이 문서에서는 Microsoft 클라우드 보안 벤치마크 v2(미리 보기)와 관련된 Azure Policy 기본 제공 정책 정의를 나열합니다. 벤치마크의 각 컨트롤은 하나 이상의 Azure Policy 정의에 매핑됩니다.
Azure Policy의 규격은 정책 정의 자체를 의미합니다. 이렇게 해서 컨트롤의 모든 요구 사항을 완전히 준수하는 것은 아닙니다. 규정 준수 표준에는 현재 Azure Policy 정의에서 처리되지 않는 컨트롤이 포함됩니다. 따라서 Azure Policy의 규정 준수는 전반적인 규정 준수 상태를 부분적으로 표시할 뿐입니다.
이 규정 준수 표준에 대한 컨트롤과 Azure Policy 정의 간의 연결은 시간이 지남에 따라 변경 될 수 있습니다.
AI-1: 승인된 모델 사용 확인
자세한 내용은 인공 지능 보안: AI-1: 승인된 모델 사용을 확인하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| [미리 보기]: Azure Machine Learning 배포는 승인된 레지스트리 모델만 사용해야 합니다. | 조직 내에서 사용되는 외부에서 만들어진 모델을 제어하기 위해 레지스트리 모델의 배포 제한 | 감사; 거절하다; 비활성화 | 1.0.0-preview |
| [미리 보기]: Azure Machine Learning 모델 레지스트리 배포는 허용된 레지스트리를 제외하고 제한됩니다. | 허용된 레지스트리에 레지스트리 모델만 배포하며 제한되지 않습니다. | n/a | 1.0.0-preview |
AM-2: 승인된 서비스만 사용
자세한 내용은 자산 관리: AM-2: 승인된 서비스만 사용하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Azure API Management 플랫폼 버전은 stv2여야 합니다. | Azure API Management stv1 컴퓨팅 플랫폼 버전은 2024년 8월 31일부터 사용 중지되며, 지속적인 지원을 위해 이러한 인스턴스를 stv2 컴퓨팅 플랫폼으로 마이그레이션해야 합니다. API Management stv1 플랫폼 사용 중지 - 글로벌 Azure 클라우드에서 자세히 알아보기(2024년 8월) | 감사; 거절하다; 비활성화 | 1.0.0 |
| 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 스토리지 계정에 새로운 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 Key Vault에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 스토리지 계정에 새로운 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 Key Vault에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
AM-3: 자산 수명 주기 관리의 보안 보장
자세한 내용은 자산 관리: AM-3: 자산 수명 주기 관리의 보안 보장을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| 사용하지 않는 API 엔드포인트는 사용하지 않도록 설정되고 Azure API Management 서비스에서 제거되어야 함 | 보안 모범 사례로 30일 동안 트래픽을 수신하지 않은 API 엔드포인트는 사용되지 않는 것으로 간주되며 Azure API Management 서비스에서 제거되어야 합니다. 사용하지 않는 API 엔드포인트를 유지하면 조직에 보안 위험이 발생할 수 있습니다. 이러한 API는 Azure API Management 서비스에서 더 이상 사용되지 않지만 실수로 활성 상태로 남아 있는 API일 수 있습니다. 이러한 API는 일반적으로 최신 보안 적용 범위를 받지 않습니다. | AuditIfNotExists; 비활성화 | 1.0.1 |
BR-1: 자동화된 정기 백업 보장
자세한 내용은 백업 및 복구: BR-1: 정기적으로 자동화된 백업을 확인하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 Azure Virtual Machines의 보호를 보장합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
| Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MariaDB를 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사; 비활성화 | 1.0.1 |
| Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MySQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사; 비활성화 | 1.0.1 |
| Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사; 비활성화 | 1.0.1 |
BR-2: 백업 및 복구 데이터 보호
자세한 내용은 백업 및 복구: BR-2: 백업 및 복구 데이터 보호를 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 Azure Virtual Machines의 보호를 보장합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
| Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MariaDB를 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사; 비활성화 | 1.0.1 |
| Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MySQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사; 비활성화 | 1.0.1 |
| Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사; 비활성화 | 1.0.1 |
| [미리 보기]: Recovery Services 자격 증명 모음에 대해 불변성을 사용하도록 설정해야 함 | 이 정책은 범위의 Recovery Services 자격 증명 모음에 대해 변경할 수 없는 자격 증명 모음 속성이 사용하도록 설정되어 있는지 감사합니다. 이는 예정된 만료 전에 백업 데이터가 삭제되지 않도록 보호하는 데 도움이 됩니다. Azure Backup의 변경할 수 없는 자격 증명 모음 개념에 대해 자세히 알아보세요. | 감사; 비활성화 | 1.0.1-preview |
| [미리 보기]: 백업 자격 증명 모음에 대해 불변성을 사용하도록 설정해야 합니다. | 이 정책은 범위의 Backup 자격 증명 모음에 대해 변경할 수 없는 자격 증명 모음 속성이 사용하도록 설정되어 있는지 감사합니다. 이는 예정된 만료 전에 백업 데이터가 삭제되지 않도록 보호하는 데 도움이 됩니다. Azure Backup의 변경할 수 없는 자격 증명 모음 개념에 대해 자세히 알아보세요. | 감사; 비활성화 | 1.0.1-preview |
| [미리 보기]: Backup 자격 증명 모음에 대해 일시 삭제를 사용하도록 설정해야 합니다. | 이 정책은 범위의 Backup 자격 증명 모음에 대해 일시 삭제가 사용되는지 감사합니다. 일시 삭제는 삭제된 후 데이터를 복구하는 데 도움이 될 수 있습니다. Azure Backup에 대한 향상된 일시 삭제 개요에서 자세히 알아보기 | 감사; 비활성화 | 1.0.0-preview |
DP-1: 중요한 데이터 검색
자세한 내용은 데이터 보호: DP-1: 중요한 데이터 검색을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| API용 Microsoft Defender를 사용하도록 설정해야 함 | API용 Microsoft Defender는 일반적인 API 기반 공격 및 보안 구성 오류를 모니터링하기 위해 새로운 검색, 보호, 탐지 및 응답 범위를 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
DP-2: 중요한 데이터를 대상으로 하는 변칙 및 위협 모니터링
자세한 내용은 데이터 보호: DP-2: 중요한 데이터를 대상으로 하는 변칙 및 위협 모니터링을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| 머신에서 SQL 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| 보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| 오픈 소스 관계형 데이터베이스용 Azure Defender를 사용하도록 설정해야 함 | 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. Open-Source 관계형 데이터베이스용 Defender 개요에서 오픈 소스 관계 형 데이터베이스용 Azure Defender의 기능에 대해 자세히 알아봅니다. 중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. Security Center의 가격 책정 페이지에서 가격 책정에 대해 알아보기: 가격 책정 - 클라우드용 Microsoft Defender | AuditIfNotExists; 비활성화 | 1.0.0 |
| API용 Microsoft Defender를 사용하도록 설정해야 함 | API용 Microsoft Defender는 일반적인 API 기반 공격 및 보안 구성 오류를 모니터링하기 위해 새로운 검색, 보호, 탐지 및 응답 범위를 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| 스토리지용 Microsoft Defender를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위와 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
DP-3: 전송 중인 중요한 데이터 암호화
자세한 내용은 데이터 보호: DP-3: 전송 중인 중요한 데이터 암호화를 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| API Management API는 암호화된 프로토콜만 사용해야 함 | 전송 중인 데이터의 보안을 보장하려면 HTTPS 또는 WSS와 같은 암호화된 프로토콜을 통해서만 API를 사용할 수 있어야 합니다. HTTP 또는 WS와 같은 보안되지 않은 프로토콜을 사용하지 마세요. | 감사; 비활성화; 거절하다 | 2.0.2 |
| App Service Environment는 가장 강력한 TLS 암호 그룹을 사용하여 구성해야 함 | App Service Environment가 올바르게 작동하기 위해 필요한 가장 강력하고 가장 최소한의 암호 제품군은 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 및 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256입니다. | 감사; 비활성화 | 1.0.0 |
| App Service Environment이 TLS 1.0 및 1.1을 사용하지 않도록 설정되어 있어야 함 | TLS 1.0 및 1.1은 최신 암호화 알고리즘을 지원하지 않는 오래된 프로토콜입니다. 인바운드 TLS 1.0 및 1.1 트래픽을 사용하지 않도록 설정하면 App Service Environment에서 앱을 보호하는 데 도움이 됩니다. | 감사; 거절하다; 비활성화 | 2.0.1 |
| App Service Environment에서 내부 암호화가 사용되어야 함 | InternalEncryption을 true로 설정하면 App Service Environment의 프런트 엔드와 작업자 간의 페이지 파일, 작업자 디스크 및 내부 네트워크 트래픽이 암호화됩니다. 자세한 내용은 App Service Environment에 대한 사용자 지정 구성 설정을 참조하세요. | 감사; 비활성화 | 1.0.1 |
| App Service 앱 슬롯은 종단 간 암호화를 사용하도록 설정해야 합니다. | 엔드투엔드 암호화를 사용하도록 설정하면 App Service 프런트 엔드와 애플리케이션 워크로드를 실행하는 작업자 간의 프런트 엔드 클러스터 내 트래픽이 암호화됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| App Service 앱 슬롯은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists; 비활성화 | 1.2.0 |
| App Service 앱은 종단 간 암호화를 사용하도록 설정해야 합니다. | 엔드투엔드 암호화를 사용하도록 설정하면 App Service 프런트 엔드와 애플리케이션 워크로드를 실행하는 작업자 간의 프런트 엔드 클러스터 내 트래픽이 암호화됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사; 비활성화; 거절하다 | 4.0.0 |
| App Service 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
| App Service 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists; 비활성화 | 2.2.0 |
| Azure Batch 풀에서 디스크 암호화를 사용하도록 설정해야 함 | Azure Batch 디스크 암호화를 사용하도록 설정하면 Azure Batch 컴퓨팅 노드에서 미사용 데이터가 항상 암호화됩니다. 디스크 암호화를 사용하도록 설정된 풀 만들기에서 Batch의 디스크 암호화에 대해 자세히 알아봅니다. | 감사; 비활성화; 거절하다 | 1.0.0 |
| Azure Front Door 표준 및 프리미엄은 최소 TLS 버전 1.2를 실행해야 합니다. | 최소 TLS 버전을 1.2로 설정하면 TLS 1.2 이상 버전을 사용하여 클라이언트에서 사용자 지정 도메인에 액세스하도록 하여 보안을 향상시킵니다. TLS가 약하고 최신 암호화 알고리즘을 지원하지 않으므로 1.2 미만의 TLS 버전을 사용하는 것은 권장되지 않습니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure HDInsight 클러스터는 전송 중 암호화를 사용하여 Azure HDInsight 클러스터 노드 간의 통신을 암호화해야 합니다. | Azure HDInsight 클러스터 노드 간에 전송하는 동안 데이터가 변조될 수 있습니다. 전송 중에 암호화를 사용하도록 설정하면 이 전송 중에 오용 및 변조 문제가 해결됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure SQL Database는 TLS 버전 1.2 이상을 실행해야 합니다. | TLS 버전을 1.2 이상으로 설정하면 TLS 1.2 이상을 사용하는 클라이언트에서만 Azure SQL Database에 액세스할 수 있으므로 보안이 향상됩니다. 1.2 미만의 TLS 버전은 보안 취약성이 잘 문서화되었기 때문에 사용하지 않는 것이 좋습니다. | 감사; 비활성화; 거절하다 | 2.0.0 |
| Bot Service 엔드포인트는 유효한 HTTPS URI여야 합니다. | 전송 중에 데이터가 변조될 수 있습니다. 오용 및 변조 문제를 해결하기 위해 암호화를 제공하는 프로토콜이 존재합니다. 봇이 암호화된 채널을 통해서만 통신하도록 하려면 엔드포인트를 유효한 HTTPS URI로 설정합니다. 이렇게 하면 HTTPS 프로토콜이 전송 중인 데이터를 암호화하는 데 사용되며 종종 규정 또는 업계 표준을 준수하기 위한 요구 사항이기도 합니다. 다음을 방문하세요. Bot Framework 보안 지침. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 1.1.0 |
| MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | MySQL용 Azure Database는 SSL(Secure Sockets Layer)을 사용한 MySQL용 Azure Database 서버와 클라이언트 애플리케이션 간 연결을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사; 비활성화 | 1.0.1 |
| PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결하는 것을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사; 비활성화 | 1.0.1 |
| 함수 앱 슬롯은 종단 간 암호화를 사용하도록 설정해야 합니다. | 엔드투엔드 암호화를 사용하도록 설정하면 App Service 프런트 엔드와 애플리케이션 워크로드를 실행하는 작업자 간의 프런트 엔드 클러스터 내 트래픽이 암호화됩니다. | 감사; 거절하다; 비활성화 | 1.1.0 |
| 함수 앱 슬롯은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists; 비활성화 | 1.3.0 |
| 함수 앱은 종단 간 암호화를 사용하도록 설정해야 합니다. | 엔드투엔드 암호화를 사용하도록 설정하면 App Service 프런트 엔드와 애플리케이션 워크로드를 실행하는 작업자 간의 프런트 엔드 클러스터 내 트래픽이 암호화됩니다. | 감사; 거절하다; 비활성화 | 1.1.0 |
| 함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사; 비활성화; 거절하다 | 5.1.0 |
| 함수 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists; 비활성화 | 3.1.0 |
| 함수 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists; 비활성화 | 2.3.0 |
| Kubernetes 클러스터는 HTTPS를 통해서만 액세스할 수 있어야 합니다. | HTTPS를 사용하여 인증을 보장하고, 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. 이 기능은 현재 AKS(Kubernetes Service)에 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 Kubernetes 클러스터에 대한 Azure Policy 이해 | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 8.2.0 |
| Azure Cache for Redis에 대한 보안 연결만 사용하도록 설정해야 합니다. | SSL을 통해 설정된 Azure Cache for Redis 연결만 감사 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| PostgreSQL 유연한 서버는 TLS 버전 1.2 이상을 실행해야 합니다. | 이 정책은 TLS 버전이 1.2 미만인 환경에서 실행되는 PostgreSQL 유연한 서버를 감사하는 데 도움이 됩니다. | AuditIfNotExists; 비활성화 | 1.1.0 |
| SQL Managed Instance에는 최소 TLS 버전 1.2가 있어야 합니다. | 최소 TLS 버전을 1.2로 설정하면 TLS 1.2를 사용하는 클라이언트에서만 SQL Managed Instance에 액세스할 수 있도록 하여 보안을 향상시킵니다. 1.2 미만의 TLS 버전은 보안 취약성이 잘 문서화되었기 때문에 사용하지 않는 것이 좋습니다. | 감사; 비활성화 | 1.0.1 |
| 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사; 거절하다; 비활성화 | 2.0.0 |
| 스토리지 계정에는 지정된 최소 TLS 버전이 있어야 함 | 클라이언트 애플리케이션과 스토리지 계정 간의 보안 통신을 위해 최소 TLS 버전을 구성합니다. 보안 위험을 최소화하기 위해 권장되는 최소 TLS 버전은 현재 TLS 1.2인 최신 릴리스 버전입니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Windows 머신은 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 컴퓨터에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. | AuditIfNotExists; 비활성화 | 4.1.1 |
| [미리 보기]: 호스트 및 VM 네트워킹은 Azure Stack HCI 시스템에서 보호되어야 합니다. | Azure Stack HCI 호스트 네트워크 및 가상 머신 네트워크 연결의 데이터를 보호합니다. | 감사; 비활성화; AuditIfNotExists | 1.0.0-preview |
DP-4: 기본적으로 미사용 데이터 암호화 사용하도록 설정
자세한 내용은 데이터 보호: DP-4: 기본적으로 미사용 데이터 암호화를 사용하도록 설정합니다.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| MySQL 서버에 대해 Microsoft Entra 관리자를 프로비전해야 합니다. | Microsoft Entra 인증을 사용하도록 설정하기 위해 MySQL 서버에 대한 Microsoft Entra 관리자 프로비전을 감사합니다. Microsoft Entra 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists; 비활성화 | 1.1.1 |
| Automation 계정 변수를 암호화해야 함 | 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. | 감사; 거절하다; 비활성화 | 1.1.0 |
| Azure Data Box 작업은 디바이스의 미사용 데이터에 이중 암호화를 사용하도록 설정해야 합니다. | 디바이스의 미사용 데이터에 대해 소프트웨어 기반 암호화의 두 번째 계층을 사용하도록 설정합니다. 디바이스는 미사용 데이터에 대한 고급 암호화 표준 256비트 암호화를 통해 이미 보호되고 있습니다. 이 옵션은 데이터 암호화의 두 번째 계층을 추가합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Edge 하드웨어 센터 디바이스는 이중 암호화 지원을 사용하도록 설정해야 합니다. | Azure Edge 하드웨어 센터에서 주문한 디바이스가 이중 암호화 지원을 사용하도록 설정되어 있는지 확인하여 디바이스의 미사용 데이터를 보호합니다. 이 옵션은 데이터 암호화의 두 번째 계층을 추가합니다. | 감사; 거절하다; 비활성화 | 2.0.0 |
| Azure HDInsight 클러스터는 호스트에서 암호화를 사용하여 미사용 데이터를 암호화해야 합니다. | 호스트에서 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정을 충족하기 위해 데이터를 보호하고 보호할 수 있습니다. 호스트에서 암호화를 사용하도록 설정하면 VM 호스트에 저장된 데이터는 미사용 및 스토리지 서비스로 암호화된 흐름으로 암호화됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Monitor 로그 클러스터는 인프라 암호화를 사용하도록 설정한 상태에서 만들어야 함(이중 암호화) | 보안 데이터 암호화가 서비스 수준 및 인프라 수준에서 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 통해 사용하도록 설정하려면 Azure Monitor 전용 클러스터를 사용합니다. 이 옵션은 지역에서 지원되는 경우 기본적으로 사용하도록 설정됩니다. Azure Monitor 고객 관리형 키를 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 1.1.0 |
| Azure MySQL 유연한 서버에는 Microsoft Entra 전용 인증이 사용하도록 설정되어 있어야 합니다. | 로컬 인증 방법을 사용하지 않도록 설정하고 Microsoft Entra 인증만 허용하면 Microsoft Entra ID를 통해서만 Azure MySQL 유연한 서버에 액세스할 수 있으므로 보안이 개선됩니다. | AuditIfNotExists; 비활성화 | 1.0.1 |
| Azure NetApp Files SMB 볼륨은 SMB3 암호화를 사용해야 합니다. | 데이터 무결성 및 데이터 개인 정보를 보장하기 위해 SMB3 암호화 없이 SMB 볼륨을 만들 수 없습니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| NFSv4.1 형식의 Azure NetApp Files 볼륨은 Kerberos 데이터 암호화를 사용해야 합니다. | Kerberos 개인 정보 보호(5p) 보안 모드를 사용하여 데이터가 암호화되도록 허용합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Stack Edge 디바이스는 이중 암호화를 사용해야 합니다. | 디바이스에서 미사용 데이터를 보호하려면 이중 암호화되고, 데이터에 대한 액세스가 제어되며, 디바이스가 비활성화되면 데이터 디스크에서 데이터가 안전하게 지워집니다. 이중 암호화는 데이터 볼륨에서 BitLocker XTS-AES 256비트 암호화와 하드 드라이브의 기본 제공 암호화라는 두 가지 암호화 계층을 사용합니다. 특정 Stack Edge 디바이스에 대한 보안 개요 설명서에서 자세히 알아봅니다. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 1.1.0 |
| Azure Data Explorer에서 디스크 암호화를 사용하도록 설정해야 함 | 디스크 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호하고 보호할 수 있습니다. | 감사; 거절하다; 비활성화 | 2.0.0 |
| Azure Data Explorer에서 이중 암호화를 사용하도록 설정해야 함 | 이중 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 이중 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 사용하여 두 번 암호화됩니다(서비스 수준에서 한 번, 인프라 수준에서 한 번). | 감사; 거절하다; 비활성화 | 2.0.0 |
| 이벤트 허브 네임스페이스는 이중 암호화를 사용하도록 설정해야 합니다. | 이중 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 이중 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 사용하여 두 번 암호화됩니다(서비스 수준에서 한 번, 인프라 수준에서 한 번). | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Database for MySQL 서버에 대해 인프라 암호화를 사용하도록 설정해야 합니다. | Azure Database for MySQL 서버에 대한 인프라 암호화를 사용하도록 설정하여 데이터가 안전하다는 더 높은 수준의 보증을 제공합니다. 인프라 암호화를 사용하도록 설정하면 미사용 데이터는 FIPS 140-2 호환 Microsoft 관리 키를 사용하여 두 번 암호화됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Database for PostgreSQL 서버에 대해 인프라 암호화를 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL 서버에 대한 인프라 암호화를 사용하도록 설정하여 데이터가 안전하다는 높은 수준의 보증을 제공합니다. 인프라 암호화를 사용하도록 설정하면 FIPS 140-2 호환 Microsoft 관리 키를 사용하여 미사용 데이터가 두 번 암호화됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Linux 가상 머신은 Azure Disk Encryption 또는 EncryptionAtHost를 활성화해야 함 | 가상 머신의 OS 및 데이터 디스크는 기본적으로 플랫폼 관리형 키를 사용하여 저장 시 암호화됩니다. 리소스 디스크(임시 디스크), 데이터 캐시, 컴퓨팅 리소스와 스토리지 리소스 사이의 데이터 흐름은 암호화되지 않습니다. Azure Disk Encryption 또는 EncryptionAtHost를 사용하여 문제를 수정합니다. 관리 디스크 암호화 옵션 개요를 방문하여 암호화 제품을 비교합니다. 이 정책을 사용하려면 정책 할당 범위에 두 가지 필수 구성 요소를 배포해야 합니다. 자세한 내용은 Azure Machine Configuration을 참조하세요. | AuditIfNotExists; 비활성화 | 1.2.1 |
| 관리 디스크는 플랫폼 관리형 및 고객 관리형 키를 둘 다 사용하여 이중 암호화해야 함 | 특정 암호화 알고리즘, 구현 또는 손상되는 키와 연결된 위험에 관해 우려하는 높은 수준의 보안을 중요시하는 고객은 플랫폼 관리형 암호화 키를 사용하는 인프라 계층에서 다른 암호화 알고리즘/모드를 사용하는 추가적인 암호화 계층을 선택할 수 있습니다. 이중 암호화를 사용하려면 디스크 암호화 집합이 필요합니다. Azure 관리 디스크의 서버 쪽 암호화에 대해 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Service Bus 네임스페이스는 이중 암호화를 사용하도록 설정해야 합니다. | 이중 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 이중 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 사용하여 두 번 암호화됩니다(서비스 수준에서 한 번, 인프라 수준에서 한 번). | 감사; 거절하다; 비활성화 | 1.0.0 |
| Service Fabric 클러스터는 ClusterProtectionLevel 속성을 EncryptAndSign으로 설정해야 함 | Service Fabric은 기본 클러스터 인증서를 사용하여 노드 간 통신을 위한 3단계 보호(None, Sign 및 EncryptAndSign)를 제공합니다. 모든 노드 간 메시지가 암호화되고 디지털로 서명될 수 있게 보호 수준을 설정합니다. | 감사; 거절하다; 비활성화 | 1.1.0 |
| 스토리지 계정에는 인프라 암호화가 있어야 함 | 데이터의 보안 수준을 높이기 위한 인프라 암호화를 사용하도록 설정합니다. 인프라 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 번 암호화됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Kubernetes Service 클러스터의 에이전트 노드 풀에 대한 임시 디스크 및 캐시는 호스트에서 암호화되어야 함 | 데이터 보안을 강화하려면 Azure Kubernetes Service 노드 VM의 VM(가상 머신) 호스트에 저장된 데이터는 미사용 시 암호화해야 합니다. 이는 다양한 규정 및 업계 규정 준수 표준의 공통 요구 사항입니다. | 감사; 거절하다; 비활성화 | 1.0.1 |
| Arc SQL 관리형 인스턴스에 대해 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | Azure Arc 지원 SQL Managed Instance에서 미사용 TDE(투명한 데이터 암호화)를 사용하도록 설정합니다. Azure Arc에서 사용하도록 설정된 SQL Managed Instance에서 투명 데이터 암호화를 사용하여 데이터베이스 암호화에 대해 자세히 알아봅니다. | 감사; 비활성화 | 1.0.0 |
| SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | 저장 데이터를 보호하고 규정 준수 요구 사항을 충족하려면 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | AuditIfNotExists; 비활성화 | 2.0.0 |
| 가상 머신 및 가상 머신 확장 집합에서는 호스트에서 암호화를 사용하도록 설정해야 함 | 호스트에서 암호화를 사용하여 가상 머신 및 가상 머신 확장 집합 데이터에 대한 엔드투엔트 암호화를 가져옵니다. 호스트에서 암호화를 사용하면 임시 디스크 및 OS/데이터 디스크 캐시에 대해 미사용 데이터를 암호화할 수 있습니다. 임시 및 사용 후 삭제 OS 디스크는 호스트에서 암호화가 활성화될 때 플랫폼 관리형 키로 암호화됩니다. OS/데이터 디스크 캐시는 디스크에서 선택한 암호화 유형에 따라 고객 관리형 키 또는 플랫폼 관리형 키를 사용하여 미사용 데이터를 암호화합니다. 호스트에서 암호화를 사용하여 엔드 투 엔드 암호화를 사용하도록 설정에서 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Windows 가상 머신은 Azure Disk Encryption 또는 EncryptionAtHost를 활성화해야 함 | 가상 머신의 OS 및 데이터 디스크는 기본적으로 플랫폼 관리형 키를 사용하여 저장 시 암호화됩니다. 리소스 디스크(임시 디스크), 데이터 캐시, 컴퓨팅 리소스와 스토리지 리소스 사이의 데이터 흐름은 암호화되지 않습니다. Azure Disk Encryption 또는 EncryptionAtHost를 사용하여 문제를 수정합니다. 관리 디스크 암호화 옵션 개요를 방문하여 암호화 제품을 비교합니다. 이 정책을 사용하려면 정책 할당 범위에 두 가지 필수 구성 요소를 배포해야 합니다. 자세한 내용은 Azure Machine Configuration을 참조하세요. | AuditIfNotExists; 비활성화 | 1.1.1 |
DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용
자세한 내용은 데이터 보호: DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Azure AI 서비스 리소스는 CMK(고객 관리형 키)를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 미사용 데이터를 암호화하면 회전 및 관리를 비롯한 주요 수명 주기를 더욱 세세하게 제어할 수 있습니다. 이는 관련 규정 준수 요구 사항이 있는 조직과 특히 관련이 있습니다. 기본적으로 평가되지 않으며 규정 준수 또는 제한적인 정책 요구 사항에 따라 필요한 경우에만 적용해야 합니다. 사용하도록 설정하지 않으면 플랫폼 관리형 키를 사용하여 데이터가 암호화됩니다. 이를 구현하려면 해당 범위에 대한 보안 정책에서 ‘Effect’ 매개 변수를 업데이트합니다. | 감사; 거절하다; 비활성화 | 2.2.0 |
| Azure API for FHIR은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 규정 또는 규정 준수 요구 사항인 경우 Azure API for FHIR에 저장된 데이터의 나머지 부분의 암호화를 제어합니다. 또한 고객 관리형 키는 서비스 관리형 키로 수행되는 기본 계층 위에 두 번째 암호화 계층을 추가하여 이중 암호화를 제공합니다. | 감사; 감사; 비활성화; 비활성화 | 1.1.0 |
| Azure Automation 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Automation 계정의 나머지 부분에 있는 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. Azure Automation의 보안 자산 암호화에 대해 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Batch 계정은 고객 관리형 키를 사용하여 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Batch 계정의 나머지 데이터에서 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. Batch 계정 데이터 암호화에 대해 자세히 알아보세요. | 감사; 거절하다; 비활성화 | 1.0.1 |
| Azure Cache for Redis Enterprise는 디스크 데이터를 암호화하기 위해 고객 관리형 키를 사용해야 합니다. | CMK(고객 관리형 키)를 사용하여 나머지 디스크 데이터에서 암호화를 관리합니다. 기본적으로 고객 데이터는 PMK(플랫폼 관리형 키)로 암호화되지만 일반적으로 고객 관리형 키는 규정 준수 표준을 충족해야 합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. Azure Cache for Redis에서 디스크 암호화 구성에 대해 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Container Instance 컨테이너 그룹은 암호화에 고객 관리형 키를 사용해야 합니다. | 고객 관리형 키를 사용하여 보다 유연하게 컨테이너를 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사; 비활성화; 거절하다 | 1.0.0 |
| Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Cosmos DB의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. Customer-Managed 키 구성에 대해 자세히 알아보세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 1.1.0 |
| Azure Data Box 작업은 고객 관리형 키를 사용하여 디바이스 잠금 해제 암호를 암호화해야 합니다. | 고객 관리형 키를 사용하여 Azure Data Box에 대한 디바이스 잠금 해제 암호의 암호화를 제어합니다. 또한 고객 관리형 키는 디바이스를 준비하고 데이터를 자동화된 방식으로 복사하기 위해 Data Box 서비스에서 디바이스 잠금 해제 암호에 대한 액세스를 관리하는 데 도움이 됩니다. 디바이스 자체의 데이터는 고급 암호화 표준 256비트 암호화를 사용하여 미사용 시 이미 암호화되어 있으며, 디바이스 잠금 해제 암호는 기본적으로 Microsoft 관리형 키로 암호화됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| 미사용 Azure Data Explorer 암호화는 고객 관리형 키를 사용해야 합니다. | Azure Data Explorer 클러스터에서 고객 관리형 키를 사용하여 미사용 데이터 암호화를 사용하도록 설정하면 미사용 암호화에서 사용되는 키를 추가로 제어할 수 있습니다. 이 기능은 특별한 규정 준수 요구 사항이 있는 고객에게 적용되는 경우가 많으며 키를 관리하려면 Key Vault가 필요합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Databricks 작업 영역은 프라이빗 링크, 암호화를 위한 고객 관리형 키와 같은 기능을 지원하는 프리미엄 SKU여야 합니다. | 조직이 암호화를 위해 고객 관리형 키인 Private Link와 같은 기능을 지원하기 위해 배포할 수 있는 프리미엄 Sku에서 Databricks 작업 영역만 허용합니다. 자세한 정보: Azure Databricks에 대한 백 엔드 프라이빗 연결 구성 | 감사; 거절하다; 비활성화 | 1.0.1 |
| Azure Device Update 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 Azure Device Update에서 미사용 데이터를 암호화하면 기본 서비스 관리형 키 위에 두 번째 암호화 계층이 추가되고, 키에 대한 고객 제어, 사용자 지정 회전 정책 및 키 액세스 제어를 통해 데이터에 대한 액세스를 관리할 수 있습니다. 자세한 내용은 IoT Hub용 디바이스 업데이트에 대한 데이터 암호화입니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure HDInsight 클러스터는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 나머지 Azure HDInsight 클러스터에서 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. 미사용 데이터에 대한 이중 암호화에 대해 자세히 알아보세요. | 감사; 거절하다; 비활성화 | 1.0.1 |
| Azure Health Bots는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | CMK(고객 관리형 키)를 사용하여 Healthbot의 나머지 데이터에서 암호화를 관리합니다. 기본적으로 데이터는 서비스 관리형 키를 사용하여 미사용 시 암호화되지만 CMK는 일반적으로 규정 준수 표준을 충족해야 합니다. CMK를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. 의료 에이전트 서비스에서 데이터 암호화를 위한 고객 관리형 키 구성에서 자세히 알아보기 | 감사; 비활성화 | 1.0.0 |
| Azure Machine Learning 작업 영역은 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Machine Learning 작업 영역의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. Azure Resource Manager 템플릿을 사용하여 작업 영역 만들기에 대해 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 1.1.0 |
| Azure Machine Learning 작업 영역은 고객 관리형 키를 사용하여 암호화해야 합니다. | 고객 관리형 키를 사용하여 Azure Machine Learning 작업 영역의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. Azure Resource Manager 템플릿을 사용하여 작업 영역 만들기에 대해 자세히 알아봅니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure Monitor 로그 클러스터는 고객 관리형 키로 암호화해야 함 | 고객 관리형 키 암호화를 사용하여 Azure Monitor 로그 클러스터를 만듭니다. 기본적으로 로그 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수를 충족하려면 고객 관리형 키가 필요합니다. Azure Monitor의 고객 관리형 키를 사용하면 데이터에 대한 액세스를 더 자세히 제어할 수 있습니다. Azure Monitor에서 고객 관리형 키 구성을 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 1.1.0 |
| Azure Stream Analytics 작업은 고객 관리형 키를 사용하여 데이터를 암호화해야 함 | Stream Analytics 작업의 메타데이터 및 프라이빗 데이터 자산을 스토리지 계정에 안전하게 저장하려는 경우 고객 관리형 키를 사용합니다. 이렇게 하면 Stream Analytics 데이터가 암호화되는 방법을 완전히 제어할 수 있습니다. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 1.1.0 |
| Azure Synapse 작업 영역은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Synapse 작업 영역에 저장된 데이터의 나머지 부분에 있는 암호화를 제어합니다. 고객 관리형 키는 서비스 관리형 키를 사용하여 기본 암호화 위에 두 번째 암호화 계층을 추가하여 이중 암호화를 제공합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure 데이터 팩터리를 고객 관리형 키로 암호화해야 합니다. | 고객 관리형 키를 사용하여 Azure Data Factory의 나머지 부분에 있는 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. 고객 관리형 키를 사용하여 Azure Data Factory 암호화에 대해 자세히 알아보세요. | 감사; 거절하다; 비활성화 | 1.0.1 |
| Azure 부하 테스트 리소스는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | CMK(고객 관리형 키)를 사용하여 Azure Load Testing 리소스에 대한 미사용 암호화를 관리합니다. 기본적으로 encryptio는 서비스 관리 키를 사용하여 수행되며, 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. Azure Key Vault를 사용하여 Azure Load Testing에 대한 고객 관리형 키 구성에 대해 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Bot Service는 고객 관리형 키로 암호화해야 합니다. | Azure Bot Service는 자동으로 리소스를 암호화하여 데이터를 보호하고 조직의 보안 및 규정 준수 약정을 충족합니다. 기본적으로 Microsoft 관리형 암호화 키가 사용됩니다. 키를 관리하거나 구독에 대한 액세스를 제어하는 유연성을 높이기 위해 BYOK(Bring Your Own Key)라고도 하는 고객 관리형 키를 선택합니다. Azure Bot Service 암호화: 미사용 데이터에 대한 Azure AI Bot Service 암호화에 대해 자세히 알아봅니다. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 1.1.0 |
| Azure Kubernetes Service 클러스터의 운영 체제와 데이터 디스크를 모두 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 OS 및 데이터 디스크를 암호화하면 키 관리를 더 효율적으로 제어하고 더 유연하게 수행할 수 있습니다. 이는 다양한 규정 및 업계 규정 준수 표준의 공통 요구 사항입니다. | 감사; 거절하다; 비활성화 | 1.0.1 |
| 컨테이너 레지스트리는 고객 관리형 키를 사용하여 암호화해야 함 | 고객 관리형 키를 사용하여 레지스트리 콘텐츠의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. Azure Container Registry의Customer-Managed 키에 대해 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 1.1.2 |
| 고객 관리형 키 암호화는 Arc SQL 관리형 인스턴스에 대한 CMK 암호화의 일부로 사용해야 합니다. | CMK 암호화의 일부로 고객 관리형 키 암호화를 사용해야 합니다. Azure Arc에서 사용하도록 설정된 SQL Managed Instance에서 투명 데이터 암호화를 사용하여 데이터베이스 암호화에 대해 자세히 알아봅니다. | 감사; 비활성화 | 1.0.0 |
| DICOM 서비스는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 규정 또는 규정 준수 요구 사항인 경우 Azure Health Data Services DICOM Service에 저장된 데이터의 나머지 부분에 있는 암호화를 제어합니다. 또한 고객 관리형 키는 서비스 관리형 키로 수행되는 기본 계층 위에 두 번째 암호화 계층을 추가하여 이중 암호화를 제공합니다. | 감사; 비활성화 | 1.0.0 |
| ElasticSan 볼륨 그룹은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 VolumeGroup의 나머지 부분에 있는 암호화를 관리합니다. 기본적으로 고객 데이터는 플랫폼 관리형 키로 암호화되지만 CMK는 일반적으로 규정 준수 표준을 충족해야 합니다. 고객 관리형 키를 사용하면 회전 및 관리를 비롯한 모든 권한과 책임으로 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. | 감사; 비활성화 | 1.0.0 |
| Event Hub 네임스페이스는 암호화에 고객 관리형 키를 사용해야 함 | Azure Event Hubs는 Microsoft 관리형 키(기본값) 또는 고객 관리형 키를 사용하여 미사용 데이터를 암호화하는 옵션을 지원합니다. 고객 관리형 키를 사용하여 데이터를 암호화하도록 선택하면 Event Hub가 네임스페이스의 데이터를 암호화하는 데 사용할 키에 대한 액세스 권한을 할당, 회전, 비활성화 및 취소할 수 있습니다. Event Hub는 전용 클러스터의 네임스페이스에 대해 고객 관리형 키를 사용한 암호화만 지원합니다. | 감사; 비활성화 | 1.0.0 |
| FHIR 서비스는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 규정 또는 규정 준수 요구 사항인 경우 Azure Health Data Services FHIR Service에 저장된 데이터의 나머지 부분에 있는 암호화를 제어합니다. 또한 고객 관리형 키는 서비스 관리형 키로 수행되는 기본 계층 위에 두 번째 암호화 계층을 추가하여 이중 암호화를 제공합니다. | 감사; 비활성화 | 1.0.0 |
| Fluid Relay는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 Fluid Relay 서버의 나머지 부분에 있는 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만 CMK는 일반적으로 규정 준수 표준을 충족해야 합니다. 고객 관리형 키를 사용하면 회전 및 관리를 비롯한 모든 권한과 책임으로 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. Azure Fluid Relay 암호화에 대한 고객 관리형 키에 대해 자세히 알아봅니다. | 감사; 비활성화 | 1.0.0 |
| HPC Cache 계정은 암호화에 고객 관리형 키를 사용해야 함 | 고객 관리형 키를 사용하여 Azure HPC Cache의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. | 감사; 비활성화; 거절하다 | 2.0.0 |
| Logic Apps 통합 서비스 환경은 고객 관리형 키로 암호화되어야 함 | Integration Service Environment에 배포하여 고객 관리형 키를 사용하여 나머지 Logic Apps 데이터의 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| 관리 디스크는 플랫폼 관리형 및 고객 관리형 키를 둘 다 사용하여 이중 암호화해야 함 | 특정 암호화 알고리즘, 구현 또는 손상되는 키와 연결된 위험에 관해 우려하는 높은 수준의 보안을 중요시하는 고객은 플랫폼 관리형 암호화 키를 사용하는 인프라 계층에서 다른 암호화 알고리즘/모드를 사용하는 추가적인 암호화 계층을 선택할 수 있습니다. 이중 암호화를 사용하려면 디스크 암호화 집합이 필요합니다. Azure 관리 디스크의 서버 쪽 암호화에 대해 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| 관리 디스크는 고객 관리형 키 암호화에 대해 디스크 암호화 집합의 특정 세트를 사용해야 함 | 특정 디스크 암호화 집합 세트를 관리 디스크와 함께 사용하도록 설정하면 미사용 암호화에 사용되는 키를 제어할 수 있습니다. 허용되는 암호화된 집합을 선택할 수 있으며 다른 모든 항목은 디스크에 연결될 때 거부됩니다. Azure 관리 디스크의 서버 쪽 암호화에 대해 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 2.0.0 |
| MySQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 MySQL 서버의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. | AuditIfNotExists; 비활성화 | 1.0.4 |
| OS 및 데이터 디스크는 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 관리 디스크 콘텐츠의 미사용 데이터 암호화를 관리합니다. 기본적으로 미사용 데이터는 플랫폼 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. Azure 관리 디스크의 서버 쪽 암호화에 대해 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 3.0.0 |
| PostgreSQL 유연한 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 나머지 PostgreSQL 유연한 서버에서 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. | 감사; 거절하다; 비활성화 | 1.1.0 |
| PostgreSQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 PostgreSQL 서버의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. | AuditIfNotExists; 비활성화 | 1.0.4 |
| Queue Storage는 암호화를 위해 고객 관리형 키를 사용해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 큐 스토리지를 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통한 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. | 감사; 거절하다; 비활성화 | 2.0.0 |
| SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통해 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. | 감사; 거절하다; 비활성화 | 2.0.1 |
| Service Bus 프리미엄 네임스페이스는 암호화에 고객 관리형 키를 사용해야 함 | Azure Service Bus는 Microsoft 관리형 키(기본값) 또는 고객 관리형 키를 사용하여 미사용 데이터를 암호화하는 옵션을 지원합니다. 고객 관리형 키를 사용하여 데이터를 암호화하도록 선택하면 Service Bus가 네임스페이스의 데이터를 암호화하는 데 사용할 키에 대한 액세스 권한을 할당, 회전, 비활성화 및 취소할 수 있습니다. Service Bus는 프리미엄 네임스페이스에 대해 고객 관리형 키를 사용한 암호화만 지원합니다. | 감사; 비활성화 | 1.0.0 |
| 스토리지 계정 암호화 범위에서 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 스토리지 계정 암호화 범위의 미사용 데이터 암호화를 관리합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure 키 자격 증명 모음 키를 사용하여 데이터를 암호화할 수 있습니다. 회전 및 관리를 포함하여 주요 수명 주기에 대한 모든 권한과 책임이 있습니다. Blob Storage의 암호화 범위에서 스토리지 계정 암호화 범위에 대해 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| 스토리지 계정 암호화 범위는 미사용 데이터에 이중 암호화를 사용해야 합니다. | 보안 강화를 위해 나머지 스토리지 계정 암호화 범위에서 암호화를 위해 인프라 암호화를 사용하도록 설정합니다. 인프라 암호화는 데이터가 두 번 암호화되도록 합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 Blob 및 파일 스토리지 계정을 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사; 비활성화 | 1.0.3 |
| Table Storage는 암호화를 위해 고객 관리형 키를 사용해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 테이블 스토리지를 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| [사용되지 않음]: SIM 그룹은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다. | Microsoft.MobileNetwork 리소스 공급자가 교체 없이 서비스 해제되었으므로 이 정책은 더 이상 사용되지 않습니다. 이 정책의 모든 할당과 이 정책에 대한 모든 참조를 이니셔티브에서 제거하는 것이 좋습니다. aka.ms/policydefdeprecation 정책 정의 사용 중단에 대해 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 1.1.0-사용되지 않음 |
| [미리 보기]: Azure Stack HCI 시스템에는 암호화된 볼륨이 있어야 합니다. | BitLocker를 사용하여 Azure Stack HCI 시스템에서 OS 및 데이터 볼륨을 암호화합니다. | 감사; 비활성화; AuditIfNotExists | 1.0.0-preview |
DP-6: 보안 키 관리 프로세스 사용
자세한 내용은 데이터 보호: DP-6: 보안 키 관리 프로세스 사용을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| API Management 비밀로 명명된 값은 Azure Key Vault에 저장해야 함 | 명명된 값은 각 API Management 서비스의 이름 및 값 쌍의 컬렉션입니다. 비밀 값을 API Management(사용자 지정 비밀)에 암호화된 텍스트로 저장하거나 Azure Key Vault에서 비밀을 참조하여 저장할 수 있습니다. API Management 및 비밀의 보안을 향상하려면 Azure Key Vault의 비밀로 명명된 값을 참조하세요. Azure Key Vault에서는 세분화된 액세스 관리 및 비밀 회전 정책을 지원합니다. | 감사; 비활성화; 거절하다 | 1.0.2 |
| Azure Cosmos DB 계정은 마지막 계정 키 다시 생성 이후 허용되는 최대 일 수를 초과해서는 안 됩니다. | 지정된 시간에 키를 다시 생성하여 데이터를 더 보호합니다. | 감사; 비활성화 | 1.0.0 |
| Key Vault 키에는 만료 날짜가 있어야 함 | 암호화 키에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 키는 잠재적인 공격자에게 키를 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 암호화 키에 대한 만료 날짜를 설정하는 것이 좋습니다. | 감사; 거절하다; 비활성화 | 1.0.2 |
| Key Vault 비밀에는 만료 날짜가 있어야 함 | 비밀에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 비밀은 잠재적인 공격자에게 비밀을 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 비밀에 대한 만료 날짜를 설정하는 것이 좋습니다. | 감사; 거절하다; 비활성화 | 1.0.2 |
| 키에는 키 생성 후 지정된 일 수 이내에 키 회전을 예약하는 회전 정책이 있어야 함 | 키를 만든 후 순환해야 할 때까지 최대 일 수를 지정하여 조직 규정 준수 요구 사항을 관리합니다. | 감사; 비활성화 | 1.0.0 |
| 키에는 지정된 최대 유효 기간이 있어야 함 | 키 자격 증명 모음 내에서 키가 유효한 최대 일 수를 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사; 거절하다; 비활성화 | 1.0.1 |
| 키는 지정된 기간(일)을 초과하는 활성 상태가 아니어야 함 | 키가 활성 상태여야 하는 기간(일)을 지정합니다. 기간을 초과하여 키를 사용하면 공격자가 키를 손상시킬 가능성이 높아집니다. 보안상 키가 2년을 초과하는 활성 상태가 아닌지 확인하는 것이 좋습니다. | 감사; 거절하다; 비활성화 | 1.0.1 |
| 비밀에는 만료 전에 지정된 기간(일)보다 더 많은 기간이 있어야 함 | 비밀이 만료에 너무 가까운 경우 조직에서 비밀 회전 지연이 발생하여 운영이 중단될 수 있습니다. 비밀은 오류에 대응할 수 있는 충분한 시간을 제공하기 위해 만료 전 지정된 일 수에서 회전되어야 합니다. | 감사; 거절하다; 비활성화 | 1.0.1 |
| 비밀에는 지정된 최대 유효 기간이 있어야 함 | 키 자격 증명 모음 내에서 비밀이 유효한 최대 일 수를 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사; 거절하다; 비활성화 | 1.0.1 |
| 비밀은 지정된 기간(일)을 초과하는 활성 상태가 아니어야 함 | 미래의 활성화 날짜를 설정하여 비밀을 만든 경우 비밀이 지정된 기간을 초과하는 활성 상태가 아닌지 확인해야 합니다. | 감사; 거절하다; 비활성화 | 1.0.1 |
| 스토리지 계정 키가 만료되지 않아야 함 | 키 만료 시 조치를 취해 계정 키의 보안을 강화하기 위해 키 만료 정책을 설정할 때 사용자 스토리지 계정 키가 만료되지 않았는지 확인합니다. | 감사; 거절하다; 비활성화 | 3.0.0 |
DP-7: 보안 인증서 관리 프로세스 사용
자세한 내용은 데이터 보호: DP-7: 보안 인증서 관리 프로세스 사용을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| 인증서에 지정된 최대 유효 기간이 있어야 함 | 키 자격 증명 모음 내에서 인증서가 유효한 최대 시간을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 2.2.1 |
| 인증서에 지정된 최대 유효 기간이 있어야 함 | 키 자격 증명 모음 내에서 인증서가 유효한 최대 시간을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 2.2.1 |
| 인증서가 지정된 기간(일) 내에 만료되지 않아야 함 | 지정된 기간(일) 내에 만료될 인증서를 관리하여 조직에서 만료 전에 인증서를 회전할 시간이 충분한지 확인합니다. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 2.1.1 |
DP-8: 키 및 인증서 리포지토리의 보안 보장
자세한 내용은 데이터 보호: DP-8: 키 및 인증서 리포지토리의 보안 보장을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Azure Defender for Key Vault를 사용하도록 설정해야 함 | Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| Azure Key Vault에는 방화벽을 사용하도록 설정하거나 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 키 자격 증명 모음이 기본적으로 공용 IP에 액세스할 수 없도록 키 자격 증명 모음 방화벽을 사용하도록 설정하거나, 공용 인터넷을 통해 액세스할 수 없도록 키 자격 증명 모음에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 필요에 따라, 특정 IP 범위를 구성하여 해당 네트워크에 대한 액세스를 제한할 수 있습니다. 자세한 정보: Azure Key Vault에 대한 네트워크 보안 및 Azure Private Link와 Key Vault 통합 | 감사; 거절하다; 비활성화 | 3.3.0 |
| Azure Key Vault에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 키 자격 증명 모음에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 링크에 대해 자세히 알아보세요. Azure Private Link와 Key Vault 통합 | 감사; 거절하다; 비활성화 | 1.2.1 |
| 키 볼트를 삭제 방지 기능을 사용 설정해야 합니다 | 키 자격 증명 모음을 악의적으로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 제거 방지 및 일시 삭제를 사용하도록 설정하여 영구적인 데이터 손실을 방지할 수 있습니다. 제거 보호는 일시 삭제된 키 자격 증명 모음에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 키 자격 증명 모음을 제거할 수 없습니다. 2019년 9월 1일 이후에 만든 키 자격 증명 모음은 기본적으로 일시 삭제를 사용하도록 설정되어 있습니다. | 감사; 거절하다; 비활성화 | 2.1.0 |
| 키 자격 증명 모음에 일시 삭제를 사용하도록 설정해야 함 | 일시 삭제를 사용하지 않고 키 자격 증명 모음을 삭제하면 키 자격 증명 모음에 저장된 모든 비밀, 키 및 인증서가 영구적으로 삭제됩니다. 키 자격 증명 모음을 실수로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 일시 삭제를 사용하면 실수로 삭제된 키 자격 증명 모음을 구성 가능한 보존 기간 동안 복구할 수 있습니다. | 감사; 거절하다; 비활성화 | 3.1.0 |
| Key Vault의 리소스 로그를 사용하도록 설정해야 합니다. | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 5.0.0 |
DS-6: 워크로드 수명 주기 보호
자세한 내용은 DevOps 보안: DS-6: 워크로드 수명 주기 보안을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Azure 레지스트리 컨테이너 이미지의 취약성이 해결되어야 합니다(Microsoft Defender Vulnerability Management 제공). | 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 취약성을 해결하면 보안 태세가 크게 향상되어 배포 전에 이미지를 안전하게 사용할 수 있습니다. | AuditIfNotExists; 비활성화 | 1.0.1 |
| Azure 실행 컨테이너 이미지의 취약성이 해결되어야 합니다(Microsoft Defender Vulnerability Management 기반). | 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 이 권장 사항은 현재 Kubernetes 클러스터에서 실행 중인 취약한 이미지에 대한 가시성을 제공합니다. 현재 실행 중인 컨테이너 이미지의 취약성을 수정하는 것은 보안 태세를 개선하고 컨테이너화된 워크로드에 대한 공격 표면을 크게 줄이는 데 중요합니다. | AuditIfNotExists; 비활성화 | 1.0.1 |
ES-1: EDR(엔드포인트 검색 및 응답) 사용
자세한 내용은 엔드포인트 보안: ES-1: EDR(엔드포인트 검색 및 응답) 사용을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| 서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
ES-2: 최신 맬웨어 방지 소프트웨어 사용
자세한 내용은 Endpoint Security: ES-2: 최신 맬웨어 방지 소프트웨어 사용을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당). | AuditIfNotExists; 비활성화 | 2.0.0 |
IM-1: 자동화된 도구를 사용하여 변칙 모니터링
자세한 내용은 ID 관리: IM-1: 자동화된 도구를 사용하여 변칙 모니터링을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| PostgreSQL 서버에 대해 Microsoft Entra 관리자를 프로비전해야 합니다. | Microsoft Entra 인증을 사용하도록 설정하기 위해 PostgreSQL 서버에 대한 Microsoft Entra 관리자 프로비전을 감사합니다. Microsoft Entra 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists; 비활성화 | 1.0.1 |
| SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. | SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| App Service 앱이 FTP 배포에 대해 로컬 인증 방법을 사용하지 않도록 설정되어 있어야 함 | FTP 배포에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Services에서 인증을 위해 Microsoft Entra ID만 요구하도록 하여 보안이 개선됩니다. 자세한 정보: App Service에서 기본 인증을 사용하지 않도록 설정 | AuditIfNotExists; 비활성화 | 1.0.3 |
| App Service 앱이 SCM 사이트 배포에 대해 로컬 인증 방법을 사용하지 않도록 설정되어 있어야 함 | SCM 사이트에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Services에서 인증을 위해 Microsoft Entra ID만 요구하도록 하여 보안이 개선됩니다. 자세한 정보: App Service에서 기본 인증을 사용하지 않도록 설정 | AuditIfNotExists; 비활성화 | 1.0.3 |
| Application Insights 구성 요소는 Azure Active Directory 기반이 아닌 수집을 차단해야 함. | Azure Active Directory 인증이 필요하도록 로그 수집을 적용하면 공격자가 인증하지 않은 로그를 방지하여 잘못된 상태, 잘못된 경고 및 잘못된 로그가 시스템에 저장될 수 있습니다. | 거절하다; 감사; 비활성화 | 1.0.0 |
| Azure AI 서비스 리소스에는 키 액세스가 사용하지 않도록 설정되어야 함(로컬 인증 사용하지 않도록 설정) | 보안을 위해 키 액세스(로컬 인증)를 사용하지 않도록 설정하는 것이 좋습니다. 일반적으로 개발/테스트에 사용되는 Azure OpenAI Studio에는 키 액세스가 필요하며 키 액세스가 사용하지 않도록 설정되면 작동하지 않습니다. 사용하지 않도록 설정한 후에는 Microsoft Entra ID가 유일한 액세스 방법이 되어 최소 권한 원칙을 유지하고 세부적인 제어를 허용합니다. 자세한 정보: Azure AI 서비스의 인증 | 감사; 거절하다; 비활성화 | 1.1.0 |
| Azure Kubernetes Service 클러스터는 Microsoft Entra ID 통합을 사용하도록 설정해야 합니다. | AKS 관리 Microsoft Entra ID 통합은 사용자 ID 또는 디렉터리 그룹 멤버 자격을 기반으로 Kubernetes 역할 기반 액세스 제어(Kubernetes RBAC)를 구성하여 클러스터에 대한 액세스를 관리할 수 있습니다. 자세한 정보: Azure Kubernetes Service 클러스터에서 AKS 관리형 Microsoft Entra 통합을 사용하도록 설정합니다. | 감사; 비활성화 | 1.0.2 |
| Azure Machine Learning 컴퓨팅에는 로컬 인증 방법이 사용하지 않도록 설정되어야 합니다. | 로컬 인증 방법을 사용하지 않도록 설정하면 Machine Learning 컴퓨팅에서 인증에만 Azure Active Directory ID를 요구하도록 하여 보안이 향상됩니다. 자세한 정보: Azure Machine Learning에 대한 Azure Policy 규정 준수 제어 | 감사; 거절하다; 비활성화 | 2.1.0 |
| Azure SQL Database에는 Microsoft Entra 전용 인증이 사용하도록 설정되어 있어야 합니다. | Microsoft Entra 전용 인증을 사용하려면 Azure SQL 논리 서버가 필요합니다. 이 정책은 로컬 인증이 사용하도록 설정된 상태에서 서버가 만들어지는 것을 차단하지 않습니다. 만든 후 리소스에 대한 로컬 인증이 사용하도록 설정되지 않도록 차단합니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. 자세한 정보: Microsoft Entra-Only 인증을 사용하도록 설정된 서버 만들기 | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure SQL Database는 만드는 동안 Microsoft Entra 전용 인증을 사용하도록 설정해야 합니다. | Microsoft Entra 전용 인증을 사용하여 Azure SQL 논리 서버를 만들어야 합니다. 이 정책은 만든 후 리소스에 대한 로컬 인증이 다시 사용하도록 설정되는 것을 차단하지 않습니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. 자세한 정보: Microsoft Entra-Only 인증을 사용하도록 설정된 서버 만들기 | 감사; 거절하다; 비활성화 | 1.2.0 |
| Azure SQL Managed Instance에는 Microsoft Entra 전용 인증이 사용하도록 설정되어 있어야 합니다. | Microsoft Entra 전용 인증을 사용하려면 Azure SQL Managed Instance가 필요합니다. 이 정책은 로컬 인증이 사용하도록 설정된 상태에서 Azure SQL Managed Instance가 만들어지는 것을 차단하지 않습니다. 만든 후 리소스에 대한 로컬 인증이 사용하도록 설정되지 않도록 차단합니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. 자세한 정보: Microsoft Entra-Only 인증을 사용하도록 설정된 서버 만들기 | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure SQL Managed Instance는 만드는 동안 Microsoft Entra 전용 인증을 사용하도록 설정해야 합니다. | Microsoft Entra 전용 인증을 사용하여 Azure SQL Managed Instance를 만들어야 합니다. 이 정책은 만든 후 리소스에 대한 로컬 인증이 다시 사용하도록 설정되는 것을 차단하지 않습니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. 자세한 정보: Microsoft Entra-Only 인증을 사용하도록 설정된 서버 만들기 | 감사; 거절하다; 비활성화 | 1.2.0 |
| 로컬 키 액세스를 사용하지 않도록 Azure AI 서비스 리소스 구성(로컬 인증 사용 안 함) | 보안을 위해 키 액세스(로컬 인증)를 사용하지 않도록 설정하는 것이 좋습니다. 일반적으로 개발/테스트에 사용되는 Azure OpenAI Studio에는 키 액세스가 필요하며 키 액세스가 사용하지 않도록 설정되면 작동하지 않습니다. 사용하지 않도록 설정한 후에는 Microsoft Entra ID가 유일한 액세스 방법이 되어 최소 권한 원칙을 유지하고 세부적인 제어를 허용합니다. 자세한 정보: Azure AI 서비스의 인증 | DeployIfNotExists; 비활성화 | 1.0.0 |
| 컨테이너 레지스트리에는 로컬 관리자 계정을 사용하지 않도록 설정해야 합니다. | 로컬 관리자가 액세스할 수 없도록 레지스트리에 대한 관리자 계정을 사용하지 않도록 설정합니다. 관리 사용자, 리포지토리 범위 액세스 토큰 및 익명 끌어오기와 같은 로컬 인증 방법을 사용하지 않도록 설정하면 컨테이너 레지스트리에 인증을 위해 Azure Active Directory ID만 필요하도록 하여 보안이 향상됩니다. 자세한 내용은 Azure Container Registry 인증 옵션에 대해 설명합니다. | 감사; 거절하다; 비활성화 | 1.0.1 |
| Cosmos DB 데이터베이스 계정은 로컬 인증 방법을 사용하지 않도록 설정해야 합니다 | 로컬 인증 방법을 사용하지 않도록 설정하면 Cosmos DB 데이터베이스 계정에 인증을 위해 Azure Active Directory ID가 독점적으로 필요하도록 하여 보안이 향상됩니다. 자세한 정보: 역할 기반 액세스 제어 및 Microsoft Entra ID를 사용하여 NoSQL용 Azure Cosmos DB에 연결합니다. | 감사; 거절하다; 비활성화 | 1.1.0 |
| Service Fabric 클러스터는 클라이언트 인증에 대해서만 Azure Active Directory를 사용해야 함 | Service Fabric에서 Azure Active Directory를 통한 클라이언트 인증의 사용만 감사 | 감사; 거절하다; 비활성화 | 1.1.0 |
| 스토리지 계정은 공유 키 액세스를 차단해야 함 | 스토리지 계정에 대한 요청을 권한 부여하는 Azure AD(Azure Active Directory)의 감사 요구 사항입니다. 기본적으로 요청은 Azure Active Directory 자격 증명을 사용하거나 공유 키 권한 부여를 위한 계정 액세스 키를 사용하여 권한을 부여할 수 있습니다. 이러한 두 가지 유형의 권한 부여 중 Azure AD는 공유 키보다 뛰어난 보안과 사용 편의성을 제공하며 Microsoft에서 권장합니다. | 감사; 거절하다; 비활성화 | 2.0.0 |
| 스토리지 계정은 공유 키 액세스를 방지해야 함(Databricks에서 만든 스토리지 계정 제외) | 스토리지 계정에 대한 요청을 권한 부여하는 Azure AD(Azure Active Directory)의 감사 요구 사항입니다. 기본적으로 요청은 Azure Active Directory 자격 증명을 사용하거나 공유 키 권한 부여를 위한 계정 액세스 키를 사용하여 권한을 부여할 수 있습니다. 이러한 두 가지 유형의 권한 부여 중 Azure AD는 공유 키보다 뛰어난 보안과 사용 편의성을 제공하며 Microsoft에서 권장합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Synapse 작업 영역에는 Microsoft Entra 전용 인증이 사용하도록 설정되어 있어야 합니다. | Microsoft Entra 전용 인증을 사용하려면 Synapse 작업 영역이 필요합니다. 이 정책은 로컬 인증이 사용하도록 설정된 작업 영역이 만들어지는 것을 차단하지 않습니다. 만든 후 리소스에 대한 로컬 인증이 사용하도록 설정되지 않도록 차단합니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. 자세한 내용은 Azure Synapse Analytics를 참조하세요. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Synapse 작업 영역은 작업 영역을 만드는 동안 인증을 위해 Microsoft Entra ID만 사용해야 합니다. | Microsoft Entra 전용 인증을 사용하여 Synapse 작업 영역을 만들어야 합니다. 이 정책은 만든 후 리소스에 대한 로컬 인증이 다시 사용하도록 설정되는 것을 차단하지 않습니다. 두 가지를 모두 요구하는 대신 'Microsoft Entra 전용 인증' 이니셔티브를 사용하는 것이 좋습니다. 자세한 내용은 Azure Synapse Analytics를 참조하세요. | 감사; 거절하다; 비활성화 | 1.2.0 |
| VPN 게이트웨이는 지점 및 사이트 간 사용자에 대해 Azure AD(Azure Active Directory) 인증만 사용해야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 VPN Gateway가 인증에 Azure Active Directory ID만 사용하도록 하여 보안이 향상됩니다. Microsoft Entra ID 인증을 위한 P2S VPN Gateway 구성에서 Azure AD 인증에 대해 자세히 알아보기 | 감사; 거절하다; 비활성화 | 1.0.0 |
| [미리 보기]: Azure MySQL 유연한 서버에 Microsoft Entra 전용 인증이 사용하도록 설정되어 있어야 합니다. | 로컬 인증 방법을 사용하지 않도록 설정하고 Microsoft Entra 인증만 허용하면 Microsoft Entra ID를 통해서만 Azure PostgreSQL 유연한 서버에 액세스할 수 있으므로 보안이 개선됩니다. | 감사; 비활성화 | 1.0.0-preview |
IM-2: 보안 인시던트 감지 및 분석
자세한 내용은 ID 관리: IM-2: 보안 인시던트 검색 및 분석을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| 사용자는 리소스를 만들거나 업데이트하려면 다단계 인증으로 인증해야 합니다. | 이 정책 정의는 호출자가 MFA를 통해 인증되지 않은 경우 리소스 만들기 및 업데이트 작업을 차단합니다. 자세한 내용은 필수 Microsoft Entra MFA(다단계 인증) 계획을 참조하세요. | 감사; 거절하다; 비활성화 | 1.0.1 |
IM-3: 인시던트 응답 프로세스 개선
자세한 내용은 ID 관리: IM-3: 인시던트 응답 프로세스 향상을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| App Service 앱 슬롯은 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists; 비활성화 | 1.0.0 |
| App Service 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists; 비활성화 | 3.0.0 |
| Automation 계정에 관리 ID가 있어야 합니다. | Runbook에서 Azure 리소스를 인증하는 데 권장되는 방법으로 관리 ID를 사용합니다. 인증에 대한 관리 ID는 더욱 안전하며 Runbook 코드에서 RunAs 계정을 사용하는 것과 관련된 관리 오버헤드를 제거합니다. | 감사; 비활성화 | 1.0.0 |
| Azure Data Factory 연결된 서비스는 지원되는 경우 시스템 할당 관리 ID 인증을 사용해야 합니다. | 연결된 서비스를 통해 데이터 저장소와 통신할 때 시스템 할당 관리 ID를 사용하면 암호 또는 연결 문자열과 같은 보안이 낮은 자격 증명을 사용하지 않도록 방지할 수 있습니다. | 감사; 거절하다; 비활성화 | 2.1.0 |
| Azure Machine Learning 작업 영역에서 사용자 할당 관리 ID를 사용해야 함 | 사용자 할당 관리 ID를 사용하여 Azure ML 작업 영역 및 관련 리소스, Azure Container Registry, KeyVault, Storage 및 App Insights에 대한 Manange 액세스 기본적으로 시스템 할당 관리 ID는 Azure ML 작업 영역에서 연결된 리소스에 액세스하는 데 사용됩니다. 사용자 할당 관리 ID를 사용하면 ID를 Azure 리소스로 만들고 해당 ID의 수명 주기를 유지할 수 있습니다. Azure Machine Learning 및 기타 서비스 간의 인증 설정에 대해 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Cognitive Services 계정은 관리 ID를 사용해야 함 | Cognitive Service 계정에 관리 ID를 할당하면 보안 인증을 보장할 수 있습니다. 이 ID는 자격 증명을 관리하지 않고도 안전한 방식으로 Azure Key Vault와 같은 다른 Azure 서비스와 통신하기 위해 이 Cognitive Service 계정에서 사용됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| 통신 서비스 리소스는 관리 ID를 사용해야 합니다. | 관리 ID를 Communication Service 리소스에 할당하면 보안 인증을 보장하는 데 도움이 됩니다. 이 ID는 이 Communication Service 리소스에서 자격 증명을 관리할 필요 없이 안전한 방식으로 Azure Storage와 같은 다른 Azure 서비스와 통신하는 데 사용됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| 함수 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists; 비활성화 | 3.1.0 |
| Container Apps에 대해 관리 ID를 사용하도록 설정해야 합니다. | 관리 ID를 적용하면 Container Apps가 Azure AD 인증을 지원하는 모든 리소스에 안전하게 인증할 수 있습니다. | 감사; 거절하다; 비활성화 | 1.0.1 |
| Stream Analytics 작업은 관리 ID를 사용하여 엔드포인트를 인증해야 합니다. | Stream Analytics 작업은 관리 ID 인증을 사용하여 엔드포인트에만 연결해야 합니다. | 거절하다; 비활성화; 감사 | 1.0.0 |
| 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. Azure Machine 구성 이해에 대해 자세히 알아보기 | AuditIfNotExists; 비활성화 | 1.0.1 |
| [미리 보기]: 컴퓨터에서 관리 ID를 사용하도록 설정해야 합니다. | Automanage로 관리하는 리소스에는 관리 ID가 있어야 합니다. | 감사; 비활성화 | 1.0.0-preview |
| [미리 보기]: Azure Kubernetes의 관리 ID 페더레이션 자격 증명은 신뢰할 수 있는 원본에서 사용해야 합니다. | 이 정책은 Azure Kubernetes 클러스터와의 페더레이션을 승인된 테넌트, 승인된 지역 및 추가 클러스터의 특정 예외 목록의 클러스터로만 제한합니다. | 감사; 비활성화; 거절하다 | 1.0.0-preview |
| [미리 보기]: GitHub의 관리 ID 페더레이션 자격 증명은 신뢰할 수 있는 리포지토리 소유자의 자격 증명이어야 합니다. | 이 정책은 GitHub 리포지토리와의 페더레이션을 승인된 리포지토리 소유자로만 제한합니다. | 감사; 비활성화; 거절하다 | 1.0.1-preview |
| [미리 보기]: 관리 ID 페더레이션 자격 증명은 허용된 발급자 형식에서 사용해야 합니다. | 이 정책은 관리 ID에서 공통 발급자 유형이 허용되는 페더레이션된 자격 증명을 사용할 수 있는지 여부를 제한하고 허용된 발급자 예외 목록을 제공합니다. | 감사; 비활성화; 거절하다 | 1.0.0-preview |
IM-4: 로깅 및 위협 탐지 기능 사용
자세한 내용은 ID 관리: IM-4: 로깅 및 위협 검색 기능 사용을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| API 백 엔드에 대한 API Management 호출을 인증해야 함 | API Management에서 백 엔드로의 호출은 인증서 또는 자격 증명을 통해 어떤 형태의 인증을 사용해야 합니다. Service Fabric 백 엔드에는 적용되지 않습니다. | 감사; 비활성화; 거절하다 | 1.0.1 |
| API 백 엔드에 대한 API Management 호출은 인증서 지문 또는 이름 유효성 검사를 바이패스해서는 안 됨 | API 보안을 향상하려면 API Management에서 모든 API 호출에 대한 백 엔드 서버 인증서의 유효성을 검사해야 합니다. SSL 인증서 지문 및 이름 유효성 검사를 사용하도록 설정합니다. | 감사; 비활성화; 거절하다 | 1.0.2 |
| Azure API Management의 API 엔드포인트를 인증해야 함 | Azure API Management 내에 게시된 API 엔드포인트는 보안 위험을 최소화하기 위해 인증을 적용해야 합니다. 인증 메커니즘이 잘못 구현되거나 누락된 경우가 있습니다. 이를 통해 공격자는 구현 결함을 악용하고 데이터에 액세스할 수 있습니다. 끊어진 사용자 인증에 대한 OWASP API 위협에 대해 자세히 알아보세요. API Management를 사용하여 OWASP API 보안 상위 10개 위협을 완화하기 위한 권장 사항 | AuditIfNotExists; 비활성화 | 1.0.1 |
| Azure SQL Database는 TLS 버전 1.2 이상을 실행해야 합니다. | TLS 버전을 1.2 이상으로 설정하면 TLS 1.2 이상을 사용하는 클라이언트에서만 Azure SQL Database에 액세스할 수 있으므로 보안이 향상됩니다. 1.2 미만의 TLS 버전은 보안 취약성이 잘 문서화되었기 때문에 사용하지 않는 것이 좋습니다. | 감사; 비활성화; 거절하다 | 2.0.0 |
IM-6: 자동화된 인시던트 대응 사용
자세한 내용은 ID 관리: IM-6: 자동화된 인시던트 응답 사용을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Linux 머신에 대한 인증에 SSH 키가 필요함 | SSH 자체에서 암호화된 연결을 제공하지만 SSH와 함께 암호를 사용하면 VM은 여전히 무차별 암호 대입 공격에 취약합니다. SSH를 통해 Azure Linux 가상 머신에 인증하는 가장 안전한 옵션은 SSH 키라고도 하는 퍼블릭-프라이빗 키 쌍을 사용하는 것입니다. 자세한 정보: 자세한 단계: Azure에서 Linux VM에 대한 인증을 위한 SSH 키를 만들고 관리합니다. | AuditIfNotExists; 비활성화 | 3.2.0 |
IM-8: 관리 포트 액세스 제한
자세한 내용은 ID 관리: IM-8: 관리 포트 액세스 제한을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| API Management 비밀로 명명된 값은 Azure Key Vault에 저장해야 함 | 명명된 값은 각 API Management 서비스의 이름 및 값 쌍의 컬렉션입니다. 비밀 값을 API Management(사용자 지정 비밀)에 암호화된 텍스트로 저장하거나 Azure Key Vault에서 비밀을 참조하여 저장할 수 있습니다. API Management 및 비밀의 보안을 향상하려면 Azure Key Vault의 비밀로 명명된 값을 참조하세요. Azure Key Vault에서는 세분화된 액세스 관리 및 비밀 회전 정책을 지원합니다. | 감사; 비활성화; 거절하다 | 1.0.2 |
| 머신에서 발견한 비밀을 해결해야 함 | 가상 머신을 감사하여 가상 머신의 비밀 검사 솔루션에서 발견된 비밀이 포함되어 있는지 여부를 검색합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
IR-2: 준비 - 인시던트 알림 설정
자세한 내용은 인시던트 대응: IR-2: 준비 - 인시던트 알림 설정을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| 심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. | AuditIfNotExists; 비활성화 | 1.2.0 |
| 심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. | 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. | AuditIfNotExists; 비활성화 | 2.1.0 |
| 구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. | AuditIfNotExists; 비활성화 | 1.0.1 |
IR-3: 검색 및 분석 – 고품질 경고를 기반으로 인시던트 만들기
자세한 내용은 인시던트 대응: IR-3: 검색 및 분석 – 고품질 경고를 기반으로 인시던트 만들기를 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Azure Defender for App Service를 사용하도록 설정해야 함 | Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| Azure Defender for Key Vault를 사용하도록 설정해야 함 | Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. Microsoft Defender for Resource Manager - 이점 및 기능에서 Azure Defender for Resource Manager 의 기능에 대해 자세히 알아봅니다. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지에서 지역별 가격 책정 세부 정보에 대해 알아봅니 다. 가격 책정 - 클라우드용 Microsoft Defender . | AuditIfNotExists; 비활성화 | 1.0.0 |
| 머신에서 SQL 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| 보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists; 비활성화 | 2.0.1 |
| 보호되지 않는 MySQL 유연한 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 합니다. | Advanced Data Security 없이 MySQL 유연한 서버 감사 | AuditIfNotExists; 비활성화 | 1.0.0 |
| 보호되지 않는 PostgreSQL 유연한 서버에 대해 Azure Defender for SQL을 사용하도록 설정해야 합니다. | Advanced Data Security 없이 PostgreSQL 유연한 서버 감사 | AuditIfNotExists; 비활성화 | 1.0.0 |
| 보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| 오픈 소스 관계형 데이터베이스용 Azure Defender를 사용하도록 설정해야 함 | 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. Open-Source 관계형 데이터베이스용 Defender 개요에서 오픈 소스 관계 형 데이터베이스용 Azure Defender의 기능에 대해 자세히 알아봅니다. 중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. Security Center의 가격 책정 페이지에서 가격 책정에 대해 알아보기: 가격 책정 - 클라우드용 Microsoft Defender | AuditIfNotExists; 비활성화 | 1.0.0 |
| 서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| Microsoft Defender CSPM을 사용하도록 설정해야 함 | Defender CSPM(클라우드 보안 태세 관리)은 향상된 태세 기능과 새로운 지능형 클라우드 보안 그래프를 제공하여 위험을 식별하고 우선 순위를 지정하고 줄이는 데 도움이 됩니다. Defender CSPM은 클라우드용 Defender에서 기본적으로 켜져 있는 무료 기본 보안 태세 기능 외에도 사용할 수 있습니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| API용 Microsoft Defender를 사용하도록 설정해야 함 | API용 Microsoft Defender는 일반적인 API 기반 공격 및 보안 구성 오류를 모니터링하기 위해 새로운 검색, 보호, 탐지 및 응답 범위를 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| 컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| 보호되지 않는 Synapse 작업 영역에 대해 SQL용 Microsoft Defender를 사용하도록 설정해야 함 | Synapse 작업 영역을 보호하려면 SQL용 Defender를 사용하도록 설정해야 합니다. SQL용 Defender는 Synapse SQL을 모니터링하여 비정상이고 잠재적으로 위험한 데이터베이스 액세스 또는 악용 시도를 암시하는 비정상적인 활동을 탐지합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Microsoft Defender for SQL 상태는 Arc 지원 SQL Server에 대해 보호되어야 함 | Microsoft Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. 사용하도록 설정되면 보호 상태는 리소스가 적극적으로 모니터링됨을 나타냅니다. Defender가 사용하도록 설정된 경우에도 에이전트, 머신, 작업 영역 및 SQL Server에서 여러 구성 설정의 유효성을 검사하여 활성 보호를 보장해야 합니다. | 감사; 비활성화 | 1.1.0 |
| 스토리지용 Microsoft Defender를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위와 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| SQL 서버 대상 자동 프로비전은 컴퓨터 계획의 SQL 서버에 대해 사용하도록 설정되어야 합니다. | SQL VM 및 Arc 지원 SQL 서버를 보호하려면 SQL 대상 Azure Monitor 에이전트가 자동으로 배포되도록 구성되어 있는지 확인합니다. 이는 Microsoft Monitoring Agent의 자동 프로비전을 이전에 구성한 경우에도 필요합니다. 해당 구성 요소는 더 이상 사용되지 않기 때문입니다. 자세한 정보: AMA를 사용하여 컴퓨터에서 Defender for SQL로 마이그레이션 | AuditIfNotExists; 비활성화 | 1.0.0 |
IR-4: 검색 및 분석 – 인시던트 조사
자세한 내용은 인시던트 대응: IR-4: 검색 및 분석 – 인시던트 조사를 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
IR-5: 검색 및 분석 – 인시던트 우선 순위 지정
자세한 내용은 인시던트 대응: IR-5: 검색 및 분석 – 인시던트 우선 순위를 지정합니다.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Azure Defender for App Service를 사용하도록 설정해야 함 | Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| Azure Defender for Key Vault를 사용하도록 설정해야 함 | Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. Microsoft Defender for Resource Manager - 이점 및 기능에서 Azure Defender for Resource Manager 의 기능에 대해 자세히 알아봅니다. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지에서 지역별 가격 책정 세부 정보에 대해 알아봅니 다. 가격 책정 - 클라우드용 Microsoft Defender . | AuditIfNotExists; 비활성화 | 1.0.0 |
| 머신에서 SQL 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| 보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists; 비활성화 | 2.0.1 |
| 보호되지 않는 MySQL 유연한 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 합니다. | Advanced Data Security 없이 MySQL 유연한 서버 감사 | AuditIfNotExists; 비활성화 | 1.0.0 |
| 보호되지 않는 PostgreSQL 유연한 서버에 대해 Azure Defender for SQL을 사용하도록 설정해야 합니다. | Advanced Data Security 없이 PostgreSQL 유연한 서버 감사 | AuditIfNotExists; 비활성화 | 1.0.0 |
| 보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| 오픈 소스 관계형 데이터베이스용 Azure Defender를 사용하도록 설정해야 함 | 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. Open-Source 관계형 데이터베이스용 Defender 개요에서 오픈 소스 관계 형 데이터베이스용 Azure Defender의 기능에 대해 자세히 알아봅니다. 중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. Security Center의 가격 책정 페이지에서 가격 책정에 대해 알아보기: 가격 책정 - 클라우드용 Microsoft Defender | AuditIfNotExists; 비활성화 | 1.0.0 |
| 서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| Microsoft Defender CSPM을 사용하도록 설정해야 함 | Defender CSPM(클라우드 보안 태세 관리)은 향상된 태세 기능과 새로운 지능형 클라우드 보안 그래프를 제공하여 위험을 식별하고 우선 순위를 지정하고 줄이는 데 도움이 됩니다. Defender CSPM은 클라우드용 Defender에서 기본적으로 켜져 있는 무료 기본 보안 태세 기능 외에도 사용할 수 있습니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| API용 Microsoft Defender를 사용하도록 설정해야 함 | API용 Microsoft Defender는 일반적인 API 기반 공격 및 보안 구성 오류를 모니터링하기 위해 새로운 검색, 보호, 탐지 및 응답 범위를 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| 컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| 보호되지 않는 Synapse 작업 영역에 대해 SQL용 Microsoft Defender를 사용하도록 설정해야 함 | Synapse 작업 영역을 보호하려면 SQL용 Defender를 사용하도록 설정해야 합니다. SQL용 Defender는 Synapse SQL을 모니터링하여 비정상이고 잠재적으로 위험한 데이터베이스 액세스 또는 악용 시도를 암시하는 비정상적인 활동을 탐지합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Microsoft Defender for SQL 상태는 Arc 지원 SQL Server에 대해 보호되어야 함 | Microsoft Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. 사용하도록 설정되면 보호 상태는 리소스가 적극적으로 모니터링됨을 나타냅니다. Defender가 사용하도록 설정된 경우에도 에이전트, 머신, 작업 영역 및 SQL Server에서 여러 구성 설정의 유효성을 검사하여 활성 보호를 보장해야 합니다. | 감사; 비활성화 | 1.1.0 |
| 스토리지용 Microsoft Defender를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위와 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| SQL 서버 대상 자동 프로비전은 컴퓨터 계획의 SQL 서버에 대해 사용하도록 설정되어야 합니다. | SQL VM 및 Arc 지원 SQL 서버를 보호하려면 SQL 대상 Azure Monitor 에이전트가 자동으로 배포되도록 구성되어 있는지 확인합니다. 이는 Microsoft Monitoring Agent의 자동 프로비전을 이전에 구성한 경우에도 필요합니다. 해당 구성 요소는 더 이상 사용되지 않기 때문입니다. 자세한 정보: AMA를 사용하여 컴퓨터에서 Defender for SQL로 마이그레이션 | AuditIfNotExists; 비활성화 | 1.0.0 |
LT-1: 위협 탐지 기능 사용하도록 설정
자세한 내용은 로깅 및 위협 감지: LT-1: 위협 탐지 기능 사용을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Azure Defender for App Service를 사용하도록 설정해야 함 | Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| Azure Defender for Key Vault를 사용하도록 설정해야 함 | Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. Microsoft Defender for Resource Manager - 이점 및 기능에서 Azure Defender for Resource Manager 의 기능에 대해 자세히 알아봅니다. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지에서 지역별 가격 책정 세부 정보에 대해 알아봅니 다. 가격 책정 - 클라우드용 Microsoft Defender . | AuditIfNotExists; 비활성화 | 1.0.0 |
| 머신에서 SQL 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| 보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists; 비활성화 | 2.0.1 |
| 보호되지 않는 MySQL 유연한 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 합니다. | Advanced Data Security 없이 MySQL 유연한 서버 감사 | AuditIfNotExists; 비활성화 | 1.0.0 |
| 보호되지 않는 PostgreSQL 유연한 서버에 대해 Azure Defender for SQL을 사용하도록 설정해야 합니다. | Advanced Data Security 없이 PostgreSQL 유연한 서버 감사 | AuditIfNotExists; 비활성화 | 1.0.0 |
| 보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| 오픈 소스 관계형 데이터베이스용 Azure Defender를 사용하도록 설정해야 함 | 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. Open-Source 관계형 데이터베이스용 Defender 개요에서 오픈 소스 관계 형 데이터베이스용 Azure Defender의 기능에 대해 자세히 알아봅니다. 중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. Security Center의 가격 책정 페이지에서 가격 책정에 대해 알아보기: 가격 책정 - 클라우드용 Microsoft Defender | AuditIfNotExists; 비활성화 | 1.0.0 |
| 서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| Azure Kubernetes Service 클러스터에는 Defender 프로필이 사용하도록 설정되어 있어야 합니다. | 컨테이너용 Microsoft Defender는 환경 강화, 워크로드 보호 및 런타임 보호를 비롯한 클라우드 네이티브 Kubernetes 보안 기능을 제공합니다. Azure Kubernetes Service 클러스터에서 SecurityProfile.AzureDefender를 사용하도록 설정하면 에이전트가 보안 이벤트 데이터를 수집할 클러스터에 배포됩니다. 클라우드용 Defender의 MCSB 권장 사항 관리에서 컨테이너용 Microsoft Defender에 대해 자세히 알아보기 | 감사; 비활성화 | 2.0.1 |
| Microsoft Defender CSPM을 사용하도록 설정해야 함 | Defender CSPM(클라우드 보안 태세 관리)은 향상된 태세 기능과 새로운 지능형 클라우드 보안 그래프를 제공하여 위험을 식별하고 우선 순위를 지정하고 줄이는 데 도움이 됩니다. Defender CSPM은 클라우드용 Defender에서 기본적으로 켜져 있는 무료 기본 보안 태세 기능 외에도 사용할 수 있습니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| API용 Microsoft Defender를 사용하도록 설정해야 함 | API용 Microsoft Defender는 일반적인 API 기반 공격 및 보안 구성 오류를 모니터링하기 위해 새로운 검색, 보호, 탐지 및 응답 범위를 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| 컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| 보호되지 않는 Synapse 작업 영역에 대해 SQL용 Microsoft Defender를 사용하도록 설정해야 함 | Synapse 작업 영역을 보호하려면 SQL용 Defender를 사용하도록 설정해야 합니다. SQL용 Defender는 Synapse SQL을 모니터링하여 비정상이고 잠재적으로 위험한 데이터베이스 액세스 또는 악용 시도를 암시하는 비정상적인 활동을 탐지합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Microsoft Defender for SQL 상태는 Arc 지원 SQL Server에 대해 보호되어야 함 | Microsoft Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. 사용하도록 설정되면 보호 상태는 리소스가 적극적으로 모니터링됨을 나타냅니다. Defender가 사용하도록 설정된 경우에도 에이전트, 머신, 작업 영역 및 SQL Server에서 여러 구성 설정의 유효성을 검사하여 활성 보호를 보장해야 합니다. | 감사; 비활성화 | 1.1.0 |
| 스토리지용 Microsoft Defender를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위와 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| SQL 서버 대상 자동 프로비전은 컴퓨터 계획의 SQL 서버에 대해 사용하도록 설정되어야 합니다. | SQL VM 및 Arc 지원 SQL 서버를 보호하려면 SQL 대상 Azure Monitor 에이전트가 자동으로 배포되도록 구성되어 있는지 확인합니다. 이는 Microsoft Monitoring Agent의 자동 프로비전을 이전에 구성한 경우에도 필요합니다. 해당 구성 요소는 더 이상 사용되지 않기 때문입니다. 자세한 정보: AMA를 사용하여 컴퓨터에서 Defender for SQL로 마이그레이션 | AuditIfNotExists; 비활성화 | 1.0.0 |
| Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당). | AuditIfNotExists; 비활성화 | 2.0.0 |
| [미리 보기]: Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender의 확장이 설치되어 있어야 함 | Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. Defender for Cloud의 보안 점수에 대해 자세히 알아보세요. | AuditIfNotExists; 비활성화 | 6.0.0-preview |
LT-2: ID 및 액세스 관리에 대한 위협 감지 사용
자세한 내용은 로깅 및 위협 검색: LT-2: ID 및 액세스 관리에 대한 위협 탐지 사용 설정을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Azure Defender for App Service를 사용하도록 설정해야 함 | Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| Azure Defender for Key Vault를 사용하도록 설정해야 함 | Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. Microsoft Defender for Resource Manager - 이점 및 기능에서 Azure Defender for Resource Manager 의 기능에 대해 자세히 알아봅니다. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지에서 지역별 가격 책정 세부 정보에 대해 알아봅니 다. 가격 책정 - 클라우드용 Microsoft Defender . | AuditIfNotExists; 비활성화 | 1.0.0 |
| 머신에서 SQL 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| 보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists; 비활성화 | 2.0.1 |
| 보호되지 않는 MySQL 유연한 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 합니다. | Advanced Data Security 없이 MySQL 유연한 서버 감사 | AuditIfNotExists; 비활성화 | 1.0.0 |
| 보호되지 않는 PostgreSQL 유연한 서버에 대해 Azure Defender for SQL을 사용하도록 설정해야 합니다. | Advanced Data Security 없이 PostgreSQL 유연한 서버 감사 | AuditIfNotExists; 비활성화 | 1.0.0 |
| 보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| 오픈 소스 관계형 데이터베이스용 Azure Defender를 사용하도록 설정해야 함 | 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. Open-Source 관계형 데이터베이스용 Defender 개요에서 오픈 소스 관계 형 데이터베이스용 Azure Defender의 기능에 대해 자세히 알아봅니다. 중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. Security Center의 가격 책정 페이지에서 가격 책정에 대해 알아보기: 가격 책정 - 클라우드용 Microsoft Defender | AuditIfNotExists; 비활성화 | 1.0.0 |
| 서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists; 비활성화 | 1.0.3 |
| Azure Kubernetes Service 클러스터에는 Defender 프로필이 사용하도록 설정되어 있어야 합니다. | 컨테이너용 Microsoft Defender는 환경 강화, 워크로드 보호 및 런타임 보호를 비롯한 클라우드 네이티브 Kubernetes 보안 기능을 제공합니다. Azure Kubernetes Service 클러스터에서 SecurityProfile.AzureDefender를 사용하도록 설정하면 에이전트가 보안 이벤트 데이터를 수집할 클러스터에 배포됩니다. 클라우드용 Defender의 MCSB 권장 사항 관리에서 컨테이너용 Microsoft Defender에 대해 자세히 알아보기 | 감사; 비활성화 | 2.0.1 |
| Microsoft Defender CSPM을 사용하도록 설정해야 함 | Defender CSPM(클라우드 보안 태세 관리)은 향상된 태세 기능과 새로운 지능형 클라우드 보안 그래프를 제공하여 위험을 식별하고 우선 순위를 지정하고 줄이는 데 도움이 됩니다. Defender CSPM은 클라우드용 Defender에서 기본적으로 켜져 있는 무료 기본 보안 태세 기능 외에도 사용할 수 있습니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| 컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| 보호되지 않는 Synapse 작업 영역에 대해 SQL용 Microsoft Defender를 사용하도록 설정해야 함 | Synapse 작업 영역을 보호하려면 SQL용 Defender를 사용하도록 설정해야 합니다. SQL용 Defender는 Synapse SQL을 모니터링하여 비정상이고 잠재적으로 위험한 데이터베이스 액세스 또는 악용 시도를 암시하는 비정상적인 활동을 탐지합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Microsoft Defender for SQL 상태는 Arc 지원 SQL Server에 대해 보호되어야 함 | Microsoft Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. 사용하도록 설정되면 보호 상태는 리소스가 적극적으로 모니터링됨을 나타냅니다. Defender가 사용하도록 설정된 경우에도 에이전트, 머신, 작업 영역 및 SQL Server에서 여러 구성 설정의 유효성을 검사하여 활성 보호를 보장해야 합니다. | 감사; 비활성화 | 1.1.0 |
| 스토리지용 Microsoft Defender를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위와 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| SQL 서버 대상 자동 프로비전은 컴퓨터 계획의 SQL 서버에 대해 사용하도록 설정되어야 합니다. | SQL VM 및 Arc 지원 SQL 서버를 보호하려면 SQL 대상 Azure Monitor 에이전트가 자동으로 배포되도록 구성되어 있는지 확인합니다. 이는 Microsoft Monitoring Agent의 자동 프로비전을 이전에 구성한 경우에도 필요합니다. 해당 구성 요소는 더 이상 사용되지 않기 때문입니다. 자세한 정보: AMA를 사용하여 컴퓨터에서 Defender for SQL로 마이그레이션 | AuditIfNotExists; 비활성화 | 1.0.0 |
| Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당). | AuditIfNotExists; 비활성화 | 2.0.0 |
| [미리 보기]: Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender의 확장이 설치되어 있어야 함 | Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. Defender for Cloud의 보안 점수에 대해 자세히 알아보세요. | AuditIfNotExists; 비활성화 | 6.0.0-preview |
LT-3: 보안 조사를 위한 로깅 사용하도록 설정
자세한 내용은 로깅 및 위협 감지: LT-3: 보안 조사를 위한 로깅 사용 설정을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| App Service 앱은 리소스 로그를 사용하도록 설정해야 합니다. | 앱에서 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 2.0.1 |
| SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. | 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists; 비활성화 | 2.0.0 |
| Azure Front Door에서 리소스 로그를 사용하도록 설정해야 함 | Azure Front Door(WAF 포함)에 대한 리소스 로그를 사용하도록 설정하고 Log Analytics 작업 영역으로 스트림합니다. 인바운드 웹 트래픽 및 공격을 완화하기 위해 수행된 작업을 자세히 살펴봅니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure AI 서비스 리소스의 진단 로그를 사용하도록 설정해야 함 | Azure AI 서비스 리소스에 대한 로그를 사용하도록 설정합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure Data Lake Store의 리소스 로그를 사용하도록 설정해야 합니다. | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 5.0.0 |
| Azure Databricks 작업 영역의 리소스 로그를 사용하도록 설정해야 합니다. | 리소스 로그를 사용하면 보안 인시던트가 발생하거나 네트워크가 손상되었을 때 조사 목적으로 사용할 작업 추적을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 1.0.1 |
| Azure Kubernetes Service의 리소스 로그를 사용하도록 설정해야 함 | Azure Kubernetes Service의 리소스 로그를 통해 보안 인시던트를 조사할 때 작업 추적을 다시 만들 수 있습니다. 필요할 때 로그가 존재하는지 확인하는 데 사용 | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure Machine Learning 작업 영역의 리소스 로그를 사용하도록 설정해야 합니다. | 리소스 로그를 사용하면 보안 인시던트가 발생하거나 네트워크가 손상되었을 때 조사 목적으로 사용할 작업 추적을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 1.0.1 |
| Azure Stream Analytics의 리소스 로그를 사용하도록 설정해야 합니다. | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 5.0.0 |
| Batch 계정의 리소스 로그를 사용하도록 설정해야 합니다. | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 5.0.0 |
| Data Lake Analytics의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 5.0.0 |
| Event Hub의 리소스 로그를 사용하도록 설정해야 합니다. | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 5.0.0 |
| IoT Hub의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 3.1.0 |
| Key Vault의 리소스 로그를 사용하도록 설정해야 합니다. | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 5.0.0 |
| Logic Apps의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 5.1.0 |
| Search 서비스의 리소스 로그를 사용하도록 설정해야 합니다. | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 5.0.0 |
| Service Bus의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists; 비활성화 | 5.0.0 |
LT-4: 보안 조사를 위해 네트워크 로깅 사용하도록 설정
자세한 내용은 로깅 및 위협 검색: LT-4: 보안 조사를 위해 네트워크 로깅을 사용하도록 설정하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| 모든 네트워크 보안 그룹에 대해 흐름 로그를 구성해야 함 | 네트워크 보안 그룹을 감사하여 흐름 로그가 구성되어 있는지 확인합니다. 흐름 로그를 사용하면 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. | 감사; 비활성화 | 1.1.0 |
| [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 | Security Center는 Microsoft 종속성 에이전트를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집하여 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 사용하도록 설정합니다. | AuditIfNotExists; 비활성화 | 1.0.2-preview |
| [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center는 Microsoft 종속성 에이전트를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집하여 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 사용하도록 설정합니다. | AuditIfNotExists; 비활성화 | 1.0.2-preview |
LT-5: 보안 로그 관리 및 분석 중앙 집중화
자세한 내용은 로깅 및 위협 검색: LT-5: 보안 로그 관리 및 분석 중앙 집중화를 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| 로그 암호화를 위해 Azure Monitor에 저장된 쿼리를 고객 스토리지 계정에 저장해야 함 | 저장소 계정을 Log Analytics 작업 영역에 연결하여 저장소 계정 암호화로 저장된 쿼리를 보호합니다. 고객 관리형 키는 일반적으로 규정 준수를 충족하고 Azure Monitor에 저장된 쿼리에 대한 액세스를 보다 강력하게 제어하는 데 필요합니다. 위에 대한 자세한 내용은 Azure Monitor에서 저장된 쿼리에 대한 고객 관리형 키를 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 1.1.0 |
| [미리 보기]: Log Analytics 확장이 Linux Azure Arc 컴퓨터에 설치되어 있어야 함 | 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 Linux Azure Arc 컴퓨터를 감사합니다. | AuditIfNotExists; 비활성화 | 1.0.1-preview |
| [미리 보기]: Log Analytics 확장이 Windows Azure Arc 컴퓨터에 설치되어 있어야 함 | 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 Windows Azure Arc 컴퓨터를 감사합니다. | AuditIfNotExists; 비활성화 | 1.0.1-preview |
LT-6: 로그 스토리지 보존 구성
자세한 내용은 로깅 및 위협 검색: LT-6: 로그 스토리지 보존 구성을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| 스토리지 계정 대상에 대한 감사 기능이 있는 SQL Server는 보존 기간을 90일 이상으로 구성해야 함 | 인시던트 조사를 위해 SQL Server 감사를 위한 데이터 보존 기간을 스토리지 계정 대상으로 90일 이상으로 설정하는 것이 좋습니다. 운영 중인 지역에 필요한 보존 규칙을 충족하는지 확인합니다. 이는 규정 표준을 준수해야 하는 경우도 있습니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
NS-1: 네트워크 구분 경계 설정
자세한 내용은 네트워크 보안: NS-1: 네트워크 구분 경계를 설정합니다.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
| 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. Azure 네트워크 보안 그룹에서 NSG를 사용하여 트래픽을 제어하는 방법에 대한 자세한 정보 개요 | AuditIfNotExists; 비활성화 | 3.0.0 |
| 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. Azure 네트워크 보안 그룹에서 NSG를 사용하여 트래픽을 제어하는 방법에 대한 자세한 정보 개요 | AuditIfNotExists; 비활성화 | 3.0.0 |
| 서브넷을 네트워크 보안 그룹과 연결해야 합니다. | NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
NS-2: 네트워크 제어를 사용하여 클라우드 서비스 보호
자세한 내용은 네트워크 보안: NS-2: 네트워크 제어를 사용하여 클라우드 서비스 보안을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| API Management 서비스에서 가상 네트워크를 사용해야 함 | Azure Virtual Network 배포는 향상된 보안, 격리를 제공하며, 액세스를 제어하는 인터넷 라우팅이 불가능한 네트워크에 API Management 서비스를 배치할 수 있습니다. 그런 다음, 다양한 VPN 기술을 사용하여 이러한 네트워크를 온-프레미스 네트워크에 연결할 수 있으며, 이를 통해 네트워크 및/또는 온-프레미스 내에서 백 엔드 서비스에 액세스할 수 있습니다. 개발자 포털 및 API 게이트웨이를 인터넷에서 또는 가상 네트워크 내에서만 액세스할 수 있게 구성할 수 있습니다. | 감사; 거절하다; 비활성화 | 1.0.2 |
| API Management에서 서비스 구성 엔드포인트에 대한 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | API Management 서비스의 보안을 개선하려면 직접 액세스 관리 API, Git 구성 관리 엔드포인트 또는 자체 호스트 게이트웨이 구성 엔드포인트와 같은 서비스 구성 엔드포인트에 대한 연결을 제한합니다. | AuditIfNotExists; 비활성화 | 1.0.1 |
| App Configuration은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. 자세한 정보: Azure App Configuration에 프라이빗 엔드포인트 사용 | 감사; 거절하다; 비활성화 | 1.0.0 |
| App Configuration은 프라이빗 링크를 지원하는 SKU를 사용해야 합니다. | 지원되는 SKU를 사용하는 경우 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 앱 구성 인스턴스에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. 자세한 정보: Azure App Configuration에 프라이빗 엔드포인트 사용 | 감사; 거절하다; 비활성화 | 1.0.0 |
| App Configuration은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 앱 구성 인스턴스에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. 자세한 정보: Azure App Configuration에 프라이빗 엔드포인트 사용 | AuditIfNotExists; 비활성화 | 1.0.2 |
| App Service Environment 앱은 퍼블릭 인터넷을 통해 연결할 수 없음 | App Service Environment에 배포된 앱을 퍼블릭 인터넷을 통해 액세스할 수 없도록 하려면 가상 네트워크의 IP 주소를 사용하여 App Service Environment를 배포해야 합니다. IP 주소를 가상 네트워크 IP로 설정하려면 내부 부하 분산 장치를 사용하여 App Service Environment를 배포해야 합니다. | 감사; 거절하다; 비활성화 | 3.0.0 |
| App Service 앱 슬롯은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 퍼블릭 네트워크 액세스를 사용하지 않도록 설정하면 앱 서비스가 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 App Service의 노출을 제한할 수 있습니다. 자세한 정보: 앱용 프라이빗 엔드포인트 사용 | 감사; 비활성화; 거절하다 | 1.0.0 |
| App Service 앱은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 퍼블릭 네트워크 액세스를 사용하지 않도록 설정하면 앱 서비스가 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 App Service의 노출을 제한할 수 있습니다. 자세한 정보: 앱용 프라이빗 엔드포인트 사용 | 감사; 비활성화; 거절하다 | 1.1.0 |
| App Service 앱은 프라이빗 링크를 지원하는 SKU를 사용해야 함 | 지원되는 SKU로 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 앱에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 링크에 대한 자세한 내용은 앱용 프라이빗 엔드포인트를 사용합니다. | 감사; 거절하다; 비활성화 | 4.3.0 |
| App Service 앱에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 App Service에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 링크에 대한 자세한 내용은 앱용 프라이빗 엔드포인트를 사용합니다. | AuditIfNotExists; 비활성화 | 1.0.1 |
| Application Insights 구성 요소는 공용 네트워크에서 로그 수집 및 쿼리를 차단해야 함 | 공용 네트워크에서 로그 수집 및 쿼리를 차단하여 Application Insights 보안을 향상합니다. 프라이빗 링크로 연결된 네트워크만 이 구성 요소의 로그를 수집하고 쿼리할 수 있습니다. Azure Private Link를 사용하여 네트워크를 Azure Monitor에 연결하는 방법에 대해 자세히 알아봅니다. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 1.1.0 |
| 권한 있는 IP 범위는 Kubernetes Services에 정의되어야 함 | 특정 범위의 IP 주소에만 API 액세스 권한을 부여하여 Kubernetes Service Management API에 대한 액세스를 제한합니다. 허용된 네트워크의 애플리케이션만 클러스터에 액세스할 수 있도록 인증된 IP 범위에 대한 액세스를 제한하는 것이 좋습니다. | 감사; 비활성화 | 2.0.1 |
| Automation 계정은 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 Automation 계정 리소스의 노출을 제한할 수 있습니다. 자세한 정보: Azure Private Link를 사용하여 네트워크를 Azure Automation에 안전하게 연결합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure AI Search 서비스는 프라이빗 링크를 지원하는 SKU를 사용해야 합니다. | Azure AI Search의 지원되는 SKU를 사용하여 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Search Service에 매핑하면 데이터 누출 위험이 줄어듭니다. 자세한 정보: 보안 연결을 위한 프라이빗 엔드포인트 만들기 | 감사; 거절하다; 비활성화 | 1.0.1 |
| Azure AI Search 서비스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure AI Search 서비스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 Search Service의 노출을 제한할 수 있습니다. 자세한 정보: 보안 연결을 위한 프라이빗 엔드포인트 만들기 | 감사; 거절하다; 비활성화 | 1.0.1 |
| Azure AI 서비스 리소스는 네트워크 액세스를 제한해야 함 | 네트워크 액세스를 제한하면 허용된 네트워크만 서비스에 액세스할 수 있도록 할 수 있습니다. 이는 허용된 네트워크의 애플리케이션만 Azure AI 서비스에 액세스할 수 있도록 네트워크 규칙을 구성하여 달성할 수 있습니다. | 감사; 거절하다; 비활성화 | 3.3.0 |
| Azure AI 서비스 리소스는 Azure Private Link를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리하는 방식으로 데이터 유출 위험을 줄입니다. 프라이빗 링크에 대해 자세히 알아보세요. Azure Private Link란? | 감사; 비활성화 | 1.0.0 |
| Azure API for FHIR은 프라이빗 링크를 사용해야 합니다. | Azure API for FHIR에는 승인된 프라이빗 엔드포인트 연결이 하나 이상 있어야 합니다. 가상 네트워크의 클라이언트는 프라이빗 링크를 통해 프라이빗 엔드포인트 연결이 있는 리소스에 안전하게 액세스할 수 있습니다. 자세한 내용은 Azure Health Data Services에 대한 Private Link 구성을 참조하세요. | 감사; 비활성화 | 1.0.0 |
| Azure Arc 프라이빗 링크 범위는 프라이빗 엔드포인트로 구성해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Monitor Private Link 범위에 매핑하면 데이터 유출 위험을 감소합니다. 프라이빗 링크에 대해 자세히 알아보세요. 프라이빗 엔드포인트를 사용하여 Azure Private Link를 사용하여 서버를 Azure Arc에 연결합니다. | 감사; 비활성화 | 1.0.0 |
| Azure Arc 프라이빗 링크 범위가 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Arc 리소스가 퍼블릭 인터넷을 통해 연결할 수 없으므로 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 Azure Arc 리소스의 노출을 제한할 수 있습니다. 자세한 정보: Azure Private Link를 사용하여 프라이빗 엔드포인트를 사용하여 서버를 Azure Arc에 연결합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Arc 지원 Kubernetes 클러스터는 Azure Arc 프라이빗 링크 범위로 구성해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. Azure Arc 지원 서버를 프라이빗 엔드포인트로 구성된 Azure Arc 프라이빗 링크 범위에 매핑하면 데이터 유출 위험이 감소합니다. 프라이빗 링크에 대해 자세히 알아보세요. 프라이빗 엔드포인트를 사용하여 Azure Private Link를 사용하여 서버를 Azure Arc에 연결합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Arc 지원 서버는 Azure Arc 프라이빗 링크 범위로 구성해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. Azure Arc 지원 서버를 프라이빗 엔드포인트로 구성된 Azure Arc 프라이빗 링크 범위에 매핑하면 데이터 유출 위험이 감소합니다. 프라이빗 링크에 대해 자세히 알아보세요. 프라이빗 엔드포인트를 사용하여 Azure Private Link를 사용하여 서버를 Azure Arc에 연결합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Attestation 공급자는 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | Azure Attestation Service의 보안을 향상하려면 공용 인터넷에 노출되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. aka.ms/azureattestation 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Cache for Redis Enterprise는 프라이빗 링크를 사용해야 합니다. | 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 Azure Cache for Redis Enterprise 인스턴스에 매핑하면 데이터 누출 위험이 줄어듭니다. 자세한 정보: Azure Private Link를 사용하는 Azure Cache for Redis란? | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure Cache for Redis는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Cache for Redis가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 Azure Cache for Redis 노출을 제한할 수 있습니다. 자세한 정보: Azure Private Link를 사용하는 Azure Cache for Redis란? | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Cache for Redis는 프라이빗 링크를 사용해야 합니다. | 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 Azure Cache for Redis 인스턴스에 매핑하면 데이터 누출 위험이 줄어듭니다. 자세한 정보: Azure Private Link를 사용하는 Azure Cache for Redis란? | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure Cosmos DB 계정에 방화벽 규칙이 있어야 함 | 권한 없는 원본의 트래픽을 방지하기 위해 Azure Cosmos DB 계정에 방화벽 규칙을 정의해야 합니다. 가상 네트워크 필터를 사용하도록 정의된 IP 규칙이 하나 이상 있는 계정은 규정을 준수하는 것으로 간주됩니다. 퍼블릭 액세스를 비활성화한 계정도 규정을 준수하는 것으로 간주됩니다. | 감사; 거절하다; 비활성화 | 2.1.0 |
| Azure Cosmos DB는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 CosmosDB 계정이 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 CosmosDB 계정의 노출을 제한할 수 있습니다. 자세한 정보: Azure Cosmos DB 계정을 만드는 동안 공용 네트워크 액세스 차단 | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Data Explorer 클러스터는 프라이빗 링크를 사용해야 합니다. | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Data Explorer 클러스터에 매핑하면 데이터 누출 위험이 줄어듭니다. Azure Data Explorer의 프라이빗 엔드포인트에서 프라이빗 링크에 대해 자세히 알아봅니다. | 감사; 비활성화 | 1.0.0 |
| Azure Data Explorer는 프라이빗 링크를 지원하는 SKU를 사용해야 합니다. | 지원되는 SKU로 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 앱에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 링크에 대한 자세한 내용은 앱용 프라이빗 엔드포인트를 사용합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Data Factory는 프라이빗 링크를 사용해야 합니다. | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Data Factory에 매핑하면 데이터 유출 위험이 줄어듭니다. 프라이빗 링크에 대한 자세한 내용은 Azure Data Factory용 Azure Private Link를 참조하세요. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure Databricks 클러스터는 공용 IP를 사용하지 않도록 설정해야 함 | Azure Databricks 작업 영역에서 클러스터의 공용 IP를 사용하지 않도록 설정하면 클러스터가 공용 인터넷에 노출되지 않도록 하여 보안이 강화됩니다. 자세한 정보: 보안 클러스터 연결 사용 | 감사; 거절하다; 비활성화 | 1.0.1 |
| Azure Databricks 작업 영역은 가상 네트워크에 있어야 함 | Azure Virtual Network는 Azure Databricks 작업 영역 및 서브넷에 대한 향상된 보안 및 격리뿐만 아니라 서브넷, 액세스 제어 정책, 액세스를 추가로 제한하는 기타 기능을 제공합니다. 자세한 정보: Azure 가상 네트워크에 Azure Databricks 배포(VNet 삽입). | 감사; 거절하다; 비활성화 | 1.0.2 |
| Azure Databricks 작업 영역은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제어할 수 있습니다. Azure Private Link 개념에 대해 자세히 알아보세요. | 감사; 거절하다; 비활성화 | 1.0.1 |
| Azure Databricks 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Databricks 작업 영역에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 링크에 대해 자세히 알아보세요. Azure Databricks에 대한 백 엔드 프라이빗 연결 구성 | 감사; 비활성화 | 1.0.2 |
| Azure Databricks 작업 영역은 프라이빗 링크, 암호화를 위한 고객 관리형 키와 같은 기능을 지원하는 프리미엄 SKU여야 합니다. | 조직이 암호화를 위해 고객 관리형 키인 Private Link와 같은 기능을 지원하기 위해 배포할 수 있는 프리미엄 Sku에서 Databricks 작업 영역만 허용합니다. 자세한 정보: Azure Databricks에 대한 백 엔드 프라이빗 연결 구성 | 감사; 거절하다; 비활성화 | 1.0.1 |
| Azure Device Update for IoT Hub 계정은 프라이빗 링크를 사용해야 합니다. | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Device Update for IoT Hub 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure Event Grid 도메인은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. 자세한 정보: 토픽 또는 도메인에 대한 프라이빗 엔드포인트 구성 | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Event Grid 도메인은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 도메인에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. 자세한 정보: 토픽 또는 도메인에 대한 프라이빗 엔드포인트 구성 | 감사; 비활성화 | 1.0.2 |
| Azure Event Grid 네임스페이스 MQTT Broker는 프라이빗 링크를 사용해야 합니다. | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 전체 서비스 대신 Event Grid 네임스페이스에 매핑하면 데이터 유출 위험으로부터 보호됩니다. 자세한 정보: 토픽 또는 도메인에 대한 프라이빗 엔드포인트 구성 | 감사; 비활성화 | 1.0.0 |
| Azure Event Grid 네임스페이스 토픽 브로커는 프라이빗 링크를 사용해야 합니다. | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 전체 서비스 대신 Event Grid 네임스페이스에 매핑하면 데이터 유출 위험으로부터 보호됩니다. 자세한 정보: 토픽 또는 도메인에 대한 프라이빗 엔드포인트 구성 | 감사; 비활성화 | 1.0.0 |
| Azure Event Grid 네임스페이스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. 자세한 정보: 토픽 또는 도메인에 대한 프라이빗 엔드포인트 구성 | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Event Grid 토픽은 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. 자세한 정보: 토픽 또는 도메인에 대한 프라이빗 엔드포인트 구성 | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Event Grid 토픽은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 토픽에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. 자세한 정보: 토픽 또는 도메인에 대한 프라이빗 엔드포인트 구성 | 감사; 비활성화 | 1.0.2 |
| Azure 파일 동기화는 프라이빗 링크를 사용해야 함 | 표시된 Storage Sync Service 리소스의 프라이빗 엔드포인트를 만들면 인터넷에서 액세스할 수 있는 퍼블릭 엔드포인트를 사용하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스를 처리할 수 있습니다. 프라이빗 엔드포인트를 자체적으로 만든다고 해서 퍼블릭 엔드포인트가 비활성화되지 않습니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure Front Door 프로필은 관리되는 WAF 규칙 및 프라이빗 링크를 지원하는 프리미엄 계층을 사용해야 합니다. | Azure Front Door Premium은 지원되는 Azure 원본에 대한 Azure 관리형 WAF 규칙 및 프라이빗 링크를 지원합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure HDInsight는 프라이빗 링크를 사용해야 합니다. | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure HDInsight 클러스터에 매핑하면 데이터 누출 위험을 줄일 수 있습니다. 프라이빗 링크에 대한 자세한 내용은 Azure HDInsight 클러스터에서 Private Link를 사용하도록 설정합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure Health Data Services 식별 해제 서비스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. | 감사; 비활성화 | 1.0.0 |
| Azure Health Data Services 식별 해제 서비스는 프라이빗 링크를 사용해야 합니다. | Azure Health Data Services 식별 해제 서비스에는 승인된 프라이빗 엔드포인트 연결이 하나 이상 있어야 합니다. 가상 네트워크의 클라이언트는 프라이빗 링크를 통해 프라이빗 엔드포인트 연결이 있는 리소스에 안전하게 액세스할 수 있습니다. | 감사; 비활성화 | 1.0.0 |
| Azure Health Data Services 작업 영역에서 프라이빗 링크를 사용해야 합니다. | Health Data Services 작업 영역에는 승인된 프라이빗 엔드포인트 연결이 하나 이상 있어야 합니다. 가상 네트워크의 클라이언트는 프라이빗 링크를 통해 프라이빗 엔드포인트 연결이 있는 리소스에 안전하게 액세스할 수 있습니다. 자세한 내용은 Azure Health Data Services에 대한 Private Link 구성을 참조하세요. | 감사; 비활성화 | 1.0.0 |
| Azure Key Vault에서 공용 네트워크 액세스를 사용할 수 없음 | 공용 인터넷을 통해 액세스할 수 없도록 키 자격 증명 모음에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. 자세한 정보: Azure Private Link와 Key Vault 통합 | 감사; 거절하다; 비활성화 | 1.1.0 |
| Azure Key Vault에는 방화벽을 사용하도록 설정하거나 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 키 자격 증명 모음이 기본적으로 공용 IP에 액세스할 수 없도록 키 자격 증명 모음 방화벽을 사용하도록 설정하거나, 공용 인터넷을 통해 액세스할 수 없도록 키 자격 증명 모음에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 필요에 따라, 특정 IP 범위를 구성하여 해당 네트워크에 대한 액세스를 제한할 수 있습니다. 자세한 정보: Azure Key Vault에 대한 네트워크 보안 및 Azure Private Link와 Key Vault 통합 | 감사; 거절하다; 비활성화 | 3.3.0 |
| Azure Key Vault에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 키 자격 증명 모음에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 링크에 대해 자세히 알아보세요. Azure Private Link와 Key Vault 통합 | 감사; 거절하다; 비활성화 | 1.2.1 |
| Azure Machine Learning 컴퓨팅은 가상 네트워크에 있어야 합니다. | Azure Virtual Network는 Azure Machine Learning 컴퓨팅 클러스터 및 인스턴스에 대한 강화된 보안 및 격리는 물론 서브넷, 액세스 제어 정책 및 액세스를 추가로 제한하는 기타 기능을 제공합니다. 컴퓨팅이 가상 네트워크로 구성된 경우 공개적으로 주소를 지정할 수 없으며 가상 네트워크 내의 가상 머신 및 애플리케이션에서만 액세스할 수 있습니다. | 감사; 비활성화 | 1.0.1 |
| Azure Machine Learning 작업 영역은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Machine Learning 작업 영역이 공용 인터넷에 노출되지 않으므로 보안이 강화됩니다. 대신 프라이빗 엔드포인트를 만들어 작업 영역의 노출을 제어할 수 있습니다. 자세한 정보: Azure Machine Learning 작업 영역에 대한 프라이빗 엔드포인트 구성 | 감사; 거절하다; 비활성화 | 2.0.1 |
| Azure Machine Learning 및 Ai Studio는 승인된 아웃바운드 관리형 Vnet 모드만 허용을 사용해야 합니다. | 관리되는 VNet 격리는 기본 제공 작업 영역 수준 Azure Machine Learning 관리형 VNet을 사용하여 네트워크 격리 구성을 간소화하고 자동화합니다. 관리형 VNet은 컴퓨팅 인스턴스, 컴퓨팅 클러스터, 서버리스 컴퓨팅 및 관리형 온라인 엔드포인트와 같은 관리되는 Azure Machine Learning 리소스를 보호합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Machine Learning 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Machine Learning 작업 영역에 매핑하면 데이터 유출 위험이 줄어듭니다. 프라이빗 링크에 대해 자세히 알아보세요. Azure Machine Learning 작업 영역에 대한 프라이빗 엔드포인트 구성 | 감사; 비활성화 | 1.0.0 |
| Azure Managed Grafana 작업 영역은 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Managed Grafana 작업 영역이 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 작업 영역의 노출을 제한할 수 있습니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Managed Grafana 작업 영역에서 프라이빗 링크를 사용해야 합니다. | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Managed Grafana에 매핑하면 데이터 누출 위험을 줄일 수 있습니다. | 감사; 비활성화 | 1.0.1 |
| Azure Monitor Private Link 범위는 프라이빗 링크가 아닌 리소스에 대한 액세스를 차단해야 함 | Azure Private Link를 사용하면 AMPLS(Azure Monitor Private Link Scope)에 대한 프라이빗 엔드포인트를 통해 가상 네트워크를 Azure 리소스에 연결할 수 있습니다. Private Link 액세스 모드는 네트워크의 수집 및 쿼리 요청이 모든 리소스에 연결할 수 있는지 또는 Private Link 리소스에만 연결할 수 있는지(데이터 반출을 방지하기 위해) 여부를 제어하기 위해 AMPLS에 설정됩니다. 프라이빗 링크에 대한 자세한 내용은 Azure Private Link 액세스 모드(프라이빗 전용 및 열기)를 참조하세요. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Monitor Private Link 범위는 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Monitor Private Link 범위에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 링크에 대해 자세히 알아보세요. Azure Private Link를 사용하여 네트워크를 Azure Monitor에 연결합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure Purview 계정은 프라이빗 링크를 사용해야 합니다. | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 Azure Purview 계정에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호됩니다. 자세한 정보: 클래식 Microsoft Purview 거버넌스 포털에서 프라이빗 엔드포인트를 사용합니다. | 감사; 비활성화 | 1.0.0 |
| Azure SQL Managed Instance에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | Azure SQL Managed Instance에서 공용 네트워크 액세스(퍼블릭 엔드포인트)를 사용하지 않도록 설정하면 가상 네트워크 또는 프라이빗 엔드포인트 내에서만 액세스할 수 있도록 보장함으로써 보안이 향상됩니다. 공용 네트워크 액세스에 대한 자세한 내용은 퍼블 릭 엔드포인트 구성을 참조하세요. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Service Bus 네임스페이스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Service Bus 네임스페이스에 매핑하면 데이터 누출 위험이 줄어듭니다. 자세한 정보: 프라이빗 엔드포인트를 통해 Azure Service Bus 네임스페이스에 대한 액세스 허용. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure SignalR Service는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | Azure SignalR Service 리소스의 보안을 향상하려면 공용 인터넷에 노출되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. 네트워크 액세스 제어 구성에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. | 감사; 거절하다; 비활성화 | 1.2.0 |
| Azure SignalR Service는 Private Link 사용 SKU를 사용해야 합니다. | Azure Private Link를 사용하면 공용 데이터 유출 위험으로부터 리소스를 보호하는 원본 또는 대상의 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. 이 정책은 Azure SignalR Service에 대한 Private Link 사용 SKU로 제한됩니다. 프라이빗 링크에 대해 자세히 알아보세요. 프라이빗 엔드포인트 사용 | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure SignalR Service는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 전체 서비스가 아닌 Azure SignalR Service 리소스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 링크에 대해 자세히 알아보세요. 프라이빗 엔드포인트 사용 | 감사; 비활성화 | 1.0.0 |
| Azure Spring Cloud는 네트워크 주입을 사용해야 함 | Azure Spring Cloud 인스턴스는 다음과 같은 용도로 가상 네트워크 주입을 사용해야 합니다. 1. Azure Spring Cloud를 인터넷에서 격리합니다. 2. Azure Spring Cloud를 사용하여 온-프레미스 데이터 센터의 시스템 또는 다른 가상 네트워크의 Azure 서비스와 상호 작용할 수 있습니다. 3. 고객이 Azure Spring Cloud에 대한 인바운드 및 아웃바운드 네트워크 통신을 제어할 수 있습니다. | 감사; 비활성화; 거절하다 | 1.2.0 |
| Azure Synapse 작업 영역은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Synapse 작업 영역이 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 Synapse 작업 영역의 노출을 제한할 수 있습니다. 자세한 정보: Azure Synapse Analytics 연결 설정 | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Synapse 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Synapse 작업 영역에 매핑하면 데이터 누출 위험이 줄어듭니다. 프라이빗 링크에 대해 자세히 알아보세요. 프라이빗 링크를 사용하여 Azure Synapse 작업 영역에 연결합니다. | 감사; 비활성화 | 1.0.1 |
| Azure Virtual Desktop 호스트 풀은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Virtual Desktop 서비스에 대한 액세스가 공용 인터넷에 노출되지 않도록 하여 보안을 강화하고 데이터를 안전하게 유지합니다. 자세한 정보: Azure Virtual Desktop을 사용하여 Private Link 설정 | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Virtual Desktop 호스트 풀은 세션 호스트에서만 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | Azure Virtual Desktop 호스트 풀 세션 호스트에 대한 공용 네트워크 액세스를 사용하지 않도록 설정하지만 최종 사용자에 대한 공용 액세스를 허용하면 공용 인터넷에 대한 노출을 제한하여 보안이 향상됩니다. 자세한 정보: Azure Virtual Desktop을 사용하여 Private Link 설정 | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Virtual Desktop 서비스는 프라이빗 링크를 사용해야 합니다. | Azure Virtual Desktop 리소스와 함께 Azure Private Link를 사용하면 보안을 개선하고 데이터를 안전하게 유지할 수 있습니다. 프라이빗 링크에 대한 자세한 내용은 Azure Virtual Desktop을 사용하여 Private Link를 설정합니다. | 감사; 비활성화 | 1.0.0 |
| Azure Virtual Desktop 작업 영역에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | Azure Virtual Desktop 작업 영역 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정하면 공용 인터넷을 통해 피드에 액세스할 수 없습니다. 프라이빗 네트워크 액세스만 허용하면 보안이 향상되고 데이터를 안전하게 유지할 수 있습니다. 자세한 정보: Azure Virtual Desktop을 사용하여 Private Link 설정 | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Web PubSub 서비스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Web PubSub 서비스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 Azure Web PubSub 서비스의 노출을 제한할 수 있습니다. 자세한 내용은 Azure Web PubSub 네트워크 액세스 제어를 참조하세요. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Web PubSub 서비스는 프라이빗 링크를 지원하는 SKU를 사용해야 함 | 지원되는 SKU를 사용하여 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Web PubSub 서비스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 링크에 대해 자세히 알아보세요. Azure Web PubSub 서비스 프라이빗 엔드포인트. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Web PubSub 서비스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Web PubSub 서비스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 링크에 대해 자세히 알아보세요. Azure Web PubSub 서비스 프라이빗 엔드포인트. | 감사; 비활성화 | 1.0.0 |
| Bot Service는 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 봇은 '격리된 전용' 모드로 설정해야 합니다. 이 설정은 공용 인터넷을 통해 트래픽을 사용하지 않도록 설정해야 하는 Bot Service 채널을 구성합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| BotService 리소스는 프라이빗 링크를 사용해야 합니다. | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 BotService 리소스에 매핑하면 데이터 누출 위험이 줄어듭니다. | 감사; 비활성화 | 1.0.0 |
| Container Apps 환경에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 내부 부하 분산 장치를 통해 Container Apps 환경을 노출하여 보안을 개선하기 위해 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이렇게 하면 공용 IP 주소가 필요하지 않으며 환경 내의 모든 Container Apps에 대한 인터넷 액세스가 차단됩니다. | 감사; 거절하다; 비활성화 | 1.1.0 |
| 컨테이너 레지스트리에는 프라이빗 링크를 지원하는 SKU가 있어야 합니다. | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 전체 서비스 대신 컨테이너 레지스트리에 매핑하면 데이터 누출 위험이 줄어듭니다. 자세한 정보: ACR용 Private Link를 사용하여 프라이빗 엔드포인트 설정 | 감사; 거절하다; 비활성화 | 1.0.0 |
| 컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 | 기본적으로 Azure Container Registry는 모든 네트워크에 있는 호스트로부터의 인터넷 연결을 수락합니다. 잠재적인 위협으로부터 레지스트리를 보호하려면 특정 프라이빗 엔드포인트, 공용 IP 주소 또는 주소 범위에서만 액세스를 허용합니다. 레지스트리에 네트워크 규칙이 구성되어 있지 않으면 비정상 리소스에 나타납니다. ACR용 Private Link를 사용하여 프라이빗 엔드포인트 설정, Azure에서 공용 레지스트리 액세스 구성 , 서비스 엔드포인트를 사용하여 Azure Container Registry에 대한 액세스 제한 등 컨테이너 레지스트리 네트워크 규칙에 대해 자세히 알아보세요. | 감사; 거절하다; 비활성화 | 2.0.0 |
| 컨테이너 레지스트리는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 프라이빗 엔드포인트를 컨테이너 레지스트리에 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. 자세한 정보: ACR용 Private Link를 사용하여 프라이빗 엔드포인트 설정 | 감사; 비활성화 | 1.0.1 |
| CosmosDB 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 CosmosDB 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. 프라이빗 링크에 대한 자세한 내용은 Azure Cosmos DB 계정에 대한 Azure Private Link 구성을 참조하세요. | 감사; 비활성화 | 1.0.0 |
| 디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 diskAccesses에 매핑하면 데이터 누출 위험이 줄어듭니다. 프라이빗 링크에 대해 자세히 알아보세요. 관리 디스크에 대한 가져오기/내보내기 액세스 제한 | AuditIfNotExists; 비활성화 | 1.0.0 |
| ElasticSan은 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 인터넷을 통해 액세스할 수 없도록 ElasticSan에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Event Hub 네임스페이스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | Azure Event Hub는 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. 자세한 정보: 프라이빗 엔드포인트를 통해 Azure Event Hubs 네임스페이스에 대한 액세스 허용 | 감사; 거절하다; 비활성화 | 1.0.0 |
| Event Hub 네임스페이스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Event Hub 네임스페이스에 매핑하면 데이터 누출 위험이 줄어듭니다. 자세한 정보: 프라이빗 엔드포인트를 통해 Azure Event Hubs 네임스페이스에 대한 액세스 허용 | AuditIfNotExists; 비활성화 | 1.0.0 |
| 함수 앱 슬롯은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 함수 앱이 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 함수 앱의 노출을 제한할 수 있습니다. 자세한 정보: 앱용 프라이빗 엔드포인트 사용 | 감사; 비활성화; 거절하다 | 1.1.0 |
| 함수 앱은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 함수 앱이 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 함수 앱의 노출을 제한할 수 있습니다. 자세한 정보: 앱용 프라이빗 엔드포인트 사용 | 감사; 비활성화; 거절하다 | 1.1.0 |
| IoT Central은 프라이빗 링크를 사용해야 합니다. | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 전체 서비스 대신 IoT Central 애플리케이션에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 링크에 대한 자세한 내용은 IoT Central에서 프라이빗 엔드포인트를 사용하는 네트워크 보안입니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| IoT Hub 디바이스 프로비저닝 서비스 인스턴스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 IoT Hub 디바이스 프로비저닝 서비스 인스턴스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 IoT Hub 디바이스 프로비저닝 인스턴스의 노출을 제한할 수 있습니다. 자세한 내용은 DPS용 가상 네트워크 연결입니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| IoT Hub 디바이스 프로비저닝 서비스 인스턴스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 IoT Hub 디바이스 프로비저닝 서비스에 매핑하면 데이터 누출 위험이 줄어듭니다. 프라이빗 링크에 대한 자세한 내용은 DPS용 가상 네트워크 연결입니다. | 감사; 비활성화 | 1.0.0 |
| Log Analytics 작업 영역은 공용 네트워크에서 로그 수집 및 쿼리를 차단해야 함 | 공용 네트워크에서 로그 수집 및 쿼리를 차단하여 작업 영역 보안을 향상합니다. 프라이빗 링크로 연결된 네트워크만 이 작업 영역의 로그를 수집하고 쿼리할 수 있습니다. Azure Private Link를 사용하여 네트워크를 Azure Monitor에 연결하는 방법에 대해 자세히 알아봅니다. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 1.1.0 |
| 관리 디스크는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 관리 디스크가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 관리 디스크의 노출을 제한할 수 있습니다. 자세한 정보: 관리 디스크에 대한 가져오기/내보내기 액세스를 제한합니다. | 감사; 거절하다; 비활성화 | 2.1.0 |
| Azure SQL Database에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함 | 프라이빗 엔드포인트 연결은 Azure SQL Database에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. | 감사; 비활성화 | 1.1.0 |
| 프라이빗 엔드포인트를 MariaDB 서버에서 사용할 수 있어야 합니다. | 프라이빗 엔드포인트 연결은 Azure Database for MariaDB에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. 알려진 네트워크에서 들어오는 트래픽에만 액세스할 수 있고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단하도록 프라이빗 엔드포인트 연결을 구성합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| 프라이빗 엔드포인트를 MySQL 서버에서 사용할 수 있어야 합니다. | 프라이빗 엔드포인트 연결은 Azure Database for MySQL에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. 알려진 네트워크에서 들어오는 트래픽에만 액세스할 수 있고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단하도록 프라이빗 엔드포인트 연결을 구성합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| 프라이빗 엔드포인트를 PostgreSQL 서버에서 사용할 수 있어야 합니다. | 프라이빗 엔드포인트 연결은 Azure Database for PostgreSQL에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. 알려진 네트워크에서 들어오는 트래픽에만 액세스할 수 있고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단하도록 프라이빗 엔드포인트 연결을 구성합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| IoT Hub 계정에 대한 Azure Device Update에 대한 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure Device Update for IoT Hub 계정에 액세스할 수 있도록 하여 보안이 향상됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Data Explorer에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure Data Explorer에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Data Factory에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 Azure Data Factory가 프라이빗 엔드포인트에서만 액세스할 수 있도록 하여 보안이 향상됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure IoT Hub에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 Azure IoT Hub가 프라이빗 엔드포인트에서만 액세스할 수 있도록 하여 보안이 향상됩니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. | 감사; 거절하다; 비활성화 | 1.1.0 |
| Azure 파일 동기화의 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 퍼블릭 엔드포인트를 사용하지 않도록 설정하면 Storage Sync Service에 대한 액세스를 조직의 네트워크에서 승인된 프라이빗 엔드포인트로 향하는 요청으로 제한할 수 있습니다. 퍼블릭 엔드포인트에 대한 요청을 허용할 때 기본적으로 안전하지 않은 것은 없지만 규정, 법률 또는 조직 정책 요구 사항을 충족하기 위해 사용하지 않도록 설정할 수 있습니다. 리소스의 incomingTrafficPolicy를 AllowVirtualNetworksOnly로 설정하여 Storage Sync Service에 대한 퍼블릭 엔드포인트를 사용하지 않도록 설정할 수 있습니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| Batch 계정에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | Batch 계정에서 공용 네트워크 액세스를 사용하지 않도록 설정하면 Batch 계정이 프라이빗 엔드포인트에서만 액세스할 수 있도록 하여 보안이 향상됩니다. Azure Batch 계정으로 프라이빗 엔드포인트 사용에서 공용 네트워크 액세스를 사용하지 않도록 설정하는 방법에 대해 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| 컨테이너 레지스트리에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 컨테이너 레지스트리가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 컨테이너 레지스트리 리소스의 노출을 제한할 수 있습니다. 자세한 정보: Azure에서 공용 레지스트리 액세스 구성 및 ACR용 Private Link를 사용하여 프라이빗 엔드포인트 설정 | 감사; 거절하다; 비활성화 | 1.0.0 |
| IoT Central에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | IoT Central의 보안을 향상하려면 공용 인터넷에 노출되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. Azure IoT Central에 대한 프라이빗 엔드포인트 만들기에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| MariaDB 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하여 보안을 강화하고 프라이빗 엔드포인트에서만 Azure Database for MariaDB에 액세스할 수 있도록 합니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간의 액세스를 엄격하게 차단하고, IP 또는 가상 네트워크 기반 방화벽 규칙에 부합하는 모든 로그인을 거부합니다. | 감사; 거절하다; 비활성화 | 2.0.0 |
| MariaDB 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하여 보안을 강화하고 프라이빗 엔드포인트에서만 Azure Database for MariaDB에 액세스할 수 있도록 합니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간의 액세스를 엄격하게 차단하고, IP 또는 가상 네트워크 기반 방화벽 규칙에 부합하는 모든 로그인을 거부합니다. | 감사; 거절하다; 비활성화 | 2.0.0 |
| MySQL 유연한 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 Azure Database for MySQL 유연한 서버가 프라이빗 엔드포인트에서만 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간의 액세스를 엄격하게 사용하지 않도록 설정하고 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. | 감사; 거절하다; 비활성화 | 2.3.0 |
| MySQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하여 보안을 강화하고 프라이빗 엔드포인트에서만 Azure Database for MySQL에 액세스할 수 있도록 합니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간의 액세스를 엄격하게 차단하고, IP 또는 가상 네트워크 기반 방화벽 규칙에 부합하는 모든 로그인을 거부합니다. | 감사; 거절하다; 비활성화 | 2.0.0 |
| PostgreSQL 유연한 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 Azure Database for PostgreSQL 유연한 서버가 프라이빗 엔드포인트에서만 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 엄격하게 사용하지 않도록 설정하고 IP 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. | 감사; 거절하다; 비활성화 | 3.1.0 |
| PostgreSQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하여 보안을 강화하고 프라이빗 엔드포인트에서만 Azure Database for PostgreSQL에 액세스할 수 있도록 합니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. | 감사; 거절하다; 비활성화 | 2.0.1 |
| Service Bus 네임스페이스는 공용 네트워크 액세스를 비활성화해야 합니다. | Azure Service Bus는 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. 자세한 정보: 프라이빗 엔드포인트를 통해 Azure Service Bus 네임스페이스에 대한 액세스 허용 | 감사; 거절하다; 비활성화 | 1.1.0 |
| 스토리지 계정 공용 액세스를 허용하지 않아야 합니다. | Azure Storage의 컨테이너 및 BLOB에 대한 익명 공용 읽기 액세스는 데이터를 공유하는 편리한 방법이지만 보안 위험이 있을 수도 있습니다. 원치 않는 익명 액세스로 인해 발생하는 데이터 위반을 방지하기 위해 Microsoft는 시나리오에 필요한 경우가 아니면 스토리지 계정에 대한 공개 액세스를 방지하는 것이 좋습니다 | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 3.1.1 |
| 스토리지 계정에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 스토리지 계정의 보안을 향상시키려면 공용 인터넷에 공개되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. 스토리지 계정 공용 네트워크 액세스에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. | 감사; 거절하다; 비활성화 | 1.0.1 |
| 스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사; 거절하다; 비활성화 | 1.1.1 |
| 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | IP 기반 필터링 대신 기본 방법으로 가상 네트워크 규칙을 사용하여 잠재적인 위협으로부터 스토리지 계정을 보호합니다. IP 기반 필터링을 사용하지 않도록 설정하면 공용 IP에서 스토리지 계정에 액세스할 수 없습니다. | 감사; 거절하다; 비활성화 | 1.0.1 |
| 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함(Databricks에서 만들어진 스토리지 계정 제외) | IP 기반 필터링 대신 기본 방법으로 가상 네트워크 규칙을 사용하여 잠재적인 위협으로부터 스토리지 계정을 보호합니다. IP 기반 필터링을 사용하지 않도록 설정하면 공용 IP에서 스토리지 계정에 액세스할 수 없습니다. | 감사; 거절하다; 비활성화 | 1.0.0 |
| 스토리지 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. 프라이빗 링크에 대해 자세히 알아보기 - Azure Private Link란? | AuditIfNotExists; 비활성화 | 2.0.0 |
| 스토리지 계정은 프라이빗 링크를 사용해야 함(Databricks에서 만든 스토리지 계정 제외) | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. 프라이빗 링크에 대해 자세히 알아보기 - Azure Private Link란? | AuditIfNotExists; 비활성화 | 1.0.0 |
| VM Image Builder 템플릿은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 VM Image Builder에 매핑하여 리소스를 구성하면 데이터 누출 위험이 줄어듭니다. 프라이빗 링크에 대한 자세한 내용은 Azure VM Image Builder 네트워킹 옵션 - 기존 VNET을 사용하여 배포합니다. | 감사; 비활성화; 거절하다 | 1.1.0 |
| [미리 보기]: Azure Key Vault 관리되는 HSM에서 공용 네트워크 액세스를 사용할 수 없음 | 공용 인터넷을 통해 액세스할 수 없도록 Azure Key Vault 관리되는 HSM에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. 자세한 정보: 신뢰할 수 있는 서비스가 관리형 HSM에 액세스하도록 허용합니다. | 감사; 거절하다; 비활성화 | 1.0.0-preview |
| [미리 보기]: Azure Key Vault 관리되는 HSM은 프라이빗 링크를 사용해야 합니다. | 프라이빗 링크는 공용 인터넷을 통해 트래픽을 보내지 않고 Azure Key Vault 관리되는 HSM을 Azure 리소스에 연결하는 방법을 제공합니다. 프라이빗 링크는 데이터 반출에 대한 심층 방어 기능을 제공합니다. 자세한 정보: Azure Private Link와 관리형 HSM 통합 | 감사; 비활성화 | 1.0.0-preview |
| [미리 보기]: Azure Recovery Services 자격 증명 모음은 백업을 위해 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Recovery Services 자격 증명 모음에 매핑하면 데이터 누출 위험이 줄어듭니다. 프라이빗 링크에 대해 자세히 알아보세요. Azure Backup에 대한 프라이빗 엔드포인트 만들기 및 사용 | 감사; 비활성화 | 2.0.0-preview |
| [미리 보기]: Recovery Services 자격 증명 모음은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Recovery Services 자격 증명 모음에 매핑하면 데이터 누출 위험이 줄어듭니다. Azure Site Recovery에 대한 프라이빗 링크에 대해 자세히 알아보세요. 프라이빗 엔드포인트가 있는 온-프레미스 머신에 대한 복제 를 사용하도록 설정하고 Azure Site Recovery에서 프라이빗 엔드포인트에 대한 복제를 사용하도록 설정합니다. | 감사; 비활성화 | 1.0.0-preview |
NS-3: 엔터프라이즈 네트워크의 에지에 방화벽 배포
자세한 내용은 네트워크 보안: NS-3: 엔터프라이즈 네트워크의 가장자리에 방화벽 배포를 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
| 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
| 가상 머신에서 관리 포트를 닫아야 합니다. | 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
| [미리 보기]: 모든 인터넷 트래픽은 배포된 Azure Firewall을 통해 라우팅되어야 함 | Azure Security Center에서 일부 서브넷이 차세대 방화벽으로 보호되지 않는 것으로 확인되었습니다. Azure Firewall 또는 지원되는 차세대 방화벽으로 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. | AuditIfNotExists; 비활성화 | 3.0.0-preview |
NS-5: DDOS 보호 배포
자세한 내용은 네트워크 보안: NS-5: DDOS 보호 배포를 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Azure DDoS Protection을 사용하도록 설정해야 함 | 공용 IP를 사용하는 애플리케이션 게이트웨이의 일부인 서브넷이 포함된 모든 가상 네트워크에 DDoS 보호를 사용하도록 설정해야 합니다. | AuditIfNotExists; 비활성화 | 3.0.1 |
| 가상 네트워크는 Azure DDoS Protection으로 보호되어야 합니다. | Azure DDoS Protection을 사용하여 볼륨 및 프로토콜 공격으로부터 가상 네트워크를 보호합니다. 자세한 내용은 Azure DDoS Protection 개요를 참조하세요. | 수정하다; 감사; 비활성화 | 1.0.1 |
NS-6: 웹 애플리케이션 방화벽 배포
자세한 내용은 네트워크 보안: NS-6: 웹 애플리케이션 방화벽 배포를 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Azure Front Door 진입점에 대해 Azure Web Application Firewall을 사용하도록 설정해야 함 | 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가/지역, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. | 감사; 거절하다; 비활성화 | 1.0.2 |
| Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 | 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가/지역, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. | 감사; 거절하다; 비활성화 | 2.0.0 |
NS-8: 안전하지 않은 서비스 및 프로토콜 검색 및 사용 안 함
자세한 내용은 네트워크 보안: NS-8: 안전하지 않은 서비스 및 프로토콜 검색 및 비활성화를 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| App Service 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists; 비활성화 | 2.2.0 |
| 함수 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists; 비활성화 | 2.3.0 |
PA-1: 높은 권한/관리 사용자 분리 및 제한
자세한 내용은 Privileged Access: PA-1: 높은 권한/관리 사용자를 분리하고 제한합니다.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| 구독에 최대 3명의 소유자를 지정해야 합니다. | 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
| Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 | 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| 구독에 둘 이상의 소유자를 할당해야 합니다. | 관리자 액세스 중복성을 유지하려면 둘 이상의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
PA-2: 사용자 계정 및 권한에 대한 상주 액세스 방지
자세한 내용은 Privileged Access: PA-2: 사용자 계정 및 권한에 대한 고정 액세스 방지를 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
PA-4: 정기적으로 사용자 액세스 검토 및 조정
자세한 내용은 Privileged Access: PA-4: 정기적으로 사용자 액세스 검토 및 조정을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 | 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 | 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
PA-7: 충분한 관리(최소 권한) 원칙을 따릅니다.
자세한 내용은 Privileged Access: PA-7: 충분한 관리(최소 권한) 원칙을 따르세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| API 관리 구독의 범위를 모든 API로 지정해서는 안 됨 | API Management 구독의 범위는 과도한 데이터 노출을 초래할 수 있는 모든 API가 아닌 제품 또는 개별 API로 지정해야 합니다. | 감사; 비활성화; 거절하다 | 1.1.0 |
| 사용자 지정 RBAC 역할의 사용량 감사 | 오류가 발생하기 쉬운 사용자 지정 RBAC 역할 대신 '소유자, 기여자, 읽기 권한자' 같은 기본 제공 역할을 감사합니다. 사용자 지정 역할 사용은 예외로 처리되며 엄격한 검토 및 위협 모델링이 필요합니다. | 감사; 비활성화 | 1.0.1 |
| Azure Key Vault에서 RBAC 권한 모델을 사용해야 함 | Key Vault 전반에서 RBAC 권한 모델을 사용하도록 설정합니다. 자세한 정보: 자격 증명 모음 액세스 정책에서 Azure 역할 기반 액세스 제어 권한 모델로 마이그레이션 | 감사; 거절하다; 비활성화 | 1.0.1 |
| Kubernetes Services에서 RBAC(역할 기반 액세스 제어)를 사용해야 함 | 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. | 감사; 비활성화 | 1.1.0 |
PV-2: 보안 구성 감사 및 적용
자세한 내용은 자세 및 취약성 관리: PV-2: 보안 구성 감사 및 적용을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| API Management 직접 관리 엔드포인트를 사용하도록 설정하면 안 됨 | Azure API Management의 직접 관리 REST API는 Azure Resource Manager 역할 기반 액세스 제어, 권한 부여, 제한 메커니즘을 우회하여 서비스의 취약성을 높입니다. | 감사; 비활성화; 거절하다 | 1.0.2 |
| App Service 앱에서 '클라이언트 인증서(들어오는 클라이언트 인증서)'가 사용하도록 설정되어 있어야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| App Service 앱에 원격 디버깅이 비활성화되어 있어야 함 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists; 비활성화 | 2.0.0 |
| App Service 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 | CORS(원본 간 리소스 공유)는 앱에 액세스하는 모든 도메인을 허용해서는 안 됩니다. 필요한 도메인만 앱과 상호 작용하도록 허용합니다. | AuditIfNotExists; 비활성화 | 2.0.0 |
| Azure API Management 플랫폼 버전은 stv2여야 합니다. | Azure API Management stv1 컴퓨팅 플랫폼 버전은 2024년 8월 31일부터 사용 중지되며, 지속적인 지원을 위해 이러한 인스턴스를 stv2 컴퓨팅 플랫폼으로 마이그레이션해야 합니다. API Management stv1 플랫폼 사용 중지 - 글로벌 Azure 클라우드에서 자세히 알아보기(2024년 8월) | 감사; 거절하다; 비활성화 | 1.0.0 |
| Azure Arc 지원 Kubernetes 클러스터에 Azure Policy 확장이 설치되어 있어야 함 | Azure Arc용 Azure Policy 확장은 일관된 중앙 집중식 방식으로 Arc 지원 Kubernetes 클러스터에 대규모 적용 및 보호를 제공합니다. Kubernetes 클러스터에 대한 Azure Policy 이해에 대해 자세히 알아봅니다. | AuditIfNotExists; 비활성화 | 1.1.0 |
| 최신 소프트웨어 업데이트를 가져오려면 Azure Machine Learning 컴퓨팅 인스턴스를 다시 만들어야 합니다. | Azure Machine Learning 컴퓨팅 인스턴스가 사용 가능한 최신 운영 체제에서 실행되는지 확인합니다. 최신 보안 패치를 실행하여 보안이 개선되고 취약성이 줄어듭니다. 자세한 내용은 취약성 관리를 참조하세요. | n/a | 1.0.3 |
| 클러스터에 AKS(Azure Kubernetes Service)용 Azure Policy 추가 기능을 설치하고 사용하도록 설정해야 함 | AKS(Azure Kubernetes Service)용 Azure Policy 추가 기능은 OPA(Open Policy Agent)용 허용 컨트롤러 웹후크인 Gatekeeper v3를 확장하여 일관된 중앙 집중식 방법으로 클러스터에 대규모 규약 및 세이프가드를 적용합니다. | 감사; 비활성화 | 1.0.2 |
| 함수 앱은 클라이언트 인증서(들어오는 클라이언트 인증서)를 사용하도록 설정해야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists; 비활성화 | 1.1.0 |
| 함수 앱에 원격 디버깅이 해제되어 있어야 함 | 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists; 비활성화 | 2.1.0 |
| 함수 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 | CORS(교차 원본 리소스 공유)는 함수 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. | AuditIfNotExists; 비활성화 | 2.1.0 |
| Kubernetes 클러스터 컨테이너 CPU 및 메모리 리소스 제한은 지정된 제한을 초과하면 안 됩니다. | Kubernetes 클러스터에서 리소스 소모 공격을 방지하기 위해 컨테이너 CPU 및 메모리 리소스 제한을 적용합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 9.3.0 |
| Kubernetes 클러스터 컨테이너는 호스트 네임스페이스를 공유해서는 안 됩니다. | Pod 컨테이너가 Kubernetes 클러스터에서 호스트 프로세스 ID 네임스페이스, 호스트 IPC 네임스페이스 및 호스트 네트워크 네임스페이스를 공유하지 못하도록 차단합니다. 이 권장 사항은 호스트 네임스페이스에 대한 Kubernetes Pod 보안 표준에 부합하며 Kubernetes 환경의 보안을 개선하기 위한 CIS 5.2.1, 5.2.2 및 5.2.3의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 거절하다; 비활성화 | 6.0.0 |
| Kubernetes 클러스터 컨테이너는 허용된 AppArmor 프로필만 사용해야 함 | 컨테이너는 Kubernetes 클러스터에서 허용된 AppArmor 프로필만 사용해야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 6.2.1 |
| Kubernetes 클러스터 컨테이너는 허용되는 기능만 사용해야 합니다. | Kubernetes 클러스터에서 컨테이너의 공격 노출 영역을 줄이기 위해 기능을 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.8 및 CIS 5.2.9의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 6.2.0 |
| Kubernetes 클러스터 컨테이너는 허용된 이미지만 사용해야 합니다. | 신뢰할 수 있는 레지스트리의 이미지를 사용하여 알 수 없는 취약성, 보안 문제 및 악성 이미지에 대한 Kubernetes 클러스터의 노출 위험을 줄입니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 9.3.0 |
| Kubernetes 클러스터 컨테이너는 읽기 전용 루트 파일 시스템에서 실행되어야 함 | 읽기 전용 루트 파일 시스템을 통해 컨테이너를 실행하여 Kubernetes 클러스터의 PATH에 추가된 악성 이진 파일로 인한 런타임 시 변경으로부터 보호합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 6.3.0 |
| Kubernetes 클러스터 Pod hostPath 볼륨은 허용된 호스트 경로만 사용해야 함 | Pod HostPath 볼륨 탑재를 Kubernetes 클러스터에서 허용된 호스트 경로로 제한합니다. 이 정책은 일반적으로 AKS(Kubernetes Service) 및 Azure Arc 지원 Kubernetes에 사용할 수 있습니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 6.3.0 |
| Kubernetes 클러스터 Pod 및 컨테이너는 승인된 사용자 및 그룹 ID로만 실행해야 함 | Pod 및 컨테이너가 Kubernetes 클러스터에서 실행하는 데 사용할 수 있는 사용자, 기본 그룹, 보조 그룹 및 파일 시스템 그룹 ID를 제어합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 6.2.0 |
| Kubernetes 클러스터 Pod는 승인된 호스트 네트워크 및 포트 목록만 사용해야 합니다. | Kubernetes 클러스터에서 호스트 네트워크 및 허용 가능한 호스트 포트에 대한 Pod 액세스를 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 개선하기 위한 CIS 5.2.4의 일부이며 hostPorts에 대한 Pod 보안 표준(PSS)과 일치합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 거절하다; 비활성화 | 7.0.0 |
| Kubernetes 클러스터 서비스는 허용된 포트에서만 수신 대기해야 합니다. | Kubernetes 클러스터에 대한 액세스를 보호하기 위해 서비스가 허용된 포트에서만 수신 대기하도록 제한합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 8.2.0 |
| Kubernetes 클러스터는 권한 있는 컨테이너를 허용해서는 안 됩니다. | Kubernetes 클러스터는 권한 있는 컨테이너를 만드는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.1의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 9.2.0 |
| Kubernetes 클러스터는 자동 탑재 API 자격 증명을 사용하지 않도록 설정해야 함 | 잠재적으로 손상된 Pod 리소스가 Kubernetes 클러스터에 대해 API 명령을 실행할 수 없도록 자동 탑재 API 자격 증명을 사용하지 않도록 설정합니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 4.2.0 |
| Kubernetes 클러스터는 컨테이너 권한 상승을 허용해서는 안 됨 | 컨테이너가 Kubernetes 클러스터 루트로의 권한 상승을 통해 실행되는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.5의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 거절하다; 비활성화 | 8.0.0 |
| Kubernetes 클러스터는 CAP_SYS_ADMIN 보안 기능을 부여하지 않아야 함 | 컨테이너의 공격 노출 영역을 줄이려면 CAP_SYS_ADMIN Linux 기능을 제한합니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 5.1.0 |
| Kubernetes 클러스터는 기본 네임스페이스를 사용하지 않아야 함 | Kubernetes 클러스터에서 기본 네임스페이스를 사용하여 ConfigMap, Pod, Secret, Service 및 ServiceAccount 리소스 종류에 대한 무단 액세스를 방지합니다. 자세한 내용은 Kubernetes 클러스터용 Azure Policy 이해를 참조하세요. | 감사; 감사; 거절하다; 거절하다; 비활성화; 비활성화 | 4.2.0 |
PV-4: 컴퓨팅 리소스에 대한 보안 구성 감사 및 적용
자세한 내용은 Posture 및 Vulnerability Management: PV-4: 컴퓨팅 리소스에 대한 보안 구성 감사 및 적용을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| 머신에 게스트 구성 확장을 설치해야 함 | 머신의 게스트 내 설정을 안전하게 구성하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 'Windows Exploit Guard를 사용하도록 설정해야 합니다'와 같은 게스트 내 정책을 사용할 수 있습니다. Azure Machine Configuration 이해에 대해 자세히 알아보세요. | AuditIfNotExists; 비활성화 | 1.0.3 |
| Linux 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 Azure Machine Configuration을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. | AuditIfNotExists; 비활성화 | 2.3.0 |
| 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. Azure Machine 구성 이해에 대해 자세히 알아보기 | AuditIfNotExists; 비활성화 | 1.0.1 |
| Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 Azure Machine Configuration을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. | AuditIfNotExists; 비활성화 | 2.1.0 |
| [미리 보기]: Azure Stack HCI 서버는 지속적으로 애플리케이션 제어 정책을 적용해야 합니다. | 최소한 모든 Azure Stack HCI 서버에 적용 모드로 Microsoft WDAC 기본 정책을 적용합니다. 적용된 WDAC(Windows Defender 애플리케이션 제어) 정책은 동일한 클러스터의 서버 전체에서 일관되어야 합니다. | 감사; 비활성화; AuditIfNotExists | 1.0.0-preview |
| [미리 보기]: Azure Stack HCI 서버는 보안 코어 요구 사항을 충족해야 합니다. | 모든 Azure Stack HCI 서버가 보안 코어 요구 사항을 충족하는지 확인합니다. 보안 코어 서버 요구 사항을 사용하도록 설정하려면: 1. Azure Stack HCI 클러스터 페이지에서 Windows Admin Center로 이동하여 연결을 선택합니다. 2. 보안 확장으로 이동하여 보안 코어를 선택합니다. 3. 사용하도록 설정되지 않은 설정을 선택하고 사용을 클릭합니다. | 감사; 비활성화; AuditIfNotExists | 1.0.0-preview |
| [미리 보기]: 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 함 | 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Linux 가상 머신에 적용됩니다. | AuditIfNotExists; 비활성화 | 6.0.0-preview |
| [미리 보기]: 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 | 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Linux 가상 머신 확장 집합에 적용됩니다. | AuditIfNotExists; 비활성화 | 5.1.0-preview |
| [미리 보기]: 지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 함 | 지원되는 가상 머신에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Windows 가상 머신에 적용됩니다. | AuditIfNotExists; 비활성화 | 4.0.0-preview |
| [미리 보기]: 지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 | 지원되는 가상 머신 확장 집합에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Windows 가상 머신 확장 집합에 적용됩니다. | AuditIfNotExists; 비활성화 | 3.1.0-preview |
| [미리 보기]: Linux 가상 머신은 서명되고 신뢰할 수 있는 부팅 구성 요소만 사용해야 함 | 신뢰할 수 있는 게시자가 모든 OS 부팅 구성 요소(부트 로더, 커널, 커널 드라이버)에 서명해야 합니다. 클라우드용 Defender는 하나 이상의 Linux 머신에서 신뢰할 수 없는 OS 부팅 구성 요소를 식별했습니다. 잠재적으로 악의적인 구성 요소로부터 컴퓨터를 보호하려면 허용 목록에 컴퓨터를 추가하거나 식별된 구성 요소를 제거합니다. | AuditIfNotExists; 비활성화 | 1.0.0-preview |
| [미리 보기]: 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 함 | 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정하여 부트 체인에 대한 악의적인 무단 변경을 완화합니다. 이 기능을 사용하도록 설정하면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. 이 평가는 신뢰할 수 있는 시작 및 기밀 Windows 가상 머신에 적용됩니다. | 감사; 비활성화 | 4.0.0-preview |
| [미리 보기]: 지원되는 가상 머신에서 vTPM을 사용하도록 설정해야 함 | 지원되는 가상 머신에서 가상 TPM 디바이스를 사용하도록 설정하여 TPM이 필요한 계획 부팅 및 기타 OS 보안 기능을 용이하도록 합니다. 사용하도록 설정되면 vTPM을 사용하여 부팅 무결성을 증명할 수 있습니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 가상 머신에만 적용됩니다. | 감사; 비활성화 | 2.0.0-preview |
PV-5: 취약성 평가 수행
자세한 내용은 자세 및 취약성 관리: PV-5: 취약성 평가 수행을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 가상 머신을 감사하여 지원되는 취약성 평가 솔루션을 실행하고 있는지 검색합니다. 모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성을 식별하고 분석하는 것입니다. Azure Security Center의 표준 가격 책정 계층에는 추가 비용 없이 가상 머신에 대한 취약성 검사가 포함됩니다. 또한 Security Center가 자동으로 도구를 배포할 수 있습니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
| 머신에서 발견한 비밀을 해결해야 함 | 가상 머신을 감사하여 가상 머신의 비밀 검사 솔루션에서 발견된 비밀이 포함되어 있는지 여부를 검색합니다. | AuditIfNotExists; 비활성화 | 1.0.2 |
| SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 | 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. | AuditIfNotExists; 비활성화 | 1.0.1 |
| SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. | 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. | AuditIfNotExists; 비활성화 | 3.0.0 |
PV-6: 취약성을 신속하고 자동으로 수정
자세한 내용은 자세 및 취약성 관리: PV-6: 취약성을 신속하고 자동으로 수정하는 방법을 참조하세요.
| 이름 | Description | Effect(s) | 버전 |
|---|---|---|---|
| Azure 레지스트리 컨테이너 이미지의 취약성이 해결되어야 합니다(Microsoft Defender Vulnerability Management 제공). | 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 취약성을 해결하면 보안 태세가 크게 향상되어 배포 전에 이미지를 안전하게 사용할 수 있습니다. | AuditIfNotExists; 비활성화 | 1.0.1 |
| Azure 실행 컨테이너 이미지의 취약성이 해결되어야 합니다(Microsoft Defender Vulnerability Management 기반). | 컨테이너 이미지 취약성 평가는 레지스트리에서 CVE(일반적으로 알려진 취약성)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 이 권장 사항은 현재 Kubernetes 클러스터에서 실행 중인 취약한 이미지에 대한 가시성을 제공합니다. 현재 실행 중인 컨테이너 이미지의 취약성을 수정하는 것은 보안 태세를 개선하고 컨테이너화된 워크로드에 대한 공격 표면을 크게 줄이는 데 중요합니다. | AuditIfNotExists; 비활성화 | 1.0.1 |
| 시스템 업데이트 누락을 주기적으로 확인하도록 컴퓨터를 구성해야 합니다. | 누락된 시스템 업데이트에 대한 정기 평가가 24시간마다 자동으로 트리거되도록 하려면 AssessmentMode 속성을 'AutomaticByPlatform'으로 설정해야 합니다. Windows용 AssessmentMode 속성: Linux용 Windows 패치 평가 모드: Linux 패치 평가 모드에 대해 자세히 알아봅니다. | 감사; 거절하다; 비활성화 | 3.9.0 |
| SQL 데이터베이스에 취약성 발견이 해결되어야 합니다. | 취약성 평가 검사 결과 및 데이터베이스 취약성을 수정하는 방법에 관한 권장 사항을 모니터링합니다. | AuditIfNotExists; 비활성화 | 4.1.0 |
| 컴퓨터의 SQL 서버에는 취약성 발견이 해결되어야 합니다. | SQL 취약성 평가는 데이터베이스를 검사하여 보안 취약성을 찾아내고, 구성 오류, 과도한 권한, 보호되지 않는 중요한 데이터 등과 같이 모범 사례를 따르지 않는 부분을 공개합니다. 발견된 취약성을 해결하면 데이터베이스 보안 상태가 크게 향상될 수 있습니다. | AuditIfNotExists; 비활성화 | 1.0.0 |
| 컴퓨터에 시스템 업데이트를 설치해야 함(업데이트 센터에서 제공) | 머신에 누락된 시스템, 보안 및 중요 업데이트가 있습니다. 소프트웨어 업데이트에는 보안 허점을 메우기 위한 중요한 패치가 포함된 경우가 많습니다. 이러한 허점은 맬웨어 공격에 자주 악용되므로 소프트웨어를 업데이트된 상태로 유지하는 것이 중요합니다. 미적용 패치를 모두 설치하고 머신을 보호하려면 수정 단계를 수행합니다. | AuditIfNotExists; 비활성화 | 1.0.1 |
다음 단계
- 제어 세부 정보에 대한 자세한 내용은 Microsoft 클라우드 보안 벤치마크 를 검토하세요.
- Azure Portal을 통해 정책 할당
- Azure Policy에 대해 자세히 알아보기