CIS Microsoft Azure Foundations Benchmark 1.1.0 규정 준수 기본 제공 이니셔티브에 대한 세부 정보
다음 문서에서는 Azure Policy 규정 준수 기본 제공 이니셔티브 정의가 CIS Microsoft Azure Foundations Benchmark 1.1.0의 규정 준수 도메인 및 컨트롤에 매핑되는 방법을 자세히 설명합니다. 이러한 규정 준수 표준에 대한 자세한 내용은 CIS Microsoft Azure Foundations Benchmark 1.1.0을 참조하세요. 소유권을 이해하려면 Azure Policy 정책 정의 및 클라우드의 공동 책임을 참조하세요.
다음 매핑은 CIS Microsoft Azure Foundations Benchmark 1.1.0 컨트롤에 대한 것입니다. 여러 컨트롤이 Azure Policy 이니셔티브 정의를 사용하여 구현됩니다. 전체 이니셔티브 정의를 검토하려면 Azure Portal에서 정책을 열고 정의 페이지를 선택합니다. 그런 다음, CIS Microsoft Azure Foundations Benchmark v1.1.0 규정 준수 기본 제공 이니셔티브 정의를 찾아 선택합니다.
Important
아래의 각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 컨트롤을 사용한 규정 준수 평가에 도움이 될 수 있지만, 컨트롤과 하나 이상의 정책 간에 일대일 또는 완벽한 일치 관계가 없는 경우도 많습니다. 따라서 Azure Policy의 규정 준수는 정책 정의 자체만 가리킬 뿐, 컨트롤의 모든 요구 사항을 완벽하게 준수한다는 것은 아닙니다. 또한 규정 준수 표준에는 현재 Azure Policy 정의에서 처리되지 않은 컨트롤이 포함되어 있습니다. 따라서 Azure Policy의 규정 준수는 전반적인 규정 준수 상태를 부분적으로 표시할 뿐입니다. 이 규정 준수 표준에 대한 규정 준수 도메인, 컨트롤, Azure Policy 정의 간의 연결은 시간이 지나면 변경될 수 있습니다. 변경 기록을 보려면 GitHub 커밋 기록을 참조하세요.
1 ID 및 액세스 관리
권한이 있는 모든 사용자에 대한 다단계 인증이 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
'사용자가 자신의 바로 가기 패널에 갤러리 앱을 추가할 수 있음'이 '아니요'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.10 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
'사용자가 애플리케이션을 등록할 수 있음'이 '아니요'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.11 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
'게스트 사용자 권한이 제한됨'이 '예'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.12 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 모델 디자인 | CMA_0129 - 액세스 제어 모델 디자인 | 수동, 사용 안 함 | 1.1.0 |
| 최소 권한 액세스 사용 | CMA_0212 - 최소 권한 액세스 사용 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
'구성원이 초대할 수 있음'이 '아니요'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.13 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 모델 디자인 | CMA_0129 - 액세스 제어 모델 디자인 | 수동, 사용 안 함 | 1.1.0 |
| 최소 권한 액세스 사용 | CMA_0212 - 최소 권한 액세스 사용 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
'게스트가 초대할 수 있음'이 '아니요'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.14 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 모델 디자인 | CMA_0129 - 액세스 제어 모델 디자인 | 수동, 사용 안 함 | 1.1.0 |
| 최소 권한 액세스 사용 | CMA_0212 - 최소 권한 액세스 사용 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
'Azure AD 관리 포털에 대한 액세스 제한'이 '예'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.15 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
‘셀프 서비스 그룹 관리 사용’이 ‘아니요’로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.16 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
‘사용자가 보안 그룹을 만들 수 있음’이 ‘아니요’로 설정되었는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.17 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
‘보안 그룹을 관리할 수 있는 사용자’가 ‘없음’으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.18 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
‘사용자가 Office 365 그룹을 만들 수 있음’이 ‘아니요’로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.19 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
권한이 없는 모든 사용자에 대한 다단계 인증이 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.2 소유권: 공유
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
‘Office 365 그룹을 관리할 수 있는 사용자’가 ‘없음’으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.20 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
'디바이스를 조인하려면 다단계 인증 필요'가 '예'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.22 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 원격 액세스 권한 부여 | CMA_0024 - 원격 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 문서 이동성 학습 | CMA_0191 - 문서 이동성 학습 | 수동, 사용 안 함 | 1.1.0 |
| 원격 액세스 지침 문서화 | CMA_0196 - 원격 액세스 지침 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 디바이스 식별 및 인증 | CMA_0296 - 네트워크 디바이스 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
| 대체 작업 현장을 보호하기 위한 컨트롤 구현 | CMA_0315 - 대체 작업 사이트를 보호하기 위한 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
| 토큰 품질 요구 사항 충족 | CMA_0487 - 토큰 품질 요구 사항 충족 | 수동, 사용 안 함 | 1.1.0 |
사용자 지정 구독 소유자 역할이 생성되지 않았는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.23 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 모델 디자인 | CMA_0129 - 액세스 제어 모델 디자인 | 수동, 사용 안 함 | 1.1.0 |
| 최소 권한 액세스 사용 | CMA_0212 - 최소 권한 액세스 사용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
게스트 사용자가 없는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.3 소유권: 공유
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 필요에 따라 사용자 권한 다시 할당 또는 제거 | CMA_C1040 - 필요에 따라 사용자 권한 다시 할당 또는 제거 | 수동, 사용 안 함 | 1.1.0 |
| 계정 프로비저닝 로그 검토 | CMA_0460 - 계정 프로비저닝 로그 검토 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 검토. | CMA_0480 - 사용자 계정 검토 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 권한 검토 | CMA_C1039 - 사용자 권한 검토 | 수동, 사용 안 함 | 1.1.0 |
'사용자가 신뢰하는 디바이스에서 다중 요소 인증을 기억할 수 있도록 허용'이 '사용 안 함'인지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 디바이스 식별 및 인증 | CMA_0296 - 네트워크 디바이스 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
| 토큰 품질 요구 사항 충족 | CMA_0487 - 토큰 품질 요구 사항 충족 | 수동, 사용 안 함 | 1.1.0 |
‘사용자에게 해당 인증 정보를 다시 확인하도록 요청하기까지의 기간’이 ‘0’으로 설정되어 있지 않은지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.6 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 계정 관리 자동화 | CMA_0026 - 계정 관리 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 관리자 계정 관리 | CMA_0368 - 시스템 및 관리자 계정 관리 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 계정이 필요하지 않은 경우 알림 | CMA_0383 - 계정이 필요하지 않은 경우 알림 | 수동, 사용 안 함 | 1.1.0 |
'암호가 재설정되는 경우 사용자에게 알리시겠습니까?'가 '예'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.7 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 계정 관리 자동화 | CMA_0026 - 계정 관리 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 보호를 위한 학습 구현 | CMA_0329 - 인증자 보호를 위한 학습 구현 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 관리자 계정 관리 | CMA_0368 - 시스템 및 관리자 계정 관리 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 계정이 필요하지 않은 경우 알림 | CMA_0383 - 계정이 필요하지 않은 경우 알림 | 수동, 사용 안 함 | 1.1.0 |
'다른 관리자가 암호를 재설정하면 모든 관리자에게 알림'이 '예'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.8 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 계정 관리 자동화 | CMA_0026 - 계정 관리 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 보호를 위한 학습 구현 | CMA_0329 - 인증자 보호를 위한 학습 구현 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 관리자 계정 관리 | CMA_0368 - 시스템 및 관리자 계정 관리 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 역할 할당 모니터링 | CMA_0378 - 권한 있는 역할 할당 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 계정이 필요하지 않은 경우 알림 | CMA_0383 - 계정이 필요하지 않은 경우 알림 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 계정에 대한 액세스 제한 | CMA_0446 - 권한 있는 계정에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 권한 있는 역할 철회 | CMA_0483 - 권한 있는 역할을 적절하게 취소 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 관리 ID 사용 | CMA_0533 - 권한 있는 관리 ID 사용 | 수동, 사용 안 함 | 1.1.0 |
'사용자가 자신을 대신하여 회사 데이터에 액세스하는 앱에 동의할 수 있음'이 '아니오'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.9 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
2 Security Center
표준 가격 책정 계층이 선택되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Defender for App Service를 사용하도록 설정해야 함 | Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| Azure Defender for Key Vault를 사용하도록 설정해야 함 | Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 머신에서 SQL 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 | CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | 수동, 사용 안 함 | 1.1.0 |
| 승인되지 않았거나 승인되지 않은 네트워크 서비스 검색 | CMA_C1700 - 승인되거나 승인되지 않은 네트워크 서비스 검색 | 수동, 사용 안 함 | 1.1.0 |
| 게이트웨이 관리 | CMA_0363 - 게이트웨이 관리 | 수동, 사용 안 함 | 1.1.0 |
| 컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 스토리지용 Microsoft Defender를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위 및 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 매주 맬웨어 검색 보고서 검토 | CMA_0475 - 매주 맬웨어 검색 보고서 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 위협 방지 상태 검토 | CMA_0479 - 매주 위협 방지 상태 검토 | 수동, 사용 안 함 | 1.1.0 |
| 바이러스 백신 정의 업데이트 | CMA_0517 - 바이러스 백신 정의 업데이트 | 수동, 사용 안 함 | 1.1.0 |
ASC 기본 정책 설정 "취약성 평가 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.10 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 가상 머신을 감사하여 지원되는 취약성 평가 솔루션을 실행하고 있는지 검색합니다. 모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성을 식별하고 분석하는 것입니다. Azure Security Center의 표준 가격 책정 계층에는 추가 비용 없이 가상 머신에 대한 취약성 검사가 포함됩니다. 또한 Security Center가 자동으로 도구를 배포할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
ASC 기본 정책 설정 “Storage Blob 암호화 모니터링”이 “사용 안 함”이 아닌지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.11 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 데이터 유출 관리 절차 설정 | CMA_0255 - 데이터 유출 관리 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 특수 정보 보호 | CMA_0409 - 특수 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
ASC 기본 정책 설정 "JIT 네트워크 액세스 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.12 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 승인되지 않았거나 승인되지 않은 네트워크 서비스 검색 | CMA_C1700 - 승인되거나 승인되지 않은 네트워크 서비스 검색 | 수동, 사용 안 함 | 1.1.0 |
| 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
ASC 기본 정책 설정인 "적응형 애플리케이션 허용 목록 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.13 소유권: 공유
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 애플리케이션 제어를 활성화하여 머신에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고, 다른 애플리케이션이 실행될 때 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 머신에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
ASC 기본 정책 설정 "SQL 감사 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.14 소유권: 공유
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. | 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
ASC 기본 정책 설정 "SQL 암호화 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.15 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 데이터 유출 관리 절차 설정 | CMA_0255 - 데이터 유출 관리 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 특수 정보 보호 | CMA_0409 - 특수 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
| SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | 저장 데이터를 보호하고 규정 준수 요구 사항을 충족하려면 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
'보안 연락처 이메일'이 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.16 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
'높은 심각도 경고의 이메일 알림 보내기'가 '켜기'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.18 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
'구독 소유자에게도 이메일 보내기'가 '켜기'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.19 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. | 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
'모니터링 에이전트의 자동 프로비저닝'이 '켜기'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 구독에 Log Analytics 에이전트의 자동 프로비저닝을 사용하도록 설정해야 함 | 보안 취약성 및 위협을 모니터링하기 위해 Azure Security Center는 Azure 가상 머신에서 데이터를 수집합니다. 데이터는 이전에 MMA(Microsoft Monitoring Agent)로 알려진 Log Analytics 에이전트에 의해 수집되며, 머신에서 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 Log Analytics 작업 영역에 데이터를 복사합니다. 지원되는 모든 Azure VM과 생성된 모든 새 VM에 에이전트를 자동으로 배포하려면 자동 프로비저닝을 사용하도록 설정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| 문서 보안 운영 | CMA_0202 - 문서 보안 운영 | 수동, 사용 안 함 | 1.1.0 |
| 엔드포인트 보안 솔루션에 대한 센서 켜기 | CMA_0514 - 엔드포인트 보안 솔루션에 대한 센서 켜기 | 수동, 사용 안 함 | 1.1.0 |
ASC 기본 정책 설정 "시스템 업데이트 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.3 소유권: 공유
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 업데이트를 머신에 설치해야 합니다. | 서버의 누락된 보안 시스템 업데이트는 Azure Security Center에서 권장 사항으로 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
ASC 기본 정책 설정 "OS 취약성 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 머신 보안 구성의 취약성을 수정해야 합니다. | 구성된 기준을 충족하지 않는 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
ASC 기본 정책 설정 "엔드포인트 보호 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 | CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | 수동, 사용 안 함 | 1.1.0 |
| 게이트웨이 관리 | CMA_0363 - 게이트웨이 관리 | 수동, 사용 안 함 | 1.1.0 |
| Azure Security Center에서 누락된 Endpoint Protection 모니터링 | Endpoint Protection 에이전트가 설치되어 있지 않은 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 매주 맬웨어 검색 보고서 검토 | CMA_0475 - 매주 맬웨어 검색 보고서 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 위협 방지 상태 검토 | CMA_0479 - 매주 위협 방지 상태 검토 | 수동, 사용 안 함 | 1.1.0 |
| 바이러스 백신 정의 업데이트 | CMA_0517 - 바이러스 백신 정의 업데이트 | 수동, 사용 안 함 | 1.1.0 |
ASC 기본 정책 설정 "디스크 암호화 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.6 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 데이터 유출 관리 절차 설정 | CMA_0255 - 데이터 유출 관리 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 특수 정보 보호 | CMA_0409 - 특수 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
| 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. 임시 디스크, 데이터 캐시 및 컴퓨팅과 스토리지 간의 데이터 흐름은 암호화되지 않습니다. 다음과 같은 경우 이 권장 사항을 무시합니다. 1. 호스트에서 암호화를 사용하는 경우 또는 2. Managed Disks의 서버 쪽 암호화는 보안 요구 사항을 충족합니다. Azure Disk Storage: https://aka.ms/disksse, 다양한 디스크 암호화 제품: https://aka.ms/diskencryptioncomparison의 서버 쪽 암호화에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 2.0.3 |
ASC 기본 정책 설정인 "네트워크 보안 그룹 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.7 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | Azure Security Center는 인터넷 연결 가상 머신의 트래픽 패턴을 분석하고 잠재적 공격 노출 영역을 줄이는 네트워크 보안 그룹 규칙 권장 사항을 제공합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
ASC 기본 정책 설정 “웹 애플리케이션 방화벽 모니터링”이 “사용 안 함”이 아닌지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.8 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
ASC 기본 정책 설정인 "차세대 방화벽(NGFW) 모니터링을 사용하도록 설정"이 "사용 안 함"으로 설정되어 있지 않은지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.9 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 서브넷을 네트워크 보안 그룹과 연결해야 합니다. | NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
3 스토리지 계정
'보안 전송 필요'가 '사용'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
| 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
스토리지 계정 액세스 키가 주기적으로 재생성되는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 물리적 키 관리 프로세스 정의 | CMA_0115 - 물리적 키 관리 프로세스 정의 | 수동, 사용 안 함 | 1.1.0 |
| 암호화 사용 정의 | CMA_0120 - 암호화 사용 정의 | 수동, 사용 안 함 | 1.1.0 |
| 암호화 키 관리에 대한 조직 요구 사항 정의 | CMA_0123 - 암호화 키 관리에 대한 조직 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 어설션 요구 사항 확인 | CMA_0136 - 어설션 요구 사항 확인 | 수동, 사용 안 함 | 1.1.0 |
| 공개 키 인증서 발급 | CMA_0347 - 공개 키 인증서 발급 | 수동, 사용 안 함 | 1.1.0 |
| 대칭 암호화 키 관리 | CMA_0367 - 대칭 암호화 키 관리 | 수동, 사용 안 함 | 1.1.0 |
| 프라이빗 키에 대한 액세스 제한 | CMA_0445 - 프라이빗 키에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
읽기, 쓰기 및 삭제 요청에 대한 큐 서비스에 대해 스토리지 로깅을 사용하도록 설정했는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| Azure 감사 기능 구성 | CMA_C1108 - Azure 감사 기능 구성 | 수동, 사용 안 함 | 1.1.1 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
공유 액세스 서명 토큰이 한 시간 내에 만료되는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 종료 시 인증자 사용 안 함 | CMA_0169 - 종료 시 인증자 사용 안 함 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 권한 있는 역할 철회 | CMA_0483 - 권한 있는 역할을 적절하게 취소 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 세션을 자동으로 종료 | CMA_C1054 - 사용자 세션을 자동으로 종료 | 수동, 사용 안 함 | 1.1.0 |
공유 액세스 서명 토큰이 HTTPS를 통해서만 허용되는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
Blob 컨테이너에 대해 '퍼블릭 액세스 수준'이 프라이빗으로 설정되어 있는지 확인합니다.
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.6 소유권: 공유
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 스토리지 계정 공용 액세스가 허용되지 않아야 함 | Azure Storage의 컨테이너 및 BLOB에 대한 익명 공용 읽기 액세스는 데이터를 공유하는 편리한 방법이지만 보안 위험이 있을 수도 있습니다. 원치 않는 익명 액세스로 인해 발생하는 데이터 위반을 방지하기 위해 Microsoft는 시나리오에 필요한 경우가 아니면 스토리지 계정에 대한 공개 액세스를 방지하는 것이 좋습니다 | 감사, 거부, 사용 안 함 | 3.1.0-preview |
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
스토리지 계정에 대한 기본 네트워크 액세스 규칙이 거부로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.7 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
'신뢰할 수 있는 Microsoft 서비스'에 스토리지 계정 액세스가 사용하도록 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.8 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 방화벽 및 라우터 구성 표준 설정 | CMA_0272 - 방화벽 및 라우터 구성 표준 설정 | 수동, 사용 안 함 | 1.1.0 |
| 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | 수동, 사용 안 함 | 1.1.0 |
| 다운스트림 정보 교환 식별 및 관리 | CMA_0298 - 다운스트림 정보 교환 식별 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 스토리지 계정과 상호 작용하는 일부 Microsoft 서비스는 네트워크 규칙을 통해 액세스 권한을 부여할 수 없는 네트워크에서 작동합니다. 이러한 유형의 서비스가 의도한 대로 작동하도록 하려면 신뢰할 수 있는 Microsoft 서비스 세트에서 네트워크 규칙을 무시하도록 허용합니다. 그러면 이러한 서비스에서 강력한 인증을 사용하여 스토리지 계정에 액세스합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
4 데이터베이스 서비스
'감사'가 '켜기'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. | 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
SQL 서버의 TDE 보호기가 BYOK(사용자 고유 키 사용)로 암호화되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.10 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 데이터 유출 관리 절차 설정 | CMA_0255 - 데이터 유출 관리 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 특수 정보 보호 | CMA_0409 - 특수 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
| SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통한 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통해 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. | 감사, 거부, 사용 안 함 | 2.0.1 |
MySQL Database Server에 'SSL 연결 적용'이 '사용'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.11 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | MySQL용 Azure Database는 SSL(Secure Sockets Layer)을 사용한 MySQL용 Azure Database 서버와 클라이언트 애플리케이션 간 연결을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
PostgreSQL Database Server에 'log_checkpoints' 서버 매개 변수가 'ON'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.12 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| PostgreSQL 데이터베이스 서버에 대해 로그 검사점을 사용하도록 설정해야 합니다. | 이 정책은 log_checkpoints 설정을 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
PostgreSQL Database Server에 'SSL 연결 적용'이 '사용'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.13 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결하는 것을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
PostgreSQL Database Server에 'log_connections' 서버 매개 변수가 'ON'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.14 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| PostgreSQL 데이터베이스 서버에 대해 로그 연결을 사용하도록 설정해야 합니다. | 이 정책은 log_connections 설정을 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
PostgreSQL Database Server에 'log_disconnections' 서버 매개 변수가 'ON'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.15 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| PostgreSQL 데이터베이스 서버에 대한 연결 끊김을 기록해야 합니다. | 이 정책은 log_disconnections를 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
PostgreSQL Database Server에 'log_duration' 서버 매개 변수가 'ON'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.16 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
PostgreSQL Database Server에 'connection_throtling' 서버 매개 변수가 'ON'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.17 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| PostgreSQL 데이터베이스 서버에 대해 연결 제한을 사용하도록 설정해야 합니다. | 이 정책은 연결 제한을 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. 이 설정은 잘못된 암호 로그인 실패가 너무 많을 경우 IP당 임시 연결 제한을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
서버 매개 변수 'log_retention_days'가 PostgreSQL Database Server에 대해 3일보다 큰지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.18 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
| 감사 처리 작업 제어 및 모니터링 | CMA_0289 - 감사 처리 작업 제어 및 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 및 절차 보존 | CMA_0454 - 보안 정책 및 절차 유지 | 수동, 사용 안 함 | 1.1.0 |
| 종료된 사용자 데이터 보존 | CMA_0455 - 종료된 사용자 데이터 보존 | 수동, 사용 안 함 | 1.1.0 |
Azure Active Directory 관리자가 구성되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.19 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 계정 관리 자동화 | CMA_0026 - 계정 관리 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 관리자 계정 관리 | CMA_0368 - 시스템 및 관리자 계정 관리 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 계정이 필요하지 않은 경우 알림 | CMA_0383 - 계정이 필요하지 않은 경우 알림 | 수동, 사용 안 함 | 1.1.0 |
SQL Server에 대한 '감사' 정책의 'AuditActionGroups'가 올바르게 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
| SQL 감사 설정에는 중요한 작업을 캡처하도록 구성된 작업 그룹이 있어야 합니다. | 철저한 감사 로깅을 위해 AuditActionsAndGroups 속성에 최소한 SUCCESSFUL_DATABASE_AUTHENTICATION_GROUP, FAILED_DATABASE_AUTHENTICATION_GROUP, BATCH_COMPLETED_GROUP이 포함되어야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
'감사' 보존 기간이 '90일 이상'인지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
| 감사 처리 작업 제어 및 모니터링 | CMA_0289 - 감사 처리 작업 제어 및 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 및 절차 보존 | CMA_0454 - 보안 정책 및 절차 유지 | 수동, 사용 안 함 | 1.1.0 |
| 종료된 사용자 데이터 보존 | CMA_0455 - 종료된 사용자 데이터 보존 | 수동, 사용 안 함 | 1.1.0 |
| 스토리지 계정 대상에 대한 감사 기능이 있는 SQL Server는 보존 기간을 90일 이상으로 구성해야 함 | 인시던트 조사를 위해 SQL Server 감사를 위한 데이터 보존 기간을 스토리지 계정 대상으로 90일 이상으로 설정하는 것이 좋습니다. 운영 중인 지역에 필요한 보존 규칙을 충족하는지 확인합니다. 이는 규정 표준을 준수해야 하는 경우도 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
SQL Server의 'Advanced Data Security'가 '켜기'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| 보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
'위협 탐지 유형'이 '모두'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.5 소유권: 공유
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
'경고 전송 대상'이 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.6 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 유출에 대한 경고 담당자 | CMA_0007 - 직원에게 정보 유출 경고 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
'이메일 서비스 및 공동 관리자'가 '사용'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.7 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 유출에 대한 경고 담당자 | CMA_0007 - 직원에게 정보 유출 경고 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
Azure Active Directory 관리자가 구성되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.8 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. | SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 계정 관리 자동화 | CMA_0026 - 계정 관리 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 및 관리자 계정 관리 | CMA_0368 - 시스템 및 관리자 계정 관리 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 계정이 필요하지 않은 경우 알림 | CMA_0383 - 계정이 필요하지 않은 경우 알림 | 수동, 사용 안 함 | 1.1.0 |
SQL Database에서 '데이터 암호화'가 '켜기'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.9 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 데이터 유출 관리 절차 설정 | CMA_0255 - 데이터 유출 관리 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 특수 정보 보호 | CMA_0409 - 특수 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
| SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | 저장 데이터를 보호하고 규정 준수 요구 사항을 충족하려면 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
5 로깅 및 모니터링
로그 프로필이 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
| Azure 구독에는 활동 로그에 대한 로그 프로필이 있어야 합니다. | 이 정책은 로그 프로필이 활동 로그를 내보낼 수 있는지 확인합니다. 로그를 스토리지 계정 또는 이벤트 허브로 내보내기 위해 생성된 로그 프로필이 없는지 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 감사 처리 작업 제어 및 모니터링 | CMA_0289 - 감사 처리 작업 제어 및 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 및 절차 보존 | CMA_0454 - 보안 정책 및 절차 유지 | 수동, 사용 안 함 | 1.1.0 |
| 종료된 사용자 데이터 보존 | CMA_0455 - 종료된 사용자 데이터 보존 | 수동, 사용 안 함 | 1.1.0 |
활동 로그 보존이 365일 이상으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 활동 로그는 1년 이상 보존되어야 합니다. | 이 정책은 보존이 365일 또는 계속(보존 기간이 0으로 설정)으로 설정되지 않은 경우 활동 로그를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 및 절차 보존 | CMA_0454 - 보안 정책 및 절차 유지 | 수동, 사용 안 함 | 1.1.0 |
| 종료된 사용자 데이터 보존 | CMA_0455 - 종료된 사용자 데이터 보존 | 수동, 사용 안 함 | 1.1.0 |
감사 프로필에서 모든 활동을 캡처하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
| Azure Monitor 로그 프로필은 'write'(쓰기), 'delete'(삭제) 및 'action'(작업) 범주에 대한 로그를 수집해야 합니다. | 이 정책을 사용하면 로그 프로필이 '쓰기,' '삭제' 및 '작업' 범주에 대한 로그를 수집합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 감사 처리 작업 제어 및 모니터링 | CMA_0289 - 감사 처리 작업 제어 및 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 및 절차 보존 | CMA_0454 - 보안 정책 및 절차 유지 | 수동, 사용 안 함 | 1.1.0 |
| 종료된 사용자 데이터 보존 | CMA_0455 - 종료된 사용자 데이터 보존 | 수동, 사용 안 함 | 1.1.0 |
로그 프로필에서 글로벌을 포함한 모든 지역의 활동 로그를 캡처하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
| Azure Monitor는 모든 지역의 활동 로그를 수집해야 합니다. | 이 정책은 글로벌 지역을 포함하여 모든 Azure 지원 지역에서 활동을 내보내지 않는 Azure Monitor 로그 프로필을 감사합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 감사 처리 작업 제어 및 모니터링 | CMA_0289 - 감사 처리 작업 제어 및 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 및 절차 보존 | CMA_0454 - 보안 정책 및 절차 유지 | 수동, 사용 안 함 | 1.1.0 |
| 종료된 사용자 데이터 보존 | CMA_0455 - 종료된 사용자 데이터 보존 | 수동, 사용 안 함 | 1.1.0 |
활동 로그를 저장하는 스토리지 컨테이너에 공개적으로 액세스할 수 없는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 스토리지 계정 공용 액세스가 허용되지 않아야 함 | Azure Storage의 컨테이너 및 BLOB에 대한 익명 공용 읽기 액세스는 데이터를 공유하는 편리한 방법이지만 보안 위험이 있을 수도 있습니다. 원치 않는 익명 액세스로 인해 발생하는 데이터 위반을 방지하기 위해 Microsoft는 시나리오에 필요한 경우가 아니면 스토리지 계정에 대한 공개 액세스를 방지하는 것이 좋습니다 | 감사, 거부, 사용 안 함 | 3.1.0-preview |
| 이중 또는 공동 권한 부여 사용 | CMA_0226 - 이중 또는 공동 권한 부여 사용 | 수동, 사용 안 함 | 1.1.0 |
| 감사 정보 보호 | CMA_0401 - 감사 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
활동 로그가 있는 컨테이너를 포함하는 스토리지 계정이 BYOK(사용자 고유 키 사용)로 암호화되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.6 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 이중 또는 공동 권한 부여 사용 | CMA_0226 - 이중 또는 공동 권한 부여 사용 | 수동, 사용 안 함 | 1.1.0 |
| 감사 시스템의 무결성 유지 관리 | CMA_C1133 - 감사 시스템의 무결성 유지 | 수동, 사용 안 함 | 1.1.0 |
| 감사 정보 보호 | CMA_0401 - 감사 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
| 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 이 정책은 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정이 BYOK로 암호화되었는지 감사합니다. 이 정책은 스토리지 계정이 기본적으로 활동 로그와 같은 구독에 있는 경우에만 작동합니다. Azure Storage 저장 데이터 암호화에 대한 자세한 내용은 https://aka.ms/azurestoragebyok를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure KeyVault에 대한 로깅이 '사용'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.7 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| Azure Key Vault Managed HSM의 리소스 로그를 사용하도록 설정해야 함 | 보안 인시던트가 발생하거나 네트워크가 손상되었을 때 조사를 위해 활동 기록을 다시 만들려면 Managed HSM에서 리소스 로그를 사용하도록 설정하여 감사할 수 있습니다. 여기(https://docs.microsoft.com/azure/key-vault/managed-hsm/logging)의 지침을 따르세요. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| Key Vault에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
정책 할당 만들기에 대한 활동 로그 경고가 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 유출에 대한 경고 담당자 | CMA_0007 - 직원에게 정보 유출 경고 | 수동, 사용 안 함 | 1.1.0 |
| 특정 정책 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
네트워크 보안 그룹 만들기 또는 업데이트에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 유출에 대한 경고 담당자 | CMA_0007 - 직원에게 정보 유출 경고 | 수동, 사용 안 함 | 1.1.0 |
| 특정 관리 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
네트워크 보안 그룹 삭제에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 유출에 대한 경고 담당자 | CMA_0007 - 직원에게 정보 유출 경고 | 수동, 사용 안 함 | 1.1.0 |
| 특정 관리 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
네트워크 보안 그룹 규칙 만들기 또는 업데이트에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 유출에 대한 경고 담당자 | CMA_0007 - 직원에게 정보 유출 경고 | 수동, 사용 안 함 | 1.1.0 |
| 특정 관리 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
네트워크 보안 그룹 규칙 삭제에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 유출에 대한 경고 담당자 | CMA_0007 - 직원에게 정보 유출 경고 | 수동, 사용 안 함 | 1.1.0 |
| 특정 관리 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
보안 솔루션 만들기 또는 업데이트에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.6 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 유출에 대한 경고 담당자 | CMA_0007 - 직원에게 정보 유출 경고 | 수동, 사용 안 함 | 1.1.0 |
| 특정 보안 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
보안 솔루션 삭제에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.7 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 유출에 대한 경고 담당자 | CMA_0007 - 직원에게 정보 유출 경고 | 수동, 사용 안 함 | 1.1.0 |
| 특정 보안 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
SQL Server 방화벽 규칙 만들기 또는 업데이트에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.8 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 유출에 대한 경고 담당자 | CMA_0007 - 직원에게 정보 유출 경고 | 수동, 사용 안 함 | 1.1.0 |
| 특정 관리 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
보안 정책 업데이트에 대한 활동 로그 경고가 존재하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.9 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 유출에 대한 경고 담당자 | CMA_0007 - 직원에게 정보 유출 경고 | 수동, 사용 안 함 | 1.1.0 |
| 특정 보안 작업의 활동 로그 경고가 있어야 합니다. | 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
6 네트워킹
SQL 데이터베이스가 0.0.0.0/0(ANY IP)의 수신을 허용하지 않는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 6.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
네트워크 보안 그룹 흐름 로그 보존 기간이 '90일 이상'인지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 6.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정의된 보존 기간 준수 | CMA_0004 - 정의된 보존 기간 준수 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 및 절차 보존 | CMA_0454 - 보안 정책 및 절차 유지 | 수동, 사용 안 함 | 1.1.0 |
| 종료된 사용자 데이터 보존 | CMA_0455 - 종료된 사용자 데이터 보존 | 수동, 사용 안 함 | 1.1.0 |
Network Watcher가 '사용'으로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 6.5 소유권: 공유
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 보안 기능 확인 | CMA_C1708 - 보안 기능 확인 | 수동, 사용 안 함 | 1.1.0 |
7 가상 머신
'OS 디스크'가 암호화되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 7.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 데이터 유출 관리 절차 설정 | CMA_0255 - 데이터 유출 관리 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 특수 정보 보호 | CMA_0409 - 특수 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
| 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. 임시 디스크, 데이터 캐시 및 컴퓨팅과 스토리지 간의 데이터 흐름은 암호화되지 않습니다. 다음과 같은 경우 이 권장 사항을 무시합니다. 1. 호스트에서 암호화를 사용하는 경우 또는 2. Managed Disks의 서버 쪽 암호화는 보안 요구 사항을 충족합니다. Azure Disk Storage: https://aka.ms/disksse, 다양한 디스크 암호화 제품: https://aka.ms/diskencryptioncomparison의 서버 쪽 암호화에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 2.0.3 |
'데이터 디스크'가 암호화되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 7.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 데이터 유출 관리 절차 설정 | CMA_0255 - 데이터 유출 관리 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 특수 정보 보호 | CMA_0409 - 특수 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
| 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. 임시 디스크, 데이터 캐시 및 컴퓨팅과 스토리지 간의 데이터 흐름은 암호화되지 않습니다. 다음과 같은 경우 이 권장 사항을 무시합니다. 1. 호스트에서 암호화를 사용하는 경우 또는 2. Managed Disks의 서버 쪽 암호화는 보안 요구 사항을 충족합니다. Azure Disk Storage: https://aka.ms/disksse, 다양한 디스크 암호화 제품: https://aka.ms/diskencryptioncomparison의 서버 쪽 암호화에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 2.0.3 |
'연결되지 않은 디스크'가 암호화되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 7.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 데이터 유출 관리 절차 설정 | CMA_0255 - 데이터 유출 관리 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 특수 정보 보호 | CMA_0409 - 특수 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
승인된 확장만 설치되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 7.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 승인된 VM 확장만 설치해야 함 | 이 정책은 승인되지 않은 가상 머신 확장을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
모든 Virtual Machines에 최신 OS 패치가 적용되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 7.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 업데이트를 머신에 설치해야 합니다. | 서버의 누락된 보안 시스템 업데이트는 Azure Security Center에서 권장 사항으로 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
모든 Virtual Machines에 대한 엔드포인트 보호가 설치되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 7.6 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 | CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | 수동, 사용 안 함 | 1.1.0 |
| 문서 보안 운영 | CMA_0202 - 문서 보안 운영 | 수동, 사용 안 함 | 1.1.0 |
| 게이트웨이 관리 | CMA_0363 - 게이트웨이 관리 | 수동, 사용 안 함 | 1.1.0 |
| Azure Security Center에서 누락된 Endpoint Protection 모니터링 | Endpoint Protection 에이전트가 설치되어 있지 않은 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 매주 맬웨어 검색 보고서 검토 | CMA_0475 - 매주 맬웨어 검색 보고서 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 위협 방지 상태 검토 | CMA_0479 - 매주 위협 방지 상태 검토 | 수동, 사용 안 함 | 1.1.0 |
| 엔드포인트 보안 솔루션에 대한 센서 켜기 | CMA_0514 - 엔드포인트 보안 솔루션에 대한 센서 켜기 | 수동, 사용 안 함 | 1.1.0 |
| 바이러스 백신 정의 업데이트 | CMA_0517 - 바이러스 백신 정의 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 소프트웨어, 펌웨어 및 정보 무결성 확인 | CMA_0542 - 소프트웨어, 펌웨어 및 정보 무결성 확인 | 수동, 사용 안 함 | 1.1.0 |
8 기타 보안 고려 사항
모든 키에 만료 날짜가 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 물리적 키 관리 프로세스 정의 | CMA_0115 - 물리적 키 관리 프로세스 정의 | 수동, 사용 안 함 | 1.1.0 |
| 암호화 사용 정의 | CMA_0120 - 암호화 사용 정의 | 수동, 사용 안 함 | 1.1.0 |
| 암호화 키 관리에 대한 조직 요구 사항 정의 | CMA_0123 - 암호화 키 관리에 대한 조직 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 어설션 요구 사항 확인 | CMA_0136 - 어설션 요구 사항 확인 | 수동, 사용 안 함 | 1.1.0 |
| 공개 키 인증서 발급 | CMA_0347 - 공개 키 인증서 발급 | 수동, 사용 안 함 | 1.1.0 |
| Key Vault 키에는 만료 날짜가 있어야 함 | 암호화 키에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 키는 잠재적인 공격자에게 키를 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 암호화 키에 대한 만료 날짜를 설정하는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
| 대칭 암호화 키 관리 | CMA_0367 - 대칭 암호화 키 관리 | 수동, 사용 안 함 | 1.1.0 |
| 프라이빗 키에 대한 액세스 제한 | CMA_0445 - 프라이빗 키에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
모든 비밀에 만료 날짜가 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 물리적 키 관리 프로세스 정의 | CMA_0115 - 물리적 키 관리 프로세스 정의 | 수동, 사용 안 함 | 1.1.0 |
| 암호화 사용 정의 | CMA_0120 - 암호화 사용 정의 | 수동, 사용 안 함 | 1.1.0 |
| 암호화 키 관리에 대한 조직 요구 사항 정의 | CMA_0123 - 암호화 키 관리에 대한 조직 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 어설션 요구 사항 확인 | CMA_0136 - 어설션 요구 사항 확인 | 수동, 사용 안 함 | 1.1.0 |
| 공개 키 인증서 발급 | CMA_0347 - 공개 키 인증서 발급 | 수동, 사용 안 함 | 1.1.0 |
| Key Vault 비밀에는 만료 날짜가 있어야 함 | 비밀에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 비밀은 잠재적인 공격자에게 비밀을 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 비밀에 대한 만료 날짜를 설정하는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
| 대칭 암호화 키 관리 | CMA_0367 - 대칭 암호화 키 관리 | 수동, 사용 안 함 | 1.1.0 |
| 프라이빗 키에 대한 액세스 제한 | CMA_0445 - 프라이빗 키에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
미션 크리티컬 Azure 리소스에 대해 리소스 잠금이 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
키 자격 증명 모음을 복구할 수 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.4 소유권: 공유
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure Key Vault Managed HSM에 제거 방지를 사용하도록 설정해야 함 | Azure Key Vault Managed HSM을 악의적으로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 조직의 악의적인 내부자가 잠재적으로 Azure Key Vault Managed HSM을 삭제하고 제거할 수 있습니다. 제거 보호는 일시 삭제된 Azure Key Vault Managed HSM에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 Azure Key Vault Managed HSM을 제거할 수 없습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 키 자격 증명 모음에서는 삭제 방지를 사용하도록 설정해야 함 | 키 자격 증명 모음을 악의적으로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 제거 방지 및 일시 삭제를 사용하도록 설정하여 영구적인 데이터 손실을 방지할 수 있습니다. 제거 보호는 일시 삭제된 키 자격 증명 모음에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 키 자격 증명 모음을 제거할 수 없습니다. 2019년 9월 1일 이후에 만든 키 자격 증명 모음은 기본적으로 일시 삭제를 사용하도록 설정되어 있습니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 정보의 가용성 유지 관리 | CMA_C1644 - 정보의 가용성 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
Azure Kubernetes Services 내에서 RBAC(역할 기반 액세스 제어) 사용
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| Kubernetes Services에서 Azure RBAC(역할 기반 액세스 제어)를 사용해야 함 | 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 Azure RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. | 감사, 사용 안 함 | 1.0.3 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
9 AppService
App Service 인증이 Azure App Service에 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| App Service 앱에서 인증이 사용되어야 함 | Azure App Service 인증은 익명 HTTP 요청이 웹앱에 도달하는 것을 방지하거나 웹앱에 도달하기 전에 토큰이 있는 요청을 인증할 수 있는 기능입니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| 암호화 모듈에 인증 | CMA_0021 - 암호화 모듈에 인증 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 고유성 적용 | CMA_0250 - 사용자 고유성 적용 | 수동, 사용 안 함 | 1.1.0 |
| 함수 앱에 인증이 사용 설정되어 있어야 함 | Azure App Service 인증은 익명 HTTP 요청이 함수 앱에 도달하는 것을 방지하거나 함수 앱에 도달하기 전에 토큰이 있는 요청을 인증할 수 있는 기능입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 법률 기관에서 발급한 개인 확인 자격 증명 지원 | CMA_0507 - 법률 기관에서 발급한 개인 확인 자격 증명 지원 | 수동, 사용 안 함 | 1.1.0 |
웹앱을 실행하는 데 사용되는 경우 최신 'HTTP 버전'인지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.10 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| App Service 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
| 함수 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
Azure App Service에서 웹앱이 모든 HTTP 트래픽을 HTTPS로 리디렉션하는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 4.0.0 |
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
웹앱에서 최신 버전의 TLS 암호화를 사용하고 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| App Service 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 함수 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
웹앱에서 '클라이언트 인증서(들어오는 클라이언트 인증서)'가 '켜기'로 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [사용되지 않음]: 함수 앱에는 '클라이언트 인증서(수신 클라이언트 인증서)'가 사용하도록 설정되어 있어야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. Http 2.0은 클라이언트 인증서를 지원하지 않기 때문에 이 정책은 동일한 이름의 새 정책으로 바뀌었습니다. | 감사, 사용 안 함 | 3.1.0-deprecated |
| App Service 앱에서 클라이언트 인증서(들어오는 클라이언트 인증서)가 사용하도록 설정되어 있어야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 암호화 모듈에 인증 | CMA_0021 - 암호화 모듈에 인증 | 수동, 사용 안 함 | 1.1.0 |
App Service에 [Azure Active Directory에 등록]이 설정되어 있는지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| App Service 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 계정 관리 자동화 | CMA_0026 - 계정 관리 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 함수 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 시스템 및 관리자 계정 관리 | CMA_0368 - 시스템 및 관리자 계정 관리 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 계정이 필요하지 않은 경우 알림 | CMA_0383 - 계정이 필요하지 않은 경우 알림 | 수동, 사용 안 함 | 1.1.0 |
웹앱의 일부로 사용되는 경우 '.NET Framework' 버전이 최신 상태인지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.6 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
웹앱을 실행하는 데 사용되는 경우 최신 'PHP 버전'인지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.7 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
웹앱을 실행하는 데 사용되는 경우 최신 'Python 버전'인지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.8 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
웹앱을 실행하는 데 사용되는 경우 최신 'Java 버전'인지 확인
ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.9 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
다음 단계
Azure Policy에 대한 추가 문서:
- 규정 준수 개요
- 이니셔티브 정의 구조를 참조합니다.
- Azure Policy 샘플의 다른 예제를 검토합니다.
- 정책 효과 이해를 검토합니다.
- 규정 비준수 리소스를 수정하는 방법을 알아봅니다.