Azure IoT Hub에 대한 Azure Policy 기본 제공 정의
일반적인 IoT 시나리오를 구현하는 방법을 보여 주는 IoT Hub 샘플 코드는 IoT Hub 빠른 시작을 참조 하세요. C, Node.js 및 Python을 비롯한 여러 프로그래밍 언어에 대한 빠른 시작이 있습니다.
이 페이지는 Azure IoT Hub에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Azure IoT Hub
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure IoT Hub는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 IoT Hub에서 미사용 데이터를 암호화하면 기본 서비스 관리형 키 위에 두 번째 암호화 계층이 추가되고, 키에 대한 고객 제어, 사용자 지정 회전 정책 및 키 액세스 제어를 통해 데이터에 대한 액세스를 관리할 수 있습니다. IoT Hub를 만드는 동안 고객 관리형 키를 구성해야 합니다. 고객 관리형 키를 구성하는 방법에 대한 자세한 내용은 https://aka.ms/iotcmk를 구성해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: IoT Hub 디바이스 프로비저닝 서비스 데이터는 CMK(고객 관리형 키)를 사용하여 암호화되어야 함 | 고객 관리형 키를 사용하여 IoT Hub 디바이스 프로비저닝 서비스의 미사용 데이터 암호화를 관리합니다. 데이터는 서비스 관리형 키를 사용하여 자동으로 미사용 데이터가 암호화되지만, CMK(고객 관리형 키)는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. CMK를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. https://aka.ms/dps/CMK에서 CMK 암호화에 대해 자세히 알아봅니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| Azure IoT Hub는 Service Api에 대해 로컬 인증 방법을 사용하지 않도록 설정해야 함 | 로컬 인증 방법을 사용하지 않도록 설정하면 Azure IoT Hub에서 Service Api 인증을 위해 Azure Active Directory ID만 필요하므로 보안이 향상됩니다. https://aka.ms/iothubdisablelocalauth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 로컬 인증을 사용하지 않도록 Azure IoT Hub 구성 | Azure IoT Hub에 인증을 위해 Azure Active Directory ID가 독점적으로 필요하도록 로컬 인증 방법을 사용하지 않도록 설정합니다. https://aka.ms/iothubdisablelocalauth에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 IoT Hub 디바이스 프로비저닝 서비스 인스턴스 구성 | 공용 인터넷을 통해 액세스할 수 없도록 IoT Hub 디바이스 프로비저닝 인스턴스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/iotdpsvnet에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트로 IoT Hub 디바이스 프로비저닝 서비스 인스턴스 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 IoT Hub 디바이스 프로비저닝 서비스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/iotdpsvnet에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 배포 - 프라이빗 엔드포인트를 사용하여 Azure IoT Hubs 구성 | 프라이빗 엔드포인트는 Azure 리소스에 연결할 수 있는 고객 소유 가상 네트워크 내에 할당된 프라이빗 IP 주소입니다. 이 정책은 IoT 허브에 프라이빗 엔드포인트를 배포하여 트래픽을 IoT Hub의 퍼블릭 엔드포인트로 보내지 않아도 가상 네트워크 내의 서비스가 IoT Hub에 도달할 수 있도록 합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| IoT Hub(microsoft.devices/iothubs)에 대한 범주 그룹별로 Event Hub에 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 IoT Hub(microsoft.devices/iothubs)에 대한 이벤트 허브로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| IoT Hub(microsoft.devices/iothubs)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 IoT Hub(microsoft.devices/iothubs)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| IoT Hub(microsoft.devices/iothubs)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 IoT Hub용 스토리지 계정(microsoft.devices/iothubs)으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 이벤트 허브에 대한 microsoft.devices/provisioningservices에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 microsoft.devices/provisioningservices에 대한 이벤트 허브로 로그를 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics에 대한 microsoft.devices/provisioningservices에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 microsoft.devices/provisioningservices용 Log Analytics 작업 영역으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Microsoft.devices/provisioningservices to Storage에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 microsoft.devices/provisioningservices에 대한 스토리지 계정으로 로그를 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| IoT Hub 디바이스 프로비저닝 서비스 인스턴스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 IoT Hub 디바이스 프로비저닝 서비스 인스턴스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 IoT Hub 디바이스 프로비저닝 인스턴스의 노출을 제한할 수 있습니다. https://aka.ms/iotdpsvnet에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| IoT Hub 디바이스 프로비저닝 서비스 인스턴스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 IoT Hub 디바이스 프로비저닝 서비스에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/iotdpsvnet에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
| 수정 - 공용 네트워크 액세스를 사용하지 않도록 Azure IoT Hubs 구성 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure IoT Hub에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 정책은 IoT Hub 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. | 수정, 사용 안 함 | 1.0.0 |
| IoT Hub의 프라이빗 엔드포인트를 사용하도록 설정해야 함 | 프라이빗 엔드포인트 연결은 IoT Hub에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 적용합니다. 알려진 네트워크에서 들어오는 트래픽에만 액세스할 수 있고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단하도록 프라이빗 엔드포인트 연결을 구성합니다. | 감사, 사용 안 함 | 1.0.0 |
| Azure IoT Hub의 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure IoT Hub에 액세스할 수 있도록 하여 보안이 향상됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| IoT Hub에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.