내보내기 컨트롤에 대한 Azure 지원

내보내기 제어 규칙을 탐색하는 데 도움이 되도록 Microsoft는 Microsoft Azure Export Controls 백서를 게시했습니다. 특히 소프트웨어 및 기술 데이터에 적용되는 미국 수출 제어를 설명하고, 잠재적인 수출 제어 위험 원본을 검토하고, 이러한 통제에 따라 의무를 평가하는 데 도움이 되는 특정 지침을 제공합니다. 추가 정보는 Microsoft 제품 내보내기 관련 질문과 대답에서 액세스할 수 있는 클라우드 내보내기 FAQ에서 확인할 수 있습니다.

수출통제법 개요

내보내기 관련 정의는 다양한 내보내기 제어 규정마다 다소 다릅니다. 간단히 말해서, 수출은 종종 어떤 방법으로든 제한된 정보, 재료, 장비, 소프트웨어 등을 외국인 또는 외국 목적지로 전송하는 것을 의미합니다. 미국의 수출 통제 정책은 주로 상무부, 국무부, 에너지부, 원자력 규제위원회 및 재무부에서 관리하는 수출 통제 법률 및 규정을 통해 시행됩니다. 각 부서 내의 각 기관은 표 1에 표시된 것처럼 기록 관리에 따라 특정 수출 제어 영역을 담당합니다.

표 1. 미국 수출 통제법 및 규정

이 문서에는 현재 미국 수출 제어 규정, 클라우드 컴퓨팅에 대한 고려 사항, 내보내기 제어 요구 사항을 지원하는 Azure 기능 및 약정에 대한 검토가 포함되어 있습니다.

귀

미국 상무부는 BIS(산업안보국)를 통해 EAR(수출관리규정)를 시행할 책임이 있습니다. BIS 정의에 따르면, 수출은 보호 기술 또는 정보를 외국 목적지로 전송하거나 보호 기술 또는 정보를 미국의 외국인에게 공개하는 것이며, 이는 수출로 간주됩니다. EAR가 적용되는 항목은 CCL(상거래 제어 목록)에서 찾을 수 있으며 각 항목에는 고유한 ECCN(내보내기 제어 분류 번호)이 할당되어 있습니다. CCL에 나열되지 않은 항목은 EAR99로 지정되며 대부분의 EAR99 상용 제품은 라이선스를 내보낼 필요가 없습니다. 그러나 항목의 대상, 최종 사용자 또는 최종 사용에 따라 EAR99 항목에도 BIS 내보내기 라이선스가 필요할 수 있습니다.

EAR는 상용 및 군사 응용 프로그램이 모두 있는 이중 사용 항목과 순전히 상업적 애플리케이션이 있는 항목에 적용할 수 있습니다. BIS는 고객의 클라우드 서비스 사용으로 인해 CSP(클라우드 서비스 공급자)가 고객의 데이터를 내보내지 않는다는 지침을 제공했습니다. 또한 2016년 6월 3일에 게재된 최종 규칙에서 BIS는 분류되지 않은 기술 데이터 및 소프트웨어의 전송 및 저장이 FIPS(Federal Information Processing Standard) 140의 검증된 암호화 모듈을 사용하여 엔드투엔드로 암호화되고 군사 금수 조치가 내려진 국가/지역, 즉 EAR 제740부의 보충 문서 제1호에서 설명된 국가/지역 그룹 D:5 또는 러시아 연방에 의도적으로 저장되지 않은 경우, EAR의 허가 요건이 적용되지 않을 것임을 분명히 했습니다. 미국 상무부는 데이터 또는 소프트웨어가 클라우드에 업로드될 때 클라우드 공급자가 아닌 고객이 해당 데이터 또는 소프트웨어에 대한 전송, 저장 및 액세스가 EAR를 준수하는지 확인할 책임이 있는 내보내기 자임을 분명히 했습니다.

Azure와 Azure Government는 모두 EAR 규정 준수 요구 사항을 충족하는 데 도움이 될 수 있습니다. 홍콩 특별 행정구의 Azure 지역을 제외하고 Azure 및 Azure Government 데이터 센터는 규정된 국가/지역 또는 러시아 연방에 위치하지 않습니다.

Azure 서비스는 기본 운영 체제에서 FIPS 140 검증된 암호화 모듈을 사용하며, Azure Key Vault를 사용한 암호화 키 관리를 포함하여 전송 중 및 미사용 데이터를 암호화하기 위한 다양한 옵션을 제공합니다. Key Vault 서비스는 CMK(고객 관리형 키)라고도 하는 FIPS 140의 검증된 HSM(하드웨어 보안 모듈)에 암호화 키를 저장할 수 있습니다. Azure Key Vault HSM 내에서 생성된 키는 내보낼 수 없습니다. HSM 외부에서는 키의 명확한 텍스트 버전이 있을 수 없습니다. 이 바인딩은 기본 HSM에 의해 적용됩니다. Azure Key Vault는 Microsoft 및 해당 에이전트가 암호화 키를 보거나 추출하지 않도록 설계, 배포 및 운영됩니다. 추가 보증은 Azure Key Vault에서 키를 보호하는 방법을 참조하세요.

애플리케이션 및 데이터를 배포하기 위해 Azure 또는 Azure Government 지역을 선택할 책임이 있습니다. 또한 EAR 요구 사항을 충족하는 엔드 투 엔드 데이터 암호화를 적용하도록 애플리케이션을 디자인할 책임이 있습니다. Microsoft는 Azure 또는 Azure Government에 배포된 애플리케이션을 검사, 승인 또는 모니터링하지 않습니다.

Azure Government는 미국의 고객 데이터 스토리지와 관련된 계약 약정을 통해 추가 보호 계층을 제공하고, 선별된 미국인에게 데이터를 처리하는 시스템에 대한 잠재적 액세스를 제한합니다. EAR에 대한 Azure 지원에 대한 자세한 내용은 Azure EAR 규정 준수 제품을 참조하세요.

ITAR

미국 국무부는 DDTC(국방무역통제국)가 관리하는 ITAR(국제무기규제)에 따라 국방 기사, 서비스 및 관련 기술에 대한 수출 통제 권한을 가지고 있습니다. ITAR 보호 아래의 항목은 USML(미국 군수 목록)에 설명되어 있습니다. USML에 정의된 대로 방어 문서, 서비스 및 관련 기술의 제조업체, 내보내기 및 브로커인 경우 DDTC에 등록하고 ITAR을 이해하고 준수해야 하며 ITAR에 따라 운영한다는 것을 자체 인증해야 합니다.

DDTC는 2020년 3월 25일부터 적용되는 ITAR 규칙을 EAR 와 더 긴밀하게 조정하도록 수정했습니다. 이러한 ITAR 개정은 미국 상무부가 2016년 EAR에 채택한 것과 동일한 많은 용어를 통합한 엔드 투 엔드 데이터 암호화 개척을 도입했습니다. 특히 개정된 ITAR 규칙은 내보내기, 재수출, 재전송 또는 임시 수입을 구성하지 않는 활동을 명시하고 있습니다. 여기에 포함되는 활동으로는 (다른 활동들 중) 1) 분류되지 않은 기술 데이터를 보내거나, 가지고 가거나, 저장하는 것, 2) 엔드투엔드 암호화를 사용하여 보호된 것, 3) 규정에 따라 FIPS 140 준수 암호화 모듈을 사용하여 보호된 것, 4) § 126.1에 규정된 국가/지역이나 러시아 연방에 있는 사람에게 고의적으로 전송되거나 저장되지 않은 것, 그리고 5) § 126.1에 규정된 국가/지역이나 러시아 연방에서 발송되지 않은 것을 포함합니다. 또한 DDTC는 인터넷을 통해 전송 중인 데이터가 저장된 것으로 간주되지 않음을 분명히 했습니다. 종단 간 암호화는 데이터가 항상 보낸 사람과 의도된 수신자 간에 암호화된 상태로 유지되고 암호 해독 수단이 타사에 제공되지 않음을 의미합니다.

ITAR 규정 준수 인증은 없습니다. 그러나 Azure와 Azure Government는 ITAR 규정 준수 의무를 충족하는 데 도움이 될 수 있습니다. 홍콩 특별 행정구의 Azure 지역을 제외하고 Azure 및 Azure Government 데이터 센터는 규정된 국가/지역 또는 러시아 연방에 위치하지 않습니다. Azure 서비스는 기본 운영 체제에서 FIPS 140 검증된 암호화 모듈을 사용하며, Azure Key Vault를 사용한 암호화 키 관리를 포함하여 전송 중 및 미사용 데이터를 암호화하기 위한 다양한 옵션을 제공합니다. Key Vault 서비스는 CMK(고객 관리형 키)라고도 하는 FIPS 140의 검증된 HSM(하드웨어 보안 모듈)에 암호화 키를 저장할 수 있습니다. Azure Key Vault HSM 내에서 생성된 키는 내보낼 수 없습니다. HSM 외부에서는 키의 명확한 텍스트 버전이 있을 수 없습니다. 이 바인딩은 기본 HSM에 의해 적용됩니다. Azure Key Vault는 Microsoft 및 해당 에이전트가 암호화 키를 보거나 추출하지 않도록 설계, 배포 및 운영됩니다. 추가 보증은 Azure Key Vault에서 키를 보호하는 방법을 참조하세요.

애플리케이션 및 데이터를 배포하기 위해 Azure 또는 Azure Government 지역을 선택할 책임이 있습니다. 또한 ITAR 요구 사항을 충족하는 엔드 투 엔드 데이터 암호화를 적용하도록 애플리케이션을 디자인할 책임이 있습니다. Microsoft는 Azure 또는 Azure Government에 배포된 애플리케이션을 검사, 승인 또는 모니터링하지 않습니다.

Azure Government는 미국의 고객 데이터 스토리지와 관련된 계약 약정을 통해 추가 보호 계층을 제공하고, 선별된 미국인에게 데이터를 처리하는 시스템에 대한 잠재적 액세스를 제한합니다. ITAR에 대한 Azure 지원에 대한 자세한 내용은 Azure ITAR 규정 준수 제품을 참조하세요.

DoE 10 CFR Part 810

미국 에너지부(DoE) 수출 통제 규정 10 CFR Part 810은 1978년 원자력 비확산법 제302항에 의해 개정된 1954년 원자력법(AEA)의 57b.(2) 섹션을 시행합니다. 그것은 국가 핵 안보국 (NNSA)에 의해 관리됩니다. 개정된 810부(최종 규칙)는 2015년 3월 25일에 발효되었으며, 무엇보다도 미분류 원자력 기술 및 지원의 수출을 통제합니다. 이를 통해 미국에서 수출되는 핵 기술이 평화적 목적으로만 사용될 수 있도록 함으로써 평화적 핵 무역을 가능하게 합니다. 단락 810.7 (b)은 중요한 핵 기술을 외국 엔터티에 제공하거나 이전하기 위해 특정 DoE 권한 부여가 필요하다고 명시하고 있습니다.

Azure Government는 Azure 운영 담당자 중 미국 사용자에게 정보 및 시스템에 대한 액세스를 제한하는 특정 컨트롤을 구현하도록 설계되었기 때문에 DoE 10 CFR Part 810 내보내기 제어 요구 사항을 충족하는 데 도움이 될 수 있습니다. Azure Government에 데이터를 배포하는 경우 사용자 고유의 보안 분류 프로세스를 담당합니다. DoE 내보내기 제어가 적용되는 데이터의 경우 분류 시스템은 AEA 섹션 148에 의해 설정된 UCNI(미분류 제어 핵 정보) 제어에 의해 보강됩니다. DoE 10 CFR Part 810에 대한 Azure 지원에 대한 자세한 내용은 Azure DoE 10 CFR Part 810 규정 준수 제품을 참조하세요.

NRC 10 CFR 110부

NRC(원자력 규제 위원회)는 10 CFR 110부 수출 통제 규정에 따라 원자력 장비 및 자재의 수출 및 수입을 담당합니다. NRC는 원자력 시설 및 관련 장비 및 자재의 수출 및 수입을 규제합니다. NRC는 DoE 관할권에 있는 이러한 항목과 관련된 원자력 기술 및 지원을 규제하지 않습니다. 따라서 NRC 10 CFR Part 110 규정은 Azure 또는 Azure Government에 적용되지 않습니다.

OFAC 제재법

해외자산통제국(OFAC)은 대상 외국/지역, 테러리스트, 국제 마약 밀매자 및 대량살상무기 확산과 관련된 활동에 종사하는 단체에 대한 미국의 외교 정책과 국가 안보 목표에 따라 경제 및 무역 제재를 관리하고 시행할 책임이 있습니다.

OFAC는 금지된 거래를 거래 또는 금융 거래로 정의하며, OFAC의 승인을 받거나 법령에 의해 명시적으로 면제되지 않는 한 미국인이 관여할 수 없는 기타 거래로 정의합니다. 웹 기반 상호 작용의 경우 OFAC에서 발표한 일반적인 지침은 FAQ 번호 73 을 참조하세요. 예를 들어 "전자 상거래를 용이하게 하거나 참여하는 기업은 고객을 직접 알기 위해 최선을 다해야 합니다."

Microsoft Online Services Terms Data Protection Addendum(DPA)에 명시된 대로 "Microsoft는 고객 또는 고객의 최종 사용자가 고객 데이터에 액세스하거나 이동할 수 있는 지역을 제어하거나 제한하지 않습니다." Microsoft 온라인 서비스의 경우 Microsoft는 OFAC 금지 국가/지역의 엔터티와의 거래를 방지하기 위해 실사를 수행합니다. 예를 들어 제재 대상은 Azure 서비스를 프로비전할 수 없습니다. OFAC는 클라우드 서비스 공급자와 고객을 구별하는 것과 관련하여 BIS가 EAR에 대해 제공하는 지침과 같은 수출간주 지침을 발표하지 않았습니다. 따라서 Azure에 배포된 웹 사이트를 포함하여 애플리케이션과 관련된 온라인 트랜잭션에서 제재 대상을 제외 해야 합니다. Microsoft는 Azure에 배포된 웹 사이트에 대한 네트워크 트래픽을 차단하지 않습니다. OFAC는 고객이 IP 테이블 범위에 따라 액세스를 제한할 수 있다고 언급하더라도 이 방법이 인터넷의 회사 규정 준수 위험을 완전히 해결하지는 못한다는 것을 인정합니다. 따라서 OFAC는 전자 상거래 회사가 고객을 직접 알아야 한다고 권장합니다. Microsoft는 Azure에 배포된 애플리케이션과 상호 작용하는 최종 사용자를 직접 알 수 있는 수단이 없습니다.

OFAC 제재는 "제재 대상과의 사업 거래를 방지"하는 것을 목표로 하며, 무역, 지불, 금융 상품 등과 관련된 거래를 금지합니다. OFAC 제재는 규정된 국가/지역의 거주자가 공용 웹 사이트를 볼 수 없도록 하기 위한 것이 아닙니다.

내보내기 제어 요구 사항 관리

Azure 사용이 미국 내보내기 컨트롤을 어떻게 연루시킬 수 있는지 신중하게 평가하고 클라우드에 저장하거나 처리하려는 데이터가 내보내기 제어의 적용을 받을 수 있는지 여부를 결정해야 합니다. Microsoft는 Azure를 사용할 때 내보내기 제어 의무를 충족하는 데 도움이 되는 계약 약정, 운영 프로세스 및 기술 기능을 제공합니다. 다음과 같은 Azure 기능을 사용하여 잠재적인 내보내기 제어 위험을 관리할 수 있습니다.

• 데이터 위치를 제어하는 기능 – 데이터가 저장되는 위치에 대한 가시성과 데이터 스토리지를 단일 지리 또는 국가/지역으로 제한하는 강력한 도구가 있습니다. 예를 들어 데이터가 미국 또는 선택한 국가/지역에 저장되도록 하고 대상 국가/지역 외부의 제어된 기술/기술 데이터 전송을 최소화할 수 있습니다. 데이터는 EAR 및 ITAR 규칙과 일치하는 비규격 위치에 의도적으로 저장 되지 않습니다.
• 엔드 투 엔드 암호화 – 데이터가 항상 보낸 사람과 의도된 수신자 간에 암호화된 상태로 유지되고 암호 해독 수단이 타사에 제공되지 않음을 의미합니다. Azure는 기본 운영 체제에서 FIPS 140 유효성이 검사된 암호화 모듈을 사용하며, Azure Key Vault를 사용한 암호화 키 관리를 포함하여 전송 중 및 미사용 데이터를 암호화하는 다양한 옵션을 제공합니다. Key Vault 서비스는 CMK(고객 관리형 키)라고도 하는 FIPS 140의 검증된 HSM(하드웨어 보안 모듈)에 암호화 키를 저장할 수 있습니다. Azure Key Vault는 Microsoft 및 해당 에이전트가 암호화 키를 보거나 추출하지 않도록 설계, 배포 및 운영됩니다.
• 데이터에 대한 액세스 제어 – 데이터에 액세스할 수 있는 사용자와 어떤 용어를 알고 제어할 수 있습니다. Microsoft 기술 지원 담당자는 데이터에 대한 기본 액세스 권한이 없고 필요하지 않습니다. 드문 경우에, 지원 요청을 해결하려면 데이터에 대한 고급 액세스 권한이 필요할 때, Azure용 고객 Lockbox를 통해 데이터 액세스 요청을 승인하거나 거부하는 권한을 직접 행사할 수 있습니다.
• 무단으로 간주되는 내보내기/다시 내보내기를 방지하기 위한 도구 및 프로토콜 – 물리적 스토리지 위치에 대한 EAR 및 ITAR 엔드 투 엔드 암호화 안전 항구를 제외하고, 또한 암호화를 사용하면 미국 이외 사용자가 암호화된 데이터에 액세스할 수 있더라도 암호화된 동안 데이터를 읽거나 이해할 수 없는 미국 이외 사용자에게는 아무것도 공개되지 않으므로 잠재적으로 간주되는 내보내기 또는 다시 내보내기로부터 보호하는 데 도움이 되므로 제어되는 데이터는 해제되지 않습니다. 그러나 ITAR에는 ITAR 기술 데이터의 암호를 해독할 수 있는 액세스 정보를 외국인에게 부여하기 전에 일부 권한 부여가 필요합니다. Azure는 광범위한 암호화 기능 및 솔루션, 암호화 옵션 중에서 선택할 수 있는 유연성 및 암호화를 관리하기 위한 강력한 도구를 제공합니다.

고객 데이터의 위치

Microsoft는 클라우드 서비스 데이터 보존 및 전송 정책에 대한 강력한 고객 약정을 제공합니다. 대부분의 Azure 서비스는 지역적으로 배포되며 서비스를 배포할 지역(예: 미국)을 지정할 수 있습니다. 이 약정은 미국 지역에 저장된 고객 데이터가 미국에 남아 있고 미국 이외의 다른 지역으로 이동되지 않도록 하는 데 도움이 됩니다.

데이터 암호화.

Azure는 다양한 암호화 모델을 포함하여 데이터 암호화를 사용하여 데이터를 보호하기 위한 광범위한 지원을 제공합니다.

• 서비스 관리형 키, Azure의 CMK(고객 관리형 키) 또는 고객 제어 하드웨어의 CMK를 사용하는 서버 쪽 암호화입니다.
• 온-프레미스 또는 다른 보안 위치에 키를 관리하고 저장할 수 있는 클라이언트 쪽 암호화입니다.

데이터 암호화는 암호화 키 액세스에 직접 연결되는 격리 보증을 제공합니다. Azure는 데이터 암호화에 강력한 암호화를 사용하므로 암호화 키에 액세스할 수 있는 엔터티만 데이터에 액세스할 수 있습니다. 암호화 키를 취소하거나 삭제하면 해당 데이터에 액세스할 수 없게 됩니다.

FIPS 140 유효성이 검사된 암호화

FIPS(Federal Information Processing Standard) 140은 정보 기술 제품의 암호화 모듈에 대한 최소 보안 요구 사항을 정의하는 미국 정부 표준입니다. 표준의 현재 버전인 FIPS 140-3에는 암호화 모듈의 디자인 및 구현과 관련된 11개 영역을 포함하는 보안 요구 사항이 있습니다. Microsoft는 2001년 표준이 시작된 이래 암호화 모듈의 유효성을 검사하여 FIPS 140 요구 사항을 충족하기 위한 적극적인 노력을 유지하고 있습니다. Microsoft는 미국 NIST(National Institute of Standards and Technology) CMVP(암호화 모듈 유효성 검사 프로그램)에 따라 암호화 모듈의 유효성을 검사합니다. 여러 클라우드 서비스를 포함한 여러 Microsoft 제품은 이러한 암호화 모듈을 사용합니다.

현재 CMVP FIPS 140 구현 지침은 클라우드 서비스에 대한 FIPS 140 유효성 검사를 배제하지만 클라우드 서비스 공급자는 클라우드 서비스를 구성하는 컴퓨팅 요소에 대해 FIPS 140 유효성이 검사된 암호화 모듈을 가져오고 작동할 수 있습니다. Azure는 하드웨어, 상용 운영 체제(Linux 및 Windows) 및 Azure 특정 버전의 Windows를 조합하여 빌드되었습니다. 운영 체제는 하이퍼스케일 클라우드에서 작동하는 동안 FIPS 140 승인 알고리즘을 사용하므로 Microsoft SDL(보안 개발 수명 주기)을 통해 모든 Azure 서비스는 데이터 보안을 위해 FIPS 140 승인 알고리즘을 사용합니다. 해당 암호화 모듈은 Microsoft Windows FIPS 유효성 검사 프로그램의 일부로 유효성이 검사된 FIPS 140입니다. 또한 FIPS 140의 검증된 HSM(하드웨어 보안 모듈)에 고유한 암호화 키 및 기타 비밀을 저장할 수 있습니다.

암호화 키 관리

데이터 보안을 위해서는 암호화 키의 적절한 보호 및 관리가 필수적입니다. Azure Key Vault 는 비밀을 안전하게 저장하고 관리하기 위한 클라우드 서비스입니다. Key Vault를 사용하면 FIPS 140의 유효성을 검사하는 HSM(하드웨어 보안 모듈)에 암호화 키를 저장할 수 있습니다. 자세한 내용은 데이터 암호화 키 관리를 참조하세요.

전송 중 암호화

Azure는 전송 중인 데이터를 암호화하기 위한 여러 옵션을 제공합니다. 전송 중인 데이터 암호화는 네트워크 트래픽을 다른 트래픽으로부터 격리하고 가로채기로부터 데이터를 보호하는 데 도움이 됩니다. 자세한 내용은 전송 중인 데이터 암호화를 참조하세요.

휴지 상태의 암호화

Azure는 미사용 데이터를 암호화하는 광범위한 옵션을 제공하여 데이터를 보호하고 Microsoft 관리형 암호화 키와 고객 관리형 암호화 키를 모두 사용하여 규정 준수 요구 사항을 충족할 수 있도록 지원합니다. 이 프로세스는 Azure Key Vault 및 Microsoft Entra ID와 같은 여러 암호화 키 및 서비스를 사용하여 보안 키 액세스 및 중앙 집중식 키 관리를 보장합니다. Azure Storage 암호화 및 Azure Disk Storage 암호화에 대한 자세한 내용은 미사용 데이터 암호화를 참조하세요.

Azure SQL Database는 기본적으로저장 시 TDE(투명한 데이터 암호화)를 제공합니다. TDE는 데이터 및 로그 파일에 대해 실시간 암호화 및 암호 해독 작업을 수행합니다. DEK(데이터베이스 암호화 키)는 복구 중 사용 가능하도록 데이터베이스 부트 레코드에 저장된 대칭 키입니다. 서버의 마스터 데이터베이스에 저장된 인증서 또는 Azure Key Vault의 제어 하에 저장된 TDE 보호기라는 비대칭 키를 통해 보호됩니다. Key Vault는 KEY Vault에 TDE 보호기를 저장하고 키 회전, 권한, 키 삭제, 모든 TDE 보호기에서 감사/보고를 사용하도록 설정하는 등의 키 관리 작업을 제어할 수 있는 BYOK(Bring Your Own Key)를 지원합니다. 키는 Key Vault에 의해 생성되거나, 가져오거나,온-프레미스 HSM 디바이스에서 Key Vault로 전송될 수 있습니다. 애플리케이션 내에서 데이터를 암호화하고 데이터베이스 엔진에 암호화 키를 표시하지 않도록 하여 중요한 데이터를 보호하기 위해 특별히 설계된 Azure SQL Database의 Always Encrypted 기능을 사용할 수도 있습니다. 이러한 방식으로 Always Encrypted는 데이터를 소유하고 데이터를 볼 수 있는 사용자와 데이터를 관리하지만 액세스 권한이 없어야 하는 사용자 간에 분리를 제공합니다.

내부자 액세스에 대한 제한 사항

미국의 모든 Azure 및 Azure Government 직원은 Microsoft 백그라운드 검사를 받습니다. 자세한 내용은 스크리닝을 참조하세요.

내부 위협은 백도어 연결 및 CSP(클라우드 서비스 공급자) 권한 있는 관리자 액세스를 시스템 및 데이터에 제공할 수 있는 가능성으로 특징지어집니다. Microsoft에서 데이터에 대한 내부자 액세스를 제한하는 방법에 대한 자세한 내용은 내부자 액세스 제한을 참조하세요.

Azure 리소스 모니터링

Azure는 프로비전된 Azure 리소스에 대한 심층 인사이트를 얻고 애플리케이션 및 데이터를 겨냥한 외부 공격을 포함하여 의심스러운 활동에 대한 경고를 받는 데 사용할 수 있는 필수 서비스를 제공합니다. 이러한 서비스에 대한 자세한 내용은 Azure 리소스에 대한 고객 모니터링을 참조하세요.

결론

Azure 사용이 미국 내보내기 컨트롤을 어떻게 연루시킬 수 있는지 신중하게 평가하고 클라우드에 저장하거나 처리하려는 데이터가 내보내기 제어의 적용을 받을 수 있는지 여부를 결정해야 합니다. Microsoft Azure는 내보내기 제어 위험을 관리하는 데 도움이 되는 중요한 기술 기능, 운영 프로세스 및 계약 약정을 제공합니다. 미국 내보내기 제어에 적용되는 기술 데이터가 포함될 수 있는 경우 Azure는 Azure에서 제어되는 기술 데이터에 액세스할 때 실수로 미국 내보내기 제어를 위반하는 잠재적 위험을 완화하는 데 도움이 되는 기능을 제공하도록 구성됩니다. 적절한 계획을 사용하면 Azure 기능 및 자체 내부 절차를 사용하여 Azure 플랫폼을 사용할 때 미국 내보내기 컨트롤을 완전히 준수할 수 있습니다.

다음 단계

내보내기 제어 규칙을 탐색하는 데 도움이 되도록 Microsoft는 미국 수출 제어(특히 소프트웨어 및 기술 데이터에 적용되는 경우)를 설명하고, 잠재적인 내보내기 제어 위험 원본을 검토하고, 이러한 제어에 따라 의무를 평가하는 데 도움이 되는 특정 지침을 제공하는 Microsoft Azure Export Controls 백서를 게시했습니다.

자세히 알아보기:

• Azure 보안
• Azure 규정 준수
• Microsoft 정부 솔루션
• Azure Government란?
• Azure Government 살펴보기
• Microsoft 제품 내보내기
• Azure Government 규정 준수
• Azure EAR 규정 준수 제품
• Azure ITAR 규정 준수 제품
• Azure DoE 10 CFR 파트 810 규정 준수 제품
• Azure FedRAMP 규정 준수 제품