Virtual Machines에 대한 Azure 보안 기준 - Linux Virtual Machines
이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0 지침을 Virtual Machines - Linux Virtual Machines에 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 컨트롤 및 Virtual Machines - Linux Virtual Machines에 적용되는 관련 지침에 따라 그룹화됩니다.
클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 포털 페이지의 규정 준수 섹션에 나열됩니다.
기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.
메모
기능 Virtual Machines에 적용되지 않습니다. Linux Virtual Machines는 제외되었습니다. Virtual Machines - Linux Virtual Machines가 Microsoft 클라우드 보안 벤치마크에 완전히 매핑된 방법을 보려면 전체 Virtual Machines - Linux Virtual Machines 보안 기준 매핑 파일참조하세요.
보안 프로필
보안 프로필은 보안 문제가 증가할 수 있는 고영향 행동을 하는 Linux 가상 머신의 특성을 요약합니다.
| 서비스 동작 특성 | 값 |
|---|---|
| 제품 범주 | 계산 |
| 고객이 HOST/OS에 액세스할 수 있습니다. | 모든 권한 |
| 서비스를 고객의 가상 네트워크에 배포할 수 있습니다. | 참 |
| 고객 콘텐츠를 정지 상태로 저장 | 참 |
네트워크 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 네트워크 보안참조하세요.
NS-1: 네트워크 구분 경계 설정
기능
가상 네트워크 통합
설명: 서비스는 고객의 프라이빗 VNet(Virtual Network)에 대한 배포를 지원합니다. 자세히 알아보세요.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 진실 | 진실 | Microsoft |
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
네트워크 보안 그룹 지원
설명: 서비스 네트워크 트래픽은 서브넷에서 네트워크 보안 그룹 규칙 할당을 준수합니다. 자세히알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 |
구성 지침: NSG(네트워크 보안 그룹)를 사용하여 포트, 프로토콜, 원본 IP 주소 또는 대상 IP 주소별로 트래픽을 제한하거나 모니터링합니다. 서비스의 열린 포트를 제한하는 NSG 규칙을 만듭니다(예: 신뢰할 수 없는 네트워크에서 관리 포트에 액세스하지 못하도록 방지). 기본적으로 NSG는 모든 인바운드 트래픽을 거부하지만 가상 네트워크 및 Azure Load Balancer의 트래픽을 허용합니다.
Azure VM(가상 머신)을 만들 때 가상 네트워크를 만들거나 기존 가상 네트워크를 사용하고 서브넷으로 VM을 구성해야 합니다. 배포된 모든 서브넷에 애플리케이션 신뢰할 수 있는 포트 및 원본과 관련된 네트워크 액세스 제어를 사용하여 적용된 네트워크 보안 그룹이 있는지 확인합니다.
참조: 네트워크 보안 그룹
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.ClassicCompute:
| 이름 (Azure Portal) |
묘사 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 가상 머신 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 합니다. | Azure Security Center는 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대한 것으로 식별했습니다. 인바운드 규칙은 '모든' 또는 '인터넷' 범위에서의 액세스를 허용해서는 안 됩니다. 이렇게 하면 공격자가 리소스를 대상으로 지정할 수 있습니다. | 존재하지 않으면 감사, 비활성화 | 3.0.0 |
Azure Policy 기본 제공 정의 - Microsoft.Compute:
| 이름 (Azure Portal) |
묘사 | 효과(들) | 버전 (GitHub) |
|---|---|---|---|
| 적응형 네트워크 강화 권장 사항은 인터넷 연결 가상 머신 적용해야 합니다. | Azure Security Center는 인터넷 연결 가상 머신의 트래픽 패턴을 분석하고 잠재적인 공격 노출 영역을 줄이는 네트워크 보안 그룹 규칙 권장 사항을 제공합니다. | 존재하지 않으면 감사, 비활성화됨 | 3.0.0 |
NS-2: 네트워크 제어를 사용하여 클라우드 서비스 보호
기능
공용 네트워크 액세스 사용 안 함
설명: 서비스는 서비스 수준 IP ACL 필터링 규칙(NSG 또는 Azure Firewall 아님)을 사용하거나 '공용 네트워크 액세스 사용 안 함' 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 자세히알아보세요.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 |
구성 지침: iptables 또는 방화벽과 같은 서비스는 Linux OS에 설치될 수 있으며 공용 액세스를 사용하지 않도록 네트워크 필터링을 제공할 수 있습니다.
ID 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: ID 관리참조하세요.
IM-1: 중앙 집중식 ID 및 인증 시스템 사용
기능
데이터 평면 액세스에 필요한 Azure AD 인증
설명: 서비스는 데이터 평면 액세스에 Azure AD 인증 사용을 지원합니다. 자세히 알아보세요.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: Azure AD(Azure Active Directory)를 기본 인증 방법으로 사용하여 데이터 평면 액세스를 제어합니다.
참조: Azure AD 및 OpenSSH 사용하여 Azure의 Linux 가상 머신에 로그인합니다.
데이터 평면 액세스에 대한 로컬 인증 방법
설명: 로컬 사용자 이름 및 암호와 같은 데이터 평면 액세스에 지원되는 로컬 인증 방법입니다. 더알아보세요.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 진실 | Microsoft |
기능 정보: 로컬 관리자 계정은 가상 머신의 초기 배포 중에 기본적으로 만들어집니다. 로컬 인증 방법 또는 계정을 사용하지 않도록 하려면 가능한 한 사용하지 않도록 설정해야 합니다. 대신 Azure AD를 사용하여 가능한 경우 인증합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
IM-3: 애플리케이션 ID를 안전하고 자동으로 관리
기능
관리되는 식별자
설명: 데이터 평면 작업은 관리 ID를 사용한 인증을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 |
기능 정보: 관리 ID는 일반적으로 Linux VM에서 다른 서비스에 인증하는 데 활용됩니다. Linux VM이 Azure AD 인증을 지원하는 경우 관리 ID가 지원될 수 있습니다.
구성 지침: 가능한 경우 서비스 주체 대신 Azure 관리 ID를 사용합니다. Azure AD(Azure Active Directory) 인증을 지원하는 Azure 서비스 및 리소스에 인증할 수 있습니다. 관리 ID 자격 증명은 완전히 관리되고, 회전되며, 플랫폼에 의해 보호되어 소스 코드 또는 구성 파일에서 하드 코딩된 자격 증명을 방지합니다.
서비스 원칙
설명: 데이터 평면은 서비스 주체를 사용한 인증을 지원합니다. 자세한알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 진실이다 | 거짓 | 고객 |
기능 정보: Linux VM에서 실행되는 애플리케이션에서 서비스 주체를 사용할 수 있습니다.
구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. 조직에서 이 보안 기능을 구성하려는지 검토하고 확인하세요.
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.Compute:
| 이름 (Azure Portal) |
묘사 | 효과(들) | 버전 (GitHub) |
|---|---|---|---|
| 가상 머신의 게스트 구성 확장은 시스템 할당 관리 ID 사용하여 배포해야 합니다. | 게스트 구성 확장에는 시스템 할당 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템 할당 관리 ID가 없는 경우 이 정책 범위의 Azure 가상 머신은 비준수입니다. https://aka.ms/gcpol 자세히 알아보기 | AuditIfNotExists, 비활성화됨 | 1.0.1 |
IM-7: 조건에 따라 리소스 액세스 제한
기능
데이터 평면에 대한 조건부 액세스
설명: Azure AD 조건부 액세스 정책을 사용하여 데이터 평면 액세스를 제어할 수 있습니다. 자세히알아보기.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 |
기능 정보: Azure AD를 핵심 인증 플랫폼 및 인증 기관으로 사용하여 Azure AD와 OpenSSH 인증서 기반 인증을 통해 Linux VM에 SSH로 접속합니다. 이 기능을 사용하면 조직에서 Azure RBAC(역할 기반 액세스 제어) 및 조건부 액세스 정책을 사용하여 VM에 대한 액세스를 관리할 수 있습니다.
구성 지침: 워크로드에서 Azure AD(Azure Active Directory) 조건부 액세스에 적용 가능한 조건 및 조건을 정의합니다. 특정 위치에서 액세스 차단 또는 액세스 권한 부여, 위험한 로그인 동작 차단 또는 특정 애플리케이션에 대한 조직 관리 디바이스 요구와 같은 일반적인 사용 사례를 고려합니다.
참조: Azure AD 및 OpenSSH 사용하여 Azure의 Linux 가상 머신에 로그인합니다.
IM-8: 자격 증명 및 비밀 노출 제한
기능
Azure Key Vault에서 서비스 자격 증명 및 비밀 지원을 통합하고 저장
설명: 데이터 평면은 자격 증명 및 비밀 저장소에 Azure Key Vault의 기본 사용을 지원합니다. 자세히알아보세요.
| 지원 | 기본적으로 사용 | 구성에 대한 책임 |
|---|---|---|
| 참 | 거짓 | 고객 |
기능 정보: 데이터 평면 또는 운영 체제 내에서 서비스는 자격 증명 또는 비밀을 위해 Azure Key Vault를 호출할 수 있습니다.
구성 지침: 비밀 및 자격 증명을 코드 또는 구성 파일에 포함하는 대신 Azure Key Vault와 같은 보안 위치에 저장해야 합니다.
권한 있는 액세스
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 권한 있는 액세스참조하세요.
PA-1: 높은 권한/관리 사용자 분리 및 제한
기능
로컬 관리자 계정
설명: 서비스에는 로컬 관리 계정의 개념이 있습니다. 자세히 알아보기.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 진실 | 진실 | Microsoft |
기능 정보: 로컬 인증 방법 또는 계정의 사용을 방지하려면 가능한 한 사용하지 않도록 설정해야 합니다. 대신 Azure AD를 사용하여 가능한 경우 인증합니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: 빠른 시작 가이드: Azure 포털에서 Linux 가상 머신 만들기
PA-7: 충분한 관리(최소 권한) 원칙을 따릅니다.
기능
데이터 평면용 Azure RBAC
설명: Azure RBAC(Azure Role-Based Access Control)를 사용하여 서비스의 데이터 평면 작업에 대한 액세스를 관리할 수 있습니다. 자세히알아보세요.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
기능 정보: Azure AD를 핵심 인증 플랫폼 및 인증 기관으로 사용하고, OpenSSH 인증서 기반 인증을 사용하여 Linux VM에 SSH로 접속합니다. 이 기능을 사용하면 조직에서 Azure RBAC(역할 기반 액세스 제어) 및 조건부 액세스 정책을 사용하여 VM에 대한 액세스를 관리할 수 있습니다.
구성 지침: RBAC를 사용하여 VM에 일반 사용자 또는 관리자 권한으로 로그인할 수 있는 사용자를 지정합니다. 사용자가 팀에 합류하면 VM에 대한 Azure RBAC 정책을 업데이트하여 적절한 액세스 권한을 부여할 수 있습니다. 직원이 조직을 떠나고 해당 사용자 계정이 Azure AD에서 비활성화되거나 제거되면 더 이상 리소스에 액세스할 수 없습니다.
참조: Azure AD 및 OpenSSH 사용하여 Azure의 Linux 가상 머신에 로그인합니다.
PA-8: 클라우드 공급자 지원에 대한 액세스 프로세스 확인
기능
고객 잠금함
설명: 고객 록박스를 Microsoft 지원 액세스에 사용할 수 있습니다. 자세히 알아보세요.
| 지원 | 기본적으로 사용 | 설정 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: Microsoft가 데이터에 액세스해야 하는 지원 시나리오에서 고객 Lockbox를 사용하여 Microsoft의 각 데이터 액세스 요청을 검토, 승인 또는 거부합니다.
데이터 보호
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 데이터 보호참조하세요.
DP-1: 중요한 데이터 검색, 분류 및 레이블 지정
기능
중요한 데이터 검색 및 분류
설명: 도구(예: Azure Purview 또는 Azure Information Protection)는 서비스의 데이터 검색 및 분류에 사용할 수 있습니다. 자세히 알아보기.
| 지원됨 | 기본적으로 사용 | 설정 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
DP-2: 중요한 데이터를 대상으로 하는 변칙 및 위협 모니터링
기능
데이터 누출/손실 방지
설명: 서비스는 고객의 콘텐츠에서 중요한 데이터 이동을 모니터링하는 DLP 솔루션을 지원합니다. 더 알아보세요.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
DP-3: 전송 중인 중요한 데이터 암호화
기능
전송 중 데이터 암호화
설명: 서비스는 데이터 평면에 대한 전송 중 데이터 암호화를 지원합니다. 자세히 알아보세요.
| 지원 | 기본적으로 사용 | 설정 책임 |
|---|---|---|
| 참 | 거짓 | 고객 |
기능 정보: SSH와 같은 특정 통신 프로토콜은 기본적으로 암호화됩니다. 그러나 암호화에 TLS를 사용하도록 HTTP와 같은 다른 서비스를 구성해야 합니다.
구성 지침: 기본 제공 전송 암호화 기능에 네이티브 데이터가 있는 서비스에서 보안 전송을 사용하도록 설정합니다. 모든 웹 애플리케이션 및 서비스에 HTTPS를 적용하고 TLS v1.2 이상이 사용되는지 확인합니다. SSL 3.0, TLS v1.0과 같은 레거시 버전을 사용하지 않도록 설정해야 합니다. Virtual Machines의 원격 관리를 위해 암호화되지 않은 프로토콜 대신 SSH(Linux용) 또는 RDP/TLS(Windows용)를 사용합니다.
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.Compute:
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성해야 | 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 머신에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간의 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. | 감사없음검사, 비활성화됨 | 4.1.1 |
DP-4: 기본적으로 미사용 데이터 암호화 사용
기능
플랫폼 키를 사용하여 미사용 데이터 암호화
설명: 플랫폼 키를 사용한 미사용 데이터 암호화가 지원되며 미사용 고객 콘텐츠는 이러한 Microsoft 관리형 키로 암호화됩니다. 자세히 알아보기.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 진실 | Microsoft |
기능 정보: 기본적으로 관리 디스크는 플랫폼 관리형 암호화 키를 사용합니다. 모든 관리형 디스크, 스냅샷, 이미지, 그리고 기존 관리형 디스크에 기록된 데이터는 플랫폼 관리형 키를 사용하여 미사용 상태에서 자동으로 암호화됩니다.
구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.
참조: Azure Disk Storage의 서버 쪽 암호화 - 플랫폼 관리형 키
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.ClassicCompute:
| 이름 (Azure Portal) |
묘사 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 가상 머신은 컴퓨팅 및 스토리지 리소스 간의 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 | 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼에서 관리하는 키를 사용하여 저장 시 암호화됩니다. 컴퓨팅과 스토리지 간에 흐르는 임시 디스크, 데이터 캐시 및 데이터는 암호화되지 않습니다. 1인 경우 이 권장 사항을 무시합니다. 호스트에서 암호화를 사용하거나 2를 사용합니다. Managed Disks의 서버 쪽 암호화는 보안 요구 사항을 충족합니다. 자세한 정보: Azure Disk Storage의 서버 쪽 암호화: https://aka.ms/disksse, 다른 디스크 암호화 제품: https://aka.ms/diskencryptioncomparison | 존재하지 않으면 감사, 비활성화됨 | 2.0.3 |
Azure Policy 기본 제공 정의 - Microsoft.Compute:
| 이름 (Azure Portal) |
설명 | 효과들 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Linux 가상 머신은 Azure Disk Encryption 또는 EncryptionAtHost를 사용하도록 설정해야 합니다. | 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. 임시 디스크 및 데이터 캐시는 암호화되지 않으며 컴퓨팅 리소스와 스토리지 리소스 간에 흐르는 경우 데이터가 암호화되지 않습니다. Azure Disk Encryption 또는 EncryptionAtHost를 사용하여 이 모든 데이터를 암호화합니다. https://aka.ms/diskencryptioncomparison 방문하여 암호화 제품을 비교합니다. 이 정책을 사용하려면 정책 할당 범위에 두 가지 필수 구성 요소를 배포해야 합니다. 자세한 내용은 https://aka.ms/gcpol방문하세요. | 존재하지 않으면 감시, 비활성화 | 1.2.0-preview |
DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용
기능
CMK를 사용하여 미사용 데이터 암호화
설명: 고객 관리형 키를 사용한 미사용 데이터 암호화는 서비스에서 저장된 고객 콘텐츠에 대해 지원됩니다. 자세히알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
기능 정보: 고유한 키를 사용하여 각 관리 디스크 수준에서 암호화를 관리하도록 선택할 수 있습니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키는 액세스 제어를 보다 유연하게 관리할 수 있습니다.
구성 지침: 규정 준수에 필요한 경우 고객 관리형 키를 사용한 암호화가 필요한 사용 사례 및 서비스 범위를 정의합니다. 해당 서비스에 대해 고객 관리형 키를 사용하여 미사용 데이터 암호화를 사용하도록 설정하고 구현합니다.
VM(Virtual Machines)의 가상 디스크는 서버 쪽 암호화 또는 ADE(Azure Disk Encryption)를 사용하여 미사용 시 암호화됩니다. Azure Disk Encryption은 Linux의 DM-Crypt 기능을 활용하여 게스트 VM 내에서 고객 관리형 키를 사용하여 관리 디스크를 암호화합니다. 고객 관리형 키를 사용한 서버 쪽 암호화는 스토리지 서비스의 데이터를 암호화하여 VM에 대한 OS 유형 및 이미지를 사용할 수 있도록 하여 ADE에서 향상됩니다.
참조: Azure Disk Storage의 서버 쪽 암호화 - 고객 관리형 키
DP-6: 보안 키 관리 프로세스 사용
기능
Azure Key Vault의 키 관리
설명: 서비스는 고객 키, 비밀 또는 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아보세요.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 |
구성 지침: Azure Key Vault를 사용하여 키 생성, 배포 및 스토리지를 비롯한 암호화 키의 수명 주기를 만들고 제어합니다. 키의 사용 중지나 손상 시 또는 정의된 일정에 따라 Azure Key Vault 및 서비스에서 키를 회전하고 해지하세요. 워크로드, 서비스 또는 애플리케이션 수준에서 CMK(고객 관리형 키)를 사용해야 하는 경우 키 관리에 대한 모범 사례를 따라야 합니다. 키 계층 구조를 사용하여 키 자격 증명 모음에서 키 암호화 키(KEK)와 함께 별도의 DEK(데이터 암호화 키)를 생성합니다. 키가 Azure Key Vault에 등록되고 서비스 또는 애플리케이션의 키 ID를 통해 참조되는지 확인합니다. 서비스에 BYOK(사용자 고유 키)를 가져와야 하는 경우(예: 온-프레미스 HSM에서 Azure Key Vault로 HSM 보호 키 가져오기) 권장 지침에 따라 초기 키 생성 및 키 전송을 수행합니다.
참조: Azure Disk Encryption을 위한 키 자격 증명 만들기 및 구성
DP-7: 보안 인증서 관리 프로세스 사용
기능
Azure Key Vault의 인증서 관리
설명: 서비스는 모든 고객 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 거짓 | 해당 없음 | 해당 없음 |
구성 지침: 이 기능은 이 서비스를 보호하는 데 지원되지 않습니다.
자산 관리
자세한 내용은 microsoft 클라우드 보안 벤치마크인 자산 관리 참조하세요.
AM-2: 승인된 서비스만 사용
기능
Azure Policy 지원
설명: Azure Policy를 통해 서비스 구성을 모니터링하고 적용할 수 있습니다. 자세히 알아보기.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 |
구성 지침: Azure Policy를 사용하여 조직의 Windows VM 및 Linux VM에 대해 원하는 동작을 정의할 수 있습니다. 조직은 정책을 사용하여 기업 전체에서 다양한 규칙과 규칙을 적용하고 Azure Virtual Machines에 대한 표준 보안 구성을 정의하고 구현할 수 있습니다. 원하는 동작을 적용하면 조직의 성공에 기여하면서 위험을 완화하는 데 도움이 될 수 있습니다.
참조: Azure Virtual Machines에 대한 Azure Policy 기본 제공 정의
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.ClassicCompute:
| 이름 (Azure Portal) |
묘사 | 효과(들) | 버전 (GitHub) |
|---|---|---|---|
| 가상 머신을 새 Azure Resource Manager 리소스 마이그레이션해야 합니다. | 가상 머신에 대해 새로운 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 거버넌스, 관리 ID에 대한 액세스, 비밀용 키 자격 증명 모음에 대한 액세스, Azure AD 기반 인증 및 태그 및 리소스 그룹 지원과 같은 보안 향상 기능을 제공합니다. | 감사, 거부, 비활성화 | 1.0.0 |
Azure Policy 기본 제공 정의 - Microsoft.Compute:
| 이름 (Azure Portal) |
묘사 | 효과(들) | 버전 (GitHub) |
|---|---|---|---|
| 가상 머신을 새 Azure Resource Manager 리소스 마이그레이션해야 합니다. | 가상 머신에 대해 새로운 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 거버넌스, 관리 ID에 대한 액세스, 비밀용 키 자격 증명 모음에 대한 액세스, Azure AD 기반 인증 및 태그 및 리소스 그룹 지원과 같은 보안 향상 기능을 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
AM-5: 가상 머신에서 승인된 애플리케이션만 사용
기능
클라우드용 Microsoft Defender - 적응형 애플리케이션 제어
설명: 서비스는 클라우드용 Microsoft Defender의 적응형 애플리케이션 컨트롤을 사용하여 가상 머신에서 실행되는 고객 애플리케이션을 제한할 수 있습니다. 자세히 알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: Microsoft Defender for Cloud 적응형 애플리케이션 컨트롤을 사용하여 VM(가상 머신)에서 실행되는 애플리케이션을 검색하고 승인된 애플리케이션이 VM 환경에서 실행될 수 있는 권한을 위임하는 애플리케이션 허용 목록을 생성합니다.
참조: 적응형 애플리케이션 컨트롤을 사용하여 머신의 공격 노출 영역을 줄일
클라우드용 Microsoft Defender 모니터링
Microsoft.ClassicCompute의 Azure Policy 기본 제공 정의 - :
| 이름 (Azure Portal) |
묘사 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 머신에서 안전한 애플리케이션을 정의하기 위한 적응형 애플리케이션 제어를 사용하도록 설정해야 | 애플리케이션 컨트롤을 사용하여 컴퓨터에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고 다른 애플리케이션이 실행되면 경고합니다. 이렇게 하면 맬웨어를 방지할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 컴퓨터에서 실행되는 애플리케이션을 분석하고 알려진 안전한 애플리케이션 목록을 제안합니다. | AuditIfNotExists, Disabled | 3.0.0 |
Azure Policy 기본 제공 정의 목록 - Microsoft.Compute:
| 이름 (Azure Portal) |
묘사 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 머신에서 안전한 애플리케이션을 정의하기 위한 적응형 애플리케이션 제어를 사용하도록 설정해야 | 애플리케이션 컨트롤을 사용하여 컴퓨터에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고 다른 애플리케이션이 실행되면 경고합니다. 이렇게 하면 맬웨어를 방지할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 컴퓨터에서 실행되는 애플리케이션을 분석하고 알려진 안전한 애플리케이션 목록을 제안합니다. | 존재하지 않을 경우 감사, 비활성화 | 3.0.0 |
로깅 및 위협 감지
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 로깅 및 위협 탐지참조하세요.
LT-1: 위협 탐지 기능 사용
기능
Microsoft Defender 서비스/제품 제공
설명: 서비스에는 보안 문제를 모니터링하고 경고하는 제품별 Microsoft Defender 솔루션이 있습니다. 자세히 알아보세요.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 사실 | 거짓 | 고객 |
구성 지침: 서버용 Defender는 Azure에서 실행되는 Windows 및 Linux 머신에 대한 보호를 확장합니다. Defender for Servers는 엔드포인트 검색 및 대응(EDR)을 제공하기 위해 엔드포인트용 Microsoft Defender와 통합되며, 보안 기준 및 OS 수준 평가, 취약성 평가 검사, AAC(적응 애플리케이션 제어), FIM(파일 무결성 모니터링) 등과 같은 다양한 추가 위협 방지 기능을 제공합니다.
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.Compute:
| 이름 (Azure Portal) |
묘사 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 컴퓨터에서 Windows Defender Exploit Guard를 사용하도록 설정해야 | Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에 일반적으로 사용되는 동작을 차단하면서 기업이 보안 위험 및 생산성 요구 사항(Windows에만 해당)의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다. | AuditIfNotExists, Disabled | 2.0.0 |
LT-4: 보안 조사를 위한 로깅 활성화
기능
Azure 리소스 로그
설명: 서비스는 향상된 서비스별 메트릭 및 로깅을 제공할 수 있는 리소스 로그를 생성합니다. 고객은 이러한 리소스 로그를 구성하고 스토리지 계정 또는 로그 분석 작업 영역과 같은 자체 데이터 싱크로 보낼 수 있습니다. 자세히알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: Azure Monitor는 VM을 만들 때 가상 머신 호스트에 대한 메트릭 데이터 수집을 자동으로 시작합니다. 하지만 가상 머신의 게스트 운영 체제에서 로그 및 성능 데이터를 수집하려면 Azure Monitor 에이전트를 설치해야 합니다. VM 인사이트 사용하거나 데이터 수집 규칙을 만들어 에이전트를 설치하고 컬렉션을 구성할 수 있습니다.
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.Compute:
| 이름 (Azure Portal) |
묘사 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 | Security Center는 Microsoft 종속성 에이전트를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집하여 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 사용하도록 설정합니다. | 존재하지 않으면 감사, 비활성화 | 1.0.2-preview |
자세 및 취약성 관리
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 자세 및 취약성 관리참조하세요.
PV-3: 컴퓨팅 리소스에 대한 보안 구성 정의 및 설정
기능
Azure 자동화 상태 구성
설명: Azure Automation 상태 구성을 사용하여 운영 체제의 보안 구성을 유지할 수 있습니다. 자세히알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 |
구성 지침: Azure Automation 상태 구성을 사용하여 운영 체제의 보안 구성을 유지 관리합니다.
Azure Policy 게스트 구성 에이전트
설명: Azure Policy 게스트 구성 에이전트를 컴퓨팅 리소스에 대한 확장으로 설치하거나 배포할 수 있습니다. 자세히 알아보세요.
| 지원되는 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 |
기능 정보: 이제 Azure Policy 게스트 구성을 Azure Automanage Machine Configuration이라고 합니다.
구성 지침: Microsoft Defender for Cloud 및 Azure Policy 게스트 구성 에이전트를 사용하여 VM, 컨테이너 등을 비롯한 Azure 컴퓨팅 리소스의 구성 편차를 정기적으로 평가하고 수정합니다.
참조: Azure Automanage 기계 구성 기능 이해
사용자 지정 VM 이미지
설명: 서비스는 사용자가 제공한 VM 이미지 또는 특정 기준 구성이 미리 적용된 마켓플레이스의 미리 빌드된 이미지 사용을 지원합니다. 자세한알아보세요.
| 지원 | 기본적으로 사용 | 설정 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: Microsoft와 같은 신뢰할 수 있는 공급업체에서 미리 구성된 강화된 이미지를 사용하거나 원하는 보안 구성 기준을 VM 이미지 템플릿으로 빌드합니다.
참조: 자습서: Azure CLI 사용하여 Azure VM의 사용자 지정 이미지 만들기
PV-4: 컴퓨팅 리소스에 대한 보안 구성 감사 및 적용
기능
신뢰할 수 있는 실행 가상 머신
설명: 신뢰할 수 있는 시작은 보안 부팅, vTPM 및 무결성 모니터링과 같은 인프라 기술을 결합하여 고급 및 영구 공격 기술로부터 보호합니다. 각 기술은 정교한 위협에 대한 또 다른 방어 계층을 제공합니다. 신뢰할 수 있는 시작을 사용하면 확인된 부팅 로더, OS 커널 및 드라이버를 사용하여 가상 머신을 안전하게 배포하고 가상 머신의 키, 인증서 및 비밀을 안전하게 보호할 수 있습니다. 신뢰할 수 있는 시작은 전체 부팅 체인의 무결성에 대한 통찰력과 확신을 제공하고 워크로드를 신뢰할 수 있고 확인할 수 있도록 합니다. 신뢰할 수 있는 시작은 클라우드용 Microsoft Defender와 통합되어 VM이 정상으로 부팅되었는지 원격으로 검사하여 VM이 제대로 구성되도록 합니다. 자세히알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 |
기능 참고: 신뢰할 수 있는 실행은 2세대 VM에 사용할 수 있습니다. 신뢰할 수 있는 시작에는 새 가상 머신을 생성해야 합니다. 처음에 신뢰할 수 있는 시작 없이 생성된 기존 가상 머신에서는 신뢰할 수 있는 시작을 사용할 수 없습니다.
구성 지침: VM을 배포하는 동안 신뢰할 수 있는 시작을 사용하도록 설정할 수 있습니다. 세 가지 모두 사용 - 가상 머신에 대한 최상의 보안 상태를 보장하기 위해 보안 부팅, vTPM 및 무결성 부팅 모니터링을 사용하도록 설정합니다. 클라우드용 Microsoft Defender에 구독 온보딩, 특정 Azure Policy 이니셔티브 할당 및 방화벽 정책 구성을 비롯한 몇 가지 필수 구성 요소가 있습니다.
참조: 신뢰할 수 있는 시작 기능이 활성화된 VM 배포
PV-5: 취약성 평가 수행
기능
Microsoft Defender를 사용한 취약성 평가
설명: 클라우드용 Microsoft Defender 또는 기타 Microsoft Defender 서비스에 포함된 취약성 평가 기능을 사용하여 서비스의 취약성을 스캔할 수 있습니다 (서버용 Microsoft Defender, 컨테이너 레지스트리, App Service, SQL 및 DNS 포함). 자세히 알아보세요.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: Azure 가상 머신에서 취약성 평가를 수행하기 위한 Microsoft Defender for Cloud의 권장 사항을 따릅니다.
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.ClassicCompute:
| 이름 (Azure Portal) |
묘사 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 가상 머신에서 취약성 평가 솔루션을 사용하도록 설정해야 | 가상 머신을 감사하여 지원되는 취약성 평가 솔루션을 실행하고 있는지 여부를 감지합니다. 모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성 식별 및 분석입니다. Azure Security Center의 표준 가격 책정 계층에는 추가 비용 없이 가상 머신에 대한 취약성 검사가 포함됩니다. 또한 Security Center는 이 도구를 자동으로 배포할 수 있습니다. | AuditIfNotExists, 비활성화됨 | 3.0.0 |
Azure Policy 기본 제공 정의 - Microsoft.Compute:
| 이름 (Azure Portal) |
묘사 | 효과들 | 버전 (GitHub) |
|---|---|---|---|
| 가상 머신에서 취약성 평가 솔루션을 사용하도록 설정해야 | 가상 머신을 감사하여 지원되는 취약성 평가 솔루션을 실행하고 있는지 여부를 감지합니다. 모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성 식별 및 분석입니다. Azure Security Center의 표준 가격 책정 계층에는 추가 비용 없이 가상 머신에 대한 취약성 검사가 포함됩니다. 또한 Security Center는 이 도구를 자동으로 배포할 수 있습니다. | 존재하지 않으면 감사, 비활성화 | 3.0.0 |
PV-6: 취약성을 신속하고 자동으로 수정
기능
Azure Update Manager
설명: 서비스는 Azure Update Manager를 사용하여 패치 및 업데이트를 자동으로 배포할 수 있습니다. 자세히알아보세요.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 진실 | 진실 | 고객 |
구성 지침: Azure Update Manager를 사용하여 최신 보안 업데이트가 Linux VM에 설치되었는지 확인합니다.
참조: VM 대한 업데이트 및 패치 관리
Azure 게스트 패치 서비스
설명: 서비스는 Azure 게스트 패치를 사용하여 패치 및 업데이트를 자동으로 배포할 수 있습니다. 자세히 알아보세요.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 사실 | 거짓 | 고객 |
구성 지침: 서비스는 자동 OS 이미지 업그레이드 자동 게스트 패치 같은 다양한 업데이트 메커니즘을 활용할 수 있습니다. 안전한 배포 원칙에 따라 가상 머신의 게스트 OS에 최신 보안 및 중요 업데이트를 적용하는 것이 좋습니다.
자동 게스트 패치를 사용하면 Azure 가상 머신을 자동으로 평가하고 업데이트하여 매달 릴리스되는 중요 및 보안 업데이트에 대한 보안 규정 준수를 유지할 수 있습니다. 업데이트는 가용성 집합 내의 VM을 포함하여 사용량이 적은 시간에 적용됩니다. 이 기능은 VMSS 유연한 오케스트레이션에 사용할 수 있으며, 향후 Uniform Orchestration 로드맵을 지원합니다.
상태 비저장 워크로드를 실행하는 경우 자동 OS 이미지 업그레이드는 VMSS Uniform에 대한 최신 업데이트를 적용하는 데 이상적입니다. 롤백 기능을 사용하면 이러한 업데이트가 Marketplace 또는 사용자 지정 이미지와 호환됩니다. 유연한 오케스트레이션의 로드맵에 롤링 업그레이드 지원이 예정되어 있습니다.
클라우드용 Microsoft Defender 모니터링
Azure Policy 내장 정의 - Microsoft.ClassicCompute:
| 이름 (Azure Portal) |
묘사 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 컴퓨터에 시스템 업데이트를 설치해야 합니다. | 서버에서 누락된 보안 시스템 업데이트는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | 존재하지 않으면 감사, 비활성화됨 | 4.0.0 |
Azure Policy 기본 제공 정의 - Microsoft.Compute:
| 이름 (Azure Portal) |
묘사 | 효과(들) | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 시스템 업데이트를 컴퓨터에 설치해야 합니다(업데이트 센터에서 구동) | 컴퓨터에 시스템, 보안 및 중요 업데이트가 없습니다. 소프트웨어 업데이트에는 종종 보안 허점에 대한 중요한 패치가 포함됩니다. 이러한 구멍은 맬웨어 공격에서 자주 악용되므로 소프트웨어를 업데이트된 상태로 유지하는 것이 중요합니다. 모든 미해결 패치를 설치하고 머신을 보호하려면 수정 단계를 수행합니다. | AuditIfNotExists, 비활성화됨 | 1.0.0-preview |
엔드포인트 보안
자세한 내용은 Microsoft 클라우드 보안 벤치마크인 엔드포인트 보안참조하세요.
ES-1: EDR(엔드포인트 검색 및 응답) 사용
기능
EDR 솔루션
설명: 서버용 Azure Defender와 같은 EDR(엔드포인트 검색 및 응답) 기능을 엔드포인트에 배포할 수 있습니다. 자세히 알아보세요.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 진실 | 거짓 | 고객 |
구성 지침: 서버용 Azure Defender(엔드포인트용 Microsoft Defender 통합)는 고급 위협을 방지, 검색, 조사 및 대응하는 EDR 기능을 제공합니다. Microsoft Defender for Cloud를 사용하여 엔드포인트용 서버용 Azure Defender를 배포하고 경고를 Azure Sentinel과 같은 SIEM 솔루션에 통합합니다.
ES-2: 최신 맬웨어 방지 소프트웨어 사용
기능
맬웨어 방지 솔루션
설명: Microsoft Defender 바이러스 백신, 엔드포인트용 Microsoft Defender와 같은 맬웨어 방지 기능을 엔드포인트에 배포할 수 있습니다. 자세히 알아보세요.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 |
구성 지침: Linux의 경우 고객은 Linux용 엔드포인트용 Microsoft Defender를 설치할 수 있습니다. 또는 고객은 타사 맬웨어 방지 제품을 설치할 수도 있습니다.
참조: Microsoft Defender for Endpoint on Linux
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.ClassicCompute:
| 이름 (Azure Portal) |
묘사 | 효과(들) | 버전 (GitHub) |
|---|---|---|---|
| 귀하의 컴퓨터에서 엔드포인트 보호 상태 문제를 해결해야 합니다 | 가상 머신의 엔드포인트 보호 상태 문제를 해결하여 최신 위협 및 취약성으로부터 보호합니다. Azure Security Center 지원 엔드포인트 보호 솔루션은 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions여기에 설명되어 있습니다. 엔드포인트 보호 평가는 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection여기에 설명되어 있습니다. | AuditIfNotExists, 비활성화됨 | 1.0.0 |
Azure Policy 기본 제공 정의 - Microsoft.Compute:
| 이름 (Azure Portal) |
묘사 | 효과(들) | 버전 (GitHub) |
|---|---|---|---|
| 귀하의 머신에서 엔드포인트 보호 관련 건강 상태 문제를 해결해야 합니다 | 가상 머신의 엔드포인트 보호 상태 문제를 해결하여 최신 위협 및 취약성으로부터 보호합니다. Azure Security Center 지원 엔드포인트 보호 솔루션은 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions여기에 설명되어 있습니다. 엔드포인트 보호 평가는 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection여기에 설명되어 있습니다. | 감사(IfNotExists), 비활성화됨(Disabled) | 1.0.0 |
ES-3: 맬웨어 방지 소프트웨어 및 서명이 업데이트되었는지 확인
기능
맬웨어 방지 솔루션 상태 모니터링
설명: 맬웨어 방지 솔루션은 플랫폼, 엔진 및 자동 서명 업데이트에 대한 상태 모니터링을 제공합니다. 자세한 정보를알아보세요.
| 지원됨 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 |
기능 정보: 보안 인텔리전스 및 제품 업데이트는 Linux VM에 설치할 수 있는 엔드포인트용 Defender에 적용됩니다.
구성 지침: 플랫폼, 엔진 및 서명이 신속하고 일관되게 업데이트되고 상태를 모니터링할 수 있도록 맬웨어 방지 솔루션을 구성합니다.
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.ClassicCompute:
| 이름 (Azure Portal) |
묘사 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 귀하의 기기에서 엔드포인트 보호 관련 건강 문제를 해결해야 합니다 | 가상 머신의 엔드포인트 보호 상태 문제를 해결하여 최신 위협 및 취약성으로부터 보호합니다. Azure Security Center 지원 엔드포인트 보호 솔루션은 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions여기에 설명되어 있습니다. 엔드포인트 보호 평가는 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection여기에 설명되어 있습니다. | 감사하지 않을 경우, 사용 안 함 | 1.0.0 |
Azure Policy 기본 제공 정의 - Microsoft.Compute:
| 이름 (Azure Portal) |
묘사 | 효과(들) | 버전 (GitHub) |
|---|---|---|---|
| 머신에서 엔드포인트 보호에 관한 건강 문제를 해결해야 합니다 | 가상 머신의 엔드포인트 보호 상태 문제를 해결하여 최신 위협 및 취약성으로부터 보호합니다. Azure Security Center 지원 엔드포인트 보호 솔루션은 https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions여기에 설명되어 있습니다. 엔드포인트 보호 평가는 https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection여기에 설명되어 있습니다. | 감사(존재하지 않음시), 비활성화됨 | 1.0.0 |
백업 및 복구
자세한 내용은 Microsoft 클라우드 보안 벤치마크: 백업 및 복구참조하세요.
BR-1: 정기적인 자동화된 백업 확인
기능
Azure Backup
설명: Azure Backup 서비스에서 서비스를 백업할 수 있습니다. 자세한알아보세요.
| 지원 | 기본적으로 사용 | 구성 책임 |
|---|---|---|
| 참 | 거짓 | 고객 |
구성 지침: Azure Backup을 사용하도록 설정하고 원하는 빈도 및 보존 기간뿐만 아니라 Azure VM(Virtual Machines)을 대상으로 합니다. 여기에는 전체 시스템 상태 백업이 포함됩니다. Azure 디스크 암호화를 사용하는 경우 Azure VM 백업은 고객 관리형 키의 백업을 자동으로 처리합니다. Azure Virtual Machines의 경우 Azure Policy를 사용하여 자동 백업을 사용하도록 설정할 수 있습니다.
참조: Azure 가상 머신에 대한 백업 및 복원 옵션
클라우드용 Microsoft Defender 모니터링
Azure Policy 기본 제공 정의 - Microsoft.Compute:
| 이름 (Azure Portal) |
묘사 | 효과(들) | 버전 (GitHub) |
|---|---|---|---|
| Virtual Machines 대해 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 Azure Virtual Machines의 보호를 보장합니다. Azure Backup은 Azure를 위한 안전하고 비용 효율적인 데이터 보호 솔루션입니다. | AuditIfNotExists, Disabled | 3.0.0 |
다음 단계
- 마이크로소프트 클라우드 보안 벤치마크 개요을 참조하세요.
- Azure 보안 기준 대해 자세히 알아보기