서비스를 다양한 지역 및 국가의 고객에게 운영합니다.

캐나다에 있는 Microsoft 클라우드 데이터 센터의 시민 주소는 무엇인가요?

Microsoft는 데이터 센터의 시민 주소를 공개적으로 공개하지 않습니다. 데이터 센터 시설을 보호하기 위해 이 정책을 수립했습니다. Microsoft는 현재 캐나다에 두 개의 클라우드 지역인 캐나다 중부 를 운영하고 있으며, 토론토와 캐나다 동부 에 위치한 사이트와 퀘벡 시티에 있는 사이트를 운영하고 있습니다. 필요한 경우 고객이 제어되는 상품 보안 계획에 실제 주소 대신 데이터가 저장되는 클라우드 지역을 참조하는 것이 좋습니다.

Microsoft Online Services에 데이터가 저장되는 위치는 어디인가요?

데이터 상주는 고객 데이터가 미사용에 저장되는 클라우드 지리 또는 지역을 나타냅니다. 다음 링크를 사용하여 scope 서비스에서 현재 데이터 상주 및 데이터 상주 약정을 결정하는 방법을 이해합니다.

• Microsoft 365 데이터 상주 개요
• Microsoft 365 고객 데이터가 저장되는 위치
• Azure 데이터 보존

고객은 지정된 클라우드 서비스가 데이터 상주 구성( 제품 약관 또는 Microsoft 보안 센터에서 식별된 예외 포함)을 사용할 수 있는지 여부를 평가할 책임이 있습니다. 모든 온라인 서비스에서 특정 클라우드 지역에서 데이터 스토리지를 구성할 수 있는 것은 아닙니다.

Microsoft Online Services에서 데이터가 처리되는 위치는 어디인가요?

데이터 처리에는 클라우드 서비스가 필요한 온라인 서비스를 제공하기 위해 고객 데이터에 대해 수행하는 컴퓨팅 작업이 포함됩니다. 캐나다 외부의 데이터 처리, 저장 또는 전송이 클라우드 서비스 내에서 발생할 수 있는지 또는 기술 지원의 일환으로 발생할 수 있는지, 내보내기 허가가 필요한지 여부를 평가하는 것은 고객의 책임입니다.

캐나다 지역 Azure Core Services의 경우 Microsoft는 사용자의 권한 부여 없이 고객 지정 지역 외부에 고객 데이터를 저장하거나 처리하지 않습니다. 고객은 Azure 데이터 보존을 검토해야 합니다. 고객 데이터 위치에 대한 자세한 내용을 검토하고 다음을 평가해야 합니다.

• 복원력을 유지하기 위해 Microsoft는 때때로 지리적 경계를 넘는 가변 네트워크 경로를 사용하지만 지역 간 고객 데이터 복제는 항상 암호화된 네트워크 연결을 통해 전송됩니다.
• 지역 외부에 있는 Microsoft 직원(하위 프로세서 포함)은 지리적으로 데이터 처리 시스템을 원격으로 운영할 수 있지만 고객의 권한 부여 없이는 고객 데이터에 액세스할 수 없습니다.
• 특정 서비스는 고객이 특정 Azure 지역 또는 주요 지리적 영역(지역)에서 배포를 구성할 수 없거나 Microsoft 보안 센터에 설명된 대로 다른 위치에서 제한된 처리 또는 스토리지를 수행할 수 있습니다(Microsoft는 수시로 업데이트될 수 있지만 Microsoft는 더 이상 미리 보기에 서비스에 대한 예외를 추가하지 않음).
• 고객 관리자 또는 사용자가 캐나다 지역에서 데이터 전송을 시작하는 서비스에서 조치를 취하는 경우 Microsoft는 이러한 고객이 시작한 전송이 발생하지 않도록 제한하지 않습니다. 이렇게 하면 고객의 정상적인 비즈니스 운영이 중단됩니다.

캐나다 지역 Office Core Services의 경우 데이터는 일반적으로 데이터가 저장되는 위치와 가장 가깝게 처리되지만 일부 작업은 캐나다 외부의 Azure 상용 클라우드 지역에서 고객 데이터를 처리할 수 있습니다. 이러한 국가/지역의 전체 목록을 보려면 Azure 지역을 참조하세요.

제어 상품과 함께 생성 AI 솔루션을 사용할 때 고려해야 할 사항은 무엇인가요?

Azure OpenAI Service 및 Copilot 서비스 및 기능을 비롯한 Microsoft의 생성 AI 솔루션은 사용자의 권한 없이 organization 데이터를 사용하여 기본 모델을 학습하지 않습니다. 데이터는 OpenAI에서 사용할 수 없거나 OpenAI 모델을 학습하는 데 사용되지 않습니다. Azure OpenAI 서비스 및 Copilot를 사용할 때 데이터는 비공개로 유지되며 Microsoft의 데이터 보호 부록, Microsoft의 제품 약관 및 Microsoft 개인정보처리방침에 명시된 약정을 포함하여 해당 개인 정보 및 계약 약정의 적용을 받습니다.  

책임 있는 AI에 대한 Microsoft의 노력과 함께 Azure OpenAI 서비스는 사용자 검토를 포함한 남용 모니터링 프로세스를 사용하여 행동 강령 또는 기타 적용 가능한 제품 약관을 위반할 수 있는 방식으로 서비스 사용을 제안하는 반복 콘텐츠 및 동작의 인스턴스를 감지하고 완화합니다. 고객은 Azure OpenAI 데이터, 개인 정보 보호 및 보안에서 사용할 수 있는 리소스를 사용하여 데이터를 처리하는 방법과 남용 모니터링 및 사용자 검토에서 면제를 받기 위해 적용할 수 있는 방법을 평가해야 합니다.

Microsoft 365용 Microsoft Copilot 데이터, 개인 정보 및 보안에 대한 자세한 내용은 Microsoft 365 Copilot 데이터, 개인 정보 및 보안을 참조하세요.

Microsoft Online Services에서 제어된 제품을 사용할 때 필요한 내보내기 권한 부여는 무엇인가요?

고객은 데이터 스토리지, 전송 중인 네트워크 데이터, 데이터 처리 또는 전송이 캐나다 외부에서 발생할 수 있는 시나리오를 포함하지만 이에 국한되지 않는 Microsoft 캐나다 지역 Azure Core Services 및 캐나다 지역 Office Core Services를 평가할 때 필요할 수 있는 내보내기 권한 부여와 관련하여 캐나다 전역 문제(또는 기타 규제 기관)의 지침을 구해야 합니다.

Microsoft는 명시적 동의 없이 모든 수출 라이선스 애플리케이션에 당사자로 추가되는 것에 대한 책임 또는 책임을 허용하지 않습니다. 자세한 내용은 Microsoft 내보내기 FAQ를 참조하세요.

통제된 상품과 함께 사용할 scope 온라인 서비스를 구성할 때 유용할 수 있는 다른 보안 및 개인 정보 보호 기능은 무엇인가요?

온라인 서비스의 사용으로 인해 Microsoft Online Services 직원, 검사, 소유 또는 양도를 포함한 권한이 없는 개인이 발생하지 않도록 하는 것은 고객의 책임입니다. 이러한 책임에는 고객이 특정 온라인 서비스 내에서 사용할 수 있는 보안 기능을 평가하고 채택하는 작업이 포함될 수 있습니다. 관련 기능은 다음과 같습니다.

• 고객 Lockbox: 고객이 심층적인 위험 완화 조치의 추가 방어로 scope 서비스에서 고객 Lockbox 기능을 사용하도록 설정하는 것이 좋습니다. 고객 Lockbox는 고객이 이러한 상승된 요청을 승인하거나 거부할 수 있도록 하여 고객 데이터에 액세스해야 하는 지원 워크플로를 고객에게 제어합니다. 고객 Lockbox에 대한 자세한 내용은 다음을 참조하세요.
  • Microsoft Azure 대한 고객 Lockbox
  • Microsoft Purview 고객 Lockbox.
• Microsoft Purview Information Protection: Microsoft Purview Information Protection 민감도 레이블을 사용하여 organization 분류하고 보호할 수 있습니다.사용자의 생산성과 공동 작업 능력이 방해가 되지 않도록 하는 동안의 데이터입니다. Microsoft는 고객이 Office Core Services에서 제어되는 상품 데이터에 적절한 민감도 레이블 및 관련 데이터 보호 정책을 배포하고 구성하는 것을 권장합니다.
• Microsoft Purview DKE(이중 키 암호화): Office 앱(Outlook, Word, Excel 및 Windows의 PowerPoint)은 이중 키 암호화 사용을 지원하며 엔드 투 엔드 암호화 구성 옵션을 제공합니다. Office 문서 및 전자 메일 본문은 고객의 통제 하에 있는 키 관리 서비스와 키를 사용하여 Office 클라이언트 애플리케이션에 의해 암호화됩니다. DKE를 사용하여 콘텐츠를 암호화하는 경우 Microsoft 클라우드 인프라는 프라이빗 키에 대한 액세스 권한이 없고 암호화된 데이터에 대한 클라우드 처리를 수행할 수 없으므로 많은 고객 구성 보안 기능을 포함하여 Microsoft 365 Core Services의 전반적인 기능을 줄일 수 있습니다. 예를 들어 이 제한은 클라우드 기반 DLP(데이터 손실 방지), Office Web Apps 사용 및 공동 작성과 같은 일부 기능에 영향을 줍니다. 확장상 클라우드에서 DKE로 암호화된 고객 데이터는 암호화되지 않은 형태로 Microsoft 지원 또는 엔지니어링 담당자에게 액세스할 수 없습니다. DKE는 서비스 암호화 및 콘텐츠에 대한 민감도 레이블 사용을 위해 Microsoft Purview Information Protection 사용하여 배포해야 합니다.
• Azure 기밀 컴퓨팅: Azure 기밀 컴퓨팅은 컴퓨팅 클라우드 인프라의 다양한 측면에서 보안을 강화하고 업계의 기밀 컴퓨팅 정의를 준수합니다. 기존 암호화는 미사용 데이터와 전송 중인 데이터를 보호하지만 기밀 컴퓨팅은 Azure 새 하드웨어 기반 신뢰할 수 있는 실행 환경을 사용하여 메모리에서 처리 또는 계산하는 동안 사용 중인 데이터를 보호하거나 암호화합니다. Azure 기밀 컴퓨팅 제품은 운영 보호 및 메모리 보호를 넘어 하드웨어 기반 신뢰로 워크로드 격리를 제공합니다. 기밀 컴퓨팅 위협 모델은 클라우드 공급자 운영자 및 테넌트 도메인의 다른 행위자가 실행되는 동안 코드 및 데이터에 액세스할 수 있는 기능을 제거하거나 줄이는 것을 목표로 합니다. 미사용 및 전송 중인 데이터 암호화와 함께 사용할 경우 기밀 컴퓨팅은 보안 퍼블릭 클라우드 플랫폼에서 중요하거나 규제가 높은 데이터 세트 및 애플리케이션 워크로드를 보호하여 사용 중 암호화라는 가장 큰 암호화 장벽을 제거합니다.
• Azure Key Vault: Azure Key Vault 관리형 HSM(하드웨어 보안 모듈)은 FIPS 140-2 수준 3 유효성이 검사된 HSM을 사용하여 클라우드 애플리케이션에 대한 암호화 키를 보호할 수 있는 완전 관리형 고가용성 단일 테넌트 표준 규격 클라우드 서비스입니다. Azure 몇 가지 주요 관리 솔루션 중 하나입니다.

Office 연결된 서비스와 관련된 고려 사항은 무엇인가요?

Microsoft Office는 보다 효과적으로 만들고, 소통하고, 공동 작업할 수 있도록 설계된 클라이언트 소프트웨어 애플리케이션 및 연결된 환경 으로 구성됩니다. OneDrive에 저장된 문서에서 다른 사람과 함께 작업하거나 Word 문서의 내용을 다른 언어로 번역하는 것이 연결된 환경의 예입니다. Office 앱을 사용할 때 액세스할 수 있는 일부 연결된 환경(선택적 연결된 환경)은 인터넷(또는 다른 Microsoft Online Services)에 연결하여 해당 기능을 수행할 수 있습니다.

일부 Office 연결된 환경은 Office 앱의 고객 콘텐츠를 분석하여 디자인 권장 사항, 편집 제안, 데이터 인사이트 및 유사한 기능을 제공합니다. 이러한 방식으로 콘텐츠를 분석하는 것은 또 다른 형태의 데이터 처리이며 캐나다 외부의 Azure 상용 클라우드 지역에서 발생할 수 있습니다.

고객은 특정 민감도 레이블이 적용된 문서의 콘텐츠를 분석하는 환경의 사용을 제어 하는 기능을 포함하여 제어된 상품 및 Microsoft Online Services 평가의 일부로 Office 연결된 환경을 포함해야 합니다.

클라우드 서비스를 사용하는 엔드 투 엔드 암호화의 일반적인 제한 사항은 무엇인가요?

엔드투엔드 암호화(E2EE)는 일반적으로 콘텐츠가 클라우드로 전송되기 전에 암호화되고 클라우드에서 수신될 때 의도한 수신자가 암호 해독한다는 것을 의미합니다. E2EE를 사용하면 두 엔드포인트 시스템만 데이터 암호화 및 암호 해독에 관여합니다. 클라우드 서비스 인프라에 데이터 암호 해독을 위한 암호화 키에 대한 제어된 액세스 권한이 없는 경우 해당 데이터의 처리를 수행하는 기능이 제한됩니다. 예를 들어 클라우드 기반 맬웨어 검사, 콘텐츠에 클라우드 기반 DLP(데이터 손실 방지) 규칙 적용, 클라우드 서비스 공급자가 필요한 처리를 수행하기 위해 데이터의 암호를 해독할 수 없는 경우 다중 사용자 문서 편집이 작동하지 않습니다.

Microsoft 이중 키 암호화는 가장 엄격한 데이터 보호 요구 사항이 적용되는 Office 365 데이터의 하위 집합과 함께 사용하기 위한 엔드 투 엔드 암호화 구성 옵션을 제공합니다. 이 기능을 평가할 때 배포 요구 사항을 신중하게 검토합니다.

조직 보안 정책을 적용하는 보안 클라우드 구성을 구현하는 데 사용할 수 있는 리소스는 무엇인가요?

Microsoft는 보안 클라우드 테넌트 구성을 설계, 구성 및 운영하는 방법에 대한 광범위한 정보를 게시합니다. microsoft 클라우드 채택 프레임워크 for Azure IaaS 및 PaaS 워크로드에 유용한 시작점을 제공합니다. Microsoft 365를 사용하는 제로 트러스트 배포 계획은 Microsoft 365를 사용하여 제로 트러스트 보안을 구축하는 방법에 대한 지침을 제공합니다.

통제된 상품 데이터도 다른 수출 통제 규정의 적용을 받는다면 어떨까요?

고객은 Microsoft 서비스(온라인 서비스, 기술 지원 및 전문 서비스 포함)가 특정 법률 또는 규정의 적용을 받는 정보의 저장 또는 처리에 적합한지 여부와 법적 및 규제 의무에 부합하는 방식으로 Microsoft 서비스를 사용할 책임이 있습니다. 비캐나다 수출 통제 규정의 적용을 받는 통제 상품 데이터와 관련된 시나리오는 이 문서의 scope 외부에 있지만 리소스 섹션의 정보는 고객에게 유용할 수 있습니다.

리소스

• 통제 상품: 검사, 소유 또는 이전
• 제어된 상품 데이터에 대한 클라우드 솔루션 사용 또는 제공에 대한 지침
• 블로그: Azure 내보내기 컨트롤 백서 업데이트
• Microsoft Azure - 컨트롤 내보내기 백서
• Office 365 - 컨트롤 내보내기 백서
• Microsoft 제품 내보내기 - FAQ
• ITAR(국제 무기 규정) - Microsoft 규정 준수
• EAR(미국 수출 관리 규정) - Microsoft 규정 준수