1일차

1일차	Microsoft자격증과 SC-900 개요, 보안, 규정 준수 및 ID의 개념
2일차	Microsoft ID 및 액세스 관리 솔루션의 기능 설명
3일차	Microsoft 보안 솔루션의 기능1
4일차	Microsoft 보안 솔루션의 기능2
5일차	Microsoft 규정 준수 솔루션의 기능, SC-900 준비관련 Tip과 문제풀이

공동책임모델

워크로드가 호스트되는 위치에 따라 고객과 클라우드 공급자가 각기 수행해야하는 작업도 달라짐

• SaaS(Software as a Service)
• PaaS(Platform as a Service)
• IaaS(Infrastructure as a Service)
• 온-프레미스(온-프레미스 데이터센터)

심층 방어

물리적 보안 : 데이터 센터에 대한 액세스를 권한있는 직원으로만 제한

ID 및 액세스 보안 : 인프라와 변경 제어에 대한 액세스를 제어

경계 보안 : DDoS(서비스 거부) 보호를 사용하여 대규모 공격을 필터링한 후 사용자에게 중단을 일으킬 수 있음

네트워크 보안 : 구분 및 액세스 제어를 사용하여 리소스 간 통신을 생략

컴퓨팅 계층 보안 : 특정 포트를 닫아 가상 머신에 대한 액세스를 반복

애플리케이션 계층 보안 : 보안이 안전하고 보안 취약성이 없는 지 확인

데이터 계층 보안 : 비즈니스 및 고객 데이터에 대한 콘트롤 액세스 및 암호화를 사용하여 데이터를 보호

CIA(기밀성, 무경성, 가용성)

사이버 보안 전략의 목표

고객 정보와 같은 중요한 데이터를 보장하는 기밀성은 기밀로 유지

데이터 또는 메시지가 변조되지 않았는지 확인하는 무결성

가용성은 데이터를 필요한 사람이 사용할 수 있도록 만드는 것

제로 트러스트 모델

제로 트러스트 안내 원칙 : 명시적 확인, 최소 권한으로 액세스, 위반 가정

6가지 기본 핵심 요소

• ID는 사용자, 서비스, 디바이스 일 수 있음
• 디바이스는 데이터 전송 시 대규모 공격 표면이 생성
• 애플리케이션은 데이터가 소비되는 방식
• 데이터는 분류, 레이블 지정 및 암호화되어야 함
• 위협 벡터를 나타내는지 여부의 인프라
• 네트워크는 개별 요소 별로 구분해야함

암호화

권한이 없는 뷰어가 데이터를 읽을 수 없고 사용할 수 없게 만드는 프로세스

미사용 데이터 암호화, 전송 중인 데이터 암호화, 사용 중인 데이터 암호화

암호화의 두 가지 대표 유형 : 대칭(동일한 키를 사용하여 데이터를 암호화하고 암호 해독)/비대칭(공개키와 프라이빗키 쌍을 사용)

해시

알고리즘을 사용하여 원래 텍스트를 고유한 고정 길이 해시 값으로 변환

• 결정적(입력이 같으면 생성되는 출력도 같음) 방식으로 작동
• 관련 데이터의 고유 식별자
• 키를 사용하지 않으며, 해시된 값이 나중에 원래 값으로 다시 암호 해독되지 않는다는 점에서 암호화와는 다름
• 암호를 저장하는 데 사용, 암호는 무차별 암호 대입 사전 공격의 위험을 완화하기 위해 "솔트"됨

GRC(거버넌스, 규정 준수 및 위험 개념)

조직이 위험을 줄이고 규정 준수 효율성을 개선하는 데 도움

거버넌스 : 조직이 활동을 지시하고 제어하는 데 사용하는 규칙, 관행 및 프로세스

위험 관리 : 비즈니스 목표에 영향을 미칠 수 있는 위협 또는 이벤트를 식별, 평가 및 대응하는 프로세스

규정 준수 : 조직에서 따라야하는 국가/지역, 주 또는 연방 법률 또는 다중 국가 규정