다음을 통해 공유


CIS Microsoft Azure Foundations Benchmark 2.0.0 규정 준수 기본 제공 이니셔티브에 대한 세부 정보

다음 문서에서는 Azure Policy 규정 준수 기본 제공 이니셔티브 정의가 CIS Microsoft Azure Foundations Benchmark 2.0.0의 규정 준수 도메인컨트롤에 매핑되는 방법을 자세히 설명합니다. 이러한 규정 준수 표준에 대한 자세한 내용은 CIS Microsoft Azure Foundations Benchmark 2.0.0을 참조하세요. 소유권을 이해하려면 정책 유형클라우드에서의 공동 책임을 검토합니다.

다음 매핑은 CIS Microsoft Azure Foundations Benchmark 2.0.0 컨트롤에 대한 것입니다. 여러 컨트롤이 Azure Policy 이니셔티브 정의를 사용하여 구현됩니다. 전체 이니셔티브 정의를 검토하려면 Azure Portal에서 정책을 열고 정의 페이지를 선택합니다. 그런 다음, CIS Microsoft Azure Foundations Benchmark v2.0.0 규정 준수 기본 제공 이니셔티브 정의를 찾아 선택합니다.

Important

아래의 각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 컨트롤을 사용한 규정 준수 평가에 도움이 될 수 있지만, 컨트롤과 하나 이상의 정책 간에 일대일 또는 완벽한 일치 관계가 없는 경우도 많습니다. 따라서 Azure Policy의 규정 준수는 정책 정의 자체만 가리킬 뿐, 컨트롤의 모든 요구 사항을 완벽하게 준수한다는 것은 아닙니다. 또한 규정 준수 표준에는 현재 Azure Policy 정의에서 처리되지 않은 컨트롤이 포함되어 있습니다. 따라서 Azure Policy의 규정 준수는 전반적인 규정 준수 상태를 부분적으로 표시할 뿐입니다. 이 규정 준수 표준에 대한 규정 준수 도메인, 컨트롤, Azure Policy 정의 간의 연결은 시간이 지나면 변경될 수 있습니다. 변경 기록을 보려면 GitHub 커밋 기록을 참조하세요.

1.1

Azure Active Directory에서 보안 기본값을 사용하도록 설정했는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.1.1 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
생체 인식 인증 메커니즘 채택 CMA_0005 - 생체 인증 메커니즘 채택 수동, 사용 안 함 1.1.0
암호화 모듈에 인증 CMA_0021 - 암호화 모듈에 인증 수동, 사용 안 함 1.1.0
원격 액세스 권한 부여 CMA_0024 - 원격 액세스 권한 부여 수동, 사용 안 함 1.1.0
문서 이동성 학습 CMA_0191 - 문서 이동성 학습 수동, 사용 안 함 1.1.0
원격 액세스 지침 문서화 CMA_0196 - 원격 액세스 지침 문서화 수동, 사용 안 함 1.1.0
네트워크 디바이스 식별 및 인증 CMA_0296 - 네트워크 디바이스 식별 및 인증 수동, 사용 안 함 1.1.0
대체 작업 현장을 보호하기 위한 컨트롤 구현 CMA_0315 - 대체 작업 사이트를 보호하기 위한 컨트롤 구현 수동, 사용 안 함 1.1.0
개인 정보 학습 제공 CMA_0415 - 개인 정보 학습 제공 수동, 사용 안 함 1.1.0
토큰 품질 요구 사항 충족 CMA_0487 - 토큰 품질 요구 사항 충족 수동, 사용 안 함 1.1.0

모든 권한 있는 사용자에 대해 '다단계 인증 상태'를 '사용'으로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.1.2 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
생체 인식 인증 메커니즘 채택 CMA_0005 - 생체 인증 메커니즘 채택 수동, 사용 안 함 1.1.0

권한이 없는 모든 사용자에 대해 '다단계 인증 상태'를 '사용'으로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.1.3 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
생체 인식 인증 메커니즘 채택 CMA_0005 - 생체 인증 메커니즘 채택 수동, 사용 안 함 1.1.0

'사용자가 신뢰하는 디바이스에서 다단계 인증을 기억할 수 있도록 허용'이 사용 안 함인지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.1.4 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
생체 인식 인증 메커니즘 채택 CMA_0005 - 생체 인증 메커니즘 채택 수동, 사용 안 함 1.1.0
네트워크 디바이스 식별 및 인증 CMA_0296 - 네트워크 디바이스 식별 및 인증 수동, 사용 안 함 1.1.0
토큰 품질 요구 사항 충족 CMA_0487 - 토큰 품질 요구 사항 충족 수동, 사용 안 함 1.1.0

1

'다른 관리자가 암호를 초기화하면 모든 관리자에게 알림'을 사용하도록 설정 '예'로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.10 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
권한 있는 기능 감사 CMA_0019 - 권한 있는 기능 감사 수동, 사용 안 함 1.1.0
계정 관리 자동화 CMA_0026 - 계정 관리 자동화 수동, 사용 안 함 1.1.0
인증자 보호를 위한 학습 구현 CMA_0329 - 인증자 보호를 위한 학습 구현 수동, 사용 안 함 1.1.0
시스템 및 관리자 계정 관리 CMA_0368 - 시스템 및 관리자 계정 관리 수동, 사용 안 함 1.1.0
조직 전체에서 액세스 모니터링 CMA_0376 - 조직 전체에서 액세스 모니터링 수동, 사용 안 함 1.1.0
권한 있는 역할 할당 모니터링 CMA_0378 - 권한 있는 역할 할당 모니터링 수동, 사용 안 함 1.1.0
계정이 필요하지 않은 경우 알림 CMA_0383 - 계정이 필요하지 않은 경우 알림 수동, 사용 안 함 1.1.0
권한 있는 계정에 대한 액세스 제한 CMA_0446 - 권한 있는 계정에 대한 액세스 제한 수동, 사용 안 함 1.1.0
필요에 따라 권한 있는 역할 철회 CMA_0483 - 권한 있는 역할을 적절하게 취소 수동, 사용 안 함 1.1.0
권한 있는 관리 ID 사용 CMA_0533 - 권한 있는 관리 ID 사용 수동, 사용 안 함 1.1.0

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.11 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
보안 기능 및 정보에 대한 액세스 권한 부여 CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 수동, 사용 안 함 1.1.0
액세스 권한 부여 및 관리 CMA_0023 - 액세스 권한 부여 및 관리 수동, 사용 안 함 1.1.0
필수 및 임의 액세스 제어 정책 적용 CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 수동, 사용 안 함 1.1.0

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.13 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
보안 기능 및 정보에 대한 액세스 권한 부여 CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 수동, 사용 안 함 1.1.0
액세스 권한 부여 및 관리 CMA_0023 - 액세스 권한 부여 및 관리 수동, 사용 안 함 1.1.0
필수 및 임의 액세스 제어 정책 적용 CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 수동, 사용 안 함 1.1.0

'사용자가 애플리케이션을 등록할 수 있음'이 '아니요'로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.14 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
보안 기능 및 정보에 대한 액세스 권한 부여 CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 수동, 사용 안 함 1.1.0
액세스 권한 부여 및 관리 CMA_0023 - 액세스 권한 부여 및 관리 수동, 사용 안 함 1.1.0
필수 및 임의 액세스 제어 정책 적용 CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 수동, 사용 안 함 1.1.0

'게스트 사용자 액세스 제한'을 '게스트 사용자 액세스가 자신의 디렉터리 개체의 속성 및 구성원 자격으로 제한됨'으로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.15 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
보안 기능 및 정보에 대한 액세스 권한 부여 CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 수동, 사용 안 함 1.1.0
액세스 권한 부여 및 관리 CMA_0023 - 액세스 권한 부여 및 관리 수동, 사용 안 함 1.1.0
액세스 제어 모델 디자인 CMA_0129 - 액세스 제어 모델 디자인 수동, 사용 안 함 1.1.0
최소 권한 액세스 사용 CMA_0212 - 최소 권한 액세스 사용 수동, 사용 안 함 1.1.0
논리적 액세스 적용 CMA_0245 - 논리적 액세스 적용 수동, 사용 안 함 1.1.0
필수 및 임의 액세스 제어 정책 적용 CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 수동, 사용 안 함 1.1.0
계정 만들기를 위한 승인 필요 CMA_0431 - 계정 만들기를 위한 승인 필요 수동, 사용 안 함 1.1.0
중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 수동, 사용 안 함 1.1.0

'게스트 초대 제한'을 ''특정 관리자 역할에 할당된 사용자만 게스트 사용자를 초대할 수 있음''으로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.16 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
보안 기능 및 정보에 대한 액세스 권한 부여 CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 수동, 사용 안 함 1.1.0
액세스 권한 부여 및 관리 CMA_0023 - 액세스 권한 부여 및 관리 수동, 사용 안 함 1.1.0
액세스 제어 모델 디자인 CMA_0129 - 액세스 제어 모델 디자인 수동, 사용 안 함 1.1.0
최소 권한 액세스 사용 CMA_0212 - 최소 권한 액세스 사용 수동, 사용 안 함 1.1.0
논리적 액세스 적용 CMA_0245 - 논리적 액세스 적용 수동, 사용 안 함 1.1.0
필수 및 임의 액세스 제어 정책 적용 CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 수동, 사용 안 함 1.1.0
계정 만들기를 위한 승인 필요 CMA_0431 - 계정 만들기를 위한 승인 필요 수동, 사용 안 함 1.1.0
중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 수동, 사용 안 함 1.1.0

'Azure AD 관리 포털에 대한 액세스 제한'이 '예'로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.17 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
보안 기능 및 정보에 대한 액세스 권한 부여 CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 수동, 사용 안 함 1.1.0
액세스 권한 부여 및 관리 CMA_0023 - 액세스 권한 부여 및 관리 수동, 사용 안 함 1.1.0
논리적 액세스 적용 CMA_0245 - 논리적 액세스 적용 수동, 사용 안 함 1.1.0
필수 및 임의 액세스 제어 정책 적용 CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 수동, 사용 안 함 1.1.0
계정 만들기를 위한 승인 필요 CMA_0431 - 계정 만들기를 위한 승인 필요 수동, 사용 안 함 1.1.0
중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 수동, 사용 안 함 1.1.0

'액세스 창에서 그룹 기능에 액세스할 수 있는 사용자 기능 제한'을 '예'로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.18 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
보안 기능 및 정보에 대한 액세스 권한 부여 CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 수동, 사용 안 함 1.1.0
액세스 권한 부여 및 관리 CMA_0023 - 액세스 권한 부여 및 관리 수동, 사용 안 함 1.1.0
필수 및 임의 액세스 제어 정책 적용 CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 수동, 사용 안 함 1.1.0
변경 제어 프로세스 설정 및 문서화 CMA_0265 - 변경 제어 프로세스 설정 및 문서화 수동, 사용 안 함 1.1.0

'사용자가 Azure portal, API 또는 PowerShell에서 보안 그룹을 만들 수 있음'을 '아니요'로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.19 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
보안 기능 및 정보에 대한 액세스 권한 부여 CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 수동, 사용 안 함 1.1.0
액세스 권한 부여 및 관리 CMA_0023 - 액세스 권한 부여 및 관리 수동, 사용 안 함 1.1.0
필수 및 임의 액세스 제어 정책 적용 CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 수동, 사용 안 함 1.1.0
변경 제어 프로세스 설정 및 문서화 CMA_0265 - 변경 제어 프로세스 설정 및 문서화 수동, 사용 안 함 1.1.0

'소유자가 액세스 패널에서 그룹 구성원 자격 요청을 관리할 수 있음'이 '아니오'로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.20 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
보안 기능 및 정보에 대한 액세스 권한 부여 CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 수동, 사용 안 함 1.1.0
액세스 권한 부여 및 관리 CMA_0023 - 액세스 권한 부여 및 관리 수동, 사용 안 함 1.1.0
필수 및 임의 액세스 제어 정책 적용 CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 수동, 사용 안 함 1.1.0
변경 제어 프로세스 설정 및 문서화 CMA_0265 - 변경 제어 프로세스 설정 및 문서화 수동, 사용 안 함 1.1.0

'사용자가 Azure portal, API 또는 PowerShell에서 Microsoft 365 그룹을 만들 수 있음'을 '아니요'로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.21 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
보안 기능 및 정보에 대한 액세스 권한 부여 CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 수동, 사용 안 함 1.1.0
액세스 권한 부여 및 관리 CMA_0023 - 액세스 권한 부여 및 관리 수동, 사용 안 함 1.1.0
필수 및 임의 액세스 제어 정책 적용 CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 수동, 사용 안 함 1.1.0
변경 제어 프로세스 설정 및 문서화 CMA_0265 - 변경 제어 프로세스 설정 및 문서화 수동, 사용 안 함 1.1.0

'Azure AD에 디바이스를 등록하거나 가입하려면 다단계 인증 필요'를 '예'로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.22 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
생체 인식 인증 메커니즘 채택 CMA_0005 - 생체 인증 메커니즘 채택 수동, 사용 안 함 1.1.0
원격 액세스 권한 부여 CMA_0024 - 원격 액세스 권한 부여 수동, 사용 안 함 1.1.0
문서 이동성 학습 CMA_0191 - 문서 이동성 학습 수동, 사용 안 함 1.1.0
원격 액세스 지침 문서화 CMA_0196 - 원격 액세스 지침 문서화 수동, 사용 안 함 1.1.0
네트워크 디바이스 식별 및 인증 CMA_0296 - 네트워크 디바이스 식별 및 인증 수동, 사용 안 함 1.1.0
대체 작업 현장을 보호하기 위한 컨트롤 구현 CMA_0315 - 대체 작업 사이트를 보호하기 위한 컨트롤 구현 수동, 사용 안 함 1.1.0
개인 정보 학습 제공 CMA_0415 - 개인 정보 학습 제공 수동, 사용 안 함 1.1.0
토큰 품질 요구 사항 충족 CMA_0487 - 토큰 품질 요구 사항 충족 수동, 사용 안 함 1.1.0

사용자 지정 구독 관리자 역할이 존재하지 않는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.23 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
사용자 지정 RBAC 역할의 사용량 감사 오류가 발생하기 쉬운 사용자 지정 RBAC 역할 대신 '소유자, 기여자, 읽기 권한자' 같은 기본 제공 역할을 감사합니다. 사용자 지정 역할 사용은 예외로 처리되며 엄격한 검토 및 위협 모델링이 필요합니다. 감사, 사용 안 함 1.0.1
보안 기능 및 정보에 대한 액세스 권한 부여 CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 수동, 사용 안 함 1.1.0
액세스 권한 부여 및 관리 CMA_0023 - 액세스 권한 부여 및 관리 수동, 사용 안 함 1.1.0
액세스 제어 모델 디자인 CMA_0129 - 액세스 제어 모델 디자인 수동, 사용 안 함 1.1.0
최소 권한 액세스 사용 CMA_0212 - 최소 권한 액세스 사용 수동, 사용 안 함 1.1.0
필수 및 임의 액세스 제어 정책 적용 CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 수동, 사용 안 함 1.1.0
변경 제어 프로세스 설정 및 문서화 CMA_0265 - 변경 제어 프로세스 설정 및 문서화 수동, 사용 안 함 1.1.0

사용자 지정 역할에 리소스 잠금 관리 권한 할당

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.24 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
보안 기능 및 정보에 대한 액세스 권한 부여 CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 수동, 사용 안 함 1.1.0
액세스 권한 부여 및 관리 CMA_0023 - 액세스 권한 부여 및 관리 수동, 사용 안 함 1.1.0
필수 및 임의 액세스 제어 정책 적용 CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 수동, 사용 안 함 1.1.0
변경 제어 프로세스 설정 및 문서화 CMA_0265 - 변경 제어 프로세스 설정 및 문서화 수동, 사용 안 함 1.1.0

게스트 사용자가 정기적으로 검토되는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.5 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
사용자 계정 상태 감사 CMA_0020 - 사용자 계정 상태 감사 수동, 사용 안 함 1.1.0
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
필요에 따라 사용자 권한 다시 할당 또는 제거 CMA_C1040 - 필요에 따라 사용자 권한 다시 할당 또는 제거 수동, 사용 안 함 1.1.0
계정 프로비저닝 로그 검토 CMA_0460 - 계정 프로비저닝 로그 검토 수동, 사용 안 함 1.1.0
사용자 계정 검토. CMA_0480 - 사용자 계정 검토 수동, 사용 안 함 1.1.0
사용자 권한 검토 CMA_C1039 - 사용자 권한 검토 수동, 사용 안 함 1.1.0

‘사용자에게 해당 인증 정보를 다시 확인하도록 요청하기까지의 기간’이 ‘0’으로 설정되어 있지 않은지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.8 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
계정 관리 자동화 CMA_0026 - 계정 관리 자동화 수동, 사용 안 함 1.1.0
시스템 및 관리자 계정 관리 CMA_0368 - 시스템 및 관리자 계정 관리 수동, 사용 안 함 1.1.0
조직 전체에서 액세스 모니터링 CMA_0376 - 조직 전체에서 액세스 모니터링 수동, 사용 안 함 1.1.0
계정이 필요하지 않은 경우 알림 CMA_0383 - 계정이 필요하지 않은 경우 알림 수동, 사용 안 함 1.1.0

'암호가 재설정되는 경우 사용자에게 알리시겠습니까?'가 '예'로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 1.9 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
계정 관리 자동화 CMA_0026 - 계정 관리 자동화 수동, 사용 안 함 1.1.0
인증자 보호를 위한 학습 구현 CMA_0329 - 인증자 보호를 위한 학습 구현 수동, 사용 안 함 1.1.0
시스템 및 관리자 계정 관리 CMA_0368 - 시스템 및 관리자 계정 관리 수동, 사용 안 함 1.1.0
조직 전체에서 액세스 모니터링 CMA_0376 - 조직 전체에서 액세스 모니터링 수동, 사용 안 함 1.1.0
계정이 필요하지 않은 경우 알림 CMA_0383 - 계정이 필요하지 않은 경우 알림 수동, 사용 안 함 1.1.0

10

중요 업무용 Azure 리소스에 대한 리소스 잠금을 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 10.1 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
변경 제어 프로세스 설정 및 문서화 CMA_0265 - 변경 제어 프로세스 설정 및 문서화 수동, 사용 안 함 1.1.0

2.1

서버용 Microsoft Defender를 '켜기'로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.1 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
서버용 Azure Defender를 사용하도록 설정해야 함 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. AuditIfNotExists, 사용 안 함 1.0.3
USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 수동, 사용 안 함 1.1.0
승인되지 않았거나 승인되지 않은 네트워크 서비스 검색 CMA_C1700 - 승인되거나 승인되지 않은 네트워크 서비스 검색 수동, 사용 안 함 1.1.0
게이트웨이 관리 CMA_0363 - 게이트웨이 관리 수동, 사용 안 함 1.1.0
위협에 대한 추세 분석 수행 CMA_0389 - 위협에 대한 추세 분석 수행 수동, 사용 안 함 1.1.0
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
매주 맬웨어 검색 보고서 검토 CMA_0475 - 매주 맬웨어 검색 보고서 검토 수동, 사용 안 함 1.1.0
매주 위협 방지 상태 검토 CMA_0479 - 매주 위협 방지 상태 검토 수동, 사용 안 함 1.1.0
바이러스 백신 정의 업데이트 CMA_0517 - 바이러스 백신 정의 업데이트 수동, 사용 안 함 1.1.0

Key Vault용 Microsoft Defender를 '켜기'로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.10 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure Defender for Key Vault를 사용하도록 설정해야 함 Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.3
USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 수동, 사용 안 함 1.1.0
승인되지 않았거나 승인되지 않은 네트워크 서비스 검색 CMA_C1700 - 승인되거나 승인되지 않은 네트워크 서비스 검색 수동, 사용 안 함 1.1.0
게이트웨이 관리 CMA_0363 - 게이트웨이 관리 수동, 사용 안 함 1.1.0
위협에 대한 추세 분석 수행 CMA_0389 - 위협에 대한 추세 분석 수행 수동, 사용 안 함 1.1.0
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
매주 맬웨어 검색 보고서 검토 CMA_0475 - 매주 맬웨어 검색 보고서 검토 수동, 사용 안 함 1.1.0
매주 위협 방지 상태 검토 CMA_0479 - 매주 위협 방지 상태 검토 수동, 사용 안 함 1.1.0
바이러스 백신 정의 업데이트 CMA_0517 - 바이러스 백신 정의 업데이트 수동, 사용 안 함 1.1.0

DNS용 Microsoft Defender가 '켜기'로 설정되어 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.11 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
[사용되지 않음]: Azure Defender for DNS를 사용하도록 설정해야 함 DNS 번들은 더 이상 사용되지 않으므로 이 정책 정의는 더 이상 의도를 달성하는 데 권장되지 않습니다. 이 정책을 계속 사용하는 대신 정책 ID 4da35fc9-c9e7-4960-aec9-797fe7d9051d로 이 대체 정책을 할당하는 것이 좋습니다. aka.ms/policydefdeprecation에서 정책 정의 사용 중단에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 1.1.0-deprecated

Resource Manager용 Microsoft Defender가 '켜기'로 설정되어 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.12 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure Defender for Resource Manager를 사용하도록 설정해야 함 Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 1.0.0

'시스템 업데이트 적용' 상태의 Microsoft Defender 권장 사항이 '완료됨'인지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.13 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
누락된 시스템 업데이트가 있는지 주기적으로 확인하도록 컴퓨터를 구성해야 함 누락된 시스템 업데이트에 대한 정기 평가가 24시간마다 자동으로 트리거되도록 하려면 AssessmentMode 속성을 'AutomaticByPlatform'으로 설정해야 합니다. Windows: https://aka.ms/computevm-windowspatchassessmentmode, Linux: https://aka.ms/computevm-linuxpatchassessmentmode의 AssessmentMode 속성에 대해 자세히 알아봅니다. 감사, 거부, 사용 안 함 3.7.0

ASC 기본 정책 설정이 '사용 안 함'으로 설정되어 있지 않은지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.14 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
비규격 디바이스에 대한 작업 구성 CMA_0062 - 비규격 디바이스에 대한 작업 구성 수동, 사용 안 함 1.1.0
기준 구성 개발 및 유지 관리 CMA_0153 - 기준 구성 개발 및 유지 관리 수동, 사용 안 함 1.1.0
보안 구성 설정 적용 CMA_0249 - 보안 구성 설정 적용 수동, 사용 안 함 1.1.0
구성 제어 보드 설정 CMA_0254 - 구성 제어 보드 설정 수동, 사용 안 함 1.1.0
구성 관리 계획 수립 및 문서화 CMA_0264 - 구성 관리 계획 설정 및 문서화 수동, 사용 안 함 1.1.0
자동화된 구성 관리 도구 구현 CMA_0311 - 자동화된 구성 관리 도구 구현 수동, 사용 안 함 1.1.0

'Azure VM용 Log Analytics 에이전트'의 자동 프로비전을 '켜기'로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.15 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
문서 보안 운영 CMA_0202 - 문서 보안 운영 수동, 사용 안 함 1.1.0
엔드포인트 보안 솔루션에 대한 센서 켜기 CMA_0514 - 엔드포인트 보안 솔루션에 대한 센서 켜기 수동, 사용 안 함 1.1.0

'컨테이너용 Microsoft Defender 구성 요소'의 자동 프로비전이 '켜짐'으로 설정되어 있는지 확인=

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.17 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 수동, 사용 안 함 1.1.0
승인되지 않았거나 승인되지 않은 네트워크 서비스 검색 CMA_C1700 - 승인되거나 승인되지 않은 네트워크 서비스 검색 수동, 사용 안 함 1.1.0
게이트웨이 관리 CMA_0363 - 게이트웨이 관리 수동, 사용 안 함 1.1.0
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0
위협에 대한 추세 분석 수행 CMA_0389 - 위협에 대한 추세 분석 수행 수동, 사용 안 함 1.1.0
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
매주 맬웨어 검색 보고서 검토 CMA_0475 - 매주 맬웨어 검색 보고서 검토 수동, 사용 안 함 1.1.0
매주 위협 방지 상태 검토 CMA_0479 - 매주 위협 방지 상태 검토 수동, 사용 안 함 1.1.0
바이러스 백신 정의 업데이트 CMA_0517 - 바이러스 백신 정의 업데이트 수동, 사용 안 함 1.1.0

'추가 이메일 주소'를 보안 연락처 이메일로 구성

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.19 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. AuditIfNotExists, 사용 안 함 1.0.1

App Services용 Microsoft Defender가 '켜기'로 설정되어 있는지 확인=

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.2 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure Defender for App Service를 사용하도록 설정해야 함 Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. AuditIfNotExists, 사용 안 함 1.0.3
USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 수동, 사용 안 함 1.1.0
승인되지 않았거나 승인되지 않은 네트워크 서비스 검색 CMA_C1700 - 승인되거나 승인되지 않은 네트워크 서비스 검색 수동, 사용 안 함 1.1.0
게이트웨이 관리 CMA_0363 - 게이트웨이 관리 수동, 사용 안 함 1.1.0
위협에 대한 추세 분석 수행 CMA_0389 - 위협에 대한 추세 분석 수행 수동, 사용 안 함 1.1.0
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
매주 맬웨어 검색 보고서 검토 CMA_0475 - 매주 맬웨어 검색 보고서 검토 수동, 사용 안 함 1.1.0
매주 위협 방지 상태 검토 CMA_0479 - 매주 위협 방지 상태 검토 수동, 사용 안 함 1.1.0
바이러스 백신 정의 업데이트 CMA_0517 - 바이러스 백신 정의 업데이트 수동, 사용 안 함 1.1.0

'다음 심각도로 경고 알림'을 '높음'으로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.20 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. AuditIfNotExists, 사용 안 함 1.2.0

클라우드용 Microsoft Defender와 MCAS(클라우드용 Microsoft Defender 앱) 통합을 선택

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.21 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 수동, 사용 안 함 1.1.0
승인되지 않았거나 승인되지 않은 네트워크 서비스 검색 CMA_C1700 - 승인되거나 승인되지 않은 네트워크 서비스 검색 수동, 사용 안 함 1.1.0
게이트웨이 관리 CMA_0363 - 게이트웨이 관리 수동, 사용 안 함 1.1.0
위협에 대한 추세 분석 수행 CMA_0389 - 위협에 대한 추세 분석 수행 수동, 사용 안 함 1.1.0
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
매주 맬웨어 검색 보고서 검토 CMA_0475 - 매주 맬웨어 검색 보고서 검토 수동, 사용 안 함 1.1.0
매주 위협 방지 상태 검토 CMA_0479 - 매주 위협 방지 상태 검토 수동, 사용 안 함 1.1.0
바이러스 백신 정의 업데이트 CMA_0517 - 바이러스 백신 정의 업데이트 수동, 사용 안 함 1.1.0

클라우드용 Microsoft Defender와 엔드포인트용 Microsoft Defender 통합을 선택

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.22 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 수동, 사용 안 함 1.1.0
승인되지 않았거나 승인되지 않은 네트워크 서비스 검색 CMA_C1700 - 승인되거나 승인되지 않은 네트워크 서비스 검색 수동, 사용 안 함 1.1.0
게이트웨이 관리 CMA_0363 - 게이트웨이 관리 수동, 사용 안 함 1.1.0
위협에 대한 추세 분석 수행 CMA_0389 - 위협에 대한 추세 분석 수행 수동, 사용 안 함 1.1.0
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
매주 맬웨어 검색 보고서 검토 CMA_0475 - 매주 맬웨어 검색 보고서 검토 수동, 사용 안 함 1.1.0
매주 위협 방지 상태 검토 CMA_0479 - 매주 위협 방지 상태 검토 수동, 사용 안 함 1.1.0
바이러스 백신 정의 업데이트 CMA_0517 - 바이러스 백신 정의 업데이트 수동, 사용 안 함 1.1.0

데이터베이스용 Microsoft Defender가 '켜기'로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.3 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
오픈 소스 관계형 데이터베이스용 Azure Defender를 사용하도록 설정해야 함 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. https://aka.ms/AzDforOpenSourceDBsDocu에서 오픈 소스 관계형 데이터베이스용 Azure Defender의 기능에 대해 자세히 알아보세요. 중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 가격에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 1.0.0
머신에서 SQL 서버용 Azure Defender를 사용하도록 설정해야 함 Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
Azure Cosmos DB용 Microsoft Defender를 사용하도록 설정해야 함 Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다. Azure Cosmos DB용 Defender는 잠재적인 SQL 주입, Microsoft 위협 인텔리전스를 기반으로 하는 알려진 공격자, 의심스러운 액세스 패턴, 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스의 잠재적인 악용을 검색합니다. AuditIfNotExists, 사용 안 함 1.0.0

Azure SQL 데이터베이스용 Microsoft Defender를 '켜기'로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.4 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 수동, 사용 안 함 1.1.0
승인되지 않았거나 승인되지 않은 네트워크 서비스 검색 CMA_C1700 - 승인되거나 승인되지 않은 네트워크 서비스 검색 수동, 사용 안 함 1.1.0
게이트웨이 관리 CMA_0363 - 게이트웨이 관리 수동, 사용 안 함 1.1.0
위협에 대한 추세 분석 수행 CMA_0389 - 위협에 대한 추세 분석 수행 수동, 사용 안 함 1.1.0
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
매주 맬웨어 검색 보고서 검토 CMA_0475 - 매주 맬웨어 검색 보고서 검토 수동, 사용 안 함 1.1.0
매주 위협 방지 상태 검토 CMA_0479 - 매주 위협 방지 상태 검토 수동, 사용 안 함 1.1.0
바이러스 백신 정의 업데이트 CMA_0517 - 바이러스 백신 정의 업데이트 수동, 사용 안 함 1.1.0

컴퓨터의 Microsoft Defender for SQL 서버를 '켜기'로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.5 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
머신에서 SQL 서버용 Azure Defender를 사용하도록 설정해야 함 Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 수동, 사용 안 함 1.1.0
승인되지 않았거나 승인되지 않은 네트워크 서비스 검색 CMA_C1700 - 승인되거나 승인되지 않은 네트워크 서비스 검색 수동, 사용 안 함 1.1.0
게이트웨이 관리 CMA_0363 - 게이트웨이 관리 수동, 사용 안 함 1.1.0
위협에 대한 추세 분석 수행 CMA_0389 - 위협에 대한 추세 분석 수행 수동, 사용 안 함 1.1.0
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
매주 맬웨어 검색 보고서 검토 CMA_0475 - 매주 맬웨어 검색 보고서 검토 수동, 사용 안 함 1.1.0
매주 위협 방지 상태 검토 CMA_0479 - 매주 위협 방지 상태 검토 수동, 사용 안 함 1.1.0
바이러스 백신 정의 업데이트 CMA_0517 - 바이러스 백신 정의 업데이트 수동, 사용 안 함 1.1.0

오픈 소스 관계형 데이터베이스용 Microsoft Defender가 '켜기'로 설정되어 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.6 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
오픈 소스 관계형 데이터베이스용 Azure Defender를 사용하도록 설정해야 함 오픈 소스 관계형 데이터베이스용 Azure Defender는 데이터베이스에 액세스하거나 악용하려는 비정상적이고 잠재적으로 유해한 시도를 나타내는 비정상적인 활동을 감지합니다. https://aka.ms/AzDforOpenSourceDBsDocu에서 오픈 소스 관계형 데이터베이스용 Azure Defender의 기능에 대해 자세히 알아보세요. 중요: 이 계획을 사용하도록 설정하면 오픈 소스 관계형 데이터베이스를 보호하는 비용이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 가격에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 1.0.0

스토리지용 Microsoft Defender를 '켜기'로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.7 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 수동, 사용 안 함 1.1.0
승인되지 않았거나 승인되지 않은 네트워크 서비스 검색 CMA_C1700 - 승인되거나 승인되지 않은 네트워크 서비스 검색 수동, 사용 안 함 1.1.0
게이트웨이 관리 CMA_0363 - 게이트웨이 관리 수동, 사용 안 함 1.1.0
스토리지용 Microsoft Defender를 사용하도록 설정해야 함 스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위 및 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0
위협에 대한 추세 분석 수행 CMA_0389 - 위협에 대한 추세 분석 수행 수동, 사용 안 함 1.1.0
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
매주 맬웨어 검색 보고서 검토 CMA_0475 - 매주 맬웨어 검색 보고서 검토 수동, 사용 안 함 1.1.0
매주 위협 방지 상태 검토 CMA_0479 - 매주 위협 방지 상태 검토 수동, 사용 안 함 1.1.0
바이러스 백신 정의 업데이트 CMA_0517 - 바이러스 백신 정의 업데이트 수동, 사용 안 함 1.1.0

컨테이너용 Microsoft Defender가 '켜기'로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.8 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 수동, 사용 안 함 1.1.0
승인되지 않았거나 승인되지 않은 네트워크 서비스 검색 CMA_C1700 - 승인되거나 승인되지 않은 네트워크 서비스 검색 수동, 사용 안 함 1.1.0
게이트웨이 관리 CMA_0363 - 게이트웨이 관리 수동, 사용 안 함 1.1.0
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0
위협에 대한 추세 분석 수행 CMA_0389 - 위협에 대한 추세 분석 수행 수동, 사용 안 함 1.1.0
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
매주 맬웨어 검색 보고서 검토 CMA_0475 - 매주 맬웨어 검색 보고서 검토 수동, 사용 안 함 1.1.0
매주 위협 방지 상태 검토 CMA_0479 - 매주 위협 방지 상태 검토 수동, 사용 안 함 1.1.0
바이러스 백신 정의 업데이트 CMA_0517 - 바이러스 백신 정의 업데이트 수동, 사용 안 함 1.1.0

Azure Cosmos DB용 Microsoft Defender가 '켜기'로 설정되어 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 2.1.9 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure Cosmos DB용 Microsoft Defender를 사용하도록 설정해야 함 Azure Cosmos DB용 Microsoft Defender는 Azure Cosmos DB 계정의 데이터베이스를 악용하려는 모든 시도를 검색하는 Azure 네이티브 보안 계층입니다. Azure Cosmos DB용 Defender는 잠재적인 SQL 주입, Microsoft 위협 인텔리전스를 기반으로 하는 알려진 공격자, 의심스러운 액세스 패턴, 손상된 ID 또는 악의적인 내부자를 통한 데이터베이스의 잠재적인 악용을 검색합니다. AuditIfNotExists, 사용 안 함 1.0.0

3

'보안 전송 필요'가 '사용'으로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.1 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
디지털 인증서를 확인하도록 워크스테이션 구성 CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 수동, 사용 안 함 1.1.0
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
암호화를 사용하여 암호 보호 CMA_0408 - 암호화를 사용하여 암호 보호 수동, 사용 안 함 1.1.0
스토리지 계정에 보안 전송을 사용하도록 설정해야 함 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. 감사, 거부, 사용 안 함 2.0.0

스토리지 계정에 액세스하는 데 프라이빗 엔드포인트가 사용되는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.10 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
스토리지 계정은 프라이빗 링크를 사용해야 함 Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/azureprivatelinkoverview에서 프라이빗 링크에 대해 자세히 알아보세요. AuditIfNotExists, 사용 안 함 2.0.0

중요한 데이터의 스토리지를 고객 관리형 키로 암호화

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.12 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
데이터 유출 관리 절차 설정 CMA_0255 - 데이터 유출 관리 절차 설정 수동, 사용 안 함 1.1.0
컨트롤을 구현하여 모든 미디어 보호 CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 수동, 사용 안 함 1.1.0
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
특수 정보 보호 CMA_0409 - 특수 정보 보호 수동, 사용 안 함 1.1.0
스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 고객 관리형 키를 사용하여 유연성이 뛰어난 Blob 및 파일 스토리지 계정을 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. 감사, 사용 안 함 1.0.3

Blob Service의 '읽기', '쓰기' 및 '삭제' 요청에 스토리지 로깅을 사용하도록 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.13 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
권한 있는 기능 감사 CMA_0019 - 권한 있는 기능 감사 수동, 사용 안 함 1.1.0
사용자 계정 상태 감사 CMA_0020 - 사용자 계정 상태 감사 수동, 사용 안 함 1.1.0
Azure 감사 기능 구성 CMA_C1108 - Azure 감사 기능 구성 수동, 사용 안 함 1.1.1
감사 가능한 이벤트 확인 CMA_0137 - 감사 가능한 이벤트 확인 수동, 사용 안 함 1.1.0
감사 데이터 검토 CMA_0466 - 감사 데이터 검토 수동, 사용 안 함 1.1.0

Table Service의 '읽기', '쓰기' 및 '삭제' 요청에 스토리지 로깅을 사용하도록 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.14 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
권한 있는 기능 감사 CMA_0019 - 권한 있는 기능 감사 수동, 사용 안 함 1.1.0
사용자 계정 상태 감사 CMA_0020 - 사용자 계정 상태 감사 수동, 사용 안 함 1.1.0
Azure 감사 기능 구성 CMA_C1108 - Azure 감사 기능 구성 수동, 사용 안 함 1.1.1
감사 가능한 이벤트 확인 CMA_0137 - 감사 가능한 이벤트 확인 수동, 사용 안 함 1.1.0
감사 데이터 검토 CMA_0466 - 감사 데이터 검토 수동, 사용 안 함 1.1.0

스토리지 계정의 "최소 TLS 버전"이 "버전 1.2"로 설정되어 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.15 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
디지털 인증서를 확인하도록 워크스테이션 구성 CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 수동, 사용 안 함 1.1.0
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
암호화를 사용하여 암호 보호 CMA_0408 - 암호화를 사용하여 암호 보호 수동, 사용 안 함 1.1.0
스토리지 계정에는 지정된 최소 TLS 버전이 있어야 함 클라이언트 애플리케이션과 스토리지 계정 간의 보안 통신을 위해 최소 TLS 버전을 구성합니다. 보안 위험을 최소화하기 위해 권장되는 최소 TLS 버전은 현재 TLS 1.2인 최신 릴리스 버전입니다. 감사, 거부, 사용 안 함 1.0.0

Azure Storage의 각 스토리지 계정에 대해 '인프라 암호화 사용'이 '사용'으로 설정되어 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.2 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
스토리지 계정에는 인프라 암호화가 있어야 함 데이터의 보안 수준을 높이기 위한 인프라 암호화를 사용하도록 설정합니다. 인프라 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 번 암호화됩니다. 감사, 거부, 사용 안 함 1.0.0

스토리지 계정 액세스 키를 주기적으로 재생성

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.4 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
물리적 키 관리 프로세스 정의 CMA_0115 - 물리적 키 관리 프로세스 정의 수동, 사용 안 함 1.1.0
암호화 사용 정의 CMA_0120 - 암호화 사용 정의 수동, 사용 안 함 1.1.0
암호화 키 관리에 대한 조직 요구 사항 정의 CMA_0123 - 암호화 키 관리에 대한 조직 요구 사항 정의 수동, 사용 안 함 1.1.0
어설션 요구 사항 확인 CMA_0136 - 어설션 요구 사항 확인 수동, 사용 안 함 1.1.0
공개 키 인증서 발급 CMA_0347 - 공개 키 인증서 발급 수동, 사용 안 함 1.1.0
대칭 암호화 키 관리 CMA_0367 - 대칭 암호화 키 관리 수동, 사용 안 함 1.1.0
프라이빗 키에 대한 액세스 제한 CMA_0445 - 프라이빗 키에 대한 액세스 제한 수동, 사용 안 함 1.1.0

Queue Service의 '읽기', '쓰기' 및 '삭제' 요청에 스토리지 로깅을 사용하도록 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.5 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
권한 있는 기능 감사 CMA_0019 - 권한 있는 기능 감사 수동, 사용 안 함 1.1.0
사용자 계정 상태 감사 CMA_0020 - 사용자 계정 상태 감사 수동, 사용 안 함 1.1.0
Azure 감사 기능 구성 CMA_C1108 - Azure 감사 기능 구성 수동, 사용 안 함 1.1.1
감사 가능한 이벤트 확인 CMA_0137 - 감사 가능한 이벤트 확인 수동, 사용 안 함 1.1.0
감사 데이터 검토 CMA_0466 - 감사 데이터 검토 수동, 사용 안 함 1.1.0

공유 액세스 서명 토큰이 한 시간 내에 만료되도록 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.6 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
종료 시 인증자 사용 안 함 CMA_0169 - 종료 시 인증자 사용 안 함 수동, 사용 안 함 1.1.0
필요에 따라 권한 있는 역할 철회 CMA_0483 - 권한 있는 역할을 적절하게 취소 수동, 사용 안 함 1.1.0
사용자 세션을 자동으로 종료 CMA_C1054 - 사용자 세션을 자동으로 종료 수동, 사용 안 함 1.1.0

Blob 컨테이너가 있는 스토리지 계정에 대해 '공용 액세스 수준'이 사용하지 않도록 설정되어 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.7 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
[미리 보기]: 스토리지 계정 공용 액세스가 허용되지 않아야 함 Azure Storage의 컨테이너 및 BLOB에 대한 익명 공용 읽기 액세스는 데이터를 공유하는 편리한 방법이지만 보안 위험이 있을 수도 있습니다. 원치 않는 익명 액세스로 인해 발생하는 데이터 위반을 방지하기 위해 Microsoft는 시나리오에 필요한 경우가 아니면 스토리지 계정에 대한 공개 액세스를 방지하는 것이 좋습니다 감사, 거부, 사용 안 함 3.1.0-preview
보안 기능 및 정보에 대한 액세스 권한 부여 CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 수동, 사용 안 함 1.1.0
액세스 권한 부여 및 관리 CMA_0023 - 액세스 권한 부여 및 관리 수동, 사용 안 함 1.1.0
논리적 액세스 적용 CMA_0245 - 논리적 액세스 적용 수동, 사용 안 함 1.1.0
필수 및 임의 액세스 제어 정책 적용 CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 수동, 사용 안 함 1.1.0
계정 만들기를 위한 승인 필요 CMA_0431 - 계정 만들기를 위한 승인 필요 수동, 사용 안 함 1.1.0
중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 수동, 사용 안 함 1.1.0

스토리지 계정에 대한 기본 네트워크 액세스 규칙이 거부로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.8 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
스토리지 계정은 네트워크 액세스를 제한해야 함 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. 감사, 거부, 사용 안 함 1.1.1
스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 IP 기반 필터링 대신 기본 방법으로 가상 네트워크 규칙을 사용하여 잠재적인 위협으로부터 스토리지 계정을 보호합니다. IP 기반 필터링을 사용하지 않도록 설정하면 공용 IP에서 스토리지 계정에 액세스할 수 없습니다. 감사, 거부, 사용 안 함 1.0.1

스토리지 계정 액세스에 대해 '신뢰할 수 있는 서비스 목록의 Azure 서비스가 이 스토리지 계정에 액세스하도록 허용'이 활성화되어 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 3.9 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정보 흐름 제어 CMA_0079 - 정보 흐름 제어 수동, 사용 안 함 1.1.0
암호화된 정보의 흐름 제어 메커니즘 사용 CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 수동, 사용 안 함 1.1.0
방화벽 및 라우터 구성 표준 설정 CMA_0272 - 방화벽 및 라우터 구성 표준 설정 수동, 사용 안 함 1.1.0
카드 소유자 데이터 환경에 대한 네트워크 구분 설정 CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 수동, 사용 안 함 1.1.0
다운스트림 정보 교환 식별 및 관리 CMA_0298 - 다운스트림 정보 교환 식별 및 관리 수동, 사용 안 함 1.1.0
스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 스토리지 계정과 상호 작용하는 일부 Microsoft 서비스는 네트워크 규칙을 통해 액세스 권한을 부여할 수 없는 네트워크에서 작동합니다. 이러한 유형의 서비스가 의도한 대로 작동하도록 하려면 신뢰할 수 있는 Microsoft 서비스 세트에서 네트워크 규칙을 무시하도록 허용합니다. 그러면 이러한 서비스에서 강력한 인증을 사용하여 스토리지 계정에 액세스합니다. 감사, 거부, 사용 안 함 1.0.0

4.1

'감사'가 '켜기'로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.1.1 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
권한 있는 기능 감사 CMA_0019 - 권한 있는 기능 감사 수동, 사용 안 함 1.1.0
사용자 계정 상태 감사 CMA_0020 - 사용자 계정 상태 감사 수동, 사용 안 함 1.1.0
SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
감사 가능한 이벤트 확인 CMA_0137 - 감사 가능한 이벤트 확인 수동, 사용 안 함 1.1.0
감사 데이터 검토 CMA_0466 - 감사 데이터 검토 수동, 사용 안 함 1.1.0

Azure SQL Database가 0.0.0.0/0(모든 IP)에서의 수신을 허용하지 않는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.1.2 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정보 흐름 제어 CMA_0079 - 정보 흐름 제어 수동, 사용 안 함 1.1.0
암호화된 정보의 흐름 제어 메커니즘 사용 CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 수동, 사용 안 함 1.1.0
Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 감사, 거부, 사용 안 함 1.1.0

SQL Server의 TDE(투명한 데이터 암호화) 보호기가 고객 관리형 키로 암호화되었는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.1.3 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
데이터 유출 관리 절차 설정 CMA_0255 - 데이터 유출 관리 절차 설정 수동, 사용 안 함 1.1.0
컨트롤을 구현하여 모든 미디어 보호 CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 수동, 사용 안 함 1.1.0
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
특수 정보 보호 CMA_0409 - 특수 정보 보호 수동, 사용 안 함 1.1.0
SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통한 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. 감사, 거부, 사용 안 함 2.0.0
SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통해 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. 감사, 거부, 사용 안 함 2.0.1

Azure Active Directory 관리자가 SQL Server에 대해 구성되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.1.4 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0
계정 관리 자동화 CMA_0026 - 계정 관리 자동화 수동, 사용 안 함 1.1.0
시스템 및 관리자 계정 관리 CMA_0368 - 시스템 및 관리자 계정 관리 수동, 사용 안 함 1.1.0
조직 전체에서 액세스 모니터링 CMA_0376 - 조직 전체에서 액세스 모니터링 수동, 사용 안 함 1.1.0
계정이 필요하지 않은 경우 알림 CMA_0383 - 계정이 필요하지 않은 경우 알림 수동, 사용 안 함 1.1.0

SQL Database에서 '데이터 암호화'가 '켜기'로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.1.5 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
데이터 유출 관리 절차 설정 CMA_0255 - 데이터 유출 관리 절차 설정 수동, 사용 안 함 1.1.0
컨트롤을 구현하여 모든 미디어 보호 CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 수동, 사용 안 함 1.1.0
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
특수 정보 보호 CMA_0409 - 특수 정보 보호 수동, 사용 안 함 1.1.0
SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다. 저장 데이터를 보호하고 규정 준수 요구 사항을 충족하려면 투명한 데이터 암호화를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0

'감사' 보존 기간이 '90일 이상'인지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.1.6 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정의된 보존 기간 준수 CMA_0004 - 정의된 보존 기간 준수 수동, 사용 안 함 1.1.0
감사 처리 작업 제어 및 모니터링 CMA_0289 - 감사 처리 작업 제어 및 모니터링 수동, 사용 안 함 1.1.0
보안 정책 및 절차 보존 CMA_0454 - 보안 정책 및 절차 유지 수동, 사용 안 함 1.1.0
종료된 사용자 데이터 보존 CMA_0455 - 종료된 사용자 데이터 보존 수동, 사용 안 함 1.1.0
스토리지 계정 대상에 대한 감사 기능이 있는 SQL Server는 보존 기간을 90일 이상으로 구성해야 함 인시던트 조사를 위해 SQL Server 감사를 위한 데이터 보존 기간을 스토리지 계정 대상으로 90일 이상으로 설정하는 것이 좋습니다. 운영 중인 지역에 필요한 보존 규칙을 충족하는지 확인합니다. 이는 규정 표준을 준수해야 하는 경우도 있습니다. AuditIfNotExists, 사용 안 함 3.0.0

4.2

중요한 SQL Server에 대해 Microsoft Defender for SQL이 '켜기'로 설정되어 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.2.1 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security 없이 SQL 서버 감사 AuditIfNotExists, 사용 안 함 2.0.1
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.2
위협에 대한 추세 분석 수행 CMA_0389 - 위협에 대한 추세 분석 수행 수동, 사용 안 함 1.1.0

스토리지 계정을 설정하여 SQL 서버에서 VA(취약성 평가)가 활성화되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.2.2 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
정보 시스템 결함 수정 CMA_0427 - 정보 시스템 결함 수정 수동, 사용 안 함 1.1.0
SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.1
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0

각 SQL Server에 대해 VA(취약성 평가) 설정 '정기 되풀이 검사'가 '켜기'로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.2.3 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
정보 시스템 결함 수정 CMA_0427 - 정보 시스템 결함 수정 수동, 사용 안 함 1.1.0
SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.1

VA(취약성 평가) 설정 '검사 보고서 보내기'가 SQL Server에 구성되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.2.4 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
취약성 검사 정보 상관 관계 지정 CMA_C1558 - 취약성 검사 정보 상관 관계 지정 수동, 사용 안 함 1.1.1
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
정보 시스템 결함 수정 CMA_0427 - 정보 시스템 결함 수정 수동, 사용 안 함 1.1.0
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0

각 SQL Server에 대해 VA(취약성 평가) 설정 '관리자 및 구독 소유자에게도 이메일 알림 보내기'를 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.2.5 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
취약성 검사 정보 상관 관계 지정 CMA_C1558 - 취약성 검사 정보 상관 관계 지정 수동, 사용 안 함 1.1.1
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
정보 시스템 결함 수정 CMA_0427 - 정보 시스템 결함 수정 수동, 사용 안 함 1.1.0
SQL 데이터베이스가 발견한 취약성을 해결해야 함 취약성 평가 검사 결과 및 데이터베이스 취약성을 수정하는 방법에 관한 권장 사항을 모니터링합니다. AuditIfNotExists, 사용 안 함 4.1.0
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0

4.3

PostgreSQL Database Server에 'SSL 연결 적용'이 '사용'으로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3.1 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
디지털 인증서를 확인하도록 워크스테이션 구성 CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 수동, 사용 안 함 1.1.0
PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결하는 것을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. 감사, 사용 안 함 1.0.1
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
암호화를 사용하여 암호 보호 CMA_0408 - 암호화를 사용하여 암호 보호 수동, 사용 안 함 1.1.0

PostgreSQL Database Server에 대한 'log_checkpoints' 서버 매개 변수를 'ON'으로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3.2 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
권한 있는 기능 감사 CMA_0019 - 권한 있는 기능 감사 수동, 사용 안 함 1.1.0
사용자 계정 상태 감사 CMA_0020 - 사용자 계정 상태 감사 수동, 사용 안 함 1.1.0
감사 가능한 이벤트 확인 CMA_0137 - 감사 가능한 이벤트 확인 수동, 사용 안 함 1.1.0
PostgreSQL 데이터베이스 서버에 대해 로그 검사점을 사용하도록 설정해야 합니다. 이 정책은 log_checkpoints 설정을 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. AuditIfNotExists, 사용 안 함 1.0.0
감사 데이터 검토 CMA_0466 - 감사 데이터 검토 수동, 사용 안 함 1.1.0

PostgreSQL Database Server에 'log_connections' 서버 매개 변수가 'ON'으로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3.3 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
권한 있는 기능 감사 CMA_0019 - 권한 있는 기능 감사 수동, 사용 안 함 1.1.0
사용자 계정 상태 감사 CMA_0020 - 사용자 계정 상태 감사 수동, 사용 안 함 1.1.0
감사 가능한 이벤트 확인 CMA_0137 - 감사 가능한 이벤트 확인 수동, 사용 안 함 1.1.0
PostgreSQL 데이터베이스 서버에 대해 로그 연결을 사용하도록 설정해야 합니다. 이 정책은 log_connections 설정을 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. AuditIfNotExists, 사용 안 함 1.0.0
감사 데이터 검토 CMA_0466 - 감사 데이터 검토 수동, 사용 안 함 1.1.0

PostgreSQL Database Server에 'log_disconnections' 서버 매개 변수가 'ON'으로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3.4 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
권한 있는 기능 감사 CMA_0019 - 권한 있는 기능 감사 수동, 사용 안 함 1.1.0
사용자 계정 상태 감사 CMA_0020 - 사용자 계정 상태 감사 수동, 사용 안 함 1.1.0
감사 가능한 이벤트 확인 CMA_0137 - 감사 가능한 이벤트 확인 수동, 사용 안 함 1.1.0
PostgreSQL 데이터베이스 서버에 대한 연결 끊김을 기록해야 합니다. 이 정책은 log_disconnections를 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. AuditIfNotExists, 사용 안 함 1.0.0
감사 데이터 검토 CMA_0466 - 감사 데이터 검토 수동, 사용 안 함 1.1.0

PostgreSQL Database Server에 'connection_throtling' 서버 매개 변수가 'ON'으로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3.5 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
권한 있는 기능 감사 CMA_0019 - 권한 있는 기능 감사 수동, 사용 안 함 1.1.0
사용자 계정 상태 감사 CMA_0020 - 사용자 계정 상태 감사 수동, 사용 안 함 1.1.0
PostgreSQL 데이터베이스 서버에 대해 연결 제한을 사용하도록 설정해야 합니다. 이 정책은 연결 제한을 사용하도록 설정하지 않고 사용자 환경에서 PostgreSQL 데이터베이스를 감사하는 데 도움이 됩니다. 이 설정은 잘못된 암호 로그인 실패가 너무 많을 경우 IP당 임시 연결 제한을 사용하도록 설정합니다. AuditIfNotExists, 사용 안 함 1.0.0
감사 가능한 이벤트 확인 CMA_0137 - 감사 가능한 이벤트 확인 수동, 사용 안 함 1.1.0
감사 데이터 검토 CMA_0466 - 감사 데이터 검토 수동, 사용 안 함 1.1.0

서버 매개 변수 'log_retention_days'가 PostgreSQL Database Server에 대해 3일보다 큰지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3.6 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정의된 보존 기간 준수 CMA_0004 - 정의된 보존 기간 준수 수동, 사용 안 함 1.1.0
감사 처리 작업 제어 및 모니터링 CMA_0289 - 감사 처리 작업 제어 및 모니터링 수동, 사용 안 함 1.1.0
보안 정책 및 절차 보존 CMA_0454 - 보안 정책 및 절차 유지 수동, 사용 안 함 1.1.0
종료된 사용자 데이터 보존 CMA_0455 - 종료된 사용자 데이터 보존 수동, 사용 안 함 1.1.0

PostgreSQL Database Server에 대해 'Azure 서비스에 대한 액세스 허용'을 사용하지 않도록 설정되었는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3.7 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정보 흐름 제어 CMA_0079 - 정보 흐름 제어 수동, 사용 안 함 1.1.0
암호화된 정보의 흐름 제어 메커니즘 사용 CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 수동, 사용 안 함 1.1.0
방화벽 및 라우터 구성 표준 설정 CMA_0272 - 방화벽 및 라우터 구성 표준 설정 수동, 사용 안 함 1.1.0
카드 소유자 데이터 환경에 대한 네트워크 구분 설정 CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 수동, 사용 안 함 1.1.0
다운스트림 정보 교환 식별 및 관리 CMA_0298 - 다운스트림 정보 교환 식별 및 관리 수동, 사용 안 함 1.1.0
공용 네트워크 액세스를 PostgreSQL 유연한 서버에 사용하지 않도록 설정해야 합니다. 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure Database for PostgreSQL 유연한 서버를 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 엄격하게 사용하지 않도록 설정하고, IP 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 감사, 거부, 사용 안 함 3.1.0
PostgreSQL 서버에 대해 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. 공용 네트워크 액세스 속성을 사용하지 않도록 설정하여 보안을 강화하고 프라이빗 엔드포인트에서만 Azure Database for PostgreSQL에 액세스할 수 있도록 합니다. 이 구성은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 감사, 거부, 사용 안 함 2.0.1

PostgreSQL 데이터베이스 서버에 '인프라 이중 암호화'를 '사용'하도록 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.3.8 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
데이터 유출 관리 절차 설정 CMA_0255 - 데이터 유출 관리 절차 설정 수동, 사용 안 함 1.1.0
컨트롤을 구현하여 모든 미디어 보호 CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 수동, 사용 안 함 1.1.0
인프라 암호화를 Azure Database for PostgreSQL에 사용하도록 설정해야 합니다. 인프라 암호화를 Azure Database for PostgreSQL에 사용하도록 설정하여 데이터 보안을 더 높은 수준으로 보장합니다. 인프라 암호화를 사용하도록 설정하면 저장 데이터가 FIPS 140-2 준수 Microsoft 관리형 키를 사용하여 두 번 암호화됩니다. 감사, 거부, 사용 안 함 1.0.0
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
특수 정보 보호 CMA_0409 - 특수 정보 보호 수동, 사용 안 함 1.1.0

4.4

표준 MySQL 데이터베이스 서버에 'SSL 연결 적용'을 '사용'하도록 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.4.1 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
디지털 인증서를 확인하도록 워크스테이션 구성 CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 수동, 사용 안 함 1.1.0
MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. MySQL용 Azure Database는 SSL(Secure Sockets Layer)을 사용한 MySQL용 Azure Database 서버와 클라이언트 애플리케이션 간 연결을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. 감사, 사용 안 함 1.0.1
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
암호화를 사용하여 암호 보호 CMA_0408 - 암호화를 사용하여 암호 보호 수동, 사용 안 함 1.1.0

MySQL Flexible Database Server의 'TLS 버전'을 'TLSV1.2'로 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.4.2 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
디지털 인증서를 확인하도록 워크스테이션 구성 CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 수동, 사용 안 함 1.1.0
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
암호화를 사용하여 암호 보호 CMA_0408 - 암호화를 사용하여 암호 보호 수동, 사용 안 함 1.1.0

4.5

‘방화벽 및 네트워크’가 모든 네트워크 대신 선택한 네트워크를 사용하도록 제한되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.5.1 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure Cosmos DB 계정에 방화벽 규칙이 있어야 함 권한 없는 원본의 트래픽을 방지하기 위해 Azure Cosmos DB 계정에 방화벽 규칙을 정의해야 합니다. 가상 네트워크 필터를 사용하도록 정의된 IP 규칙이 하나 이상 있는 계정은 규정을 준수하는 것으로 간주됩니다. 퍼블릭 액세스를 비활성화한 계정도 규정을 준수하는 것으로 간주됩니다. 감사, 거부, 사용 안 함 2.1.0

가능한 경우 프라이빗 엔드포인트가 사용되는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.5.2 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
CosmosDB 계정은 프라이빗 링크를 사용해야 함 Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 CosmosDB 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. 감사, 사용 안 함 1.0.0

가능한 경우 AAD(Azure Active Directory) 클라이언트 인증 및 Azure RBAC를 사용합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 4.5.3 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Cosmos DB 데이터베이스 계정은 로컬 인증 방법을 사용하지 않도록 설정해야 합니다 로컬 인증 방법을 사용하지 않도록 설정하면 Cosmos DB 데이터베이스 계정에 인증을 위해 Azure Active Directory ID가 독점적으로 필요하도록 하여 보안이 향상됩니다. https://docs.microsoft.com/azure/cosmos-db/how-to-setup-rbac#disable-local-auth에서 자세히 알아보세요. 감사, 거부, 사용 안 함 1.1.0

5.1

'진단 설정'이 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.1 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
감사 가능한 이벤트 확인 CMA_0137 - 감사 가능한 이벤트 확인 수동, 사용 안 함 1.1.0

진단 설정이 적절한 범주를 캡처하는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.2 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
특정 관리 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
특정 정책 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. AuditIfNotExists, 사용 안 함 3.0.0
특정 보안 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
권한 있는 기능 감사 CMA_0019 - 권한 있는 기능 감사 수동, 사용 안 함 1.1.0
사용자 계정 상태 감사 CMA_0020 - 사용자 계정 상태 감사 수동, 사용 안 함 1.1.0
Azure 감사 기능 구성 CMA_C1108 - Azure 감사 기능 구성 수동, 사용 안 함 1.1.1
감사 가능한 이벤트 확인 CMA_0137 - 감사 가능한 이벤트 확인 수동, 사용 안 함 1.1.0
감사 데이터 검토 CMA_0466 - 감사 데이터 검토 수동, 사용 안 함 1.1.0

활동 로그를 저장하는 스토리지 컨테이너에 공개적으로 액세스할 수 없는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.3 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
[미리 보기]: 스토리지 계정 공용 액세스가 허용되지 않아야 함 Azure Storage의 컨테이너 및 BLOB에 대한 익명 공용 읽기 액세스는 데이터를 공유하는 편리한 방법이지만 보안 위험이 있을 수도 있습니다. 원치 않는 익명 액세스로 인해 발생하는 데이터 위반을 방지하기 위해 Microsoft는 시나리오에 필요한 경우가 아니면 스토리지 계정에 대한 공개 액세스를 방지하는 것이 좋습니다 감사, 거부, 사용 안 함 3.1.0-preview
이중 또는 공동 권한 부여 사용 CMA_0226 - 이중 또는 공동 권한 부여 사용 수동, 사용 안 함 1.1.0
감사 정보 보호 CMA_0401 - 감사 정보 보호 수동, 사용 안 함 1.1.0

활동 로그가 있는 컨테이너가 포함된 스토리지 계정이 고객 관리형 키로 암호화되었는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.4 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
이중 또는 공동 권한 부여 사용 CMA_0226 - 이중 또는 공동 권한 부여 사용 수동, 사용 안 함 1.1.0
감사 시스템의 무결성 유지 관리 CMA_C1133 - 감사 시스템의 무결성 유지 수동, 사용 안 함 1.1.0
감사 정보 보호 CMA_0401 - 감사 정보 보호 수동, 사용 안 함 1.1.0
활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. 이 정책은 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정이 BYOK로 암호화되었는지 감사합니다. 이 정책은 스토리지 계정이 기본적으로 활동 로그와 같은 구독에 있는 경우에만 작동합니다. Azure Storage 저장 데이터 암호화에 대한 자세한 내용은 https://aka.ms/azurestoragebyok를 참조하세요. AuditIfNotExists, 사용 안 함 1.0.0

Azure Key Vault에 대한 로깅이 '사용'으로 설정되어 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.5 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
권한 있는 기능 감사 CMA_0019 - 권한 있는 기능 감사 수동, 사용 안 함 1.1.0
사용자 계정 상태 감사 CMA_0020 - 사용자 계정 상태 감사 수동, 사용 안 함 1.1.0
감사 가능한 이벤트 확인 CMA_0137 - 감사 가능한 이벤트 확인 수동, 사용 안 함 1.1.0
Key Vault에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
감사 데이터 검토 CMA_0466 - 감사 데이터 검토 수동, 사용 안 함 1.1.0

네트워크 보안 그룹 흐름 로그가 캡처되어 Log Analytics로 전송되는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.1.6 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
모든 흐름 로그 리소스가 사용 상태여야 함 흐름 로그 리소스를 감사하여 흐름 로그 상태를 사용할 수 있는지 확인합니다. 흐름 로그를 사용하도록 설정하면 IP 트래픽 흐름에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. 감사, 사용 안 함 1.0.1
모든 가상 네트워크에 대한 감사 흐름 로그 구성 가상 네트워크에 대한 감사를 통해 흐름 로그가 구성되었는지 확인합니다. 흐름 로그를 사용하면 가상 네트워크를 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. 감사, 사용 안 함 1.0.1
모든 네트워크 보안 그룹에 대해 흐름 로그를 구성해야 함 네트워크 보안 그룹을 감사하여 흐름 로그가 구성되어 있는지 확인합니다. 흐름 로그를 사용하면 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. 감사, 사용 안 함 1.1.0

5.2

정책 할당 만들기에 대한 활동 로그 경고가 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.1 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정보 유출에 대한 경고 담당자 CMA_0007 - 직원에게 정보 유출 경고 수동, 사용 안 함 1.1.0
특정 정책 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. AuditIfNotExists, 사용 안 함 3.0.0
인시던트 대응 계획 개발 CMA_0145 - 인시던트 대응 계획 개발 수동, 사용 안 함 1.1.0
조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 수동, 사용 안 함 1.1.0

정책 할당 삭제에 대한 활동 로그 경고가 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.2 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정보 유출에 대한 경고 담당자 CMA_0007 - 직원에게 정보 유출 경고 수동, 사용 안 함 1.1.0
특정 정책 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. AuditIfNotExists, 사용 안 함 3.0.0
인시던트 대응 계획 개발 CMA_0145 - 인시던트 대응 계획 개발 수동, 사용 안 함 1.1.0
조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 수동, 사용 안 함 1.1.0

네트워크 보안 그룹 만들기 또는 업데이트에 대한 활동 로그 경고가 존재하는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.3 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정보 유출에 대한 경고 담당자 CMA_0007 - 직원에게 정보 유출 경고 수동, 사용 안 함 1.1.0
특정 관리 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
인시던트 대응 계획 개발 CMA_0145 - 인시던트 대응 계획 개발 수동, 사용 안 함 1.1.0
조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 수동, 사용 안 함 1.1.0

네트워크 보안 그룹 삭제에 대한 활동 로그 경고가 존재하는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.4 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정보 유출에 대한 경고 담당자 CMA_0007 - 직원에게 정보 유출 경고 수동, 사용 안 함 1.1.0
특정 관리 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
인시던트 대응 계획 개발 CMA_0145 - 인시던트 대응 계획 개발 수동, 사용 안 함 1.1.0
조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 수동, 사용 안 함 1.1.0

보안 솔루션 만들기 또는 업데이트에 대한 활동 로그 경고가 존재하는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.5 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정보 유출에 대한 경고 담당자 CMA_0007 - 직원에게 정보 유출 경고 수동, 사용 안 함 1.1.0
특정 관리 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
인시던트 대응 계획 개발 CMA_0145 - 인시던트 대응 계획 개발 수동, 사용 안 함 1.1.0
조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 수동, 사용 안 함 1.1.0

보안 솔루션 삭제에 대한 활동 로그 경고가 존재하는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.6 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정보 유출에 대한 경고 담당자 CMA_0007 - 직원에게 정보 유출 경고 수동, 사용 안 함 1.1.0
특정 관리 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
인시던트 대응 계획 개발 CMA_0145 - 인시던트 대응 계획 개발 수동, 사용 안 함 1.1.0
조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 수동, 사용 안 함 1.1.0

SQL Server 방화벽 규칙 만들기 또는 업데이트에 대한 활동 로그 경고가 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.7 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정보 유출에 대한 경고 담당자 CMA_0007 - 직원에게 정보 유출 경고 수동, 사용 안 함 1.1.0
특정 관리 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
인시던트 대응 계획 개발 CMA_0145 - 인시던트 대응 계획 개발 수동, 사용 안 함 1.1.0
조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 수동, 사용 안 함 1.1.0

SQL Server 방화벽 규칙 삭제에 대한 활동 로그 경고가 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.2.8 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정보 유출에 대한 경고 담당자 CMA_0007 - 직원에게 정보 유출 경고 수동, 사용 안 함 1.1.0
특정 관리 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
인시던트 대응 계획 개발 CMA_0145 - 인시던트 대응 계획 개발 수동, 사용 안 함 1.1.0
조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 수동, 사용 안 함 1.1.0

5

이를 지원하는 전체 서비스에 대해 Azure Monitor 리소스 로깅이 사용하도록 설정되어 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 5.4 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정의된 보존 기간 준수 CMA_0004 - 정의된 보존 기간 준수 수동, 사용 안 함 1.1.0
App Service 앱에서 리소스 로그가 사용되어야 함 앱에서 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 2.0.1
권한 있는 기능 감사 CMA_0019 - 권한 있는 기능 감사 수동, 사용 안 함 1.1.0
사용자 계정 상태 감사 CMA_0020 - 사용자 계정 상태 감사 수동, 사용 안 함 1.1.0
Azure 감사 기능 구성 CMA_C1108 - Azure 감사 기능 구성 수동, 사용 안 함 1.1.1
감사 가능한 이벤트 확인 CMA_0137 - 감사 가능한 이벤트 확인 수동, 사용 안 함 1.1.0
감사 처리 작업 제어 및 모니터링 CMA_0289 - 감사 처리 작업 제어 및 모니터링 수동, 사용 안 함 1.1.0
Azure Data Lake Store에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Azure Stream Analytics에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Batch 계정에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Data Lake Analytics의 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Event Hub의 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
IoT Hub에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 3.1.0
Key Vault에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Logic Apps의 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.1.0
Search Services에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
Service Bus에서 리소스 로그를 사용하도록 설정해야 함 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 5.0.0
보안 정책 및 절차 보존 CMA_0454 - 보안 정책 및 절차 유지 수동, 사용 안 함 1.1.0
종료된 사용자 데이터 보존 CMA_0455 - 종료된 사용자 데이터 보존 수동, 사용 안 함 1.1.0
감사 데이터 검토 CMA_0466 - 감사 데이터 검토 수동, 사용 안 함 1.1.0

6

인터넷의 RDP 액세스가 평가되었고 제한되는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 6.1 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
가상 머신에서 관리 포트를 닫아야 합니다. 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. AuditIfNotExists, 사용 안 함 3.0.0

인터넷의 SSH 액세스가 평가되었고 제한되는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 6.2 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
가상 머신에서 관리 포트를 닫아야 합니다. 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. AuditIfNotExists, 사용 안 함 3.0.0

네트워크 보안 그룹 흐름 로그 보존 기간이 '90일 이상'인지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 6.5 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
정의된 보존 기간 준수 CMA_0004 - 정의된 보존 기간 준수 수동, 사용 안 함 1.1.0
보안 정책 및 절차 보존 CMA_0454 - 보안 정책 및 절차 유지 수동, 사용 안 함 1.1.0
종료된 사용자 데이터 보존 CMA_0455 - 종료된 사용자 데이터 보존 수동, 사용 안 함 1.1.0

Network Watcher가 '사용'으로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 6.6 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0
보안 기능 확인 CMA_C1708 - 보안 기능 확인 수동, 사용 안 함 1.1.0

7

Virtual Machines가 Managed Disks를 활용하는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 7.2 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
관리 디스크를 사용하지 않는 VM 감사 이 정책은 관리 디스크를 사용하지 않는 VM을 감사 감사 1.0.0
물리적 액세스 제어 CMA_0081 - 물리적 액세스 제어 수동, 사용 안 함 1.1.0
데이터의 입력, 출력, 처리 및 스토리지 관리 CMA_0369 - 데이터의 입력, 출력, 처리 및 스토리지 관리 수동, 사용 안 함 1.1.0
레이블 활동 및 분석 검토 CMA_0474 - 레이블 활동 및 분석 검토 수동, 사용 안 함 1.1.0

'OS 및 데이터' 디스크를 CMK(고객 관리 키)로 암호화

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 7.3 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
데이터 유출 관리 절차 설정 CMA_0255 - 데이터 유출 관리 절차 설정 수동, 사용 안 함 1.1.0
컨트롤을 구현하여 모든 미디어 보호 CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 수동, 사용 안 함 1.1.0
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
특수 정보 보호 CMA_0409 - 특수 정보 보호 수동, 사용 안 함 1.1.0

'연결되지 않은 디스크'가 'CMK(고객 관리형 키)'로 암호화되었는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 7.4 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
데이터 유출 관리 절차 설정 CMA_0255 - 데이터 유출 관리 절차 설정 수동, 사용 안 함 1.1.0
컨트롤을 구현하여 모든 미디어 보호 CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 수동, 사용 안 함 1.1.0
관리 디스크는 플랫폼 관리형 및 고객 관리형 키를 둘 다 사용하여 이중 암호화해야 함 특정 암호화 알고리즘, 구현 또는 손상되는 키와 연결된 위험에 관해 우려하는 높은 수준의 보안을 중요시하는 고객은 플랫폼 관리형 암호화 키를 사용하는 인프라 계층에서 다른 암호화 알고리즘/모드를 사용하는 추가적인 암호화 계층을 선택할 수 있습니다. 이중 암호화를 사용하려면 디스크 암호화 집합이 필요합니다. https://aka.ms/disks-doubleEncryption에서 자세히 알아보세요. 감사, 거부, 사용 안 함 1.0.0
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
특수 정보 보호 CMA_0409 - 특수 정보 보호 수동, 사용 안 함 1.1.0

승인된 확장만 설치되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 7.5 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
승인된 VM 확장만 설치해야 함 이 정책은 승인되지 않은 가상 머신 확장을 관리합니다. 감사, 거부, 사용 안 함 1.0.0

모든 Virtual Machines에 대해 Endpoint Protection이 설치되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 7.6 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 수동, 사용 안 함 1.1.0
문서 보안 운영 CMA_0202 - 문서 보안 운영 수동, 사용 안 함 1.1.0
게이트웨이 관리 CMA_0363 - 게이트웨이 관리 수동, 사용 안 함 1.1.0
위협에 대한 추세 분석 수행 CMA_0389 - 위협에 대한 추세 분석 수행 수동, 사용 안 함 1.1.0
취약성 검사 수행 CMA_0393 - 취약성 검사 수행 수동, 사용 안 함 1.1.0
매주 맬웨어 검색 보고서 검토 CMA_0475 - 매주 맬웨어 검색 보고서 검토 수동, 사용 안 함 1.1.0
매주 위협 방지 상태 검토 CMA_0479 - 매주 위협 방지 상태 검토 수동, 사용 안 함 1.1.0
엔드포인트 보안 솔루션에 대한 센서 켜기 CMA_0514 - 엔드포인트 보안 솔루션에 대한 센서 켜기 수동, 사용 안 함 1.1.0
바이러스 백신 정의 업데이트 CMA_0517 - 바이러스 백신 정의 업데이트 수동, 사용 안 함 1.1.0
소프트웨어, 펌웨어 및 정보 무결성 확인 CMA_0542 - 소프트웨어, 펌웨어 및 정보 무결성 확인 수동, 사용 안 함 1.1.0

[레거시] VHD가 암호화되었는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 7.7 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
데이터 유출 관리 절차 설정 CMA_0255 - 데이터 유출 관리 절차 설정 수동, 사용 안 함 1.1.0
컨트롤을 구현하여 모든 미디어 보호 CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 수동, 사용 안 함 1.1.0
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
특수 정보 보호 CMA_0409 - 특수 정보 보호 수동, 사용 안 함 1.1.0

8

RBAC Key Vault에 있는 모든 키의 만료 날짜를 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.1 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
물리적 키 관리 프로세스 정의 CMA_0115 - 물리적 키 관리 프로세스 정의 수동, 사용 안 함 1.1.0
암호화 사용 정의 CMA_0120 - 암호화 사용 정의 수동, 사용 안 함 1.1.0
암호화 키 관리에 대한 조직 요구 사항 정의 CMA_0123 - 암호화 키 관리에 대한 조직 요구 사항 정의 수동, 사용 안 함 1.1.0
어설션 요구 사항 확인 CMA_0136 - 어설션 요구 사항 확인 수동, 사용 안 함 1.1.0
공개 키 인증서 발급 CMA_0347 - 공개 키 인증서 발급 수동, 사용 안 함 1.1.0
Key Vault 키에는 만료 날짜가 있어야 함 암호화 키에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 키는 잠재적인 공격자에게 키를 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 암호화 키에 대한 만료 날짜를 설정하는 것이 좋습니다. 감사, 거부, 사용 안 함 1.0.2
대칭 암호화 키 관리 CMA_0367 - 대칭 암호화 키 관리 수동, 사용 안 함 1.1.0
프라이빗 키에 대한 액세스 제한 CMA_0445 - 프라이빗 키에 대한 액세스 제한 수동, 사용 안 함 1.1.0

비 RBAC Key Vault에 있는 모든 키의 만료 날짜를 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.2 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
물리적 키 관리 프로세스 정의 CMA_0115 - 물리적 키 관리 프로세스 정의 수동, 사용 안 함 1.1.0
암호화 사용 정의 CMA_0120 - 암호화 사용 정의 수동, 사용 안 함 1.1.0
암호화 키 관리에 대한 조직 요구 사항 정의 CMA_0123 - 암호화 키 관리에 대한 조직 요구 사항 정의 수동, 사용 안 함 1.1.0
어설션 요구 사항 확인 CMA_0136 - 어설션 요구 사항 확인 수동, 사용 안 함 1.1.0
공개 키 인증서 발급 CMA_0347 - 공개 키 인증서 발급 수동, 사용 안 함 1.1.0
Key Vault 키에는 만료 날짜가 있어야 함 암호화 키에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 키는 잠재적인 공격자에게 키를 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 암호화 키에 대한 만료 날짜를 설정하는 것이 좋습니다. 감사, 거부, 사용 안 함 1.0.2
대칭 암호화 키 관리 CMA_0367 - 대칭 암호화 키 관리 수동, 사용 안 함 1.1.0
프라이빗 키에 대한 액세스 제한 CMA_0445 - 프라이빗 키에 대한 액세스 제한 수동, 사용 안 함 1.1.0

RBAC Key Vault에 있는 모든 비밀의 만료 날짜를 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.3 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
물리적 키 관리 프로세스 정의 CMA_0115 - 물리적 키 관리 프로세스 정의 수동, 사용 안 함 1.1.0
암호화 사용 정의 CMA_0120 - 암호화 사용 정의 수동, 사용 안 함 1.1.0
암호화 키 관리에 대한 조직 요구 사항 정의 CMA_0123 - 암호화 키 관리에 대한 조직 요구 사항 정의 수동, 사용 안 함 1.1.0
어설션 요구 사항 확인 CMA_0136 - 어설션 요구 사항 확인 수동, 사용 안 함 1.1.0
공개 키 인증서 발급 CMA_0347 - 공개 키 인증서 발급 수동, 사용 안 함 1.1.0
Key Vault 비밀에는 만료 날짜가 있어야 함 비밀에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 비밀은 잠재적인 공격자에게 비밀을 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 비밀에 대한 만료 날짜를 설정하는 것이 좋습니다. 감사, 거부, 사용 안 함 1.0.2
대칭 암호화 키 관리 CMA_0367 - 대칭 암호화 키 관리 수동, 사용 안 함 1.1.0
프라이빗 키에 대한 액세스 제한 CMA_0445 - 프라이빗 키에 대한 액세스 제한 수동, 사용 안 함 1.1.0

비 RBAC Key Vault에 있는 모든 비밀의 만료 날짜를 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.4 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
물리적 키 관리 프로세스 정의 CMA_0115 - 물리적 키 관리 프로세스 정의 수동, 사용 안 함 1.1.0
암호화 사용 정의 CMA_0120 - 암호화 사용 정의 수동, 사용 안 함 1.1.0
암호화 키 관리에 대한 조직 요구 사항 정의 CMA_0123 - 암호화 키 관리에 대한 조직 요구 사항 정의 수동, 사용 안 함 1.1.0
어설션 요구 사항 확인 CMA_0136 - 어설션 요구 사항 확인 수동, 사용 안 함 1.1.0
공개 키 인증서 발급 CMA_0347 - 공개 키 인증서 발급 수동, 사용 안 함 1.1.0
Key Vault 비밀에는 만료 날짜가 있어야 함 비밀에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 비밀은 잠재적인 공격자에게 비밀을 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 비밀에 대한 만료 날짜를 설정하는 것이 좋습니다. 감사, 거부, 사용 안 함 1.0.2
대칭 암호화 키 관리 CMA_0367 - 대칭 암호화 키 관리 수동, 사용 안 함 1.1.0
프라이빗 키에 대한 액세스 제한 CMA_0445 - 프라이빗 키에 대한 액세스 제한 수동, 사용 안 함 1.1.0

Key Vault를 복구할 수 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.5 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
키 자격 증명 모음에서는 삭제 방지를 사용하도록 설정해야 함 키 자격 증명 모음을 악의적으로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 제거 방지 및 일시 삭제를 사용하도록 설정하여 영구적인 데이터 손실을 방지할 수 있습니다. 제거 보호는 일시 삭제된 키 자격 증명 모음에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 키 자격 증명 모음을 제거할 수 없습니다. 2019년 9월 1일 이후에 만든 키 자격 증명 모음은 기본적으로 일시 삭제를 사용하도록 설정되어 있습니다. 감사, 거부, 사용 안 함 2.1.0
키 자격 증명 모음에 일시 삭제를 사용하도록 설정해야 함 일시 삭제를 사용하지 않고 키 자격 증명 모음을 삭제하면 키 자격 증명 모음에 저장된 모든 비밀, 키 및 인증서가 영구적으로 삭제됩니다. 키 자격 증명 모음을 실수로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 일시 삭제를 사용하면 실수로 삭제된 키 자격 증명 모음을 구성 가능한 보존 기간 동안 복구할 수 있습니다. 감사, 거부, 사용 안 함 3.0.0

Azure Key Vault에 대한 역할 기반 Access Control 사용

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.6 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure Key Vault에서 RBAC 권한 모델을 사용해야 함 Key Vault 전반에서 RBAC 권한 모델을 사용하도록 설정합니다. https://learn.microsoft.com/en-us/azure/key-vault/general/rbac-migration에서 자세히 알아보세요. 감사, 거부, 사용 안 함 1.0.1

Azure Key Vault에 프라이빗 엔드포인트가 사용되는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.7 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure Key Vault에서 프라이빗 링크를 사용해야 함 Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 키 자격 증명 모음에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/akvprivatelink에서 프라이빗 링크에 대해 자세히 알아보세요. [parameters('audit_effect')] 1.2.1

지원되는 서비스에 대해 Azure Key Vault 내에서 자동 키 회전이 사용하도록 설정되어 있는지 확인합니다.

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 8.8 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
키에는 키 생성 후 지정된 일 수 이내에 키 회전을 예약하는 회전 정책이 있어야 함 키를 만든 후 순환해야 할 때까지 최대 일 수를 지정하여 조직 규정 준수 요구 사항을 관리합니다. 감사, 사용 안 함 1.0.0

9

Azure App Service의 앱에 대한 App Service 인증을 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.1 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
App Service 앱에서 인증이 사용되어야 함 Azure App Service 인증은 익명 HTTP 요청이 웹앱에 도달하는 것을 방지하거나 웹앱에 도달하기 전에 토큰이 있는 요청을 인증할 수 있는 기능입니다. AuditIfNotExists, 사용 안 함 2.0.1
암호화 모듈에 인증 CMA_0021 - 암호화 모듈에 인증 수동, 사용 안 함 1.1.0
사용자 고유성 적용 CMA_0250 - 사용자 고유성 적용 수동, 사용 안 함 1.1.0
함수 앱에 인증이 사용 설정되어 있어야 함 Azure App Service 인증은 익명 HTTP 요청이 함수 앱에 도달하는 것을 방지하거나 함수 앱에 도달하기 전에 토큰이 있는 요청을 인증할 수 있는 기능입니다. AuditIfNotExists, 사용 안 함 3.0.0
법률 기관에서 발급한 개인 확인 자격 증명 지원 CMA_0507 - 법률 기관에서 발급한 개인 확인 자격 증명 지원 수동, 사용 안 함 1.1.0

FTP 배포를 사용하지 않도록 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.10 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
App Service 앱에는 FTPS만 필요함 강화된 보안을 위해 FTPS 적용을 사용합니다. AuditIfNotExists, 사용 안 함 3.0.0
디지털 인증서를 확인하도록 워크스테이션 구성 CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 수동, 사용 안 함 1.1.0
함수 앱에는 FTPS만 필요함 강화된 보안을 위해 FTPS 적용을 사용합니다. AuditIfNotExists, 사용 안 함 3.0.0
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
암호화를 사용하여 암호 보호 CMA_0408 - 암호화를 사용하여 암호 보호 수동, 사용 안 함 1.1.0

Azure Key Vault를 사용하여 비밀을 저장하는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.11 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
물리적 키 관리 프로세스 정의 CMA_0115 - 물리적 키 관리 프로세스 정의 수동, 사용 안 함 1.1.0
암호화 사용 정의 CMA_0120 - 암호화 사용 정의 수동, 사용 안 함 1.1.0
암호화 키 관리에 대한 조직 요구 사항 정의 CMA_0123 - 암호화 키 관리에 대한 조직 요구 사항 정의 수동, 사용 안 함 1.1.0
어설션 요구 사항 확인 CMA_0136 - 어설션 요구 사항 확인 수동, 사용 안 함 1.1.0
암호화 메커니즘이 구성 관리 중인지 확인 CMA_C1199 - 암호화 메커니즘이 구성 관리 중인지 확인 수동, 사용 안 함 1.1.0
공개 키 인증서 발급 CMA_0347 - 공개 키 인증서 발급 수동, 사용 안 함 1.1.0
정보의 가용성 유지 관리 CMA_C1644 - 정보의 가용성 유지 관리 수동, 사용 안 함 1.1.0
대칭 암호화 키 관리 CMA_0367 - 대칭 암호화 키 관리 수동, 사용 안 함 1.1.0
프라이빗 키에 대한 액세스 제한 CMA_0445 - 프라이빗 키에 대한 액세스 제한 수동, 사용 안 함 1.1.0

Azure App Service에서 웹앱이 모든 HTTP 트래픽을 HTTPS로 리디렉션하도록 설정

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.2 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. 감사, 사용 안 함, 거부 4.0.0
디지털 인증서를 확인하도록 워크스테이션 구성 CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 수동, 사용 안 함 1.1.0
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
암호화를 사용하여 암호 보호 CMA_0408 - 암호화를 사용하여 암호 보호 수동, 사용 안 함 1.1.0

웹앱에서 최신 버전의 TLS 암호화 사용

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.3 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
App Service 앱은 최신 TLS 버전을 사용해야 함 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. AuditIfNotExists, 사용 안 함 2.1.0
디지털 인증서를 확인하도록 워크스테이션 구성 CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 수동, 사용 안 함 1.1.0
함수 앱은 최신 TLS 버전을 사용해야 함 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. AuditIfNotExists, 사용 안 함 2.1.0
암호화를 사용하여 전송 중인 데이터 보호 CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 수동, 사용 안 함 1.1.0
암호화를 사용하여 암호 보호 CMA_0408 - 암호화를 사용하여 암호 보호 수동, 사용 안 함 1.1.0

웹앱에서 '클라이언트 인증서(들어오는 클라이언트 인증서)'가 '켜기'로 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.4 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
[사용되지 않음]: App Service 앱에서 '클라이언트 인증서(들어오는 클라이언트 인증서)'가 사용하도록 설정되어 있어야 함 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. Http 2.0은 클라이언트 인증서를 지원하지 않기 때문에 이 정책은 동일한 이름의 새 정책으로 바뀌었습니다. 감사, 사용 안 함 3.1.0-deprecated
[사용되지 않음]: 함수 앱에는 '클라이언트 인증서(수신 클라이언트 인증서)'가 사용하도록 설정되어 있어야 함 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. Http 2.0은 클라이언트 인증서를 지원하지 않기 때문에 이 정책은 동일한 이름의 새 정책으로 바뀌었습니다. 감사, 사용 안 함 3.1.0-deprecated
암호화 모듈에 인증 CMA_0021 - 암호화 모듈에 인증 수동, 사용 안 함 1.1.0

App Service에 [Azure Active Directory에 등록]이 설정되어 있는지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.5 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
App Service 앱에서 관리 ID를 사용해야 함 인증 보안 강화를 위해 관리 ID 사용 AuditIfNotExists, 사용 안 함 3.0.0
계정 관리 자동화 CMA_0026 - 계정 관리 자동화 수동, 사용 안 함 1.1.0
함수 앱에서 관리 ID를 사용해야 함 인증 보안 강화를 위해 관리 ID 사용 AuditIfNotExists, 사용 안 함 3.0.0
시스템 및 관리자 계정 관리 CMA_0368 - 시스템 및 관리자 계정 관리 수동, 사용 안 함 1.1.0
조직 전체에서 액세스 모니터링 CMA_0376 - 조직 전체에서 액세스 모니터링 수동, 사용 안 함 1.1.0
계정이 필요하지 않은 경우 알림 CMA_0383 - 계정이 필요하지 않은 경우 알림 수동, 사용 안 함 1.1.0

웹앱을 실행하는 데 사용되는 경우 최신 'PHP 버전'인지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.6 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
PHP를 사용하는 App Service 앱 슬롯은 지정된 ‘PHP 버전’을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 PHP 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 PHP 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 PHP 버전을 지정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
PHP를 사용하는 App Service 앱은 지정된 ‘PHP 버전’을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 PHP 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 PHP 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 PHP 버전을 지정해야 합니다. AuditIfNotExists, 사용 안 함 3.2.0
정보 시스템 결함 수정 CMA_0427 - 정보 시스템 결함 수정 수동, 사용 안 함 1.1.0

웹앱을 실행하는 데 사용되는 경우 'Python 버전'이 최신 안정 버전인지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.7 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Python을 사용하는 App Service 앱 슬롯은 지정된 ’Python 버전’을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 Python 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 Python 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Python 버전을 지정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Python을 사용하는 App Service 앱은 지정된 ‘Python 버전’을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 Python 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 App Service 앱에 최신 Python 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Python 버전을 지정해야 합니다. AuditIfNotExists, 사용 안 함 4.1.0
정보 시스템 결함 수정 CMA_0427 - 정보 시스템 결함 수정 수동, 사용 안 함 1.1.0

웹앱을 실행하는 데 사용되는 경우 최신 'Java 버전'인지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.8 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Java를 사용하는 함수 앱 슬롯은 지정된 ‘Java 버전’을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 Java 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 함수 앱에 최신 Java 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Java 버전을 지정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Java를 사용하는 함수 앱은 지정된 ‘Java 버전’을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 Java 소프트웨어에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 함수 앱에 최신 Java 버전을 사용하는 것이 좋습니다. 이 정책은 Linux 앱에만 적용됩니다. 이 정책을 사용하려면 요구 사항을 충족하는 Java 버전을 지정해야 합니다. AuditIfNotExists, 사용 안 함 3.1.0
정보 시스템 결함 수정 CMA_0427 - 정보 시스템 결함 수정 수동, 사용 안 함 1.1.0

웹앱을 실행하는 데 사용되는 경우 최신 'HTTP 버전'인지 확인

ID: CIS Microsoft Azure Foundations 벤치마크 권장 사항 9.9 소유권: 공유됨

이름
(Azure Portal)
설명 효과 버전
(GitHub)
App Service 앱은 최신 'HTTP 버전'을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 4.0.0
함수 앱은 최신 'HTTP 버전'을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 4.0.0
정보 시스템 결함 수정 CMA_0427 - 정보 시스템 결함 수정 수동, 사용 안 함 1.1.0

다음 단계

Azure Policy에 대한 추가 문서: