Azure Policy를 사용하여 Azure Web PubSub 서비스 리소스 규정 준수 감사

아티클
06/08/2023

Azure Policy는 리소스가 회사 표준 및 서비스 수준 계약을 준수하도록 규칙 및 효과를 적용하는 정책을 만들고, 할당하고, 관리하는 Azure의 무료 서비스입니다. 해당 정책을 사용하여 Web PubSub 리소스의 준수를 감사합니다.

이 문서에서는 Azure Web PubSub 서비스에 대한 기본 제공 정책을 설명합니다.

기본 제공 정책 정의

다음 표에는 Azure Web PubSub를 위한 Azure Policy 기본 제공 정책 정의의 인덱스가 포함됩니다. 다른 서비스에 대한 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.

Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.

이름 _{(Azure Portal)}	설명	효과	버전 _(GitHub)
Azure Web PubSub 서비스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함	공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Web PubSub 서비스가 퍼블릭 인터넷에 노출되지 않으므로 보안이 강화됩니다. 프라이빗 엔드포인트를 만들면 Azure Web PubSub 서비스의 노출을 제한할 수 있습니다. https://aka.ms/awps/networkacls에서 자세히 알아보세요.	감사, 거부, 사용 안 함	1.0.0
Azure Web PubSub Service에서 진단 로그를 사용하도록 설정해야 함	진단 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다.	AuditIfNotExists, 사용 안 함	1.0.0
Azure Web PubSub 서비스에서 로컬 인증 방법을 사용하지 않도록 설정해야 함	로컬 인증 방법을 사용하지 않도록 설정하면 Azure Web PubSub 서비스에서 인증을 위해 Azure Active Directory ID만 요구하도록 함으로써 보안이 향상됩니다.	감사, 거부, 사용 안 함	1.0.0
Azure Web PubSub 서비스는 프라이빗 링크를 지원하는 SKU를 사용해야 함	지원되는 SKU로 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Web PubSub 서비스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/awps/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요.	감사, 거부, 사용 안 함	1.0.0
Azure Web PubSub 서비스는 프라이빗 링크를 사용해야 함	Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Web PubSub 서비스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/awps/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요.	감사, 사용 안 함	1.0.0
로컬 인증을 사용하지 않도록 Azure Web PubSub 서비스 구성	로컬 인증 방법을 사용하지 않도록 설정하여 Azure Web PubSub 서비스에서 인증에 Azure Active Directory ID만 요구하도록 하세요.	수정, 사용 안 함	1.0.0
공용 네트워크 액세스를 사용하지 않도록 Azure Web PubSub 서비스 구성	퍼블릭 인터넷을 통해 액세스할 수 없도록 Azure Web PubSub 리소스에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/awps/networkacls에서 자세히 알아보세요.	수정, 사용 안 함	1.0.0
프라이빗 DNS 영역을 사용하도록 Azure Web PubSub 서비스 구성	프라이빗 DNS 영역을 사용하여 프라이빗 엔드포인트에 대한 DNS 확인을 재정의합니다. 프라이빗 DNS 영역은 가상 네트워크에 연결되어 Azure Web PubSub 서비스로 확인됩니다. https://aka.ms/awps/privatelink에서 자세히 알아보세요.	DeployIfNotExists, 사용 안 함	1.0.0
프라이빗 엔드포인트로 Azure Web PubSub 서비스 구성	프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Web PubSub 서비스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/awps/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요.	DeployIfNotExists, 사용 안 함	1.0.0

정책 정의 할당

정책 정의를 할당하는 경우:

Azure Portal, Azure CLI, Resource Manager 템플릿 또는 Azure Policy SDK를 사용하여 정책 정의를 할당할 수 있습니다.
정책 할당의 범위는 리소스 그룹, 구독 또는 Azure 관리 그룹으로 지정할 수 있습니다.
언제든지 정책 적용을 사용하거나 사용하지 않도록 설정할 수 있습니다.
Web PubSub 정책 할당은 범위 내의 기존 및 새 Web PubSub 리소스에 적용됩니다.

참고 항목

정책을 할당하거나 업데이트한 후 정의된 범위의 리소스에 할당이 적용되는 데 약간의 시간이 걸립니다. 정책 평가 트리거에 대한 정보를 참조하세요.

정책 준수 검토

Azure Portal, Azure 명령줄 도구 또는 Azure Policy SDK를 사용하여 정책 할당에서 생성된 준수 정보에 액세스합니다. 자세한 내용은 Azure 리소스의 준수 데이터 가져오기를 참조하세요.

리소스가 규정 비준수인 경우 여러 가지 원인이 있을 수 있습니다. 이유를 확인하거나 원인이 된 변경을 찾으려면 비준수 확인을 참조하세요.

포털의 정책 준수:

Azure Portal을 열고 정책을 검색합니다.
정책을 선택합니다.
준수를 선택합니다.
필터를 사용하여 범위, 유형 또는 준수 상태로 표시합니다. 이름 또는 ID별로 검색 목록을 사용합니다.
정책을 선택하여 준수 세부 정보 및 이벤트 집계를 검토합니다.
리소스 준수를 위한 특정 Web PubSub를 선택합니다.

Azure CLI의 정책 준수

Azure CLI를 사용하여 준수 데이터를 가져올 수 있습니다. az policy assignment list 명령을 사용하여 적용된 Azure Web PubSub 서비스 정책의 정책 ID를 가져옵니다.

az policy assignment list --query "[?contains(displayName,'Web PubSub')].{name:displayName, ID:id}" --output table

예제 출력:

Name                                                                                   ID
-------------------------------------------------------------------------------------  --------------------------------------------------------------------------------------------------------------------------------
[Preview]: Azure Web PubSub Service should use private links  /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.Authorization/policyAssignments/<assignmentId>

az policy state list 명령을 실행하여 특정 리소스 그룹의 모든 리소스에 대해 JSON 형식의 준수 상태를 반환합니다.

az policy state list --g <resourceGroup>

az policy state list 명령을 실행하여 특정 Web PubSub 리소스의 JSON 형식 준수 상태를 반환합니다.

az policy state list \
 --resource /subscriptions/<subscriptionId>/resourceGroups/<resourceGroup>/providers/Microsoft.SignalRService/WebPubSub/<resourceName> \
 --namespace Microsoft.SignalRService \
 --resource-group <resourceGroup>

다음 단계

Azure Policy 정의 및 효과에 대해 자세히 알아봅니다.
사용자 지정 정책 정의를 만듭니다.
Azure의 거버넌스 기능에 대해 자세히 알아봅니다.