Korea 대한민국   변경   |   All Microsoft Sites

Home

Microsoft Home | Servers and Tools

규정 준수

Video: Using SQL Server for Auditing and Compliance
비디오: SQL Server를 통한
감사 및 규정 준수(영문)

개요

규정준수 문제 처리

Microsoft SQL Server 2008은 데이터 보호 및 규정준수 솔루션 구축용의 안정적인 보안 플랫폼입니다. 대개 규정 준수는 데이터 저장 및 액세스 방법에 영향을 줍니다. SQL Server® 2008은 HIPAA, SOX 및 PCI 등 규제와 관련된 조직의 요구사항을 처리하는 기능을 제공합니다.

임무 분할, 키 관리나 감사 및 보고 등의 처리 여부와 관계없이 SQL Server 2008은 이상의 요구사항에 맞추어 필요한 지원을 제공합니다. 

최신 기능

  • 암호화 키 보호를 위한 향상된 기능

  • 세분화된 감사 기능

  • 데이터베이스의 구성 정책에 대한 정의, 배포 및 유효성 검사

 

규정 준수 이해

규정 준수는 규제 요구사항 또는 조직 정책을 통해 대기업 및 중소기업에 영향을 미칩니다. 또한 아래에 설명된 세 단계 거버넌스 프로세스 중 최종 단계에 해당됩니다.

GRC(Governance, Risk, Compliance)

  • 위험 관리

    위험을 식별하여 완화 및 제거 계획을 개발하는 프로그램입니다.

  • 거버넌스

    위험을 평가하는 동안 식별한 위험을 처리하기 위한 초치를 나타냅니다. 즉, 정책, IT 제어, 규칙, 시스템 및 교육을 실시하여 위험을 완화하는 단계입니다.

  • 규정 준수

    식별한 위험이 완화되었는지 확인합니다.

    • 위험을 방지하기 위한 적절한 정책이 존재하는가? 

    • 이러한 정책을 관련된 사람들에게 알렸는가? 

  • 참고: 이러한 질문에 답할 수 있도록 지원하는 것이 규정 준수의 핵심사항입니다. “Reaching Compliance”지침에서는 SQL Server 2008의 새로운 기능을 통한 규정준수 검사방법에 관한 지침을 제공합니다.

관련 링크

추가 정보

 

보안 플랫폼 제공

본 섹션에서는 소프트웨어를 설치하거나 데이터베이스를 구성하기 전 취해야 할 조치를 설명합니다. 이 조치를 통해 운영 체제 및 데이터베이스 애플리케이션에 대한 위험을 완화할 수 있습니다.

보안 플랫폼을 제공하는 경우:

  • 최신 운영 체제와 서비스 팩 및 최신 보안 패치와 안티 멀웨어 소프트웨어 설치 등 SQL Server 설치를 위한 보안 기반을 갖추어야 합니다.

  • 서비스 실행을 제한하여 공격 표면 영역을 최소화하고 필요한 소프트웨어만 설치하며 불필요한 포트를 사용하지 않고 방화벽을 구성합니다.

  • 그러나 가장 중요한 일은 서버에 액세스하는 사용자 및 역할을 제한하는 것입니다.

관련 링크

추가 정보

 

ID 관리 및 임무 분할

데이터베이스 데이터의 액세스 제한을 위한 첫 단계는 데이터베이스에 액세스 가능한 사용자를 제한하는 것입니다.

ID 관리 및 임무 분할을 수행하는 경우:

  • 모든 데이터베이스 로그인에 대해 Windows Authentication을 사용합니다. 이 모드를 사용하여 SQL Server ID를 Active Directory 계정에 지정하여 강력한 ID를 제공합니다. ADDS(Active Directory Domain Services)로 액세스 관리를 통합하면 서버 전체에 일관적인 ID 적용, 중앙집중식 실행, 계정 및 정책 비활성화 등 SQL Server의 몇 가지 이점을 활용할 수 있습니다.

  • 개별 사용자는 로그인을 통해 적절하게 관리할 수 있으므로 보안 그룹 대신 개별 사용자 로그인을 작성하여 데이터베이스 액세스를 제공합니다. 

  • 사용자에게 다양한 데이터베이스 역할을 할당하여 필요한 권한을 부여하고 제한할 수 있습니다. 이렇게 하는 경우 작업을 수행하는데 필요한 역할을 할당할 수 있습니다.

  • 임무 분할(임무 분리 또는 역할 분할)은 ID 및 권한 관리 시 반드시 고려해야 할 사항입니다.

  • 정책 기반 관리를 사용하여 ID 정책의 유효성을 검사합니다.

관련 링크

추가 정보

 

데이터베이스 데이터 암호화

기밀정보 보호는 데이터베이스 작업의 중요한 측면이므로 SQL Server 2008은 암호화를 통해 기밀정보 보호방법을 제공합니다.

  • 대개 원하는 성능 수준과 보호 등급에 따라 암호화 알고리즘을 선택합니다.

  • 애플리케이션을 수정하지 않고 데이터베이스 데이터에 대한 암호화를 허용하기 위해 SQL Server 2008에 TDE를 추가합니다. TDE는 데이터 파일, 로그 파일 및 백업을 암호화합니다.

  • TDE의 주요 기능은 인증 개인키 백업 및 회전을 수행하는 것입니다. SQL Server는 감사 사양 및/또는 정책을 사용하여 이러한 작업 수행을 지원합니다.

관련 링크

추가 정보

 

기밀 정보 감사

SQL Server Audit를 통해 감사 동작 그룹으로 높은 수준에서 또는 감사 동작으로 세분화된 수준에서 데이터베이스 이벤트를 모니터 할 수 있습니다. 

감사를 선택하는 경우:

  • 감사할 특정 사용자 및 테이블을 결정합니다. 감사 로그 내에 다양한 이벤트가 존재할 수 있고 특정 사용자 및 테이블만 감사하도록 선택하여 로그 크기를 줄일 수 있습니다.

  • 하나 이상의 서버를 모니터링 하는 경우 로그를 중앙 위치로 집중시키는 것이 유용할 수 있습니다.

  • SDK 내의 규정준수를 통해 샘플 보고서와 스크립트를 제공하고 로그 파일에 대한 감사 보고서를 처리하고 작성합니다.

관련 링크

추가 정보

 

정책 기반 관리를 통한 정책 정의, 배포 및 유효성 검사

규정준수 요구사항을 처리하기 위해 SQL Server 2008은 데이터베이스 보안, ID, 암호화 및 감사에 대한 규정준수를 간편하게 관리합니다. 정책 기반 관리를 사용하여 이러한 각 영역이 정책에 따라 제대로 구성되었는지 확인할 수 있습니다.

정책 기반 관리 사용

  • 규정준수 관점에서 정책 기반 관리 기능을 통해 정기적인 상태 검사를 수행하여 정책 및 모범사례를 위반한 사용자, 대상 및 시간을 결정할 수 있습니다.

  • 정책 계획을 작성하는 경우 정책 우선순위를 식별할 수 있습니다. 정책 작성을 위한 점진적인 접근 방식은 관리 및 성능 측면에서 중요합니다.

  • 정책 기반 관리의 다양한 실행 모드는 정책 패싯에 따라 달라집니다. SQL Server 정책 기반 관리: 패싯(영문) 가이드에서 패싯에 적용 가능한 실행 모드 테이블을 볼 수 있습니다.

  • 이 가이드와 샘플 파일에서는 정책 기반 관리를 사용하여 KPI 및 KRI를 구현하는 방법을 설명하고 감사 구성과 암호화 구성의 유효성을 검사합니다.

  • Enterprise Policy Management Framework(영문)는 보고 솔루션으로, 정책에 정의된 바람직한 상태를 바탕으로 엔터프라이즈 상태를 보고합니다. EPM Framework는 엔터프라이즈에서 SQL Server 2008 Policy-Based Management를 SQL Server 2000 및 SQL Server 2005 등 모든 버전의 SQL Server로 확장합니다. 또한 정의된 의도, 원하는 구성 및 배포 표준을 정의하고 있는 정책에 따라 SQL Server의 특정 인스턴스 상태를 보고합니다.

관련 링크

추가 정보

 

유용한 스크립트 및 설명

“Reaching Compliance” 가이드는 규정준수 목표를 달성할 수 있도록 다음 스크립트와 설명을 제공합니다.

  • SQL Server에 대한 프로그래밍 인터페이스

  • 보안 설정 보증

  • 보안 설정 보증

  • 임무 분할 관리

  • 암호화 키 관리

  • 종단 간 중앙집중식 감사 프로젝트를 포함하여 감사 관리(보고서 포함)

  • 정책 기반 관리 정책의 관리

관련 링크

추가 리소스

관련 사이트

  • ⓒ 2009 Microsoft