CIS Microsoft Azure Foundations Benchmark 1.3.0(Azure Government) 규정 준수 기본 제공 이니셔티브에 대한 세부 정보
다음 문서에서는 Azure Policy 규정 준수 기본 제공 이니셔티브 정의가 CIS Microsoft Azure Foundations Benchmark 1.3.0(Azure Government)의 규정 준수 도메인 및 컨트롤에 매핑되는 방법을 자세히 설명합니다. 이러한 규정 준수 표준에 대한 자세한 내용은 CIS Microsoft Azure Foundations Benchmark 1.3.0을 참조하세요. 소유권을 이해하려면 정책 유형과 클라우드에서의 공동 책임을 검토합니다.
다음 매핑은 CIS Microsoft Azure Foundations Benchmark 1.3.0 컨트롤에 대한 것입니다. 여러 컨트롤이 Azure Policy 이니셔티브 정의를 사용하여 구현됩니다. 전체 이니셔티브 정의를 검토하려면 Azure Portal에서 정책을 열고 정의 페이지를 선택합니다. 그런 다음, CIS Microsoft Azure Foundations Benchmark v1.3.0 규정 준수 기본 제공 이니셔티브 정의를 찾아 선택합니다.
Important
아래의 각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 컨트롤을 사용한 규정 준수 평가에 도움이 될 수 있지만, 컨트롤과 하나 이상의 정책 간에 일대일 또는 완벽한 일치 관계가 없는 경우도 많습니다. 따라서 Azure Policy의 규정 준수는 정책 정의 자체만 가리킬 뿐, 컨트롤의 모든 요구 사항을 완벽하게 준수한다는 것은 아닙니다. 또한 규정 준수 표준에는 현재 Azure Policy 정의에서 처리되지 않은 컨트롤이 포함되어 있습니다. 따라서 Azure Policy의 규정 준수는 전반적인 규정 준수 상태를 부분적으로 표시할 뿐입니다. 이 규정 준수 표준에 대한 규정 준수 도메인, 컨트롤, Azure Policy 정의 간의 연결은 시간이 지나면 변경될 수 있습니다. 변경 기록을 보려면 GitHub 커밋 기록을 참조하세요.
1 ID 및 액세스 관리
권한이 있는 모든 사용자에 대한 다단계 인증이 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
권한이 없는 모든 사용자에 대한 다단계 인증이 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.2 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
월 단위로 게스트 사용자를 검토하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.3 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
2 Security Center
Azure Defender가 서버에 대해 On으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
'추가 이메일 주소'가 보안 연락처 이메일로 구성되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.13 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
'다음 심각도로 경고 알림'이 '높음'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.14 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
Azure SQL 데이터베이스 서버에 대해 Azure Defender가 On으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.3 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
Azure Defender가 스토리지에 대해 On으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
Azure Defender가 Kubernetes에 대해 On으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.6 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
컨테이너 레지스트리에 대해 Azure Defender가 On으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.7 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
3 스토리지 계정
'보안 전송 필요'가 '사용'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
스토리지 계정에 대한 기본 네트워크 액세스 규칙이 거부로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.6 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | IP 기반 필터링 대신 기본 방법으로 가상 네트워크 규칙을 사용하여 잠재적인 위협으로부터 스토리지 계정을 보호합니다. IP 기반 필터링을 사용하지 않도록 설정하면 공용 IP에서 스토리지 계정에 액세스할 수 없습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
'신뢰할 수 있는 Microsoft 서비스'에 스토리지 계정 액세스가 사용하도록 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.7 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 스토리지 계정과 상호 작용하는 일부 Microsoft 서비스는 네트워크 규칙을 통해 액세스 권한을 부여할 수 없는 네트워크에서 작동합니다. 이러한 유형의 서비스가 의도한 대로 작동하도록 하려면 신뢰할 수 있는 Microsoft 서비스 세트에서 네트워크 규칙을 무시하도록 허용합니다. 그러면 이러한 서비스에서 강력한 인증을 사용하여 스토리지 계정에 액세스합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
중요한 데이터의 스토리지가 고객 관리형 키로 암호화되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.9 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 Blob 및 파일 스토리지 계정을 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 사용 안 함 | 1.0.3 |
4 데이터베이스 서비스
'감사'가 '켜기'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.1.1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. | 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
SQL Database에서 '데이터 암호화'가 '켜기'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.1.2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | 저장 데이터를 보호하고 규정 준수 요구 사항을 충족하려면 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
'감사' 보존 기간이 '90일 이상'인지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.1.3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
스토리지 계정 대상에 대한 감사 기능이 있는 SQL Server는 보존 기간을 90일 이상으로 구성해야 함 | 인시던트 조사를 위해 SQL Server 감사를 위한 데이터 보존 기간을 스토리지 계정 대상으로 90일 이상으로 설정하는 것이 좋습니다. 운영 중인 지역에 필요한 보존 규칙을 충족하는지 확인합니다. 이는 규정 표준을 준수해야 하는 경우도 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
SQL 서버의 ATP(Advanced Threat Protection)가 '사용'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.2.1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
스토리지 계정을 설정하여 SQL 서버에서 VA(취약성 평가)가 활성화되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.2.2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 | 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. | 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
PostgreSQL Database Server에 'SSL 연결 적용'이 '사용'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3.1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결하는 것을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
MySQL Database Server에 'SSL 연결 적용'이 '사용'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3.2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | MySQL용 Azure Database는 SSL(Secure Sockets Layer)을 사용한 MySQL용 Azure Database 서버와 클라이언트 애플리케이션 간 연결을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
PostgreSQL Database Server에 'log_checkpoints' 서버 매개 변수가 'ON'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3.3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
PostgreSQL 데이터베이스 서버에 대해 로그 검사점을 사용하도록 설정해야 합니다. | 이 정책은 log_checkpoints 설정을 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
PostgreSQL Database Server에 'log_connections' 서버 매개 변수가 'ON'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3.4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
PostgreSQL 데이터베이스 서버에 대해 로그 연결을 사용하도록 설정해야 합니다. | 이 정책은 log_connections 설정을 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
PostgreSQL Database Server에 'log_disconnections' 서버 매개 변수가 'ON'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3.5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
PostgreSQL 데이터베이스 서버에 대한 연결 끊김을 기록해야 합니다. | 이 정책은 log_disconnections를 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
PostgreSQL Database Server에 'connection_throtling' 서버 매개 변수가 'ON'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3.6 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
PostgreSQL 데이터베이스 서버에 대해 연결 제한을 사용하도록 설정해야 합니다. | 이 정책은 연결 제한을 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. 이 설정은 잘못된 암호 로그인 실패가 너무 많을 경우 IP당 임시 연결 제한을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Active Directory 관리자가 구성되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. | SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
SQL 서버의 TDE 보호기가 고객 관리형 키로 암호화되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.5 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통한 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통해 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. | 감사, 거부, 사용 안 함 | 2.0.1 |
5 로깅 및 모니터링
활동 로그가 있는 컨테이너를 포함하는 스토리지 계정이 BYOK(사용자 고유 키 사용)로 암호화되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 이 정책은 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정이 BYOK로 암호화되었는지 감사합니다. 이 정책은 스토리지 계정이 기본적으로 활동 로그와 같은 구독에 있는 경우에만 작동합니다. Azure Storage 저장 데이터 암호화에 대한 자세한 내용은 https://aka.ms/azurestoragebyok를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure KeyVault에 대한 로깅이 '사용'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Key Vault에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
정책 할당 만들기에 대한 활동 로그 경고가 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
특정 정책 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
정책 할당 삭제에 대한 활동 로그 경고가 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
특정 정책 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
네트워크 보안 그룹 만들기 또는 업데이트에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
특정 관리 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
네트워크 보안 그룹 삭제에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
특정 관리 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
네트워크 보안 그룹 규칙 만들기 또는 업데이트에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
특정 관리 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
네트워크 보안 그룹 규칙 삭제에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.6 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
특정 관리 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
보안 솔루션 만들기 또는 업데이트에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.7 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
특정 보안 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
보안 솔루션 삭제에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.8 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
특정 보안 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
SQL Server 방화벽 규칙 만들기 또는 업데이트에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.9 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
특정 관리 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
진단 로그를 지원하는 모든 서비스에 대해 사용할 수 있는지 확인합니다.
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.3 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
App Service 앱에서 리소스 로그가 사용되어야 함 | 앱에서 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
Azure Data Lake Store에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Azure Stream Analytics에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Batch 계정에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Data Lake Analytics의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Event Hub의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Key Vault에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Logic Apps의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.1.0 |
Search Services에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Service Bus에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
6 네트워킹
Network Watcher가 '사용'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 6.5 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
7 가상 머신
Virtual Machines가 Managed Disks를 활용하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 7.1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
관리 디스크를 사용하지 않는 VM 감사 | 이 정책은 관리 디스크를 사용하지 않는 VM을 감사 | 감사 | 1.0.0 |
승인된 확장만 설치되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 7.4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
승인된 VM 확장만 설치해야 함 | 이 정책은 승인되지 않은 가상 머신 확장을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
8 기타 보안 고려 사항
키 자격 증명 모음을 복구할 수 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.4 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
키 자격 증명 모음에서는 삭제 방지를 사용하도록 설정해야 함 | 키 자격 증명 모음을 악의적으로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 제거 방지 및 일시 삭제를 사용하도록 설정하여 영구적인 데이터 손실을 방지할 수 있습니다. 제거 보호는 일시 삭제된 키 자격 증명 모음에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 키 자격 증명 모음을 제거할 수 없습니다. 2019년 9월 1일 이후에 만든 키 자격 증명 모음은 기본적으로 일시 삭제를 사용하도록 설정되어 있습니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
Azure Kubernetes Services 내에서 RBAC(역할 기반 액세스 제어) 사용
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Kubernetes Services에서 RBAC(역할 기반 액세스 제어)를 사용해야 함 | 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. | 감사, 사용 안 함 | 1.0.4 |
9 AppService
App Service 인증이 Azure App Service에 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
App Service 앱에서 인증이 사용되어야 함 | Azure App Service 인증은 익명 HTTP 요청이 웹앱에 도달하는 것을 방지하거나 웹앱에 도달하기 전에 토큰이 있는 요청을 인증할 수 있는 기능입니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
함수 앱에 인증이 사용 설정되어 있어야 함 | Azure App Service 인증은 익명 HTTP 요청이 함수 앱에 도달하는 것을 방지하거나 함수 앱에 도달하기 전에 토큰이 있는 요청을 인증할 수 있는 기능입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
FTP 배포가 비활성화되었는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.10 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
App Service 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
함수 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure App Service에서 웹앱이 모든 HTTP 트래픽을 HTTPS로 리디렉션하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 4.0.0 |
웹앱에서 최신 버전의 TLS 암호화를 사용하고 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
App Service 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
함수 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
웹앱에서 '클라이언트 인증서(들어오는 클라이언트 인증서)'가 '켜기'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[사용되지 않음]: 함수 앱에는 '클라이언트 인증서(수신 클라이언트 인증서)'가 사용하도록 설정되어 있어야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. Http 2.0은 클라이언트 인증서를 지원하지 않기 때문에 이 정책은 동일한 이름의 새 정책으로 바뀌었습니다. | 감사, 사용 안 함 | 3.1.0-deprecated |
App Service 앱에서 클라이언트 인증서(들어오는 클라이언트 인증서)가 사용하도록 설정되어 있어야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
App Service에 [Azure Active Directory에 등록]이 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
App Service 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
함수 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
웹앱을 실행하는 데 사용되는 경우 최신 'HTTP 버전'인지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.9 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
App Service 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
함수 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
다음 단계
Azure Policy에 대한 추가 문서:
- 규정 준수 개요
- 이니셔티브 정의 구조를 참조합니다.
- Azure Policy 샘플의 다른 예제를 검토합니다.
- 정책 효과 이해를 검토합니다.
- 규정 비준수 리소스를 수정하는 방법을 알아봅니다.