보안 권장 사항

이 문서에서는 클라우드용 Microsoft Defender 볼 수 있는 모든 보안 권장 사항을 나열합니다. 사용자 환경에 표시되는 권장 사항은 보호 중인 리소스와 사용자 지정된 구성을 기반으로 합니다.

클라우드용 Defender의 권장 사항은 Microsoft 클라우드 보안 벤치마크를 기반으로 합니다. Microsoft 클라우드 보안 벤치마크는 보안 및 규정 준수 모범 사례에 대한 Microsoft에서 작성한 지침 집합입니다. 이 널리 존경받는 벤치마크는 클라우드 중심 보안에 중점을 둔 CIS(인터넷 보안 센터)NIST(National Institute of Standards and Technology)의 제어를 기반으로 합니다.

이러한 권장 사항에 대한 응답으로 수행할 수 있는 작업에 대해 알아보려면 클라우드용 Defender 권장 사항 수정을 참조하세요.

보안 점수는 완료한 보안 권장 사항 수를 기반으로 합니다. 먼저 해결할 권장 사항을 결정하려면 각 권장 사항의 심각도와 보안 점수에 미치는 잠재적 영향을 살펴봅니다.

권장 사항의 설명에 관련 정책이 없다고 표시되는 경우 일반적으로 권장 사항은 다른 권장 사항 및 해당 정책에 따라 달라지기 때문입니다.

예를 들어 Endpoint Protection 상태 오류를 수정해야 하는 권장 사항은 엔드포인트 보호 솔루션이 설치되어 있는지 여부를 검사 권장 사항에 따라 달라집니다(Endpoint Protection 솔루션을 설치해야 함). 기본 권장 사항에는 정책이 있습니다. 정책을 기본 권장 사항으로 제한하면 정책 관리가 간단해집니다.

AppServices 권장 사항

API 앱은 HTTPS를 통해서만 액세스할 수 있어야 합니다.

설명: HTTPS를 사용하면 서버/서비스 인증을 보장하고 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. (관련 정책: API 앱은 HTTPS를 통해서만 액세스할 수 있어야 합니다).

심각도: 보통

CORS에서 모든 리소스가 API 앱에 액세스하도록 허용하지 않아야 합니다.

설명: CORS(원본 간 리소스 공유)가 모든 작업을 허용해서는 안 기본 API 앱에 액세스할 수 있습니다. 필요한 도메인만 API 앱과 상호 작용할 수 있도록 허용합니다. (관련 정책: CORS는 모든 리소스가 API 앱에 액세스하도록 허용해서는 안 됩니다).

심각도: 낮음

CORS에서 모든 리소스가 함수 앱에 액세스하도록 허용하지 않아야 합니다.

설명: CORS(원본 간 리소스 공유)가 함수 앱에 액세스하는 모든 작업을 허용해서는 기본. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. (관련 정책: CORS는 모든 리소스가 함수 앱에 액세스하는 것을 허용해서는 안 됩니다).

심각도: 낮음

CORS에서 모든 리소스가 웹 애플리케이션에 액세스하도록 허용하지 않아야 합니다.

설명: CORS(원본 간 리소스 공유)가 웹 애플리케이션에 액세스하는 모든 작업을 허용해서는 기본. 필요한 도메인만 웹앱과 상호 작용할 수 있도록 허용합니다. (관련 정책: CORS는 모든 리소스가 웹 애플리케이션에 액세스하도록 허용해서는 안 됩니다).

심각도: 낮음

App Service의 진단 로그를 사용하도록 설정해야 합니다.

설명: 앱에서 진단 로그를 사용하도록 설정하는 감사입니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다(관련 정책 없음).

심각도: 보통

API 앱에 클라이언트 인증서 수신 클라이언트 인증서가 On으로 설정되어 있는지 확인

설명: 클라이언트 인증서를 사용하면 앱에서 들어오는 요청에 대한 인증서를 요청할 수 있습니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. (관련 정책: API 앱에 '클라이언트 인증서(들어오는 클라이언트 인증서)'가 '켜기'로 설정되어 있는지 확인합니다.

심각도: 보통

API 앱에 FTPS가 필요합니다.

설명: 향상된 보안을 위해 FTPS 적용을 사용하도록 설정합니다(관련 정책: FTPS는 API 앱에서만 필요).

심각도: 높음

함수 앱에 FTPS가 필요합니다.

설명: 향상된 보안을 위해 FTPS 적용을 사용하도록 설정합니다(관련 정책: FTPS는 함수 앱에서만 필요).

심각도: 높음

웹앱에 FTPS가 필요합니다.

설명: 향상된 보안을 위해 FTPS 적용을 사용하도록 설정합니다(관련 정책: 웹앱에서 FTPS가 필요해야 합니다).

심각도: 높음

함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 합니다.

설명: HTTPS를 사용하면 서버/서비스 인증을 보장하고 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. (관련 정책: 함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 합니다).

심각도: 보통

함수 앱은 클라이언트 인증서(들어오는 클라이언트 인증서)를 사용하도록 설정해야 함

설명: 클라이언트 인증서를 사용하면 앱에서 들어오는 요청에 대한 인증서를 요청할 수 있습니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. (관련 정책: 함수 앱에는 '클라이언트 인증서(들어오는 클라이언트 인증서)'를 사용하도록 설정해야 합니다.

심각도: 보통

Java를 API 앱용 최신 버전으로 업데이트해야 합니다.

설명: 보안 결함으로 인해 또는 추가 기능을 포함하기 위해 Java용 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 수정(있는 경우) 및/또는 새 기능을 활용하려면 API 앱에 최신 Python 버전을 사용하는 것이 좋습니다. (관련 정책: API 앱의 일부로 사용되는 경우 'Java 버전'이 최신 버전인지 확인합니다.)

심각도: 보통

API 앱에서 관리 ID를 사용해야 합니다.

설명: 향상된 인증 보안을 위해 관리 ID를 사용합니다. Azure에서 관리 ID는 개발자가 Azure AD에서 Azure 리소스에 대한 ID를 제공하고 이를 사용하여 Azure AD(Azure Active Directory) 토큰을 가져와서 자격 증명을 관리할 필요가 없습니다. (관련 정책: 관리 ID는 API 앱에서 사용해야 합니다).

심각도: 보통

함수 앱에서 관리 ID를 사용해야 합니다.

설명: 향상된 인증 보안을 위해 관리 ID를 사용합니다. Azure에서 관리 ID는 개발자가 Azure AD에서 Azure 리소스에 대한 ID를 제공하고 이를 사용하여 Azure AD(Azure Active Directory) 토큰을 가져와서 자격 증명을 관리할 필요가 없습니다. (관련 정책: 관리 ID는 함수 앱에서 사용해야 합니다).

심각도: 보통

웹앱에서 관리 ID를 사용해야 합니다.

설명: 향상된 인증 보안을 위해 관리 ID를 사용합니다. Azure에서 관리 ID는 개발자가 Azure AD에서 Azure 리소스에 대한 ID를 제공하고 이를 사용하여 Azure AD(Azure Active Directory) 토큰을 가져와서 자격 증명을 관리할 필요가 없습니다. (관련 정책: 관리 ID는 웹앱에서 사용해야 합니다).

심각도: 보통

App Service용 Microsoft Defender를 사용하도록 설정해야 함

설명: Microsoft Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. App Service용 Microsoft Defender는 애플리케이션에 대한 공격을 검색하고 새로운 공격을 식별할 수 있습니다.

중요: 이 권장 사항을 수정하면 App Service 계획을 보호하는 데 요금이 부과됩니다. 이 구독에 App Service 계획이 없는 경우 요금이 발생하지 않습니다. 나중에 이 구독에 App Service 계획을 만들면 자동으로 보호되고 요금이 해당 시점에 시작됩니다. 웹앱 및 API 보호에 대해 자세히 알아보세요. (관련 정책: App Service용 Azure Defender를 사용하도록 설정해야 함).

심각도: 높음

PHP를 API 앱용 최신 버전으로 업데이트해야 합니다.

설명: 보안 결함으로 인해 또는 추가 기능을 포함하기 위해 PHP 소프트웨어용 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 수정(있는 경우) 및/또는 새로운 기능을 활용하려면 API 앱에 최신 PHP 버전을 사용하는 것이 좋습니다. (관련 정책: API 앱의 일부로 사용되는 경우 'PHP 버전'이 최신 버전인지 확인합니다.

심각도: 보통

Phython을 API 앱용 최신 버전으로 업데이트해야 합니다.

설명: 보안 결함으로 인해 또는 추가 기능을 포함하기 위해 Python 소프트웨어용 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 수정(있는 경우) 및/또는 새 기능을 활용하려면 API 앱에 최신 Python 버전을 사용하는 것이 좋습니다. (관련 정책: API 앱의 일부로 사용되는 경우 'Python 버전'이 최신 버전인지 확인합니다.)

심각도: 보통

API 앱에 대해 원격 디버깅을 해제해야 합니다.

설명: 원격 디버깅을 사용하려면 API 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. (관련 정책: API Apps에 대해 원격 디버깅을 해제해야 합니다).

심각도: 낮음

함수 앱에 대해 원격 디버깅을 해제해야 합니다.

설명: 원격 디버깅을 사용하려면 Azure Function 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. (관련 정책: 함수 앱에 대해 원격 디버깅을 해제해야 합니다).

심각도: 낮음

웹 애플리케이션에 대해 원격 디버깅을 해제해야 합니다.

설명: 원격 디버깅을 사용하려면 웹 애플리케이션에서 인바운드 포트를 열어야 합니다. 원격 디버깅은 현재 사용하도록 설정되어 있습니다. 원격 디버깅을 더 이상 사용할 필요가 없으면 해제해야 합니다. (관련 정책: 웹 애플리케이션에 대해 원격 디버깅을 해제해야 합니다).

심각도: 낮음

TLS를 API 앱용 최신 버전으로 업데이트해야 합니다.

설명: 최신 TLS 버전으로 업그레이드합니다. (관련 정책: 최신 TLS 버전은 API 앱에서 사용해야 합니다).

심각도: 높음

TLS를 함수 앱용 최신 버전으로 업데이트해야 합니다.

설명: 최신 TLS 버전으로 업그레이드합니다. (관련 정책: 최신 TLS 버전은 함수 앱에서 사용해야 합니다).

심각도: 높음

TLS를 웹앱용 최신 버전으로 업데이트해야 합니다.

설명: 최신 TLS 버전으로 업그레이드합니다. (관련 정책: 최신 TLS 버전은 웹앱에서 사용해야 합니다).

심각도: 높음

웹 애플리케이션은 HTTPS를 통해서만 액세스할 수 있어야 합니다.

설명: HTTPS를 사용하면 서버/서비스 인증을 보장하고 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. (관련 정책: 웹 애플리케이션은 HTTPS를 통해서만 액세스할 수 있어야 합니다).

심각도: 보통

웹앱은 들어오는 모든 요청에 대해 SSL 인증서를 요청해야 합니다.

설명: 클라이언트 인증서를 사용하면 앱에서 들어오는 요청에 대한 인증서를 요청할 수 있습니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. (관련 정책: 웹앱에 '클라이언트 인증서(들어오는 클라이언트 인증서)'가 'On'으로 설정되어 있는지 확인합니다.

심각도: 보통

컴퓨팅 권장 사항

머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함

설명: 애플리케이션 컨트롤을 사용하여 컴퓨터에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고 다른 애플리케이션이 실행되면 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 클라우드용 Defender는 기계 학습을 사용하여 각 머신에서 실행되는 애플리케이션을 분석하고 알려진 안전한 애플리케이션 목록을 제안합니다. (관련 정책: 머신에서 안전한 애플리케이션을 정의하기 위한 적응형 애플리케이션 컨트롤을 사용하도록 설정해야 합니다.)

심각도: 높음

적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함

설명: 클라우드용 Defender 적응형 애플리케이션 제어를 통해 감사를 위해 구성된 컴퓨터 그룹의 동작 변경을 모니터링합니다. 클라우드용 Defender는 기계 학습을 사용하여 머신에서 실행 중인 프로세스를 분석하고 알려진 안전한 애플리케이션 목록을 제안합니다. 이러한 앱은 적응형 애플리케이션 제어 정책에서 허용하도록 권장되는 앱으로 제공됩니다. (관련 정책: 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함).

심각도: 높음

Linux 머신에 대한 인증에 SSH 키가 필요함

설명: SSH 자체는 암호화된 연결을 제공하지만 SSH와 함께 암호를 사용하면 VM이 무차별 암호 대입 공격에 취약합니다. SSH를 통해 Azure Linux 가상 머신에 인증하는 가장 안전한 옵션은 SSH 키라고도 하는 퍼블릭-프라이빗 키 쌍을 사용하는 것입니다. 자세한 내용은 자세한 단계: Azure에서 Linux VM 인증을 위해 SSH 키 만들기 및 관리를 참조하세요. (관련 정책: 인증에 SSH 키를 사용하지 않는 Linux 머신 감사).

심각도: 보통

Automation 계정 변수를 암호화해야 함

설명: 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정하는 것이 중요합니다. (관련 정책: Automation 계정 변수를 암호화해야 합니다).

심각도: 높음

가상 머신에 대해 Azure Backup을 사용하도록 설정해야 합니다.

설명: Azure Backup을 사용하여 Azure 가상 머신의 데이터를 보호합니다. Azure Backup은 Azure 고유의 비용 효율적인 데이터 보호 솔루션입니다. 지역 중복 복구 자격 증명 모음에 저장된 복구 지점을 만듭니다. 복구 지점에서 복원하는 경우 전체 VM 또는 특정 파일을 복원할 수 있습니다. (관련 정책: Virtual Machines에 대해 Azure Backup을 사용하도록 설정해야 함).

심각도: 낮음

컨테이너 호스트를 안전하게 구성해야 합니다.

설명: Docker가 설치된 머신의 보안 구성에서 취약성을 수정하여 공격으로부터 보호합니다. (관련 정책: 컨테이너 보안 구성의 취약성을 수정해야 함).

심각도: 높음

Azure Stream Analytics의 진단 로그를 사용하도록 설정해야 합니다.

설명: 로그를 사용하도록 설정하고 최대 1년 동안 유지합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. (관련 정책: Azure Stream Analytics의 진단 로그를 사용하도록 설정해야 함).

심각도: 낮음

Batch 계정의 진단 로그를 사용하도록 설정해야 함

설명: 로그를 사용하도록 설정하고 최대 1년 동안 유지합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. (관련 정책: Batch 계정의 진단 로그를 사용하도록 설정해야 함).

심각도: 낮음

Event Hubs의 진단 로그를 사용하도록 설정해야 합니다.

설명: 로그를 사용하도록 설정하고 최대 1년 동안 유지합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. (관련 정책: Event Hubs의 진단 로그를 사용하도록 설정해야 함).

심각도: 낮음

Logic Apps의 진단 로그를 사용하도록 설정해야 함

설명: 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있도록 하려면 로깅을 사용하도록 설정합니다. 진단 로그가 Log Analytics 작업 영역, Azure Storage 계정 또는 Azure Event Hubs로 전송되지 않는 경우 플랫폼 메트릭 및 플랫폼 로그를 관련 대상으로 보내도록 진단 설정을 구성했는지 확인합니다. [플랫폼 로그 및 메트릭을 다른 대상으로 전송하는 진단 설정 만들기]에서 자세히 알아보세요. (관련 정책: Logic Apps의 진단 로그를 사용하도록 설정해야 함).

심각도: 낮음

Search 서비스의 진단 로그를 사용하도록 설정해야 합니다.

설명: 로그를 사용하도록 설정하고 최대 1년 동안 유지합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. (관련 정책: Search 서비스의 진단 로그를 사용하도록 설정해야 함).

심각도: 낮음

Service Bus의 진단 로그를 사용하도록 설정해야 함

설명: 로그를 사용하도록 설정하고 최대 1년 동안 유지합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. (관련 정책: Service Bus의 진단 로그를 사용하도록 설정해야 함).

심각도: 낮음

Virtual Machine Scale Sets의 진단 로그를 사용하도록 설정해야 합니다.

설명: 로그를 사용하도록 설정하고 최대 1년 동안 유지합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. (관련 정책: Virtual Machine Scale Sets의 진단 로그를 사용하도록 설정해야 함).

심각도: 높음

가상 머신에서 EDR 구성 문제를 해결해야 합니다.

설명: 최신 위협 및 취약성으로부터 가상 머신을 보호하려면 설치된 EDR(엔드포인트 검색 및 응답) 솔루션에서 식별된 모든 구성 문제를 해결합니다.
참고: 현재 이 권장 사항은 MDE(엔드포인트용 Microsoft Defender)가 설정된 리소스에만 적용됩니다.

심각도: 낮음

Virtual Machines에 EDR 솔루션을 설치해야 함

설명: 가상 머신에 엔드포인트 검색 및 대응(EDR) 솔루션을 설치하는 것은 고급 위협 방지에 중요합니다. EDR은 이러한 위협을 방지, 감지, 조사 및 대응하는 데 도움이 됩니다. 서버용 Microsoft Defender를 사용하여 엔드포인트용 Microsoft Defender 배포할 수 있습니다. 리소스가 "비정상"으로 분류되면 지원되는 EDR 솔루션이 없음을 나타냅니다. EDR 솔루션이 설치되어 있지만 이 권장 사항으로 검색할 수 없는 경우 제외할 수 있습니다. EDR 솔루션이 없으면 가상 머신이 고급 위협의 위험에 노출됩니다.

심각도: 높음

가상 머신 확장 집합의 엔드포인트 보호 상태 문제를 해결해야 합니다.

설명: 가상 머신 확장 집합에서 엔드포인트 보호 상태 오류를 수정하여 위협 및 취약성으로부터 보호합니다. (관련 정책: Endpoint Protection 솔루션은 가상 머신 확장 집합에 설치해야 합니다).

심각도: 낮음

가상 머신 확장 집합에 엔드포인트 보호를 설치해야 합니다.

설명: 가상 머신 확장 집합에 엔드포인트 보호 솔루션을 설치하여 위협 및 취약성으로부터 보호합니다. (관련 정책: Endpoint Protection 솔루션은 가상 머신 확장 집합에 설치해야 합니다).

심각도: 높음

컴퓨터에서 파일 무결성 모니터링을 사용하도록 설정해야 함

설명: 클라우드용 Defender 파일 무결성 모니터링 솔루션이 누락된 컴퓨터를 식별했습니다. 서버의 중요한 파일, 레지스트리 키 등에 대한 변경 내용을 모니터링하려면 파일 무결성 모니터링을 사용하도록 설정합니다. 파일 무결성 모니터링 솔루션이 사용하도록 설정되면 모니터링할 파일을 정의하는 데이터 수집 규칙을 만듭니다. 규칙을 정의하거나 기존 규칙이 있는 컴퓨터에서 변경된 파일을 보려면 파일 무결성 모니터링 관리 페이지로 이동합니다. (관련 정책 없음)

심각도: 높음

지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 합니다.

설명: 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치하여 클라우드용 Microsoft Defender 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 Linux 가상 머신 확장 집합에만 적용됩니다.

중요: 신뢰할 수 있는 시작에는 새 가상 머신을 생성해야 합니다. 처음에는 가상 머신 없이 만든 기존 가상 머신에서 신뢰할 수 있는 시작을 사용하도록 설정할 수 없습니다. Azure 가상 머신의 신뢰할 수 있는 시작에 대해 자세히 알아봅니다. (관련 정책 없음)

심각도: 낮음

지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 합니다.

설명: 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치하여 클라우드용 Microsoft Defender 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 사용 Linux 가상 머신에만 적용됩니다.

중요: 신뢰할 수 있는 시작에는 새 가상 머신을 생성해야 합니다. 처음에는 가상 머신 없이 만든 기존 가상 머신에서 신뢰할 수 있는 시작을 사용하도록 설정할 수 없습니다. Azure 가상 머신의 신뢰할 수 있는 시작에 대해 자세히 알아봅니다. (관련 정책 없음)

심각도: 낮음

지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 합니다.

설명: 지원되는 가상 머신 확장 집합에 게스트 증명 확장을 설치하여 클라우드용 Microsoft Defender 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작 사용 가상 머신 확장 집합에만 적용됩니다.

중요: 신뢰할 수 있는 시작에는 새 가상 머신을 생성해야 합니다. 처음에는 가상 머신 없이 만든 기존 가상 머신에서 신뢰할 수 있는 시작을 사용하도록 설정할 수 없습니다. Azure 가상 머신의 신뢰할 수 있는 시작에 대해 자세히 알아봅니다. (관련 정책 없음)

심각도: 낮음

지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 함

설명: 지원되는 가상 머신에 게스트 증명 확장을 설치하여 클라우드용 Microsoft Defender 부팅 무결성을 사전에 증명하고 모니터링할 수 있도록 합니다. 설치가 완료되면 원격 증명을 통해 부팅 무결성이 증명됩니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 가상 머신에만 적용됩니다.

중요: 신뢰할 수 있는 시작에는 새 가상 머신을 생성해야 합니다. 처음에는 가상 머신 없이 만든 기존 가상 머신에서 신뢰할 수 있는 시작을 사용하도록 설정할 수 없습니다. Azure 가상 머신의 신뢰할 수 있는 시작에 대해 자세히 알아봅니다. (관련 정책 없음)

심각도: 낮음

머신에 게스트 구성 확장을 설치해야 합니다.

설명: 머신의 게스트 내 설정의 보안 구성을 보장하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 Windows Exploit Guard와 같은 게스트 내 정책을 사용할 수 있습니다. (관련 정책: 가상 머신에는 게스트 구성 확장이 있어야 합니다).

심각도: 보통

가상 머신에 엔드포인트 보호 솔루션 설치

설명: 가상 머신에 엔드포인트 보호 솔루션을 설치하여 위협 및 취약성으로부터 보호합니다. (관련 정책: Azure Security Center에서 누락된 Endpoint Protection 모니터링).

심각도: 높음

Linux 가상 머신은 커널 모듈 서명 유효성 검사를 적용해야 합니다.

설명: 커널 모드에서 악의적이거나 권한이 없는 코드의 실행을 완화하려면 지원되는 Linux 가상 머신에서 커널 모듈 서명 유효성 검사를 적용합니다. 커널 모듈 서명 유효성 검사를 통해 신뢰할 수 있는 커널 모듈만 실행할 수 있습니다. 이 평가는 Azure Monitor 에이전트가 설치된 Linux 가상 머신에만 적용됩니다. (관련 정책 없음)

심각도: 낮음

Linux 가상 머신은 서명되고 신뢰할 수 있는 부팅 구성 요소만 사용해야 합니다.

설명: 보안 부팅을 사용하도록 설정하면 신뢰할 수 있는 게시자가 모든 OS 부팅 구성 요소(부팅 로더, 커널, 커널 드라이버)에 서명해야 합니다. 클라우드용 Defender는 하나 이상의 Linux 머신에서 신뢰할 수 없는 OS 부팅 구성 요소를 식별했습니다. 잠재적으로 악의적인 구성 요소로부터 컴퓨터를 보호하려면 허용 목록에 추가하거나 식별된 구성 요소를 제거합니다. (관련 정책 없음)

심각도: 낮음

Linux 가상 머신은 보안 부팅을 사용해야 함

설명: 맬웨어 기반 루트킷 및 부팅 키트 설치로부터 보호하려면 지원되는 Linux 가상 머신에서 보안 부팅을 사용하도록 설정합니다. 보안 부팅은 서명된 운영 체제와 드라이버만 실행할 수 있도록 합니다. 이 평가는 Azure Monitor 에이전트가 설치된 Linux 가상 머신에만 적용됩니다. (관련 정책 없음)

심각도: 낮음

Linux 기반 Azure Arc 지원 컴퓨터에 Log Analytics 에이전트를 설치해야 합니다.

설명: 클라우드용 Defender Log Analytics 에이전트(OMS라고도 함)를 사용하여 Azure Arc 머신에서 보안 이벤트를 수집합니다. 모든 Azure Arc 머신에 에이전트를 배포하려면 수정 단계를 수행합니다. (관련 정책 없음)

심각도: 높음

가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 합니다.

설명: 클라우드용 Defender Azure VM(가상 머신)에서 데이터를 수집하여 보안 취약성 및 위협을 모니터링합니다. 데이터는 컴퓨터에서 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 작업 영역에 데이터를 복사하는 Log Analytics 에이전트(이전의 MMA(Microsoft Monitoring Agent)를 사용하여 수집됩니다. Azure Kubernetes Service 또는 Azure Service Fabric과 같은 Azure 관리 서비스에서 VM을 사용하는 경우에도 해당 절차를 따라야 합니다. Azure 가상 머신 확장 집합에 대한 자동 프로비저닝을 구성할 수 없습니다. 가상 머신 확장 집합(Azure Kubernetes Service 및 Azure Service Fabric 같은 Azure 관리형 서비스에서 사용하는 가상 머신 확장 집합 포함)에 에이전트를 배포하려면 수정 단계의 절차를 따르세요. (관련 정책: Azure Security Center 모니터링을 위해 가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 합니다).

심각도: 높음

가상 머신에 Log Analytics 에이전트를 설치해야 합니다.

설명: 클라우드용 Defender Azure VM(가상 머신)에서 데이터를 수집하여 보안 취약성 및 위협을 모니터링합니다. 데이터는 컴퓨터에서 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 Log Analytics 작업 영역에 데이터를 복사하는 Log Analytics 에이전트(이전의 MMA(Microsoft Monitoring Agent)를 사용하여 수집됩니다. Azure Kubernetes Service 또는 Azure Service Fabric 같은 Azure 관리형 서비스에서 VM을 사용하는 경우에도 이 에이전트가 필요합니다. 에이전트를 자동으로 배포하도록 자동 프로비저닝을 구성하는 것이 좋습니다. 자동 프로비저닝을 사용하지 않도록 선택한 경우 수정 단계의 지침을 사용하여 VM에 에이전트를 수동으로 배포합니다. (관련 정책: Azure Security Center 모니터링을 위해 가상 머신에 Log Analytics 에이전트를 설치해야 합니다.)

심각도: 높음

Windows 기반 Azure Arc 지원 컴퓨터에 Log Analytics 에이전트를 설치해야 합니다.

설명: 클라우드용 Defender Log Analytics 에이전트(MMA라고도 함)를 사용하여 Azure Arc 머신에서 보안 이벤트를 수집합니다. 모든 Azure Arc 머신에 에이전트를 배포하려면 수정 단계를 수행합니다. (관련 정책 없음)

심각도: 높음

컴퓨터를 안전하게 구성해야 합니다.

설명: 머신의 보안 구성에서 취약성을 수정하여 공격으로부터 보호합니다. (관련 정책: 머신의 보안 구성 취약성을 수정해야 함).

심각도: 낮음

보안 구성 업데이트를 적용하려면 컴퓨터를 다시 시작해야 합니다.

설명: 보안 구성 업데이트를 적용하고 취약성으로부터 보호하려면 컴퓨터를 다시 시작합니다. 이 평가는 Azure Monitor 에이전트가 설치된 Linux 가상 머신에만 적용됩니다. (관련 정책 없음)

심각도: 낮음

컴퓨터에 취약성 평가 솔루션이 있어야 합니다.

설명: 클라우드용 Defender 연결된 컴퓨터를 정기적으로 검사 취약성 평가 도구를 실행하고 있는지 확인합니다. 이 권장 사항을 사용하여 취약성 평가 솔루션을 배포합니다. (관련 정책: 가상 머신에서 취약성 평가 솔루션을 사용하도록 설정해야 함).

심각도: 보통

컴퓨터에서 취약성 결과를 해결해야 함

설명: 가상 머신의 취약성 평가 솔루션에서 결과를 해결합니다. (관련 정책: 가상 머신에서 취약성 평가 솔루션을 사용하도록 설정해야 함).

심각도: 낮음

가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함

설명: 클라우드용 Defender 네트워크 보안 그룹의 관리 포트에 대해 지나치게 허용되는 일부 인바운드 규칙을 식별했습니다. Just-In-Time 액세스 제어를 사용하도록 설정하여 인터넷 기반 무차별 암호 대입 공격으로부터 VM을 보호합니다. JIT(Just-In-Time) VM 액세스 이해에 대해 자세히 알아보세요. (관련 정책: 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어를 사용하여 보호해야 합니다).

심각도: 높음

서버용 Microsoft Defender를 사용하도록 설정해야 함

설명: 서버용 Microsoft Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 의심스러운 활동에 대한 경고뿐만 아니라 강화 권장 사항을 생성합니다. 이 정보를 사용하여 보안 문제를 신속하게 수정하고 서버의 보안을 향상시킬 수 있습니다.

중요: 이 권장 사항을 수정하면 서버 보호에 대한 요금이 발생합니다. 이 구독에 서버가 없으면 요금이 발생하지 않습니다. 나중에 이 구독에 서버를 만들면 서버가 자동으로 보호되고 요금이 해당 시점에 시작됩니다. 서버용 Microsoft Defender 소개에서 자세히 알아보세요. (관련 정책: 서버용 Azure Defender를 사용하도록 설정해야 함).

심각도: 높음

작업 영역에서 서버용 Microsoft Defender를 사용하도록 설정해야 합니다.

설명: 서버용 Microsoft Defender는 Windows 및 Linux 머신에 대한 위협 탐지 및 고급 방어를 제공합니다. 이 Defender 플랜은 구독에서는 사용하도록 설정되지만 작업 영역에서는 사용하도록 설정되지 않은 상태라면 서버용 Microsoft Defender의 전체 기능에 대해 비용을 지불하고 있음에도 불구하고 일부 이점을 놓치게 됩니다. 작업 영역의 서버용 Microsoft Defender를 사용하도록 설정하면 해당 작업 영역에 보고하는 모든 컴퓨터에 서버용 Microsoft Defender에 대한 요금이 청구됩니다. 이는 Defender 플랜이 사용하도록 설정되지 않은 구독에 있는 경우에도 마찬가지입니다. 구독의 서버용 Microsoft Defender도 사용하도록 설정하지 않는 한 해당 컴퓨터는 Azure 리소스에 대한 Just-In-Time VM 액세스, 적응형 애플리케이션 제어, 네트워크 검색을 활용할 수 없습니다. 서버용 Microsoft Defender 소개에서 자세히 알아보세요. (관련 정책 없음)

심각도: 보통

지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 합니다.

설명: 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정하여 부팅 체인의 악의적이고 무단 변경에 대해 완화합니다. 사용하도록 설정되면 신뢰할 수 있는 부팅 로더, 커널 및 커널 드라이버만 실행할 수 있습니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 Windows 가상 머신에만 적용됩니다.

중요: 신뢰할 수 있는 시작에는 새 가상 머신을 생성해야 합니다. 처음에는 가상 머신 없이 만든 기존 가상 머신에서 신뢰할 수 있는 시작을 사용하도록 설정할 수 없습니다. Azure 가상 머신의 신뢰할 수 있는 시작에 대해 자세히 알아봅니다. (관련 정책 없음)

심각도: 낮음

Service Fabric 클러스터는 ClusterProtectionLevel 속성을 EncryptAndSign으로 설정해야 함

설명: Service Fabric은 기본 클러스터 인증서를 사용하여 노드 간 통신을 위한 세 가지 보호 수준(None, Sign 및 EncryptAndSign)을 제공합니다. 모든 노드 간 메시지가 암호화되고 디지털 서명되도록 보호 수준을 설정합니다. (관련 정책: Service Fabric 클러스터에는 ClusterProtectionLevel 속성이 EncryptAndSign으로 설정되어야 합니다).

심각도: 높음

Service Fabric 클러스터는 클라이언트 인증에 대해서만 Azure Active Directory를 사용해야 함

설명: Service Fabric에서 Azure Active Directory를 통해서만 클라이언트 인증을 수행합니다(관련 정책: Service Fabric 클러스터는 클라이언트 인증에 Azure Active Directory만 사용해야 함).

심각도: 높음

가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다.

설명: 누락된 시스템 보안 및 중요한 업데이트를 설치하여 Windows 및 Linux 가상 머신 확장 집합을 보호합니다. (관련 정책: 가상 머신 확장 집합의 시스템 업데이트를 설치해야 합니다).

심각도: 높음

시스템 업데이트를 머신에 설치해야 합니다.

설명: 누락된 시스템 보안 및 중요한 업데이트를 설치하여 Windows 및 Linux 가상 머신 및 컴퓨터를 보호합니다(관련 정책: 시스템 업데이트를 컴퓨터에 설치해야 함).

심각도: 높음

시스템 업데이트는 컴퓨터에 설치해야 합니다(업데이트 센터에서 구동).

설명: 머신에 시스템, 보안 및 중요 업데이트가 없습니다. 소프트웨어 업데이트에는 보안 허점을 메우기 위한 중요한 패치가 포함된 경우가 많습니다. 이러한 허점은 맬웨어 공격에 자주 악용되므로 소프트웨어를 업데이트된 상태로 유지하는 것이 중요합니다. 미적용 패치를 모두 설치하고 머신을 보호하려면 수정 단계를 수행합니다. (관련 정책 없음)

심각도: 높음

가상 머신 확장 집합을 안전하게 구성해야 합니다.

설명: 가상 머신 확장 집합의 보안 구성에서 취약성을 수정하여 공격으로부터 보호합니다. (관련 정책: 가상 머신 확장 집합의 보안 구성 취약성을 수정해야 함).

심각도: 높음

가상 머신 게스트 증명 상태 정상이어야 합니다.

설명: 게스트 증명은 신뢰할 수 있는 로그(TCGLog)를 증명 서버로 전송하여 수행됩니다. 서버는 이러한 로그를 사용하여 부팅 구성 요소가 신뢰할 수 있는지 여부를 확인합니다. 이 평가는 부팅 키트 또는 루트킷 감염의 결과일 수 있는 부팅 체인의 손상 검색을 위한 것입니다. 이 평가는 게스트 증명 확장이 설치된 신뢰할 수 있는 시작 사용 가상 머신에만 적용됩니다. (관련 정책 없음)

심각도: 보통

가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함

설명: 게스트 구성 확장에는 시스템 할당 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. 자세한 정보(관련 정책: 시스템 할당 관리 ID를 사용하여 Azure 가상 머신에 게스트 구성 확장을 배포해야 함).

심각도: 보통

가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함

설명: Virtual Machines(클래식)는 더 이상 사용되지 않으며 이러한 VM을 Azure Resource Manager로 마이그레이션해야 합니다. 이제 Azure Resource Manager가 모든 IaaS 기능과 기타 고급 기능을 갖추고 있기 때문에 ASM(Azure Service Manager)을 통한 IaaS VM(가상 머신)의 관리는 2020년 2월 28일부로 사용되지 않습니다. 이 기능은 2023년 3월 1일에 완전히 사용 중지됩니다.

영향을 받는 모든 클래식 VM을 보려면 ‘디렉터리 + 구독’ 탭에서 모든 Azure 구독을 선택해야 합니다.

사용 가능한 리소스 및 이 도구에 대한 정보 및 마이그레이션: 가상 머신(클래식) 사용 중단 개요, 마이그레이션 및 사용 가능한 Microsoft 리소스에 대한 단계별 프로세스.Azure Resource Manager 마이그레이션 도구로 마이그레이션에 대한 세부 정보입니다.PowerShell을 사용하여 Azure Resource Manager 마이그레이션 도구로 마이그레이션합니다. (관련 정책: 가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함).

심각도: 높음

가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함

설명: 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화되고, 임시 디스크 및 데이터 캐시는 암호화되지 않으며, 컴퓨팅 리소스와 스토리지 리소스 간에 흐르는 경우 데이터가 암호화되지 않습니다. Azure의 다양한 디스크 암호화 기술을 비교하려면 다음을 참조하세요 https://aka.ms/diskencryptioncomparison. Azure Disk Encryption을 사용하여 이 모든 데이터를 암호화합니다. 다음과 같은 경우에는 이 권장 사항을 무시합니다.

  1. 호스트에서 암호화 기능 또는 2를 사용하고 있습니다. Managed Disks의 서버 쪽 암호화는 보안 요구 사항을 충족합니다. Azure Disk Storage의 서버 쪽 암호화에서 자세히 알아봅니다. (관련 정책: 가상 머신에 디스크 암호화를 적용해야 함)

심각도: 높음

지원되는 가상 머신에서 vTPM을 사용하도록 설정해야 함

설명: 지원되는 가상 머신에서 가상 TPM 디바이스를 사용하도록 설정하여 TPM이 필요한 측정 부팅 및 기타 OS 보안 기능을 용이하게 합니다. 사용하도록 설정되면 vTPM을 사용하여 부팅 무결성을 증명할 수 있습니다. 이 평가는 신뢰할 수 있는 시작을 지원하는 가상 머신에만 적용됩니다.

중요: 신뢰할 수 있는 시작에는 새 가상 머신을 생성해야 합니다. 처음에는 가상 머신 없이 만든 기존 가상 머신에서 신뢰할 수 있는 시작을 사용하도록 설정할 수 없습니다. Azure 가상 머신의 신뢰할 수 있는 시작에 대해 자세히 알아봅니다. (관련 정책 없음)

심각도: 낮음

Linux 컴퓨터의 보안 구성 취약성을 수정해야 함(게스트 구성에서 제공)

설명: Linux 머신의 보안 구성에서 취약성을 수정하여 공격으로부터 보호합니다. (관련 정책: Linux 머신은 Azure 보안 기준에 대한 요구 사항을 충족해야 합니다).

심각도: 낮음

Windows 머신의 보안 구성 취약성을 수정해야 합니다(게스트 구성에 의해 구동됨).

설명: Windows 머신의 보안 구성에서 취약성을 수정하여 공격으로부터 보호합니다. (관련 정책 없음)

심각도: 낮음

Windows Defender Exploit Guard를 컴퓨터에서 사용하도록 설정해야 합니다.

설명: Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당). (관련 정책: Windows Defender Exploit Guard를 사용하도록 설정되지 않은 Windows 머신 감사).

심각도: 보통

Windows 웹 서버는 보안 통신 프로토콜을 사용하도록 구성해야 함

설명: 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 웹 서버에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 보안 인증서를 사용하여 컴퓨터 간의 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. (관련 정책: 보안 통신 프로토콜을 사용하지 않는 Windows 웹 서버 감사).

심각도: 높음

[미리 보기]: Linux 가상 머신은 Azure Disk Encryption 또는 EncryptionAtHost를 사용하도록 설정해야 합니다.

설명: 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화되고, 임시 디스크 및 데이터 캐시는 암호화되지 않으며, 컴퓨팅 리소스와 스토리지 리소스 간에 흐르는 경우 데이터가 암호화되지 않습니다. Azure Disk Encryption 또는 EncryptionAtHost를 사용하여 이 모든 데이터를 암호화합니다. 암호화 제품을 비교하려면 https://aka.ms/diskencryptioncomparison을 방문하세요. 이 정책을 사용하려면 정책 할당 범위에 두 가지 필수 구성 요소를 배포해야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. (관련 정책: [미리 보기]: Linux 가상 머신은 Azure Disk Encryption 또는 EncryptionAtHost를 사용하도록 설정해야 합니다.

심각도: 높음

[미리 보기]: Windows 가상 머신은 Azure Disk Encryption 또는 EncryptionAtHost를 사용하도록 설정해야 합니다.

설명: 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화되고, 임시 디스크 및 데이터 캐시는 암호화되지 않으며, 컴퓨팅 리소스와 스토리지 리소스 간에 흐르는 경우 데이터가 암호화되지 않습니다. Azure Disk Encryption 또는 EncryptionAtHost를 사용하여 이 모든 데이터를 암호화합니다. 암호화 제품을 비교하려면 https://aka.ms/diskencryptioncomparison을 방문하세요. 이 정책을 사용하려면 정책 할당 범위에 두 가지 필수 구성 요소를 배포해야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. (관련 정책: [미리 보기]: Windows 가상 머신은 Azure Disk Encryption 또는 EncryptionAtHost를 사용하도록 설정해야 합니다.

심각도: 높음

가상 머신 및 가상 머신 확장 집합에서는 호스트에서 암호화를 사용하도록 설정해야 함

설명: 호스트에서 암호화를 사용하여 가상 머신 및 가상 머신 확장 집합 데이터에 대한 엔드 투 엔드 암호화를 가져옵니다. 호스트에서 암호화를 사용하면 임시 디스크 및 OS/데이터 디스크 캐시에 대해 미사용 데이터를 암호화할 수 있습니다. 임시 및 사용 후 삭제 OS 디스크는 호스트에서 암호화가 활성화될 때 플랫폼 관리형 키로 암호화됩니다. OS/데이터 디스크 캐시는 디스크에서 선택한 암호화 유형에 따라 고객 관리형 키 또는 플랫폼 관리형 키를 사용하여 미사용 데이터를 암호화합니다. Azure Portal을 사용하여 호스트에서 암호화를 사용하여 엔드 투 엔드 암호화를 사용하도록 설정하는 방법에 대해 자세히 알아보세요. (관련 효과: 가상 머신 및 가상 머신 확장 집합에서는 호스트에서 암호화를 사용하도록 설정해야 합니다.)

심각도: 보통

(미리 보기) Azure Stack HCI 서버가 보안 코어 요구 사항을 충족해야 합니다.

설명: 모든 Azure Stack HCI 서버가 보안 코어 요구 사항을 충족하는지 확인합니다. (관련 정책: 게스트 구성 확장은 컴퓨터에 설치해야 합니다( Microsoft Azure).

심각도: 낮음

(미리 보기) Azure Stack HCI 서버가 지속적으로 애플리케이션 제어 정책을 적용해야 합니다.

설명: 최소한 모든 Azure Stack HCI 서버에서 Microsoft WDAC 기본 정책을 적용 모드로 적용합니다. 적용된 WDAC(Windows Defender 애플리케이션 제어) 정책은 동일한 클러스터의 서버 전체에서 일관되어야 합니다. (관련 정책: 게스트 구성 확장은 컴퓨터에 설치해야 합니다( Microsoft Azure).

심각도: 높음

(미리 보기) Azure Stack HCI 시스템에는 암호화된 볼륨이 있어야 합니다.

설명: BitLocker를 사용하여 Azure Stack HCI 시스템의 OS 및 데이터 볼륨을 암호화합니다. (관련 정책: 게스트 구성 확장은 컴퓨터에 설치해야 합니다( Microsoft Azure).

심각도: 높음

(미리 보기) 호스트 및 VM 네트워킹은 Azure Stack HCI 시스템에서 보호되어야 합니다.

설명: Azure Stack HCI 호스트의 네트워크 및 가상 머신 네트워크 연결에서 데이터를 보호합니다. (관련 정책: 게스트 구성 확장은 컴퓨터에 설치해야 합니다( Microsoft Azure).

심각도: 낮음

컨테이너 권장 사항

(필요한 경우 사용) 컨테이너 레지스트리는 CMK(고객 관리형 키)로 암호화해야 합니다.

설명: 미사용 데이터 암호화에 고객 관리형 키를 사용하는 권장 사항 기본적으로 평가되지 않지만 해당 시나리오에서 사용하도록 설정할 수 있습니다. 데이터가 플랫폼 관리형 키를 사용하여 자동으로 암호화되므로 규정 준수 또는 제한적인 정책 요구 사항을 따라야 하는 경우에만 고객 관리형 키를 사용하도록 적용해야 합니다. 이 권장 사항을 사용하도록 설정하려면 해당 범위에 대한 보안 정책으로 이동하고 해당 정책에 대한 효과 매개 변수를 업데이트하여 고객 관리형 키의 사용을 감사하거나 적용합니다. 보안 정책 관리에서 자세히 알아봅니다. 고객 관리형 키를 사용하여 레지스트리 콘텐츠의 미사용 데이터 암호화를 관리합니다. 기본적으로 데이터는 서비스 관리형 키를 사용하여 미사용 시 암호화되지만 일반적으로 규정 준수 표준을 충족하려면 CMK(고객 관리형 키)가 필요합니다. CMK를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/acr/CMK에서 CMK 암호화에 대해 자세히 알아봅니다. (관련 정책: 컨테이너 레지스트리는 CMK(고객 관리형 키)로 암호화해야 합니다.

심각도: 낮음

형식: 컨트롤 플레인

Azure Arc 지원 Kubernetes 클러스터에 Azure Policy 확장이 설치되어 있어야 합니다.

설명: Kubernetes용 Azure Policy 확장은 OPA(Open Policy Agent)에 대한 허용 컨트롤러 웹후크인 Gatekeeper v3를 확장하여 중앙 집중식으로 일관된 방식으로 클러스터에 대규모 적용 및 보호 장치를 적용합니다. (관련 정책 없음)

심각도: 높음

형식: 컨트롤 플레인

Azure Arc 지원 Kubernetes 클러스터에 Defender의 확장이 설치되어 있어야 합니다.

설명: Azure Arc용 Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지 기능을 제공합니다. 확장은 클러스터의 모든 제어 평면(마스터) 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Microsoft Defender for Kubernetes 백 엔드 로 보냅니다. (관련 정책 없음)

심각도: 높음

형식: 컨트롤 플레인

Azure Kubernetes Service 클러스터에는 Defender 프로필이 사용하도록 설정되어 있어야 합니다.

설명: 컨테이너용 Microsoft Defender는 환경 강화, 워크로드 보호 및 런타임 보호를 비롯한 클라우드 네이티브 Kubernetes 보안 기능을 제공합니다. Azure Kubernetes Service 클러스터에서 SecurityProfile.AzureDefender 프로필을 사용하도록 설정하면 에이전트가 보안 이벤트 데이터를 수집할 클러스터에 배포됩니다. 스토리지용 Microsoft Defender 소개에서 자세히 알아봅니다. (관련 정책 없음)

심각도: 높음

형식: 컨트롤 플레인

Azure Kubernetes Service 클러스터에는 Kubernetes용 Azure Policy 추가 기능이 설치되어 있어야 합니다.

설명: Kubernetes용 Azure Policy 추가 기능은 OPA(Open Policy Agent)에 대한 허용 컨트롤러 웹후크인 Gatekeeper v3를 확장하여 중앙 집중식으로 일관된 방식으로 클러스터에 대규모 적용 및 보호 기능을 적용합니다. 클라우드용 Defender를 사용하려면 클러스터 내에서 보안 기능 및 규정 준수를 감사하고 적용할 추가 기능이 필요합니다. 자세히 알아보기. Kubernetes v1.14.0 이상이 필요합니다. (관련 정책: AKS(Kubernetes Service)용 Azure Policy 추가 기능을 클러스터에 설치하고 사용하도록 설정해야 합니다.

심각도: 높음

형식: 컨트롤 플레인

컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함

설명: Azure 컨테이너 레지스트리는 기본적으로 모든 네트워크의 호스트에서 인터넷을 통해 연결을 허용합니다. 잠재적 위협으로부터 레지스트리를 보호하려면 특정 공용 IP 주소 또는 주소 범위에서만 액세스를 허용합니다. 레지스트리에 IP/방화벽 규칙이나 구성된 가상 네트워크가 없는 경우 상태가 좋지 않은 리소스에 표시됩니다. Container Registry 네트워크 규칙에 대한 자세한 내용은 https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet을 참조하세요. (관련 정책: 컨테이너 레지스트리는 무제한 네트워크 액세스를 허용해서는 안 됩니다).

심각도: 보통

형식: 컨트롤 플레인

설명: Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 전체 서비스 대신 컨테이너 레지스트리에 매핑하면 데이터 유출 위험으로부터 보호됩니다. https://aka.ms/acr/private-link에서 자세히 알아보세요. (관련 정책: 컨테이너 레지스트리는 프라이빗 링크를 사용해야 합니다).

심각도: 보통

형식: 컨트롤 플레인

Kubernetes 서비스의 진단 로그를 사용하도록 설정해야 합니다.

설명: Kubernetes 서비스에서 진단 로그를 사용하도록 설정하고 최대 1년까지 유지합니다. 이렇게 하면 보안 인시던트가 발생한 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. (관련 정책 없음)

심각도: 낮음

형식: 컨트롤 플레인

제한된 액세스 권한으로 Kubernetes API 서버를 구성해야 합니다.

설명: 허용된 네트워크, 컴퓨터 또는 서브넷의 애플리케이션만 클러스터에 액세스할 수 있도록 하려면 Kubernetes API 서버에 대한 액세스를 제한합니다. 권한 있는 IP 범위를 정의하거나 프라이빗 Azure Kubernetes Service 클러스터 만들기에 설명된 대로 API 서버를 프라이빗 클러스터로 설정하여 액세스를 제한할 수 있습니다. (관련 정책: 인증된 IP 범위는 Kubernetes Services에서 정의해야 합니다).

심각도: 높음

형식: 컨트롤 플레인

Kubernetes Services에서 역할 기반 액세스 제어를 사용해야 합니다.

설명: 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. (관련 정책: RBAC(역할 기반 액세스 제어)는 Kubernetes Services에서 사용해야 합니다.

심각도: 높음

형식: 컨트롤 플레인

컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다.

설명: 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. 이 정보를 사용하여 보안 문제를 신속하게 수정하고 컨테이너의 보안을 강화할 수 있습니다.

중요: 이 권장 사항을 수정하면 Kubernetes 클러스터를 보호하는 데 요금이 부과됩니다. 이 구독에 Kubernetes 클러스터가 없으면 요금이 발생하지 않습니다. 나중에 이 구독에 Kubernetes 클러스터를 만들면 자동으로 보호되고 요금이 해당 시점에 시작됩니다. 스토리지용 Microsoft Defender 소개에서 자세히 알아봅니다. (관련 정책 없음)

심각도: 높음

형식: 컨트롤 플레인

컨테이너 CPU 및 메모리 한도를 적용해야 함

설명: CPU 및 메모리 제한을 적용하면 리소스 소모 공격(서비스 거부 공격의 한 형태)을 방지할 수 있습니다.

컨테이너에 대한 제한을 설정하여 런타임에서 컨테이너가 구성된 리소스 제한을 초과하여 사용하지 못하도록 하는 것이 좋습니다.

(관련 정책: 컨테이너 CPU 및 메모리 리소스 제한이 Kubernetes 클러스터에서 지정된 제한을 초과하지 않는지 확인합니다.)

심각도: 보통

형식: Kubernetes 데이터 평면

컨테이너 이미지는 신뢰할 수 있는 레지스트리에서만 배포해야 합니다.

설명: Kubernetes 클러스터에서 실행되는 이미지는 알려진 컨테이너 이미지 레지스트리와 모니터링되는 컨테이너 이미지 레지스트리에서 가져옵니다. 신뢰할 수 있는 레지스트리는 알 수 없는 취약성, 보안 문제 및 악성 이미지의 도입 가능성을 제한하여 클러스터의 노출 위험을 줄입니다.

(관련 정책: Kubernetes 클러스터에서 허용되는 컨테이너 이미지만 확인).

심각도: 높음

형식: Kubernetes 데이터 평면

권한 상승을 포함하는 컨테이너를 사용하지 않아야 함

설명: 컨테이너는 Kubernetes 클러스터의 루트에 대한 권한 상승과 함께 실행해서는 안 됩니다. AllowPrivilegeEscalation 특성은 프로세스가 부모 프로세스보다 더 많은 권한을 얻을 수 있는지 여부를 제어합니다. (관련 정책: Kubernetes 클러스터는 컨테이너 권한 에스컬레이션을 허용해서는 안 됩니다).

심각도: 보통

형식: Kubernetes 데이터 평면

중요한 호스트 네임스페이스를 공유하는 컨테이너는 피해야 합니다.

설명: 컨테이너 외부의 권한 상승으로부터 보호하려면 Kubernetes 클러스터의 중요한 호스트 네임스페이스(호스트 프로세스 ID 및 호스트 IPC)에 대한 Pod 액세스를 방지합니다. (관련 정책: Kubernetes 클러스터 컨테이너는 호스트 프로세스 ID 또는 호스트 IPC 네임스페이스를 공유해서는 안 됩니다.)

심각도: 보통

형식: Kubernetes 데이터 평면

컨테이너는 허용되는 AppArmor 프로필만 사용해야 합니다.

설명: Kubernetes 클러스터에서 실행되는 컨테이너는 허용되는 AppArmor 프로필로만 제한되어야 합니다. AppArmor(Application Armor)는 보안 위협으로부터 운영 체제와 애플리케이션을 보호하는 Linux 보안 모듈입니다. 이를 사용하기 위해 시스템 관리자는 AppArmor 보안 프로필을 각 프로그램과 연결합니다. (관련 정책: Kubernetes 클러스터 컨테이너는 허용되는 AppArmor 프로필만 사용해야 합니다).

심각도: 높음

형식: Kubernetes 데이터 평면

컨테이너에 대해 변경할 수 없는(읽기 전용) 루트 파일 시스템 적용해야 합니다.

설명: 컨테이너는 Kubernetes 클러스터에서 읽기 전용 루트 파일 시스템으로 실행되어야 합니다. 변경할 수 없는 파일 시스템은 PATH에 악성 이진 파일이 추가되어 런타임에 컨테이너를 변경으로부터 보호합니다. (관련 정책: Kubernetes 클러스터 컨테이너는 읽기 전용 루트 파일 시스템으로 실행해야 합니다).

심각도: 보통

형식: Kubernetes 데이터 평면

Kubernetes 클러스터는 HTTPS를 통해서만 액세스할 수 있어야 함

설명: HTTPS를 사용하면 인증을 보장하고 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. 이 기능은 현재 AKS(Kubernetes Service)로 일반 공급되며, AKS 엔진 및 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 (관련 정책: Kubernetes 클러스터에서 HTTPS 수신 적용)을 참조 https://aka.ms/kubepolicydoc 하세요.

심각도: 높음

형식: Kubernetes 데이터 평면

Kubernetes 클러스터는 자동 탑재 API 자격 증명을 사용하지 않도록 설정해야 함

설명: 잠재적으로 손상된 Pod 리소스가 Kubernetes 클러스터에 대해 API 명령을 실행하지 않도록 API 자격 증명 자동 탑재를 사용하지 않도록 설정합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. (관련 정책: Kubernetes 클러스터는 API 자격 증명 자동 탑재를 사용하지 않도록 설정해야 함).

심각도: 높음

형식: Kubernetes 데이터 평면

Kubernetes 클러스터는 CAPSYSADMIN 보안 기능을 부여해서는 안 됩니다.

설명: 컨테이너의 공격 노출 영역을 줄이려면 CAP_SYS_ADMIN Linux 기능을 제한합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. (관련 정책 없음)

심각도: 높음

형식: Kubernetes 데이터 평면

Kubernetes 클러스터는 기본 네임스페이스를 사용하지 않아야 함

설명: ConfigMap, Pod, Secret, Service 및 ServiceAccount 리소스 종류에 대한 무단 액세스로부터 보호하기 위해 Kubernetes 클러스터의 기본 네임스페이스를 사용할 수 없도록 합니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. (관련 정책: Kubernetes 클러스터는 기본 네임스페이스를 사용하면 안 됩니다).

심각도: 낮음

형식: Kubernetes 데이터 평면

컨테이너에 대해 최소 권한 Linux 기능을 적용해야 합니다.

설명: 컨테이너의 공격 노출 영역을 줄이려면 루트 사용자의 모든 권한을 부여하지 않고 Linux 기능을 제한하고 컨테이너에 특정 권한을 부여합니다. 모든 기능을 삭제한 다음 필요한 기능을 추가하는 것이 좋습니다(관련 정책: Kubernetes 클러스터 컨테이너는 허용된 기능만 사용해야 합니다).

심각도: 보통

형식: Kubernetes 데이터 평면

권한 있는 컨테이너는 피해야 합니다.

설명: 무제한 호스트 액세스를 방지하려면 가능하면 권한 있는 컨테이너를 사용하지 마세요.

권한 있는 컨테이너에는 호스트 머신의 모든 루트 기능이 있습니다. 공격의 진입점으로 사용하고 악성 코드 또는 맬웨어를 손상된 애플리케이션, 호스트 및 네트워크에 전파할 수 있습니다. (관련 정책: Kubernetes 클러스터에서 권한 있는 컨테이너를 허용하지 않습니다).

심각도: 보통

형식: Kubernetes 데이터 평면

루트 사용자로 컨테이너 실행은 피해야 합니다.

설명: 컨테이너는 Kubernetes 클러스터에서 루트 사용자로 실행해서는 안 됩니다. 컨테이너 내에서 루트 사용자로 프로세스를 실행하면 호스트에서 루트로 실행됩니다. 손상이 있는 경우 공격자가 컨테이너에 루트를 가지고 있으며, 잘못된 구성을 악용하는 것이 더 쉬워집니다. (관련 정책: Kubernetes 클러스터 Pod 및 컨테이너는 승인된 사용자 및 그룹 ID로만 실행해야 합니다.)

심각도: 높음

형식: Kubernetes 데이터 평면

서비스는 허용된 포트에서만 수신 대기해야 합니다.

설명: Kubernetes 클러스터의 공격 노출 영역을 줄이려면 구성된 포트에 대한 서비스 액세스를 제한하여 클러스터에 대한 액세스를 제한합니다. (관련 정책: 서비스가 Kubernetes 클러스터의 허용된 포트에서만 수신 대기하도록 합니다.)

심각도: 보통

형식: Kubernetes 데이터 평면

호스트 네트워킹 및 포트 사용을 제한해야 합니다.

설명: Kubernetes 클러스터에서 호스트 네트워크 및 허용 가능한 호스트 포트 범위에 대한 Pod 액세스를 제한합니다. hostNetwork 특성을 사용하도록 설정하여 만든 Pod는 노드의 네트워크 공간을 공유합니다. 손상된 컨테이너가 네트워크 트래픽을 스니핑하지 않도록 하려면 Pod를 호스트 네트워크에 배치하지 않는 것이 좋습니다. 노드의 네트워크에 컨테이너 포트를 노출해야 하는데 Kubernetes Service 노드 포트를 사용하는 것이 요구 사항을 충족하지 않는 경우 다른 가능성은 Pod 사양에서 컨테이너에 대한 hostPort를 지정하는 것입니다. (관련 정책: Kubernetes 클러스터 Pod는 승인된 호스트 네트워크 및 포트 범위만 사용해야 합니다).

심각도: 보통

형식: Kubernetes 데이터 평면

손상된 컨테이너에서 노드 액세스를 제한하려면 Pod HostPath 볼륨 탑재 사용을 알려진 목록으로 제한해야 합니다.

설명: Kubernetes 클러스터의 Pod HostPath 볼륨 탑재를 구성된 허용된 호스트 경로로 제한하는 것이 좋습니다. 손상이 있는 경우 컨테이너의 컨테이너 노드 액세스를 제한해야 합니다. (관련 정책: Kubernetes 클러스터 Pod hostPath 볼륨은 허용된 호스트 경로만 사용해야 합니다).

심각도: 보통

형식: Kubernetes 데이터 평면

Azure 레지스트리 컨테이너 이미지의 취약성이 해결되어야 함(Qualys 제공)

설명: 컨테이너 이미지 취약성 평가는 레지스트리에서 보안 취약성을 검사하고 각 이미지에 대한 자세한 결과를 노출합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다. (관련 정책: Azure Container Registry 이미지의 취약성을 수정해야 함).

심각도: 높음

형식: 취약성 평가

Azure 레지스트리 컨테이너 이미지의 취약성이 해결되어야 합니다(Microsoft Defender 취약성 관리 제공).

설명: 컨테이너 이미지 취약성 평가는 레지스트리에서 일반적으로 알려진 취약성(CVE)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 취약성을 해결하면 보안 태세가 크게 향상되어 배포 전에 이미지를 안전하게 사용할 수 있습니다. (관련 정책: Azure Container Registry 이미지의 취약성을 수정해야 함).

심각도: 높음

형식: 취약성 평가

Azure 실행 컨테이너 이미지의 취약성이 해결되어야 합니다(Qualys 제공).

설명: 컨테이너 이미지 취약성 평가는 Kubernetes 클러스터에서 실행되는 컨테이너 이미지를 검사하여 보안 취약성을 검사하고 각 이미지에 대한 자세한 결과를 노출합니다. 취약성을 해결하면 컨테이너의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다. (관련 정책 없음)

심각도: 높음

형식: 취약성 평가

Azure 실행 컨테이너 이미지의 취약성이 해결되어야 합니다(Microsoft Defender Vulnerability Management 기반).

설명: 컨테이너 이미지 취약성 평가는 레지스트리에서 일반적으로 알려진 취약성(CVE)을 검사하고 각 이미지에 대한 자세한 취약성 보고서를 제공합니다. 이 권장 사항은 현재 Kubernetes 클러스터에서 실행 중인 취약한 이미지에 대한 가시성을 제공합니다. 현재 실행 중인 컨테이너 이미지의 취약성을 수정하는 것은 보안 태세를 개선하고 컨테이너화된 워크로드에 대한 공격 표면을 크게 줄이는 데 중요합니다.

심각도: 높음

형식: 취약성 평가

데이터 권장 사항

(필요한 경우 사용) Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다.

설명: 미사용 데이터 암호화에 고객 관리형 키를 사용하는 권장 사항 기본적으로 평가되지 않지만 해당 시나리오에서 사용하도록 설정할 수 있습니다. 데이터가 플랫폼 관리형 키를 사용하여 자동으로 암호화되므로 규정 준수 또는 제한적인 정책 요구 사항을 따라야 하는 경우에만 고객 관리형 키를 사용하도록 적용해야 합니다. 이 권장 사항을 사용하도록 설정하려면 해당 범위에 대한 보안 정책으로 이동하고 해당 정책에 대한 효과 매개 변수를 업데이트하여 고객 관리형 키의 사용을 감사하거나 적용합니다. 보안 정책 관리에서 자세히 알아봅니다. 고객 관리형 키를 사용하여 Azure Cosmos DB의 미사용 데이터 암호화를 관리합니다. 기본적으로 데이터는 서비스 관리형 키를 사용하여 미사용 시 암호화되지만 일반적으로 규정 준수 표준을 충족하려면 CMK(고객 관리형 키)가 필요합니다. CMK를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/cosmosdb-cmk에서 CMK 암호화에 대해 자세히 알아봅니다. (관련 정책: Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다).

심각도: 낮음

(필요한 경우 사용) Azure Machine Learning 작업 영역은 CMK(고객 관리형 키)로 암호화해야 합니다.

설명: 미사용 데이터 암호화에 고객 관리형 키를 사용하는 권장 사항 기본적으로 평가되지 않지만 해당 시나리오에서 사용하도록 설정할 수 있습니다. 데이터가 플랫폼 관리형 키를 사용하여 자동으로 암호화되므로 규정 준수 또는 제한적인 정책 요구 사항을 따라야 하는 경우에만 고객 관리형 키를 사용하도록 적용해야 합니다. 이 권장 사항을 사용하도록 설정하려면 해당 범위에 대한 보안 정책으로 이동하고 해당 정책에 대한 효과 매개 변수를 업데이트하여 고객 관리형 키의 사용을 감사하거나 적용합니다. 보안 정책 관리에서 자세히 알아봅니다. CMK(고객 관리형 키)를 사용하여 Azure Machine Learning 작업 영역 데이터의 나머지 부분에 있는 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, CMK는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. CMK를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/azureml-workspaces-cmk에서 CMK 암호화에 대해 자세히 알아봅니다. (관련 정책: Azure Machine Learning 작업 영역은 CMK(고객 관리형 키)로 암호화되어야 합니다.

심각도: 낮음

(필요한 경우 사용) Cognitive Services 계정은 CMK(고객 관리형 키)를 사용하여 데이터 암호화를 사용하도록 설정해야 합니다.

설명: 미사용 데이터 암호화에 고객 관리형 키를 사용하는 권장 사항 기본적으로 평가되지 않지만 해당 시나리오에서 사용하도록 설정할 수 있습니다. 데이터가 플랫폼 관리형 키를 사용하여 자동으로 암호화되므로 규정 준수 또는 제한적인 정책 요구 사항을 따라야 하는 경우에만 고객 관리형 키를 사용하도록 적용해야 합니다. 이 권장 사항을 사용하도록 설정하려면 해당 범위에 대한 보안 정책으로 이동하고 해당 정책에 대한 효과 매개 변수를 업데이트하여 고객 관리형 키의 사용을 감사하거나 적용합니다. 보안 정책 관리에서 자세히 알아봅니다. CMK(고객 관리형 키)는 일반적으로 규정 준수 표준을 충족해야 합니다. CMK를 사용하면 Cognitive Services에 저장된 데이터를 사용자가 만들고 소유한 Azure Key Vault 키로 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/cosmosdb-cmk에서 CMK 암호화에 대해 자세히 알아봅니다. (관련 정책: Cognitive Services 계정은 CMK(고객 관리형 키)로 데이터 암호화를 사용하도록 설정해야 하나요?)

심각도: 낮음

(필요한 경우 사용) MySQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다.

설명: 미사용 데이터 암호화에 고객 관리형 키를 사용하는 권장 사항 기본적으로 평가되지 않지만 해당 시나리오에서 사용하도록 설정할 수 있습니다. 데이터가 플랫폼 관리형 키를 사용하여 자동으로 암호화되므로 규정 준수 또는 제한적인 정책 요구 사항을 따라야 하는 경우에만 고객 관리형 키를 사용하도록 적용해야 합니다. 이 권장 사항을 사용하도록 설정하려면 해당 범위에 대한 보안 정책으로 이동하고 해당 정책에 대한 효과 매개 변수를 업데이트하여 고객 관리형 키의 사용을 감사하거나 적용합니다. 보안 정책 관리에서 자세히 알아봅니다. 고객 관리형 키를 사용하여 MySQL 서버의 미사용 데이터 암호화를 관리합니다. 기본적으로 데이터는 서비스 관리형 키를 사용하여 미사용 시 암호화되지만 일반적으로 규정 준수 표준을 충족하려면 CMK(고객 관리형 키)가 필요합니다. CMK를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. (관련 정책: MySQL 서버에 대해 사용자 고유의 키 데이터 보호를 사용하도록 설정해야 함).

심각도: 낮음

(필요한 경우 사용) PostgreSQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다.

설명: 미사용 데이터 암호화에 고객 관리형 키를 사용하는 권장 사항 기본적으로 평가되지 않지만 해당 시나리오에서 사용하도록 설정할 수 있습니다. 데이터가 플랫폼 관리형 키를 사용하여 자동으로 암호화되므로 규정 준수 또는 제한적인 정책 요구 사항을 따라야 하는 경우에만 고객 관리형 키를 사용하도록 적용해야 합니다. 이 권장 사항을 사용하도록 설정하려면 해당 범위에 대한 보안 정책으로 이동하고 해당 정책에 대한 효과 매개 변수를 업데이트하여 고객 관리형 키의 사용을 감사하거나 적용합니다. 보안 정책 관리에서 자세히 알아봅니다. 고객 관리형 키를 사용하여 PostgreSQL 서버의 미사용 데이터 암호화를 관리합니다. 기본적으로 데이터는 서비스 관리형 키를 사용하여 미사용 시 암호화되지만 일반적으로 규정 준수 표준을 충족하려면 CMK(고객 관리형 키)가 필요합니다. CMK를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. (관련 정책: PostgreSQL 서버에 대해 사용자 고유의 키 데이터 보호를 사용하도록 설정해야 함).

심각도: 낮음

(필요한 경우 사용) SQL 관리형 인스턴스는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다.

설명: 미사용 데이터 암호화에 고객 관리형 키를 사용하는 권장 사항 기본적으로 평가되지 않지만 해당 시나리오에서 사용하도록 설정할 수 있습니다. 데이터가 플랫폼 관리형 키를 사용하여 자동으로 암호화되므로 규정 준수 또는 제한적인 정책 요구 사항을 따라야 하는 경우에만 고객 관리형 키를 사용하도록 적용해야 합니다. 이 권장 사항을 사용하도록 설정하려면 해당 범위에 대한 보안 정책으로 이동하고 해당 정책에 대한 효과 매개 변수를 업데이트하여 고객 관리형 키의 사용을 감사하거나 적용합니다. 보안 정책 관리에서 자세히 알아봅니다. 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통한 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. (관련 정책: SQL 관리형 인스턴스는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다).

심각도: 낮음

(필요한 경우 사용) SQL Server는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다.

설명: 미사용 데이터 암호화에 고객 관리형 키를 사용하는 권장 사항 기본적으로 평가되지 않지만 해당 시나리오에서 사용하도록 설정할 수 있습니다. 데이터가 플랫폼 관리형 키를 사용하여 자동으로 암호화되므로 규정 준수 또는 제한적인 정책 요구 사항을 따라야 하는 경우에만 고객 관리형 키를 사용하도록 적용해야 합니다. 이 권장 사항을 사용하도록 설정하려면 해당 범위에 대한 보안 정책으로 이동하고 해당 정책에 대한 효과 매개 변수를 업데이트하여 고객 관리형 키의 사용을 감사하거나 적용합니다. 보안 정책 관리에서 자세히 알아봅니다. 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통해 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. (관련 정책: SQL Server는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 합니다).

심각도: 낮음

(필요한 경우 사용) 스토리지 계정은 암호화에 CMK(고객 관리형 키)를 사용해야 합니다.

설명: 미사용 데이터 암호화에 고객 관리형 키를 사용하는 권장 사항 기본적으로 평가되지 않지만 해당 시나리오에서 사용하도록 설정할 수 있습니다. 데이터가 플랫폼 관리형 키를 사용하여 자동으로 암호화되므로 규정 준수 또는 제한적인 정책 요구 사항을 따라야 하는 경우에만 고객 관리형 키를 사용하도록 적용해야 합니다. 이 권장 사항을 사용하도록 설정하려면 해당 범위에 대한 보안 정책으로 이동하고 해당 정책에 대한 효과 매개 변수를 업데이트하여 고객 관리형 키의 사용을 감사하거나 적용합니다. 보안 정책 관리에서 자세히 알아봅니다. CMK(고객 관리형 키)를 사용하여 보다 유연하게 스토리지 계정을 보호합니다. CMK를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. CMK를 사용하면 키 암호화 키의 회전을 제어하거나 암호화적으로 데이터를 지우는 추가 기능을 제공합니다. (관련 정책: 스토리지 계정은 암호화에 CMK(고객 관리형 키)를 사용해야 합니다.

심각도: 낮음

SQL 관리형 인스턴스 고급 데이터 보안 설정에서 모든 고급 위협 방지 유형을 사용하도록 설정해야 합니다.

설명: SQL 관리형 인스턴스에서 모든 고급 위협 방지 유형을 사용하도록 설정하는 것이 좋습니다. 모든 형식을 사용하도록 설정하면 SQL 삽입, 데이터베이스 취약성 및 기타 비정상적인 활동으로부터 보호됩니다. (관련 정책 없음)

심각도: 보통

SQL Server 고급 데이터 보안 설정에서 모든 고급 위협 방지 유형을 사용하도록 설정해야 합니다.

설명: SQL 서버에서 모든 고급 위협 방지 유형을 사용하도록 설정하는 것이 좋습니다. 모든 형식을 사용하도록 설정하면 SQL 삽입, 데이터베이스 취약성 및 기타 비정상적인 활동으로부터 보호됩니다. (관련 정책 없음)

심각도: 보통

API Management 서비스에서 가상 네트워크를 사용해야 함

설명: Azure Virtual Network 배포는 향상된 보안, 격리를 제공하며 액세스를 제어하는 인터넷이 아닌 라우팅 가능 네트워크에 API Management 서비스를 배치할 수 있습니다. 그런 다음, 다양한 VPN 기술을 사용하여 이러한 네트워크를 온-프레미스 네트워크에 연결할 수 있으며, 이를 통해 네트워크 및/또는 온-프레미스 내에서 백 엔드 서비스에 액세스할 수 있습니다. 개발자 포털 및 API 게이트웨이를 인터넷에서 또는 가상 네트워크 내에서만 액세스할 수 있게 구성할 수 있습니다. (관련 정책: API Management 서비스는 가상 네트워크를 사용해야 합니다).

심각도: 보통

설명: Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 앱 구성 인스턴스에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/appconfig/private-endpoint에서 자세히 알아보세요. (관련 정책: 앱 구성은 프라이빗 링크를 사용해야 합니다).

심각도: 보통

SQL 서버에 대한 감사 보존 기간을 90일 이상으로 설정해야 합니다.

설명: 90일 미만의 감사 보존 기간으로 구성된 SQL 서버 감사 (관련 정책: SQL 서버는 90일 이상의 감사 보존 기간 이상으로 구성해야 합니다.)

심각도: 낮음

SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다.

설명: SQL Server에서 감사를 사용하도록 설정하여 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장합니다. (관련 정책: SQL Server에 대한 감사를 사용하도록 설정해야 함).

심각도: 낮음

구독에 Log Analytics 에이전트의 자동 프로비저닝을 사용하도록 설정해야 합니다.

설명: 보안 취약성 및 위협을 모니터링하려면 클라우드용 Microsoft Defender Azure 가상 머신에서 데이터를 수집합니다. 데이터는 이전에 MMA(Microsoft Monitoring Agent)로 알려진 Log Analytics 에이전트에 의해 수집되며, 머신에서 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 Log Analytics 작업 영역에 데이터를 복사합니다. 지원되는 모든 Azure VM과 생성된 모든 새 VM에 에이전트를 자동으로 배포하려면 자동 프로비저닝을 사용하도록 설정하는 것이 좋습니다. (관련 정책: 구독에서 Log Analytics 에이전트의 자동 프로비저닝을 사용하도록 설정해야 함).

심각도: 낮음

Azure Cache for Redis는 가상 네트워크 내에 있어야 함

설명: Azure VNet(Virtual Network) 배포는 Azure Cache for Redis뿐만 아니라 서브넷, 액세스 제어 정책 및 액세스를 추가로 제한하는 기타 기능에 대해 향상된 보안 및 격리를 제공합니다. Azure Cache for Redis 인스턴스가 VNet으로 구성되면 공개적으로 주소를 지정할 수 없으며, VNet 내의 가상 머신과 애플리케이션에서만 액세스할 수 있습니다. (관련 정책: Azure Cache for Redis는 가상 네트워크 내에 있어야 합니다).

심각도: 보통

Azure Database for MySQL에는 Azure Active Directory 관리자가 프로비전되어 있어야 합니다.

설명: Azure AD 인증을 사용하도록 Azure Database for MySQL에 대한 Azure AD 관리자를 프로비전합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스 대한 간소화된 권한 관리 및 중앙 ID 관리가 가능합니다(관련 정책: MySQL 서버에 대해 Azure Active Directory 관리자를 프로비전해야 함).

심각도: 보통

Azure Database for PostgreSQL에는 Azure Active Directory 관리자가 프로비전되어 있어야 합니다.

설명: Azure AD 인증을 사용하도록 Azure Database for PostgreSQL에 대한 Azure AD 관리자를 프로비전합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다.
(관련 정책: Azure Active Directory 관리자는 PostgreSQL 서버에 대해 프로비전되어야 합니다).

심각도: 보통

Azure Cosmos DB 계정에 방화벽 규칙이 있어야 함

설명: 무단 원본의 트래픽을 방지하려면 Azure Cosmos DB 계정에 방화벽 규칙을 정의해야 합니다. 가상 네트워크 필터를 사용하도록 정의된 IP 규칙이 하나 이상 있는 계정은 규정을 준수하는 것으로 간주됩니다. 퍼블릭 액세스를 비활성화한 계정도 규정을 준수하는 것으로 간주됩니다. (관련 정책: Azure Cosmos DB 계정에는 방화벽 규칙이 있어야 합니다).

심각도: 보통

설명: Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Event Grid에 매핑하면 전체 서비스 대신 기본 데이터 유출 위험으로부터 보호됩니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. (관련 정책: Azure Event Grid는 프라이빗 링크를 사용해야 기본).

심각도: 보통

설명: Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 토픽에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호됩니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. (관련 정책: Azure Event Grid 토픽은 프라이빗 링크를 사용해야 합니다).

심각도: 보통

설명: Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Azure Machine Learning 작업 영역에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/azureml-workspaces-privatelink에서 자세히 알아보세요. (관련 정책: Azure Machine Learning 작업 영역은 프라이빗 링크를 사용해야 합니다).

심각도: 보통

설명: Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 SignalR 리소스에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/asrs/privatelink에서 자세히 알아보세요. (관련 정책: Azure SignalR Service는 프라이빗 링크를 사용해야 합니다).

심각도: 보통

Azure Spring Cloud는 네트워크 주입을 사용해야 함

설명: Azure Spring Cloud 인스턴스는 다음 목적을 위해 가상 네트워크 주입을 사용해야 합니다. 1. Azure Spring Cloud를 인터넷에서 격리합니다. 2. Azure Spring Cloud를 사용하여 온-프레미스 데이터 센터의 시스템 또는 다른 가상 네트워크의 Azure 서비스와 상호 작용할 수 있습니다. 3. 고객이 Azure Spring Cloud에 대한 인바운드 및 아웃바운드 네트워크 통신을 제어할 수 있습니다. (관련 정책: Azure Spring Cloud는 네트워크 주입을 사용해야 합니다).

심각도: 보통

Azure Active Directory 관리자를 SQL Server에 대해 프로비저닝해야 합니다.

설명: AZURE AD 인증을 사용하도록 SQL Server에 대한 Azure AD 관리자를 프로비전합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스 대한 간소화된 권한 관리 및 중앙 집중식 ID 관리를 사용할 수 있습니다. (관련 정책: Sql Server에 대해 Azure Active Directory 관리자를 프로비전해야 함).

심각도: 높음

Azure Synapse 작업 영역 인증 모드는 Azure Active Directory 전용이어야 합니다.

설명: Azure Synapse 작업 영역 인증 모드는 Azure Active Directory 전용 Azure Active Directory 인증 방법이어야 하며, Synapse 작업 영역에 인증을 위해 Azure AD ID만 필요하도록 하여 보안을 향상시킵니다. 자세히 알아보기. (관련 정책: Synapse 작업 영역은 인증에 Azure Active Directory ID만 사용해야 합니다).

심각도: 보통

코드 리포지토리에서 코드 검사 결과를 확인해야 함

설명: Defender for DevOps가 코드 리포지토리에서 취약성을 발견했습니다. 리포지토리의 보안 상태를 향상시키려면 이러한 취약성을 수정하는 것이 좋습니다. (관련 정책 없음)

심각도: 보통

코드 리포지토리에서 Dependabot 검사 확인해야 함

설명: Defender for DevOps가 코드 리포지토리에서 취약성을 발견했습니다. 리포지토리의 보안 상태를 향상시키려면 이러한 취약성을 수정하는 것이 좋습니다. (관련 정책 없음)

심각도: 보통

코드 리포지토리에서 코드 제공 인프라 검사 결과를 확인해야 함

설명: Defender for DevOps는 리포지토리에서 코드 보안 구성 문제로 인프라를 찾았습니다. 아래에 표시된 문제는 템플릿 파일에서 검색되었습니다. 관련 클라우드 리소스의 보안 상태를 향상시키려면 이러한 문제를 수정하는 것이 좋습니다. (관련 정책 없음)

심각도: 보통

코드 리포지토리에서 비밀 검사 결과를 확인해야 함

설명: Defender for DevOps가 코드 리포지토리에서 비밀을 찾았습니다. 이는 보안 위반을 방지하기 위해 즉시 수정해야 합니다. 리포지토리에 있는 비밀은 악의적 사용자가 유출하거나 검색할 수 있습니다. 이로 인해 애플리케이션 또는 서비스가 손상될 수 있습니다. Azure DevOps의 경우 Microsoft Security DevOps CredScan 도구는 실행되도록 구성된 빌드만 검색합니다. 따라서 결과에는 리포지토리에 있는 비밀의 전체 상태 반영되지 않을 수 있습니다. (관련 정책 없음)

심각도: 높음

Cognitive Services 계정은 데이터 암호화를 사용하도록 설정해야 함

설명: 이 정책은 데이터 암호화를 사용하지 않는 Cognitive Services 계정을 감사합니다. 스토리지가 있는 각 Cognitive Services 계정에 대해 고객 관리형 키 또는 Microsoft 관리형 키를 사용하여 데이터 암호화를 사용하도록 설정해야 합니다. (관련 정책: Cognitive Services 계정은 데이터 암호화를 사용하도록 설정해야 함).

심각도: 낮음

Cognitive Services 계정은 네트워크 액세스를 제한해야 함

설명: Cognitive Services 계정에 대한 네트워크 액세스를 제한해야 합니다. 애플리케이션 형식만 허용되는 네트워크에서 Cognitive Services 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크에서의 트래픽 또는 공용 인터넷 IP 주소 범위에 액세스 권한을 부여할 수 있습니다. (관련 정책: Cognitive Services 계정은 네트워크 액세스를 제한해야 합니다).

심각도: 보통

Cognitive Services 계정은 고객 소유 스토리지를 사용하거나 데이터 암호화를 사용하도록 설정해야 합니다.

설명: 이 정책은 고객 소유 스토리지 또는 데이터 암호화를 사용하지 않는 Cognitive Services 계정을 감사합니다. 스토리지를 사용하는 각 Cognitive Services 계정에 대해 고객 소유 스토리지를 사용하거나 데이터 암호화를 사용하도록 설정합니다. (관련 정책: Cognitive Services 계정은 고객 소유 스토리지를 사용하거나 데이터 암호화를 사용하도록 설정해야 합니다.)

심각도: 낮음

Azure Data Lake Store의 진단 로그를 사용하도록 설정해야 합니다.

설명: 로그를 사용하도록 설정하고 최대 1년 동안 유지합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. (관련 정책: Azure Data Lake Store의 진단 로그를 사용하도록 설정해야 함).

심각도: 낮음

Data Lake Analytics의 진단 로그를 사용하도록 설정해야 함

설명: 로그를 사용하도록 설정하고 최대 1년 동안 유지합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. (관련 정책: Data Lake Analytics의 진단 로그를 사용하도록 설정해야 함).

심각도: 낮음

심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다.

설명: 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 사용자에게 알림을 표시하려면 클라우드용 Defender 심각도가 높은 경고에 대해 메일 알림 사용하도록 설정합니다. (관련 정책: 심각도가 높은 경고에 대한 전자 메일 알림을 사용하도록 설정해야 함).

심각도: 낮음

심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다.

설명: 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알림을 받도록 하려면 클라우드용 Defender 심각도가 높은 경고에 대해 구독 소유자에게 메일 알림 설정합니다. (관련 정책: 높은 심각도 경고에 대한 구독 소유자에게 전자 메일 알림을 사용하도록 설정해야 함).

심각도: 보통

MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다.

설명: Azure Database for MySQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for MySQL 서버를 클라이언트 애플리케이션에 연결할 수 있도록 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. (관련 정책: MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 함).

심각도: 보통

PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다.

설명: Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결할 수 있도록 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. (관련 정책: PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 함).

심각도: 보통

함수 앱에서 취약성 결과를 해결해야 함

설명: 함수에 대한 런타임 취약성 검사는 함수 앱에서 보안 취약성을 검사하고 자세한 결과를 노출합니다. 취약성을 해결하면 서버리스 애플리케이션의 보안 상태가 크게 개선되며 공격으로부터 보호할 수 있습니다. (관련 정책 없음)

심각도: 높음

Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다.

설명: Azure Database for MariaDB를 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업에 대한 지역 중복 스토리지 구성은 서버를 만들 때만 허용됩니다. (관련 정책: Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다).

심각도: 낮음

Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다.

설명: Azure Database for MySQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업에 대한 지역 중복 스토리지 구성은 서버를 만들 때만 허용됩니다. (관련 정책: Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 함).

심각도: 낮음

Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다.

설명: Azure Database for PostgreSQL을 사용하면 데이터베이스 서버에 대한 중복 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업에 대한 지역 중복 스토리지 구성은 서버를 만들 때만 허용됩니다. (관련 정책: Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다).

심각도: 낮음

코드 검사를 GitHub 리포지토리에 사용하도록 설정해야 함

설명: GitHub는 코드 검색을 사용하여 코드에서 보안 취약성 및 오류를 찾기 위해 코드를 분석합니다. 코드 검사는 코드의 기존 문제에 대한 수정을 찾고 심사하고 우선 순위를 지정하는 데 사용할 수 있습니다. 또한 코드 검사는 개발자가 새로운 문제를 도입하지 않도록 방지할 수 있습니다. 검사를 특정 날짜 및 시간에 예약하거나 리포지토리에서 푸시와 같은 특정 이벤트가 발생하는 경우 검사를 트리거할 수 있습니다. 코드 검사에서 코드의 잠재적 취약성 또는 오류를 발견하면 GitHub에서 경고를 리포지토리에 표시합니다. 취약성은 프로젝트의 기밀성, 무결성 또는 가용성을 손상시키기 위해 악용될 수 있는 프로젝트 코드의 문제입니다. (관련 정책 없음)

심각도: 보통

Dependabot 검사를 GitHub 리포지토리에 사용하도록 설정해야 함

설명: GitHub는 리포지토리에 영향을 주는 코드 종속성에서 취약성을 검색할 때 Dependabot 경고를 보냅니다. 취약성은 프로젝트 또는 해당 코드를 사용하는 기타 프로젝트의 기밀성, 무결성 또는 가용성을 손상시키기 위해 악용할 수 있는 프로젝트 코드의 문제입니다. 취약성은 공격 유형, 심각도 및 방법에 따라 다릅니다. 코드가 보안 취약성이 있는 패키지에 종속된 경우 이 취약한 종속성은 다양한 문제를 일으킬 수 있습니다. (관련 정책 없음)

심각도: 보통

비밀 검사를 GitHub 리포지토리에 사용하도록 설정해야 함

설명: GitHub는 리포지토리에 실수로 커밋된 비밀의 사기성 사용을 방지하기 위해 알려진 유형의 비밀을 리포지토리에 검사합니다. 비밀 검사는 GitHub 리포지토리에 있는 모든 분기의 전체 Git 기록에서 비밀을 검사합니다. 비밀의 예로 서비스 공급자가 인증을 위해 발급할 수 있는 토큰과 프라이빗 키가 있습니다. 비밀이 리포지토리에 체크 인되면 리포지토리에 대한 읽기 액세스 권한이 있는 모든 사용자가 비밀을 사용하여 해당 권한으로 외부 서비스에 액세스할 수 있습니다. 비밀은 프로젝트 리포지토리 외부의 안전한 전용 위치에 저장해야 합니다. (관련 정책 없음)

심각도: 높음

Azure SQL Database 서버용 Microsoft Defender를 사용하도록 설정해야 함

설명: SQL용 Microsoft Defender는 고급 SQL 보안 기능을 제공하는 통합 패키지입니다. 여기에는 잠재적인 데이터베이스 취약성을 표시 및 완화하고, 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 검색하고, 중요한 데이터를 검색 및 분류하는 기능이 포함됩니다. 중요: 이 플랜의 보호는 Defender 플랜 페이지에 표시된 대로 요금이 청구됩니다. 이 구독에 Azure SQL Database 서버가 없으면 요금이 발생하지 않습니다. 나중에 이 구독에 Azure SQL Database 서버를 만들면 자동으로 보호되고 요금이 청구됩니다. 지역별 가격 책정 세부 정보에 대해 알아봅니다. SQL용 Microsoft Defender 소개에서 자세히 알아보세요. (관련 정책: Azure SQL Database용 Azure Defender 서버를 사용하도록 설정해야 함).

심각도: 높음

DNS용 Microsoft Defender를 사용하도록 설정해야 합니다.

설명: DNS용 Microsoft Defender는 Azure 리소스의 모든 DNS 쿼리를 지속적으로 모니터링하여 클라우드 리소스에 대한 추가 보호 계층을 제공합니다. DNS용 Defender는 DNS 계층에서 의심스러운 활동에 대해 경고합니다. DNS용 Microsoft Defender 소개에서 자세히 알아보세요. 이 Defender 플랜을 사용하도록 설정하면 요금이 청구됩니다. 클라우드용 Defender 가격 책정 페이지에서 지역별 가격 책정 세부 정보( 클라우드용 Defender 가격 책정)에 대해 알아봅니다. (관련 정책 없음)

심각도: 높음

오픈 소스 관계형 데이터베이스용 Microsoft Defender를 사용하도록 설정해야 합니다.

설명: 오픈 소스 관계형 데이터베이스용 Microsoft Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 검색합니다. 오픈 소스 관계형 데이터베이스용 Microsoft Defender 소개에서 자세히 알아봅니다.

중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. 이 구독에 오픈 소스 관계형 데이터베이스가 없으면 요금이 발생하지 않습니다. 나중에 이 구독에 오픈 소스 관계형 데이터베이스를 만들면 자동으로 보호되고 해당 시간에 요금이 청구됩니다. (관련 정책 없음)

심각도: 높음

Resource Manager용 Microsoft Defender를 사용하도록 설정해야 합니다.

설명: Resource Manager용 Microsoft Defender는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. 클라우드용 Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. 리소스 관리자용 Microsoft Defender 소개에서 자세히 알아봅니다. 이 Defender 플랜을 사용하도록 설정하면 요금이 청구됩니다. 클라우드용 Defender 가격 책정 페이지에서 지역별 가격 책정 세부 정보( 클라우드용 Defender 가격 책정)에 대해 알아봅니다. (관련 정책 없음)

심각도: 높음

작업 영역에서 컴퓨터의 SQL용 Microsoft Defender를 사용하도록 설정해야 합니다.

설명: 서버용 Microsoft Defender는 Windows 및 Linux 머신에 대한 위협 탐지 및 고급 방어를 제공합니다. 이 Defender 플랜은 구독에서는 사용하도록 설정되지만 작업 영역에서는 사용하도록 설정되지 않은 상태라면 서버용 Microsoft Defender의 전체 기능에 대해 비용을 지불하고 있음에도 불구하고 일부 이점을 놓치게 됩니다. 작업 영역의 서버용 Microsoft Defender를 사용하도록 설정하면 해당 작업 영역에 보고하는 모든 컴퓨터에 서버용 Microsoft Defender에 대한 요금이 청구됩니다. 이는 Defender 플랜이 사용하도록 설정되지 않은 구독에 있는 경우에도 마찬가지입니다. 구독의 서버용 Microsoft Defender도 사용하도록 설정하지 않는 한 해당 컴퓨터는 Azure 리소스에 대한 Just-In-Time VM 액세스, 적응형 애플리케이션 제어, 네트워크 검색을 활용할 수 없습니다. 서버용 Microsoft Defender 소개에서 자세히 알아보세요. (관련 정책 없음)

심각도: 보통

컴퓨터에서 SQL Server용 Microsoft Defender를 사용하도록 설정해야 함

설명: SQL용 Microsoft Defender는 고급 SQL 보안 기능을 제공하는 통합 패키지입니다. 여기에는 잠재적인 데이터베이스 취약성을 표시 및 완화하고, 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 검색하고, 중요한 데이터를 검색 및 분류하는 기능이 포함됩니다.

중요: 이 권장 사항을 수정하면 컴퓨터에서 SQL 서버를 보호하는 데 요금이 부과됩니다. 이 구독의 컴퓨터에 SQL 서버가 없는 경우 요금이 부과되지 않습니다. 나중에 이 구독의 머신에 SQL 서버를 만들면 자동으로 보호되고 해당 시간에 요금이 청구됩니다. 컴퓨터의 SQL 서버용 Microsoft Defender에 대해 자세히 알아봅니다. (관련 정책: 컴퓨터의 SQL 서버용 Azure Defender를 사용하도록 설정해야 함).

심각도: 높음

보호되지 않는 Azure SQL 서버에 대해 SQL용 Microsoft Defender를 사용하도록 설정해야 합니다.

설명: SQL용 Microsoft Defender는 고급 SQL 보안 기능을 제공하는 통합 패키지입니다. 잠재적인 데이터베이스 취약성을 노출하고 완화하며 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 검색합니다. SQL용 Microsoft Defender에서 지역별 가격 책정 세부 정보에 표시된 대로 요금이 청구됩니다. (관련 정책: SQL 서버에서 고급 데이터 보안을 사용하도록 설정해야 함).

심각도: 높음

보호되지 않는 SQL Managed Instance에 대해 Microsoft Defender for SQL을 사용하도록 설정해야 합니다

설명: SQL용 Microsoft Defender는 고급 SQL 보안 기능을 제공하는 통합 패키지입니다. 잠재적인 데이터베이스 취약성을 노출하고 완화하며 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 검색합니다. SQL용 Microsoft Defender에서 지역별 가격 책정 세부 정보에 표시된 대로 요금이 청구됩니다. (관련 정책: SQL Managed Instance에서 고급 데이터 보안을 사용하도록 설정해야 함).

심각도: 높음

스토리지용 Microsoft Defender를 사용하도록 설정해야 함

설명: 스토리지용 Microsoft Defender는 스토리지 계정에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지합니다. 중요: 이 플랜의 보호는 Defender 플랜 페이지에 표시된 대로 요금이 청구됩니다. 이 구독에 Azure Storage 계정이 없는 경우 요금이 청구되지 않습니다. 나중에 이 구독에 Azure Storage 계정을 만들면 자동으로 보호되고 요금이 청구됩니다. 지역별 가격 책정 세부 정보에 대해 알아봅니다. Microsoft Defender for Storage 소개에서 자세히 알아보세요. (관련 정책: 스토리지용 Azure Defender를 사용하도록 설정해야 함).

심각도: 높음

Network Watcher를 사용하도록 설정해야 함

설명: Network Watcher는 Azure에서 네트워크 시나리오 수준에서 상태를 모니터링하고 진단할 수 있는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 엔드투엔드 네트워크 수준 보기에서 문제를 진단할 수 있습니다. Network Watcher에서 제공하는 네트워크 진단 및 시각화 도구를 사용하면 Azure에서 네트워크를 파악하고, 진단하고, 정보를 얻을 수 있습니다. (관련 정책: Network Watcher를 사용하도록 설정해야 함).

심각도: 낮음

Azure SQL Database에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함

설명: 프라이빗 엔드포인트 연결은 Azure SQL Database에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 적용합니다. (관련 정책: Azure SQL Database에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함).

심각도: 보통

프라이빗 엔드포인트를 MariaDB 서버에서 사용할 수 있어야 합니다.

설명: 프라이빗 엔드포인트 연결은 Azure Database for MariaDB에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 적용합니다. 알려진 네트워크에서 들어오는 트래픽에만 액세스할 수 있고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단하도록 프라이빗 엔드포인트 연결을 구성합니다. (관련 정책: MariaDB 서버에 대해 프라이빗 엔드포인트를 사용하도록 설정해야 함).

심각도: 보통

프라이빗 엔드포인트를 MySQL 서버에서 사용할 수 있어야 합니다.

설명: 프라이빗 엔드포인트 연결은 Azure Database for MySQL에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 적용합니다. 알려진 네트워크에서 들어오는 트래픽에만 액세스할 수 있고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단하도록 프라이빗 엔드포인트 연결을 구성합니다. (관련 정책: MySQL 서버에 대해 프라이빗 엔드포인트를 사용하도록 설정해야 함).

심각도: 보통

프라이빗 엔드포인트를 PostgreSQL 서버에서 사용할 수 있어야 합니다.

설명: 프라이빗 엔드포인트 연결은 Azure Database for PostgreSQL에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 적용합니다. 알려진 네트워크에서 들어오는 트래픽에만 액세스할 수 있고 Azure 내부를 비롯한 다른 IP 주소의 액세스를 차단하도록 프라이빗 엔드포인트 연결을 구성합니다. (관련 정책: PostgreSQL 서버에 대해 프라이빗 엔드포인트를 사용하도록 설정해야 함).

심각도: 보통

Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함

설명: 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 Azure SQL Database가 프라이빗 엔드포인트에서만 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. (관련 정책: Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함).

심각도: 보통

Cognitive Services 계정에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함

설명: 이 정책은 공용 네트워크 액세스를 사용하도록 설정된 환경의 모든 Cognitive Services 계정을 감사합니다. 프라이빗 엔드포인트의 연결만 허용되도록 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. (관련 정책: Cognitive Services 계정에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함).

심각도: 보통

MariaDB 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다.

설명: 공용 네트워크 액세스 속성을 사용하지 않도록 설정하여 보안을 개선하고 프라이빗 엔드포인트에서만 Azure Database for MariaDB에 액세스할 수 있는지 확인합니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간의 액세스를 엄격하게 차단하고, IP 또는 가상 네트워크 기반 방화벽 규칙에 부합하는 모든 로그인을 거부합니다. (관련 정책: MariaDB 서버의 경우 공용 네트워크 액세스를 사용하지 않도록 설정해야 함).

심각도: 보통

MySQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다.

설명: 공용 네트워크 액세스 속성을 사용하지 않도록 설정하여 보안을 개선하고 프라이빗 엔드포인트에서만 Azure Database for MySQL에 액세스할 수 있는지 확인합니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간의 액세스를 엄격하게 차단하고, IP 또는 가상 네트워크 기반 방화벽 규칙에 부합하는 모든 로그인을 거부합니다. (관련 정책: MySQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 함).

심각도: 보통

PostgreSQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다.

설명: 공용 네트워크 액세스 속성을 사용하지 않도록 설정하여 보안을 개선하고 Azure Database for PostgreSQL이 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. (관련 정책: PostgreSQL 서버의 경우 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다).

심각도: 보통

Redis Cache는 SSL을 통해서만 액세스를 허용해야 합니다.

설명: SSL을 통해 Redis Cache로의 연결만 사용하도록 설정합니다. 보안 연결을 사용하면 서버와 서비스 간의 인증이 보장되고 전송 중인 데이터를 중간에서 맨인 더 미들, 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. (관련 정책: Azure Cache for Redis에 대한 보안 연결만 사용하도록 설정해야 함).

심각도: 높음

SQL 데이터베이스가 발견한 취약성을 해결해야 함

설명: SQL 취약성 평가는 데이터베이스에서 보안 취약성을 검사하고 잘못된 구성, 과도한 권한 및 보호되지 않는 중요한 데이터와 같은 모범 사례의 편차를 노출합니다. 발견된 취약성을 해결하면 데이터베이스 보안 상태가 크게 향상될 수 있습니다. 자세한 정보(관련 정책: SQL 데이터베이스의 취약성을 수정해야 함).

심각도: 높음

SQL 관리되는 인스턴스에 취약성 평가가 구성되어 있어야 합니다.

설명: 취약성 평가는 잠재적인 데이터베이스 취약성을 검색, 추적 및 수정하는 데 도움이 될 수 있습니다. (관련 정책: SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함).

심각도: 높음

컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함

설명: SQL 취약성 평가는 데이터베이스에서 보안 취약성을 검사하고 잘못된 구성, 과도한 권한 및 보호되지 않는 중요한 데이터와 같은 모범 사례의 편차를 노출합니다. 발견된 취약성을 해결하면 데이터베이스 보안 상태가 크게 향상될 수 있습니다. 자세한 정보(관련 정책: 컴퓨터의 SQL 서버 취약성을 수정해야 함).

심각도: 높음

Azure Active Directory 관리자를 SQL Server에 대해 프로비저닝해야 합니다.

설명: AZURE AD 인증을 사용하도록 SQL Server에 대한 Azure AD 관리자를 프로비전합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스 대한 간소화된 권한 관리 및 중앙 집중식 ID 관리를 사용할 수 있습니다. (관련 정책: Sql Server에 대해 Azure Active Directory 관리자를 프로비전해야 함).

심각도: 높음

SQL Server에 취약성 평가가 구성되어 있어야 합니다.

설명: 취약성 평가는 잠재적인 데이터베이스 취약성을 검색, 추적 및 수정하는 데 도움이 될 수 있습니다. (관련 정책: SQL 서버에서 취약성 평가를 사용하도록 설정해야 함).

심각도: 높음

설명: 프라이빗 링크는 스토리지 계정에 프라이빗 연결을 제공하여 보안 통신을 적용합니다(관련 정책: 스토리지 계정은 프라이빗 링크 연결을 사용해야 합니다).

심각도: 보통

스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함

설명: Azure Resource Manager의 새로운 기능을 활용하려면 클래식 배포 모델에서 기존 배포를 마이그레이션할 수 있습니다. Resource Manager를 사용하면 더 강력한 RBAC(액세스 제어), 더 나은 감사, ARM 기반 배포 및 거버넌스, 관리 ID에 대한 액세스, 비밀용 키 자격 증명 모음에 대한 액세스, Azure AD 기반 인증, 더 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 향상 기능을 사용할 수 있습니다. 자세한 정보(관련 정책: 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 합니다).

심각도: 낮음

스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함

설명: IP 기반 필터링 대신 가상 네트워크 규칙을 기본 설정 방법으로 사용하여 잠재적 위협으로부터 스토리지 계정을 보호합니다. IP 기반 필터링을 사용하지 않도록 설정하면 공용 IP에서 스토리지 계정에 액세스할 수 없습니다. (관련 정책: 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 합니다).

심각도: 보통

구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함

설명: 구독 중 하나에서 보안 위반이 발생할 수 있는 경우 조직의 관련 사용자에게 알림을 받으려면 보안 연락처를 설정하여 클라우드용 Defender 메일 알림 받습니다. (관련 정책: 구독에는 보안 문제에 대한 연락처 전자 메일 주소가 있어야 합니다.

심각도: 낮음

SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다.

설명: 투명한 데이터 암호화를 사용하도록 설정하여 미사용 데이터를 보호하고 규정 준수 요구 사항을 충족합니다(관련 정책: SQL 데이터베이스의 투명한 데이터 암호화 사용하도록 설정해야 함).

심각도: 낮음

설명: 가상 네트워크가 구성되지 않은 VM Image Builder 템플릿을 감사합니다. 가상 네트워크가 구성되지 않은 경우 공용 IP가 만들어지고 대신 사용되므로 리소스를 인터넷에 직접 노출하고 잠재적인 공격 노출 영역을 늘릴 수 있습니다. (관련 정책: VM Image Builder 템플릿은 프라이빗 링크를 사용해야 합니다).

심각도: 보통

Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함

설명: 들어오는 트래픽에 대한 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가/지역, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. (관련 정책: Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 합니다.

심각도: 낮음

Azure Front Door Service 서비스에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 합니다.

설명: 들어오는 트래픽에 대한 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가/지역, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. (관련 정책: Azure Front Door Service에 대해 WAF(Web Application Firewall)를 사용하도록 설정해야 하나요? 서비스)

심각도: 낮음

설명: Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Cognitive Services에 매핑하면 데이터 유출 가능성이 줄어듭니다. 프라이빗 링크에 대해 자세히 알아보세요. (관련 정책: Cognitive Services는 프라이빗 링크를 사용해야 함).

심각도: 보통

Azure Cosmos DB는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함

설명: 공용 네트워크 액세스를 사용하지 않도록 설정하면 Cosmos DB 계정이 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 Cosmos DB 계정의 노출을 제한할 수 있습니다. 자세히 알아보기. (관련 정책: Azure Cosmos DB는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함).

심각도: 보통

설명: Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Cosmos DB 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. 프라이빗 링크에 대해 자세히 알아보세요. (관련 정책: Cosmos DB 계정은 프라이빗 링크를 사용해야 함).

심각도: 보통

Azure SQL Database는 TLS 버전 1.2 이상을 실행해야 합니다.

설명: TLS 버전을 1.2 이상으로 설정하면 TLS 1.2 이상 버전을 사용하는 클라이언트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 1.2 미만의 TLS 버전은 보안 취약성이 잘 문서화되었기 때문에 사용하지 않는 것이 좋습니다. (관련 정책: Azure SQL Database에서 TLS 버전 1.2 이상을 실행해야 함).

심각도: 보통

Azure SQL Managed Instance에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함

설명: Azure SQL Managed Instances에서 공용 네트워크 액세스(퍼블릭 엔드포인트)를 사용하지 않도록 설정하면 가상 네트워크 내부 또는 프라이빗 엔드포인트를 통해서만 액세스할 수 있도록 하여 보안이 향상됩니다. 공용 네트워크 액세스에 대해 자세히 알아보세요. (관련 정책: Azure SQL Managed Instance에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함).

심각도: 보통

스토리지 계정은 공유 키 액세스를 차단해야 함

설명: 스토리지 계정에 대한 요청을 승인하기 위한 Azure AD(Azure Active Directory)의 감사 요구 사항입니다. 기본적으로 요청은 Azure Active Directory 자격 증명을 사용하거나 공유 키 권한 부여를 위한 계정 액세스 키를 사용하여 권한을 부여할 수 있습니다. 이러한 두 가지 유형의 권한 부여 중 Azure AD는 공유 키보다 뛰어난 보안과 사용 편의성을 제공하며 Microsoft에서 권장합니다. (관련 정책: 정책)

심각도: 보통

ID 및 액세스 권장 사항

구독에 최대 3명의 소유자를 지정해야 합니다.

설명: 손상된 소유자 계정의 위반 가능성을 줄이려면 소유자 계정 수를 최대 3개로 제한하는 것이 좋습니다(관련 정책: 구독에 대해 최대 3개의 소유자를 지정해야 합니다).

심각도: 높음

Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함

설명: 암호만 사용하여 사용자를 인증하는 경우 공격 벡터를 열어 둡니다. 사용자가 약한 암호를 여러 서비스에 사용하는 경우가 많습니다. MFA(다단계 인증)를 사용하도록 설정하면 계정에 더 나은 보안을 제공하는 동시에 사용자가 SSO(Single Sign-On)를 사용하여 거의 모든 애플리케이션에 인증할 수 있습니다. 다단계 인증은 로그인 프로세스 중에 다른 형태의 ID를 묻는 메시지가 사용자에게 표시되는 프로세스입니다. 예를 들어 코드를 휴대폰으로 보내거나 지문 검사를 요청할 수 있습니다. 위반 및 공격을 방지하기 위해 MFA를 Azure 리소스에 대한 소유자 권한이 있는 모든 계정에 사용하도록 설정하는 것이 좋습니다. 자세한 내용과 자주 묻는 질문은 구독 에 대한 MFA(다단계 인증) 적용 관리(관련 정책 없음)에서 확인할 수 있습니다 .

심각도: 높음

Azure 리소스에 대한 읽기 권한이 있는 계정은 MFA를 사용하도록 설정해야 함

설명: 암호만 사용하여 사용자를 인증하는 경우 공격 벡터를 열어 둡니다. 사용자가 약한 암호를 여러 서비스에 사용하는 경우가 많습니다. MFA(다단계 인증)를 사용하도록 설정하면 계정에 더 나은 보안을 제공하는 동시에 사용자가 SSO(Single Sign-On)를 사용하여 거의 모든 애플리케이션에 인증할 수 있습니다. 다단계 인증은 로그인 프로세스 중에 추가 ID 형식을 묻는 메시지가 사용자에게 표시되는 프로세스입니다. 예를 들어 코드를 휴대폰으로 보내거나 지문 검사를 요청할 수 있습니다. 위반 및 공격을 방지하기 위해 MFA를 Azure 리소스에 대한 읽기 권한이 있는 모든 계정에 사용하도록 설정하는 것이 좋습니다. 자세한 내용과 질문과 질문은 여기에서 확인할 수 있습니다. (관련 정책 없음)

심각도: 높음

Azure 리소스에 대한 쓰기 권한이 있는 계정은 MFA를 사용하도록 설정해야 함

설명: 암호만 사용하여 사용자를 인증하는 경우 공격 벡터를 열어 둡니다. 사용자가 약한 암호를 여러 서비스에 사용하는 경우가 많습니다. MFA(다단계 인증)를 사용하도록 설정하면 계정에 더 나은 보안을 제공하는 동시에 사용자가 SSO(Single Sign-On)를 사용하여 거의 모든 애플리케이션에 인증할 수 있습니다. 다단계 인증은 로그인 프로세스 중에 추가 ID 형식을 묻는 메시지가 사용자에게 표시되는 프로세스입니다. 예를 들어 코드를 휴대폰으로 보내거나 지문 검사를 요청할 수 있습니다. 위반 및 공격을 방지하기 위해 MFA를 Azure 리소스에 대한 쓰기 권한이 있는 모든 계정에 사용하도록 설정하는 것이 좋습니다. 자세한 내용과 자주 묻는 질문은 구독 에 대한 MFA(다단계 인증) 적용 관리(관련 정책 없음)에서 확인할 수 있습니다 .

심각도: 높음

Azure Cosmos DB 계정에서 Azure Active Directory를 유일한 인증 방법으로 사용해야 함

설명: Azure 서비스에 인증하는 가장 좋은 방법은 RBAC(역할 기반 액세스 제어)를 사용하는 것입니다. RBAC를 사용하면 최소 권한 원칙을 유지할 수 있으며, 손상되었을 때 효과적인 대응 방법으로 권한을 취소하는 기능을 지원합니다. RBAC를 유일한 인증 방법으로 적용하도록 Azure Cosmos DB 계정을 구성할 수 있습니다. 적용이 구성되면 다른 모든 액세스 방법(기본/보조 키 및 액세스 토큰)이 거부됩니다. (관련 정책 없음)

심각도: 보통

Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함

설명: Active Directory에서 로그인이 차단된 계정은 Azure 리소스에서 제거해야 합니다. 이러한 계정은 눈치 채지 못한 채 데이터에 액세스하는 방법을 찾는 공격자의 대상이 될 수 있습니다. (관련 정책 없음)

심각도: 높음

Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함

설명: Active Directory에서 로그인이 차단된 계정은 Azure 리소스에서 제거해야 합니다. 이러한 계정은 눈치 채지 못한 채 데이터에 액세스하는 방법을 찾는 공격자의 대상이 될 수 있습니다. (관련 정책 없음)

심각도: 높음

더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다.

설명: 로그인이 차단된 사용자 계정은 구독에서 제거해야 합니다. 이러한 계정은 눈치 채지 못한 채 데이터에 액세스하는 방법을 찾는 공격자의 대상이 될 수 있습니다. (관련 정책: 사용되지 않는 계정은 구독에서 제거해야 합니다).

심각도: 높음

소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다.

설명: 로그인이 차단된 사용자 계정은 구독에서 제거해야 합니다. 이러한 계정은 눈치 채지 못한 채 데이터에 액세스하는 방법을 찾는 공격자의 대상이 될 수 있습니다. (관련 정책: 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다).

심각도: 높음

Key Vault의 진단 로그를 사용하도록 설정해야 합니다.

설명: 로그를 사용하도록 설정하고 최대 1년 동안 유지합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. (관련 정책: Key Vault의 진단 로그를 사용하도록 설정해야 함).

심각도: 낮음

소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다.

설명: 할 일기본 이름(외부 계정)이 다른 소유자 권한이 있는 계정은 구독에서 제거해야 합니다. 이렇게 하면 모니터링되지 않는 액세스가 방지됩니다. 이러한 계정은 눈치 채지 못한 채 데이터에 액세스하는 방법을 찾는 공격자의 대상이 될 수 있습니다. (관련 정책: 소유자 권한이 있는 외부 계정은 구독에서 제거해야 합니다).

심각도: 높음

읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다.

설명: 다른 할 일기본 이름(외부 계정)이 있는 읽기 권한이 있는 계정은 구독에서 제거해야 합니다. 이렇게 하면 모니터링되지 않는 액세스가 방지됩니다. 이러한 계정은 눈치 채지 못한 채 데이터에 액세스하는 방법을 찾는 공격자의 대상이 될 수 있습니다. (관련 정책: 읽기 권한이 있는 외부 계정은 구독에서 제거해야 합니다).

심각도: 높음

쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다.

설명: 할 일기본 이름(외부 계정)이 다른 쓰기 권한이 있는 계정은 구독에서 제거해야 합니다. 이렇게 하면 모니터링되지 않는 액세스가 방지됩니다. 이러한 계정은 눈치 채지 못한 채 데이터에 액세스하는 방법을 찾는 공격자의 대상이 될 수 있습니다. (관련 정책: 쓰기 권한이 있는 외부 계정은 구독에서 제거해야 합니다).

심각도: 높음

Key Vault에서 방화벽을 사용하도록 설정해야 함

설명: 키 자격 증명 모음의 방화벽은 무단 트래픽이 키 자격 증명 모음에 도달하는 것을 방지하고 비밀에 대한 추가 보호 계층을 제공합니다. 방화벽을 사용하도록 설정하여 허용된 네트워크의 트래픽만 키 자격 증명 모음에 액세스할 수 있는지 확인합니다. (관련 정책: Key Vault에서 방화벽을 사용하도록 설정해야 함).

심각도: 보통

Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함

설명: Azure Active Directory 테넌트 외부에서 프로비전된 소유자 권한이 있는 계정(다른 이름기본)을 Azure 리소스에서 제거해야 합니다. 게스트 계정은 엔터프라이즈 테넌트 ID와 동일한 표준으로 관리되지 않습니다. 이러한 계정은 눈치 채지 못한 채 데이터에 액세스하는 방법을 찾는 공격자의 대상이 될 수 있습니다. (관련 정책 없음)

심각도: 높음

Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함

설명: Azure Active Directory 테넌트 외부에서 프로비전된 읽기 권한이 있는 계정(다른 이름기본)을 Azure 리소스에서 제거해야 합니다. 게스트 계정은 엔터프라이즈 테넌트 ID와 동일한 표준으로 관리되지 않습니다. 이러한 계정은 눈치 채지 못한 채 데이터에 액세스하는 방법을 찾는 공격자의 대상이 될 수 있습니다. (관련 정책 없음)

심각도: 높음

Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함

설명: Azure Active Directory 테넌트 외부에서 프로비전된 쓰기 권한이 있는 계정(다른 이름기본)을 Azure 리소스에서 제거해야 합니다. 게스트 계정은 엔터프라이즈 테넌트 ID와 동일한 표준으로 관리되지 않습니다. 이러한 계정은 눈치 채지 못한 채 데이터에 액세스하는 방법을 찾는 공격자의 대상이 될 수 있습니다. (관련 정책 없음)

심각도: 높음

Key Vault 키에는 만료 날짜가 있어야 함

설명: 암호화 키에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 키는 잠재적인 공격자에게 키를 손상시킬 수 있는 시간을 더 많이 제공합니다. 암호화 키에 만료 날짜를 설정하는 것이 좋습니다. (관련 정책: Key Vault 키에는 만료 날짜가 있어야 합니다).

심각도: 높음

Key Vault 비밀에는 만료 날짜가 있어야 함

설명: 비밀에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 비밀은 잠재적인 공격자에게 비밀을 손상시킬 수 있는 시간을 더 많이 제공합니다. 비밀에 만료 날짜를 설정하는 것이 좋습니다. (관련 정책: Key Vault 비밀에는 만료 날짜가 있어야 합니다).

심각도: 높음

키 자격 증명 모음에 제거 방지를 사용하도록 설정해야 함

설명: 키 자격 증명 모음을 악의적으로 삭제하면 데이터가 영구적으로 손실됩니다. 조직의 악의적인 내부자가 잠재적으로 키 자격 증명 모음을 삭제하고 제거할 수 있습니다. 제거 보호는 일시 삭제된 키 자격 증명 모음에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 키 자격 증명 모음을 제거할 수 없습니다. (관련 정책: 키 자격 증명 모음은 제거 보호를 사용하도록 설정해야 함).

심각도: 보통

키 자격 증명 모음에 일시 삭제를 사용하도록 설정해야 함

설명: 일시 삭제를 사용하지 않고 키 자격 증명 모음을 삭제하면 키 자격 증명 모음에 저장된 모든 비밀, 키 및 인증서가 영구적으로 삭제됩니다. 키 자격 증명 모음을 실수로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 일시 삭제를 사용하면 실수로 삭제된 키 자격 증명 모음을 구성 가능한 보존 기간 동안 복구할 수 있습니다. (관련 정책: 키 자격 증명 모음은 일시 삭제를 사용하도록 설정해야 함).

심각도: 높음

구독에서 소유자 권한이 있는 계정에 대해 MFA를 사용하도록 설정해야 합니다.

설명: 계정 또는 리소스 위반을 방지하기 위해 소유자 권한이 있는 모든 구독 계정에 대해 MFA(다단계 인증)를 사용하도록 설정해야 합니다. (관련 정책: 구독에 대한 소유자 권한이 있는 계정에서 MFA를 사용하도록 설정해야 합니다).

심각도: 높음

구독에서 읽기 권한이 있는 계정에 대해 MFA를 사용하도록 설정해야 합니다.

설명: 계정 또는 리소스 위반을 방지하기 위해 읽기 권한이 있는 모든 구독 계정에 대해 MFA(다단계 인증)를 사용하도록 설정해야 합니다. (관련 정책: 구독에 대한 읽기 권한이 있는 계정에서 MFA를 사용하도록 설정해야 합니다).

심각도: 높음

구독에서 쓰기 권한이 있는 계정에 대해 MFA를 사용하도록 설정해야 합니다.

설명: 계정 또는 리소스 위반을 방지하기 위해 쓰기 권한이 있는 모든 구독 계정에 대해 MFA(다단계 인증)를 사용하도록 설정해야 합니다. (관련 정책: MFA는 구독에 대한 쓰기 권한이 있는 계정을 사용하도록 설정해야 합니다).

심각도: 높음

Key Vault용 Microsoft Defender를 사용하도록 설정해야 함

설명: 클라우드용 Microsoft Defender 추가 보안 인텔리전스 계층을 제공하는 Key Vault용 Microsoft Defender를 포함합니다. Microsoft Defender for Key Vault는 Key Vault 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. 중요: 이 플랜의 보호는 Defender 플랜 페이지에 표시된 대로 요금이 청구됩니다. 이 구독에 키 자격 증명 모음이 없으면 요금이 발생하지 않습니다. 나중에 이 구독에 키 자격 증명 모음을 만들면 자동으로 보호되고 요금이 청구됩니다. 지역별 가격 책정 세부 정보에 대해 알아봅니다. 키 자격 증명 모음용 Microsoft Defender 소개에서 자세히 알아보세요. (관련 정책: Key Vault용 Azure Defender를 사용하도록 설정해야 함).

심각도: 높음

Key Vault에 대한 프라이빗 엔드포인트를 구성해야 합니다.

설명: 프라이빗 링크는 공용 인터넷을 통해 트래픽을 보내지 않고도 Key Vault를 Azure 리소스에 연결하는 방법을 제공합니다. 프라이빗 링크는 데이터 반출에 대한 심층 방어 기능을 제공합니다. (관련 정책: Key Vault에 대해 프라이빗 엔드포인트를 구성해야 함).

심각도: 보통

스토리지 계정 공용 액세스를 허용하지 않아야 합니다.

설명: Azure Storage의 컨테이너 및 Blob에 대한 익명 공용 읽기 액세스는 데이터를 공유하는 편리한 방법이지만 보안 위험을 초래할 수 있습니다. 원치 않는 익명 액세스로 인해 발생하는 데이터 위반을 방지하기 위해 Microsoft는 시나리오에 필요한 경우가 아니면 스토리지 계정에 대한 공개 액세스를 방지하는 것이 좋습니다 (관련 정책: 스토리지 계정 공용 액세스를 허용하지 않아야 함).

심각도: 보통

구독에 둘 이상의 소유자가 할당되어야 합니다.

설명: 관리자 액세스 중복성을 갖도록 둘 이상의 구독 소유자를 지정합니다. (관련 정책: 구독에 할당된 소유자가 두 개 이상 있어야 합니다).

심각도: 높음

Azure Key Vault에 저장된 인증서의 유효 기간은 12개월을 초과하지 않아야 합니다.

설명: 인증서에 12개월을 초과하는 유효 기간이 없는지 확인합니다. (관련 정책: 인증서에는 지정된 최대 유효 기간이 있어야 합니다).

심각도: 보통

Azure 오버프로비전된 ID에는 필요한 권한만 있어야 합니다(미리 보기).

설명: 과도하게 프로비전된 ID 또는 권한 있는 ID를 통해 부여된 많은 권한을 사용하지 않습니다. 실수로 또는 악의적인 권한 오용의 위험을 줄이기 위해 이러한 ID의 권한을 정기적으로 적절한 크기로 조정합니다. 이 작업은 보안 인시던트 동안 잠재적인 폭발 반경을 줄입니다.

심각도: 보통

Azure 환경의 슈퍼 ID를 제거해야 합니다(미리 보기)

설명: 슈퍼 ID는 사용자, 서비스 주체 및 서버리스 함수와 같은 모든 사용자 또는 워크로드 ID로, 관리자 권한이 있으며 인프라 전체의 리소스에 대해 모든 작업을 수행할 수 있습니다. 악의적이거나 우발적인 사용 권한 오용으로 인해 치명적인 서비스 중단, 서비스 저하 또는 데이터 유출이 발생할 수 있으므로 슈퍼 ID는 매우 위험합니다. 슈퍼 ID는 클라우드 인프라에 큰 위협이 될 수 있습니다. 너무 많은 슈퍼 ID는 과도한 위험을 초래하고 위반 시 폭발 반경을 증가시킬 수 있습니다.

심각도: 보통

Azure 환경에서 사용되지 않는 ID를 제거해야 합니다(미리 보기).

설명: 비활성 ID는 지난 90일 동안 인프라 리소스에 대한 작업을 수행하지 않은 ID입니다. 비활성 ID는 공격자가 사용자 환경에서 액세스 권한을 얻고 작업을 실행하는 데 사용할 수 있으므로 조직에 상당한 위험을 초래합니다.

심각도: 보통

IoT 권장 사항

기본 IP 필터 정책은 거부여야 합니다.

설명: IP 필터 구성에는 허용된 트래픽에 대해 정의된 규칙이 있어야 하며 기본적으로 다른 모든 트래픽을 거부해야 합니다(관련 정책 없음).

심각도: 보통

IoT Hub의 진단 로그를 사용하도록 설정해야 함

설명: 로그를 사용하도록 설정하고 최대 1년 동안 유지합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. (관련 정책: IoT Hub의 진단 로그를 사용하도록 설정해야 함).

심각도: 낮음

동일한 인증 자격 증명

설명: 여러 디바이스에서 사용하는 IoT Hub와 동일한 인증 자격 증명입니다. 이는 합법적인 디바이스를 가장하는 불법 디바이스를 나타낼 수 있습니다. 또한 공격자가 디바이스를 가장할 위험도 노출합니다(관련 정책 없음).

심각도: 높음

IP 필터 규칙 큰 IP 범위

설명: 허용 IP 필터 규칙의 원본 IP 범위가 너무 큽다. 지나치게 관대한 규칙은 악의적인 의도자에게 IoT Hub를 노출할 수 있습니다(관련 정책 없음).

심각도: 보통

네트워킹 권장 사항

방화벽 및 가상 네트워크 구성을 사용하여 스토리지 계정에 대한 액세스를 제한해야 합니다.

설명: 스토리지 계정 방화벽 설정에서 네트워크 액세스 설정을 검토합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성하는 것이 좋습니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크에서의 트래픽 또는 공용 인터넷 IP 주소 범위에 액세스 권한을 부여할 수 있습니다. (관련 정책: 스토리지 계정은 네트워크 액세스를 제한해야 합니다).

심각도: 낮음

인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함

설명: 클라우드용 Defender 아래에 나열된 가상 머신의 인터넷 트래픽 통신 패턴을 분석한 결과, 연결된 NSG의 기존 규칙이 지나치게 허용되어 잠재적인 공격 노출 영역이 증가하는 것으로 확인되었습니다. 일반적으로 이 IP 주소가 이 리소스와 정기적으로 통신하지 않는 경우에 발생합니다. 또는 클라우드용 Defender의 위협 인텔리전스 소스에 의해 IP 주소가 악의적인 것으로 플래그 지정되었습니다. 적응형 네트워크 강화를 사용하여 네트워크 보안 상태 개선에서 자세히 알아보세요. (관련 정책: 적응형 네트워크 강화 권장 사항은 인터넷 연결 가상 머신에 적용해야 함).

심각도: 높음

가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함

설명: 클라우드용 Defender 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하지 않은 것으로 확인되었습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. (관련 정책: 모든 네트워크 포트는 가상 머신에 연결된 네트워크 보안 그룹에서 제한해야 합니다).

심각도: 높음

Azure DDoS Protection 표준을 사용하도록 설정해야 함

설명: 클라우드용 Defender DDoS 보호 서비스에서 보호되지 않는 Application Gateway 리소스가 있는 가상 네트워크를 발견했습니다. 이러한 리소스는 공용 IP를 포함합니다. 네트워크 볼륨 및 프로토콜 공격을 완화할 수 있습니다. (관련 정책: Azure DDoS Protection 표준을 사용하도록 설정해야 함).

심각도: 보통

네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함

설명: NSG(네트워크 보안 그룹)를 사용하여 VM에 대한 액세스를 제한하여 잠재적 위협으로부터 VM을 보호합니다. NSG는 동일한 서브넷 안팎에 있는 다른 인스턴스에서 VM 인스턴스로 들어오는 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙 목록을 포함합니다. 컴퓨터를 최대한 안전하게 유지하려면 인터넷에 대한 VM 액세스를 제한하고 서브넷에서 NSG를 사용하도록 설정해야 합니다. 심각도가 '높은' VM은 인터넷 연결 VM입니다. (관련 정책: 인터넷 연결 가상 머신은 네트워크 보안 그룹으로 보호해야 함).

심각도: 높음

가상 머신에서 IP 전달을 사용하지 않도록 설정해야 합니다.

설명: 클라우드용 Defender 일부 가상 머신에서 IP 전달이 사용하도록 설정되어 있음을 발견했습니다. 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. (관련 정책: 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함).

심각도: 보통

머신에는 공격 경로를 노출 시킬 수 있는 포트를 닫아야 함

설명: Azure의 사용 약관은 Microsoft 서버 또는 네트워크를 손상, 비활성화, 과부하 또는 손상시킬 수 있는 방식으로 Azure 서비스를 사용하는 것을 금지합니다. 이 권장 사항은 지속적인 보안을 위해 닫아야 하는 노출된 포트를 나열합니다. 또한 각 포트에 대한 잠재적 위협을 보여 줍니다. (관련 정책 없음)

심각도: 높음

가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함

설명: 클라우드용 Defender 네트워크 보안 그룹의 관리 포트에 대해 지나치게 허용되는 일부 인바운드 규칙을 식별했습니다. Just-In-Time 액세스 제어를 사용하도록 설정하여 인터넷 기반 무차별 암호 대입 공격으로부터 VM을 보호합니다. JIT(Just-In-Time) VM 액세스 이해에 대해 자세히 알아보세요. (관련 정책: 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어를 사용하여 보호해야 합니다).

심각도: 높음

가상 머신에서 관리 포트를 닫아야 합니다.

설명: 개방형 원격 관리 포트는 인터넷 기반 공격으로 인한 높은 수준의 위험에 VM을 노출합니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. (관련 정책: 관리 포트는 가상 머신에서 닫아야 함).

심각도: 보통

네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함

설명: NSG(네트워크 보안 그룹)를 사용하여 액세스를 제한하여 인터넷이 아닌 가상 머신을 잠재적 위협으로부터 보호합니다. NSG에는 동일한 서브넷에 있는지 여부에 관계없이 다른 인스턴스에서 VM으로의 네트워크 트래픽을 허용하거나 거부하는 ACL(액세스 제어 목록) 규칙 목록이 포함되어 있습니다. 컴퓨터를 최대한 안전하게 유지하려면 VM의 인터넷 액세스를 제한하고 서브넷에서 NSG를 사용하도록 설정해야 합니다. (관련 정책: 인터넷이 아닌 가상 머신은 네트워크 보안 그룹으로 보호해야 함).

심각도: 낮음

스토리지 계정에 보안 전송을 사용하도록 설정해야 함

설명: 보안 전송은 스토리지 계정이 HTTPS(보안 연결)의 요청만 수락하도록 강제하는 옵션입니다. HTTPS를 사용하면 서버와 서비스 간의 인증이 보장되고 전송 중인 데이터가 중간에서 맨인 더 미들, 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호됩니다. (관련 정책: 스토리지 계정으로의 보안 전송을 사용하도록 설정해야 함).

심각도: 높음

서브넷은 네트워크 보안 그룹과 연결되어야 합니다.

설명: NSG(네트워크 보안 그룹)를 사용하여 서브넷에 대한 액세스를 제한하여 잠재적 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. NSG가 서브넷과 연결된 경우 ACL 규칙은 해당 서브넷의 모든 VM 인스턴스 및 통합 서비스에 적용되지만 서브넷 내의 내부 트래픽에는 적용되지 않습니다. 동일한 서브넷에 있는 리소스를 보호하려면 리소스에 대한 NSG도 직접 사용하도록 설정합니다. GatewaySubnet, AzureFirewallSubnet, AzureBastionSubnet 서브넷 유형은 해당 없음으로 나열됩니다. (관련 정책: 서브넷은 네트워크 보안 그룹과 연결되어야 합니다).

심각도: 낮음

가상 네트워크는 Azure Firewall로 보호되어야 합니다.

설명: 일부 가상 네트워크는 방화벽으로 보호되지 않습니다. Azure Firewall을 사용하여 가상 네트워크에 대한 액세스를 제한하고 잠재적인 위협을 방지합니다. (관련 정책: 모든 인터넷 트래픽은 배포된 Azure Firewall을 통해 라우팅되어야 합니다).

심각도: 낮음

API 권장 사항

API용 Microsoft Defender를 사용하도록 설정해야 함

설명 및 관련 정책: API용 Defender 계획이 공격 및 보안 잘못된 구성으로부터 API 리소스를 검색하고 보호하도록 설정합니다. 자세한 정보

심각도: 높음

Azure API Management API를 Defender for API에 온보딩해야 합니다.

설명 및 관련 정책: API를 Defender for API에 온보딩하려면 Azure API Management 서비스에서 컴퓨팅 및 메모리 사용률이 필요합니다. API를 온보딩하는 동안 Azure API Management 서비스의 성능을 모니터링하고 필요에 따라 Azure API Management 리소스를 스케일 아웃합니다.

심각도: 높음

사용하지 않는 API 엔드포인트는 사용하지 않도록 설정되고 Azure API Management 서비스에서 제거되어야 함

설명 및 관련 정책: 보안 모범 사례로, 30일 동안 트래픽을 수신하지 않은 API 엔드포인트는 사용되지 않는 것으로 간주되며 Azure API Management 서비스에서 제거되어야 합니다. 사용하지 않는 API 엔드포인트를 유지하면 보안 위험이 발생할 수 있습니다. 이러한 API는 Azure API Management 서비스에서 사용되지 않지만 실수로 활성 상태로 남겨진 API일 수 있습니다. 이러한 API는 일반적으로 최신 보안 적용을 받지 못합니다.

심각도: 낮음

Azure API Management의 API 엔드포인트를 인증해야 함

설명 및 관련 정책: Azure API Management 내에 게시된 API 엔드포인트는 보안 위험을 최소화하기 위해 인증을 적용해야 합니다. 인증 메커니즘이 잘못 구현되거나 누락된 경우가 있습니다. 이를 통해 공격자는 구현 결함을 악용하고 데이터에 액세스할 수 있습니다. Azure API Management에 게시된 API의 경우 이 권장 사항은 구독이 필요한 API 또는 제품에 대한 Azure API Management 구독 키의 존재 여부와 JWT, 클라이언트 인증서Microsoft Entra 토큰의 유효성을 검사하기 위한 정책 실행을 확인하여 인증을 평가합니다. API 호출 중에 이러한 인증 메커니즘 중 어느 것도 실행되지 않으면 API가 해당 권장 사항을 수신합니다.

심각도: 높음

API Management 권장 사항

API 관리 구독의 범위를 모든 API로 지정해서는 안 됨

설명 및 관련 정책: API Management 구독의 범위를 모든 API 대신 제품 또는 개별 API로 지정해야 하므로 데이터가 과도하게 노출될 수 있습니다.

심각도: 보통

API 백 엔드에 대한 API Management 호출은 인증서 지문 또는 이름 유효성 검사를 바이패스해서는 안 됨

설명 및 관련 정책: API Management는 모든 API 호출에 대해 백 엔드 서버 인증서의 유효성을 검사해야 합니다. API 보안을 개선하려면 SSL 인증서 지문 및 이름 유효성 검사를 사용하도록 설정합니다.

심각도: 보통

API Management 직접 관리 엔드포인트를 사용하도록 설정하면 안 됨

설명 및 관련 정책: Azure API Management의 직접 관리 REST API는 Azure Resource Manager 역할 기반 액세스 제어, 권한 부여 및 제한 메커니즘을 우회하여 서비스의 취약성을 증가합니다.

심각도: 낮음

API Management API는 암호화된 프로토콜만 사용해야 함

설명 및 관련 정책: API는 HTTPS 또는 WSS와 같은 암호화된 프로토콜을 통해서만 사용할 수 있어야 합니다. 전송 중인 데이터의 보안을 보장하려면 HTTP 또는 WS와 같은 보호되지 않은 프로토콜을 사용하지 마세요.

심각도: 높음

API Management 비밀로 명명된 값은 Azure Key Vault에 저장해야 함

설명 및 관련 정책: 명명된 값은 각 API Management 서비스의 이름 및 값 쌍 컬렉션입니다. 비밀 값을 API Management(사용자 지정 비밀)에 암호화된 텍스트로 저장하거나 Azure Key Vault에서 비밀을 참조하여 저장할 수 있습니다. API Management 및 비밀의 보안을 개선하려면 Azure Key Vault의 비밀 명명된 값을 참조하세요. Azure Key Vault에서는 세분화된 액세스 관리 및 비밀 회전 정책을 지원합니다.

심각도: 보통

API Management에서 서비스 구성 엔드포인트에 대한 공용 네트워크 액세스를 사용하지 않도록 설정해야 함

설명 및 관련 정책: API Management 서비스의 보안을 향상하려면 직접 액세스 관리 API, Git 구성 관리 엔드포인트 또는 자체 호스팅 게이트웨이 구성 엔드포인트와 같은 서비스 구성 엔드포인트에 대한 연결을 제한합니다.

심각도: 보통

API Management 최소 API 버전은 2019-12-01 이상으로 설정해야 함

설명 및 관련 정책: 서비스 비밀이 읽기 전용 사용자와 공유되지 않도록 하려면 최소 API 버전을 2019-12-01 이상으로 설정해야 합니다.

심각도: 보통

API 백 엔드에 대한 API Management 호출을 인증해야 함

설명 및 관련 정책: API Management에서 백 엔드로의 호출은 인증서 또는 자격 증명을 통해 어떤 형태의 인증을 사용해야 합니다. Service Fabric 백 엔드에는 적용되지 않습니다.

심각도: 보통

AI 권장 사항

Azure Machine Learning 작업 영역의 리소스 로그를 사용하도록 설정해야 합니다(미리 보기).

설명 및 관련 정책: 리소스 로그를 사용하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다.

심각도: 보통

Azure Machine Learning 작업 영역은 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다(미리 보기)

설명 및 관련 정책: 공용 네트워크 액세스를 사용하지 않도록 설정하면 Machine Learning 작업 영역이 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 작업 영역의 노출을 제어할 수 있습니다. 자세한 내용은 Azure Machine Learning 작업 영역에 대한 프라이빗 엔드포인트 구성을 참조하세요.

심각도: 보통

Azure Machine Learning 컴퓨팅은 가상 네트워크에 있어야 합니다(미리 보기).

설명 및 관련 정책: Azure Virtual Networks는 Azure Machine Learning 컴퓨팅 클러스터 및 인스턴스뿐만 아니라 서브넷, 액세스 제어 정책 및 액세스를 추가로 제한하는 기타 기능에 대해 향상된 보안 및 격리를 제공합니다. 컴퓨팅이 가상 네트워크로 구성된 경우 공개적으로 주소를 지정할 수 없으며 가상 네트워크 내의 가상 머신 및 애플리케이션에서만 액세스할 수 있습니다.

심각도: 보통

Azure Machine Learning 컴퓨팅에는 로컬 인증 방법을 사용하지 않도록 설정되어야 함(미리 보기)

설명 및 관련 정책: 로컬 인증 방법을 사용하지 않도록 설정하면 Machine Learning 컴퓨팅에 인증 전용으로 Azure Active Directory ID가 필요하도록 하여 보안이 향상됩니다. 자세한 내용은 Azure Machine Learning에 대한 Azure Policy 규정 준수 제어를 참조하세요.

심각도: 보통

최신 소프트웨어 업데이트(미리 보기)를 가져오려면 Azure Machine Learning 컴퓨팅 인스턴스를 다시 만들어야 합니다.

설명 및 관련 정책: Azure Machine Learning 컴퓨팅 인스턴스가 사용 가능한 최신 운영 체제에서 실행되는지 확인합니다. 최신 보안 패치를 실행하여 보안이 개선되고 취약성이 줄어듭니다. 자세한 내용은 Azure Machine Learning의 취약성 관리를 참조하세요.

심각도: 보통

Azure Databricks 작업 영역의 리소스 로그를 사용하도록 설정해야 합니다(미리 보기).

설명 및 관련 정책: 리소스 로그를 사용하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다.

심각도: 보통

Azure Databricks 작업 영역은 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다(미리 보기)

설명 및 관련 정책: 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제어할 수 있습니다. 자세한 내용은 Azure Private Link 사용을 참조하세요.

심각도: 보통

Azure Databricks 클러스터는 공용 IP를 사용하지 않도록 설정해야 합니다(미리 보기).

설명 및 관련 정책: Azure Databricks 작업 영역에서 클러스터의 공용 IP를 사용하지 않도록 설정하면 클러스터가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 자세한 내용은 보안 클러스터 연결을 참조하세요.

심각도: 보통

Azure Databricks 작업 영역은 가상 네트워크에 있어야 합니다(미리 보기).

설명 및 관련 정책: Azure Virtual Networks는 Azure Databricks 작업 영역뿐만 아니라 서브넷, 액세스 제어 정책 및 액세스를 추가로 제한하는 기타 기능에 대해 향상된 보안 및 격리를 제공합니다. 자세한 내용은 Azure Virtual Network에 Azure Databricks 배포를 참조하세요.

심각도: 보통

설명 및 관련 정책: Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Databricks 작업 영역에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. 자세한 내용은 Azure Portal UI에서 작업 영역 및 프라이빗 엔드포인트 만들기를 참조하세요.

심각도: 보통

사용되지 않는 권장 사항

PCI(권한 증가 인덱스)를 줄이기 위해 구독에서 과도하게 프로비전된 ID를 조사해야 함

설명: PCI(권한 크리프 인덱스)를 줄이고 인프라를 보호하기 위해 구독에서 과도하게 프로비전된 ID를 조사해야 합니다. 사용되지 않는 위험 수준이 높은 권한 할당을 제거하여 PCI를 줄입니다. 높은 PCI는 정상 또는 필요한 사용량을 초과하는 권한이 있는 ID와 관련된 위험을 반영합니다(관련 정책 없음).

심각도: 보통

계정에서 과도하게 프로비전된 ID를 조사하여 PCI(권한 크리프 인덱스)를 줄여야 합니다.

설명: PCI(권한 크리프 인덱스)를 줄이고 인프라를 보호하기 위해 계정에서 과도하게 프로비전된 ID를 조사해야 합니다. 사용되지 않는 위험 수준이 높은 권한 할당을 제거하여 PCI를 줄입니다. 높은 PCI는 정상 또는 필요한 사용량을 초과하는 권한이 있는 ID와 관련된 위험을 반영합니다.

심각도: 보통

App Services에 대한 액세스를 제한해야 함

설명 및 관련 정책: 너무 광범위한 범위에서 인바운드 트래픽을 거부하도록 네트워킹 구성을 변경하여 App Services에 대한 액세스를 제한합니다. (관련 정책: [미리 보기]: App Services에 대한 액세스를 제한해야 합니다).

심각도: 높음

IaaS NSG의 웹 애플리케이션에 대한 규칙을 강화해야 함

설명 및 관련 정책: 웹 애플리케이션 포트와 관련하여 지나치게 허용되는 NSG 규칙을 사용하여 웹 애플리케이션을 실행하는 가상 머신의 NSG(네트워크 보안 그룹)를 강화합니다. (관련 정책: IaaS의 웹 애플리케이션에 대한 NSG 규칙을 강화해야 합니다).

심각도: 높음

불필요한 애플리케이션 권한을 제거하여 공격 벡터를 줄이는 Pod 보안 정책을 정의해야 함(미리 보기)

설명 및 관련 정책: 불필요한 애플리케이션 권한을 제거하여 공격 벡터를 줄이기 위해 Pod 보안 정책을 정의합니다. Pod가 액세스 권한이 부여된 리소스에만 액세스할 수 있도록 Pod 보안 정책을 구성하는 것이 좋습니다. (관련 정책: [미리 보기]: Kubernetes Services에서 Pod 보안 정책을 정의해야 합니다.)

심각도: 보통

IoT 디바이스에 대한 가시성을 높일 수 있도록 Azure Security Center for IoT 보안 모듈 설치

설명 및 관련 정책: IoT 디바이스에 대한 가시성을 높일 수 있도록 Azure Security Center for IoT 보안 모듈을 설치합니다.

심각도: 낮음

시스템 업데이트를 적용하려면 머신을 다시 시작해야 합니다.

설명 및 관련 정책: 컴퓨터를 다시 시작하여 시스템 업데이트를 적용하고 취약성으로부터 컴퓨터를 보호합니다. (관련 정책: 시스템에 시스템 업데이트를 설치해야 함).

심각도: 보통

머신에 모니터링 에이전트를 설치해야 함

설명 및 관련 정책: 이 작업은 선택한 가상 머신에 모니터링 에이전트를 설치합니다. 보고할 에이전트의 작업 영역을 선택합니다. (관련 정책 없음)

심각도: 높음

Java를 웹앱용 최신 버전으로 업데이트해야 합니다.

설명 및 관련 정책: 보안 결함으로 인해 또는 추가 기능을 포함하기 위해 Java 소프트웨어용 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 수정(있는 경우) 및/또는 새 기능을 활용하려면 웹앱에 최신 Java 버전을 사용하는 것이 좋습니다. (관련 정책: 웹앱의 일부로 사용되는 경우 'Java 버전'이 최신 버전인지 확인합니다.)

심각도: 보통

Phython을 함수 앱용 최신 버전으로 업데이트해야 합니다.

설명 및 관련 정책: 정기적으로 최신 버전은 보안 결함으로 인해 또는 추가 기능을 포함하기 위해 Python 소프트웨어용으로 릴리스됩니다. 최신 버전의 보안 수정(있는 경우) 및/또는 새 기능을 활용하려면 함수 앱에 최신 Python 버전을 사용하는 것이 좋습니다. (관련 정책: 함수 앱의 일부로 사용되는 경우 'Python 버전'이 최신 버전인지 확인합니다.)

심각도: 보통

Phython을 웹앱용 최신 버전으로 업데이트해야 합니다.

설명 및 관련 정책: 정기적으로 최신 버전은 보안 결함으로 인해 또는 추가 기능을 포함하기 위해 Python 소프트웨어용으로 릴리스됩니다. 최신 버전의 보안 수정(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 Python 버전을 사용하는 것이 좋습니다. (관련 정책: 웹앱의 일부로 사용되는 경우 'Python 버전'이 최신 버전인지 확인합니다.)

심각도: 보통

Java를 함수 앱용 최신 버전으로 업데이트해야 합니다.

설명 및 관련 정책: 보안 결함으로 인해 또는 추가 기능을 포함하기 위해 Java 소프트웨어용 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 수정(있는 경우) 및/또는 새 기능을 활용하려면 함수 앱에 최신 Java 버전을 사용하는 것이 좋습니다. (관련 정책: 함수 앱의 일부로 사용되는 경우 'Java 버전'이 최신 버전인지 확인합니다.)

심각도: 보통

PHP를 웹앱용 최신 버전으로 업데이트해야 합니다.

설명 및 관련 정책: 보안 결함으로 인해 또는 추가 기능을 포함하기 위해 PHP 소프트웨어에 대해 정기적으로 최신 버전이 릴리스됩니다. 최신 버전의 보안 수정(있는 경우) 및/또는 새 기능을 활용하려면 웹앱에 최신 PHP 버전을 사용하는 것이 좋습니다. (관련 정책: 웹앱의 일부로 사용되는 경우 'PHP 버전'이 최신 버전인지 확인합니다.)

심각도: 보통

머신의 엔드포인트 보호 상태 문제를 해결해야 합니다.

설명: 가상 머신의 엔드포인트 보호 상태 문제를 해결하여 최신 위협 및 취약성으로부터 보호합니다. 클라우드용 Defender에서 지원하는 엔드포인트 보호 솔루션엔드포인트 보호 평가에 대한 설명서를 참조하세요. (관련 정책 없음)

심각도: 보통

머신에 엔드포인트 보호를 설치해야 합니다.

설명: 위협 및 취약성으로부터 컴퓨터를 보호하려면 지원되는 엔드포인트 보호 솔루션을 설치합니다. 클라우드용 Microsoft Defender의 엔드포인트 보호 평가 및 권장 사항에서 머신에 대한 엔드포인트 보호를 평가하는 방법에 대해 자세히 알아봅니다. (관련 정책 없음)

심각도: 높음