본문 바로가기

보안

하이브리드 클라우드 환경에서 PCI-DSS, CSA CCM, SOX 등 규제 준수 걱정을 덜어주는 친절한 서비스!

기업의 디지털 전환이 가속화되면서 관련 규제 준수에 대한 중요성과 기업들의 걱정이 함께 커지고 있습니다. 개인정보보호같이 업종 가리지 않고 적용되는 규제를 따라야 하는 것은 기본입니다. PCI-DSS, 사베인옥슬리(SOX) 등 특정 규제 준수도 중요합니다. 규제 준수와 감사 활동은 주로 사내에 구축한 인프라와 업무 시스템 환경을 대상으로 이루어지고 있죠. 하지만 클라우드 도입이 늘면서 기업의 관심사는 하이브리드 클라우드 환경에서 어떻게 중요 규제의 요구 사항을 충족할 것인지로 옮겨가고 있습니다. 공용 클라우드야 사업자 수준에서 철저하게 규제 준수에 대한 평가와 감사가 이루어지지만 사설 클라우드는 규제를 이용 기업이 직접 챙겨야 하다 보니 고민거리인 것이죠. 그래서 마이크로소프트가 나섰습니다. 



PCI-DSS, CSA CCM 규제 관련 평가 보고서 발표

마이크로소프트는 최근 지불 결제 업계를 위한 보안 인증인 PCI-DSS와 클라우드 관련 보안 아키텍처인 CSA CCM(CSA Cloud Control Matrix) 준수 관련 애저 스택(Azure Stack)에 대한 평가 보고서를 발표했습니다. 이 보고서는 다음 사이트에서 받아 볼 수 있습니다. 이 사이트에 가면 SOX 보고서 등 다른 규제 관련 평가 보고서도 받아 볼 수 있습니다. 


https://servicetrust.microsoft.com/ViewPage/TrustDocuments


이번 평가는 PCI-DSS의 경우 버전 3.2를 CSA CCM은 3.01 버전을 기준으로 이루어진 것입니다. 이에 따라 애저 스택을 통해 하이브리드 클라우드를 구축하는 기업은 더 다양한 규제 준수에 신속히 대응할 수 있게 되었습니다. 참고로 이번 규제 평가 보고서는 마이크로소프트가 자체적으로 수행한 것이 아닙니다. 공정한 평가를 위해 독립 감사 기업인 Coalfire가 수행했습니다. 


애저 스택에 대한 PCI-DSS와 CAS CCM 규제 준수 평가는 IaaS와 PaaS 측면에서 이루어진 것입니다. 규제는 인프라와 플랫폼을 넘어 워크로드와 데이터 수준까지 고려해야 합니다. 마이크로소프트 역시 이런 기업의 요구를 하이브리드 클라우드 환경에서 수용하기 위해 애저 블루프린트 프로그램(Azure Blueprint Program)을 제공합니다. 이 프로그램은 FedRAMP와 DoD를 기준으로 포괄적인 측면에서 다양한 보안 규제와 인증을 품을 수 있도록 돕습니다. 


참고로 FedRAMP는 미국에서 공공 부문의 클라우드 보안 인증 프로그램이며, DoD 레벨은 미국 국방성이 정한 보안 수준입니다. 이를 통해 턴키 방식으로 클라우드 관련 규제 대응을 할 수 있도록 돕습니다. 더 자세한 사항은 애저 블루프린트 프로그램 페이지를 참조 바랍니다. 

보안 규제의 경우 글로벌 규제와 국내 규제로 나눌 수 있는데, 큰 틀에서 보면 물리적 보안, 접근 제어, 데이터 보호, 네트워크 보안 등 기본적인 요구 사항에 큰 차이가 없습니다. 따라서 국내 기업이 하이브리드 클라우드를 구축할 때 마이크로소프트가 제공하는 각종 보안 규제 평가 보고서와 프로그램을 참조하면 규제 대응 시간을 절약할 수 있습니다. 더 자세한 내용은 락플레이스로 문의 바랍니다.