클라우드 규모 분석의 정책
이 문서의 내용
배포를 고려하기 전에 조직에서 가드레일을 배치하는 것이 중요합니다. Azure 정책 을 사용하여 리소스 일관성, 규정 준수, 보안, 비용 및 관리에 대한 거버넌스를 구현할 수 있습니다.
배경
클라우드 규모 분석의 핵심 원칙은 필요에 따라 리소스를 쉽게 만들고, 읽고, 업데이트 및 삭제할 수 있도록 하는 것입니다. 그러나 개발자에게 무제한 리소스 액세스를 제공하면 개발자를 민첩하게 만들 수 있지만 의도하지 않은 비용 결과를 초래할 수도 있습니다. 이 문제에 대한 해결 방법은 리소스 액세스 거버넌스입니다. 이 거버넌스는 조직의 목표와 요구 사항을 충족하기 위해 Azure 리소스 사용을 관리, 모니터링 및 감사하는 지속적인 프로세스입니다.
클라우드 채택 프레임워크 엔터프라이즈 규모 랜딩 존으로 시작 은 이미 이 개념을 사용합니다. 클라우드 규모 분석은 이러한 표준을 기반으로 하는 사용자 지정 Azure 정책 을 추가합니다. 그런 다음 표준이 데이터 관리 랜딩 존 및 데이터 랜딩 존에 적용됩니다.
Azure Policy는 클라우드 규모 분석 내에서 보안 및 규정 준수를 보장할 때 중요합니다. 표준을 적용하고 대규모 규정 준수를 평가하는 데 도움이 됩니다. 정책을 사용하여 Azure의 리소스를 평가하고 원하는 속성과 비교할 수 있습니다. 여러 정책 또는 비즈니스 규칙을 하나의 이니셔티브로 그룹화할 수 있습니다. 개별 정책 또는 이니셔티브는 Azure의 다른 범위에 할당할 수 있습니다. 이러한 범위는 관리 그룹, 구독, 리소스 그룹 또는 개별 리소스일 수 있습니다. 할당은 범위 내의 모든 리소스에 적용되며 필요한 경우 예외를 제외하고 하위 범위를 제외할 수 있습니다.
디자인 고려 사항
클라우드 규모 분석의 Azure 정책은 다음 설계 고려 사항을 염두에 두고 개발되었습니다.
Azure 정책을 사용하여 리소스 일관성, 규정 준수, 보안, 비용 및 관리에 대한 거버넌스를 구현하고 규칙을 적용합니다.
사용 가능한 미리 빌드 정책을 사용하여 시간을 절약합니다.
정책 관리를 단순화하기 위해 관리 그룹 트리에서 가능한 가장 높은 수준에 정책을 할당합니다.
상속된 범위에서 제외를 통해 관리하지 않도록 루트 관리 그룹 범위에서 수행된 Azure Policy 할당을 제한합니다.
필요한 경우에만 정책 예외를 사용하고 전역 관리자 승인이 필요합니다.
클라우드 규모 분석을 위한 Azure 정책
사용자 지정 정책을 구현 하면 Azure Policy로 더 많은 작업을 수행할 수 있습니다. 클라우드 규모 분석은 사용자 환경에서 필요한 가드레일을 구현할 수 있도록 하는 미리 만들어진 정책 세트와 함께 제공됩니다.
Azure Policy는 데이터 관리 랜딩 존, 데이터 랜딩 존 및 조직의 테넌트 내의 다른 랜딩 존 내에서 리소스를 준수하도록 하는 Azure(데이터) 플랫폼 팀의 핵심 도구여야 합니다. 이 플랫폼 기능은 가드레일을 도입하고 해당 관리 그룹 범위 내에서 승인된 전체 서비스 구성을 준수하는 데 사용해야 합니다. 예를 들어 플랫폼 팀은 Azure Policy를 사용하여 데이터 플랫폼 환경 내에서 호스트되는 모든 스토리지 계정에 프라이빗 엔드포인트를 적용하거나 스토리지 계정에 대한 모든 연결에 대해 전송 중인 TLS 1.2 암호화를 적용할 수 있습니다. 올바르게 수행하면 모든 데이터 애플리케이션 팀이 해당 테넌트 범위 내에서 비호환 상태로 서비스를 호스트하는 것을 금지합니다.
책임 있는 IT 팀은 이 플랫폼 기능을 사용하여 보안 및 규정 준수 문제를 해결하고 (데이터) 랜딩 존 내에서 셀프 서비스 접근 방식을 열어야 합니다.
클라우드 규모 분석에는 리소스 및 비용 관리, 인증, 암호화, 네트워크 격리, 로깅, 복원력 등 과 관련된 사용자 지정 정책이 포함되어 있습니다.
참고 항목
제공된 정책은 배포 중에 기본적으로 적용되지 않습니다. 이는 지침으로만 보아야 하며 비즈니스 요구 사항에 따라 적용될 수 있습니다. 정책은 항상 가능한 가장 높은 수준에 적용되어야 합니다. 대부분의 경우 이는 관리 그룹 입니다. 모든 정책은 GitHub 리포지토리에서 사용할 수 있습니다.
참고 항목
아래에 제공된 정책은 배포 중에 기본적으로 적용되지 않습니다. 이는 지침으로만 보아야 하며 비즈니스 요구 사항에 따라 적용될 수 있습니다. 정책은 항상 가능한 가장 높은 수준에 적용되어야 하며 대부분의 경우 관리 그룹 이 됩니다. 모든 정책은 GitHub 리포지토리에서 사용할 수 있습니다.
모든 서비스
정책 이름
정책 영역
설명
Deny-PublicIp
네트워크 격리
공용 IP 배포를 제한합니다.
Deny-PrivateEndpoint-PrivateLinkServiceConnections
네트워크 격리
Microsoft Entra 테넌트 및 구독 외부의 리소스에 대한 프라이빗 엔드포인트를 거부합니다.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint
네트워크 격리
서비스의 프라이빗 엔드포인트에 대한 매개 변수로 프라이빗 DNS 영역 그룹의 구성을 배포합니다. 단일 프라이빗 DNS 영역에 구성을 적용하는 데 사용됩니다.
DiagnosticSettings-{Service}-LogAnalytics
로깅
Azure Cosmos DB에 대한 진단 설정을 Log Analytics 작업 영역에 보냅니다.
스토리지
정책 이름
정책 영역
설명
Append-Storage-Encryption
암호화
스토리지 계정에 암호화를 적용합니다.
Deny-Storage-AllowBlobPublicAccess
네트워크 격리
스토리지 계정의 모든 Blob 또는 컨테이너에 대해 퍼블릭 액세스를 적용하지 않습니다.
Deny-Storage-ContainerDeleteRetentionPolicy
복원력
스토리지 계정에 7일보다 긴 컨테이너 삭제 보존 정책을 적용합니다.
Deny-Storage-CorsRules
네트워크 격리
스토리지 계정에 대해 CORS 규칙을 거부합니다.
Deny-Storage-InfrastructureEncryption
암호화
스토리지 계정에 인프라(이중) 암호화를 적용합니다.
Deny-Storage-MinimumTlsVersion
암호화
스토리지 계정에 최소 TLS 버전 1.2를 적용합니다.
Deny-Storage-NetworkAclsBypass
네트워크 격리
스토리지 계정에 네트워크 바이패스를 적용하지 않습니다.
Deny-Storage-NetworkAclsIpRules
네트워크 격리
스토리지 계정에 네트워크 IP 규칙을 적용합니다.
Deny-Storage-NetworkAclsVirtualNetworkRules
네트워크 격리
스토리지 계정에 대한 가상 네트워크 규칙을 거부합니다.
Deny-Storage-Sku
리소스 관리
스토리지 계정 SKU를 적용합니다.
Deny-Storage-SupportsHttpsTrafficOnly
암호화
스토리지 계정에 https 트래픽을 적용합니다.
Deploy-Storage-BlobServices
리소스 관리
스토리지 계정의 Blob 서비스 기본 설정을 배포합니다.
Deny-Storage-RoutingPreference
네트워크 격리
Deny-Storage-Kind
리소스 관리
Deny-Storage-NetworkAclsDefaultAction
네트워크 격리
Key Vault
정책 이름
정책 영역
설명
Audit-KeyVault-PrivateEndpointId
네트워크 격리
키 자격 증명 모음의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-KeyVault-NetworkAclsBypass
네트워크 격리
키 자격 증명 모음에 네트워크 수준 바이패스 규칙을 적용합니다.
Deny-KeyVault-NetworkAclsDefaultAction
네트워크 격리
키 자격 증명 모음에 기본 네트워크 ACL 수준 작업을 적용합니다.
Deny-KeyVault-NetworkAclsIpRules
네트워크 격리
키 자격 증명 모음에 네트워크 IP 규칙을 적용합니다.
Deny-KeyVault-NetworkAclsVirtualNetworkRules
네트워크 격리
키 자격 증명 모음에 대한 가상 네트워크 규칙을 거부합니다.
Deny-KeyVault-PurgeProtection
복원력
키 자격 증명 모음에 제거 방지를 적용합니다.
Deny-KeyVault-SoftDelete
복원력
키 자격 증명 모음에 최소 보존 기간(일)이 있는 일시 삭제를 적용합니다.
Deny-KeyVault-TenantId
리소스 관리
키 자격 증명 모음에 테넌트 ID를 적용합니다.
Azure Data Factory
정책 이름
정책 영역
설명
Append-DataFactory-IdentityType
인증
데이터 팩터리에 시스템 할당 ID 사용을 적용합니다.
Deny-DataFactory-ApiVersion
리소스 관리
데이터 팩터리 V1의 이전 API 버전을 거부합니다.
Deny-DataFactory-IntegrationRuntimeManagedVirtualNetwork
네트워크 격리
관리형 가상 네트워크에 연결되지 않은 통합 런타임을 거부합니다.
Deny-DataFactory-LinkedServicesConnectionStringType
인증
연결된 서비스에 대해 Key Vault에 저장되지 않은 비밀을 거부합니다.
Deny-DataFactory-ManagedPrivateEndpoints
네트워크 격리
연결된 서비스에 대한 외부 프라이빗 엔드포인트를 거부합니다.
Deny-DataFactory-PublicNetworkAccess
네트워크 격리
데이터 팩터리에 대한 퍼블릭 액세스를 거부합니다.
Deploy-DataFactory-ManagedVirtualNetwork
네트워크 격리
데이터 팩터리에 대한 관리형 가상 네트워크를 배포합니다.
Deploy-SelfHostedIntegrationRuntime-Sharing
복원력
데이터 허브에서 호스트되는 자체 호스팅 통합 런타임을 데이터 노드의 데이터 팩터리와 공유합니다.
Azure Synapse Analytics
정책 이름
정책 영역
설명
Append-Synapse-LinkedAccessCheckOnTargetResource
네트워크 격리
Synapse 작업 영역을 만들 때 관리형 VNET 설정에서 LinkedAccessCheckOnTargetResource 를 적용합니다.
Append-Synapse-Purview
네트워크 격리
중앙 Purview 인스턴스와 Synapse 작업 영역 간에 연결을 적용합니다.
Append-SynapseSpark-ComputeIsolation
리소스 관리
컴퓨팅 격리 없이 Synapse Spark 풀이 만들어지면 이 정책은 컴퓨팅 격리를 추가합니다.
Append-SynapseSpark-DefaultSparkLogFolder
로깅
로깅 없이 Synapse Spark 풀이 만들어지면 이 정책은 로깅을 추가합니다.
Append-SynapseSpark-SessionLevelPackages
리소스 관리
세션 수준 패키지 없이 Synapse Spark 풀이 만들어지면 이 정책은 세션 수준 패키지를 추가합니다.
Audit-Synapse-PrivateEndpointId
네트워크 격리
Synapse의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-Synapse-AllowedAadTenantIdsForLinking
네트워크 격리
Deny-Synapse-Firewall
네트워크 격리
Synapse의 방화벽을 설정합니다.
Deny-Synapse-ManagedVirtualNetwork
네트워크 격리
관리형 가상 네트워크 없이 Synapse 작업 영역이 만들어지면 이 정책은 관리형 가상 네트워크를 추가합니다.
Deny-Synapse-PreventDataExfiltration
네트워크 격리
Synapse 관리형 가상 네트워크에 데이터 반출 방지를 적용합니다.
Deny-SynapsePrivateLinkHub
네트워크 격리
Synapse 프라이빗 링크 허브를 거부합니다.
Deny-SynapseSpark-AutoPause
리소스 관리
Synapse Spark 풀에 자동 일시 중지를 적용합니다.
Deny-SynapseSpark-AutoScale
리소스 관리
Synapse Spark 풀에 자동 스케일링을 적용합니다.
Deny-SynapseSql-Sku
리소스 관리
특정 Synapse SQL 풀 SKU를 거부합니다.
Deploy-SynapseSql-AuditingSettings
로깅
Synapse SQL 풀의 감사 로그를 Log Analytics로 보냅니다.
Deploy-SynapseSql-MetadataSynch
리소스 관리
Synapse SQL 풀에 대한 메타데이터 동기화를 설정합니다.
Deploy-SynapseSql-SecurityAlertPolicies
로깅
Synapse SQL 풀 보안 경고 정책을 배포합니다.
Deploy-SynapseSql-TransparentDataEncryption
암호화
Synapse SQL 투명한 데이터 암호화를 배포합니다.
Deploy-SynapseSql-VulnerabilityAssessment
로깅
Synapse SQL 풀 취약성 평가를 배포합니다.
Azure Purview
정책 이름
정책 영역
설명
Deny-Purview
리소스 관리
확산을 방지하기 위해 Purview 계정의 배포를 제한합니다.
Azure Databricks
정책 이름
정책 영역
설명
Append-Databricks-PublicIp
네트워크 격리
Databricks 작업 영역에 대해 퍼블릭 액세스를 적용하지 않습니다.
Deny-Databricks-Sku
리소스 관리
프리미엄이 아닌 Databricks SKU를 거부합니다.
Deny-Databricks-VirtualNetwork
네트워크 격리
Databricks에 대해 가상 네트워크 배포가 아닌 배포를 거부합니다.
클러스터 정책을 통해 Databricks 작업 영역에 적용되는 추가 정책:
클러스터 정책 이름
정책 영역
Spark 버전 제한
리소스 관리
클러스터 크기 및 VM 유형 제한
리소스 관리
비용 태그 지정 적용
리소스 관리
자동 스케일링 적용
리소스 관리
자동 일시 중지 적용
리소스 관리
시간당 DBU 제한
리소스 관리
퍼블릭 SSH 거부
인증
클러스터 자격 증명 통과 사용
인증
프로세스 격리 사용
네트워크 격리
Spark 모니터링 적용
로깅
클러스터 로그 적용
로깅
SQL, Python만 허용
리소스 관리
추가 설치 스크립트 거부
리소스 관리
Azure IoT Hub
정책 이름
정책 영역
설명
Append-IotHub-MinimalTlsVersion
암호화
IoT Hub에 최소 TLS 버전을 적용합니다.
Audit-IotHub-PrivateEndpointId
네트워크 격리
IoT Hub의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-IotHub-PublicNetworkAccess
네트워크 격리
IoT Hub에 대한 공용 네트워크 액세스를 거부합니다.
Deny-IotHub-Sku
리소스 관리
IoT Hub SKU를 적용합니다.
Deploy-IotHub-IoTSecuritySolutions
보안
IoT Hub용 Microsoft Defender for IoT를 배포합니다.
Azure Event Hubs
정책 이름
정책 영역
설명
Deny-EventHub-Ipfilterrules
네트워크 격리
Azure Event Hubs에 대한 IP 필터 규칙 추가를 거부합니다.
Deny-EventHub-MaximumThroughputUnits
네트워크 격리
SQL 서버에 대한 공용 네트워크 액세스를 거부합니다.
Deny-EventHub-NetworkRuleSet
네트워크 격리
Azure Event Hubs에 기본 가상 네트워크 규칙을 적용합니다.
Deny-EventHub-Sku
리소스 관리
Azure Event Hubs에 대한 특정 SKU를 거부합니다.
Deny-EventHub-Virtualnetworkrules
네트워크 격리
Azure Event Hubs에 대한 가상 네트워크 규칙 추가를 거부합니다.
Azure Stream Analytics
정책 이름
정책 영역
설명
Append-StreamAnalytics-IdentityType
인증
Stream Analytics에 시스템 할당 ID 사용을 적용합니다.
Deny-StreamAnalytics-ClusterId
리소스 관리
Stream Analytics 클러스터 사용을 적용합니다.
Deny-StreamAnalytics-StreamingUnits
리소스 관리
Stream Analytics 스트리밍 단위 수를 적용합니다.
Azure Data Explorer
정책 이름
정책 영역
설명
Deny-DataExplorer-DiskEncryption
암호화
Data Explorer에 디스크 암호화 사용을 적용합니다.
Deny-DataExplorer-DoubleEncryption
암호화
Data Explorer에 이중 암호화 사용을 적용합니다.
Deny-DataExplorer-Identity
인증
Data Explorer에 시스템 또는 사용자 할당 ID 사용을 적용합니다.
Deny-DataExplorer-Sku
리소스 관리
Data Explorer SKU를 적용합니다.
Deny-DataExplorer-TrustedExternalTenants
네트워크 격리
Data Explorer에 대한 외부 테넌트를 거부합니다.
Deny-DataExplorer-VirtualNetworkConfiguration
네트워크 격리
Data Explorer에 가상 네트워크 수집을 적용합니다.
Azure Cosmos DB
정책 이름
정책 영역
설명
Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess
인증
Azure Cosmos DB 계정에 대한 키 기반 메타데이터 쓰기 액세스를 거부합니다.
Append-Cosmos-PublicNetworkAccess
네트워크 격리
Azure Cosmos DB 계정에 대한 공용 네트워크 액세스를 적용하지 않습니다.
Audit-Cosmos-PrivateEndpointId
네트워크 격리
Azure Cosmos DB에 대한 다른 구독에서 만든 공용 엔드포인트를 감사합니다.
Deny-Cosmos-Cors
네트워크 격리
Azure Cosmos DB 계정에 대한 CORS 규칙을 거부합니다."
Deny-Cosmos-PublicNetworkAccess
네트워크 격리
Azure Cosmos DB 계정에 대한 공용 네트워크 액세스를 거부합니다.
Azure Container Registry
정책 이름
정책 영역
설명
Audit-ContainerRegistry-PrivateEndpointId
네트워크 격리
Cognitive Services의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-ContainerRegistry-PublicNetworkAccess
네트워크 격리
컨테이너 레지스트리에 대한 공용 네트워크 액세스를 거부합니다.
Deny-ContainerRegistry-Sku
리소스 관리
Container Registry에 프리미엄 SKU를 적용합니다.
Azure Cognitive Services
정책 이름
정책 영역
설명
Append-CognitiveServices-IdentityType
인증
Container Registry에 시스템 할당 ID 사용을 적용합니다.
Audit-CognitiveServices-PrivateEndpointId
네트워크 격리
Cognitive Services의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-CognitiveServices-Encryption
암호화
Cognitive Services에 암호화 사용을 적용합니다.
Deny-CognitiveServices-PublicNetworkAccess
네트워크 격리
Cognitive Services에 공용 네트워크 액세스가 아닌 액세스를 적용하지 않습니다.
Deny-CognitiveServices-Sku
리소스 관리
Cognitive Services 무료 SKU를 거부합니다.
Deny-CognitiveServices-UserOwnedStorage
네트워크 격리
Cognitive Services에 사용자 소유 스토리지를 적용합니다.
Azure Machine Learning
정책 이름
정책 영역
설명
Append-MachineLearning-PublicAccessWhenBehindVnet
네트워크 격리
Machine Learning 작업 영역에 대해 VNet 뒤의 퍼블릭 액세스를 거부합니다.
Audit-MachineLearning-PrivateEndpointId
네트워크 격리
Machine Learning의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-MachineLearning-HbiWorkspace
네트워크 격리
환경 전반에 걸쳐 높은 비즈니스 영향 Machine Learning 작업 영역을 적용합니다.
Deny-MachineLearningAks
리소스 관리
Machine Learning에서 AKS 만들기(연결 안 함)를 거부합니다.
Deny-MachineLearningCompute-SubnetId
네트워크 격리
Machine Learning 컴퓨팅 클러스터 및 인스턴스에 대한 공용 IP를 거부합니다.
Deny-MachineLearningCompute-VmSize
리소스 관리
Machine Learning 컴퓨팅 클러스터 및 인스턴스에 허용되는 VM 크기를 제한합니다.
Deny-MachineLearningComputeCluster-RemoteLoginPortPublicAccess
네트워크 격리
SSH를 통한 클러스터 퍼블릭 액세스를 거부합니다.
Deny-MachineLearningComputeCluster-Scale
리소스 관리
Machine Learning 컴퓨팅 클러스터에 스케일링 설정을 적용합니다.
Azure SQL Managed Instance
정책 이름
정책 영역
설명
Append-SqlManagedInstance-MinimalTlsVersion
암호화
SQL Managed Instance 서버에 최소 TLS 버전을 적용합니다.
Deny-SqlManagedInstance-PublicDataEndpoint
네트워크 격리
SQL Managed Instance에 대한 퍼블릭 데이터 엔드포인트를 거부합니다.
Deny-SqlManagedInstance-Sku
리소스 관리
Deny-SqlManagedInstance-SubnetId
네트워크 격리
SQL Managed Instance의 서브넷에 배포를 적용합니다.
Deploy-SqlManagedInstance-AzureAdOnlyAuthentications
인증
SQL Managed Instance에 대해 Microsoft Entra 전용 인증을 적용합니다.
Deploy-SqlManagedInstance-SecurityAlertPolicies
로깅
SQL Managed Instance 보안 경고 정책을 배포합니다.
Deploy-SqlManagedInstance-VulnerabilityAssessment
로깅
SQL Managed Instance 취약성 평가를 배포합니다.
Azure SQL Database
정책 이름
정책 영역
설명
Append-Sql-MinimalTlsVersion
암호화
SQL 서버에 최소 TLS 버전을 적용합니다.
Audit-Sql-PrivateEndpointId
네트워크 격리
Azure SQL의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-Sql-PublicNetworkAccess
네트워크 격리
SQL 서버에 대한 공용 네트워크 액세스를 거부합니다.
Deny-Sql-StorageAccountType
복원력
지역 중복 데이터베이스 백업을 적용합니다.
Deploy-Sql-AuditingSettings
로깅
SQL 감사 설정을 배포합니다.
Deploy-Sql-AzureAdOnlyAuthentications
인증
SQL Server에 대해 Microsoft Entra 전용 인증을 적용합니다.
Deploy-Sql-SecurityAlertPolicies
로깅
SQL 보안 경고 정책을 배포합니다.
Deploy-Sql-TransparentDataEncryption
암호화
SQL 투명한 데이터 암호화를 배포합니다.
Deploy-Sql-VulnerabilityAssessment
로깅
SQL 취약성 평가를 배포합니다.
Deploy-SqlDw-AuditingSettings
로깅
SQL DW 감사 설정을 배포합니다.
Azure Database for MariaDB
정책 이름
정책 영역
설명
Append-MariaDb-MinimalTlsVersion
암호화
MariaDB 서버에 최소 TLS 버전을 적용합니다.
Audit-MariaDb-PrivateEndpointId
네트워크 격리
MariaDB의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-MariaDb-PublicNetworkAccess
네트워크 격리
MariaDB 서버에 대한 공용 네트워크 액세스를 거부합니다.
Deny-MariaDb-StorageProfile
복원력
최소 보존 시간(일)이 있는 지역 중복 데이터베이스 백업을 적용합니다.
Deploy-MariaDb-SecurityAlertPolicies
로깅
MariaDB에 대한 SQL 보안 경고 정책을 배포합니다.
Azure Database for MySQL
정책 이름
정책 영역
설명
Append-MySQL-MinimalTlsVersion
암호화
MySQL 서버에 최소 TLS 버전을 적용합니다.
Audit-MySql-PrivateEndpointId
네트워크 격리
MySQL의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-MySQL-InfrastructureEncryption
암호화
MySQL 서버에 인프라 암호화를 적용합니다.
Deny-MySQL-PublicNetworkAccess
네트워크 격리
MySQL 서버에 대한 공용 네트워크 액세스를 거부합니다.
Deny-MySql-StorageProfile
복원력
최소 보존 시간(일)이 있는 지역 중복 데이터베이스 백업을 적용합니다.
Deploy-MySql-SecurityAlertPolicies
로깅
MySQL에 대한 SQL 보안 경고 정책을 배포합니다.
Azure Database for PostgreSQL
정책 이름
정책 영역
설명
Append-PostgreSQL-MinimalTlsVersion
암호화
PostgreSQL 서버에 최소 TLS 버전을 적용합니다.
Audit-PostgreSql-PrivateEndpointId
네트워크 격리
PostgreSQL의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-PostgreSQL-InfrastructureEncryption
암호화
PostgreSQL 서버에 인프라 암호화를 적용합니다.
Deny-PostgreSQL-PublicNetworkAccess
네트워크 격리
PostgreSQL 서버에 대한 공용 네트워크 액세스를 거부합니다.
Deny-PostgreSql-StorageProfile
복원력
최소 보존 시간(일)이 있는 지역 중복 데이터베이스 백업을 적용합니다.
Deploy-PostgreSql-SecurityAlertPolicies
로깅
PostgreSQL에 대한 SQL 보안 경고 정책을 배포합니다.
Azure AI 검색
정책 이름
정책 영역
설명
Append-Search-IdentityType
인증
Azure AI Search에 시스템 할당 ID 사용을 적용합니다.
Audit-Search-PrivateEndpointId
네트워크 격리
Azure AI Search에 대한 다른 구독에서 만든 퍼블릭 엔드포인트를 감사합니다.
Deny-Search-PublicNetworkAccess
네트워크 격리
Azure AI Search에 대한 공용 네트워크 액세스를 거부합니다.
Deny-Search-Sku
리소스 관리
Azure AI Search SKU를 적용합니다.
Azure DNS
정책 이름
정책 영역
설명
Deny-PrivateDnsZones
리소스 관리
확산을 방지하기 위해 프라이빗 DNS 영역의 배포를 제한합니다.
네트워크 보안 그룹
정책 이름
정책 영역
설명
Deploy-Nsg-FlowLogs
로깅
NSG 흐름 로그 및 트래픽 분석을 배포합니다.
Batch
정책 이름
정책 영역
설명
Deny-Batch-InboundNatPools
네트워크 격리
배치 계정 VM 풀에 대한 인바운드 NAT 풀을 거부합니다.
Deny-Batch-NetworkConfiguration
네트워크 격리
배치 계정 VM 풀에 대한 공용 IP 주소를 거부합니다.
Deny-Batch-PublicNetworkAccess
네트워크 격리
배치 계정에 대한 공용 네트워크 액세스를 거부합니다.
Deny-Batch-Scale
리소스 관리
배치 계정 VM 풀에 대한 특정 스케일링 구성을 거부합니다.
Deny-Batch-VmSize
리소스 관리
배치 계정 VM 풀에 대한 특정 VM 크기를 거부합니다.
Azure Cache for Redis
정책 이름
정책 영역
설명
Deny-Cache-Enterprise
리소스 관리
Redis Cache Enterprise를 거부합니다.
Deny-Cache-FirewallRules
네트워크 격리
Redis Cache에 대한 방화벽 규칙을 거부합니다.
Deny-Cache-MinimumTlsVersion
암호화
Redis Cache에 최소 TLS 버전을 적용합니다.
Deny-Cache-NonSslPort
네트워크 격리
Redis Cache에 대해 비SSL 포트 끄기를 적용합니다.
Deny-Cache-PublicNetworkAccess
네트워크 격리
Redis Cache에 대해 공용 네트워크 액세스를 적용하지 않습니다.
Deny-Cache-Sku
리소스 관리
Redis Cache에 특정 SKU를 적용합니다.
Deny-Cache-VnetInjection
네트워크 격리
Redis Cache에 대해 프라이빗 엔드포인트 사용을 적용하고 VNet 삽입을 거부합니다.
Container instances
정책 이름
정책 영역
설명
Deny-ContainerInstance-PublicIpAddress
네트워크 격리
Azure Machine Learning에서 만들어진 퍼블릭 Container Instances를 거부합니다.
Azure Firewall
정책 이름
정책 영역
설명
Deny-Firewall
리소스 관리
확산을 방지하기 위해 Azure Firewall의 배포를 제한합니다.
HDInsight
정책 이름
정책 영역
설명
Deny-HdInsight-EncryptionAtHost
암호화
HDInsight 클러스터에 대해 호스트에서 암호화를 적용합니다.
Deny-HdInsight-EncryptionInTransit
암호화
HDInsight 클러스터에 전송 중 암호화를 적용합니다.
Deny-HdInsight-MinimalTlsVersion
암호화
HDInsight 클러스터에 최소 TLS 버전을 적용합니다.
Deny-HdInsight-NetworkProperties
네트워크 격리
HDInsight 클러스터에 프라이빗 링크 사용을 적용합니다.
Deny-HdInsight-Sku
HDInsight 클러스터에 특정 SKU를 적용합니다.
Deny-HdInsight-VirtualNetworkProfile
네트워크 격리
HDInsight 클러스터에 가상 네트워크 삽입을 적용합니다.
Power BI
정책 이름
정책 영역
설명
Deny-PrivateLinkServicesForPowerBI
리소스 관리
확산을 방지하기 위해 Power BI에 대해 프라이빗 링크 서비스 배포를 제한합니다.
다음 단계
