Azure Backup에 대한 Azure Policy 기본 제공 정의
이 페이지는 Azure Backup에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Azure Backup
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure Recovery Services 자격 증명 모음은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Recovery Services 자격 증명 모음이 공용 인터넷에 노출되지 않도록 하여 보안이 개선됩니다. 프라이빗 엔드포인트를 만들면 Recovery Services 자격 증명 모음의 노출을 제한할 수 있습니다. https://aka.ms/AB-PublicNetworkAccess-Deny에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Recovery Services 자격 증명 모음에서는 백업 데이터를 암호화하는 데 고객 관리형 키를 사용해야 합니다. | 고객 관리형 키를 사용하여 백업 데이터의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/AB-CmkEncryption에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Recovery Services 자격 증명 모음은 백업을 위해 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Recovery Services 자격 증명 모음에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/AB-PrivateEndpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: 백업 및 Site Recovery는 영역 중복이어야 합니다. | 백업 및 Site Recovery는 영역 중복 여부에 관계없이 구성될 수 있습니다. 'standardTierStorageRedundancy' 속성이 'ZoneRedundant'로 설정된 경우 백업 및 Site Recovery는 영역 중복입니다. 이 정책을 적용하면 백업 및 Site Recovery가 영역 복원력에 맞게 적절하게 구성되어 영역 중단 시 가동 중지 시간의 위험을 줄이는 데 도움이 됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 공용 네트워크 액세스를 사용하지 않도록 Azure Recovery Services 자격 증명 모음 구성 | 공용 인터넷을 통해 액세스할 수 없도록 복구 서비스 자격 증명 모음에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/AB-PublicNetworkAccess-Deny에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Recovery Services 자격 증명 모음에서 프라이빗 엔드포인트 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Recovery Services 자격 증명 모음의 사이트 복구 리소스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 링크를 사용하려면 Recovery Services 자격 증명 모음에 관리 서비스 ID를 할당해야 합니다. https://docs.microsoft.com/azure/site-recovery/azure-to-azure-how-to-enable-replication-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 백업에 프라이빗 엔드포인트를 사용하도록 Recovery Services 자격 증명 모음 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Recovery Services 자격 증명 모음에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 프라이빗 엔드포인트 구성에 적합하려면 자격 증명 모음이 특정 필수 조건을 충족해야 합니다. https://go.microsoft.com/fwlink/?linkid=2187162에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Recovery Services 자격 증명 모음에 대한 구독 간 복원 사용 안 함 | 복원 대상이 자격 증명 모음 구독과 다른 구독에 있을 수 없도록 Recovery Services 자격 증명 모음에 대해 구독 간 복원을 사용하지 않도록 설정하거나 영구적으로 제거합니다. https://aka.ms/csrenhancements에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.0 - 미리 보기 |
| [미리 보기]: 선택한 스토리지 중복성의 Recovery Services 스토리지 만들기를 허용하지 않습니다. | Recovery Services 자격 증명 모음은 현재 세 가지 스토리지 중복 옵션, 즉 로컬 중복 스토리지, 영역 중복 스토리지 및 지역 중복 스토리지 중 하나로 만들 수 있습니다. 조직의 정책에 따라 특정 중복 형식에 속하는 자격 증명 모음 만들기를 차단해야 하는 경우 이 Azure Policy를 사용하여 동일한 결과를 얻을 수 있습니다. | 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Recovery Services 자격 증명 모음에 대해 불변성을 사용하도록 설정해야 함 | 이 정책은 범위의 Recovery Services 자격 증명 모음에 대해 변경할 수 없는 자격 증명 모음 속성이 사용하도록 설정되어 있는지 감사합니다. 이는 예정된 만료 전에 백업 데이터가 삭제되지 않도록 보호하는 데 도움이 됩니다. https://aka.ms/AB-ImmutableVaults에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 - 미리 보기 |
| [미리 보기]: Recovery Services 자격 증명 모음에 대해 MUA(다중 사용자 권한 부여)를 사용하도록 설정해야 합니다. | 이 정책은 Recovery Services 자격 증명 모음에 대해 MUA(다중 사용자 권한 부여)가 사용하도록 설정되어 있는지 감사합니다. MUA는 중요한 작업에 추가 보호 계층을 추가하여 Recovery Services 자격 증명 모음을 보호하는 데 도움이 됩니다. 자세한 내용은 https://aka.ms/MUAforRSV를 참조하세요. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Recovery Services 자격 증명 모음은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Recovery Services 자격 증명 모음에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/HybridScenarios-PrivateLink 및 https://aka.ms/AzureToAzure-PrivateLink에서 Azure Site Recovery의 프라이빗 링크에 대해 자세히 알아봅니다. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Recovery Services 자격 증명 모음에 대해 일시 삭제를 사용하도록 설정해야 합니다. | 이 정책은 범위의 Recovery Services 자격 증명 모음에 대해 일시 삭제가 사용하도록 설정되어 있는지 감사합니다. 일시 삭제를 사용하면 데이터가 삭제된 후에도 데이터를 복구하는 데 도움이 됩니다. https://aka.ms/AB-SoftDelete에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 Azure Virtual Machines의 보호를 보장합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 기본 정책을 사용하여 새 Recovery Services 자격 증명 모음에 대해 지정된 태그가 있는 가상 머신의 백업 구성 | 가상 머신과 동일한 위치 및 리소스 그룹에 복구 서비스 자격 증명 모음을 배포하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 조직의 여러 애플리케이션 팀에 별도의 리소스 그룹이 할당되고 자체 백업 및 복원을 관리해야 하는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 포함할 수 있습니다. https://aka.ms/AzureVMAppCentricBackupIncludeTag을(를) 참조하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 9.2.0 |
| 동일한 위치에 있는 기존 Recovery Services 자격 증명 모음에 대해 지정된 태그가 있는 가상 머신의 백업 구성 | 가상 머신과 동일한 위치 및 구독에 있는 기존 중앙 복구 서비스 자격 증명 모음에 백업하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 구독의 모든 리소스에 대한 백업을 관리하는 조직 내의 중앙 팀이 있는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 포함할 수 있습니다. https://aka.ms/AzureVMCentralBackupIncludeTag을(를) 참조하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 9.2.0 |
| 기본 정책을 사용하여 새 Recovery Services 자격 증명 모음에 대해 제공된 태그가 없는 가상 머신의 백업 구성 | 가상 머신과 동일한 위치 및 리소스 그룹에 복구 서비스 자격 증명 모음을 배포하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 조직의 여러 애플리케이션 팀에 별도의 리소스 그룹이 할당되고 자체 백업 및 복원을 관리해야 하는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 제외할 수 있습니다. https://aka.ms/AzureVMAppCentricBackupExcludeTag을(를) 참조하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 9.2.0 |
| 동일한 위치에 있는 기존 Recovery Services 자격 증명 모음에 대해 지정된 태그가 없는 가상 머신의 백업 구성 | 가상 머신과 동일한 위치 및 구독에 있는 기존 중앙 복구 서비스 자격 증명 모음에 백업하여 모든 가상 머신에 대한 백업을 적용합니다. 이 작업은 구독의 모든 리소스에 대한 백업을 관리하는 조직 내의 중앙 팀이 있는 경우에 유용합니다. 할당 범위를 제어하기 위해 지정된 태그가 포함된 가상 머신을 선택적으로 제외할 수 있습니다. https://aka.ms/AzureVMCentralBackupExcludeTag을(를) 참조하세요. | auditIfNotExists, AuditIfNotExists, deployIfNotExists, DeployIfNotExists, 사용 안 함 | 9.2.0 |
| Recovery Services 자격 증명 모음에 대한 진단 설정을 리소스별 범주의 Log Analytics 작업 영역에 배포합니다. | Recovery Services 자격 증명 모음에 대한 진단 설정을 배포하여 리소스별 범주의 Log Analytics 작업 영역으로 스트리밍합니다. 리소스별 범주가 활성화되지 않은 경우 새 진단 설정이 만들어집니다. | deployIfNotExists | 1.0.2 |
| Event Hub에 Recovery Services 자격 증명 모음(microsoft.recoveryservices/vaults)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Recovery Services 자격 증명 모음용 이벤트 허브(microsoft.recoveryservices/vaults)로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Recovery Services 자격 증명 모음(microsoft.recoveryservices/vaults)에 대한 범주 그룹별 로깅을 Log Analytics에 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 Recovery Services 자격 증명 모음(microsoft.recoveryservices/vaults)에 대한 Log Analytics 작업 영역으로 로그를 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Storage에 대한 Recovery Services 자격 증명 모음(microsoft.recoveryservices/vaults)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Recovery Services 자격 증명 모음(microsoft.recoveryservices/vaults)에 대한 스토리지 계정으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.