Azure App Service에 대한 Azure Policy 기본 제공 정의
이 페이지는 Azure 앱 Service에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Azure App Service
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: App Service 요금제는 영역 중복이어야 합니다. | App Service 요금제는 영역 중복 여부에 관계없이 구성될 수 있습니다. App Service 요금제에 대해 'zoneRedundant' 속성이 'false'로 설정된 경우 영역 중복이 구성되지 않습니다. 이 정책은 App Service 요금제에 대한 영역 중복 구성을 식별하고 적용합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| App Service 앱 슬롯을 가상 네트워크에 삽입해야 함 | 가상 네트워크에 App Service 앱을 삽입하면 고급 App Service 네트워킹 및 보안 기능을 사용할 수 있게 되며 네트워크 보안 구성을 보다 강력하게 제어할 수 있습니다. https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 퍼블릭 네트워크 액세스를 사용하지 않도록 설정하면 앱 서비스가 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 App Service의 노출을 제한할 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 감사, 사용 안 함, 거부 | 1.0.0 |
| App Service 앱 슬롯은 Azure Virtual Network에 대한 구성 라우팅을 사용하도록 설정해야 함 | 기본적으로 컨테이너 이미지 가져오기 및 콘텐츠 스토리지 탑재와 같은 앱 구성은 지역 가상 네트워크 통합을 통해 라우팅되지 않습니다. API를 사용하여 라우팅 옵션을 true로 설정하면 Azure Virtual Network를 통해 구성 트래픽이 사용하도록 설정됩니다. 이러한 설정을 사용하면 네트워크 보안 그룹 및 사용자 정의 경로와 같은 기능을 사용할 수 있고 서비스 엔드포인트를 프라이빗으로 설정할 수 있습니다. 자세한 내용은 https://aka.ms/appservice-vnet-configuration-routing을 참조하세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯은 Azure Virtual Network에 대한 아웃바운드 비RFC 1918 트래픽을 사용하도록 설정해야 함 | 기본적으로 지역 Azure VNET(Virtual Network) 통합을 사용하는 경우 앱은 RFC1918 트래픽만 해당 가상 네트워크로 라우팅합니다. API를 사용하여 'vnetRouteAllEnabled'를 true로 설정하면 모든 아웃바운드 트래픽이 Azure Virtual Network로 설정됩니다. 이 설정을 사용하면 네트워크 보안 그룹 및 사용자 정의 경로와 같은 기능을 App Service 앱의 모든 아웃바운드 트래픽에 사용할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯에는 '클라이언트 인증서(들어오는 클라이언트 인증서)'를 사용하도록 설정해야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯이 FTP 배포에 로컬 인증 방법을 사용하지 않도록 설정되어 있어야 함 | FTP 배포에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Service 슬롯에서 인증을 위해 Microsoft Entra ID만 필요하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| App Service 앱 슬롯이 SCM 사이트 배포에 로컬 인증 방법을 사용하지 않도록 설정되어 있어야 함 | SCM 사이트에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Service 슬롯에서 인증을 위해 Microsoft Entra ID만 요구하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
| App Service 앱 슬롯에는 원격 디버깅이 꺼져 있어야 함 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| App Service 앱 슬롯에는 리소스 로그가 사용하도록 설정되어 있어야 함 | 앱에서 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯에는 모든 리소스가 앱에 액세스할 수 있도록 CORS가 구성되어 있지 않아야 함 | CORS(원본 간 리소스 공유)는 앱에 액세스하는 모든 도메인을 허용해서는 안 됩니다. 필요한 도메인만 앱과 상호 작용하도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 2.0.0 |
| App Service 앱 슬롯에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯은 콘텐츠 디렉터리에 Azure 파일 공유를 사용해야 함 | 앱의 콘텐츠 디렉터리는 Azure 파일 공유에 있어야 합니다. 파일 공유에 대한 스토리지 계정 정보는 게시 작업보다 먼저 제공되어야 합니다. 앱 서비스 콘텐츠를 호스팅하기 위해 Azure Files를 사용하는 방법에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2151594를 참조하세요. | 감사, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯은 최신 ‘HTTP 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯은 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱 슬롯은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Java를 사용하는 App Service 앱 슬롯은 지정된 ‘Java 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Java 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 Java 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Java 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| PHP를 사용하는 App Service 앱 슬롯은 지정된 ‘PHP 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 PHP 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 PHP 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 PHP 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Python을 사용하는 App Service 앱 슬롯은 지정된 ’Python 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Python 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 Python 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Python 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱을 가상 네트워크에 삽입해야 함 | 가상 네트워크에 App Service 앱을 삽입하면 고급 App Service 네트워킹 및 보안 기능을 사용할 수 있게 되며 네트워크 보안 구성을 보다 강력하게 제어할 수 있습니다. https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 3.0.0 |
| App Service 앱은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 퍼블릭 네트워크 액세스를 사용하지 않도록 설정하면 앱 서비스가 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 App Service의 노출을 제한할 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 감사, 사용 안 함, 거부 | 1.1.0 |
| App Service 앱은 Azure Virtual Network에 대한 구성 라우팅을 사용하도록 설정해야 함 | 기본적으로 컨테이너 이미지 가져오기 및 콘텐츠 스토리지 탑재와 같은 앱 구성은 지역 가상 네트워크 통합을 통해 라우팅되지 않습니다. API를 사용하여 라우팅 옵션을 true로 설정하면 Azure Virtual Network를 통해 구성 트래픽이 사용하도록 설정됩니다. 이러한 설정을 사용하면 네트워크 보안 그룹 및 사용자 정의 경로와 같은 기능을 사용할 수 있고 서비스 엔드포인트를 프라이빗으로 설정할 수 있습니다. 자세한 내용은 https://aka.ms/appservice-vnet-configuration-routing을 참조하세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
| App Service 앱은 Azure Virtual Network에 대한 아웃바운드 비 RFC 1918 트래픽을 사용해야 함 | 기본적으로 지역 Azure VNET(Virtual Network) 통합을 사용하는 경우 앱은 RFC1918 트래픽만 해당 가상 네트워크로 라우팅합니다. API를 사용하여 'vnetRouteAllEnabled'를 true로 설정하면 모든 아웃바운드 트래픽이 Azure Virtual Network로 설정됩니다. 이 설정을 사용하면 네트워크 보안 그룹 및 사용자 정의 경로와 같은 기능을 App Service 앱의 모든 아웃바운드 트래픽에 사용할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| App Service 앱에서 인증이 사용되어야 함 | Azure App Service 인증은 익명 HTTP 요청이 웹앱에 도달하는 것을 방지하거나 웹앱에 도달하기 전에 토큰이 있는 요청을 인증할 수 있는 기능입니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| App Service 앱에서 '클라이언트 인증서(들어오는 클라이언트 인증서)'가 사용하도록 설정되어 있어야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| App Service 앱이 FTP 배포에 대해 로컬 인증 방법을 사용하지 않도록 설정되어 있어야 함 | FTP 배포에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Services에서 인증을 위해 Microsoft Entra ID만 요구하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| App Service 앱이 SCM 사이트 배포에 대해 로컬 인증 방법을 사용하지 않도록 설정되어 있어야 함 | SCM 사이트에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Services에서 인증을 위해 Microsoft Entra ID만 요구하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| App Service 앱에 원격 디버깅이 비활성화되어 있어야 함 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| App Service 앱에서 리소스 로그가 사용되어야 함 | 앱에서 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| App Service 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 | CORS(원본 간 리소스 공유)는 앱에 액세스하는 모든 도메인을 허용해서는 안 됩니다. 필요한 도메인만 앱과 상호 작용하도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 4.0.0 |
| App Service 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| App Service 앱은 프라이빗 링크를 지원하는 SKU를 사용해야 함 | 지원되는 SKU로 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 앱에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 4.1.0 |
| App Service 앱은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 가상 네트워크 서비스 엔드포인트를 사용하여 Azure Virtual Network에서 선택한 서브넷의 앱에 대한 액세스를 제한합니다. App Service 서비스 엔드포인트에 대해 자세히 알아보려면 https://aka.ms/appservice-vnet-service-endpoint를 참조하세요. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| App Service 앱에서 해당 콘텐츠 디렉터리에 Azure 파일 공유를 사용해야 함 | 앱의 콘텐츠 디렉터리는 Azure 파일 공유에 있어야 합니다. 파일 공유에 대한 스토리지 계정 정보는 게시 작업보다 먼저 제공되어야 합니다. 앱 서비스 콘텐츠를 호스팅하기 위해 Azure Files를 사용하는 방법에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2151594를 참조하세요. | 감사, 사용 안 함 | 3.0.0 |
| App Service 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
| App Service 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| App Service 앱에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 App Service에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| App Service 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| Java를 사용하는 App Service 앱은 지정된 ‘Java 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Java 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 Java 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Java 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| PHP를 사용하는 App Service 앱은 지정된 ‘PHP 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 PHP 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 PHP 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 PHP 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.2.0 |
| Python을 사용하는 App Service 앱은 지정된 ‘Python 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Python 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 Python 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Python 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 4.1.0 |
| App Service Environment 앱은 퍼블릭 인터넷을 통해 연결할 수 없음 | App Service Environment에 배포된 앱을 퍼블릭 인터넷을 통해 액세스할 수 없도록 하려면 가상 네트워크의 IP 주소를 사용하여 App Service Environment를 배포해야 합니다. IP 주소를 가상 네트워크 IP로 설정하려면 내부 부하 분산 장치를 사용하여 App Service Environment를 배포해야 합니다. | 감사, 거부, 사용 안 함 | 3.0.0 |
| App Service Environment는 가장 강력한 TLS 암호 그룹을 사용하여 구성해야 함 | App Service Environment가 올바르게 작동하기 위해 필요한 가장 강력하고 가장 최소한의 암호 제품군은 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 및 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256입니다. | 감사, 사용 안 함 | 1.0.0 |
| App Service Environment는 최신 버전으로 프로비저닝해야 함 | App Service Environment 버전 2 또는 버전 3만 프로비저닝할 수 있습니다. 이전 버전의 App Service Environment에서는 Azure 리소스를 수동으로 관리해야 하며 스케일링 제한이 더 큽니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| App Service Environment에서 내부 암호화가 사용되어야 함 | InternalEncryption을 true로 설정하면 App Service Environment의 프런트 엔드와 작업자 간의 페이지 파일, 작업자 디스크 및 내부 네트워크 트래픽이 암호화됩니다. 자세히 알아보려면 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption을 참조하세요. | 감사, 사용 안 함 | 1.0.1 |
| App Service Environment이 TLS 1.0 및 1.1을 사용하지 않도록 설정되어 있어야 함 | TLS 1.0 및 1.1은 최신 암호화 알고리즘을 지원하지 않는 오래된 프로토콜입니다. 인바운드 TLS 1.0 및 1.1 트래픽을 사용하지 않도록 설정하면 App Service Environment에서 앱을 보호하는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 2.0.1 |
| FTP 배포에 로컬 인증을 사용하지 않도록 App Service 앱 슬롯 구성 | FTP 배포에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Service 슬롯에서 인증을 위해 Microsoft Entra ID만 필요하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.3 |
| SCM 사이트에 로컬 인증을 사용하지 않도록 App Service 앱 슬롯 구성 | SCM 사이트에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Service 슬롯에서 인증을 위해 Microsoft Entra ID만 요구하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.3 |
| 공용 네트워크 액세스를 사용하지 않도록 App Service 앱 슬롯 구성 | 퍼블릭 인터넷을 통해 액세스할 수 없도록 App Services에 대한 퍼블릭 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 |
| HTTPS를 통해서만 액세스할 수 있도록 App Service 앱 슬롯 구성 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 수정, 사용 안 함 | 2.0.0 |
| 원격 디버깅을 끄도록 App Service 앱 슬롯 구성 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 최신 TLS 버전을 사용하도록 App Service 앱 슬롯 구성 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| FTP 배포에 로컬 인증을 사용하지 않도록 App Service 앱 구성 | FTP 배포에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Services에서 인증을 위해 Microsoft Entra ID만 요구하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.3 |
| SCM 사이트에 로컬 인증을 사용하지 않도록 App Service 앱 구성 | SCM 사이트에 대한 로컬 인증 방법을 사용하지 않도록 설정하면 App Services에서 인증을 위해 Microsoft Entra ID만 요구하도록 하여 보안이 개선됩니다. https://aka.ms/app-service-disable-basic-auth에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.3 |
| 공용 네트워크 액세스를 사용하지 않도록 App Service 앱 구성 | 퍼블릭 인터넷을 통해 액세스할 수 없도록 App Services에 대한 퍼블릭 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 |
| HTTPS를 통해서만 액세스할 수 있도록 App Service 앱 구성 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 수정, 사용 안 함 | 2.0.0 |
| 원격 디버깅을 해제하도록 App Service 앱 구성 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 최신 TLS 버전을 사용하도록 App Service 앱 구성 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 공용 네트워크 액세스를 사용하지 않도록 함수 앱 슬롯 구성 | 퍼블릭 인터넷을 통해 액세스할 수 없도록 함수 앱에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 |
| HTTPS를 통해서만 액세스할 수 있도록 함수 앱 슬롯 구성 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 수정, 사용 안 함 | 2.0.0 |
| 원격 디버깅을 끄도록 함수 앱 슬롯 구성 | 원격 디버깅에 함수 앱에서 열리는 인바운드 포트가 필요합니다. 원격 디버깅을 해제해야 합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 최신 TLS 버전을 사용하도록 함수 앱 슬롯 구성 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | DeployIfNotExists, 사용 안 함 | 1.1.0 |
| 공용 네트워크 액세스를 사용하지 않도록 함수 앱 구성 | 퍼블릭 인터넷을 통해 액세스할 수 없도록 함수 앱에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 |
| HTTPS를 통해서만 액세스할 수 있도록 함수 앱 구성 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 수정, 사용 안 함 | 2.0.0 |
| 원격 디버깅을 해제하도록 함수 앱 구성 | 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 최신 TLS 버전을 사용하도록 함수 앱 구성 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| App Service(microsoft.web/sites) 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 App Service에 대한 Log Analytics 작업 영역(microsoft.web/sites)으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Event Hub에 대한 App Service Environment(microsoft.web/hostingenvironments)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 App Service Environment용 이벤트 허브(microsoft.web/hostingenvironments)로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Log Analytics에 대한 App Service Environment(microsoft.web/hostingenvironments)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 App Service Environment(microsoft.web/hostingenvironments)에 대한 Log Analytics 작업 영역으로 로그를 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Storage에 대한 App Service Environment(microsoft.web/hostingenvironments)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 App Service Environment용 스토리지 계정(microsoft.web/hostingenvironments)으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 함수 앱(microsoft.web/sites) 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 함수 앱에 대한 Log Analytics 작업 영역(microsoft.web/sites)으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| 함수 앱 슬롯은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 함수 앱이 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 함수 앱의 노출을 제한할 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 감사, 사용 안 함, 거부 | 1.0.0 |
| 함수 앱 슬롯에는 '클라이언트 인증서(들어오는 클라이언트 인증서)'를 사용하도록 설정해야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 함수 앱 슬롯에는 원격 디버깅이 꺼져 있어야 함 | 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 함수 앱 슬롯에는 모든 리소스가 앱에 액세스할 수 있도록 구성된 CORS가 없어야 함 | CORS(교차 원본 리소스 공유)는 함수 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 함수 앱 슬롯은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 2.0.0 |
| 함수 앱 슬롯에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 함수 앱 슬롯은 콘텐츠 디렉터리에 Azure 파일 공유를 사용해야 함 | 함수 앱의 콘텐츠 디렉터리는 Azure 파일 공유에 있어야 합니다. 파일 공유에 대한 스토리지 계정 정보는 게시 작업보다 먼저 제공되어야 합니다. 앱 서비스 콘텐츠를 호스팅하기 위해 Azure Files를 사용하는 방법에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2151594를 참조하세요. | 감사, 사용 안 함 | 1.0.0 |
| 함수 앱 슬롯은 최신 ‘HTTP 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 함수 앱 슬롯은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Java를 사용하는 함수 앱 슬롯은 지정된 ‘Java 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Java 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 함수 앱에 최신 Java 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Java 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Python을 사용하는 함수 앱 슬롯은 지정된 ‘Python 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Python 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 함수 앱에 최신 Python 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Python 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 함수 앱은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 함수 앱이 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 함수 앱의 노출을 제한할 수 있습니다. https://aka.ms/app-service-private-endpoint에서 자세히 알아보세요. | 감사, 사용 안 함, 거부 | 1.0.0 |
| 함수 앱에 인증이 사용 설정되어 있어야 함 | Azure App Service 인증은 익명 HTTP 요청이 함수 앱에 도달하는 것을 방지하거나 함수 앱에 도달하기 전에 토큰이 있는 요청을 인증할 수 있는 기능입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 함수 앱은 클라이언트 인증서(들어오는 클라이언트 인증서)를 사용하도록 설정해야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 함수 앱에 원격 디버깅이 해제되어 있어야 함 | 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 함수 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 | CORS(교차 원본 리소스 공유)는 함수 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 5.0.0 |
| 함수 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 함수 앱은 콘텐츠 디렉터리에 Azure 파일 공유를 사용해야 함 | 함수 앱의 콘텐츠 디렉터리는 Azure 파일 공유에 있어야 합니다. 파일 공유에 대한 스토리지 계정 정보는 게시 작업보다 먼저 제공되어야 합니다. 앱 서비스 콘텐츠를 호스팅하기 위해 Azure Files를 사용하는 방법에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2151594를 참조하세요. | 감사, 사용 안 함 | 3.0.0 |
| 함수 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
| 함수 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 함수 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| Java를 사용하는 함수 앱은 지정된 ‘Java 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Java 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 함수 앱에 최신 Java 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Java 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| Python을 사용하는 함수 앱은 지정된 ‘Python 버전’을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 Python 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 함수 앱에 최신 Python 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Python 버전을 지정해야 합니다. | AuditIfNotExists, 사용 안 함 | 4.1.0 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기