Microsoft Cloud for Sovereignty Baseline 기밀 정책 규정 준수 기본 제공 이니셔티브에 대한 세부 정보
다음 문서에서는 Azure Policy 규정 준수 기본 제공 이니셔티브 정의가 Microsoft Cloud for Sovereignty Baseline 기밀 정책의 규정 준수 도메인 및 컨트롤에 매핑되는 방법을 자세히 설명합니다. 이 규정 준수 표준에 대한 자세한 내용은 Microsoft Cloud for Sovereignty Baseline 기밀 정책을 참조하세요. 소유권을 이해하려면 Azure Policy 정책 정의 및 클라우드의 공동 책임을 참조하세요.
다음 매핑은 Microsoft Cloud for Sovereignty Baseline 기밀 정책 컨트롤에 대한 것입니다. 여러 컨트롤이 Azure Policy 이니셔티브 정의를 사용하여 구현됩니다. 전체 이니셔티브 정의를 검토하려면 Azure Portal에서 정책을 열고 정의 페이지를 선택합니다. 그런 다음 [미리 보기]: 소버린 기준 - 기밀 정책 규정 준수 기본 제공 이니셔티브 정의를 찾아서 선택합니다.
Important
아래의 각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 컨트롤을 사용한 규정 준수 평가에 도움이 될 수 있지만, 컨트롤과 하나 이상의 정책 간에 일대일 또는 완벽한 일치 관계가 없는 경우도 많습니다. 따라서 Azure Policy의 규정 준수는 정책 정의 자체만 가리킬 뿐, 컨트롤의 모든 요구 사항을 완벽하게 준수한다는 것은 아닙니다. 또한 규정 준수 표준에는 현재 Azure Policy 정의에서 처리되지 않은 컨트롤이 포함되어 있습니다. 따라서 Azure Policy의 규정 준수는 전반적인 규정 준수 상태를 부분적으로 표시할 뿐입니다. 이 규정 준수 표준에 대한 규정 준수 도메인, 컨트롤, Azure Policy 정의 간의 연결은 시간이 지나면 변경될 수 있습니다. 변경 기록을 보려면 GitHub 커밋 기록을 참조하세요.
SO.1 - 데이터 보존
Azure 제품은 승인된 지역을 사용하도록 배포하고 구성해야 합니다.
ID: MCfS Sovereignty Baseline SO.1 소유권: 공유
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 허용되는 위치 | 이 정책을 사용하면 조직에서 리소스를 배포할 때 지정할 수 있는 위치를 제한할 수 있습니다. 지역 규정 준수 요구 사항을 적용하는 데 사용합니다. 리소스 그룹, Microsoft.AzureActiveDirectory/b2cDirectories 및 '글로벌' 지역을 사용하는 리소스를 제외합니다. | deny | 1.0.0 |
| 리소스 그룹에 허용된 위치 | 이 정책을 통해 조직에서 리소스 그룹을 만들 수 있는 위치를 제한할 수 있습니다. 지역 규정 준수 요구 사항을 적용하는 데 사용합니다. | deny | 1.0.0 |
| Azure Cosmos DB 허용되는 위치 | 이 정책을 사용하면 Azure Cosmos DB 조직에서 리소스를 배포할 때 지정할 수 있는 위치를 제한할 수 있습니다. 지역 규정 준수 요구 사항을 적용하는 데 사용합니다. | [parameters('policyEffect')] | 1.1.0 |
SO.3 - 고객 관리형 키
가능한 경우 고객 관리형 키를 사용하도록 Azure 제품을 구성해야 합니다.
ID: MCfS Sovereignty Baseline SO.3 소유권: 공유
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure Recovery Services 자격 증명 모음에서는 백업 데이터를 암호화하는 데 고객 관리형 키를 사용해야 합니다. | 고객 관리형 키를 사용하여 백업 데이터의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/AB-CmkEncryption에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| Azure Kubernetes Service 클러스터의 운영 체제와 데이터 디스크를 모두 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 OS 및 데이터 디스크를 암호화하면 키 관리를 더 효율적으로 제어하고 더 유연하게 수행할 수 있습니다. 이는 다양한 규정 및 업계 규정 준수 표준의 공통 요구 사항입니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| HPC Cache 계정은 암호화에 고객 관리형 키를 사용해야 함 | 고객 관리형 키를 사용하여 Azure HPC Cache의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. | 감사, 사용 안 함, 거부 | 2.0.0 |
| 관리 디스크는 플랫폼 관리형 및 고객 관리형 키를 둘 다 사용하여 이중 암호화해야 함 | 특정 암호화 알고리즘, 구현 또는 손상되는 키와 연결된 위험에 관해 우려하는 높은 수준의 보안을 중요시하는 고객은 플랫폼 관리형 암호화 키를 사용하는 인프라 계층에서 다른 암호화 알고리즘/모드를 사용하는 추가적인 암호화 계층을 선택할 수 있습니다. 이중 암호화를 사용하려면 디스크 암호화 집합이 필요합니다. https://aka.ms/disks-doubleEncryption에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| MySQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 MySQL 서버의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
| PostgreSQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 PostgreSQL 서버의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
| Queue Storage는 암호화를 위해 고객 관리 키를 사용해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 큐 스토리지를 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통한 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통해 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. | 감사, 거부, 사용 안 함 | 2.0.1 |
| 스토리지 계정 암호화 범위에서 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 스토리지 계정 암호화 범위의 미사용 데이터 암호화를 관리합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure 키 자격 증명 모음 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/encryption-scopes-overview에서 스토리지 계정 암호화 범위에 대해 자세히 알아봅니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 Blob 및 파일 스토리지 계정을 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 사용 안 함 | 1.0.3 |
| Table Storage는 암호화를 위해 고객 관리 키를 사용해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 테이블 스토리지를 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
SO.4 - Azure 기밀 컴퓨팅
가능한 경우 Azure 기밀 컴퓨팅 SKU를 사용하도록 Azure 제품을 구성해야 합니다.
ID: MCfS Sovereignty Baseline SO.4 소유권: 공유
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 허용되는 리소스 유형 | 이 정책을 사용하면 조직에서 배포할 수 있는 리소스 유형을 지정할 수 있습니다. '태그' 및 '위치'를 지원하는 리소스 유형만 이 정책의 영향을 받습니다. 모든 리소스를 제한하려면 이 정책을 복제하고 '모드'를 '모두'로 변경하세요. | deny | 1.0.0 |
| 허용된 가상 머신 크기 SKU | 이 정책을 통해 조직에서 배포할 수 있는 가상 머신 크기 SKU 세트를 지정할 수 있습니다. | 거부 | 1.0.1 |
다음 단계
Azure Policy에 대한 추가 문서:
- 규정 준수 개요
- 이니셔티브 정의 구조를 참조합니다.
- Azure Policy 샘플의 다른 예제를 검토합니다.
- 정책 효과 이해를 검토합니다.
- 규정 비준수 리소스를 수정하는 방법을 알아봅니다.