SOC(시스템 및 조직 제어) 2(Azure Government) 규정 준수 기본 제공 이니셔티브에 대한 세부 정보
다음 문서에서는 Azure Policy 규정 준수 기본 제공 이니셔티브 정의가 SOC(시스템 및 조직 제어) 2(Azure Government)의 규정 준수 도메인 및 컨트롤에 매핑되는 방법을 자세히 설명합니다. 이 준수 표준에 대한 자세한 내용은 SOC(시스템 및 조직 제어) 2를 참조하세요. 소유권을 이해하려면 정책 유형과 클라우드에서의 공동 책임을 검토합니다.
다음 매핑은 시스템 및 조직 제어(SOC) 2 제어에 대한 것입니다. 여러 컨트롤이 Azure Policy 이니셔티브 정의를 사용하여 구현됩니다. 전체 이니셔티브 정의를 검토하려면 Azure Portal에서 정책을 열고 정의 페이지를 선택합니다. 그런 다음 SOC 2 형식 2 규정 준수 기본 제공 이니셔티브 정의를 찾아서 선택합니다.
Important
아래의 각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 컨트롤을 사용한 규정 준수 평가에 도움이 될 수 있지만, 컨트롤과 하나 이상의 정책 간에 일대일 또는 완벽한 일치 관계가 없는 경우도 많습니다. 따라서 Azure Policy의 규정 준수는 정책 정의 자체만 가리킬 뿐, 컨트롤의 모든 요구 사항을 완벽하게 준수한다는 것은 아닙니다. 또한 규정 준수 표준에는 현재 Azure Policy 정의에서 처리되지 않은 컨트롤이 포함되어 있습니다. 따라서 Azure Policy의 규정 준수는 전반적인 규정 준수 상태를 부분적으로 표시할 뿐입니다. 이 규정 준수 표준에 대한 규정 준수 도메인, 컨트롤, Azure Policy 정의 간의 연결은 시간이 지나면 변경될 수 있습니다. 변경 기록을 보려면 GitHub 커밋 기록을 참조하세요.
가용성에 대한 추가 기준
용량 관리
ID: SOC 2 형식 2 A1.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
용량 계획 수행 | CMA_C1252 - 용량 계획 수행 | 수동, 사용 안 함 | 1.1.0 |
환경 보호, 소프트웨어, 데이터 백업 프로세스 및 복구 인프라
ID: SOC 2 형식 2 A1.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 Azure Virtual Machines의 보호를 보장합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
자동 비상 조명 사용 | CMA_0209 - 자동 비상 조명 사용 | 수동, 사용 안 함 | 1.1.0 |
대체 처리 사이트 설정 | CMA_0262 - 대체 처리 사이트 설정 | 수동, 사용 안 함 | 1.1.0 |
Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MariaDB를 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MySQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
침투 테스트 방법론 구현 | CMA_0306 - 침투 테스트 방법론 구현 | 수동, 사용 안 함 | 1.1.0 |
사무실, 작업 공간, 보안 영역에 대한 물리적 보안 구현 | CMA_0323 - 사무실, 작업 영역, 보안 영역에 대한 물리적 보안 구현 | 수동, 사용 안 함 | 1.1.0 |
경보 시스템 설치 | CMA_0338 - 경보 시스템 설치 | 수동, 사용 안 함 | 1.1.0 |
중단 후 리소스 복구 및 재구성 | CMA_C1295 - 중단 후 리소스 복구 및 재구성 | 수동, 사용 안 함 | 1.1.1 |
시뮬레이션 공격 실행 | CMA_0486 - 시뮬레이션 공격 실행 | 수동, 사용 안 함 | 1.1.0 |
백업 정보를 별도로 저장 | CMA_C1293 - 백업 정보를 별도로 저장 | 수동, 사용 안 함 | 1.1.0 |
백업 정보를 대체 스토리지 사이트로 전송 | CMA_C1294 - 백업 정보를 대체 스토리지 사이트로 전송 | 수동, 사용 안 함 | 1.1.0 |
복구 계획 테스트
ID: SOC 2 형식 2 A1.3 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
정정 작업을 테스트하는 대체 플랜 시작 | CMA_C1263 - 정정 작업을 테스트하는 대체 플랜 시작 | 수동, 사용 안 함 | 1.1.0 |
대체 플랜 테스트 결과 검토 | CMA_C1262 - 대체 플랜 테스트 결과 검토 | 수동, 사용 안 함 | 1.1.0 |
비즈니스 연속성 및 재해 복구 플랜 테스트 | CMA_0509 - 비즈니스 연속성 및 재해 복구 플랜 테스트 | 수동, 사용 안 함 | 1.1.0 |
기밀성에 대한 추가 기준
기밀 정보 보호
ID: SOC 2 형식 2 C1.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
데이터의 입력, 출력, 처리 및 스토리지 관리 | CMA_0369 - 데이터의 입력, 출력, 처리 및 스토리지 관리 | 수동, 사용 안 함 | 1.1.0 |
레이블 활동 및 분석 검토 | CMA_0474 - 레이블 활동 및 분석 검토 | 수동, 사용 안 함 | 1.1.0 |
기밀 정보의 삭제
ID: SOC 2 형식 2 C1.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
데이터의 입력, 출력, 처리 및 스토리지 관리 | CMA_0369 - 데이터의 입력, 출력, 처리 및 스토리지 관리 | 수동, 사용 안 함 | 1.1.0 |
레이블 활동 및 분석 검토 | CMA_0474 - 레이블 활동 및 분석 검토 | 수동, 사용 안 함 | 1.1.0 |
제어 환경
COSO 원칙 1
ID: SOC 2 형식 2 CC1.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
허용 가능한 사용 정책 및 절차 개발 | CMA_0143 - 허용 가능한 사용 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
조직 준수 정책 개발 | CMA_0159 - 조직 준수 정책 개발 | 수동, 사용 안 함 | 1.1.0 |
프라이버시 요구 사항에 대한 직원 동의 문서화 | CMA_0193 - 프라이버시 요구 사항에 대한 직원 동의 문서화 | 수동, 사용 안 함 | 1.1.0 |
동작 및 액세스 계약 규칙 적용 | CMA_0248 - 동작 및 액세스 계약의 규칙 적용 | 수동, 사용 안 함 | 1.1.0 |
부정한 관행 금지 | CMA_0396 - 부정한 관행 금지 | 수동, 사용 안 함 | 1.1.0 |
수정된 동작 규칙 검토 및 서명 | CMA_0465 - 수정된 동작 규칙 검토 및 서명 | 수동, 사용 안 함 | 1.1.0 |
동작 및 액세스 계약의 규칙 업데이트 | CMA_0521 - 동작 및 액세스 계약의 규칙 업데이트 | 수동, 사용 안 함 | 1.1.0 |
3년마다 동작 및 액세스 계약의 규칙 업데이트 | CMA_0522 - 3년마다 동작 및 액세스 계약의 규칙 업데이트 | 수동, 사용 안 함 | 1.1.0 |
COSO 원칙 2
ID: SOC 2 형식 2 CC1.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
선임 정보 보안 책임자 선임 | CMA_C1733 - 선임 정보 보안 책임자 선임 | 수동, 사용 안 함 | 1.1.0 |
시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
COSO 원칙 3
ID: SOC 2 형식 2 CC1.3 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
선임 정보 보안 책임자 선임 | CMA_C1733 - 선임 정보 보안 책임자 선임 | 수동, 사용 안 함 | 1.1.0 |
시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
COSO 원칙 4
ID: SOC 2 형식 2 CC1.4 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
정기적으로 역할 기반 보안 교육 제공 | CMA_C1095 - 정기적으로 역할 기반 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
정기적으로 보안 인식 교육 제공 | CMA_C1091 - 정기적으로 보안 인식 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
역할 기반 실습 제공 | CMA_C1096 - 역할 기반 실습 제공 | 수동, 사용 안 함 | 1.1.0 |
액세스를 제공하기 전에 보안 교육 제공 | CMA_0418 - 액세스를 제공하기 전에 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
새 사용자를 위한 보안 교육 제공 | CMA_0419 - 새 사용자를 위한 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
COSO 원칙 5
ID: SOC 2 형식 2 CC1.5 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
허용 가능한 사용 정책 및 절차 개발 | CMA_0143 - 허용 가능한 사용 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
동작 및 액세스 계약 규칙 적용 | CMA_0248 - 동작 및 액세스 계약의 규칙 적용 | 수동, 사용 안 함 | 1.1.0 |
공식 승인 프로세스 구현 | CMA_0317 - 공식 승인 프로세스 구현 | 수동, 사용 안 함 | 1.1.0 |
권한에 따라 직원에게 알림 | CMA_0380 - 권한에 따라 직원에게 알림 | 수동, 사용 안 함 | 1.1.0 |
커뮤니케이션 및 정보
COSO 원칙 13
ID: SOC 2 형식 2 CC2.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
데이터의 입력, 출력, 처리 및 스토리지 관리 | CMA_0369 - 데이터의 입력, 출력, 처리 및 스토리지 관리 | 수동, 사용 안 함 | 1.1.0 |
레이블 활동 및 분석 검토 | CMA_0474 - 레이블 활동 및 분석 검토 | 수동, 사용 안 함 | 1.1.0 |
COSO 원칙 14
ID: SOC 2 형식 2 CC2.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
허용 가능한 사용 정책 및 절차 개발 | CMA_0143 - 허용 가능한 사용 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. | 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
동작 및 액세스 계약 규칙 적용 | CMA_0248 - 동작 및 액세스 계약의 규칙 적용 | 수동, 사용 안 함 | 1.1.0 |
정기적으로 역할 기반 보안 교육 제공 | CMA_C1095 - 정기적으로 역할 기반 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
정기적으로 보안 인식 교육 제공 | CMA_C1091 - 정기적으로 보안 인식 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
액세스를 제공하기 전에 보안 교육 제공 | CMA_0418 - 액세스를 제공하기 전에 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
새 사용자를 위한 보안 교육 제공 | CMA_0419 - 새 사용자를 위한 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
COSO 원칙 15
ID: SOC 2 형식 2 CC2.3 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
프로세서 의무 정의 | CMA_0127 - 프로세서 의무 정의 | 수동, 사용 안 함 | 1.1.0 |
보안 평가 결과 제공 | CMA_C1147 - 보안 평가 결과 제공 | 수동, 사용 안 함 | 1.1.0 |
시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. | 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
타사 직원 보안 요구 사항 설정 | CMA_C1529 - 타사 직원 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
개인정보처리방침 배달 방법 구현 | CMA_0324 - 개인정보처리방침 배달 방법 구현 | 수동, 사용 안 함 | 1.1.0 |
정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
보안 평가 보고서 생성 | CMA_C1146 - 보안 평가 보고서 생성 | 수동, 사용 안 함 | 1.1.0 |
개인정보처리방침 제공 | CMA_0414 - 개인정보처리방침 제공 | 수동, 사용 안 함 | 1.1.0 |
타사 공급자에 직원 보안 정책 및 절차 준수 요구 | CMA_C1530 - 타사 공급자에 직원 보안 정책 및 절차 준수 요구 | 수동, 사용 안 함 | 1.1.0 |
통신 제한 | CMA_0449 - 통신 제한 | 수동, 사용 안 함 | 1.1.0 |
구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
위험 평가
COSO 원칙 6
ID: SOC 2 형식 2 CC3.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
정보 분류 | CMA_0052 - 정보 분류 | 수동, 사용 안 함 | 1.1.0 |
정보 보호 요구 사항 결정 | CMA_C1750 - 정보 보호 요구 사항 결정 | 수동, 사용 안 함 | 1.1.0 |
비즈니스 분류 체계 개발 | CMA_0155 - 비즈니스 분류 체계 개발 | 수동, 사용 안 함 | 1.1.0 |
조건을 충족하는 SSP 개발 | CMA_C1492 - 조건을 충족하는 SSP 개발 | 수동, 사용 안 함 | 1.1.0 |
위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
레이블 활동 및 분석 검토 | CMA_0474 - 레이블 활동 및 분석 검토 | 수동, 사용 안 함 | 1.1.0 |
COSO 원칙 7
ID: SOC 2 형식 2 CC3.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
정보 분류 | CMA_0052 - 정보 분류 | 수동, 사용 안 함 | 1.1.0 |
정보 보호 요구 사항 결정 | CMA_C1750 - 정보 보호 요구 사항 결정 | 수동, 사용 안 함 | 1.1.0 |
비즈니스 분류 체계 개발 | CMA_0155 - 비즈니스 분류 체계 개발 | 수동, 사용 안 함 | 1.1.0 |
위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
레이블 활동 및 분석 검토 | CMA_0474 - 레이블 활동 및 분석 검토 | 수동, 사용 안 함 | 1.1.0 |
SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 | 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. | 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
COSO 원칙 8
ID: SOC 2 형식 2 CC3.3 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
COSO 원칙 9
ID: SOC 2 형식 2 CC3.4 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
타사 관계의 위험 평가 | CMA_0014 - 타사 관계의 위험 평가 | 수동, 사용 안 함 | 1.1.0 |
상품 및 서비스 제공 요구 사항 정의 | CMA_0126 - 상품 및 서비스 제공 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
공급망 위험 관리에 대한 정책 설정 | CMA_0275 - 공급망 위험 관리에 대한 정책 설정 | 수동, 사용 안 함 | 1.1.0 |
위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
작업 모니터링
COSO 원칙 16
ID: SOC 2 형식 2 CC4.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
보안 제어 평가 | CMA_C1145 - 보안 제어 평가 | 수동, 사용 안 함 | 1.1.0 |
보안 평가 플랜 개발 | CMA_C1144 - 보안 평가 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
보안 제어 평가를 위한 추가 테스트 선택 | CMA_C1149 - 보안 제어 평가를 위한 추가 테스트 선택 | 수동, 사용 안 함 | 1.1.0 |
COSO 원칙 17
ID: SOC 2 형식 2 CC4.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
보안 평가 결과 제공 | CMA_C1147 - 보안 평가 결과 제공 | 수동, 사용 안 함 | 1.1.0 |
보안 평가 보고서 생성 | CMA_C1146 - 보안 평가 보고서 생성 | 수동, 사용 안 함 | 1.1.0 |
제어 작업
COSO 원칙 10
ID: SOC 2 형식 2 CC5.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
COSO 원칙 11
ID: SOC 2 형식 2 CC5.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
구독에 최대 3명의 소유자를 지정해야 합니다. | 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 | 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
액세스 제어 모델 디자인 | CMA_0129 - 액세스 제어 모델 디자인 | 수동, 사용 안 함 | 1.1.0 |
공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
최소 권한 액세스 사용 | CMA_0212 - 최소 권한 액세스 사용 | 수동, 사용 안 함 | 1.1.0 |
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
구독에 둘 이상의 소유자를 할당해야 합니다. | 관리자 액세스 중복성을 유지하려면 둘 이상의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
COSO 원칙 12
ID: SOC 2 형식 2 CC5.3 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
검색 허용 목록 구성 | CMA_0068 - 검색 허용 목록 구성 | 수동, 사용 안 함 | 1.1.0 |
위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
엔드포인트 보안 솔루션에 대한 센서 켜기 | CMA_0514 - 엔드포인트 보안 솔루션에 대한 센서 켜기 | 수동, 사용 안 함 | 1.1.0 |
독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
논리 및 물리적 액세스 제어
논리적 액세스 보안 소프트웨어, 인프라 및 아키텍처
ID: SOC 2 형식 2 CC6.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
구독에 최대 3명의 소유자를 지정해야 합니다. | 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 4.0.0 |
App Service 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Linux 머신에 대한 인증에 SSH 키가 필요함 | SSH 자체에서 암호화된 연결을 제공하지만 SSH와 함께 암호를 사용하면 VM은 여전히 무차별 암호 대입 공격에 취약합니다. SSH를 통해 Azure Linux 가상 머신에 인증하는 가장 안전한 옵션은 SSH 키라고도 하는 퍼블릭-프라이빗 키 쌍을 사용하는 것입니다. https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 2.4.0 |
보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
원격 액세스 권한 부여 | CMA_0024 - 원격 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
Automation 계정 변수를 암호화해야 함 | 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure AI 서비스 리소스는 CMK(고객 관리형 키)를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 미사용 데이터를 암호화하면 회전 및 관리를 비롯한 주요 수명 주기를 더욱 세세하게 제어할 수 있습니다. 이는 관련 규정 준수 요구 사항이 있는 조직과 특히 관련이 있습니다. 기본적으로 평가되지 않으며 규정 준수 또는 제한적인 정책 요구 사항에 따라 필요한 경우에만 적용해야 합니다. 사용하도록 설정하지 않으면 플랫폼 관리형 키를 사용하여 데이터가 암호화됩니다. 이를 구현하려면 해당 범위에 대한 보안 정책에서 ‘Effect’ 매개 변수를 업데이트합니다. | 감사, 거부, 사용 안 함 | 2.2.0 |
Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Cosmos DB의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/cosmosdb-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure Machine Learning 작업 영역은 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Machine Learning 작업 영역의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/azureml-workspaces-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 | 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
컨테이너 레지스트리는 고객 관리형 키를 사용하여 암호화해야 함 | 고객 관리형 키를 사용하여 레지스트리 콘텐츠의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/acr/CMK에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.2 |
정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
데이터 인벤토리 만들기 | CMA_0096 - 데이터 인벤토리 만들기 | 수동, 사용 안 함 | 1.1.0 |
물리적 키 관리 프로세스 정의 | CMA_0115 - 물리적 키 관리 프로세스 정의 | 수동, 사용 안 함 | 1.1.0 |
암호화 사용 정의 | CMA_0120 - 암호화 사용 정의 | 수동, 사용 안 함 | 1.1.0 |
암호화 키 관리에 대한 조직 요구 사항 정의 | CMA_0123 - 암호화 키 관리에 대한 조직 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
액세스 제어 모델 디자인 | CMA_0129 - 액세스 제어 모델 디자인 | 수동, 사용 안 함 | 1.1.0 |
어설션 요구 사항 확인 | CMA_0136 - 어설션 요구 사항 확인 | 수동, 사용 안 함 | 1.1.0 |
문서 이동성 학습 | CMA_0191 - 문서 이동성 학습 | 수동, 사용 안 함 | 1.1.0 |
원격 액세스 지침 문서화 | CMA_0196 - 원격 액세스 지침 문서화 | 수동, 사용 안 함 | 1.1.0 |
암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
최소 권한 액세스 사용 | CMA_0212 - 최소 권한 액세스 사용 | 수동, 사용 안 함 | 1.1.0 |
논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | MySQL용 Azure Database는 SSL(Secure Sockets Layer)을 사용한 MySQL용 Azure Database 서버와 클라이언트 애플리케이션 간 연결을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결하는 것을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
데이터 유출 관리 절차 설정 | CMA_0255 - 데이터 유출 관리 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
방화벽 및 라우터 구성 표준 설정 | CMA_0272 - 방화벽 및 라우터 구성 표준 설정 | 수동, 사용 안 함 | 1.1.0 |
카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | 수동, 사용 안 함 | 1.1.0 |
함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 5.0.0 |
함수 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
함수 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
다운스트림 정보 교환 식별 및 관리 | CMA_0298 - 다운스트림 정보 교환 식별 및 관리 | 수동, 사용 안 함 | 1.1.0 |
대체 작업 현장을 보호하기 위한 컨트롤 구현 | CMA_0315 - 대체 작업 사이트를 보호하기 위한 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
사무실, 작업 공간, 보안 영역에 대한 물리적 보안 구현 | CMA_0323 - 사무실, 작업 영역, 보안 영역에 대한 물리적 보안 구현 | 수동, 사용 안 함 | 1.1.0 |
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
공개 키 인증서 발급 | CMA_0347 - 공개 키 인증서 발급 | 수동, 사용 안 함 | 1.1.0 |
키 자격 증명 모음에서는 삭제 방지를 사용하도록 설정해야 함 | 키 자격 증명 모음을 악의적으로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 제거 방지 및 일시 삭제를 사용하도록 설정하여 영구적인 데이터 손실을 방지할 수 있습니다. 제거 보호는 일시 삭제된 키 자격 증명 모음에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 키 자격 증명 모음을 제거할 수 없습니다. 2019년 9월 1일 이후에 만든 키 자격 증명 모음은 기본적으로 일시 삭제를 사용하도록 설정되어 있습니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
키 자격 증명 모음에 일시 삭제를 사용하도록 설정해야 함 | 일시 삭제를 사용하지 않고 키 자격 증명 모음을 삭제하면 키 자격 증명 모음에 저장된 모든 비밀, 키 및 인증서가 영구적으로 삭제됩니다. 키 자격 증명 모음을 실수로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 일시 삭제를 사용하면 실수로 삭제된 키 자격 증명 모음을 구성 가능한 보존 기간 동안 복구할 수 있습니다. | 감사, 거부, 사용 안 함 | 3.0.0 |
Kubernetes 클러스터는 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 인증을 보장하고, 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. 이 기능은 현재 AKS(Kubernetes Service)에 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 방문하세요. | 감사, 거부, 사용 안 함 | 9.1.0 |
개인 데이터 처리 기록 유지 관리 | CMA_0353 - 개인 데이터 처리 기록 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
대칭 암호화 키 관리 | CMA_0367 - 대칭 암호화 키 관리 | 수동, 사용 안 함 | 1.1.0 |
데이터의 입력, 출력, 처리 및 스토리지 관리 | CMA_0369 - 데이터의 입력, 출력, 처리 및 스토리지 관리 | 수동, 사용 안 함 | 1.1.0 |
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
가상 머신에서 관리 포트를 닫아야 합니다. | 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
사용자에게 시스템 로그온 또는 액세스 알림 | CMA_0382 - 사용자에게 시스템 로그온 또는 액세스 알림 | 수동, 사용 안 함 | 1.1.0 |
Azure Cache for Redis에 보안 연결만 사용하도록 설정해야 함 | SSL을 통해 설정된 Azure Cache for Redis 연결만 감사 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
특수 정보 보호 | CMA_0409 - 특수 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
프라이빗 키에 대한 액세스 제한 | CMA_0445 - 프라이빗 키에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
Service Fabric 클러스터는 ClusterProtectionLevel 속성을 EncryptAndSign으로 설정해야 함 | Service Fabric은 기본 클러스터 인증서를 사용하여 노드 간 통신을 위한 3단계 보호(None, Sign 및 EncryptAndSign)를 제공합니다. 모든 노드 간 메시지가 암호화되고 디지털로 서명될 수 있게 보호 수준을 설정합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통한 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통해 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. | 감사, 거부, 사용 안 함 | 2.0.1 |
활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 이 정책은 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정이 BYOK로 암호화되었는지 감사합니다. 이 정책은 스토리지 계정이 기본적으로 활동 로그와 같은 구독에 있는 경우에만 작동합니다. Azure Storage 저장 데이터 암호화에 대한 자세한 내용은 https://aka.ms/azurestoragebyok를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 Blob 및 파일 스토리지 계정을 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 사용 안 함 | 1.0.3 |
서브넷을 네트워크 보안 그룹과 연결해야 합니다. | NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
구독에 둘 이상의 소유자를 할당해야 합니다. | 관리자 액세스 중복성을 유지하려면 둘 이상의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | 저장 데이터를 보호하고 규정 준수 요구 사항을 충족하려면 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 컴퓨터에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. | AuditIfNotExists, 사용 안 함 | 3.0.1 |
액세스 프로비전 및 제거
ID: SOC 2 형식 2 CC6.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
계정 관리자 할당 | CMA_0015 - 계정 관리자 할당 | 수동, 사용 안 함 | 1.1.0 |
사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 | 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
액세스 권한 문서화 | CMA_0186 - 액세스 권한 문서화 | 수동, 사용 안 함 | 1.1.0 |
역할 멤버 자격에 대한 조건 설정 | CMA_0269 - 역할 멤버 자격에 대한 조건 설정 | 수동, 사용 안 함 | 1.1.0 |
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
권한 있는 계정에 대한 액세스 제한 | CMA_0446 - 권한 있는 계정에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
계정 프로비저닝 로그 검토 | CMA_0460 - 계정 프로비저닝 로그 검토 | 수동, 사용 안 함 | 1.1.0 |
사용자 계정 검토. | CMA_0480 - 사용자 계정 검토 | 수동, 사용 안 함 | 1.1.0 |
역할 기반 액세스 및 최소 권한
ID: SOC 2 형식 2 CC6.3 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
구독에 최대 3명의 소유자를 지정해야 합니다. | 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
사용자 지정 RBAC 역할의 사용량 감사 | 오류가 발생하기 쉬운 사용자 지정 RBAC 역할 대신 '소유자, 기여자, 읽기 권한자' 같은 기본 제공 역할을 감사합니다. 사용자 지정 역할 사용은 예외로 처리되며 엄격한 검토 및 위협 모델링이 필요합니다. | 감사, 사용 안 함 | 1.0.1 |
사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 | 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 | 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
액세스 제어 모델 디자인 | CMA_0129 - 액세스 제어 모델 디자인 | 수동, 사용 안 함 | 1.1.0 |
최소 권한 액세스 사용 | CMA_0212 - 최소 권한 액세스 사용 | 수동, 사용 안 함 | 1.1.0 |
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
권한 있는 역할 할당 모니터링 | CMA_0378 - 권한 있는 역할 할당 모니터링 | 수동, 사용 안 함 | 1.1.0 |
권한 있는 계정에 대한 액세스 제한 | CMA_0446 - 권한 있는 계정에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
계정 프로비저닝 로그 검토 | CMA_0460 - 계정 프로비저닝 로그 검토 | 수동, 사용 안 함 | 1.1.0 |
사용자 계정 검토. | CMA_0480 - 사용자 계정 검토 | 수동, 사용 안 함 | 1.1.0 |
사용자 권한 검토 | CMA_C1039 - 사용자 권한 검토 | 수동, 사용 안 함 | 1.1.0 |
필요에 따라 권한 있는 역할 철회 | CMA_0483 - 권한 있는 역할을 적절하게 취소 | 수동, 사용 안 함 | 1.1.0 |
Kubernetes Services에서 RBAC(역할 기반 액세스 제어)를 사용해야 함 | 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. | 감사, 사용 안 함 | 1.0.4 |
구독에 둘 이상의 소유자를 할당해야 합니다. | 관리자 액세스 중복성을 유지하려면 둘 이상의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
권한 있는 관리 ID 사용 | CMA_0533 - 권한 있는 관리 ID 사용 | 수동, 사용 안 함 | 1.1.0 |
제한된 실제 액세스
ID: SOC 2 형식 2 CC6.4 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
실제 자산에 대한 논리적, 실제 보호
ID: SOC 2 형식 2 CC6.5 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
미디어 삭제 메커니즘 사용 | CMA_0208 - 미디어 삭제 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
시스템 경계 외부의 위협에 대한 보안 조치
ID: SOC 2 형식 2 CC6.6 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 4.0.0 |
App Service 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Linux 머신에 대한 인증에 SSH 키가 필요함 | SSH 자체에서 암호화된 연결을 제공하지만 SSH와 함께 암호를 사용하면 VM은 여전히 무차별 암호 대입 공격에 취약합니다. SSH를 통해 Azure Linux 가상 머신에 인증하는 가장 안전한 옵션은 SSH 키라고도 하는 퍼블릭-프라이빗 키 쌍을 사용하는 것입니다. https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 2.4.0 |
원격 액세스 권한 부여 | CMA_0024 - 원격 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
Azure Front Door 진입점에 대해 Azure Web Application Firewall을 사용하도록 설정해야 함 | 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
문서 이동성 학습 | CMA_0191 - 문서 이동성 학습 | 수동, 사용 안 함 | 1.1.0 |
원격 액세스 지침 문서화 | CMA_0196 - 원격 액세스 지침 문서화 | 수동, 사용 안 함 | 1.1.0 |
암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | MySQL용 Azure Database는 SSL(Secure Sockets Layer)을 사용한 MySQL용 Azure Database 서버와 클라이언트 애플리케이션 간 연결을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결하는 것을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
방화벽 및 라우터 구성 표준 설정 | CMA_0272 - 방화벽 및 라우터 구성 표준 설정 | 수동, 사용 안 함 | 1.1.0 |
카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | 수동, 사용 안 함 | 1.1.0 |
함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 5.0.0 |
함수 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
함수 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
네트워크 디바이스 식별 및 인증 | CMA_0296 - 네트워크 디바이스 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
다운스트림 정보 교환 식별 및 관리 | CMA_0298 - 다운스트림 정보 교환 식별 및 관리 | 수동, 사용 안 함 | 1.1.0 |
대체 작업 현장을 보호하기 위한 컨트롤 구현 | CMA_0315 - 대체 작업 사이트를 보호하기 위한 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Kubernetes 클러스터는 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 인증을 보장하고, 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. 이 기능은 현재 AKS(Kubernetes Service)에 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 방문하세요. | 감사, 거부, 사용 안 함 | 9.1.0 |
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
가상 머신에서 관리 포트를 닫아야 합니다. | 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
사용자에게 시스템 로그온 또는 액세스 알림 | CMA_0382 - 사용자에게 시스템 로그온 또는 액세스 알림 | 수동, 사용 안 함 | 1.1.0 |
Azure Cache for Redis에 보안 연결만 사용하도록 설정해야 함 | SSL을 통해 설정된 Azure Cache for Redis 연결만 감사 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
서브넷을 네트워크 보안 그룹과 연결해야 합니다. | NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 | 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 컴퓨터에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. | AuditIfNotExists, 사용 안 함 | 3.0.1 |
권한이 있는 사용자에게만 정보 이동 제한
ID: SOC 2 형식 2 CC6.7 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 4.0.0 |
App Service 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
모바일 디바이스 요구 사항 정의 | CMA_0122 - 모바일 디바이스 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
미디어 삭제 메커니즘 사용 | CMA_0208 - 미디어 삭제 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | MySQL용 Azure Database는 SSL(Secure Sockets Layer)을 사용한 MySQL용 Azure Database 서버와 클라이언트 애플리케이션 간 연결을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결하는 것을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
방화벽 및 라우터 구성 표준 설정 | CMA_0272 - 방화벽 및 라우터 구성 표준 설정 | 수동, 사용 안 함 | 1.1.0 |
카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | 수동, 사용 안 함 | 1.1.0 |
함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 5.0.0 |
함수 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
함수 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
다운스트림 정보 교환 식별 및 관리 | CMA_0298 - 다운스트림 정보 교환 식별 및 관리 | 수동, 사용 안 함 | 1.1.0 |
컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Kubernetes 클러스터는 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 인증을 보장하고, 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. 이 기능은 현재 AKS(Kubernetes Service)에 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 방문하세요. | 감사, 거부, 사용 안 함 | 9.1.0 |
자산의 운송 관리 | CMA_0370 - 자산의 운송 관리 | 수동, 사용 안 함 | 1.1.0 |
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
가상 머신에서 관리 포트를 닫아야 합니다. | 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure Cache for Redis에 보안 연결만 사용하도록 설정해야 함 | SSL을 통해 설정된 Azure Cache for Redis 연결만 감사 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
서브넷을 네트워크 보안 그룹과 연결해야 합니다. | NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 컴퓨터에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. | AuditIfNotExists, 사용 안 함 | 3.0.1 |
무단 또는 악성 소프트웨어 방지 또는 탐지
ID: SOC 2 형식 2 CC6.8 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[사용되지 않음]: 함수 앱에는 '클라이언트 인증서(수신 클라이언트 인증서)'가 사용하도록 설정되어 있어야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. Http 2.0은 클라이언트 인증서를 지원하지 않기 때문에 이 정책은 동일한 이름의 새 정책으로 바뀌었습니다. | 감사, 사용 안 함 | 3.1.0-deprecated |
App Service 앱에서 클라이언트 인증서(들어오는 클라이언트 인증서)가 사용하도록 설정되어 있어야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
App Service 앱에 원격 디버깅이 비활성화되어 있어야 함 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
App Service 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 | CORS(원본 간 리소스 공유)는 앱에 액세스하는 모든 도메인을 허용해서는 안 됩니다. 필요한 도메인만 앱과 상호 작용하도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
App Service 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
관리 디스크를 사용하지 않는 VM 감사 | 이 정책은 관리 디스크를 사용하지 않는 VM을 감사 | 감사 | 1.0.0 |
클러스터에 AKS(Azure Kubernetes Service)용 Azure Policy 추가 기능을 설치하고 사용하도록 설정해야 함 | AKS(Azure Kubernetes Service)용 Azure Policy 추가 기능은 OPA(Open Policy Agent)용 허용 컨트롤러 웹후크인 Gatekeeper v3를 확장하여 일관된 중앙 집중식 방법으로 클러스터에 대규모 규약 및 세이프가드를 적용합니다. | 감사, 사용 안 함 | 1.0.2 |
USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 | CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | 수동, 사용 안 함 | 1.1.0 |
함수 앱에 원격 디버깅이 해제되어 있어야 함 | 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
함수 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 | CORS(교차 원본 리소스 공유)는 함수 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
함수 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
머신에 게스트 구성 확장을 설치해야 함 | 머신의 게스트 내 설정을 안전하게 구성하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 'Windows Exploit Guard를 사용하도록 설정해야 합니다'와 같은 게스트 내 정책을 사용할 수 있습니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
Kubernetes 클러스터 컨테이너 CPU 및 메모리 리소스 한도는 지정된 한도를 초과하지 않아야 함 | Kubernetes 클러스터에서 리소스 소모 공격을 방지하기 위해 컨테이너 CPU 및 메모리 리소스 제한을 적용합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 10.2.0 |
Kubernetes 클러스터 컨테이너는 호스트 프로세스 ID 또는 호스트 IPC 네임스페이스를 공유해서는 안 됨 | Kubernetes 클러스터에서 호스트 프로세스 ID 네임스페이스 및 호스트 IPC 네임스페이스를 공유하지 못하도록 Pod 컨테이너를 차단합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.2 및 CIS 5.2.3의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.0 |
Kubernetes 클러스터 컨테이너는 허용된 AppArmor 프로필만 사용해야 함 | 컨테이너는 Kubernetes 클러스터에서 허용된 AppArmor 프로필만 사용해야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
Kubernetes 클러스터 컨테이너는 허용된 기능만 사용해야 함 | Kubernetes 클러스터에서 컨테이너의 공격 노출 영역을 줄이기 위해 기능을 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.8 및 CIS 5.2.9의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.0 |
Kubernetes 클러스터 컨테이너는 허용된 이미지만 사용해야 함 | 신뢰할 수 있는 레지스트리의 이미지를 사용하여 알 수 없는 취약성, 보안 문제 및 악성 이미지에 대한 Kubernetes 클러스터의 노출 위험을 줄입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 10.2.0 |
Kubernetes 클러스터 컨테이너는 읽기 전용 루트 파일 시스템에서 실행되어야 함 | 읽기 전용 루트 파일 시스템을 통해 컨테이너를 실행하여 Kubernetes 클러스터의 PATH에 추가된 악성 이진 파일로 인한 런타임 시 변경으로부터 보호합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.0 |
Kubernetes 클러스터 Pod hostPath 볼륨은 허용된 호스트 경로만 사용해야 함 | Pod HostPath 볼륨 탑재를 Kubernetes 클러스터에서 허용된 호스트 경로로 제한합니다. 이 정책은 일반적으로 AKS(Kubernetes Service) 및 Azure Arc 지원 Kubernetes에 사용할 수 있습니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
Kubernetes 클러스터 Pod 및 컨테이너는 승인된 사용자 및 그룹 ID로만 실행해야 함 | Pod 및 컨테이너가 Kubernetes 클러스터에서 실행하는 데 사용할 수 있는 사용자, 기본 그룹, 보조 그룹 및 파일 시스템 그룹 ID를 제어합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
Kubernetes 클러스터 Pod는 승인된 호스트 네트워크와 포트 범위만 사용해야 함 | Kubernetes 클러스터에서 호스트 네트워크 및 허용 가능한 호스트 포트 범위에 대한 Pod 액세스를 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.4의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.0 |
Kubernetes 클러스터 서비스는 허용된 포트에서만 수신 대기해야 함 | Kubernetes 클러스터에 대한 액세스를 보호하기 위해 서비스가 허용된 포트에서만 수신 대기하도록 제한합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 9.1.0 |
Kubernetes 클러스터는 권한 있는 컨테이너를 허용하지 않아야 함 | Kubernetes 클러스터는 권한 있는 컨테이너를 만드는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.1의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 10.1.0 |
Kubernetes 클러스터는 자동 탑재 API 자격 증명을 사용하지 않도록 설정해야 함 | 잠재적으로 손상된 Pod 리소스가 Kubernetes 클러스터에 대해 API 명령을 실행할 수 없도록 자동 탑재 API 자격 증명을 사용하지 않도록 설정합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.0 |
Kubernetes 클러스터는 컨테이너 권한 상승을 허용해서는 안 됨 | 컨테이너가 Kubernetes 클러스터 루트로의 권한 상승을 통해 실행되는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.5의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 8.1.0 |
Kubernetes 클러스터는 CAP_SYS_ADMIN 보안 기능을 부여하지 않아야 함 | 컨테이너의 공격 노출 영역을 줄이려면 CAP_SYS_ADMIN Linux 기능을 제한합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.0 |
Kubernetes 클러스터는 기본 네임스페이스를 사용하지 않아야 함 | Kubernetes 클러스터에서 기본 네임스페이스를 사용하여 ConfigMap, Pod, Secret, Service 및 ServiceAccount 리소스 종류에 대한 무단 액세스를 방지합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.0 |
Linux 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.5.0 |
게이트웨이 관리 | CMA_0363 - 게이트웨이 관리 | 수동, 사용 안 함 | 1.1.0 |
승인된 VM 확장만 설치해야 함 | 이 정책은 승인되지 않은 가상 머신 확장을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
매주 맬웨어 검색 보고서 검토 | CMA_0475 - 매주 맬웨어 검색 보고서 검토 | 수동, 사용 안 함 | 1.1.0 |
매주 위협 방지 상태 검토 | CMA_0479 - 매주 위협 방지 상태 검토 | 수동, 사용 안 함 | 1.1.0 |
스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 스토리지 계정과 상호 작용하는 일부 Microsoft 서비스는 네트워크 규칙을 통해 액세스 권한을 부여할 수 없는 네트워크에서 작동합니다. 이러한 유형의 서비스가 의도한 대로 작동하도록 하려면 신뢰할 수 있는 Microsoft 서비스 세트에서 네트워크 규칙을 무시하도록 허용합니다. 그러면 이러한 서비스에서 강력한 인증을 사용하여 스토리지 계정에 액세스합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
바이러스 백신 정의 업데이트 | CMA_0517 - 바이러스 백신 정의 업데이트 | 수동, 사용 안 함 | 1.1.0 |
소프트웨어, 펌웨어 및 정보 무결성 확인 | CMA_0542 - 소프트웨어, 펌웨어 및 정보 무결성 확인 | 수동, 사용 안 함 | 1.1.0 |
시스템 진단 데이터 보기 및 구성 | CMA_0544 - 시스템 진단 데이터 보기 및 구성 | 수동, 사용 안 함 | 1.1.0 |
가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
시스템 작업
새 취약성 감지 및 모니터링
ID: SOC 2 형식 2 CC7.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
비규격 디바이스에 대한 작업 구성 | CMA_0062 - 비규격 디바이스에 대한 작업 구성 | 수동, 사용 안 함 | 1.1.0 |
기준 구성 개발 및 유지 관리 | CMA_0153 - 기준 구성 개발 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
네트워크 디바이스 검색 사용 | CMA_0220 - 네트워크 디바이스 검색 사용 | 수동, 사용 안 함 | 1.1.0 |
보안 구성 설정 적용 | CMA_0249 - 보안 구성 설정 적용 | 수동, 사용 안 함 | 1.1.0 |
구성 제어 보드 설정 | CMA_0254 - 구성 제어 보드 설정 | 수동, 사용 안 함 | 1.1.0 |
구성 관리 계획 수립 및 문서화 | CMA_0264 - 구성 관리 계획 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
자동화된 구성 관리 도구 구현 | CMA_0311 - 자동화된 구성 관리 도구 구현 | 수동, 사용 안 함 | 1.1.0 |
취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
소프트웨어, 펌웨어 및 정보 무결성 확인 | CMA_0542 - 소프트웨어, 펌웨어 및 정보 무결성 확인 | 수동, 사용 안 함 | 1.1.0 |
시스템 진단 데이터 보기 및 구성 | CMA_0544 - 시스템 진단 데이터 보기 및 구성 | 수동, 사용 안 함 | 1.1.0 |
SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 | 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. | 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
시스템 구성 요소에서 비정상적인 동작 모니터링
ID: SOC 2 형식 2 CC7.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[미리 보기]: Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender의 확장이 설치되어 있어야 함 | Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 4.0.1-preview |
특정 관리 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
특정 정책 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
특정 보안 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
승인되지 않았거나 승인되지 않은 네트워크 서비스 검색 | CMA_C1700 - 승인되거나 승인되지 않은 네트워크 서비스 검색 | 수동, 사용 안 함 | 1.1.0 |
감사 처리 작업 제어 및 모니터링 | CMA_0289 - 감사 처리 작업 제어 및 모니터링 | 수동, 사용 안 함 | 1.1.0 |
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당). | AuditIfNotExists, 사용 안 함 | 1.1.1 |
보안 인시던트 검색
ID: SOC 2 형식 2 CC7.3 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | CMA_C1352 - 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
보안인시던트 응답
ID: SOC 2 형식 2 CC7.4 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
정보 보안 이벤트 평가 | CMA_0013 - 정보 보안 이벤트 평가 | 수동, 사용 안 함 | 1.1.0 |
관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
보안 보호 기능 개발 | CMA_0161 - 보안 보호 기능 개발 | 수동, 사용 안 함 | 1.1.0 |
심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. | 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
네트워크 보호 사용 | CMA_0238 - 네트워크 보호 사용 | 수동, 사용 안 함 | 1.1.0 |
오염된 정보 제거 | CMA_0253 - 오염된 정보 제거 | 수동, 사용 안 함 | 1.1.0 |
정보 유출에 대한 응답으로 작업 실행 | CMA_0281 - 정보 유출에 대한 응답으로 작업 실행 | 수동, 사용 안 함 | 1.1.0 |
인시던트 클래스 및 수행한 작업 식별 | CMA_C1365 - 인시던트 클래스 및 수행한 작업 식별 | 수동, 사용 안 함 | 1.1.0 |
인시던트 처리 구현 | CMA_0318 - 인시던트 처리 구현 | 수동, 사용 안 함 | 1.1.0 |
고객 배포 리소스의 동적 재구성 포함 | CMA_C1364 - 고객 배포 리소스의 동적 재구성 포함 | 수동, 사용 안 함 | 1.1.0 |
인시던트 대응 플랜 유지 관리 | CMA_0352 - 인시던트 대응 플랜 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
제한된 사용자 보기 및 조사 | CMA_0545 - 제한된 사용자 보기 및 조사 | 수동, 사용 안 함 | 1.1.0 |
식별된 보안 인시던트로부터의 복구
ID: SOC 2 형식 2 CC7.5 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
정보 보안 이벤트 평가 | CMA_0013 - 정보 보안 이벤트 평가 | 수동, 사용 안 함 | 1.1.0 |
인시던트 대응 테스트 수행 | CMA_0060 - 인시던트 대응 테스트 수행 | 수동, 사용 안 함 | 1.1.0 |
관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
조직 간 관점을 달성하기 위해 외부 조직과 조정 | CMA_C1368 - 조직 간 관점을 달성하기 위해 외부 조직과 조정 | 수동, 사용 안 함 | 1.1.0 |
인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
보안 보호 기능 개발 | CMA_0161 - 보안 보호 기능 개발 | 수동, 사용 안 함 | 1.1.0 |
심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. | 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
네트워크 보호 사용 | CMA_0238 - 네트워크 보호 사용 | 수동, 사용 안 함 | 1.1.0 |
오염된 정보 제거 | CMA_0253 - 오염된 정보 제거 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
정보 유출에 대한 응답으로 작업 실행 | CMA_0281 - 정보 유출에 대한 응답으로 작업 실행 | 수동, 사용 안 함 | 1.1.0 |
인시던트 처리 구현 | CMA_0318 - 인시던트 처리 구현 | 수동, 사용 안 함 | 1.1.0 |
인시던트 대응 플랜 유지 관리 | CMA_0352 - 인시던트 대응 플랜 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
시뮬레이션 공격 실행 | CMA_0486 - 시뮬레이션 공격 실행 | 수동, 사용 안 함 | 1.1.0 |
구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
제한된 사용자 보기 및 조사 | CMA_0545 - 제한된 사용자 보기 및 조사 | 수동, 사용 안 함 | 1.1.0 |
변경 관리
인프라, 데이터, 소프트웨어 변경
ID: SOC 2 형식 2 CC8.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[사용되지 않음]: 함수 앱에는 '클라이언트 인증서(수신 클라이언트 인증서)'가 사용하도록 설정되어 있어야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. Http 2.0은 클라이언트 인증서를 지원하지 않기 때문에 이 정책은 동일한 이름의 새 정책으로 바뀌었습니다. | 감사, 사용 안 함 | 3.1.0-deprecated |
App Service 앱에서 클라이언트 인증서(들어오는 클라이언트 인증서)가 사용하도록 설정되어 있어야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
App Service 앱에 원격 디버깅이 비활성화되어 있어야 함 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
App Service 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 | CORS(원본 간 리소스 공유)는 앱에 액세스하는 모든 도메인을 허용해서는 안 됩니다. 필요한 도메인만 앱과 상호 작용하도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
App Service 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
관리 디스크를 사용하지 않는 VM 감사 | 이 정책은 관리 디스크를 사용하지 않는 VM을 감사 | 감사 | 1.0.0 |
클러스터에 AKS(Azure Kubernetes Service)용 Azure Policy 추가 기능을 설치하고 사용하도록 설정해야 함 | AKS(Azure Kubernetes Service)용 Azure Policy 추가 기능은 OPA(Open Policy Agent)용 허용 컨트롤러 웹후크인 Gatekeeper v3를 확장하여 일관된 중앙 집중식 방법으로 클러스터에 대규모 규약 및 세이프가드를 적용합니다. | 감사, 사용 안 함 | 1.0.2 |
보안 영향 분석 수행 | CMA_0057 - 보안 영향 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
비규격 디바이스에 대한 작업 구성 | CMA_0062 - 비규격 디바이스에 대한 작업 구성 | 수동, 사용 안 함 | 1.1.0 |
취약성 관리 표준 개발 및 유지 관리 | CMA_0152 - 취약성 관리 표준 개발 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
기준 구성 개발 및 유지 관리 | CMA_0153 - 기준 구성 개발 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
보안 구성 설정 적용 | CMA_0249 - 보안 구성 설정 적용 | 수동, 사용 안 함 | 1.1.0 |
구성 제어 보드 설정 | CMA_0254 - 구성 제어 보드 설정 | 수동, 사용 안 함 | 1.1.0 |
위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
구성 관리 계획 수립 및 문서화 | CMA_0264 - 구성 관리 계획 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
함수 앱에 원격 디버깅이 해제되어 있어야 함 | 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
함수 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 | CORS(교차 원본 리소스 공유)는 함수 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
함수 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
머신에 게스트 구성 확장을 설치해야 함 | 머신의 게스트 내 설정을 안전하게 구성하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 'Windows Exploit Guard를 사용하도록 설정해야 합니다'와 같은 게스트 내 정책을 사용할 수 있습니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
자동화된 구성 관리 도구 구현 | CMA_0311 - 자동화된 구성 관리 도구 구현 | 수동, 사용 안 함 | 1.1.0 |
Kubernetes 클러스터 컨테이너 CPU 및 메모리 리소스 한도는 지정된 한도를 초과하지 않아야 함 | Kubernetes 클러스터에서 리소스 소모 공격을 방지하기 위해 컨테이너 CPU 및 메모리 리소스 제한을 적용합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 10.2.0 |
Kubernetes 클러스터 컨테이너는 호스트 프로세스 ID 또는 호스트 IPC 네임스페이스를 공유해서는 안 됨 | Kubernetes 클러스터에서 호스트 프로세스 ID 네임스페이스 및 호스트 IPC 네임스페이스를 공유하지 못하도록 Pod 컨테이너를 차단합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.2 및 CIS 5.2.3의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.0 |
Kubernetes 클러스터 컨테이너는 허용된 AppArmor 프로필만 사용해야 함 | 컨테이너는 Kubernetes 클러스터에서 허용된 AppArmor 프로필만 사용해야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
Kubernetes 클러스터 컨테이너는 허용된 기능만 사용해야 함 | Kubernetes 클러스터에서 컨테이너의 공격 노출 영역을 줄이기 위해 기능을 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.8 및 CIS 5.2.9의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.0 |
Kubernetes 클러스터 컨테이너는 허용된 이미지만 사용해야 함 | 신뢰할 수 있는 레지스트리의 이미지를 사용하여 알 수 없는 취약성, 보안 문제 및 악성 이미지에 대한 Kubernetes 클러스터의 노출 위험을 줄입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 10.2.0 |
Kubernetes 클러스터 컨테이너는 읽기 전용 루트 파일 시스템에서 실행되어야 함 | 읽기 전용 루트 파일 시스템을 통해 컨테이너를 실행하여 Kubernetes 클러스터의 PATH에 추가된 악성 이진 파일로 인한 런타임 시 변경으로부터 보호합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.0 |
Kubernetes 클러스터 Pod hostPath 볼륨은 허용된 호스트 경로만 사용해야 함 | Pod HostPath 볼륨 탑재를 Kubernetes 클러스터에서 허용된 호스트 경로로 제한합니다. 이 정책은 일반적으로 AKS(Kubernetes Service) 및 Azure Arc 지원 Kubernetes에 사용할 수 있습니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
Kubernetes 클러스터 Pod 및 컨테이너는 승인된 사용자 및 그룹 ID로만 실행해야 함 | Pod 및 컨테이너가 Kubernetes 클러스터에서 실행하는 데 사용할 수 있는 사용자, 기본 그룹, 보조 그룹 및 파일 시스템 그룹 ID를 제어합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
Kubernetes 클러스터 Pod는 승인된 호스트 네트워크와 포트 범위만 사용해야 함 | Kubernetes 클러스터에서 호스트 네트워크 및 허용 가능한 호스트 포트 범위에 대한 Pod 액세스를 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.4의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.0 |
Kubernetes 클러스터 서비스는 허용된 포트에서만 수신 대기해야 함 | Kubernetes 클러스터에 대한 액세스를 보호하기 위해 서비스가 허용된 포트에서만 수신 대기하도록 제한합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 9.1.0 |
Kubernetes 클러스터는 권한 있는 컨테이너를 허용하지 않아야 함 | Kubernetes 클러스터는 권한 있는 컨테이너를 만드는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.1의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 10.1.0 |
Kubernetes 클러스터는 자동 탑재 API 자격 증명을 사용하지 않도록 설정해야 함 | 잠재적으로 손상된 Pod 리소스가 Kubernetes 클러스터에 대해 API 명령을 실행할 수 없도록 자동 탑재 API 자격 증명을 사용하지 않도록 설정합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.0 |
Kubernetes 클러스터는 컨테이너 권한 상승을 허용해서는 안 됨 | 컨테이너가 Kubernetes 클러스터 루트로의 권한 상승을 통해 실행되는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.5의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 8.1.0 |
Kubernetes 클러스터는 CAP_SYS_ADMIN 보안 기능을 부여하지 않아야 함 | 컨테이너의 공격 노출 영역을 줄이려면 CAP_SYS_ADMIN Linux 기능을 제한합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.0 |
Kubernetes 클러스터는 기본 네임스페이스를 사용하지 않아야 함 | Kubernetes 클러스터에서 기본 네임스페이스를 사용하여 ConfigMap, Pod, Secret, Service 및 ServiceAccount 리소스 종류에 대한 무단 액세스를 방지합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 5.1.0 |
Linux 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.5.0 |
승인된 VM 확장만 설치해야 함 | 이 정책은 승인되지 않은 가상 머신 확장을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
프라이버시 영향 평가 수행 | CMA_0387 - 프라이버시 영향 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 스토리지 계정과 상호 작용하는 일부 Microsoft 서비스는 네트워크 규칙을 통해 액세스 권한을 부여할 수 없는 네트워크에서 작동합니다. 이러한 유형의 서비스가 의도한 대로 작동하도록 하려면 신뢰할 수 있는 Microsoft 서비스 세트에서 네트워크 규칙을 무시하도록 허용합니다. 그러면 이러한 서비스에서 강력한 인증을 사용하여 스토리지 계정에 액세스합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
위험 완화
위험 완화 작업
ID: SOC 2 형식 2 CC9.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
정보 보호 요구 사항 결정 | CMA_C1750 - 정보 보호 요구 사항 결정 | 수동, 사용 안 함 | 1.1.0 |
위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
공급업체 및 비즈니스 파트너 위험 관리
ID: SOC 2 형식 2 CC9.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
타사 관계의 위험 평가 | CMA_0014 - 타사 관계의 위험 평가 | 수동, 사용 안 함 | 1.1.0 |
상품 및 서비스 제공 요구 사항 정의 | CMA_0126 - 상품 및 서비스 제공 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
프로세서 의무 정의 | CMA_0127 - 프로세서 의무 정의 | 수동, 사용 안 함 | 1.1.0 |
공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
공급망 위험 관리에 대한 정책 설정 | CMA_0275 - 공급망 위험 관리에 대한 정책 설정 | 수동, 사용 안 함 | 1.1.0 |
타사 직원 보안 요구 사항 설정 | CMA_C1529 - 타사 직원 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
타사 공급자 규정 준수 모니터링 | CMA_C1533 - 타사 공급자 규정 준수 모니터링 | 수동, 사용 안 함 | 1.1.0 |
타사에 대한 PII 공개 기록 | CMA_0422 - 타사에 대한 PII 공개 기록 | 수동, 사용 안 함 | 1.1.0 |
타사 공급자에 직원 보안 정책 및 절차 준수 요구 | CMA_C1530 - 타사 공급자에 직원 보안 정책 및 절차 준수 요구 | 수동, 사용 안 함 | 1.1.0 |
PII 공유 및 그 결과에 대한 직원 교육 | CMA_C1871 - PII 공유 및 그 결과에 대한 직원 교육 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 보호에 대한 추가 기준
개인정보 처리방침
ID: SOC 2 형식 2 P1.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
개인정보처리방침 문서화 및 배포 | CMA_0188 - 개인정보처리방침 문서화 및 배포 | 수동, 사용 안 함 | 1.1.0 |
프라이버시 프로그램 정보를 공개적으로 사용할 수 있는지 확인 | CMA_C1867 - 프라이버시 프로그램 정보를 공개적으로 사용할 수 있는지 확인 | 수동, 사용 안 함 | 1.1.0 |
개인정보처리방침 배달 방법 구현 | CMA_0324 - 개인정보처리방침 배달 방법 구현 | 수동, 사용 안 함 | 1.1.0 |
개인정보처리방침 제공 | CMA_0414 - 개인정보처리방침 제공 | 수동, 사용 안 함 | 1.1.0 |
대중 및 개인에게 개인정보처리방침 제공 | CMA_C1861 - 대중 및 개인에게 개인 정보 보호 알림 제공 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 보호 동의
ID: SOC 2 형식 2 P2.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
프라이버시 요구 사항에 대한 직원 동의 문서화 | CMA_0193 - 프라이버시 요구 사항에 대한 직원 동의 문서화 | 수동, 사용 안 함 | 1.1.0 |
개인정보처리방침 배달 방법 구현 | CMA_0324 - 개인정보처리방침 배달 방법 구현 | 수동, 사용 안 함 | 1.1.0 |
개인 데이터의 수집 또는 처리 전에 동의 얻기 | CMA_0385 - 개인 데이터를 수집하거나 처리하기 전에 동의 얻기 | 수동, 사용 안 함 | 1.1.0 |
개인정보처리방침 제공 | CMA_0414 - 개인정보처리방침 제공 | 수동, 사용 안 함 | 1.1.0 |
지속적인 개인 정보 컬렉션
ID: SOC 2 형식 2 P3.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
PII를 수집할 법적 권한 확인 | CMA_C1800 - PII를 수집할 법적 권한 확인 | 수동, 사용 안 함 | 1.1.0 |
PII의 무결성을 보장하기 위한 문서 프로세스 | CMA_C1827 - PII의 무결성을 보장하기 위한 문서 프로세스 | 수동, 사용 안 함 | 1.1.0 |
정기적으로 PII 보유 평가 및 검토 | CMA_C1832 - 정기적으로 PII 보유 평가 및 검토 | 수동, 사용 안 함 | 1.1.0 |
개인 데이터의 수집 또는 처리 전에 동의 얻기 | CMA_0385 - 개인 데이터를 수집하거나 처리하기 전에 동의 얻기 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 명시적 동의
ID: SOC 2 형식 2 P3.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
개인으로부터 직접 PII 수집 | CMA_C1822 - 개인으로부터 직접 PII 수집 | 수동, 사용 안 함 | 1.1.0 |
개인 데이터의 수집 또는 처리 전에 동의 얻기 | CMA_0385 - 개인 데이터를 수집하거나 처리하기 전에 동의 얻기 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 사용
ID: SOC 2 형식 2 P4.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
개인 정보 처리를 위한 법적 근거 문서화 | CMA_0206 - 개인 정보 처리를 위한 법적 근거 문서화 | 수동, 사용 안 함 | 1.1.0 |
개인정보처리방침 배달 방법 구현 | CMA_0324 - 개인정보처리방침 배달 방법 구현 | 수동, 사용 안 함 | 1.1.0 |
개인 데이터의 수집 또는 처리 전에 동의 얻기 | CMA_0385 - 개인 데이터를 수집하거나 처리하기 전에 동의 얻기 | 수동, 사용 안 함 | 1.1.0 |
개인정보처리방침 제공 | CMA_0414 - 개인정보처리방침 제공 | 수동, 사용 안 함 | 1.1.0 |
통신 제한 | CMA_0449 - 통신 제한 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 보유
ID: SOC 2 형식 2 P4.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
PII의 무결성을 보장하기 위한 문서 프로세스 | CMA_C1827 - PII의 무결성을 보장하기 위한 문서 프로세스 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 삭제
ID: SOC 2 형식 2 P4.3 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
처리 검토 수행 | CMA_0391 - 처리 검토 수행 | 수동, 사용 안 함 | 1.1.0 |
처리가 끝나면 개인 데이터가 삭제되었는지 확인 | CMA_0540 - 처리가 끝날 때 개인 데이터가 삭제되었는지 확인 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 액세스
ID: SOC 2 형식 2 P5.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
소비자 요청에 대한 메서드 구현 | CMA_0319 - 소비자 요청에 대한 메서드 구현 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 보호법 기록 접근에 관한 규칙 및 규정 게시 | CMA_C1847 - 개인 정보 보호법 기록 접근에 관한 규칙 및 규정 게시 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 수정
ID: SOC 2 형식 2 P5.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
수정 요청에 응답 | CMA_0442 - 수정 요청에 응답 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 타사 공개
ID: SOC 2 형식 2 P6.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
프로세서 의무 정의 | CMA_0127 - 프로세서 의무 정의 | 수동, 사용 안 함 | 1.1.0 |
공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
계약자 및 서비스 공급자에 대한 프라이버시 요구 사항 설정 | CMA_C1810 - 계약자 및 서비스 공급자에 대한 프라이버시 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
타사에 대한 PII 공개 기록 | CMA_0422 - 타사에 대한 PII 공개 기록 | 수동, 사용 안 함 | 1.1.0 |
PII 공유 및 그 결과에 대한 직원 교육 | CMA_C1871 - PII 공유 및 그 결과에 대한 직원 교육 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 레코드의 권한 있는 공개
ID: SOC 2 형식 2 P6.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
정보 공개에 대한 정확한 계정 유지 | CMA_C1818 - 정보 공개에 대한 정확한 계정 유지 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 레코드의 무단 공개
ID: SOC 2 형식 2 P6.3 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
정보 공개에 대한 정확한 계정 유지 | CMA_C1818 - 정보 공개에 대한 정확한 계정 유지 | 수동, 사용 안 함 | 1.1.0 |
타사 계약
ID: SOC 2 형식 2 P6.4 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
프로세서 의무 정의 | CMA_0127 - 프로세서 의무 정의 | 수동, 사용 안 함 | 1.1.0 |
타사 무단 공개 알림
ID: SOC 2 형식 2 P6.5 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 및 개인 데이터 보호 | CMA_0332 - 정보 보안 및 개인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 인시던트 알림
ID: SOC 2 형식 2 P6.6 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 및 개인 데이터 보호 | CMA_0332 - 정보 보안 및 개인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 공개에 대한 회계
ID: SOC 2 형식 2 P6.7 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
개인정보처리방침 배달 방법 구현 | CMA_0324 - 개인정보처리방침 배달 방법 구현 | 수동, 사용 안 함 | 1.1.0 |
정보 공개에 대한 정확한 계정 유지 | CMA_C1818 - 정보 공개에 대한 정확한 계정 유지 | 수동, 사용 안 함 | 1.1.0 |
요청 시 공개 회계를 사용할 수 있도록 설정 | CMA_C1820 - 요청 시 공개 회계를 사용할 수 있도록 설정 | 수동, 사용 안 함 | 1.1.0 |
개인정보처리방침 제공 | CMA_0414 - 개인정보처리방침 제공 | 수동, 사용 안 함 | 1.1.0 |
통신 제한 | CMA_0449 - 통신 제한 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 품질
ID: SOC 2 형식 2 P7.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
PII의 품질 및 무결성 확인 | CMA_C1821 - PII의 품질 및 무결성 확인 | 수동, 사용 안 함 | 1.1.0 |
데이터 품질 및 무결성을 보장하기 위한 문제 지침 | CMA_C1824 - 데이터 품질 및 무결성을 보장하기 위한 문제 지침 | 수동, 사용 안 함 | 1.1.0 |
부정확하거나 오래된 PII 확인 | CMA_C1823 - 부정확하거나 오래된 PII 확인 | 수동, 사용 안 함 | 1.1.0 |
개인 정보 취급 방침 관리 및 규정 준수 관리
ID: SOC 2 형식 2 P8.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
프라이버시 컴플레인 절차 문서화 및 구현 | CMA_0189 - 프라이버시 컴플레인 절차 문서화 및 구현 | 수동, 사용 안 함 | 1.1.0 |
정기적으로 PII 보유 평가 및 검토 | CMA_C1832 - 정기적으로 PII 보유 평가 및 검토 | 수동, 사용 안 함 | 1.1.0 |
정보 보안 및 개인 데이터 보호 | CMA_0332 - 정보 보안 및 개인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
불만 사항, 문제 또는 질문에 적시에 대응 | CMA_C1853 - 불만 사항, 우려 사항 또는 질문에 적시에 응답합니다. | 수동, 사용 안 함 | 1.1.0 |
PII 공유 및 그 결과에 대한 직원 교육 | CMA_C1871 - PII 공유 및 그 결과에 대한 직원 교육 | 수동, 사용 안 함 | 1.1.0 |
처리 무결성에 대한 추가 조건
데이터 처리 정의
ID: SOC 2 형식 2 PI1.1 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
개인정보처리방침 배달 방법 구현 | CMA_0324 - 개인정보처리방침 배달 방법 구현 | 수동, 사용 안 함 | 1.1.0 |
개인정보처리방침 제공 | CMA_0414 - 개인정보처리방침 제공 | 수동, 사용 안 함 | 1.1.0 |
통신 제한 | CMA_0449 - 통신 제한 | 수동, 사용 안 함 | 1.1.0 |
완전성과 정확도에 대한 시스템 입력
ID: SOC 2 형식 2 PI1.2 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
정보 입력 유효성 검사 수행 | CMA_C1723 - 정보 입력 유효성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
시스템 처리
ID: SOC 2 형식 2 PI1.3 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
오류 메시지 생성 | CMA_C1724 - 오류 메시지 생성 | 수동, 사용 안 함 | 1.1.0 |
데이터의 입력, 출력, 처리 및 스토리지 관리 | CMA_0369 - 데이터의 입력, 출력, 처리 및 스토리지 관리 | 수동, 사용 안 함 | 1.1.0 |
정보 입력 유효성 검사 수행 | CMA_C1723 - 정보 입력 유효성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
레이블 활동 및 분석 검토 | CMA_0474 - 레이블 활동 및 분석 검토 | 수동, 사용 안 함 | 1.1.0 |
시스템 출력이 완전하고 정확하며 시기 적절하게 수행됨
ID: SOC 2 형식 2 PI1.4 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
데이터의 입력, 출력, 처리 및 스토리지 관리 | CMA_0369 - 데이터의 입력, 출력, 처리 및 스토리지 관리 | 수동, 사용 안 함 | 1.1.0 |
레이블 활동 및 분석 검토 | CMA_0474 - 레이블 활동 및 분석 검토 | 수동, 사용 안 함 | 1.1.0 |
입력과 출력을 완전하고 정확하며 시기적절하게 저장
ID: SOC 2 형식 2 PI1.5 소유권: 공유
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 Azure Virtual Machines의 보호를 보장합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
백업 정책 및 절차 설정 | CMA_0268 - 백업 정책 및 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MariaDB를 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MySQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
데이터의 입력, 출력, 처리 및 스토리지 관리 | CMA_0369 - 데이터의 입력, 출력, 처리 및 스토리지 관리 | 수동, 사용 안 함 | 1.1.0 |
레이블 활동 및 분석 검토 | CMA_0474 - 레이블 활동 및 분석 검토 | 수동, 사용 안 함 | 1.1.0 |
백업 정보를 별도로 저장 | CMA_C1293 - 백업 정보를 별도로 저장 | 수동, 사용 안 함 | 1.1.0 |
다음 단계
Azure Policy에 대한 추가 문서:
- 규정 준수 개요
- 이니셔티브 정의 구조를 참조합니다.
- Azure Policy 샘플의 다른 예제를 검토합니다.
- 정책 효과 이해를 검토합니다.
- 규정 비준수 리소스를 수정하는 방법을 알아봅니다.