Azure Policy 기본 제공 이니셔티브 정의
이 페이지는 Azure Policy 기본 제공 이니셔티브 정의의 인덱스입니다.
각 기본 제공 기능의 이름은 Azure Policy GitHub 리포지토리의 이니셔티브 정의 원본에 연결됩니다. 기본 제공 기능은 메타데이터의 범주 속성을 기준으로 그룹화됩니다. 특정 범주로 이동하려면 브라우저의 검색 기능에서 Ctrl-F를 사용합니다.
Automanage
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
[미리 보기]: Automanage 모범 사례에 대한 감사 구성 | Automanage Machine 모범 사례는 할당된 구성 프로필에 정의된 대로 원하는 상태에 따라 관리되는 리소스가 설정되도록 보장합니다. | 6 | 1.0.1 - 미리 보기 |
ChangeTrackingAndInventory
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
[미리 보기]: Arc 지원 가상 머신에 대해 ChangeTracking 및 인벤토리 사용 | Arc 사용 가상 머신에 대해 변경 내용 추적 및 인벤토리 사용 데이터 수집 규칙 ID를 매개 변수로 사용하고 해당 위치를 입력하는 옵션을 요청합니다. | 6 | 1.0.0 - 미리 보기 |
[미리 보기]: 가상 머신 확장 집합에 대해 ChangeTracking 및 인벤토리 사용 | Virtual Machine Scale Sets에 대해 변경 내용 추적 및 인벤토리 사용 데이터 수집 규칙 ID를 매개 변수로 사용하고 Azure Monitor 에이전트에 해당하는 위치 및 사용자 할당 ID를 입력하는 옵션을 요청합니다. | 7 | 1.1.0 - 미리 보기 |
[미리 보기]: 가상 머신에 대한 ChangeTracking 및 인벤토리 사용 | 가상 머신에 대해 변경 내용 추적 및 인벤토리 사용 데이터 수집 규칙 ID를 매개 변수로 사용하고 Azure Monitor 에이전트에 해당하는 위치 및 사용자 할당 ID를 입력하는 옵션을 요청합니다. | 7 | 1.1.0 - 미리 보기 |
Cosmos DB
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
Azure Cosmos DB 처리량 정책 사용 | 지정된 범위(관리 그룹, 구독 또는 리소스 그룹)에서 Azure Cosmos DB 리소스에 대한 처리량 제어를 사용하도록 설정합니다. 최대 처리량을 매개 변수로 사용합니다. 이 정책을 사용하면 리소스 공급자를 통해 처리량 제어를 적용할 수 있습니다. | 2 | 1.0.0 |
일반
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
사용 비용 리소스 허용 | MCPP, M365를 제외한 리소스 배포를 허용합니다. | 2 | 1.0.0 |
게스트 구성
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
[미리 보기]: 사용자 할당 관리 ID를 사용하여 가상 머신에서 게스트 구성 정책을 사용하도록 설정하기 위한 필수 조건 배포 | 이 이니셔티브는 사용자 할당 관리 ID를 추가하고 게스트 구성 정책에서 모니터링할 수 있는 가상 머신에 플랫폼에 적합한 게스트 구성 확장을 배포합니다. 이는 모든 게스트 구성 정책의 필수 구성 요소이며 게스트 구성 정책을 사용하기 전에 정책 할당 범위에 할당해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 3 | 1.0.0 - 미리 보기 |
[미리 보기]: Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 이 이니셔티브는 Azure 컴퓨팅 보안 기준을 충족하지 않는 설정으로 Windows 머신을 감사합니다. 자세한 내용은 https://aka.ms/gcpol을 참조하세요. | 29 | 2.0.1-preview |
안전하지 않은 암호 보안 설정이 있는 머신 감사 | 이 이니셔티브는 정책 요구 사항을 배포하고 안전하지 않은 암호 보안 설정이 있는 머신을 감사합니다. 게스트 구성 정책에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 9 | 1.1.0 |
Windows 컴퓨터에서 보안 통신 프로토콜(TLS 1.1 또는 TLS 1.2) 구성(필수 조건 포함) | Windows 컴퓨터에서 할당된 보안 프로토콜 버전(TLS 1.1 또는 TLS 1.2)을 구성하기 위한 게스트 구성 할당(필수 조건 포함)을 만듭니다. 자세한 내용은 https://aka.ms/SetSecureProtocol을 방문하세요. | 3 | 1.0.0 |
필수 구성 요소를 배포하여 가상 머신에서 게스트 구성 정책을 사용하도록 설정 | 이 이니셔티브는 시스템 할당 관리 ID를 추가하고 게스트 구성 정책에서 모니터링할 수 있는 가상 머신에 플랫폼에 적합한 게스트 구성 확장을 배포합니다. 이는 모든 게스트 구성 정책의 필수 구성 요소이며 게스트 구성 정책을 사용하기 전에 정책 할당 범위에 할당해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 4 | 1.0.0 |
Kubernetes
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
[미리 보기]: 이미지 무결성을 사용하여 신뢰할 수 있는 이미지만 배포되도록 합니다. | AKS 클러스터에서 이미지 무결성 및 Azure Policy 추가 기능을 사용하도록 설정하여 AKS 클러스터가 신뢰할 수 있는 이미지만 배포하도록 하려면 이미지 무결성을 사용합니다. 이미지 무결성 추가 기능과 Azure Policy 추가 기능은 모두 이미지 무결성을 사용하여 배포 시 이미지가 서명되었는지 확인하기 위한 필수 구성 요소입니다. 자세한 내용은 https://aka.ms/aks/image-integrity을 방문하세요. | 3 | 1.1.0 - 미리 보기 |
[미리 보기]: 배포 보호 장치는 개발자가 AKS 권장 모범 사례를 따르도록 안내하는 데 도움이 됩니다. | AKS(Azure Kubernetes Service)에서 권장하는 Kubernetes 모범 사례 컬렉션입니다. 최상의 환경을 위해 배포 보호 조치를 사용하여 다음 정책 이니셔티브를 할당합니다. https://aka.ms/aks/deployment-safeguards. AKS용 Azure Policy 추가 기능은 이러한 모범 사례를 클러스터에 적용하기 위한 필수 구성 요소입니다. Azure Policy 추가 기능을 사용하도록 설정하는 방법에 대한 지침을 보려면 aka.ms/akspolicydoc로 이동합니다. | 20 | 1.9.0-preview |
Linux 기반 워크로드에 대한 Kubernetes 클러스터 Pod 보안 기준 표준 | 이 이니셔티브에는 Kubernetes 클러스터 Pod 보안 기준 표준에 대한 정책이 포함됩니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 이 정책 사용에 대한 지침은 https://aka.ms/kubepolicydoc를 방문하세요. | 5 | 1.4.0 |
Linux 기반 워크로드에 대한 Kubernetes 클러스터 Pod 보안 제한 표준 | 이 이니셔티브에는 Kubernetes 클러스터 Pod 보안 제한 표준에 대한 정책이 포함됩니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 이 정책 사용에 대한 지침은 https://aka.ms/kubepolicydoc를 방문하세요. | 8 | 2.5.0 |
관리 ID
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
[미리 보기]: 관리 ID 페더레이션된 자격 증명은 승인된 페더레이션된 원본에서 승인된 형식이어야 합니다. | 관리 ID에 대한 페더레이션된 자격 증명 사용을 제어합니다. 이 이니셔티브에는 페더레이션된 ID 자격 증명을 완전히 차단하고, 특정 페더레이션 공급자 형식에 대한 사용을 제한하고, 페더레이션 관계를 승인된 원본으로 제한하는 정책이 포함됩니다. | 3 | 1.0.0 - 미리 보기 |
모니터링
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
[미리 보기]: 가상 머신에서 Azure Defender for SQL 에이전트 구성 | Azure Monitor 에이전트가 설치된 위치에 Azure Defender for SQL 에이전트를 자동으로 설치하도록 가상 머신을 구성합니다. Security Center는 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 머신과 동일한 지역에 리소스 그룹 및 Log Analytics 작업 영역을 만듭니다. 이 정책은 일부 지역의 VM에만 적용됩니다. | 2 | 1.0.0 - 미리 보기 |
Azure Monitor 에이전트를 실행하고 데이터 수집 규칙에 연결하도록 Linux 머신 구성 | Azure Monitor 에이전트 확장을 배포하고 지정된 데이터 수집 규칙에 머신을 연결하여 Linux 가상 머신, 가상 머신 확장 집합 및 Arc 머신을 모니터링하고 보호합니다. 지원되는 지역에서 지원되는 OS 이미지(또는 제공된 이미지 목록과 일치하는 머신)가 있는 머신에서 배포가 수행됩니다. | 4 | 3.2.0 |
Azure Monitor 에이전트를 실행하고 데이터 수집 규칙에 연결하도록 Windows 머신 구성 | Azure Monitor 에이전트 확장을 배포하고 지정된 데이터 수집 규칙에 머신을 연결하여 Windows 가상 머신, 가상 머신 확장 집합 및 Arc 머신을 모니터링하고 보호합니다. 지원되는 지역에서 지원되는 OS 이미지(또는 제공된 이미지 목록과 일치하는 머신)가 있는 머신에서 배포가 수행됩니다. | 4 | 3.2.0 |
사용자 할당 관리 ID 기반 인증을 사용하여 Linux Azure Monitor 에이전트를 배포하고 데이터 수집 규칙과 연결함 | 사용자 할당 관리 ID 인증을 사용하여 Azure Monitor 에이전트 확장을 배포하고 할당된 데이터 수집 규칙과 연결하여 Linux Virtual Machines 및 가상 머신 확장 집합을 모니터링합니다. Azure Monitor 에이전트 배포는 지원되는 지역의 지원되는 OS 이미지가 있는 컴퓨터(또는 제공된 이미지 목록과 일치하는 컴퓨터)에서 발생합니다. | 5 | 2.3.0 |
사용자 할당 관리 ID 기반 인증을 사용하여 Windows Azure Monitor 에이전트를 배포하고 데이터 수집 규칙과 연결함 | 사용자 할당 관리 ID 인증을 사용하여 Azure Monitor 에이전트 확장을 배포하고 할당된 데이터 수집 규칙과 연결하여 Windows Virtual Machines 및 가상 머신 확장 집합을 모니터링합니다. Azure Monitor 에이전트 배포는 지원되는 지역의 지원되는 OS 이미지가 있는 컴퓨터(또는 제공된 이미지 목록과 일치하는 컴퓨터)에서 발생합니다. | 5 | 2.3.0 |
이벤트 허브에 지원되는 리소스에 대한 allLogs 범주 그룹 리소스 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 이니셔티브는 allLogs 범주 그룹을 사용하여 지원되는 모든 리소스에 대해 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | 140 | 1.0.0 |
Log Analytics에 지원되는 리소스에 대한 allLogs 범주 그룹 리소스 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 이니셔티브는 allLogs 범주 그룹을 사용하여 지원되는 모든 리소스에 대해 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | 140 | 1.0.0 |
지원되는 리소스에 대해 스토리지에 대한 allLogs 범주 그룹 리소스 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 이니셔티브는 allLogs 범주 그룹을 사용하여 지원되는 모든 리소스에 대한 스토리지로 로그를 라우팅하는 진단 설정을 배포합니다. | 140 | 1.0.0 |
Event Hub에 지원되는 리소스에 대한 감사 범주 그룹 리소스 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 이니셔티브는 감사 범주 그룹을 사용하여 지원되는 모든 리소스에 대해 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | 69 | 1.1.0 |
Log Analytics에 지원되는 리소스에 대한 감사 범주 그룹 리소스 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 이니셔티브는 감사 범주 그룹을 사용하여 지원되는 모든 리소스에 대한 로그를 Log Analytics로 라우팅하는 진단 설정을 배포합니다. | 69 | 1.1.0 |
지원되는 리소스에 대해 스토리지에 대한 감사 범주 그룹 리소스 로깅을 사용하도록 설정합니다. | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 이니셔티브는 감사 범주 그룹을 사용하여 지원되는 모든 리소스에 대한 스토리지로 로그를 라우팅하는 진단 설정을 배포합니다. | 69 | 1.1.0 |
AMA를 사용하여 하이브리드 VM용 Azure Monitor 사용 | AMA를 사용하여 하이브리드 가상 머신에 Azure Monitor를 사용하도록 설정합니다. | 6 | 1.0.0 |
AMA(Azure Monitoring Agent)를 사용하여 VM용 Azure Monitor 사용 | AMA를 사용하여 VM(가상 머신)에 대해 Azure Monitor를 사용하도록 설정합니다. | 7 | 1.2.0 |
AMA(Azure Monitoring Agent)를 사용하여 VMSS용 Azure Monitor 사용 | AMA를 사용하여 VMSS(가상 머신 확장 집합)에 대해 Azure Monitor를 사용하도록 설정합니다. | 7 | 1.2.0 |
레거시 - Virtual Machine Scale Sets에 Azure Monitor 사용 | 레거시 - 지정된 범위(관리 그룹, 구독 또는 리소스 그룹)에서 Virtual Machine Scale Sets에 대해 Azure Monitor를 사용하도록 설정합니다. Log Analytics 작업 영역을 매개 변수로 사용합니다. AMA(Azure Monitoring Agent)를 사용하여 VMSS에 Azure Monitor를 사용하도록 설정하는 새 이니셔티브를 사용합니다. 참고: 확장 집합 upgradePolicy를 수동으로 설정한 경우 이에 대한 업그레이드를 호출하여 집합의 모든 VM에 확장을 적용해야 합니다. CLI에서는 az vmss update-instances입니다. | 6 | 1.0.2 |
레거시 - VM용 Azure Monitor 사용 | 레거시 - 지정된 범위(관리 그룹, 구독 또는 리소스 그룹)에서 VM(가상 머신)에 대해 Azure Monitor를 사용하도록 설정합니다. Log Analytics 작업 영역을 매개 변수로 사용합니다. 명명된 새 이니셔티브 사용: AMA(Azure Monitoring Agent)에서 VM용 Azure Monitor 사용 | 10 | 2.0.1 |
네트워크
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
모든 네트워크 보안 그룹에 대해 흐름 로그를 구성하고 사용하도록 설정해야 함 | 네트워크 보안 그룹을 감사하여 흐름 로그가 구성되어 있는지, 흐름 로그 상태가 활성화되어 있는지 확인합니다. 흐름 로그를 사용하면 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. | 2 | 1.0.0 |
NEXUS
속성 | 설명 | 정책 | 버전 |
---|---|---|---|
[미리 보기]: Nexus Compute 클러스터 보안 기준 | 이 이니셔티브에는 Nexus Compute 클러스터의 보안 기준 기대치를 반영하도록 설계된 정책이 포함됩니다. 클러스터 구성이 보안 환경을 유지하는 데 중요한 특정 보안 제어를 준수하도록 합니다. | 13 | 1.0.0 - 미리 보기 |
규정 준수
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
[미리 보기]: 오스트레일리아 정부 ISM 보호 | 이 이니셔티브에는 오스트레일리아 정부 ISM(정보 보안 매뉴얼) 컨트롤의 일부를 다루는 정책이 포함됩니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/auism-initiative을 참조하세요. | 45 | 8.6.0-preview |
[미리 보기]: CMMC 2.0 수준 2 | 이 이니셔티브에는 CMMC 2.0 수준 2 사례의 하위 집합을 다루는 정책이 포함됩니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/cmmc2l2-initiative을 참조하세요. | 234 | 2.15.0-preview |
[미리 보기]: MPAA(Motion Picture Association of America) | 이 이니셔티브에는 MPAA(Motion Picture Association of America) 보안 및 지침 컨트롤의 하위 집합을 다루는 감사 및 가상 머신 확장 배포 정책이 포함됩니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/mpaa-init을 참조하세요. | 33 | 4.4.0-preview |
[미리 보기]: 인도 중앙은행 - 은행을 위한 IT 프레임워크 | 이 이니셔티브에는 은행 제어를 위한 인도 중앙은행 IT 프레임워크의 하위 집합을 다루는 정책이 포함됩니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/rbiitfbanks-initiative을 참조하세요. | 156 | 1.16.0-preview |
[미리 보기]: 인도 중앙은행 - NBFC용 IT 프레임워크 | 이 이니셔티브에는 NBFC(비은행 금융 회사) 제어를 위한 Reserve Bank of India IT 프레임워크의 하위 집합을 다루는 정책이 포함됩니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/rbiitfnbfc-initiative을 참조하세요. | 124 | 2.12.0-preview |
[미리 보기]: 주권 기준 - 기밀 정책 | Microsoft Cloud for Sovereignty는 조직이 기본적으로 승인된 지역 외부에서 리소스 생성을 거부하고, Azure 기밀 컴퓨팅에서 지원하지 않는 리소스를 거부하고, 고객 관리형 키를 사용하지 않는 데이터 스토리지 리소스를 거부함으로써 조직이 주권 목표를 달성할 수 있도록 기밀 정책을 권장합니다. 자세한 내용은 다음에서 찾을 수 있습니다. https://aka.ms/SovereigntyBaselinePolicies | 17 | 1.0.1 - 미리 보기 |
[미리 보기]: 주권 기준 - 글로벌 정책 | Microsoft Cloud for Sovereignty는 조직이 승인된 지역 외부의 리소스 생성을 기본적으로 거부하여 주권 목표를 달성할 수 있도록 지원하는 글로벌 정책을 권장합니다. 자세한 내용은 다음에서 찾을 수 있습니다. https://aka.ms/SovereigntyBaselinePolicies | 5 | 1.1.0 - 미리 보기 |
[미리 보기]: SWIFT CSP-CSCF v2020 | 이 이니셔티브에는 SWIFT CSP-CSCF v2020 컨트롤의 하위 집합을 다루는 감사 및 가상 머신 확장 배포 정책이 포함됩니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/swift2020-init을 참조하세요. | 52 | 6.4.0-preview |
[미리 보기]: SWIFT CSP-CSCF v2021 | 이 이니셔티브에는 SWIFT Customer Security Program's Customer Security Controls Framework v2021 컨트롤의 하위 집합을 처리하는 정책이 포함됩니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/swift2021-init을 참조하세요. | 127 | 4.11.0-preview |
Microsoft 365 인증용 ACAT | ACAT(Microsoft 365용 앱 규정 준수 자동화 도구)는 Microsoft 365 인증을 획득하는 프로세스를 간소화합니다. https://aka.ms/acat를 참조하세요. 이 인증은 앱이 고객 데이터, 보안 및 개인 정보를 보호하기 위한 강력한 보안 및 규정 준수 사례를 갖추고 있음을 보장합니다. 이 이니셔티브에는 Microsoft 365 인증 제어의 하위 집합을 다루는 정책이 포함되어 있습니다. 이후 릴리스에 추가 정책이 추가됩니다. | 16 | 1.1.0 |
캐나다 연방 PBMM | 이 이니셔티브는 캐나다 연방 PBMM 컨트롤의 하위 집합에 적용되는 정책을 포함합니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/canadafederalpbmm-init을 참조하세요. | 49 | 8.5.0 |
CIS Microsoft Azure Foundations Benchmark v1.1.0 | CIS(인터넷 보안 센터)는 '사이버 방어에 대한 모범 사례 솔루션을 식별, 개발, 유효성 검사, 홍보 및 유지'하는 것을 목적으로 하는 비영리 단체입니다. CIS 벤치마크는 시스템을 안전하게 구성하기 위한 구성 기준 및 모범 사례입니다. 이러한 정책은 CIS Microsoft Azure Foundations Benchmark v1.1.0 컨트롤의 하위 집합을 다룹니다. 자세한 내용은 https://aka.ms/cisazure110-initiative 에서 확인할 수 있습니다. | 157 | 16.8.0 |
CIS Microsoft Azure Foundations Benchmark v1.3.0 | CIS(인터넷 보안 센터)는 '사이버 방어에 대한 모범 사례 솔루션을 식별, 개발, 유효성 검사, 홍보 및 유지'하는 것을 목적으로 하는 비영리 단체입니다. CIS 벤치마크는 시스템을 안전하게 구성하기 위한 구성 기준 및 모범 사례입니다. 이러한 정책은 CIS Microsoft Azure Foundations Benchmark v1.3.0 컨트롤의 하위 집합을 다룹니다. 자세한 내용은 https://aka.ms/cisazure130-initiative 에서 확인할 수 있습니다. | 173 | 8.11.0 |
CIS Microsoft Azure Foundations Benchmark v1.4.0 | CIS(인터넷 보안 센터)는 '사이버 방어에 대한 모범 사례 솔루션을 식별, 개발, 유효성 검사, 홍보 및 유지'하는 것을 목적으로 하는 비영리 단체입니다. CIS 벤치마크는 시스템을 안전하게 구성하기 위한 구성 기준 및 모범 사례입니다. 이러한 정책은 CIS Microsoft Azure Foundations Benchmark v1.4.0 컨트롤의 하위 집합을 다룹니다. 자세한 내용은 https://aka.ms/cisazure140-initiative 에서 확인할 수 있습니다. | 171 | 1.11.0 |
CIS Microsoft Azure Foundations Benchmark v2.0.0 | CIS(인터넷 보안 센터)는 '사이버 방어에 대한 모범 사례 솔루션을 식별, 개발, 유효성 검사, 홍보 및 유지'하는 것을 목적으로 하는 비영리 단체입니다. CIS 벤치마크는 시스템을 안전하게 구성하기 위한 구성 기준 및 모범 사례입니다. 이러한 정책은 CIS Microsoft Azure Foundations Benchmark v2.0.0 컨트롤의 하위 집합을 다룹니다. 자세한 내용은 https://aka.ms/cisazure200-initiative 에서 확인할 수 있습니다. | 208 | 1.4.0 |
CMMC Level 3 | 이 이니셔티브에는 CMMC(Cybersecurity Maturity Model Certification) 수준 3 요구 사항의 하위 집합을 다루는 정책이 포합됩니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/cmmc-initiative을 참조하세요. | 152 | 11.10.0 |
FedRAMP High | FedRAMP는 클라우드 기반 제품 및 서비스에 대한 보안 평가, 권한 부여 및 지속적인 모니터링에 대한 표준화된 방식을 제공하는 미국 정부 차원의 프로그램입니다. FedRAMP는 NIST 기준 컨트롤을 기반으로 한 낮음, 보통 또는 높음의 보안 영향 수준 시스템에 대한 컨트롤 집합을 정의합니다. 이러한 정책은 FedRAMP(높음) 제어의 하위 집합을 다룹니다. 자세한 내용은 https://docs.microsoft.com/azure/compliance/offerings/offering-fedramp 에서 확인할 수 있습니다. | 719 | 17.16.0 |
FedRAMP Moderate | FedRAMP는 클라우드 기반 제품 및 서비스에 대한 보안 평가, 권한 부여 및 지속적인 모니터링에 대한 표준화된 방식을 제공하는 미국 정부 차원의 프로그램입니다. FedRAMP는 NIST 기준 컨트롤을 기반으로 한 낮음, 보통 또는 높음의 보안 영향 수준 시스템에 대한 컨트롤 집합을 정의합니다. 이러한 정책은 FedRAMP(보통) 제어의 하위 집합을 다룹니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://www.fedramp.gov/documents-templates/ 에서 확인할 수 있습니다. | 650 | 17.15.0 |
HITRUST/HIPAA | HITRUST(Health Information Trust Alliance)는 모든 부문, 특히 의료 분야의 조직이 데이터, 정보 위험 및 규정 준수를 효과적으로 관리하도록 돕습니다. HITRUST 인증은 조직이 정보 보안 프로그램에 대한 철저한 평가를 거쳤음을 의미합니다. 이러한 정책은 HITRUST 컨트롤의 하위 집합을 처리합니다. 자세한 내용은 https://docs.microsoft.com/azure/governance/policy/samples/hipaa-hitrust-9-2 에서 확인할 수 있습니다. | 600 | 14.7.0 |
IRS1075 2016년 9월 | 이 이니셔티브는 IRS1075 2016년 9월 컨트롤의 하위 집합에 적용되는 정책을 포함합니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/irs1075-init을 참조하세요. | 52 | 8.5.0 |
ISO 27001:2013 | ISO(국제 표준화 기구) 27001 표준은 ISMS(정보 보안 관리 시스템)를 구축, 구현, 유지 관리 및 지속적으로 개선하기 위한 요구 사항을 제공합니다. 이러한 정책은 ISO 27001:2013 제어의 하위 집합을 다룹니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/iso27001-init 에서 확인할 수 있습니다. | 456 | 8.5.0 |
뉴질랜드 ISM | NZISM v3.8. 뉴질랜드 NZISM(정보 보안 설명서)은 모든 뉴질랜드 정부 정보 및 시스템의 보호에 필수적인 프로세스 및 제어를 자세히 설명합니다. 이 이니셔티브에는 NZISM 컨트롤의 하위 집합을 다루는 정책이 포함됩니다. 이후 릴리스에 추가 정책이 추가됩니다. 컨트롤에 대한 자세한 내용은 다음을 https://www.nzism.gcsb.govt.nz/ism-document참조하세요. 이 정책 집합에는 기본적으로 거부 효과가 있는 정의가 포함됩니다. | 217 | 1.5.0 |
NIST SP 800-171 Rev. 2 | 미국 NIST(미국 국립표준기술원)는 연방 기관의 정보 및 정보 시스템을 보호할 수 있도록 하는 측정 표준 및 지침을 촉진하고 유지합니다. CUI(Controlled Unclassified Information) 관리에 관한 행정 명령 13556에 따라 NIST SP 800-171을 발표했습니다. 이러한 정책은 NIST SP 800-171 Rev. 2 제어의 하위 집합을 다룹니다. 자세한 내용은 https://docs.microsoft.com/azure/compliance/offerings/offering-nist-800-171 에서 확인할 수 있습니다. | 449 | 15.15.0 |
NIST SP 800-53 Rev. 4 | NIST(미국 국립표준기술원) SP 800-53 R4는 정보 보안 위험을 관리하기 위해 클라우드 컴퓨팅 제품 및 서비스를 평가, 모니터링 및 승인하기 위한 표준화된 방식을 제공합니다. 이러한 정책은 NIST SP 800-53 R4 제어의 하위 집합을 다룹니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/nist800-53r4-initiative 에서 확인할 수 있습니다. | 720 | 17.15.0 |
NIST SP 800-53 개정 5 | NIST(미국 국립표준기술원) SP 800-53 Rev. 5는 정보 보안 위험을 관리하기 위해 클라우드 컴퓨팅 제품 및 서비스를 평가, 모니터링 및 승인하기 위한 표준화된 방식을 제공합니다. 이러한 정책은 NIST SP 800-53 R5 제어의 하위 집합을 다룹니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/nist800-53r5-initiative 에서 확인할 수 있습니다. | 705 | 14.15.0 |
NL BIO 클라우드 테마 | 이 이니셔티브에는 특히 'thema-uitwerking Clouddiensten'에 대한 Dutch BIO(Baseline Informatiebeveiliging) 통제를 다루는 정책과 SOC2 및 ISO 27001:2013 통제가 적용되는 정책이 포함됩니다. | 242 | 1.9.0 |
PCI DSS v4 | PCI(결제 카드 산업) DSS(데이터 보안 표준)은 신용 카드 데이터에 대한 제어를 강화하여 사기를 방지하도록 설계된 글로벌 정보 보안 표준입니다. 결제 및 카드 소지자 데이터를 저장, 처리 또는 전송하는 모든 조직은 PCI DSS를 준수해야 합니다. 이러한 정책은 PCI-DSS v4 제어의 하위 집합을 처리합니다. 자세한 내용은 https://docs.microsoft.com/azure/governance/policy/samples/pci-dss-3-2-1 에서 확인할 수 있습니다. | 275 | 1.5.0 |
PCI v3.2.1:2018 | 이 이니셔티브는 PCI v3.2.1:2018 컨트롤의 하위 집합에 적용되는 정책을 포함합니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/pciv321-init을 참조하세요. | 33 | 6.4.0 |
RMIT 말레이시아 | 이 이니셔티브는 RMIT 요구 사항의 하위 집합에 적용되는 정책을 포함합니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 aka.ms/rmit-initiative를 방문하세요. | 194 | 9.13.0 |
SOC 2 형식 2 | SOC(System and Organization Controls) 2는 AICPA(American Institute of Certified Public Accountants)에서 제정한 신뢰 서비스 원칙 및 조건에 기반한 보고서입니다. 이 보고서는 보안, 가용성, 처리 무결성, 기밀성 및 개인 정보 보호 원칙과 관련된 조직의 정보 시스템을 평가합니다. 이러한 정책은 SOC 2 형식 2 제어의 하위 집합을 다룹니다. 자세한 내용은 https://docs.microsoft.com/azure/compliance/offerings/offering-soc-2 에서 확인할 수 있습니다. | 311 | 1.10.0 |
스페인 ENS | 이 이니셔티브에는 특히 'CCN-STIC 884'에 대한 ENS(국가 안보 계획) 제어를 다루는 정책이 포함됩니다. 이 정책 집합에는 기본적으로 거부 효과가 있는 정의가 포함됩니다. | 864 | 1.4.0 |
SWIFT CSP-CSCF v2022 | SWIFT의 CSP(고객 보안 프로그램)은 금융 기관이 사이버 공격에 대한 방어를 최신 상태로 유지하고 더 넓은 금융 네트워크의 무결성을 지킬 수 있도록 지원합니다. 사용자는 구현한 보안 측정값을 CSCF(Customer Security Controls Framework)에 자세히 설명된 보안 측정값과 비교합니다. 이러한 정책은 SWIFT 컨트롤의 하위 집합을 처리합니다. 자세한 내용은 https://docs.microsoft.com/azure/governance/policy/samples/swift-cscf-v2021 에서 확인할 수 있습니다. | 331 | 2.8.0 |
영국 공식 및 영국 NHS | 이 이니셔티브에는 영국 공식 및 영국 NHS 컨트롤의 하위 집합을 다루는 감사 및 가상 머신 확장 배포 정책이 포함됩니다. 이후 릴리스에 추가 정책이 추가됩니다. 자세한 내용은 https://aka.ms/ukofficial-init 및 https://aka.ms/uknhs-init를 방문하세요. | 49 | 9.5.0 |
복원력
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
[미리 보기]: 리소스는 영역 복원력이 있어야 합니다. | 일부 리소스 종류는 영역 중복(예: SQL Database)으로 배포할 수 있습니다. 일부는 영역 정렬(예: Virtual Machines)을 배포할 수 있습니다. 일부는 영역 정렬 또는 영역 중복(예: Virtual Machine Scale Sets)으로 배포될 수 있습니다. 영역 정렬이 복원력을 보장하지는 않지만 복원력 있는 솔루션을 빌드할 수 있는 기반입니다(예: 부하 분산 장치를 사용하여 동일한 지역의 세 가지 다른 영역에 정렬된 세 개의 Virtual Machine Scale Sets 영역). 자세한 내용은 https://aka.ms/AZResilience를 참조하세요. | 34 | 1.10.0-preview |
SDN
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
공용 네트워크 액세스 감사 | 공용 인터넷에서 액세스를 허용하는 Azure 리소스 감사 | 35 | 4.2.0 |
지원되는 모든 Azure 리소스에서 Private Link 사용량 평가 | 규정 준수 리소스에는 승인된 프라이빗 엔드포인트 연결이 하나 이상 있습니다. | 30 | 1.1.0 |
Security Center
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
[미리 보기]: 엔드포인트용 Microsoft Defender 에이전트 배포 | 해당 이미지에 엔드포인트용 Microsoft Defender 에이전트를 배포합니다. | 4 | 1.0.0 - 미리 보기 |
오픈 소스 관계형 데이터베이스에서 Advanced Threat Protection을 사용하도록 구성 | 기본 계층이 아닌 오픈 소스 관계형 데이터베이스에서 Advanced Threat Protection을 사용하도록 설정하여 데이터베이스에 액세스하거나 데이터베이스를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 탐지합니다. https://aka.ms/AzDforOpenSourceDBsDocu을(를) 참조하세요. | 5 | 1.2.0 |
SQL Servers 및 SQL Managed Instances에서 Azure Defender를 사용하도록 구성 | SQL Servers 및 SQL Managed Instances에서 Azure Defender를 사용하도록 설정하고 비정상이고 잠재적으로 위험한 데이터베이스 액세스 또는 악용 시도를 나타내는 비정상적인 활동을 검색합니다. | 3 | 3.0.0 |
클라우드용 Microsoft Defender 플랜 구성 | 클라우드용 Microsoft Defender는 다중 클라우드 환경에서 개발부터 런타임까지 포괄적인 클라우드 기반 보호를 제공합니다. 정책 이니셔티브를 사용하여 선택한 범위에서 사용하도록 설정되도록 클라우드용 Defender 계획 및 확장을 구성합니다. | 11 | 1.0.0 |
사용하도록 데이터베이스용 Microsoft Defender 구성 | Azure SQL Databases, Managed Instances, 오픈 소스 관계형 데이터베이스 및 Cosmos DB를 보호하도록 데이터베이스용 Microsoft Defender를 구성합니다. | 4 | 1.0.0 |
클라우드용 Microsoft Defender를 사용하여 여러 엔드포인트용 Microsoft Defender 통합 설정 구성 | 클라우드용 Microsoft Defender(WDATP, WDATP_EXCLUDE_LINUX_PUBLIC_PREVIEW, WDATP_UNIFIED_SOLUTION 등)를 사용하여 여러 엔드포인트용 Microsoft Defender 통합 설정을 구성합니다. 자세한 내용은 https://learn.microsoft.com/azure/defender-for-cloud/integration-defender-for-endpoint를 참조하세요. | 3 | 1.0.0 |
LA 작업 영역을 사용하여 Microsoft Defender for SQL 및 AMA를 설치하도록 SQL VM 및 Arc 지원 SQL Server 구성 | Microsoft Defender for SQL은 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 컴퓨터와 동일한 지역에 리소스 그룹과 데이터 수집 규칙 및 Log Analytics 작업 영역을 만듭니다. | 9 | 1.3.0 |
사용자 정의 LA 작업 영역을 사용하여 Microsoft Defender for SQL 및 AMA를 설치하도록 SQL VM 및 Arc 지원 SQL Server 구성 | Microsoft Defender for SQL은 에이전트에서 이벤트를 수집하고 이를 사용하여 보안 경고 및 맞춤형 강화 작업(권장 사항)을 제공합니다. 사용자가 제공한 Log Analytics 작업 영역과 동일한 지역에 리소스 그룹 및 데이터 수집 규칙을 만듭니다. | 8 | 1.2.0 |
Microsoft 클라우드 보안 벤치마크 | Microsoft 클라우드 보안 벤치마크 이니셔티브는 Microsoft 클라우드 보안 벤치마크에 정의된 보안 권장 사항을 구현하는 정책 및 제어를 나타냅니다(https://aka.ms/azsecbm 참조). 클라우드용 Microsoft Defender 기본 정책 이니셔티브로도 사용됩니다. 이 이니셔티브를 직접 할당할 수도 있고, 클라우드용 Microsoft Defender 내에서 해당 정책 및 규정 준수 결과를 관리할 수도 있습니다. | 228 | 57.45.0 |
SQL
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
Azure SQL Database에는 Microsoft Entra 전용 인증이 있어야 합니다. | Azure SQL Database에 대해 Microsoft Entra 전용 인증을 요구하고 로컬 인증 방법을 사용하지 않도록 설정합니다. 이를 통해 Microsoft Entra ID를 통해서만 액세스할 수 있으며, MFA, SSO 및 관리 ID를 통한 비밀 없는 프로그래밍 방식 액세스를 포함한 최신 인증 향상 기능으로 보안을 강화합니다. | 2 | 1.0.0 |
Azure SQL Managed Instance에는 Microsoft Entra 전용 인증이 있어야 합니다. | Azure SQL Managed Instance에 대해 Microsoft Entra 전용 인증을 요구하고 로컬 인증 방법을 사용하지 않도록 설정합니다. 이를 통해 Microsoft Entra ID를 통해서만 액세스할 수 있으며, MFA, SSO 및 관리 ID를 통한 비밀 없는 프로그래밍 방식 액세스를 포함한 최신 인증 향상 기능으로 보안을 강화합니다. | 2 | 1.0.0 |
Synapse
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
인증을 위해 Microsoft Entra 전용 ID를 요구하도록 Synapse 작업 영역 구성 | Synapse 작업 영역에 대해 Microsoft Entra 전용 인증을 요구하고 구성하여 로컬 인증 방법을 사용하지 않도록 설정합니다. 이를 통해 Microsoft Entra ID를 통해서만 액세스할 수 있으며, MFA, SSO 및 관리 ID를 통한 비밀 없는 프로그래밍 방식 액세스를 포함한 최신 인증 향상 기능으로 보안을 강화합니다. | 2 | 1.0.0 |
Synapse 작업 영역에는 Microsoft Entra 전용 인증이 있어야 합니다. | Synapse 작업 영역에 대해 Microsoft Entra 전용 인증을 요구하고 로컬 인증 방법을 사용하지 않도록 설정합니다. 이를 통해 Microsoft Entra ID를 통해서만 액세스할 수 있으며, MFA, SSO 및 관리 ID를 통한 비밀 없는 프로그래밍 방식 액세스를 포함한 최신 인증 향상 기능으로 보안을 강화합니다. | 2 | 1.0.0 |
신뢰할 수 있는 시작
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
[미리 보기]: VM을 사용하는 신뢰할 수 있는 시작에서 게스트 증명을 사용하도록 필수 구성 요소 구성 | 신뢰할 수 있는 시작에서 가상 머신을 사용하여 게스트 증명 확장을 자동으로 설치하고 시스템이 할당한 관리 ID를 사용하여 Azure Security Center가 사전에 부팅 무결성을 증명하고 모니터링하도록 구성합니다. 부팅 무결성은 원격 증명을 통해 증명됩니다. 자세한 내용은 https://aka.ms/trustedlaunch 링크를 참조하세요. | 7 | 3.0.0-preview |
VirtualEnclaves
이름 | 설명 | 정책 | 버전 |
---|---|---|---|
[미리 보기]: Virtual Enclave에서 AKS 사용 제어 | 이 이니셔티브는 AKS에 대한 Azure Policy를 배포하여 Azure Virtual Enclaves의 논리적으로 분리된 구조 내에서 작동하는 동안 이 리소스의 경계 보호를 보장합니다. https://aka.ms/VirtualEnclaves | 9 | 1.0.0 - 미리 보기 |
[미리 보기]: Virtual Enclave에서 App Service 사용 제어 | 이 이니셔티브는 Azure Virtual Enclaves의 논리적으로 분리된 구조 내에서 작동하는 동안 이 리소스의 경계 보호를 보장하는 App Service용 Azure Policy를 배포합니다. https://aka.ms/VirtualEnclaves | 44 | 1.0.0 - 미리 보기 |
[미리 보기]: Virtual Enclave에서 Container Registry 사용 제어 | 이 이니셔티브는 Azure Virtual Enclaves의 논리적으로 분리된 구조 내에서 작동하는 동안 이 리소스의 경계 보호를 보장하는 Container Registry용 Azure Policy를 배포합니다. https://aka.ms/VirtualEnclaves | 8 | 1.0.0 - 미리 보기 |
[미리 보기]: Virtual Enclave에서 CosmosDB 사용 제어 | 이 이니셔티브는 Azure Virtual Enclaves의 논리적으로 분리된 구조 내에서 작동하는 동안 이 리소스의 경계 보호를 보장하는 CosmosDB용 Azure Policy를 배포합니다. https://aka.ms/VirtualEnclaves | 8 | 1.0.0 - 미리 보기 |
[미리 보기]: Virtual Enclave의 특정 리소스에 대한 진단 설정 사용을 제어합니다. | 이 이니셔티브는 Azure Virtual Enclaves에서 특정 리소스 종류의 구성을 보장하기 위해 Azure Policy를 배포합니다. https://aka.ms/VirtualEnclaves | 25 | 1.0.0 - 미리 보기 |
[미리 보기]: Virtual Enclave에서 Key Vault 사용 제어 | 이 이니셔티브는 Azure Virtual Enclaves의 논리적으로 분리된 구조 내에서 작동하는 동안 이 리소스의 경계 보호를 보장하는 Key Vault에 대한 Azure Policy를 배포합니다. https://aka.ms/VirtualEnclaves | 2 | 1.0.0 - 미리 보기 |
[미리 보기]: Virtual Enclave에서 Microsoft SQL 사용 제어 | 이 이니셔티브는 Azure Virtual Enclaves의 논리적으로 분리된 구조 내에서 작동하는 동안 이 리소스의 경계 보호를 보장하는 Microsoft SQL용 Azure Policy를 배포합니다. https://aka.ms/VirtualEnclaves | 24 | 1.0.0 - 미리 보기 |
[미리 보기]: Virtual Enclave에서 PostgreSql 사용 제어 | 이 이니셔티브는 Azure Virtual Enclaves의 논리적으로 분리된 구조 내에서 작동하는 동안 이 리소스의 경계 보호를 보장하는 PostgreSql용 Azure Policy를 배포합니다. https://aka.ms/VirtualEnclaves | 10 | 1.0.0 - 미리 보기 |
[미리 보기]: Virtual Enclave에서 Service Bus 사용 제어 | 이 이니셔티브는 Azure Virtual Enclaves의 논리적으로 분리된 구조 내에서 작동하는 동안 이 리소스의 경계 보호를 보장하는 Service Bus용 Azure Policy를 배포합니다. https://aka.ms/VirtualEnclaves | 7 | 1.0.0 - 미리 보기 |
[미리 보기]: Virtual Enclave에서 스토리지 계정 사용 제어 | 이 이니셔티브는 Azure Virtual Enclaves의 논리적으로 분리된 구조 내에서 작동하는 동안 이 리소스의 경계 보호를 보장하는 스토리지 계정에 대한 Azure Policy를 배포합니다. https://aka.ms/VirtualEnclaves | 11 | 1.1.0 - 미리 보기 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.