보안 서비스인 AKS(Azure Kubernetes Service)는 SOC, ISO, PCI DSS 및 HIPAA 표준을 준수합니다. 이 문서에서는 AKS에서 사용하는 Windows 이미지에 적용되는 보안 OS 구성을 설명합니다. 이 보안 구성은 CIS 벤치마크와 일치하는 Azure X 보안 기준을 기반으로 합니다. AKS 보안에 대한 자세한 내용은 'AKS(Azure Kubernetes Service)의 애플리케이션 및 클러스터에 대한 보안 개념'을 참조하세요. AKS 보안에 대한 자세한 내용은 AKS(Azure Kubernetes Service)의 애플리케이션 및 클러스터에 대한 보안 개념을 참조하세요. CIS 벤치마크에 대한 자세한 내용은 CIS(인터넷 보안 센터) 벤치마크를 참조하세요. Windows용 Azure 보안 기준에 대한 자세한 내용은 Windows 보안 기준을 참조하세요.
Windows Server 2022
AKS 클러스터는 기본 제공 보안 구성으로 운영 체제를 실행하는 호스트 가상 머신에 배포됩니다. 이 운영 체제는 AKS에서 실행되는 컨테이너에 사용됩니다. 이 호스트 운영 체제는 보안 구성이 적용된 Windows Server 2022 이미지를 기반으로 합니다.
보안에 최적화된 운영 체제의 일부로 다음과 같습니다.
- AKS는 기본적으로 보안 최적화 호스트 OS를 제공하지만 대체 운영 체제를 선택할 수 있는 옵션은 없습니다.
- 보안 최적화 호스트 OS는 AKS용으로 특별히 빌드 및 유지 관리되며 AKS 플랫폼 외부에서는 지원 되지 않습니다 .
- 공격 노출 영역을 줄이기 위해 일부 불필요한 커널 모듈 드라이버가 OS에서 사용하지 않도록 설정되었습니다.
참고 항목
CIS 벤치마크와 관련 없이 Azure는 보안 패치를 포함한 일별 패치를 AKS 가상 머신 호스트에 적용합니다.
호스트 OS에 기본 제공된 보안 구성의 목표는 공격 노출 영역을 줄이고 안전한 방식으로 컨테이너 배포를 최적화하는 것입니다.
다음은 CIS Azure Compute Microsoft Windows Server 2022 벤치마크 v1.0.0 - 01-26-2023 권장 사항의 결과입니다.
권장 사항에는 다음 이유 중 하나가 있을 수 있습니다.
- 잠재적인 작업 영향 - 권장 사항이 서비스에 부정적인 영향을 미치기 때문에 적용되지 않았습니다.
- 다른 곳에서 설명 - 권장 사항은 Azure 클라우드 컴퓨팅의 다른 컨트롤에서 다룹니다.
다음은 구현된 CIS 규칙입니다.
CIS 단락 번호 | 권장 사항 설명 | 상태 | 원인 |
---|---|---|---|
1.1.1 | '암호 기록 적용'이 '24개 이상 암호'로 설정되어 있는지 확인합니다. | 실패 | |
1.1.2 | '최대 암호 사용 기간'이 '365일 이하, 0은 아님'으로 설정되어 있는지 확인합니다. | 통과 | |
1.1.3 | '최소 암호 사용 기간'이 '1일 이상'으로 설정되어 있는지 확인합니다. | 실패 | |
1.1.4 | '최소 암호 길이'가 '14자 이상'으로 설정되어 있는지 확인합니다. | 실패 | |
1.1.5 | '암호는 복잡성 요구 사항을 충족해야 함'이 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
1.1.6 | '되돌릴 수 있는 암호화를 사용하여 암호 저장'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
2.2.1 | '신뢰할 수 있는 호출자로 자격 증명 관리자 액세스'가 '아무도 없음'으로 설정되어 있는지 확인합니다. | 통과 | |
2.2.2 | '네트워크에서 이 컴퓨터에 액세스'가 '관리자, 인증된 사용자, 엔터프라이즈 도메인 컨트롤러'로 설정되어 있는지 확인합니다(DC만 해당). | 실패 | |
2.2.4 | '운영 체제의 일부로 작동'이 '아무도 없음'으로 설정되어 있는지 확인합니다. | 통과 | |
2.2.5 | '도메인에 워크스테이션 추가'가 '관리자'로 설정되어 있는지 확인합니다(DC만 해당) | 해당 없음 | |
2.2.6 | '프로세스에 대한 메모리 할당량 조정'이 '관리자, 로컬 서비스, 네트워크 서비스'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.7 | '로컬로 로그온 허용'이 '관리자'로 설정되어 있는지 확인합니다. | 실패 | |
2.2.8 | '원격 데스크톱 서비스를 통한 로그온 허용'이 '관리자'로 설정되어 있는지 확인합니다(DC만 해당). | 통과 | |
2.2.10 | '파일 및 디렉터리 백업'이 '관리자, 백업 운영자'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.11 | '시스템 시간 변경'이 '관리자, 로컬 서비스'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.12 | '표준 시간대 변경'이 '관리자, 로컬 서비스'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.13 | '페이지 파일 만들기'가 '관리자'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.14 | '토큰 개체 만들기'가 '아무도 없음'으로 설정되어 있는지 확인합니다. | 통과 | |
2.2.15 | '전역 개체 만들기'가 '관리자, 로컬 서비스, 네트워크 서비스, 서비스'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.16 | '영구 공유 개체 만들기'가 '아무도 없음'으로 설정되어 있는지 확인합니다. | 통과 | |
2.2.17 | '바로 가기 링크 만들기'가 '관리자'로 설정되어 있는지 확인합니다(DC만 해당) | 통과 | |
2.2.19 | '프로그램 디버그'가 '관리자'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.20 | '게스트'를 포함하려면 '네트워크에서 이 컴퓨터 액세스 거부'를 확인합니다. | 실패 | |
2.2.21 | '게스트'를 포함하려면 '일괄 작업으로 로그온 거부'를 확인합니다. | 실패 | |
2.2.22 | '게스트'를 포함하려면 '서비스로 로그온 거부'를 확인합니다. | 실패 | |
2.2.23 | '게스트'를 포함하려면 '로컬로 로그온 거부'를 확인합니다. | 실패 | |
2.2.24 | '게스트'를 포함하려면 '원격 데스크톱 서비스를 통한 로그온 거부'를 확인합니다. | 실패 | |
2.2.25 | '위임에 신뢰할 수 있는 컴퓨터 및 사용자 계정 사용'이 '관리자'로 설정되어 있는지 확인합니다(DC만 해당). | 통과 | |
2.2.27 | '원격 시스템에서 강제 종료'가 '관리자'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.28 | '보안 감사 생성'이 '로컬 서비스, 네트워크 서비스'로 설정되어 있는지 확인합니다. | 해당 없음 | |
2.2.29 | '인증 후 클라이언트 가장'이 '관리자, 로컬 서비스, 네트워크 서비스, 서비스'로 설정되어 있는지 확인합니다(DC만 해당). | 통과 | |
2.2.31 | '일정 우선 순위 증가'가 '관리자'로 설정되어 있는지 확인합니다. | 실패 | |
2.2.32 | '디바이스 드라이버 로드 및 언로드'가 '관리자'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.33 | '메모리에서 페이지 잠금'이 '아무도 없음'으로 설정되어 있는지 확인합니다. | 통과 | |
2.2.34 | '감사 및 보안 로그 관리'가 '관리자' 및 'Exchange Server'(Exchange가 해당 환경에서 실행 중인 경우)로 설정되어 있는지 확인합니다(DC만 해당). | 통과 | |
2.2.36 | '개체 레이블 수정'이 '아무도 없음'으로 설정되어 있는지 확인합니다. | 통과 | |
2.2.37 | '펌웨어 환경 값 수정'이 '관리자'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.38 | '볼륨 유지 관리 작업 수행'이 '관리자'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.39 | '단일 프로세스 프로파일링'이 '관리자'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.40 | '시스템 성능 프로파일링'이 '관리자, NT SERVICE\WdiServiceHost'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.41 | '프로세스 수준 토큰 바꾸기'가 '로컬 서비스, 네트워크 서비스'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.42 | '파일 및 디렉터리 복원'이 '관리자, 백업 운영자'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.43 | '시스템 종료'가 '관리자, 백업 운영자'로 설정되어 있는지 확인합니다. | 통과 | |
2.2.44 | '디렉터리 서비스 데이터 동기화'가 '아무도 없음'으로 설정되어 있는지 확인합니다(DC만 해당). | 해당 없음 | |
2.2.45 | '파일 또는 다른 개체의 소유권 가져오기'가 '관리자'로 설정되어 있는지 확인합니다. | 통과 | |
2.3.1.1 | '계정: Microsoft 계정 차단'이 '사용자가 Microsoft 계정으로 추가하거나 로그온할 수 없음'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.1.3 | '계정: 빈 암호의 로컬 계정 사용을 콘솔 로그온으로만 제한'이 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.1.4 | '계정: 관리자 계정 이름 바꾸기'를 구성합니다. | 통과 | |
2.3.1.5 | '계정: 게스트 계정 이름 바꾸기'를 구성합니다. | 통과 | |
2.3.2.1 | '감사: 감사 정책 하위 범주 설정(Windows Vista 이상)을 적용하여 감사 정책 범주 설정 재정의'가 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.2.2 | '감사: 보안 감사를 로그할 수 없는 경우 즉시 시스템 종료'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.4.1 | '디바이스: 이동식 미디어 포맷 및 꺼내기 허용'이 '관리자'로 설정되어 있는지 확인합니다. | 통과 | |
2.3.4.2 | '디바이스: 사용자가 프린터 드라이버를 설치하지 못하도록 방지'가 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.5.1 | '도메인 컨트롤러: 서버 운영자가 작업을 예약할 수 있도록 허용'이 '사용 안 함'으로 설정되어 있는지 확인합니다(DC만 해당). | 해당 없음 | |
2.3.5.2 | '도메인 컨트롤러: 취약한 Netlogon 보안 채널 연결 허용'이 '구성되지 않음'으로 설정되어 있는지 확인합니다(DC만 해당). | 해당 없음 | |
2.3.5.3 | '도메인 컨트롤러: LDAP 서버 채널 바인딩 토큰 요구 사항'이 '항상'으로 설정되어 있는지 확인합니다(DC만 해당). | 해당 없음 | |
2.3.5.4 | '도메인 컨트롤러: LDAP 서버 서명 요구 사항'이 '서명 필요'로 설정되어 있는지 확인합니다(DC만 해당). | 해당 없음 | |
2.3.5.5 | '도메인 컨트롤러: 컴퓨터 계정 암호 변경 거부'가 '사용 안 함'으로 설정되어 있는지 확인합니다(DC만 해당). | 해당 없음 | |
2.3.6.1 | '도메인 구성원: 보안 채널 데이터를 디지털 암호화 또는 서명(항상)'이 '사용'으로 설정되어 있는지 확인함 | 통과 | |
2.3.6.2 | '도메인 구성원: 보안 채널 데이터를 디지털 암호화(가능한 경우)'가 '사용'으로 설정되어 있는지 확인함 | 통과 | |
2.3.6.3 | '도메인 구성원: 보안 채널 데이터 디지털 서명(가능한 경우)'이 '사용'으로 설정되어 있는지 확인함 | 통과 | |
2.3.6.4 | '도메인 구성원: 컴퓨터 계정 암호 변경 사항 사용 안 함'이 '사용 안 함'으로 설정되어 있는지 확인함 | 통과 | |
2.3.6.5 | '도메인 구성원: 컴퓨터 계정 암호의 최대 사용 기간'이 '30일 이하이지만 0이 아님'으로 설정되어 있는지 확인함 | 통과 | |
2.3.7.1 | '대화형 로그온: 컴퓨터 비활성 제한'이 '900초 이하, 0은 아님'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.7.2 | '대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 텍스트'를 구성합니다. | 실패 | |
2.3.7.3 | '대화형 로그온: 로그온을 시도하는 사용자에 대한 메시지 제목'을 구성합니다. | 실패 | |
2.3.7.4 | '대화형 로그온: 사용자에게 만료되기 전에 암호를 변경하라는 메시지 표시'가 '5~14일'로 설정되어 있는지 확인합니다. | 통과 | |
2.3.8.1 | 'Microsoft 네트워크 클라이언트: 디지털 서명 통신(항상)'이 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
2.3.8.2 | 'Microsoft 네트워크 클라이언트: 디지털 서명 통신(서버에서 동의하는 경우)'이 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.8.3 | 'Microsoft 네트워크 클라이언트: 암호화되지 않은 암호를 타사 SMB 서버로 보내기'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.9.1 | 'Microsoft 네트워크 서버: 세션을 일시 중단하기 전에 필요한 유휴 시간'이 '15분 이하'로 설정되어 있는지 확인합니다. | 통과 | |
2.3.9.2 | 'Microsoft 네트워크 서버: 디지털 서명 통신(항상)'이 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
2.3.9.3 | 'Microsoft 네트워크 서버: 디지털 서명 통신(클라이언트에서 동의하는 경우)'이 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
2.3.9.4 | 'Microsoft 네트워크 서버: 로그온 시간이 만료되면 클라이언트 연결 끊기'가 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.10.1 | '네트워크 액세스: 익명 SID/이름 변환 허용'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.10.4 | '네트워크 액세스: 익명 사용자에게 모든 사람 권한 적용 허용'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.10.5 | '네트워크 액세스: 익명으로 액세스할 수 있는 명명된 파이프'를 구성합니다(DC만 해당). | 통과 | |
2.3.10.7 | '네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로'가 구성됨을 구성합니다. | 통과 | |
2.3.10.8 | '네트워크 액세스: 원격으로 액세스할 수 있는 레지스트리 경로 및 하위 경로'가 구성됨을 구성합니다. | 통과 | |
2.3.10.9 | '네트워크 액세스: 명명된 파이프 및 공유에 대한 익명 액세스 제한'이 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.10.11 | '네트워크 액세스: 익명으로 액세스할 수 있는 공유'가 '없음'으로 설정되어 있는지 확인합니다. | 해당 없음 | |
2.3.10.12 | '네트워크 액세스: 로컬 계정에 대한 공유 및 보안 모델'이 '클래식 - 로컬 사용자가 스스로 인증'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.11.1 | '네트워크 보안: 로컬 시스템에서 컴퓨터 ID를 NTLM에 사용하도록 허용'이 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
2.3.11.2 | '네트워크 보안: LocalSystem NULL 세션 대체 허용'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.11.3 | '네트워크 보안: 온라인 ID를 사용할 수 있도록 이 컴퓨터에 대한 PKU2U 인증 요청 허용'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.11.4 | '네트워크 보안: Kerberos에 허용되는 암호화 유형 구성'이 'AES128_HMAC_SHA1, AES256_HMAC_SHA1, 향후 암호화 유형'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.11.5 | '네트워크 보안: 다음 암호 변경 시 LAN Manager 해시 값을 저장하지 않음'이 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.11.6 | '네트워크 보안: LAN Manager 인증 수준'이 'NTLMv2 응답만 보내기, LM 및 NTLM 거부'로 설정되어 있는지 확인합니다. | 실패 | |
2.3.11.7 | '네트워크 보안: LDAP 클라이언트 서명 요구 사항'이 '서명 협상' 이상으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.11.8 | '네트워크 보안: NTLM SSP 기반(보안 RPC 포함) 클라이언트에 대한 최소 세션 보안'이 'NTLMv2 세션 보안 필요, 128비트 암호화 필요'로 설정되어 있는지 확인합니다. | 실패 | |
2.3.11.9 | '네트워크 보안: NTLM SSP 기반(보안 RPC 포함) 서버에 대한 최소 세션 보안'이 'NTLMv2 세션 보안 필요, 128비트 암호화 필요'로 설정되어 있는지 확인합니다. | 실패 | |
2.3.13.1 | '종료: 로그온하지 않고 시스템 종료 허용'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.15.1 | '시스템 개체: 비 Windows 하위 시스템에 대한 대/소문자 구분 필요'가 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.15.2 | '시스템 개체: 내부 시스템 개체(예: 바로 가기 링크)의 기본 권한 강화'가 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.17.1 | '사용자 계정 컨트롤: 기본 제공 관리자 계정에 대한 관리자 승인 모드'가 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
2.3.17.2 | '사용자 계정 컨트롤: 관리자 승인 모드에서 관리자에 대한 권한 상승 확인 방법'이 '보안 데스크톱에서 동의 확인'으로 설정되어 있는지 확인합니다. | 실패 | |
2.3.17.3 | '사용자 계정 컨트롤: 표준 사용자에 대한 권한 상승 확인 방법'이 '승격 요청 자동 거부'로 설정되어 있는지 확인합니다. | 실패 | |
2.3.17.4 | '사용자 계정 컨트롤: 애플리케이션을 설치할 때 권한 상승 확인'이 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.17.5 | '사용자 계정 컨트롤: 보안 위치에 설치된 UIAccess 애플리케이션만 권한 상승'이 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.17.6 | '사용자 계정 컨트롤: 관리자 승인 모드에서 모든 관리자 실행'이 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.17.7 | '사용자 계정 컨트롤: 권한 상승 요청 시 보안 데스크톱으로 전환'이 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
2.3.17.8 | '사용자 계정 컨트롤: 사용자별 위치로 파일 및 레지스트리 쓰기 오류를 가상화'가 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
5.1 | '인쇄 스풀러(스풀러)'가 '사용 안 함'으로 설정되어 있는지 확인합니다(DC만 해당). | 해당 없음 | |
9.1.1 | 'Windows 방화벽: 도메인: 방화벽 상태'가 '켜기(권장)'로 설정되어 있는지 확인합니다. | 실패 | |
9.1.2 | 'Windows 방화벽: 도메인: 인바운드 연결'이 '차단(기본값)'으로 설정되어 있는지 확인합니다. | 통과 | |
9.1.3 | 'Windows 방화벽: 도메인: 아웃바운드 연결'이 '허용(기본값)'으로 설정되어 있는지 확인합니다. | 통과 | |
9.1.4 | 'Windows 방화벽: 도메인: 로깅: 이름'이 '%SystemRoot%\System32\logfiles\firewall\domainfw.log'로 설정되어 있는지 확인합니다. | 통과 | |
9.1.5 | 'Windows 방화벽: 도메인: 로깅: 크기 제한(KB)'이 '16,384KB 이상'으로 설정되어 있는지 확인합니다. | 통과 | |
9.1.6 | 'Windows 방화벽: 도메인: 로깅: 손실된 패킷 로그에 기록'이 '예'로 설정되어 있는지 확인합니다. | 통과 | |
9.1.7 | 'Windows 방화벽: 도메인: 로깅: 성공적인 연결 로그에 기록'이 '예'로 설정되어 있는지 확인합니다. | 실패 | |
9.2.1 | 'Windows 방화벽: 프라이빗: 방화벽 상태'가 '켜기(권장)'로 설정되어 있는지 확인합니다. | 실패 | |
9.2.2 | 'Windows 방화벽: 프라이빗: 인바운드 연결'이 '차단(기본값)'으로 설정되어 있는지 확인합니다. | 통과 | |
9.2.3 | 'Windows 방화벽: 프라이빗: 아웃바운드 연결'이 '허용(기본값)'으로 설정되어 있는지 확인합니다. | 실패 | |
9.2.4 | 'Windows 방화벽: 프라이빗: 로깅: 이름'이 '%SystemRoot%\System32\logfiles\firewall\privatefw.log'로 설정되어 있는지 확인합니다. | 통과 | |
9.2.5 | 'Windows 방화벽: 프라이빗: 로깅: 크기 제한(KB)'이 '16,384KB 이상'으로 설정되어 있는지 확인합니다. | 통과 | |
9.2.6 | 'Windows 방화벽: 프라이빗: 로깅: 손실된 패킷 로그에 기록'이 '예'로 설정되어 있는지 확인합니다. | 통과 | |
9.2.7 | 'Windows 방화벽: 프라이빗: 로깅: 성공적인 연결 로그에 기록'이 '예'로 설정되어 있는지 확인합니다. | 통과 | |
9.3.1 | 'Windows 방화벽: 퍼블릭: 방화벽 상태'가 '켜기(권장)'로 설정되어 있는지 확인합니다. | 실패 | |
9.3.2 | 'Windows 방화벽: 퍼블릭: 인바운드 연결'이 '차단(기본값)'으로 설정되어 있는지 확인합니다. | 통과 | |
9.3.3 | 'Windows 방화벽: 퍼블릭: 아웃바운드 연결'이 '허용(기본값)'으로 설정되어 있는지 확인합니다. | 실패 | |
9.3.4 | 'Windows 방화벽: 퍼블릭: 로깅: 이름'이 '%SystemRoot%\System32\logfiles\firewall\publicfw.log'로 설정되어 있는지 확인합니다. | 통과 | |
9.3.5 | 'Windows 방화벽: 퍼블릭: 로깅: 크기 제한(KB)'이 '16,384KB 이상'으로 설정되어 있는지 확인합니다. | 실패 | |
9.3.6 | 'Windows 방화벽: 퍼블릭: 로깅: 손실된 패킷 로그에 기록'이 '예'로 설정되어 있는지 확인합니다. | 통과 | |
9.3.7 | 'Windows 방화벽: 퍼블릭: 로깅: 성공적인 연결 로그에 기록'이 '예'로 설정되어 있는지 확인합니다. | 통과 | |
17.1.1 | '자격 증명 유효성 검사 감사'가 '성공 및 실패'로 설정되어 있는지 확인합니다. | 통과 | |
17.1.2 | 'Kerberos 인증 서비스 감사'가 '성공 및 실패'로 설정되어 있는지 확인합니다(DC만 해당). | 통과 | |
17.2.1 | '컴퓨터 계정 관리 감사'가 '성공 및 실패'를 포함하도록 설정되어 있는지 확인합니다(DC만 해당). | 통과 | |
17.2.2 | '배포 목록 관리 감사'가 '성공 및 실패'를 포함하도록 설정되어 있는지 확인합니다(DC만 해당). | 통과 | |
17.2.3 | '기타 계정 관리 이벤트 감사'가 '성공'을 포함하도록 설정되어 있는지 확인합니다(DC만 해당). | 통과 | |
17.2.4 | '보안 그룹 관리 감사'가 '성공'을 포함하도록 설정되어 있는지 확인합니다. | 통과 | |
17.2.5 | '사용자 계정 관리 감사'가 '성공 및 실패'로 설정되어 있는지 확인합니다. | 통과 | |
17.3.1 | 'PNP 작업 감사'가 '성공'을 포함하도록 설정되어 있는지 확인합니다. | 통과 | |
17.3.2 | '프로세스 만들기 감사'가 '성공'을 포함하도록 설정되어 있는지 확인합니다. | 통과 | |
17.5.1 | '계정 잠금 감사'가 '성공 및 실패'를 포함하도록 설정되어 있는지 확인합니다. | 통과 | |
17.5.2 | '감사 그룹 구성원'이 '성공'을 포함하도록 설정되어 있는지 확인합니다. | 통과 | |
17.5.3 | '로그오프 감사가 '성공'을 포함하도록 설정되어 있는지 확인합니다. | 통과 | |
17.5.4 | '로그온 감사'가 '성공 및 실패'로 설정되어 있는지 확인합니다. | 통과 | |
17.5.5 | '기타 로그온/로그오프 이벤트 감사'가 '성공 및 실패'로 설정되어 있는지 확인합니다. | 통과 | |
17.5.6 | '특수 로그온 감사'가 '성공'을 포함하도록 설정되어 있는지 확인합니다. | 통과 | |
17.6.1 | '기타 개체 액세스 이벤트 감사'가 '성공 및 실패'로 설정되어 있는지 확인합니다. | 실패 | |
17.6.2 | '이동식 스토리지 감사'가 '성공 및 실패'로 설정되어 있는지 확인합니다. | 실패 | |
17.7.1 | '감사 정책 변경 감사'가 '성공'을 포함하도록 설정되어 있는지 확인합니다. | 통과 | |
17.7.2 | '인증 정책 변경 감사'가 '성공'을 포함하도록 설정되어 있는지 확인합니다. | 통과 | |
17.7.3 | 'MPSSVC 규칙 수준 정책 변경 감사'가 '성공 및 실패'로 설정되어 있는지 확인합니다. | 실패 | |
17.8.1 | '중요한 권한 사용 감사'가 '성공 및 실패'로 설정되어 있는지 확인합니다. | 통과 | |
17.9.1 | '보안 상태 변경 감사'가 '성공'을 포함하도록 설정되어 있는지 확인합니다. | 실패 | |
17.9.2 | '보안 시스템 확장 감사'가 '성공'을 포함하도록 설정되어 있는지 확인합니다. | 통과 | |
17.9.3 | '시스템 무결성 감사'가 '성공 및 실패'로 설정되어 있는지 확인합니다. | 통과 | |
18.1.2.2 | '사용자가 온라인 음성 인식 서비스를 사용하도록 허용'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 실패 | |
18.3.1 | 'SMB v1 클라이언트 드라이버 구성'이 '사용: 드라이버 사용 안 힘(권장)'으로 설정되어 있는지 확인합니다. | 통과 | |
18.3.2 | 'SMB v1 서버 구성'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.3.3 | 'SEHOP(구조적 예외 처리 덮어쓰기 방지) 사용'이 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
18.3.4 | 'NetBT NodeType 구성'이 '사용: P-노드(권장)'로 설정되어 있는지 확인합니다. | 통과 | |
18.3.5 | 'WDigest 인증'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.4.1 | 'MSS: (DisableIPSourceRouting IPv6) IP 원본 라우팅 보호 수준(패킷 스푸핑으로부터 보호)'이 '사용: 가장 높은 보호, 원본 라우팅 완전히 사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.4.2 | 'MSS: (DisableIPSourceRouting) IP 원본 라우팅 보호 수준(패킷 스푸핑으로부터 보호)'이 '사용: 가장 높은 보호, 원본 라우팅 완전히 사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.4.3 | 'MSS: (EnableICMPRedirect) OSPF 생성 경로를 재정의할 수 있도록 ICMP 리디렉션 허용'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 실패 | |
18.4.4 | 'MSS: (NoNameReleaseOnDemand) 컴퓨터에서 WINS 서버를 제외한 NetBIOS 이름 해제 요청을 무시하도록 허용'이 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
18.5.4.1 | '멀티캐스트 이름 확인 해제'가 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.5.8.1 | '안전하지 않은 게스트 로그온 사용'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 실패 | |
18.5.11.2 | 'DNS 도메인 네트워크에서 네트워크 브리지 설치 및 구성 금지'가 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.5.11.3 | 'DNS 도메인 네트워크에서 인터넷 연결 공유 사용 금지'가 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.5.14.1 | '강화된 UNC 경로'가 '모든 NETLOGON 및 SYSVOL 공유에 대해 "상호 인증 필요" 및 "무결성 필요"가 설정된 상태에서 사용'으로 설정되어 있는지 확인합니다. | 통과 | |
18.5.21.1 | '인터넷 또는 Windows 도메인에 대한 동시 연결 수 최소화'가 '사용: 1 = 동시 연결 최소화'로 설정되어 있는지 확인합니다. | 통과 | |
18.8.3.1 | '프로세스 만들기 이벤트에 명령줄 포함'이 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.8.4.1 | '암호화 Oracle 수정'이 '사용: 업데이트된 클라이언트 적용'으로 설정되어 있는지 확인합니다. | 통과 | |
18.8.4.2 | '원격 호스트에서 내보낼 수 없는 자격 증명의 위임을 허용합니다'가 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
18.8.14.1 | '부팅 시작 드라이버 초기화 정책'이 '사용: 양호, 알 수 없음 및 잘못되었지만 위험'으로 설정되어 있는지 확인합니다. | 통과 | |
18.8.21.2 | '레지스트리 정책 처리 구성: 정기적인 백그라운드 작업을 처리하는 동안 적용 안 함'이 '사용: FALSE'로 설정되어 있는지 확인함 | 통과 | |
18.8.21.3 | '레지스트리 정책 처리 구성: 변경되지 않아도 그룹 정책 개체 처리'가 '사용: TRUE'로 설정되어 있는지 확인함 | 통과 | |
18.8.21.4 | '이 디바이스에서 계속 실행'이 '사용 안 함'으로 설정되었는지 확인 | 통과 | |
18.8.21.5 | '그룹 정책 백그라운드 새로 고침 끄기'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.8.22.1.1 | 'HTTP를 통한 인쇄 드라이버 다운로드 끄기'가 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.8.28.1 | '사용자가 로그인 시 계정 세부 정보를 표시하지 않도록 차단'이 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.8.28.2 | '네트워크 선택 UI 표시 안 함'이 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.8.36.1 | '원격 지원 제공 구성'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.8.36.2 | '요청된 원격 지원 구성'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 실패 | |
18.8.40.1 | '인증 중 ROCA에 취약한 WHfB 키의 유효성 검사 구성'이 '사용: 감사' 이상으로 설정되어 있는지 확인합니다(DC만 해당). | 해당 없음 | |
18.9.6.1 | 'Microsoft 계정을 선택 사항으로 허용'이 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.9.14.1 | '클라우드 소비자 계정 상태 콘텐츠 끄기'가 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.14.2 | 'Microsoft 소비자 환경 끄기'가 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.16.1 | '암호 표시 단추 표시 안 함'이 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.9.16.2 | '관리자 권한 상승 시 관리자 계정 열거'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.17.1 | '진단 데이터 허용'이 '사용: 필수 진단 데이터 보내기'로 설정되어 있는지 확인합니다. | 실패 | |
18.9.27.1.1 | '애플리케이션: 로그 파일이 최대 크기에 도달할 때 이벤트 로그 동작 제어'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.27.1.2 | '애플리케이션: 최대 로그 파일 크기(KB) 지정'이 '사용: 32,768 이상'으로 설정되어 있는지 확인합니다. | 실패 | |
18.9.27.2.1 | '보안: 로그 파일이 최대 크기에 도달할 때 이벤트 로그 동작 제어'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.27.2.2 | '보안: 최대 로그 파일 크기(KB) 지정'이 '사용: 196,608 이상'으로 설정되어 있는지 확인합니다. | 실패 | |
18.9.27.3.1 | '설정: 로그 파일이 최대 크기에 도달할 때 이벤트 로그 동작 제어'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.27.3.2 | '설정: 최대 로그 파일 크기(KB) 지정'이 '사용: 32,768 이상'으로 설정되어 있는지 확인합니다. | 실패 | |
18.9.27.4.1 | '시스템: 로그 파일이 최대 크기에 도달할 때 이벤트 로그 동작 제어'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.27.4.2 | '시스템: 최대 로그 파일 크기(KB) 지정'이 '사용: 32,768 이상'으로 설정되어 있는지 확인합니다. | 실패 | |
18.9.31.2 | '탐색기에 대한 데이터 실행 방지 해제'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.31.3 | '손상 시 힙 종료 끄기'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.31.4 | '셸 프로토콜 보호 모드 끄기'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.46.1 | '모든 소비자 Microsoft 계정 사용자 인증 차단'이 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.47.15 | '잠재적으로 원치 않는 애플리케이션에 대한 검색 구성'이 '사용: 차단'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.47.16 | 'Microsoft Defender 바이러스 백신 끄기'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.47.4.1 | 'Microsoft MAPS에 보고하기 위한 로컬 설정 재정의 구성'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.47.5.1.1 | '공격 표면 감소 규칙 구성'이 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.47.5.1.2 | '공격 표면 감소 규칙 구성: 각 ASR 규칙에 대한 상태 설정'이 구성되어 있는지 확인합니다. | 통과 | |
18.9.47.5.3.1 | '사용자와 앱에서 위험한 웹 사이트에 액세스하지 못하도록 방지'가 '사용: 차단'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.47.9.1 | '다운로드한 모든 파일 및 첨부 파일 검사'가 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.47.9.2 | '실시간 보호 끄기'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.47.9.3 | '동작 모니터링 켜기'가 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.47.9.4 | '스크립트 검사 켜기'가 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.47.12.1 | '이메일 검사 켜기'가 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.9.65.2.2 | '암호 저장 허용 안 함'이 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.9.65.3.3.1 | '드라이브 리디렉션 허용 안 함'이 '사용'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.65.3.9.1 | '연결 시 항상 암호 확인'이 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.9.65.3.9.2 | '보안 RPC 통신 필요'가 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.9.65.3.9.3 | '클라이언트 연결 암호화 수준 설정'이 '사용: 높음 수준'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.65.3.11.1 | '종료 시 임시 폴더 삭제 안 함'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.65.3.11.2 | '세션당 임시 폴더 사용 안 함'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.66.1 | '인클로저 다운로드 방지'가 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.9.67.2 | '암호화된 파일의 인덱싱 허용'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.85.1.1 | 'Windows Defender SmartScreen 구성'이 '사용: 경고 및 우회 방지'로 설정되어 있는지 확인합니다. | 실패 | |
18.9.90.1 | '설치에 대한 사용자 제어 허용'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.90.2 | '항상 높은 권한으로 설치'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.91.1 | '다시 시작한 후 자동으로 마지막 대화형 사용자 로그인 및 잠금'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.100.1 | 'PowerShell 스크립트 블록 로깅 켜기'가 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.9.100.2 | 'PowerShell 대화 내용 기록 켜기'가 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.102.1.1 | '기본 인증 허용'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.102.1.2 | '암호화되지 않은 트래픽 허용'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.102.1.3 | '다이제스트 인증 허용 안 함'이 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.9.102.2.1 | '기본 인증 허용'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.102.2.2 | '암호화되지 않은 트래픽 허용'이 '사용 안 함'으로 설정되어 있는지 확인합니다. | 통과 | |
18.9.102.2.3 | 'WinRM이 실행 자격 증명을 저장하도록 허용 안 함'이 '사용'으로 설정되어 있는지 확인합니다. | 실패 | |
18.9.105.2.1 | '사용자가 설정을 수정하지 못하도록 방지'가 '사용'으로 설정되어 있는지 확인합니다. | 통과 |
다음 단계
AKS 보안에 대한 자세한 내용은 다음 문서를 참조하세요.
Azure Kubernetes Service