이 문서에서는 안전한 환경을 유지하는 데 필수적인 주요 활동에 대한 보안 체크리스트를 제공합니다. Power Platform 이 섹션의 문서를 실행 계획으로 요약하고 데이터 보호, 위협 탐지, ID 및 액세스 관리, 규정 표준 준수와 같은 활동을 다룹니다. 이 체크리스트를 따르면 관리자와 보안 전문가는 Power Platform 강력하고 복원력이 뛰어나며 모범 사례에 맞춰 배포가 이루어지도록 할 수 있습니다. 새로운 환경을 설정하든 기존 환경을 개선하든, 이 가이드는 조직의 데이터와 애플리케이션을 보호하기 위한 효과적인 보안 조치를 구현하는 데 도움이 됩니다.
보안 태세 관리
| 완료? | 작업 |
|---|---|
| ✓ | 데이터 처리자로서 서비스 제공자의 책임과 소유자 및 데이터 관리자로서 고객의 책임을 이해합니다. 양측이 관련 법률 및 규정을 준수하는지 확인하세요. 환경, 커넥터, Power Platform, Dataverse, Power Apps 등을 포함한 Power Automate의 아키텍처에 익숙해지세요 Copilot Studio. |
| ✓ | 보안 요구 사항을 이해하고 기존 보안 조치, 도구 및 관행을 평가하여 격차와 개선 영역을 파악합니다. 규정 준수 요구 사항 및 업계 표준에 맞춰 보안 기준을 만듭니다. |
| ✓ | 관리 센터의 보안 페이지를 검토하고 보안 점수를 개선하기 위한 권장 조치를 평가하세요. Power Platform |
| ✓ | 제작자와 개발자에게 보안, 규정 준수 및 개인정보 보호 모범 사례에 대한 교육을 제공합니다. SharePoint 사이트나 위키와 같은 중앙 소스를 통해 교육 자료에 쉽게 접근할 수 있도록 하세요. |
| ✓ | 사고 대응 계획을 정의하고 테스트합니다. 보안 사고 처리에 대한 명확한 역할과 책임을 확립합니다. |
| ✓ | 변화하는 위협과 비즈니스 요구 사항에 적응하기 위해 보안 정책을 정기적으로 검토하고 업데이트합니다. |
위협 방지
| 완료? | 작업 |
|---|---|
| ✓ | Power Platform 관리 센터와 Microsoft Sentinel을 사용하여 사용자 활동을 추적하세요. 정기적인 감사를 실시하여 이상 징후를 탐지하고 규정 준수를 보장합니다. |
| ✓ | Microsoft Sentinel을 구성하고 의심스러운 활동과 정책 위반에 대한 알림을 설정합니다. |
| ✓ | 잠재적으로 손상된 ID에 대한 ID 관련 위험 이벤트를 모니터링하고 해당 위험을 해결합니다. |
| ✓ | 보안 사고를 철저히 조사하여 근본 원인과 영향을 파악합니다. 조사 결과를 활용하여 위협 탐지 및 대응 전략을 개선하세요. |
| ✓ | 사고 대응 계획을 정의하고 테스트합니다. 보안 사고를 처리하기 위한 명확한 역할과 책임을 정의합니다. |
데이터 보호 및 개인정보 보호
| 완료? | 작업 |
|---|---|
| ✓ | 커넥터와 환경 간의 데이터 흐름을 제어하는 데이터 정책을 만듭니다. 보안 요구 사항에 맞게 데이터 정책을 정기적으로 검토하고 업데이트합니다. |
| ✓ | 암호화에 대한 추가 제어를 위해 고객 관리 키를 사용하는 것을 고려하세요. |
| ✓ | 애플리케이션의 설계 및 개발에 개인정보 보호 고려사항을 포함하세요. 개인정보 보호가 개발 프로세스의 기본적인 측면이 되도록 하세요. |
| ✓ | 테넌트 격리를 구성하여 서로 다른 테넌트 간의 데이터 액세스를 제어하고 제한합니다. |
| ✓ | IP 방화벽 및 가상 네트워크와 같은 네트워크 보안 기능을 평가하고 구성합니다. |
| ✓ | Microsoft Purview를 설정하여 사용자 환경 전반에서 민감한 데이터를 검색, 분류 및 관리하세요. Power Platform |
| ✓ | Dataverse의 내장 RBAC 보안 모델을 사용하여 사용자 권한과 데이터 액세스를 효과적으로 관리하세요. 필드 수준 보안, 계층적 보안, 팀 기반 보안을 구현하여 데이터 보호를 강화합니다. |
ID 및 액세스 관리
| 완료? | 작업 |
|---|---|
| ✓ | 사용자 액세스, 서비스 계정, 애플리케이션 사용자, Single Sign-On에 대한 페더레이션 요구 사항 및 조건부 액세스 정책을 포괄하는 ID 관리 전략을 만듭니다. |
| ✓ | 플랫폼의 다양한 관리자 역할(예: 서비스 관리자, Microsoft 365 관리자)에 대한 관리 액세스 정책을 만듭니다. |
| ✓ | 특정 환경에 대한 액세스를 관리하는 데 필요한 제어 기능을 갖추고 있습니다. |
| ✓ | 최소 권한의 원칙에 따라 역할과 권한을 할당합니다. 보안 역할을 사용하여 액세스를 효율적으로 관리하세요. |
호환
| 완료? | 작업 |
|---|---|
| ✓ | 귀하의 조직에 적용되는 규제 표준(예: GDPR, HIPAA, CCPA, PCI 데이터 보안 표준)을 확인하세요. 각 규정의 구체적인 요구 사항과 의무를 이해합니다. |
| ✓ | Power Platform 관리 센터와 Microsoft Sentinel을 사용하여 사용자 활동을 추적하세요. 정기적인 감사를 실시하여 이상을 탐지하고 규제 기준을 준수하는지 확인합니다. |
| ✓ | 제작자와 개발자에게 규제 요구 사항과 규정 준수 모범 사례에 대한 교육을 제공합니다. |
| ✓ | 정책, 절차, 감사 로그를 포함하여 규정 준수 노력에 대한 자세한 기록을 유지하세요. 규제 감사를 위해 문서가 최신 상태이고 쉽게 사용할 수 있는지 확인하세요. |
워크로드 보안
| 완료? | 작업 |
|---|---|
| ✓ | 아키텍처에 보안 지침을 적용하여 데이터와 시스템의 기밀성, 무결성, 가용성을 보호하세요. 작업 부하가 공격에 견딜 수 있도록 보장하고 기밀성, 무결성, 가용성(CIA 삼각형이라고도 함)의 상호 연관된 보안 원칙을 통합하고 비즈니스 목표를 충족하기 위해 Well-Architected 지침의 보안 권장 사항을 검토하세요. Power Platform |