클라우드용 Microsoft Defender용 Azure Policy 기본 제공 정의

이 페이지는 클라우드용 Microsoft Defender와 관련된 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다음 정책 정의 그룹을 사용할 수 있습니다.

보안 정책에 대한 자세한 내용은 보안 정책 작업을 참조하세요. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.

Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.

클라우드용 Microsoft Defender 이니셔티브

클라우드용 Defender에서 모니터링하는 기본 제공 이니셔티브에 대한 자세한 내용은 다음 표를 참조하세요.

Name Description 정책 버전
[미리 보기]: [미리 보기]: Azure Monitor 에이전트를 사용하여 기본 클라우드용 Microsoft Defender 파이프라인을 만들도록 컴퓨터를 구성 Azure Monitor 및 Azure Security 에이전트를 자동으로 설치하도록 머신을 구성합니다. 클라우드용 Microsoft Defender는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 감사 레코드를 저장할 머신과 동일한 지역에 리소스 그룹, 데이터 수집 규칙 및 Log Analytics 작업 영역을 만듭니다. 대상 머신은 지원되는 위치에 있어야 합니다. 13 1.0.1-preview
[미리 보기]: [미리 보기]: Azure Monitor 에이전트를 사용하여 사용자 정의 클라우드용 Microsoft Defender 파이프라인을 만들도록 컴퓨터를 구성 Azure Monitor 및 Azure Security 에이전트를 자동으로 설치하도록 머신을 구성합니다. 클라우드용 Microsoft Defender는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 사용자가 제공한 Log Analytics 작업 영역을 사용하여 감사 레코드를 저장합니다. 사용자가 제공한 Log Analytics 작업 영역과 동일한 지역에 리소스 그룹 및 데이터 수집 규칙을 만듭니다. 대상 머신은 지원되는 위치에 있어야 합니다. 13 1.0.1-preview
[미리 보기]: [미리 보기]: 엔드포인트용 Microsoft Defender 에이전트 배포 해당 이미지에 엔드포인트용 Microsoft Defender 에이전트를 배포합니다. 4 1.0.0-preview
Azure Security Benchmark Azure 보안 벤치마크 이니셔티브는 Azure 보안 벤치마크 v3에 정의된 보안 권장 사항을 구현하는 정책 및 제어를 나타냅니다. https://aka.ms/azsecbm을 참조하세요. 클라우드용 Microsoft Defender 기본 정책 이니셔티브로도 사용됩니다. 이 이니셔티브를 직접 할당할 수도 있고, 클라우드용 Microsoft Defender 내에서 해당 정책 및 규정 준수 결과를 관리할 수도 있습니다. 205 54.1.0
오픈 소스 관계형 데이터베이스에서 Advanced Threat Protection을 사용하도록 구성 기본 계층이 아닌 오픈 소스 관계형 데이터베이스에서 Advanced Threat Protection을 사용하도록 설정하여 데이터베이스에 액세스하거나 데이터베이스를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 탐지합니다. https://aka.ms/AzDforOpenSourceDBsDocu을 참조하세요. 3 1.0.1
SQL Servers 및 SQL Managed Instances에서 Azure Defender를 사용하도록 구성 SQL Servers 및 SQL Managed Instances에서 Azure Defender를 사용하도록 설정하고 비정상이고 잠재적으로 위험한 데이터베이스 액세스 또는 악용 시도를 나타내는 비정상적인 활동을 검색합니다. 3 3.0.0
사용하도록 데이터베이스용 Microsoft Defender 구성 Azure SQL Databases, Managed Instances, 오픈 소스 관계형 데이터베이스 및 Cosmos DB를 보호하도록 데이터베이스용 Microsoft Defender를 구성합니다. 4 1.0.0

클라우드용 Defender의 기본 이니셔티브(Azure Security Benchmark)

클라우드용 Defender에서 모니터링하는 기본 제공 정책에 대한 자세한 내용은 다음 표를 참조하세요.

정책 이름
(Azure Portal)
Description 효과 버전
(GitHub)
[미리 보기]: 모든 인터넷 트래픽은 배포된 Azure Firewall을 통해 라우팅되어야 함 Azure Security Center에서 일부 서브넷이 차세대 방화벽으로 보호되지 않는 것으로 확인되었습니다. Azure Firewall 또는 지원되는 차세대 방화벽으로 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0-preview
[미리 보기]: Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender의 확장이 설치되어 있어야 함 Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc에서 자세히 알아보세요. AuditIfNotExists, 사용 안 함 6.0.0-preview
[미리 보기]: Azure Arc 지원 Kubernetes 클러스터에는 Azure Policy 확장이 설치되어 있어야 함 Azure Arc용 Azure Policy 확장은 일관된 중앙 집중식 방식으로 Arc 지원 Kubernetes 클러스터에 대규모 적용/보호 기능을 제공합니다. https://aka.ms/akspolicydoc에서 자세히 알아보세요. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 인증서에는 지정된 최대 유효 기간이 있어야 함 키 자격 증명 모음 내에서 인증서가 유효한 최대 시간을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 2.2.0-preview
[미리 보기]: 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 함 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 Linux 가상 머신에만 적용됩니다. AuditIfNotExists, 사용 안 함 5.0.0-preview
[미리 보기]: 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 Linux 가상 머신 확장 집합에만 적용됩니다. AuditIfNotExists, 사용 안 함 4.0.0-preview
[미리 보기]: 지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 함 지원되는 가상 머신에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 가상 머신에만 적용됩니다. AuditIfNotExists, 사용 안 함 3.0.0-preview
[미리 보기]: 지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 지원되는 가상 머신 확장 집합에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 가상 머신 확장 집합에만 적용됩니다. AuditIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: Kubernetes 클러스터는 취약한 이미지 배포를 차단해야 함 소프트웨어 구성 요소가 취약한 컨테이너 이미지의 배포를 제한하여 잠재적 위협으로부터 Kubernetes 클러스터 및 컨테이너 워크로드를 보호합니다. Azure Defender CI/CD 검사(https://aka.ms/AzureDefenderCICDscanning) 및 컨테이너 레지스트리용 Azure Defender(https://aka.ms/AzureDefenderForContainerRegistries)를 사용하여 배포 전에 취약성을 식별하고 패치합니다. 평가 필수 조건: 정책 추가 기능 및 Azure Defender 프로필. 프라이빗 미리 보기 고객에게만 적용됩니다. 감사, 거부, 사용 안 함 2.0.0-preview
[미리 보기]: Log Analytics 확장이 Linux Azure Arc 컴퓨터에 설치되어 있어야 함 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 Linux Azure Arc 컴퓨터를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.1 - 미리 보기
[미리 보기]: Log Analytics 확장이 Windows Azure Arc 컴퓨터에 설치되어 있어야 함 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 Windows Azure Arc 컴퓨터를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.1 - 미리 보기
[미리 보기]: 컴퓨터 업데이트 누락을 정기적으로 확인하도록 컴퓨터를 구성해야 합니다. 누락된 시스템 업데이트에 대한 정기 평가가 24시간마다 자동으로 트리거되도록 하려면 AssessmentMode 속성을 'AutomaticByPlatform'으로 설정해야 합니다. Windows: https://aka.ms/computevm-windowspatchassessmentmode, Linux: https://aka.ms/computevm-linuxpatchassessmentmode의 AssessmentMode 속성에 대해 자세히 알아봅니다. 감사, 거부, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. AuditIfNotExists, 사용 안 함 1.0.2-preview
[미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. AuditIfNotExists, 사용 안 함 1.0.2-preview
[미리 보기]: Key Vault에 미리 보기 프라이빗 엔드포인트를 구성해야 함 프라이빗 링크는 공용 인터넷을 통해 트래픽을 보내지 않고 Key Vault를 Azure 리소스에 연결하는 방법을 제공합니다. 프라이빗 링크는 데이터 반출에 대한 심층 방어 기능을 제공합니다. 감사, 거부, 사용 안 함 1.1.0 - 미리 보기
[미리 보기]: 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 함 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정하여 부트 체인에 대한 악의적인 무단 변경을 완화합니다. 이 기능을 사용하도록 설정하면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 Windows 가상 머신에만 적용됩니다. 감사, 사용 안 함 3.0.0-preview
[미리 보기]: 스토리지 계정 공용 액세스가 허용되지 않아야 함 Azure Storage의 컨테이너 및 BLOB에 대한 익명 공용 읽기 액세스는 데이터를 공유하는 편리한 방법이지만 보안 위험이 있을 수도 있습니다. 원치 않는 익명 액세스로 인해 발생하는 데이터 위반을 방지하기 위해 Microsoft는 시나리오에 필요한 경우가 아니면 스토리지 계정에 대한 공개 액세스를 방지하는 것이 좋습니다 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 3.1.0-preview
[미리 보기]: 머신에 시스템 업데이트를 설치해야 함(업데이트 센터에서 제공) 머신에 누락된 시스템, 보안 및 중요 업데이트가 있습니다. 소프트웨어 업데이트에는 보안 허점을 메우기 위한 중요한 패치가 포함된 경우가 많습니다. 이러한 허점은 맬웨어 공격에 자주 악용되므로 소프트웨어를 업데이트된 상태로 유지하는 것이 중요합니다. 미적용 패치를 모두 설치하고 머신을 보호하려면 수정 단계를 수행합니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: 지원되는 가상 머신에서 vTPM을 사용하도록 설정해야 함 지원되는 가상 머신에서 가상 TPM 디바이스를 사용하도록 설정하여 TPM이 필요한 계획 부팅 및 기타 OS 보안 기능을 용이하도록 합니다. 사용하도록 설정되면 vTPM을 사용하여 부팅 무결성을 증명할 수 있습니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 가상 머신에만 적용됩니다. 감사, 사용 안 함 2.0.0-preview
구독에 최대 3명의 소유자를 지정해야 합니다. 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 3.0.0
취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 가상 머신을 감사하여 지원되는 취약성 평가 솔루션을 실행하고 있는지 검색합니다. 모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성을 식별하고 분석하는 것입니다. Azure Security Center의 표준 가격 책정 계층에는 추가 비용 없이 가상 머신에 대한 취약성 검사가 포함됩니다. 또한 Security Center가 자동으로 도구를 배포할 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 합니다. 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 읽기 권한이 있는 계정은 MFA를 사용하도록 설정해야 합니다. 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 쓰기 권한이 있는 계정은 MFA를 사용하도록 설정해야 합니다. 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 애플리케이션 제어를 활성화하여 머신에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고, 다른 애플리케이션이 실행될 때 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 머신에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. AuditIfNotExists, 사용 안 함 3.0.0
인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 Azure Security Center는 인터넷 연결 가상 머신의 트래픽 패턴을 분석하고 잠재적 공격 노출 영역을 줄이는 네트워크 보안 그룹 규칙 권장 사항을 제공합니다. AuditIfNotExists, 사용 안 함 3.0.0
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0
적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 Azure Security Center의 적응형 애플리케이션 제어를 통한 감사를 위해 구성된 머신 그룹의 동작 변경 내용을 모니터링합니다. Security Center는 기계 학습을 사용하여 머신에서 실행 중인 프로세스를 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. 이러한 앱은 적응형 애플리케이션 제어 정책에서 허용하도록 권장되는 앱으로 제공됩니다. AuditIfNotExists, 사용 안 함 3.0.0
SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0
API Management 서비스에서 가상 네트워크를 사용해야 함 Azure Virtual Network 배포는 향상된 보안, 격리를 제공하며, 액세스를 제어하는 인터넷 라우팅이 불가능한 네트워크에 API Management 서비스를 배치할 수 있습니다. 그런 다음, 다양한 VPN 기술을 사용하여 이러한 네트워크를 온-프레미스 네트워크에 연결할 수 있으며, 이를 통해 네트워크 및/또는 온-프레미스 내에서 백 엔드 서비스에 액세스할 수 있습니다. 개발자 포털 및 API 게이트웨이를 인터넷에서 또는 가상 네트워크 내에서만 액세스할 수 있게 구성할 수 있습니다. 감사, 사용 안 함 1.0.1
App Configuration은 프라이빗 링크를 사용해야 함 Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 앱 구성 인스턴스에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/appconfig/private-endpoint에서 자세히 알아보세요. AuditIfNotExists, 사용 안 함 1.0.2
App Service 앱에 '클라이언트 인증서(들어오는 클라이언트 인증서)'가 사용 설정되어 있어야 함 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 감사, 사용 안 함 2.0.0
App Service 앱에 원격 디버깅이 해제되어 있어야 함 원격 디버깅을 사용하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
App Service 앱에 리소스 로그가 사용 설정되어 있어야 함 앱에서 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 2.0.1
App Service 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 CORS(교차 원본 리소스 공유)는 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 앱과 상호 작용할 수 있도록 허용합니다. AuditIfNotExists, 사용 안 함 2.0.0
App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. 감사, 사용 안 함, 거부 3.0.0
App Service 앱에는 FTPS만 필요함 강화된 보안을 위해 FTPS 적용을 사용합니다. AuditIfNotExists, 사용 안 함 3.0.0
App Service 앱에서 관리 ID를 사용해야 함 인증 보안 강화를 위해 관리 ID 사용 AuditIfNotExists, 사용 안 함 3.0.0
App Service 앱은 최신 TLS 버전을 사용해야 함 최신 TLS 버전으로 업그레이드합니다. AuditIfNotExists, 사용 안 함 2.0.0
Java를 사용하는 App Service 앱은 최신 'Java 버전'을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 Java 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 Java 버전을 사용하는 것이 좋습니다. 현재 이 정책은 Linux 앱에만 적용됩니다. AuditIfNotExists, 사용 안 함 3.0.0
PHP를 사용하는 App Service 앱은 최신 'PHP 버전'을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 PHP 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 PHP 버전을 사용하는 것이 좋습니다. 현재 이 정책은 Linux 앱에만 적용됩니다. AuditIfNotExists, 사용 안 함 3.0.0
Python을 사용하는 App Service 앱은 최신 'Python 버전'을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 Python 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 Python 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. AuditIfNotExists, 사용 안 함 4.0.0
사용자 지정 RBAC 규칙 사용 감사 오류가 발생하기 쉬운 사용자 지정 RBAC 역할 대신 '소유자, 기여자, 읽기 권한자' 같은 기본 제공 역할을 감사합니다. 사용자 지정 역할 사용은 예외로 처리되며 엄격한 검토 및 위협 모델링이 필요합니다. 감사, 사용 안 함 1.0.0
SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
Linux 머신에 대한 인증에 SSH 키가 필요함 SSH 자체에서 암호화된 연결을 제공하지만 SSH와 함께 암호를 사용하면 VM은 여전히 무차별 암호 대입 공격에 취약합니다. SSH를 통해 Azure Linux 가상 머신에 인증하는 가장 안전한 옵션은 SSH 키라고도 하는 퍼블릭-프라이빗 키 쌍을 사용하는 것입니다. 자세한 정보: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, 사용 안 함 3.0.0
권한 있는 IP 범위는 Kubernetes Services에 정의되어야 함 특정 범위의 IP 주소에만 API 액세스 권한을 부여하여 Kubernetes Service Management API에 대한 액세스를 제한합니다. 허용된 네트워크의 애플리케이션만 클러스터에 액세스할 수 있도록 인증된 IP 범위에 대한 액세스를 제한하는 것이 좋습니다. 감사, 사용 안 함 2.0.1
구독에 Log Analytics 에이전트의 자동 프로비저닝을 사용하도록 설정해야 함 보안 취약성 및 위협을 모니터링하기 위해 Azure Security Center는 Azure 가상 머신에서 데이터를 수집합니다. 데이터는 이전에 MMA(Microsoft Monitoring Agent)로 알려진 Log Analytics 에이전트에 의해 수집되며, 머신에서 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 Log Analytics 작업 영역에 데이터를 복사합니다. 지원되는 모든 Azure VM과 생성된 모든 새 VM에 에이전트를 자동으로 배포하려면 자동 프로비저닝을 사용하도록 설정하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 1.0.1
Automation 계정 변수를 암호화해야 함 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. 감사, 거부, 사용 안 함 1.1.0
Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. Azure Backup을 사용하도록 설정하여 Azure Virtual Machines를 보호하세요. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. AuditIfNotExists, 사용 안 함 3.0.0
Azure Cache for Redis는 프라이빗 링크를 사용해야 함 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 Azure Cache for Redis 인스턴스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link에서 자세히 알아보세요. AuditIfNotExists, 사용 안 함 1.0.0
Azure Cosmos DB 계정에 방화벽 규칙이 있어야 함 권한 없는 원본의 트래픽을 방지하기 위해 Azure Cosmos DB 계정에 방화벽 규칙을 정의해야 합니다. 가상 네트워크 필터를 사용하도록 정의된 IP 규칙이 하나 이상 있는 계정은 규정을 준수하는 것으로 간주됩니다. 퍼블릭 액세스를 비활성화한 계정도 규정을 준수하는 것으로 간주됩니다. 감사, 거부, 사용 안 함 2.0.0
Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 고객 관리형 키를 사용하여 Azure Cosmos DB의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/cosmosdb-cmk에서 자세히 알아보세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 1.1.0
Azure DDoS Protection 표준을 사용하도록 설정해야 함 공용 IP를 사용하는 애플리케이션 게이트웨이의 일부인 서브넷이 포함된 모든 가상 네트워크에 DDoS 보호 표준을 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
Azure Defender for App Service를 사용해야 합니다 Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. AuditIfNotExists, 사용 안 함 1.0.3
Azure SQL Database 서버용 Azure Defender를 사용해야 합니다. Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
Azure Defender for DNS를 사용하도록 설정해야 함 Azure Defender for DNS는 Azure 리소스의 모든 DNS 쿼리를 지속적으로 모니터링하여 클라우드 리소스에 대한 추가 보호 계층을 제공합니다. Azure Defender는 DNS 계층에서 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-dns에서 Azure Defender for DNS의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 지역별 가격 정보에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure Defender for Key Vault를 사용해야 합니다. Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.3
오픈 소스 관계형 데이터베이스용 Azure Defender를 사용하도록 설정해야 함 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. https://aka.ms/AzDforOpenSourceDBsDocu에서 오픈 소스 관계형 데이터베이스용 Azure Defender의 기능에 대해 자세히 알아보세요. 중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 가격에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure Defender for Resource Manager를 사용하도록 설정해야 함 Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 지역별 가격 정보에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 1.0.0
서버용 Azure Defender를 사용해야 합니다. 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. AuditIfNotExists, 사용 안 함 1.0.3
머신의 SQL 서버용 Azure Defender를 사용해야 합니다. Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
보호되지 않는 Azure SQL 서버에 대해 Azure Defender for SQL을 사용하도록 설정해야 함 Advanced Data Security 없이 SQL 서버 감사 AuditIfNotExists, 사용 안 함 2.0.1
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.2
스토리지용 Azure Defender를 사용해야 합니다. 스토리지용 Azure Defender는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. AuditIfNotExists, 사용 안 함 1.0.3
Azure Event Grid 도메인은 프라이빗 링크를 사용해야 함 Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 도메인에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. 감사, 사용 안 함 1.0.2
Azure Event Grid 토픽은 프라이빗 링크를 사용해야 함 Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 토픽에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. 감사, 사용 안 함 1.0.2
Azure Key Vault에는 방화벽이 활성화되어 있어야 합니다. 키 자격 증명 모음이 기본적으로 공용 IP에 액세스할 수 없도록 키 자격 증명 모음 방화벽을 사용하도록 설정합니다. 그런 다음 특정 IP 범위를 구성하여 해당 네트워크에 대한 액세스를 제한할 수 있습니다. https://docs.microsoft.com/azure/key-vault/general/network-security에서 자세히 알아보세요. 감사, 거부, 사용 안 함 3.0.0
Azure Kubernetes Service 클러스터에는 Defender 프로필이 사용하도록 설정되어 있어야 합니다. 컨테이너용 Microsoft Defender는 환경 강화, 워크로드 보호, 런타임 보호 등을 비롯한 클라우드 네이티브 Kubernetes 보안 기능을 제공합니다. Azure Kubernetes Service 클러스터에서 SecurityProfile.AzureDefender를 사용하도록 설정하면 에이전트가 보안 이벤트 데이터를 수집할 클러스터에 배포됩니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks에서 컨테이너용 Microsoft Defender에 대해 자세히 알아보세요. 감사, 사용 안 함 2.0.0
Azure Machine Learning 작업 영역은 고객 관리형 키를 사용하여 암호화해야 함 고객 관리형 키를 사용하여 Azure Machine Learning 작업 영역의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/azureml-workspaces-cmk에서 자세히 알아보세요. 감사, 거부, 사용 안 함 1.0.3
Azure Machine Learning 작업 영역은 프라이빗 링크를 사용해야 함 Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Machine Learning 작업 영역에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. 감사, 거부, 사용 안 함 1.1.0
클러스터에 AKS(Azure Kubernetes Service)용 Azure Policy 추가 기능을 설치하고 사용하도록 설정해야 함 AKS(Azure Kubernetes Service)용 Azure Policy 추가 기능은 OPA(Open Policy Agent)용 허용 컨트롤러 웹후크인 Gatekeeper v3를 확장하여 일관된 중앙 집중식 방법으로 클러스터에 대규모 규약 및 세이프가드를 적용합니다. 감사, 사용 안 함 1.0.2
Azure SignalR Service는 프라이빗 링크를 사용해야 함 Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 전체 서비스가 아닌 Azure SignalR Service 리소스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/asrs/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. 감사, 사용 안 함 1.0.0
Azure Spring Cloud는 네트워크 주입을 사용해야 함 Azure Spring Cloud 인스턴스는 다음과 같은 용도로 가상 네트워크 주입을 사용해야 합니다. 1. Azure Spring Cloud를 인터넷에서 격리합니다. 2. Azure Spring Cloud를 사용하여 온-프레미스 데이터 센터의 시스템 또는 다른 가상 네트워크의 Azure 서비스와 상호 작용할 수 있습니다. 3. 고객이 Azure Spring Cloud에 대한 인바운드 및 아웃바운드 네트워크 통신을 제어할 수 있습니다. 감사, 사용 안 함, 거부 1.1.0
Azure Front Door 진입점에 대해 Azure Web Application Firewall을 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 1.0.2
Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 합니다. 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 합니다. 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. AuditIfNotExists, 사용 안 함 1.0.0
Cognitive Services 계정은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 공용 네트워크 액세스를 사용하지 않도록 설정하면 Cognitive Services 계정이 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 Cognitive Services 계정의 노출을 제한할 수 있습니다. https://go.microsoft.com/fwlink/?linkid=2129800에서 자세히 알아보세요. 감사, 거부, 사용 안 함 3.0.0
Cognitive Services 계정은 고객 관리형 키를 사용하여 데이터를 암호화하도록 설정해야 함 고객 관리형 키는 일반적으로 규정 준수 표준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 Cognitive Services에 저장된 데이터를 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://go.microsoft.com/fwlink/?linkid=2121321에서 고객 관리형 키에 대해 자세히 알아보세요. 감사, 거부, 사용 안 함 2.0.0
Cognitive Services 계정은 네트워크 액세스를 제한해야 함 Cognitive Services 계정에 대한 네트워크 액세스는 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 Cognitive Services 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크에서의 트래픽 또는 공용 인터넷 IP 주소 범위에 액세스 권한을 부여할 수 있습니다. 감사, 거부, 사용 안 함 3.0.0
컨테이너 레지스트리는 고객 관리형 키를 사용하여 암호화해야 함 고객 관리형 키를 사용하여 레지스트리 콘텐츠의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/acr/CMK에서 자세히 알아보세요. 감사, 거부, 사용 안 함 1.1.2
컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 기본적으로 Azure Container Registry는 모든 네트워크에 있는 호스트로부터의 인터넷 연결을 수락합니다. 잠재적인 위협으로부터 레지스트리를 보호하려면 특정 프라이빗 엔드포인트, 공용 IP 주소 또는 주소 범위에서만 액세스를 허용합니다. 레지스트리에 네트워크 규칙이 구성되어 있지 않으면 비정상 리소스에 나타납니다. Container Registry 네트워크 규칙에 대한 자세한 내용은 https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet을 참조하세요. 감사, 거부, 사용 안 함 2.0.0
컨테이너 레지스트리는 프라이빗 링크를 사용해야 함 Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 프라이빗 엔드포인트를 컨테이너 레지스트리에 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/acr/private-link에서 자세히 알아보세요. 감사, 사용 안 함 1.0.1
컨테이너 레지스트리 이미지에서 취약성 발견 사항이 해결되어야 함 컨테이너 이미지 취약성 평가는 레지스트리를 검사하여 보안 취약성을 확인하고 이미지마다 발견한 정보를 공개합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다. AuditIfNotExists, 사용 안 함 2.0.1
Cosmos DB 데이터베이스 계정은 로컬 인증 방법을 사용하지 않도록 설정해야 합니다 로컬 인증 방법을 사용하지 않도록 설정하면 Cosmos DB 데이터베이스 계정에 인증을 위해 Azure Active Directory ID가 독점적으로 필요하도록 하여 보안이 향상됩니다. https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth에서 자세히 알아보세요. 감사, 거부, 사용 안 함 1.0.0
더 이상 사용되지 않는 계정은 구독에서 제거해야 합니다. 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. AuditIfNotExists, 사용 안 함 3.0.0
소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. AuditIfNotExists, 사용 안 함 3.0.0
심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. AuditIfNotExists, 사용 안 함 1.0.1
심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. AuditIfNotExists, 사용 안 함 2.0.0
머신에서 엔드포인트 보호 상태 문제를 해결해야 함 가상 머신의 엔드포인트 보호 상태 문제를 해결하여 최신 위협 및 취약성으로부터 보호합니다. Azure Security Center 지원 엔드포인트 보호 솔루션은 여기(https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions)에 설명되어 있습니다. 엔드포인트 보호 평가는 여기(https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection)에 설명되어 있습니다. AuditIfNotExists, 사용 안 함 1.0.0
머신에 Endpoint Protection을 설치해야 함 위협 및 취약성으로부터 머신을 보호하려면 지원되는 엔드포인트 보호 솔루션을 설치합니다. AuditIfNotExists, 사용 안 함 1.0.0
가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. 가상 머신 확장 집합에서 엔드포인트 보호 솔루션의 존재 및 상태를 감사하여 위협 및 취약성으로부터 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0
MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. MySQL용 Azure Database는 SSL(Secure Sockets Layer)을 사용한 MySQL용 Azure Database 서버와 클라이언트 애플리케이션 간 연결을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. 감사, 사용 안 함 1.0.1
PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결하는 것을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. 감사, 사용 안 함 1.0.1
소유자 권한이 있는 외부 계정은 구독에서 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
함수 앱은 '클라이언트 인증서(들어오는 클라이언트 인증서)'를 사용하도록 설정해야 함 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 감사, 사용 안 함 2.0.0
함수 앱에 원격 디버깅이 비활성화되어 있어야 함 원격 디버깅에 함수 앱에서 열리는 인바운드 포트가 필요합니다. 원격 디버깅을 해제해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
함수 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 CORS(교차 원본 리소스 공유)는 함수 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. AuditIfNotExists, 사용 안 함 2.0.0
함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. 감사, 사용 안 함 3.0.0
함수 앱에는 FTPS만 필요함 강화된 보안을 위해 FTPS 적용을 사용합니다. AuditIfNotExists, 사용 안 함 3.0.0
함수 앱에서 관리 ID를 사용해야 함 인증 보안 강화를 위해 관리 ID 사용 AuditIfNotExists, 사용 안 함 3.0.0
함수 앱은 최신 TLS 버전을 사용해야 함 최신 TLS 버전으로 업그레이드합니다. AuditIfNotExists, 사용 안 함 2.0.0
Java를 사용하는 함수 앱은 최신 'Java 버전'을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 Java 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 함수 앱에 최신 Java 버전을 사용하는 것이 좋습니다. 현재 이 정책은 Linux 앱에만 적용됩니다. AuditIfNotExists, 사용 안 함 3.0.0
Python을 사용하는 함수 앱은 최신 'Python 버전'을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 Python 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 함수 앱에 최신 Python 버전을 사용하는 것이 좋습니다. Python은 Windows 앱에서 지원되지 않으므로 이 정책은 Linux 앱에만 적용됩니다. AuditIfNotExists, 사용 안 함 4.0.0
Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. Azure Database for MariaDB를 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. 감사, 사용 안 함 1.0.1
Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. Azure Database for MySQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. 감사, 사용 안 함 1.0.1
Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. Azure Database for PostgreSQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. 감사, 사용 안 함 1.0.1
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
게스트 구성 확장을 머신에 설치해야 함 머신의 게스트 내 설정을 안전하게 구성하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 'Windows Exploit Guard를 사용하도록 설정해야 합니다'와 같은 게스트 내 정책을 사용할 수 있습니다. https://aka.ms/gcpol에서 자세히 알아보세요. AuditIfNotExists, 사용 안 함 1.0.2
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
Key Vault 키에는 만료 날짜가 있어야 함 암호화 키에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 키는 잠재적인 공격자에게 키를 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 암호화 키에 대한 만료 날짜를 설정하는 것이 좋습니다. 감사, 거부, 사용 안 함 1.0.2
Key Vault 비밀에는 만료 날짜가 있어야 함 비밀에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 비밀은 잠재적인 공격자에게 비밀을 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 비밀에 대한 만료 날짜를 설정하는 것이 좋습니다. 감사, 거부, 사용 안 함 1.0.2
키 자격 증명 모음에 제거 방지를 사용하도록 설정해야 함 키 자격 증명 모음을 악의적으로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 조직의 악의적인 내부자가 잠재적으로 키 자격 증명 모음을 삭제하고 제거할 수 있습니다. 제거 보호는 일시 삭제된 키 자격 증명 모음에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 키 자격 증명 모음을 제거할 수 없습니다. 감사, 거부, 사용 안 함 2.0.0
키 자격 증명 모음에 일시 삭제를 사용하도록 설정해야 함 일시 삭제를 사용하지 않고 키 자격 증명 모음을 삭제하면 키 자격 증명 모음에 저장된 모든 비밀, 키 및 인증서가 영구적으로 삭제됩니다. 키 자격 증명 모음을 실수로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 일시 삭제를 사용하면 실수로 삭제된 키 자격 증명 모음을 구성 가능한 보존 기간 동안 복구할 수 있습니다. 감사, 거부, 사용 안 함 3.0.0
Kubernetes 클러스터 컨테이너 CPU 및 메모리 리소스 한도는 지정된 한도를 초과하지 않아야 함 Kubernetes 클러스터에서 리소스 소모 공격을 방지하기 위해 컨테이너 CPU 및 메모리 리소스 제한을 적용합니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 8.0.0
Kubernetes 클러스터 컨테이너는 호스트 프로세스 ID 또는 호스트 IPC 네임스페이스를 공유해서는 안 됨 Kubernetes 클러스터에서 호스트 프로세스 ID 네임스페이스 및 호스트 IPC 네임스페이스를 공유하지 못하도록 Pod 컨테이너를 차단합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.2 및 CIS 5.2.3의 일부입니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 4.0.1
Kubernetes 클러스터 컨테이너는 허용된 AppArmor 프로필만 사용해야 함 컨테이너는 Kubernetes 클러스터에서 허용된 AppArmor 프로필만 사용해야 합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 Pod 보안 정책의 일부입니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 5.0.0
Kubernetes 클러스터 컨테이너는 허용된 기능만 사용해야 함 Kubernetes 클러스터에서 컨테이너의 공격 노출 영역을 줄이기 위해 기능을 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.8 및 CIS 5.2.9의 일부입니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 5.0.1
Kubernetes 클러스터 컨테이너는 허용된 이미지만 사용해야 함 신뢰할 수 있는 레지스트리의 이미지를 사용하여 알 수 없는 취약성, 보안 문제 및 악성 이미지에 대한 Kubernetes 클러스터의 노출 위험을 줄입니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 8.0.0
Kubernetes 클러스터 컨테이너는 읽기 전용 루트 파일 시스템에서 실행되어야 함 읽기 전용 루트 파일 시스템을 통해 컨테이너를 실행하여 Kubernetes 클러스터의 PATH에 추가된 악성 이진 파일로 인한 런타임 시 변경으로부터 보호합니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 5.0.0
Kubernetes 클러스터 Pod hostPath 볼륨은 허용된 호스트 경로만 사용해야 함 Pod HostPath 볼륨 탑재를 Kubernetes 클러스터에서 허용된 호스트 경로로 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 Pod 보안 정책의 일부입니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 5.0.1
Kubernetes 클러스터 Pod 및 컨테이너는 승인된 사용자 및 그룹 ID로만 실행해야 함 Pod 및 컨테이너가 Kubernetes 클러스터에서 실행하는 데 사용할 수 있는 사용자, 기본 그룹, 보조 그룹 및 파일 시스템 그룹 ID를 제어합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 Pod 보안 정책의 일부입니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 5.0.2
Kubernetes 클러스터 Pod는 승인된 호스트 네트워크와 포트 범위만 사용해야 함 Kubernetes 클러스터에서 호스트 네트워크 및 허용 가능한 호스트 포트 범위에 대한 Pod 액세스를 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.4의 일부입니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 5.0.0
Kubernetes 클러스터 서비스는 허용된 포트에서만 수신 대기해야 함 Kubernetes 클러스터에 대한 액세스를 보호하기 위해 서비스가 허용된 포트에서만 수신 대기하도록 제한합니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 7.0.0
Kubernetes 클러스터는 권한 있는 컨테이너를 허용하지 않아야 함 Kubernetes 클러스터는 권한 있는 컨테이너를 만드는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.1의 일부입니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 8.0.0
Kubernetes 클러스터는 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 인증을 보장하고, 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. 이 기능은 현재 AKS(Kubernetes Service)로 일반 공급되며, AKS 엔진 및 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc을 방문하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 7.0.0
Kubernetes 클러스터는 자동 탑재 API 자격 증명을 사용하지 않도록 설정해야 함 잠재적으로 손상된 Pod 리소스가 Kubernetes 클러스터에 대해 API 명령을 실행할 수 없도록 자동 탑재 API 자격 증명을 사용하지 않도록 설정합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 3.0.1
Kubernetes 클러스터는 컨테이너 권한 상승을 허용해서는 안 됨 컨테이너가 Kubernetes 클러스터 루트로의 권한 상승을 통해 실행되는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.5의 일부입니다. 이 정책은 일반적으로 AKS(Kubernetes Service)에서 사용할 수 있으며 AKS 엔진 및 Azure Arc 지원 Kubernetes에 대한 미리 보기입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 6.0.1
Kubernetes 클러스터는 CAP_SYS_ADMIN 보안 기능을 부여하지 않아야 함 컨테이너의 공격 노출 영역을 줄이려면 CAP_SYS_ADMIN Linux 기능을 제한합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 4.0.0
Kubernetes 클러스터는 기본 네임스페이스를 사용하지 않아야 함 Kubernetes 클러스터에서 기본 네임스페이스를 사용하여 ConfigMap, Pod, Secret, Service 및 ServiceAccount 리소스 종류에 대한 무단 액세스를 방지합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. 감사, 감사, 거부, 거부, 사용 안 함, 사용 안 함 3.0.1
Linux 머신은 Azure Arc에 Log Analytics 에이전트가 설치되어 있어야 함 Log Analytics 에이전트가 Azure Arc 지원 Linux 서버에 설치되어 있지 않으면 머신이 호환되지 않습니다. AuditIfNotExists, 사용 안 함 1.1.0
Linux 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 2.0.0
Azure Security Center를 모니터링하려면 가상 머신에 Log Analytics 에이전트를 설치해야 함 이 정책은 Security Center가 보안 취약성 및 위협을 모니터링하는 데 사용할 Log Analytics 에이전트가 설치되어 있지 않은 경우 Windows/Linux VMs(Virtual Machines)를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure Security Center를 모니터링하려면 가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 함 Security Center는 Azure VMs(Virtual Machines)에서 데이터를 수집하여 보안 취약성 및 위협을 모니터링합니다. AuditIfNotExists, 사용 안 함 1.0.0
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
가상 머신에서 관리 포트를 닫아야 합니다. 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. AuditIfNotExists, 사용 안 함 3.0.0
구독에서 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 합니다. 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
구독에서 소유자 권한이 있는 계정에 MFA를 사용하도록 설정해야 합니다. 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
구독에서 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 합니다. 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
컨테이너용 Microsoft Defender를 사용하도록 설정해야 함 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure Security Center에서 누락된 Endpoint Protection 모니터링 Endpoint Protection 에이전트가 설치되어 있지 않은 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
MySQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 고객 관리형 키를 사용하여 MySQL 서버의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. AuditIfNotExists, 사용 안 함 1.0.4
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0
네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
Azure Cache for Redis에 보안 연결만 사용하도록 설정해야 함 SSL을 통해 설정된 Azure Cache for Redis 연결만 감사 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. 감사, 거부, 사용 안 함 1.0.0
PostgreSQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 고객 관리형 키를 사용하여 PostgreSQL 서버의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. AuditIfNotExists, 사용 안 함 1.0.4
Azure SQL Database에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함 프라이빗 엔드포인트 연결은 Azure SQL Database에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. 감사, 사용 안 함 1.1.0
프라이빗 엔드포인트를 MariaDB 서버에서 사용할 수 있어야 합니다. 프라이빗 엔드포인트 연결은 Azure Database for MariaDB에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. 알려진 네트워크에서 들어오는 트래픽에만 액세스할 수 있고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단하도록 프라이빗 엔드포인트 연결을 구성합니다. AuditIfNotExists, 사용 안 함 1.0.2
프라이빗 엔드포인트를 MySQL 서버에서 사용할 수 있어야 합니다. 프라이빗 엔드포인트 연결은 Azure Database for MySQL에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. 알려진 네트워크에서 들어오는 트래픽에만 액세스할 수 있고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단하도록 프라이빗 엔드포인트 연결을 구성합니다. AuditIfNotExists, 사용 안 함 1.0.2
프라이빗 엔드포인트를 PostgreSQL 서버에서 사용할 수 있어야 합니다. 프라이빗 엔드포인트 연결은 Azure Database for PostgreSQL에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. 알려진 네트워크에서 들어오는 트래픽에만 액세스할 수 있고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단하도록 프라이빗 엔드포인트 연결을 구성합니다. AuditIfNotExists, 사용 안 함 1.0.2
Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 감사, 거부, 사용 안 함 1.1.0
MariaDB 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. 공용 네트워크 액세스 속성을 사용하지 않도록 설정하여 보안을 강화하고 프라이빗 엔드포인트에서만 Azure Database for MariaDB에 액세스할 수 있도록 합니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간의 액세스를 엄격하게 차단하고, IP 또는 가상 네트워크 기반 방화벽 규칙에 부합하는 모든 로그인을 거부합니다. 감사, 거부, 사용 안 함 2.0.0
MySQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. 공용 네트워크 액세스 속성을 사용하지 않도록 설정하여 보안을 강화하고 프라이빗 엔드포인트에서만 Azure Database for MySQL에 액세스할 수 있도록 합니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간의 액세스를 엄격하게 차단하고, IP 또는 가상 네트워크 기반 방화벽 규칙에 부합하는 모든 로그인을 거부합니다. 감사, 거부, 사용 안 함 2.0.0
PostgreSQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. 공용 네트워크 액세스 속성을 사용하지 않도록 설정하여 보안을 강화하고 프라이빗 엔드포인트에서만 Azure Database for PostgreSQL에 액세스할 수 있도록 합니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 감사, 거부, 사용 안 함 2.0.0
Azure Data Lake Store에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Azure Kubernetes Service의 리소스 로그를 사용하도록 설정해야 함 Azure Kubernetes Service의 리소스 로그를 통해 보안 인시던트를 조사할 때 작업 추적을 다시 만들 수 있습니다. 필요할 때 로그가 존재하는지 확인하는 데 사용 AuditIfNotExists, 사용 안 함 1.0.0
Azure Stream Analytics에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Batch 계정에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Data Lake Analytics에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Event Hub에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
IoT Hub에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.1
Key Vault의 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Logic Apps에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Search Services에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Service Bus에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Virtual Machine Scale Sets에서 리소스 로그를 사용하도록 설정해야 함 인시던트 또는 손상이 발생하는 경우 조사가 필요할 때 활동 내역을 다시 만들 수 있도록 로그를 사용하도록 설정하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 2.1.0
Kubernetes Services에서 RBAC(역할 기반 액세스 제어)를 사용해야 함 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. 감사, 사용 안 함 1.0.2
컨테이너 이미지를 실행하면 취약성 결과가 해결되어야 함 컨테이너 이미지 취약성 평가는 Kubernetes 클러스터에서 실행되는 컨테이너 이미지에 보안 취약성이 있는지 검사하고 각 이미지에 대한 자세한 결과를 노출합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.1
스토리지 계정에 보안 전송을 사용하도록 설정해야 함 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. 감사, 거부, 사용 안 함 2.0.0
Service Fabric 클러스터는 ClusterProtectionLevel 속성을 EncryptAndSign으로 설정해야 함 Service Fabric은 기본 클러스터 인증서를 사용하여 노드 간 통신을 위한 3단계 보호(None, Sign 및 EncryptAndSign)를 제공합니다. 모든 노드 간 메시지가 암호화되고 디지털로 서명될 수 있게 보호 수준을 설정합니다. 감사, 거부, 사용 안 함 1.1.0
Service Fabric 클러스터는 클라이언트 인증에 대해서만 Azure Active Directory를 사용해야 함 Service Fabric에서 Azure Active Directory를 통한 클라이언트 인증의 사용만 감사 감사, 거부, 사용 안 함 1.1.0
SQL 데이터베이스가 발견한 취약성을 해결해야 함 취약성 평가 검사 결과 및 데이터베이스 취약성을 해결하는 방법에 대한 권장 사항을 모니터링합니다. AuditIfNotExists, 사용 안 함 4.0.0
SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통한 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. 감사, 거부, 사용 안 함 2.0.0
컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함 SQL 취약성 평가는 데이터베이스를 검사하여 보안 취약성을 찾아내고, 구성 오류, 과도한 권한, 보호되지 않는 중요한 데이터 등과 같이 모범 사례를 따르지 않는 부분을 공개합니다. 발견된 취약성을 해결하면 데이터베이스 보안 상태가 크게 향상될 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0
SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통해 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. 감사, 거부, 사용 안 함 2.0.1
스토리지 계정 대상에 대한 감사 기능이 있는 SQL Server는 보존 기간을 90일 이상으로 구성해야 함 인시던트 조사를 위해 SQL Server 감사를 위한 데이터 보존 기간을 스토리지 계정 대상으로 90일 이상으로 설정하는 것이 좋습니다. 운영 중인 지역에 필요한 보존 규칙을 충족하는지 확인합니다. 이는 규정 표준을 준수해야 하는 경우도 있습니다. AuditIfNotExists, 사용 안 함 3.0.0
스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 스토리지 계정에 새로운 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 Key Vault에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. 감사, 거부, 사용 안 함 1.0.0
스토리지 계정은 네트워크 액세스를 제한해야 함 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. 감사, 거부, 사용 안 함 1.1.1
스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 IP 기반 필터링 대신 기본 방법으로 가상 네트워크 규칙을 사용하여 잠재적인 위협으로부터 스토리지 계정을 보호합니다. IP 기반 필터링을 사용하지 않도록 설정하면 공용 IP가 스토리지 계정에 액세스할 수 없습니다. 감사, 거부, 사용 안 함 1.0.1
스토리지 계정은 암호화에 고객 관리형 키를 사용해야 함 고객 관리형 키를 사용하여 유연성이 뛰어난 Blob 및 파일 스토리지 계정을 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. 감사, 사용 안 함 1.0.3
스토리지 계정은 프라이빗 링크를 사용해야 함 Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/azureprivatelinkoverview에서 프라이빗 링크에 대해 자세히 알아보세요. AuditIfNotExists, 사용 안 함 2.0.0
서브넷을 네트워크 보안 그룹과 연결해야 합니다. NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. AuditIfNotExists, 사용 안 함 3.0.0
구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. AuditIfNotExists, 사용 안 함 1.0.1
가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다. Windows 및 Linux 가상 머신 확장 집합의 보안 유지를 위해 설치해야 하는 시스템 보안 업데이트 및 중요 업데이트가 누락되었는지 감사합니다. AuditIfNotExists, 사용 안 함 3.0.0
시스템 업데이트를 머신에 설치해야 합니다. 서버의 누락된 보안 시스템 업데이트는 Azure Security Center에서 권장 사항으로 모니터링합니다. AuditIfNotExists, 사용 안 함 4.0.0
구독에 둘 이상의 소유자를 할당해야 합니다. 관리자 액세스 중복성을 유지하려면 둘 이상의 구독 소유자를 지정하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 3.0.0
SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다. 저장 데이터를 보호하고 규정 준수 요구 사항을 충족하려면 투명한 데이터 암호화를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 가상 머신에 새 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 키 자격 증명 모음에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. 감사, 거부, 사용 안 함 1.0.0
가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 합니다. 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. 임시 디스크, 데이터 캐시 및 컴퓨팅과 스토리지 간에 이동하는 데이터는 암호화되지 않습니다. 다음과 같은 경우 이 권장 사항을 무시합니다. 1. 호스트에서 암호화를 사용하는 경우 또는 2. Managed Disks의 서버 쪽 암호화에서 보안 요구 사항을 충족하는 경우입니다. Azure Disk Storage: https://aka.ms/disksse, 다양한 디스크 암호화 제품: https://aka.ms/diskencryptioncomparison의 서버 쪽 암호화에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 2.0.3
가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. https://aka.ms/gcpol에서 자세히 알아보세요. AuditIfNotExists, 사용 안 함 1.0.1
VM Image Builder 템플릿은 프라이빗 링크를 사용해야 함 Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 VM Image Builder에 매핑하여 리소스를 구성하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet에서 프라이빗 링크에 대해 자세히 알아보세요. 감사, 사용 안 함, 거부 1.1.0
컨테이너 보안 구성의 취약성을 수정해야 합니다. Docker가 설치된 머신에서 보안 구성의 취약성을 감사하고 Azure Security Center에서 권장 사항으로 표시합니다. AuditIfNotExists, 사용 안 함 3.0.0
머신 보안 구성의 취약성을 수정해야 합니다. 구성된 기준을 충족하지 않는 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. 가상 머신 확장 집합의 OS 취약성을 감사하여 공격으로부터 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0
SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.1
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. 반복 취약성 평가 검사를 사용하도록 설정하지 않은 Azure SQL 서버를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 2.0.0
Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 2.0.0
Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당). AuditIfNotExists, 사용 안 함 2.0.0
Windows 컴퓨터는 Azure Arc에 Log Analytics 에이전트가 설치되어 있어야 함 Log Analytics 에이전트가 Azure Arc 지원 Windows 서버에 설치되어 있지 않으면 머신이 호환되지 않습니다. AuditIfNotExists, 사용 안 함 2.0.0
Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. AuditIfNotExists, 사용 안 함 2.0.0
Windows 웹 서버는 보안 통신 프로토콜을 사용하도록 구성해야 함 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 웹 서버에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 보안 인증서를 사용하여 컴퓨터 간의 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. AuditIfNotExists, 사용 안 함 4.0.0

클라우드용 Microsoft Defender 범주

Name
(Azure Portal)
Description 효과 버전
(GitHub)
[미리 보기]: Azure 보안 에이전트를 Linux Arc 머신에 설치해야 함 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Linux Arc 컴퓨터에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Azure 보안 에이전트를 Linux 가상 머신 확장 집합에 설치해야 함 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Linux 가상 머신 확장 집합에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Azure 보안 에이전트를 Linux 가상 머신에 설치해야 함 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Linux 가상 머신에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: Azure 보안 에이전트를 Windows Arc 머신에 설치해야 함 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Windows Arc 컴퓨터에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Azure 보안 에이전트를 Windows 가상 머신 확장 집합에 설치해야 함 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Windows 가상 머신 확장 집합에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Azure 보안 에이전트를 Windows 가상 머신에 설치해야 함 컴퓨터에서 보안 구성 및 취약성을 모니터링하기 위해 Azure 보안 에이전트를 Windows 가상 머신에 설치합니다. 평가 결과는 Azure Security Center에서 확인하고 관리할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: Linux Arc 머신에 ChangeTracking 확장을 설치해야 함 Linux Arc 머신에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Linux 가상 머신에 ChangeTracking 확장을 설치해야 함 Linux Virtual Machines에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Linux 가상 머신 확장 집합에 ChangeTracking 확장을 설치해야 함 Linux 가상 머신 확장 집합에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: Windows Arc 머신에 ChangeTracking 확장을 설치해야 함 Windows Arc 머신에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Windows 가상 머신에 ChangeTracking 확장을 설치해야 함 Windows Virtual Machines에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Windows 가상 머신 확장 집합에 ChangeTracking 확장을 설치해야 함 Windows 가상 머신 확장 집합에 ChangeTracking 확장을 설치하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitoring Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Azure Monitor 에이전트를 사용하여 기본 클라우드용 Microsoft Defender 파이프라인을 만들도록 Arc 컴퓨터 구성 Azure Monitor 에이전트를 사용하여 기본 클라우드용 Microsoft Defender 파이프라인을 만들도록 Arc 컴퓨터를 구성합니다. 클라우드용 Microsoft Defender는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 감사 레코드를 저장할 머신과 동일한 지역에 리소스 그룹, 데이터 수집 규칙 및 Log Analytics 작업 영역을 만듭니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 1.2.0-preview
[미리 보기]: [미리 보기]: Azure Monitor 에이전트를 사용하여 클라우드용 Microsoft Defender 사용자 정의 파이프라인을 만들도록 Arc 컴퓨터 구성 Azure Monitor 에이전트를 사용하여 클라우드용 Microsoft Defender 사용자 정의 파이프라인을 만들도록 Arc 컴퓨터를 구성합니다. 클라우드용 Microsoft Defender는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 사용자가 제공한 Log Analytics 작업 영역을 사용하여 감사 레코드를 저장합니다. 사용자가 제공한 Log Analytics 작업 영역과 동일한 지역에 리소스 그룹 및 데이터 수집 규칙을 만듭니다. 대상 Arc 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 1.2.0-preview
[미리 보기]: [미리 보기]: Arc 컴퓨터를 기본 클라우드용 Microsoft Defender 데이터 수집 규칙에 연결하도록 연결 구성 클라우드용 Microsoft Defender에 대한 기본 데이터 수집 규칙과 자동으로 연결하도록 Arc 컴퓨터를 구성합니다. 이 연결을 삭제하면 이 Arc 머신에 대한 보안 취약성 검색이 중단됩니다. 대상 Arc 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 1.1.1-preview
[미리 보기]: [미리 보기]: Arc 컴퓨터를 사용자 정의 클라우드용 Microsoft Defender 데이터 수집 규칙에 연결하도록 연결 구성 클라우드용 Microsoft Defender에 대한 사용자 정의 데이터 수집 규칙과 자동으로 연결하도록 Arc 컴퓨터를 구성합니다. 이 연결을 삭제하면 이 Arc 머신에 대한 보안 취약성 검색이 중단됩니다. 대상 Arc 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 1.1.1-preview
[미리 보기]: [미리 보기]: 기본 클라우드용 Microsoft Defender 데이터 수집 규칙에 가상 머신을 연결하도록 연결 구성 클라우드용 Microsoft Defender에 대한 기본 데이터 수집 규칙과 자동으로 연결하도록 컴퓨터를 구성합니다. 이 연결을 삭제하면 이 가상 머신에 대한 보안 취약성 검색이 중단됩니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 2.1.1-preview
[미리 보기]: [미리 보기]: 가상 머신을 사용자 정의 클라우드용 Microsoft Defender 데이터 수집 규칙에 연결하도록 연결 구성 클라우드용 Microsoft Defender에 대한 사용자 정의 데이터 수집 규칙과 자동으로 연결하도록 컴퓨터를 구성합니다. 이 연결을 삭제하면 이 가상 머신에 대한 보안 취약성 검색이 중단됩니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 1.1.1-preview
[미리 보기]: [미리 보기]: 가상 머신에서 Azure Defender for SQL 에이전트 구성 Azure Monitor 에이전트가 설치된 Azure Defender for SQL 에이전트를 자동으로 설치하도록 Windows 머신을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 머신과 동일한 지역에 리소스 그룹 및 Log Analytics 작업 영역을 만듭니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: Linux Arc 머신용 ChangeTracking 확장 구성 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하기 위해 ChangeTracking 확장을 자동으로 설치하도록 Linux Arc 머신을 구성합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Linux 가상 머신 확장 집합용 ChangeTracking 확장 구성 ChangeTracking 확장을 자동으로 설치하도록 Linux 가상 머신 확장 집합을 구성하여 Azure Security Center에 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Linux Virtual Machines용 ChangeTracking 확장 구성 ChangeTracking 확장을 자동으로 설치하도록 Linux Virtual Machines을 구성하여 Azure Security Center에 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: Windows Arc 머신용 ChangeTracking 확장 구성 Azure Security Center에 FIM(파일 무결성 모니터링)을 사용하기 위해 ChangeTracking 확장을 자동으로 설치하도록 Windows Arc 머신을 구성합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Windows 가상 머신 확장 집합용 ChangeTracking 확장 구성 ChangeTracking 확장을 자동으로 설치하도록 Windows 가상 머신 확장 집합을 구성하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Windows Virtual Machines용 ChangeTracking 확장 구성 ChangeTracking 확장을 자동으로 설치하도록 Windows Virtual Machines을 구성하여 Azure Security Center에서 FIM(파일 무결성 모니터링)을 사용하도록 설정합니다. FIM은 공격을 나타낼 수 있는 변경 내용에 대해 운영 체제 파일, Windows 레지스트리, 애플리케이션 소프트웨어, Linux 시스템 파일 등을 검사합니다. 확장은 Azure Monitor Agent에서 지원하는 가상 머신 및 위치에 설치할 수 있습니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Azure Monitor 에이전트를 사용하여 클라우드용 Microsoft Defender 사용자 정의 파이프라인을 만들도록 컴퓨터 구성 Azure Monitor 에이전트를 사용하여 클라우드용 Microsoft Defender 사용자 정의 파이프라인을 만들도록 컴퓨터를 구성합니다. 클라우드용 Microsoft Defender는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 사용자가 제공한 Log Analytics 작업 영역을 사용하여 감사 레코드를 저장합니다. 사용자가 제공한 Log Analytics 작업 영역과 동일한 지역에 리소스 그룹 및 데이터 수집 규칙을 만듭니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 1.2.0-preview
[미리 보기]: Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Linux Arc 머신 구성 Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Linux Arc 컴퓨터를 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 Linux Arc 컴퓨터는 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Linux 가상 머신 확장 집합 구성 Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Linux 가상 머신 확장 집합을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신 확장 집합 구성 Azure Security Center가 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신 확장 집합을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. DeployIfNotExists, 사용 안 함 5.0.0-preview
[미리 보기]: [미리 보기]: 자동으로 보안 부팅을 사용하도록 지원되는 Linux 가상 머신 구성 부팅 체인에 대한 악의적인 무단 변경을 완화하기 위해 자동으로 보안 부팅을 사용하도록 지원되는 Linux 가상 머신을 구성합니다. 이 기능을 사용하도록 설정하면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. DeployIfNotExists, 사용 안 함 5.0.0-preview
[미리 보기]: [미리 보기]: Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Linux 가상 머신 구성 Azure Security 에이전트를 자동으로 설치하도록 지원되는 Linux 가상 머신을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 6.0.0-preview
[미리 보기]: [미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신 구성 Azure Security Center가 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Linux 가상 머신을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. DeployIfNotExists, 사용 안 함 6.0.0-preview
[미리 보기]: [미리 보기]: 자동으로 vTPM을 사용하도록 지원되는 가상 머신 구성 TPM이 필요한 계획 부팅 및 기타 OS 보안 기능을 용이하게 하기 위해 vTPM을 자동으로 사용하도록 지원되는 가상 머신을 구성합니다. 사용하도록 설정되면 vTPM을 사용하여 부팅 무결성을 증명할 수 있습니다. DeployIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Windows Arc 머신 구성 Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Windows Arc 컴퓨터를 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 Windows Arc 컴퓨터는 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Windows 머신 구성 Azure Security 에이전트를 자동으로 설치하도록 지원되는 Windows 머신을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 4.0.0-preview
[미리 보기]: [미리 보기]: Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Windows 가상 머신 확장 집합 구성 Azure 보안 에이전트를 자동으로 설치하도록 지원되는 Windows 가상 머신 확장 집합을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 대상 Windows 가상 머신 확장 집합은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신 확장 집합 구성 Azure Security Center가 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신 확장 집합을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. DeployIfNotExists, 사용 안 함 3.0.0-preview
[미리 보기]: [미리 보기]: 자동으로 보안 부팅을 사용하도록 지원되는 Windows 가상 머신 구성 부팅 체인에 대한 악의적인 무단 변경을 완화하기 위해 자동으로 보안 부팅을 사용하도록 지원되는 Windows 가상 머신을 구성합니다. 이 기능을 사용하도록 설정하면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. DeployIfNotExists, 사용 안 함 3.0.0-preview
[미리 보기]: [미리 보기]: 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신 구성 Azure Security Center가 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하도록 지원되는 Windows 가상 머신을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. DeployIfNotExists, 사용 안 함 4.0.0-preview
[미리 보기]: [미리 보기]: Azure Monitor 에이전트를 사용하여 기본 클라우드용 Microsoft Defender 파이프라인을 만들도록 가상 머신 구성 Azure Monitor 에이전트를 사용하여 기본 클라우드용 Microsoft Defender 파이프라인을 만들도록 가상 머신을 구성합니다. 클라우드용 Microsoft Defender는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 감사 레코드를 저장할 머신과 동일한 지역에 리소스 그룹, 데이터 수집 규칙 및 Log Analytics 작업 영역을 만듭니다. 대상 가상 머신은 지원되는 위치에 있어야 합니다. DeployIfNotExists, 사용 안 함 5.2.0-preview
[미리 보기]: [미리 보기]: 게스트 증명 확장을 설치하도록 Shared Image Gallery 이미지로 만든 VM 구성 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하기 위해 Shared Image Gallery 이미지로 만든 가상 머신을 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. DeployIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: [미리 보기]: 게스트 증명 확장을 설치하도록 Shared Image Gallery 이미지로 만든 VMSS 구성 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 게스트 증명 확장을 자동으로 설치하기 위해 Shared Image Gallery 이미지로 만든 VMSS를 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. DeployIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: Linux 하이브리드 머신에 엔드포인트용 Microsoft Defender 에이전트 배포 Linux 하이브리드 머신에 엔드포인트용 Microsoft Defender 에이전트를 배포합니다. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[미리 보기]: [미리 보기]: Linux 가상 엔드포인트용 Microsoft Defender 머신에 에이전트 배포 해당 Linux VM 이미지에 엔드포인트용 Microsoft Defender 에이전트를 배포합니다. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[미리 보기]: Microsoft Azure Arc 머신에 엔드포인트용 Microsoft Defender 에이전트 배포 Microsoft Azure Arc 머신에 엔드포인트용 Microsoft Defender를 배포합니다. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[미리 보기]: [미리 보기]: Windows 가상 머신에 엔드포인트용 Microsoft Defender 에이전트 배포 해당 Windows VM 이미지에 엔드포인트용 Microsoft Defender를 배포합니다. DeployIfNotExists, AuditIfNotExists, Disabled 2.0.1-preview
[미리 보기]: [미리 보기]: 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 함 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 Linux 가상 머신에만 적용됩니다. AuditIfNotExists, 사용 안 함 5.0.0-preview
[미리 보기]: [미리 보기]: 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 Linux 가상 머신 확장 집합에만 적용됩니다. AuditIfNotExists, 사용 안 함 4.0.0-preview
[미리 보기]: [미리 보기]: 지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 함 지원되는 가상 머신에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 가상 머신에만 적용됩니다. AuditIfNotExists, 사용 안 함 3.0.0-preview
[미리 보기]: [미리 보기]: 지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 지원되는 가상 머신 확장 집합에 게스트 증명 확장을 설치하여 Azure Security Center에서 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 가상 머신 확장 집합에만 적용됩니다. AuditIfNotExists, 사용 안 함 2.0.0-preview
[미리 보기]: [미리 보기]: Linux 가상 머신에서 보안 부팅을 사용해야 함 맬웨어 기반 루트킷 및 부트킷을 설치하지 않도록 방지하려면 지원되는 Linux 가상 머신에서 보안 부팅을 사용하도록 설정합니다. 보안 부팅은 서명된 운영 체제와 드라이버만 실행할 수 있도록 합니다. 이 평가는 Azure Monitor 에이전트가 설치된 Linux 가상 머신에만 적용됩니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: 머신에서 공격 벡터를 노출시킬 수 있는 포트를 닫아야 함 Azure의 사용 약관에서 Microsoft 서버 또는 네트워크를 손상, 사용하지 않도록 설정, 과부하 또는 손상시킬 수 있는 방식으로 Azure 서비스를 사용하는 것을 금지합니다. 이 권장 사항에 의해 식별된 노출된 포트는 지속적인 보안을 위해 닫아야 합니다. 식별된 각 포트에 대해 권장 사항은 잠재적 위협에 대한 설명도 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 함 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정하여 부트 체인에 대한 악의적인 무단 변경을 완화합니다. 이 기능을 사용하도록 설정하면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 Windows 가상 머신에만 적용됩니다. 감사, 사용 안 함 3.0.0-preview
[미리 보기]: [미리 보기]: 머신에 시스템 업데이트를 설치해야 함(업데이트 센터에서 제공) 머신에 누락된 시스템, 보안 및 중요 업데이트가 있습니다. 소프트웨어 업데이트에는 보안 허점을 메우기 위한 중요한 패치가 포함된 경우가 많습니다. 이러한 허점은 맬웨어 공격에 자주 악용되므로 소프트웨어를 업데이트된 상태로 유지하는 것이 중요합니다. 미적용 패치를 모두 설치하고 머신을 보호하려면 수정 단계를 수행합니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: 가상 머신 게스트 증명 상태가 정상이어야 함 게스트 증명은 신뢰할 수 있는 로그(TCGLog)를 증명 서버로 전송하여 수행됩니다. 서버는 이러한 로그를 사용하여 부팅 구성 요소가 신뢰할 수 있는지 여부를 확인합니다. 이 평가는 부트킷 또는 루트킷 감염에 따른 결과일 수 있는 부팅 체인의 손상을 검색하기 위한 것입니다. 이 평가는 게스트 증명 확장이 설치된, 신뢰할 수 있는 시작 사용 가상 머신에만 적용됩니다. AuditIfNotExists, 사용 안 함 1.0.0 - 미리 보기
[미리 보기]: [미리 보기]: 지원되는 가상 머신에서 vTPM을 사용하도록 설정해야 함 지원되는 가상 머신에서 가상 TPM 디바이스를 사용하도록 설정하여 TPM이 필요한 계획 부팅 및 기타 OS 보안 기능을 용이하도록 합니다. 사용하도록 설정되면 vTPM을 사용하여 부팅 무결성을 증명할 수 있습니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 가상 머신에만 적용됩니다. 감사, 사용 안 함 2.0.0-preview
구독에 최대 3명의 소유자를 지정해야 합니다. 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 3.0.0
취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 가상 머신을 감사하여 지원되는 취약성 평가 솔루션을 실행하고 있는지 검색합니다. 모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성을 식별하고 분석하는 것입니다. Azure Security Center의 표준 가격 책정 계층에는 추가 비용 없이 가상 머신에 대한 취약성 검사가 포함됩니다. 또한 Security Center가 자동으로 도구를 배포할 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 합니다. 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 읽기 권한이 있는 계정은 MFA를 사용하도록 설정해야 합니다. 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 쓰기 권한이 있는 계정은 MFA를 사용하도록 설정해야 합니다. 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 애플리케이션 제어를 활성화하여 머신에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고, 다른 애플리케이션이 실행될 때 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 머신에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. AuditIfNotExists, 사용 안 함 3.0.0
인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 Azure Security Center는 인터넷 연결 가상 머신의 트래픽 패턴을 분석하고 잠재적 공격 노출 영역을 줄이는 네트워크 보안 그룹 규칙 권장 사항을 제공합니다. AuditIfNotExists, 사용 안 함 3.0.0
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0
적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 Azure Security Center의 적응형 애플리케이션 제어를 통한 감사를 위해 구성된 머신 그룹의 동작 변경 내용을 모니터링합니다. Security Center는 기계 학습을 사용하여 머신에서 실행 중인 프로세스를 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. 이러한 앱은 적응형 애플리케이션 제어 정책에서 허용하도록 권장되는 앱으로 제공됩니다. AuditIfNotExists, 사용 안 함 3.0.0
권한 있는 IP 범위는 Kubernetes Services에 정의되어야 함 특정 범위의 IP 주소에만 API 액세스 권한을 부여하여 Kubernetes Service Management API에 대한 액세스를 제한합니다. 허용된 네트워크의 애플리케이션만 클러스터에 액세스할 수 있도록 인증된 IP 범위에 대한 액세스를 제한하는 것이 좋습니다. 감사, 사용 안 함 2.0.1
구독에 Log Analytics 에이전트의 자동 프로비저닝을 사용하도록 설정해야 함 보안 취약성 및 위협을 모니터링하기 위해 Azure Security Center는 Azure 가상 머신에서 데이터를 수집합니다. 데이터는 이전에 MMA(Microsoft Monitoring Agent)로 알려진 Log Analytics 에이전트에 의해 수집되며, 머신에서 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 Log Analytics 작업 영역에 데이터를 복사합니다. 지원되는 모든 Azure VM과 생성된 모든 새 VM에 에이전트를 자동으로 배포하려면 자동 프로비저닝을 사용하도록 설정하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 1.0.1
Azure DDoS Protection 표준을 사용하도록 설정해야 함 공용 IP를 사용하는 애플리케이션 게이트웨이의 일부인 서브넷이 포함된 모든 가상 네트워크에 DDoS 보호 표준을 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
Azure Defender for App Service를 사용해야 합니다 Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. AuditIfNotExists, 사용 안 함 1.0.3
Azure SQL Database 서버용 Azure Defender를 사용해야 합니다. Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
Azure Defender for DNS를 사용하도록 설정해야 함 Azure Defender for DNS는 Azure 리소스의 모든 DNS 쿼리를 지속적으로 모니터링하여 클라우드 리소스에 대한 추가 보호 계층을 제공합니다. Azure Defender는 DNS 계층에서 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-dns에서 Azure Defender for DNS의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 지역별 가격 정보에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure Defender for Key Vault를 사용해야 합니다. Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.3
오픈 소스 관계형 데이터베이스용 Azure Defender를 사용하도록 설정해야 함 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. https://aka.ms/AzDforOpenSourceDBsDocu에서 오픈 소스 관계형 데이터베이스용 Azure Defender의 기능에 대해 자세히 알아보세요. 중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 가격에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure Defender for Resource Manager를 사용하도록 설정해야 함 Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 지역별 가격 정보에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 1.0.0
서버용 Azure Defender를 사용해야 합니다. 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. AuditIfNotExists, 사용 안 함 1.0.3
머신의 SQL 서버용 Azure Defender를 사용해야 합니다. Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
스토리지용 Azure Defender를 사용해야 합니다. 스토리지용 Azure Defender는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. AuditIfNotExists, 사용 안 함 1.0.3
Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 합니다. 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 합니다. 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. AuditIfNotExists, 사용 안 함 1.0.0
Cloud Services(추가 지원) 역할 인스턴스는 안전하게 구성되어야 함 OS 취약점이 노출되지 않는지 확인하여 공격으로부터 Cloud Service(추가 지원) 역할 인스턴스를 보호합니다. AuditIfNotExists, 사용 안 함 1.0.0
Cloud Services(추가 지원) 역할 인스턴스에는 엔드포인트 보호 솔루션이 설치되어 있어야 함 엔드포인트 보호 솔루션이 설치되어 있는지 확인하여 위협 및 취약성으로부터 Cloud Services(추가 지원) 역할 인스턴스를 보호합니다. AuditIfNotExists, 사용 안 함 1.0.0
Cloud Services(추가 지원) 역할 인스턴스에 시스템 업데이트가 설치되어 있어야 함 최신 보안 및 중요 업데이트가 설치되어 있는지 확인하여 Cloud Service(추가 지원) 역할 인스턴스를 보호합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure Defender for App Service를 사용하도록 구성 Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. DeployIfNotExists, 사용 안 함 1.0.1
Azure Defender for Azure SQL 데이터베이스를 사용하도록 구성 Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. DeployIfNotExists, 사용 안 함 1.0.0
Azure Defender for DNS를 사용하도록 구성 Azure Defender for DNS는 Azure 리소스의 모든 DNS 쿼리를 지속적으로 모니터링하여 클라우드 리소스에 대한 추가 보호 계층을 제공합니다. Azure Defender는 DNS 계층에서 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-dns에서 Azure Defender for DNS의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 지역별 가격 정보에 대해 알아봅니다. DeployIfNotExists, 사용 안 함 1.0.1
Azure Defender for Key Vault를 사용하도록 구성 Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. DeployIfNotExists, 사용 안 함 1.0.1
오픈 소스 관계형 데이터베이스를 사용하도록 Azure Defender 구성 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. https://aka.ms/AzDforOpenSourceDBsDocu에서 오픈 소스 관계형 데이터베이스용 Azure Defender의 기능에 대해 자세히 알아보세요. 중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 가격에 대해 알아봅니다. DeployIfNotExists, 사용 안 함 1.0.0
Azure Defender for Resource Manager를 사용하도록 구성 Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지: https://aka.ms/pricing-security-center에서 지역별 가격 정보에 대해 알아봅니다. DeployIfNotExists, 사용 안 함 1.0.1
서버용 Azure Defender를 사용하도록 구성 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. DeployIfNotExists, 사용 안 함 1.0.0
머신에서 Azure Defender for SQL 서버를 사용하도록 구성 Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. DeployIfNotExists, 사용 안 함 1.0.0
Azure Defender for Storage를 사용하도록 구성 스토리지용 Azure Defender는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. DeployIfNotExists, 사용 안 함 1.0.0
취약성 평가 공급자를 받도록 컴퓨터 구성 Azure Defender는 추가 비용 없이 머신의 취약성을 검사합니다. Qualys 라이선스 또는 Qualys 계정이 필요하지 않습니다. 모든 항목이 Security Center 내에서 원활하게 처리됩니다. 이 정책을 사용하도록 설정하면 Azure Defender에서 아직 설치되지 않은 모든 지원되는 컴퓨터에 Qualys 취약성 평가 공급자를 자동으로 배포합니다. DeployIfNotExists, 사용 안 함 4.0.0
API용 Microsoft Defender 구성이 활성화되어야 함 API용 Microsoft Defender는 일반적인 API 기반 공격 및 보안 구성 오류를 모니터링하기 위해 새로운 검색, 보호, 탐지 및 응답 범위를 제공합니다. DeployIfNotExists, 사용 안 함 1.0.0
Azure Cosmos DB용 Microsoft Defender를 사용하도록 구성 Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다. Azure Cosmos DB용 Defender는 잠재적인 SQL 주입, Microsoft 위협 인텔리전스를 기반으로 하는 알려진 공격자, 의심스러운 액세스 패턴, 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스의 잠재적인 악용을 검색합니다. DeployIfNotExists, 사용 안 함 1.0.0
사용할 컨테이너용 Microsoft Defender 구성 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. DeployIfNotExists, 사용 안 함 1.0.0
SQL용 Microsoft Defender를 Synapse 작업 영역에서 사용하도록 구성 Azure Synapse 작업 영역에서 SQL용 Microsoft Defender를 활성화하여 SQL 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 검색합니다. DeployIfNotExists, 사용 안 함 1.0.0
컨테이너 레지스트리 이미지에서 취약성 발견 사항이 해결되어야 함 컨테이너 이미지 취약성 평가는 레지스트리를 검사하여 보안 취약성을 확인하고 이미지마다 발견한 정보를 공개합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다. AuditIfNotExists, 사용 안 함 2.0.1
배포 - Azure Security Center 경고에 대한 비표시 규칙 구성 관리 그룹 또는 구독에 대한 비표시 규칙을 배포하여 경고 피로를 줄이려면 Azure Security Center 경고를 표시하지 않습니다. deployIfNotExists 1.0.0
클라우드용 Microsoft Defender 데이터의 Event Hub로 내보내기 배포 클라우드용 Microsoft Defender 데이터의 Event Hub로 내보내기를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 대상 Event Hub를 사용하여 Event Hub 구성으로 내보내기를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. deployIfNotExists 4.1.0
클라우드용 Microsoft Defender 데이터의 Log Analytics 작업 영역으로 내보내기 배포 클라우드용 Microsoft Defender 데이터의 Log Analytics 작업 영역으로 내보내기를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 대상 작업 영역을 사용하여 Log Analytics 작업 영역 구성으로 내보내기를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. deployIfNotExists 4.1.0
Microsoft Defender for Cloud 경고에 대한 워크플로 자동화 배포 클라우드용 Microsoft Defender 경고의 자동화를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 트리거와 함께 워크플로 자동화를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. deployIfNotExists 5.0.0
Microsoft Defender for Cloud 권장 사항에 대한 워크플로 자동화 배포 클라우드용 Microsoft Defender 권장 사항의 자동화를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 트리거와 함께 워크플로 자동화를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. deployIfNotExists 5.0.0
클라우드용 Microsoft Defender 규정 준수에 대한 워크플로 자동화 배포 클라우드용 Microsoft Defender 규정 준수의 자동화를 활성화합니다. 이 정책은 할당된 범위에서 조건 및 트리거와 함께 워크플로 자동화를 배포합니다. 새로 만든 구독에 이 정책을 배포하려면 규정 준수 탭을 열고, 관련 비규격 할당을 선택하고, 수정 작업을 만듭니다. deployIfNotExists 5.0.0
더 이상 사용되지 않는 계정은 구독에서 제거해야 합니다. 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. AuditIfNotExists, 사용 안 함 3.0.0
소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. AuditIfNotExists, 사용 안 함 3.0.0
심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. AuditIfNotExists, 사용 안 함 1.0.1
심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. AuditIfNotExists, 사용 안 함 2.0.0
구독에서 클라우드용 Microsoft Defender 사용 클라우드용 Microsoft Defender에서 모니터링하지 않는 기존 구독을 식별하고, 클라우드용 Defender의 무료 기능을 사용하여 보호합니다. 이미 모니터링한 구독은 규정을 준수하는 것으로 간주됩니다. 새로 만든 구독을 등록하려면 규정 준수 탭을 열고, 관련 비준수 할당을 선택하고, 수정 작업을 만듭니다. deployIfNotExists 1.0.1
Security Center가 사용자 지정 작업 영역을 사용하여 구독에서 Log Analytics 에이전트를 자동 프로비저닝하도록 합니다. Security Center에서 사용자 지정 작업 영역을 사용하여 보안 데이터를 모니터링하고 수집하기 위해 구독에 Log Analytics 에이전트를 자동 프로비저닝할 수 있습니다. DeployIfNotExists, 사용 안 함 1.0.0
Security Center가 기본 작업 영역을 사용하여 구독에서 Log Analytics 에이전트를 자동 프로비저닝하도록 합니다. Security Center에서 ASC 기본 작업 영역을 사용하여 보안 데이터를 모니터링하고 수집하기 위해 구독에 Log Analytics 에이전트를 자동 프로비저닝할 수 있습니다. DeployIfNotExists, 사용 안 함 1.0.0
머신에서 엔드포인트 보호 상태 문제를 해결해야 함 가상 머신의 엔드포인트 보호 상태 문제를 해결하여 최신 위협 및 취약성으로부터 보호합니다. Azure Security Center 지원 엔드포인트 보호 솔루션은 여기(https://docs.microsoft.com/azure/security-center/security-center-services?tabs=features-windows#supported-endpoint-protection-solutions)에 설명되어 있습니다. 엔드포인트 보호 평가는 여기(https://docs.microsoft.com/azure/security-center/security-center-endpoint-protection)에 설명되어 있습니다. AuditIfNotExists, 사용 안 함 1.0.0
머신에 Endpoint Protection을 설치해야 함 위협 및 취약성으로부터 머신을 보호하려면 지원되는 엔드포인트 보호 솔루션을 설치합니다. AuditIfNotExists, 사용 안 함 1.0.0
가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. 가상 머신 확장 집합에서 엔드포인트 보호 솔루션의 존재 및 상태를 감사하여 위협 및 취약성으로부터 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0
소유자 권한이 있는 외부 계정은 구독에서 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 합니다. 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
게스트 구성 확장을 머신에 설치해야 함 머신의 게스트 내 설정을 안전하게 구성하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 'Windows Exploit Guard를 사용하도록 설정해야 합니다'와 같은 게스트 내 정책을 사용할 수 있습니다. https://aka.ms/gcpol에서 자세히 알아보세요. AuditIfNotExists, 사용 안 함 1.0.2
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
Kubernetes Services를 취약하지 않은 Kubernetes 버전으로 업그레이드해야 함 현재 Kubernetes 버전의 알려진 취약성으로부터 보호하려면 Kubernetes 서비스 클러스터를 최신 Kubernetes 버전으로 업그레이드하세요. 취약성 CVE-2019-9946이 Kubernetes 버전 1.11.9+, 1.12.7+, 1.13.5+ 및 1.14.0+에서 패치되었습니다. 감사, 사용 안 함 1.0.2
Cloud Services(추가 지원) 역할 인스턴스에 Log Analytics 에이전트를 설치해야 함 Security Center는 Cloud Services(추가 지원) 역할 인스턴스에서 데이터를 수집하여 보안 취약성 및 위협을 모니터링합니다. AuditIfNotExists, 사용 안 함 2.0.0
Azure Security Center를 모니터링하려면 가상 머신에 Log Analytics 에이전트를 설치해야 함 이 정책은 Security Center가 보안 취약성 및 위협을 모니터링하는 데 사용할 Log Analytics 에이전트가 설치되어 있지 않은 경우 Windows/Linux VMs(Virtual Machines)를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure Security Center를 모니터링하려면 가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 함 Security Center는 Azure VMs(Virtual Machines)에서 데이터를 수집하여 보안 취약성 및 위협을 모니터링합니다. AuditIfNotExists, 사용 안 함 1.0.0
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
가상 머신에서 관리 포트를 닫아야 합니다. 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. AuditIfNotExists, 사용 안 함 3.0.0
구독에서 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 합니다. 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
구독에서 소유자 권한이 있는 계정에 MFA를 사용하도록 설정해야 합니다. 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
구독에서 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 합니다. 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 3.0.0
API용 Microsoft Defender를 사용하도록 설정해야 함 API용 Microsoft Defender는 일반적인 API 기반 공격 및 보안 구성 오류를 모니터링하기 위해 새로운 검색, 보호, 탐지 및 응답 범위를 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure Cosmos DB용 Microsoft Defender를 사용하도록 설정해야 함 Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다. Azure Cosmos DB용 Defender는 잠재적인 SQL 주입, Microsoft 위협 인텔리전스를 기반으로 하는 알려진 공격자, 의심스러운 액세스 패턴, 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스의 잠재적인 악용을 검색합니다. AuditIfNotExists, 사용 안 함 1.0.0
컨테이너용 Microsoft Defender를 사용하도록 설정해야 함 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0
보호되지 않는 Synapse 작업 영역에 대해 SQL용 Microsoft Defender를 사용하도록 설정해야 함 Synapse 작업 영역을 보호하려면 SQL용 Defender를 사용하도록 설정해야 합니다. SQL용 Defender는 Synapse SQL을 모니터링하여 비정상이고 잠재적으로 위험한 데이터베이스 액세스 또는 악용 시도를 암시하는 비정상적인 활동을 탐지합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure Security Center에서 누락된 Endpoint Protection 모니터링 Endpoint Protection 에이전트가 설치되어 있지 않은 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
Kubernetes Services에서 RBAC(역할 기반 액세스 제어)를 사용해야 함 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. 감사, 사용 안 함 1.0.2
컨테이너 이미지를 실행하면 취약성 결과가 해결되어야 함 컨테이너 이미지 취약성 평가는 Kubernetes 클러스터에서 실행되는 컨테이너 이미지에 보안 취약성이 있는지 검사하고 각 이미지에 대한 자세한 결과를 노출합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.1
Security Center 표준 가격 책정 계층을 선택해야 합니다. 표준 가격 책정 계층은 Azure Security Center에서 네트워크 및 가상 머신에 대한 위협을 탐지하고 위협 인텔리전스, 변칙 검색 및 동작 분석을 제공합니다. 감사, 사용 안 함 1.0.0
SQL 데이터베이스가 발견한 취약성을 해결해야 함 취약성 평가 검사 결과 및 데이터베이스 취약성을 해결하는 방법에 대한 권장 사항을 모니터링합니다. AuditIfNotExists, 사용 안 함 4.0.0
컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함 SQL 취약성 평가는 데이터베이스를 검사하여 보안 취약성을 찾아내고, 구성 오류, 과도한 권한, 보호되지 않는 중요한 데이터 등과 같이 모범 사례를 따르지 않는 부분을 공개합니다. 발견된 취약성을 해결하면 데이터베이스 보안 상태가 크게 향상될 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0
서브넷을 네트워크 보안 그룹과 연결해야 합니다. NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. AuditIfNotExists, 사용 안 함 3.0.0
구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. AuditIfNotExists, 사용 안 함 1.0.1
가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다. Windows 및 Linux 가상 머신 확장 집합의 보안 유지를 위해 설치해야 하는 시스템 보안 업데이트 및 중요 업데이트가 누락되었는지 감사합니다. AuditIfNotExists, 사용 안 함 3.0.0
시스템 업데이트를 머신에 설치해야 합니다. 서버의 누락된 보안 시스템 업데이트는 Azure Security Center에서 권장 사항으로 모니터링합니다. AuditIfNotExists, 사용 안 함 4.0.0
구독에 둘 이상의 소유자를 할당해야 합니다. 관리자 액세스 중복성을 유지하려면 둘 이상의 구독 소유자를 지정하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 3.0.0
가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 합니다. 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. 임시 디스크, 데이터 캐시 및 컴퓨팅과 스토리지 간에 이동하는 데이터는 암호화되지 않습니다. 다음과 같은 경우 이 권장 사항을 무시합니다. 1. 호스트에서 암호화를 사용하는 경우 또는 2. Managed Disks의 서버 쪽 암호화에서 보안 요구 사항을 충족하는 경우입니다. Azure Disk Storage: https://aka.ms/disksse, 다양한 디스크 암호화 제품: https://aka.ms/diskencryptioncomparison의 서버 쪽 암호화에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 2.0.3
가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. https://aka.ms/gcpol에서 자세히 알아보세요. AuditIfNotExists, 사용 안 함 1.0.1
컨테이너 보안 구성의 취약성을 수정해야 합니다. Docker가 설치된 머신에서 보안 구성의 취약성을 감사하고 Azure Security Center에서 권장 사항으로 표시합니다. AuditIfNotExists, 사용 안 함 3.0.0
머신 보안 구성의 취약성을 수정해야 합니다. 구성된 기준을 충족하지 않는 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. 가상 머신 확장 집합의 OS 취약성을 감사하여 공격으로부터 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0

다음 단계

이 문서에서는 클라우드용 Defender의 Azure Policy 보안 정책 정의에 대해 알아보았습니다. 이니셔티브, 정책 및 이러한 것들이 클라우드용 Defender의 권장 사항과 어떤 관련이 있는지 자세히 알아보려면 보안 정책, 이니셔티브 및 권장 사항이란?을 참조하세요.