CMMC 수준 3(Azure Government) 규정 준수 기본 제공 이니셔티브에 대한 세부 정보입니다.

다음 문서에서는 Azure Policy 규정 준수 기본 제공 이니셔티브 정의가 CMMC 수준 3(Azure Government)의 규정 준수 도메인제어에 매핑되는 방법에 대한 자세히 설명합니다. 이 규정 준수 표준에 대한 자세한 내용은 CMMC 수준 3을 참조하세요. 소유권을 이해하려면 Azure Policy 정책 정의클라우드의 공동 책임을 참조하세요.

다음 매핑은 CMMC 수준 3 제어에 대한 것입니다. 여러 컨트롤이 Azure Policy 이니셔티브 정의를 사용하여 구현됩니다. 전체 이니셔티브 정의를 검토하려면 Azure Portal에서 정책을 열고 정의 페이지를 선택합니다. 그런 다음, CMMC 수준 3 규정 준수 기본 제공 이니셔티브 정의를 찾아서 선택합니다.

기본 제공 이니셔티브는 CMMC 수준 3 청사진 샘플의 일부로 배포됩니다.

Important

아래의 각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 컨트롤을 사용한 규정 준수 평가에 도움이 될 수 있지만, 컨트롤과 하나 이상의 정책 간에 일대일 또는 완벽한 일치 관계가 없는 경우도 많습니다. 따라서 Azure Policy의 규정 준수는 정책 정의 자체만 가리킬 뿐, 컨트롤의 모든 요구 사항을 완벽하게 준수한다는 것은 아닙니다. 또한 규정 준수 표준에는 현재 Azure Policy 정의에서 처리되지 않은 컨트롤이 포함되어 있습니다. 따라서 Azure Policy의 규정 준수는 전반적인 규정 준수 상태를 부분적으로 표시할 뿐입니다. 이 규정 준수 표준에 대한 규정 준수 도메인, 컨트롤, Azure Policy 정의 간의 연결은 시간이 지나면 변경될 수 있습니다. 변경 기록을 보려면 GitHub 커밋 기록을 참조하세요.

액세스 제어

권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 정보 포함)에 대한 정보 시스템 액세스를 제한합니다.

ID: CMMC L3 AC.1.001 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
App Service 앱에 원격 디버깅이 비활성화되어 있어야 함 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
App Service 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 CORS(원본 간 리소스 공유)는 앱에 액세스하는 모든 도메인을 허용해서는 안 됩니다. 필요한 도메인만 앱과 상호 작용하도록 허용합니다. AuditIfNotExists, 사용 안 함 2.0.0
Azure AI Services 리소스는 네트워크 액세스를 제한해야 합니다. 네트워크 액세스를 제한하여 허용된 네트워크만 서비스에 액세스할 수 있도록 할 수 있습니다. 허용된 네트워크의 애플리케이션만 Azure AI 서비스에 액세스할 수 있도록 네트워크 규칙을 구성하여 이 작업을 수행할 수 있습니다. 감사, 거부, 사용 안 함 3.2.0
Kubernetes Services에서 Azure RBAC(역할 기반 액세스 제어)를 사용해야 함 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 Azure RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. 감사, 사용 안 함 1.0.3
Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. AuditIfNotExists, 사용 안 함 1.0.0
Cognitive Services 계정은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 Cognitive Services 계정의 보안을 개선하려면 퍼블릭 인터넷에 노출되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://go.microsoft.com/fwlink/?linkid=2129800에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. 감사, 거부, 사용 안 함 3.0.1
컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 기본적으로 Azure Container Registry는 모든 네트워크에 있는 호스트로부터의 인터넷 연결을 수락합니다. 잠재적인 위협으로부터 레지스트리를 보호하려면 특정 프라이빗 엔드포인트, 공용 IP 주소 또는 주소 범위에서만 액세스를 허용합니다. 레지스트리에 네트워크 규칙이 구성되어 있지 않으면 비정상 리소스에 나타납니다. Container Registry 네트워크 규칙에 대한 자세한 내용은 https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet을 참조하세요. 감사, 거부, 사용 안 함 2.0.0
함수 앱에 원격 디버깅이 해제되어 있어야 함 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
함수 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 CORS(교차 원본 리소스 공유)는 함수 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. AuditIfNotExists, 사용 안 함 2.0.0
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 감사, 거부, 사용 안 함 1.1.0
스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 스토리지 계정과 상호 작용하는 일부 Microsoft 서비스는 네트워크 규칙을 통해 액세스 권한을 부여할 수 없는 네트워크에서 작동합니다. 이러한 유형의 서비스가 의도한 대로 작동하도록 하려면 신뢰할 수 있는 Microsoft 서비스 세트에서 네트워크 규칙을 무시하도록 허용합니다. 그러면 이러한 서비스에서 강력한 인증을 사용하여 스토리지 계정에 액세스합니다. 감사, 거부, 사용 안 함 1.0.0
스토리지 계정은 네트워크 액세스를 제한해야 함 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. 감사, 거부, 사용 안 함 1.1.1

권한 있는 사용자가 실행할 수 있는 트랜잭션 유형 및 기능에 대한 정보 시스템 액세스를 제한합니다.

ID: CMMC L3 AC.1.002 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
App Service 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 CORS(원본 간 리소스 공유)는 앱에 액세스하는 모든 도메인을 허용해서는 안 됩니다. 필요한 도메인만 앱과 상호 작용하도록 허용합니다. AuditIfNotExists, 사용 안 함 2.0.0
App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. 감사, 사용 안 함, 거부 4.0.0
Azure AI Services 리소스는 네트워크 액세스를 제한해야 합니다. 네트워크 액세스를 제한하여 허용된 네트워크만 서비스에 액세스할 수 있도록 할 수 있습니다. 허용된 네트워크의 애플리케이션만 Azure AI 서비스에 액세스할 수 있도록 네트워크 규칙을 구성하여 이 작업을 수행할 수 있습니다. 감사, 거부, 사용 안 함 3.2.0
Kubernetes Services에서 Azure RBAC(역할 기반 액세스 제어)를 사용해야 함 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 Azure RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. 감사, 사용 안 함 1.0.3
Cognitive Services 계정은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 Cognitive Services 계정의 보안을 개선하려면 퍼블릭 인터넷에 노출되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://go.microsoft.com/fwlink/?linkid=2129800에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. 감사, 거부, 사용 안 함 3.0.1
컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 기본적으로 Azure Container Registry는 모든 네트워크에 있는 호스트로부터의 인터넷 연결을 수락합니다. 잠재적인 위협으로부터 레지스트리를 보호하려면 특정 프라이빗 엔드포인트, 공용 IP 주소 또는 주소 범위에서만 액세스를 허용합니다. 레지스트리에 네트워크 규칙이 구성되어 있지 않으면 비정상 리소스에 나타납니다. Container Registry 네트워크 규칙에 대한 자세한 내용은 https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet을 참조하세요. 감사, 거부, 사용 안 함 2.0.0
MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. MySQL용 Azure Database는 SSL(Secure Sockets Layer)을 사용한 MySQL용 Azure Database 서버와 클라이언트 애플리케이션 간 연결을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. 감사, 사용 안 함 1.0.1
PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결하는 것을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. 감사, 사용 안 함 1.0.1
함수 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 CORS(교차 원본 리소스 공유)는 함수 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. AuditIfNotExists, 사용 안 함 2.0.0
함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. 감사, 사용 안 함, 거부 5.0.0
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
Azure Cache for Redis에 보안 연결만 사용하도록 설정해야 함 SSL을 통해 설정된 Azure Cache for Redis 연결만 감사 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. 감사, 거부, 사용 안 함 1.0.0
Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 감사, 거부, 사용 안 함 1.1.0
스토리지 계정에 보안 전송을 사용하도록 설정해야 함 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. 감사, 거부, 사용 안 함 2.0.0
스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 스토리지 계정과 상호 작용하는 일부 Microsoft 서비스는 네트워크 규칙을 통해 액세스 권한을 부여할 수 없는 네트워크에서 작동합니다. 이러한 유형의 서비스가 의도한 대로 작동하도록 하려면 신뢰할 수 있는 Microsoft 서비스 세트에서 네트워크 규칙을 무시하도록 허용합니다. 그러면 이러한 서비스에서 강력한 인증을 사용하여 스토리지 계정에 액세스합니다. 감사, 거부, 사용 안 함 1.0.0
스토리지 계정은 네트워크 액세스를 제한해야 함 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. 감사, 거부, 사용 안 함 1.1.1

외부 정보 시스템의 연결 및 사용을 확인하고 제어/제한합니다.

ID: CMMC L3 AC.1.003 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0

특정 보안 기능 및 권한 있는 계정을 포함하여 최소 권한 원칙을 채택합니다.

ID: CMMC L3 AC.2.007 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Kubernetes Services에서 Azure RBAC(역할 기반 액세스 제어)를 사용해야 함 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 Azure RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. 감사, 사용 안 함 1.0.3
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0

원격 액세스 세션을 모니터링하고 제어합니다.

ID: CMMC L3 AC.2.013 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
App Service 앱에 원격 디버깅이 비활성화되어 있어야 함 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
함수 앱에 원격 디버깅이 해제되어 있어야 함 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0
스토리지 계정은 네트워크 액세스를 제한해야 함 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. 감사, 거부, 사용 안 함 1.1.1

승인된 권한 부여에 따라 CUI의 흐름을 제어합니다.

ID: CMMC L3 AC.2.016 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure AI Services 리소스는 네트워크 액세스를 제한해야 합니다. 네트워크 액세스를 제한하여 허용된 네트워크만 서비스에 액세스할 수 있도록 할 수 있습니다. 허용된 네트워크의 애플리케이션만 Azure AI 서비스에 액세스할 수 있도록 네트워크 규칙을 구성하여 이 작업을 수행할 수 있습니다. 감사, 거부, 사용 안 함 3.2.0
Kubernetes Services에서 Azure RBAC(역할 기반 액세스 제어)를 사용해야 함 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 Azure RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. 감사, 사용 안 함 1.0.3
Cognitive Services 계정은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 Cognitive Services 계정의 보안을 개선하려면 퍼블릭 인터넷에 노출되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://go.microsoft.com/fwlink/?linkid=2129800에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. 감사, 거부, 사용 안 함 3.0.1
컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 기본적으로 Azure Container Registry는 모든 네트워크에 있는 호스트로부터의 인터넷 연결을 수락합니다. 잠재적인 위협으로부터 레지스트리를 보호하려면 특정 프라이빗 엔드포인트, 공용 IP 주소 또는 주소 범위에서만 액세스를 허용합니다. 레지스트리에 네트워크 규칙이 구성되어 있지 않으면 비정상 리소스에 나타납니다. Container Registry 네트워크 규칙에 대한 자세한 내용은 https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet을 참조하세요. 감사, 거부, 사용 안 함 2.0.0
함수 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 CORS(교차 원본 리소스 공유)는 함수 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. AuditIfNotExists, 사용 안 함 2.0.0
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 감사, 거부, 사용 안 함 1.1.0
스토리지 계정은 네트워크 액세스를 제한해야 함 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. 감사, 거부, 사용 안 함 1.1.1

개인의 의무를 구분하여 공모 없이 악의적인 활동의 위험을 줄입니다.

ID: CMMC L3 AC.3.017 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
구독에 최대 3명의 소유자를 지정해야 합니다. 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 3.0.0
구독에 둘 이상의 소유자를 할당해야 합니다. 관리자 액세스 중복성을 유지하려면 둘 이상의 구독 소유자를 지정하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 3.0.0

권한 없는 사용자가 권한 있는 기능을 실행하지 못하도록 방지하고 이러한 기능의 실행을 감사 로그에 캡처합니다.

ID: CMMC L3 AC.3.018 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
특정 관리 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
사용자 지정 RBAC 역할의 사용량 감사 오류가 발생하기 쉬운 사용자 지정 RBAC 역할 대신 '소유자, 기여자, 읽기 권한자' 같은 기본 제공 역할을 감사합니다. 사용자 지정 역할 사용은 예외로 처리되며 엄격한 검토 및 위협 모델링이 필요합니다. 감사, 사용 안 함 1.0.1

권한 있는 명령의 원격 실행 및 보안 관련 정보에 대한 원격 액세스 권한을 부여합니다.

ID: CMMC L3 AC.3.021 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
특정 관리 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
특정 보안 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
머신에 게스트 구성 확장을 설치해야 함 머신의 게스트 내 설정을 안전하게 구성하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 'Windows Exploit Guard를 사용하도록 설정해야 합니다'와 같은 게스트 내 정책을 사용할 수 있습니다. https://aka.ms/gcpol에서 자세히 알아보세요. AuditIfNotExists, 사용 안 함 1.0.2
가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. https://aka.ms/gcpol에서 자세히 알아보세요. AuditIfNotExists, 사용 안 함 1.0.1

감사 및 책임

개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다.

ID: CMMC L3 AU.2.041 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
[미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 2.0.1-preview
특정 관리 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
특정 정책 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. AuditIfNotExists, 사용 안 함 3.0.0
특정 보안 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
선택한 리소스 종류에 대한 진단 설정 감사 선택한 리소스 종류에 대한 감사 진단 설정 진단 설정을 지원하는 리소스 종류만 선택해야 합니다. AuditIfNotExists 2.0.1
SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security 없이 SQL 서버 감사 AuditIfNotExists, 사용 안 함 2.0.1
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.2
Azure Monitor 로그 프로필은 'write'(쓰기), 'delete'(삭제) 및 'action'(작업) 범주에 대한 로그를 수집해야 합니다. 이 정책을 사용하면 로그 프로필이 '쓰기,' '삭제' 및 '작업' 범주에 대한 로그를 수집합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure Monitor는 모든 지역의 활동 로그를 수집해야 합니다. 이 정책은 글로벌 지역을 포함하여 모든 Azure 지원 지역에서 활동을 내보내지 않는 Azure Monitor 로그 프로필을 감사합니다. AuditIfNotExists, 사용 안 함 2.0.0
Azure 구독에는 활동 로그에 대한 로그 프로필이 있어야 합니다. 이 정책은 로그 프로필이 활동 로그를 내보낼 수 있는지 확인합니다. 로그를 스토리지 계정 또는 이벤트 허브로 내보내기 위해 생성된 로그 프로필이 없는지 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 2.0.1
Virtual Machine Scale Sets에 Log Analytics 확장을 설치해야 함 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 모든 Windows/Linux Virtual Machine Scale Sets에 대해 감사를 수행합니다. AuditIfNotExists, 사용 안 함 1.0.1
가상 머신을 지정된 작업 영역에 연결해야 함 정책/이니셔티브 할당에 지정된 Log Analytics 작업 영역에 로그하지 않는 경우 가상 머신을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 1.1.0
가상 머신에 Log Analytics 확장이 설치되어 있어야 함 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 모든 Windows/Linux 가상 머신에 대해 감사를 수행합니다. AuditIfNotExists, 사용 안 함 1.0.1

불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다.

ID: CMMC L3 AU.2.042 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
[미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 2.0.1-preview
활동 로그는 1년 이상 보존되어야 합니다. 이 정책은 보존이 365일 또는 계속(보존 기간이 0으로 설정)으로 설정되지 않은 경우 활동 로그를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
특정 관리 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
특정 정책 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. AuditIfNotExists, 사용 안 함 3.0.0
특정 보안 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
선택한 리소스 종류에 대한 진단 설정 감사 선택한 리소스 종류에 대한 감사 진단 설정 진단 설정을 지원하는 리소스 종류만 선택해야 합니다. AuditIfNotExists 2.0.1
SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security 없이 SQL 서버 감사 AuditIfNotExists, 사용 안 함 2.0.1
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.2
Azure Monitor는 모든 지역의 활동 로그를 수집해야 합니다. 이 정책은 글로벌 지역을 포함하여 모든 Azure 지원 지역에서 활동을 내보내지 않는 Azure Monitor 로그 프로필을 감사합니다. AuditIfNotExists, 사용 안 함 2.0.0
Azure 구독에는 활동 로그에 대한 로그 프로필이 있어야 합니다. 이 정책은 로그 프로필이 활동 로그를 내보낼 수 있는지 확인합니다. 로그를 스토리지 계정 또는 이벤트 허브로 내보내기 위해 생성된 로그 프로필이 없는지 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 2.0.1
Virtual Machine Scale Sets에 Log Analytics 확장을 설치해야 함 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 모든 Windows/Linux Virtual Machine Scale Sets에 대해 감사를 수행합니다. AuditIfNotExists, 사용 안 함 1.0.1
가상 머신을 지정된 작업 영역에 연결해야 함 정책/이니셔티브 할당에 지정된 Log Analytics 작업 영역에 로그하지 않는 경우 가상 머신을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 1.1.0
가상 머신에 Log Analytics 확장이 설치되어 있어야 함 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 모든 Windows/Linux 가상 머신에 대해 감사를 수행합니다. AuditIfNotExists, 사용 안 함 1.0.1

감사 로깅 프로세스가 실패한 이벤트의 경고입니다.

ID: CMMC L3 AU.3.046 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
[미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 2.0.1-preview
선택한 리소스 종류에 대한 진단 설정 감사 선택한 리소스 종류에 대한 감사 진단 설정 진단 설정을 지원하는 리소스 종류만 선택해야 합니다. AuditIfNotExists 2.0.1
SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security 없이 SQL 서버 감사 AuditIfNotExists, 사용 안 함 2.0.1
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.2
가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 2.0.1
가상 머신을 지정된 작업 영역에 연결해야 함 정책/이니셔티브 할당에 지정된 Log Analytics 작업 영역에 로그하지 않는 경우 가상 머신을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 1.1.0

감사 정보(예: 로그)를 하나 이상의 중앙 리포지토리에 수집합니다.

ID: CMMC L3 AU.3.048 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
[미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 2.0.1-preview
App Service 앱에서 리소스 로그가 사용되어야 함 앱에서 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. AuditIfNotExists, 사용 안 함 2.0.1
선택한 리소스 종류에 대한 진단 설정 감사 선택한 리소스 종류에 대한 감사 진단 설정 진단 설정을 지원하는 리소스 종류만 선택해야 합니다. AuditIfNotExists 2.0.1
가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 2.0.1
Virtual Machine Scale Sets에 Log Analytics 확장을 설치해야 함 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 모든 Windows/Linux Virtual Machine Scale Sets에 대해 감사를 수행합니다. AuditIfNotExists, 사용 안 함 1.0.1
가상 머신을 지정된 작업 영역에 연결해야 함 정책/이니셔티브 할당에 지정된 Log Analytics 작업 영역에 로그하지 않는 경우 가상 머신을 비규격으로 보고합니다. AuditIfNotExists, 사용 안 함 1.1.0
가상 머신에 Log Analytics 확장이 설치되어 있어야 함 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 모든 Windows/Linux 가상 머신에 대해 감사를 수행합니다. AuditIfNotExists, 사용 안 함 1.0.1

무단 액세스, 수정, 삭제로부터 감사 정보 및 감사 로깅 도구를 보호합니다.

ID: CMMC L3 AU.3.049 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
특정 정책 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. AuditIfNotExists, 사용 안 함 3.0.0
선택한 리소스 종류에 대한 진단 설정 감사 선택한 리소스 종류에 대한 감사 진단 설정 진단 설정을 지원하는 리소스 종류만 선택해야 합니다. AuditIfNotExists 2.0.1

보안 평가

조직 시스템의 보안 제어를 정기적으로 평가하여 이러한 제어가 애플리케이션에서 효과적인지 확인합니다.

ID: CMMC L3 CA.2.158 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 애플리케이션 제어를 활성화하여 머신에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고, 다른 애플리케이션이 실행될 때 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 머신에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. AuditIfNotExists, 사용 안 함 3.0.0
적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 Azure Security Center의 적응형 애플리케이션 제어를 통한 감사를 위해 구성된 머신 그룹의 동작 변경 내용을 모니터링합니다. Security Center는 기계 학습을 사용하여 머신에서 실행 중인 프로세스를 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. 이러한 앱은 적응형 애플리케이션 제어 정책에서 허용하도록 권장되는 앱으로 제공됩니다. AuditIfNotExists, 사용 안 함 3.0.0
특정 보안 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. 가상 머신 확장 집합에서 엔드포인트 보호 솔루션의 존재 및 상태를 감사하여 위협 및 취약성으로부터 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0
Azure Security Center에서 누락된 Endpoint Protection 모니터링 Endpoint Protection 에이전트가 설치되어 있지 않은 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.1.0
Security Center 표준 가격 책정 계층을 선택해야 합니다. 표준 가격 책정 계층은 Azure Security Center에서 네트워크 및 가상 머신에 대한 위협을 탐지하고 위협 인텔리전스, 변칙 검색 및 동작 분석을 제공합니다. 감사, 사용 안 함 1.1.0
SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.1
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0

보안 제어를 지속적으로 모니터링하여 지속적인 제어 효율성을 보장합니다.

ID: CMMC L3 CA.3.161 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 애플리케이션 제어를 활성화하여 머신에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고, 다른 애플리케이션이 실행될 때 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 머신에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. AuditIfNotExists, 사용 안 함 3.0.0
적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 Azure Security Center의 적응형 애플리케이션 제어를 통한 감사를 위해 구성된 머신 그룹의 동작 변경 내용을 모니터링합니다. Security Center는 기계 학습을 사용하여 머신에서 실행 중인 프로세스를 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. 이러한 앱은 적응형 애플리케이션 제어 정책에서 허용하도록 권장되는 앱으로 제공됩니다. AuditIfNotExists, 사용 안 함 3.0.0
특정 보안 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. 가상 머신 확장 집합에서 엔드포인트 보호 솔루션의 존재 및 상태를 감사하여 위협 및 취약성으로부터 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0
Azure Security Center에서 누락된 Endpoint Protection 모니터링 Endpoint Protection 에이전트가 설치되어 있지 않은 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.1.0
Security Center 표준 가격 책정 계층을 선택해야 합니다. 표준 가격 책정 계층은 Azure Security Center에서 네트워크 및 가상 머신에 대한 위협을 탐지하고 위협 인텔리전스, 변칙 검색 및 동작 분석을 제공합니다. 감사, 사용 안 함 1.1.0
SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.1
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0

구성 관리

각 시스템 개발 수명 주기 전반에 걸쳐 조직 시스템(하드웨어, 소프트웨어, 펌웨어 및 설명서 포함)의 기준 구성 및 인벤토리를 설정하고 유지 관리합니다.

ID: CMMC L3 CM.2.061 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 애플리케이션 제어를 활성화하여 머신에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고, 다른 애플리케이션이 실행될 때 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 머신에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. AuditIfNotExists, 사용 안 함 3.0.0
특정 정책 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. AuditIfNotExists, 사용 안 함 3.0.0

필수 기능만 제공하도록 조직 시스템을 구성하여 최소 기능 원칙을 채택합니다.

ID: CMMC L3 CM.2.062 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Kubernetes Services에서 Azure RBAC(역할 기반 액세스 제어)를 사용해야 함 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 Azure RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. 감사, 사용 안 함 1.0.3

사용자가 설치한 소프트웨어를 제어하고 모니터링합니다.

ID: CMMC L3 CM.2.063 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 애플리케이션 제어를 활성화하여 머신에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고, 다른 애플리케이션이 실행될 때 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 머신에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. AuditIfNotExists, 사용 안 함 3.0.0
적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 Azure Security Center의 적응형 애플리케이션 제어를 통한 감사를 위해 구성된 머신 그룹의 동작 변경 내용을 모니터링합니다. Security Center는 기계 학습을 사용하여 머신에서 실행 중인 프로세스를 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. 이러한 앱은 적응형 애플리케이션 제어 정책에서 허용하도록 권장되는 앱으로 제공됩니다. AuditIfNotExists, 사용 안 함 3.0.0
Security Center 표준 가격 책정 계층을 선택해야 합니다. 표준 가격 책정 계층은 Azure Security Center에서 네트워크 및 가상 머신에 대한 위협을 탐지하고 위협 인텔리전스, 변칙 검색 및 동작 분석을 제공합니다. 감사, 사용 안 함 1.1.0

조직 시스템에 사용되는 정보 기술 제품에 대한 보안 구성 설정을 설정하고 적용합니다.

ID: CMMC L3 CM.2.064 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security 없이 SQL 서버 감사 AuditIfNotExists, 사용 안 함 2.0.1
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.2
Azure Front Door 진입점에 대해 Azure Web Application Firewall을 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 1.0.2
Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 2.0.0
WAF(웹 애플리케이션 방화벽)는 Application Gateway에 지정된 모드를 사용해야 함 Application Gateway에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. 감사, 거부, 사용 안 함 1.0.0
WAF(웹 애플리케이션 방화벽)는 Azure Front Door Service에 지정된 모드를 사용해야 함 Azure Front Door Service에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. 감사, 거부, 사용 안 함 1.0.0

조직 시스템에 대한 변경 내용을 추적, 검토, 승인 또는 거부하고 기록합니다.

ID: CMMC L3 CM.2.065 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
특정 관리 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
특정 정책 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. AuditIfNotExists, 사용 안 함 3.0.0
특정 보안 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure Monitor는 모든 지역의 활동 로그를 수집해야 합니다. 이 정책은 글로벌 지역을 포함하여 모든 Azure 지원 지역에서 활동을 내보내지 않는 Azure Monitor 로그 프로필을 감사합니다. AuditIfNotExists, 사용 안 함 2.0.0
Azure 구독에는 활동 로그에 대한 로그 프로필이 있어야 합니다. 이 정책은 로그 프로필이 활동 로그를 내보낼 수 있는지 확인합니다. 로그를 스토리지 계정 또는 이벤트 허브로 내보내기 위해 생성된 로그 프로필이 없는지 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0

불필요한 프로그램, 함수, 포트, 프로토콜 및 서비스의 사용을 제한, 사용 안 함 또는 차단합니다.

ID: CMMC L3 CM.3.068 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 애플리케이션 제어를 활성화하여 머신에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고, 다른 애플리케이션이 실행될 때 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 머신에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. AuditIfNotExists, 사용 안 함 3.0.0
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0
적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 Azure Security Center의 적응형 애플리케이션 제어를 통한 감사를 위해 구성된 머신 그룹의 동작 변경 내용을 모니터링합니다. Security Center는 기계 학습을 사용하여 머신에서 실행 중인 프로세스를 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. 이러한 앱은 적응형 애플리케이션 제어 정책에서 허용하도록 권장되는 앱으로 제공됩니다. AuditIfNotExists, 사용 안 함 3.0.0
App Service 앱에 원격 디버깅이 비활성화되어 있어야 함 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
App Service 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 CORS(원본 간 리소스 공유)는 앱에 액세스하는 모든 도메인을 허용해서는 안 됩니다. 필요한 도메인만 앱과 상호 작용하도록 허용합니다. AuditIfNotExists, 사용 안 함 2.0.0
Azure AI Services 리소스는 네트워크 액세스를 제한해야 합니다. 네트워크 액세스를 제한하여 허용된 네트워크만 서비스에 액세스할 수 있도록 할 수 있습니다. 허용된 네트워크의 애플리케이션만 Azure AI 서비스에 액세스할 수 있도록 네트워크 규칙을 구성하여 이 작업을 수행할 수 있습니다. 감사, 거부, 사용 안 함 3.2.0
Cognitive Services 계정은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 Cognitive Services 계정의 보안을 개선하려면 퍼블릭 인터넷에 노출되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://go.microsoft.com/fwlink/?linkid=2129800에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. 감사, 거부, 사용 안 함 3.0.1
컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 기본적으로 Azure Container Registry는 모든 네트워크에 있는 호스트로부터의 인터넷 연결을 수락합니다. 잠재적인 위협으로부터 레지스트리를 보호하려면 특정 프라이빗 엔드포인트, 공용 IP 주소 또는 주소 범위에서만 액세스를 허용합니다. 레지스트리에 네트워크 규칙이 구성되어 있지 않으면 비정상 리소스에 나타납니다. Container Registry 네트워크 규칙에 대한 자세한 내용은 https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet을 참조하세요. 감사, 거부, 사용 안 함 2.0.0
함수 앱에 원격 디버깅이 해제되어 있어야 함 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
함수 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 CORS(교차 원본 리소스 공유)는 함수 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. AuditIfNotExists, 사용 안 함 2.0.0
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 감사, 거부, 사용 안 함 1.1.0
스토리지 계정은 네트워크 액세스를 제한해야 함 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. 감사, 거부, 사용 안 함 1.1.1
서브넷을 네트워크 보안 그룹과 연결해야 합니다. NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. AuditIfNotExists, 사용 안 함 3.0.0

권한 없는 소프트웨어 또는 모두 거부 사용을 방지하기 위한 예외별 거부(차단 목록) 정책 적용, 승인된 소프트웨어 실행을 허용하기 위한 예외별 허용(허용 목록) 정책 적용.

ID: CMMC L3 CM.3.069 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 애플리케이션 제어를 활성화하여 머신에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고, 다른 애플리케이션이 실행될 때 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 머신에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. AuditIfNotExists, 사용 안 함 3.0.0

식별 및 인증

조직 정보 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 해당 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다.

ID: CMMC L3 IA.1.077 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0

권한 있는 계정에 대한 로컬 및 네트워크 액세스와 권한이 없는 계정에 대한 네트워크 액세스에 다단계 인증을 사용합니다.

ID: CMMC L3 IA.3.083 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0

재생 방지 인증 메커니즘을 권한 있는 계정과 권한 없는 계정에 대한 네트워크 액세스에 사용합니다.

ID: CMMC L3 IA.3.084 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. 감사, 사용 안 함, 거부 4.0.0
App Service 앱은 최신 TLS 버전을 사용해야 함 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. AuditIfNotExists, 사용 안 함 2.0.1
함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. 감사, 사용 안 함, 거부 5.0.0
함수 앱은 최신 TLS 버전을 사용해야 함 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. AuditIfNotExists, 사용 안 함 2.0.1

사고 대응

준비, 검색, 분석, 포함, 복구 및 사용자 응답 작업이 포함된 조직 시스템에 대한 운영 인시던트 처리 기능을 설정합니다.

ID: CMMC L3 IR.2.092 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. AuditIfNotExists, 사용 안 함 1.0.1
심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. AuditIfNotExists, 사용 안 함 2.0.0
구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. AuditIfNotExists, 사용 안 함 1.0.1

이벤트를 검색하고 보고합니다.

ID: CMMC L3 IR.2.093 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
특정 보안 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
서버용 Azure Defender를 사용하도록 설정해야 함 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. AuditIfNotExists, 사용 안 함 1.0.3
Azure Front Door 진입점에 대해 Azure Web Application Firewall을 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 1.0.2
심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. AuditIfNotExists, 사용 안 함 1.0.1
모든 네트워크 보안 그룹에 대해 흐름 로그를 구성해야 함 네트워크 보안 그룹을 감사하여 흐름 로그가 구성되어 있는지 확인합니다. 흐름 로그를 사용하면 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. 감사, 사용 안 함 1.1.0
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. AuditIfNotExists, 사용 안 함 1.0.4
Azure Security Center에서 누락된 Endpoint Protection 모니터링 Endpoint Protection 에이전트가 설치되어 있지 않은 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.1.0
Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 2.0.0
WAF(웹 애플리케이션 방화벽)는 Application Gateway에 지정된 모드를 사용해야 함 Application Gateway에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. 감사, 거부, 사용 안 함 1.0.0
WAF(웹 애플리케이션 방화벽)는 Azure Front Door Service에 지정된 모드를 사용해야 함 Azure Front Door Service에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. 감사, 거부, 사용 안 함 1.0.0

복구

데이터 백업을 정기적으로 수행하고 테스트합니다.

ID: CMMC L3 RE.2.137 소유권: 고객

이름
(Azure Portal)
설명 효과 버전
(GitHub)
재해 복구가 구성되어 있지 않은 가상 머신 감사 재해 복구가 구성되지 않은 가상 머신을 감사합니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. auditIfNotExists 1.0.0
Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. Azure Backup을 사용하도록 설정하여 Azure Virtual Machines의 보호를 보장합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. AuditIfNotExists, 사용 안 함 3.0.0
Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. Azure Database for MariaDB를 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. 감사, 사용 안 함 1.0.1
Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. Azure Database for MySQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. 감사, 사용 안 함 1.0.1
Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. Azure Database for PostgreSQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. 감사, 사용 안 함 1.0.1
Azure SQL Database에 대해 장기 지역 중복 백업을 사용하도록 설정해야 합니다. 이 정책은 장기 지역 중복 백업이 사용하도록 설정되지 않은 모든 Azure SQL Database를 감사합니다. AuditIfNotExists, 사용 안 함 2.0.0

조직에서 정의한 대로 완전하고, 종합적이며, 복원력 있는 데이터 백업을 정기적으로 수행합니다.

ID: CMMC L3 RE.3.139 소유권: 고객

이름
(Azure Portal)
설명 효과 버전
(GitHub)
재해 복구가 구성되어 있지 않은 가상 머신 감사 재해 복구가 구성되지 않은 가상 머신을 감사합니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. auditIfNotExists 1.0.0
Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. Azure Backup을 사용하도록 설정하여 Azure Virtual Machines의 보호를 보장합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. AuditIfNotExists, 사용 안 함 3.0.0
Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. Azure Database for MariaDB를 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. 감사, 사용 안 함 1.0.1
Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. Azure Database for MySQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. 감사, 사용 안 함 1.0.1
Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. Azure Database for PostgreSQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. 감사, 사용 안 함 1.0.1
Azure SQL Database에 대해 장기 지역 중복 백업을 사용하도록 설정해야 합니다. 이 정책은 장기 지역 중복 백업이 사용하도록 설정되지 않은 모든 Azure SQL Database를 감사합니다. AuditIfNotExists, 사용 안 함 2.0.0

위험 평가

조직 시스템의 운영 및 관련된 처리, 스토리지 또는 CUI 전송으로 인한 조직 운영(업무, 기능, 이미지 또는 평판 포함), 조직 자산 및 개인에 대한 위험을 정기적으로 평가합니다.

ID: CMMC L3 RM.2.141 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
서버용 Azure Defender를 사용하도록 설정해야 함 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. AuditIfNotExists, 사용 안 함 1.0.3
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security 없이 SQL 서버 감사 AuditIfNotExists, 사용 안 함 2.0.1
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.2
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. AuditIfNotExists, 사용 안 함 1.0.4
Security Center 표준 가격 책정 계층을 선택해야 합니다. 표준 가격 책정 계층은 Azure Security Center에서 네트워크 및 가상 머신에 대한 위협을 탐지하고 위협 인텔리전스, 변칙 검색 및 동작 분석을 제공합니다. 감사, 사용 안 함 1.1.0
SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.1
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0

조직 시스템 및 애플리케이션의 취약성을 정기적으로 검사하고 이러한 시스템 및 애플리케이션에 영향을 주는 새로운 취약점을 식별합니다.

ID: CMMC L3 RM.2.142 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
서버용 Azure Defender를 사용하도록 설정해야 함 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. AuditIfNotExists, 사용 안 함 1.0.3
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security 없이 SQL 서버 감사 AuditIfNotExists, 사용 안 함 2.0.1
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.2
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. AuditIfNotExists, 사용 안 함 1.0.4
Security Center 표준 가격 책정 계층을 선택해야 합니다. 표준 가격 책정 계층은 Azure Security Center에서 네트워크 및 가상 머신에 대한 위협을 탐지하고 위협 인텔리전스, 변칙 검색 및 동작 분석을 제공합니다. 감사, 사용 안 함 1.1.0
SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.1
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0

위험 평가에 따라 취약성을 수정합니다.

ID: CMMC L3 RM.2.143 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
서버용 Azure Defender를 사용하도록 설정해야 함 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. AuditIfNotExists, 사용 안 함 1.0.3
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security 없이 SQL 서버 감사 AuditIfNotExists, 사용 안 함 2.0.1
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.2
Kubernetes Services를 취약하지 않은 Kubernetes 버전으로 업그레이드해야 함 현재 Kubernetes 버전의 알려진 취약성으로부터 보호하려면 Kubernetes 서비스 클러스터를 최신 Kubernetes 버전으로 업그레이드하세요. 취약성 CVE-2019-9946이 Kubernetes 버전 1.11.9+, 1.12.7+, 1.13.5+ 및 1.14.0+에서 패치되었습니다. 감사, 사용 안 함 1.0.2
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. AuditIfNotExists, 사용 안 함 1.0.4
Security Center 표준 가격 책정 계층을 선택해야 합니다. 표준 가격 책정 계층은 Azure Security Center에서 네트워크 및 가상 머신에 대한 위협을 탐지하고 위협 인텔리전스, 변칙 검색 및 동작 분석을 제공합니다. 감사, 사용 안 함 1.1.0
SQL 데이터베이스가 발견한 취약성을 해결해야 함 취약성 평가 검사 결과 및 데이터베이스 취약성을 수정하는 방법에 관한 권장 사항을 모니터링합니다. AuditIfNotExists, 사용 안 함 4.1.0
컨테이너 보안 구성의 취약성을 수정해야 합니다. Docker가 설치된 머신에서 보안 구성의 취약성을 감사하고 Azure Security Center에서 권장 사항으로 표시합니다. AuditIfNotExists, 사용 안 함 3.0.0
머신 보안 구성의 취약성을 수정해야 합니다. 구성된 기준을 충족하지 않는 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.1.0
가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. 가상 머신 확장 집합의 OS 취약성을 감사하여 공격으로부터 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0
SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.1
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0

위험 관리

위험 평가를 정기적으로 수행하여 정의된 위험 범주, 위험 원본 및 위험 측정 조건에 따라 위험을 식별하고 우선 순위를 지정합니다.

ID: CMMC L3 RM.3.144 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
서버용 Azure Defender를 사용하도록 설정해야 함 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. AuditIfNotExists, 사용 안 함 1.0.3
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. AuditIfNotExists, 사용 안 함 1.0.4
Security Center 표준 가격 책정 계층을 선택해야 합니다. 표준 가격 책정 계층은 Azure Security Center에서 네트워크 및 가상 머신에 대한 위협을 탐지하고 위협 인텔리전스, 변칙 검색 및 동작 분석을 제공합니다. 감사, 사용 안 함 1.1.0

시스템 및 통신 보호

조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다.

ID: CMMC L3 SC.1.175 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0
App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. 감사, 사용 안 함, 거부 4.0.0
App Service 앱은 최신 TLS 버전을 사용해야 함 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. AuditIfNotExists, 사용 안 함 2.0.1
Azure AI Services 리소스는 네트워크 액세스를 제한해야 합니다. 네트워크 액세스를 제한하여 허용된 네트워크만 서비스에 액세스할 수 있도록 할 수 있습니다. 허용된 네트워크의 애플리케이션만 Azure AI 서비스에 액세스할 수 있도록 네트워크 규칙을 구성하여 이 작업을 수행할 수 있습니다. 감사, 거부, 사용 안 함 3.2.0
Azure Front Door 진입점에 대해 Azure Web Application Firewall을 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 1.0.2
Cognitive Services 계정은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 Cognitive Services 계정의 보안을 개선하려면 퍼블릭 인터넷에 노출되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://go.microsoft.com/fwlink/?linkid=2129800에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. 감사, 거부, 사용 안 함 3.0.1
컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 기본적으로 Azure Container Registry는 모든 네트워크에 있는 호스트로부터의 인터넷 연결을 수락합니다. 잠재적인 위협으로부터 레지스트리를 보호하려면 특정 프라이빗 엔드포인트, 공용 IP 주소 또는 주소 범위에서만 액세스를 허용합니다. 레지스트리에 네트워크 규칙이 구성되어 있지 않으면 비정상 리소스에 나타납니다. Container Registry 네트워크 규칙에 대한 자세한 내용은 https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet을 참조하세요. 감사, 거부, 사용 안 함 2.0.0
모든 네트워크 보안 그룹에 대해 흐름 로그를 구성해야 함 네트워크 보안 그룹을 감사하여 흐름 로그가 구성되어 있는지 확인합니다. 흐름 로그를 사용하면 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. 감사, 사용 안 함 1.1.0
함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. 감사, 사용 안 함, 거부 5.0.0
함수 앱은 최신 TLS 버전을 사용해야 함 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. AuditIfNotExists, 사용 안 함 2.0.1
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0
네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
Azure Cache for Redis에 보안 연결만 사용하도록 설정해야 함 SSL을 통해 설정된 Azure Cache for Redis 연결만 감사 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. 감사, 거부, 사용 안 함 1.0.0
Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 감사, 거부, 사용 안 함 1.1.0
스토리지 계정에 보안 전송을 사용하도록 설정해야 함 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. 감사, 거부, 사용 안 함 2.0.0
스토리지 계정은 네트워크 액세스를 제한해야 함 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. 감사, 거부, 사용 안 함 1.1.1
Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 2.0.0
WAF(웹 애플리케이션 방화벽)는 Application Gateway에 지정된 모드를 사용해야 함 Application Gateway에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. 감사, 거부, 사용 안 함 1.0.0
WAF(웹 애플리케이션 방화벽)는 Azure Front Door Service에 지정된 모드를 사용해야 함 Azure Front Door Service에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. 감사, 거부, 사용 안 함 1.0.0

내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다.

ID: CMMC L3 SC.1.176 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
스토리지 계정은 네트워크 액세스를 제한해야 함 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. 감사, 거부, 사용 안 함 1.1.1
서브넷을 네트워크 보안 그룹과 연결해야 합니다. NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. AuditIfNotExists, 사용 안 함 3.0.0

네트워크 디바이스를 관리하는 데 암호화된 세션을 사용합니다.

ID: CMMC L3 SC.2.179 소유권: 고객

이름
(Azure Portal)
설명 효과 버전
(GitHub)
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0

CUI의 기밀성을 보호하기 위해 사용되는 경우 FIPS 인증 암호화를 사용합니다.

ID: CMMC L3 SC.3.177 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Automation 계정 변수를 암호화해야 함 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. 감사, 거부, 사용 안 함 1.1.0
Azure Data Box 작업에서 디바이스의 미사용 데이터에 대한 이중 암호화를 사용하도록 설정해야 함 디바이스의 미사용 데이터에 대해 소프트웨어 기반 암호화의 두 번째 계층을 사용하도록 설정합니다. 디바이스는 미사용 데이터에 대해 Advanced Encryption Standard 256비트 암호화를 통해 이미 보호되고 있습니다. 이 옵션은 데이터 암호화의 두 번째 계층을 추가합니다. 감사, 거부, 사용 안 함 1.0.0
Azure Data Explorer 저장 데이터 암호화는 고객 관리형 키를 사용해야 함 Azure Data Explorer 클러스터에서 고객 관리형 키를 사용하여 저장 데이터 암호화를 활성화하면 저장 데이터 암호화에 사용되는 키를 추가로 제어할 수 있습니다. 이 기능은 종종 특별한 규정 준수 요구 사항을 충족하는 고객에게 적용되며, 키 관리를 위해 Key Vault가 필요합니다. 감사, 거부, 사용 안 함 1.0.0
Azure Stream Analytics 작업은 고객 관리형 키를 사용하여 데이터를 암호화해야 함 스토리지 계정에 Stream Analytics 작업의 메타데이터 및 프라이빗 데이터 자산을 모두 안전하게 저장하려면 고객 관리형 키를 사용합니다. 이를 통해 Stream Analytics 데이터가 암호화되는 방식을 완전히 제어할 수 있습니다. 감사, 거부, 사용 안 함 1.1.0
Azure Synapse 작업 영역은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 고객 관리형 키를 사용하여 Azure Synapse 작업 영역에 저장된 데이터의 저장 데이터 암호화를 제어합니다. 고객 관리형 키는 서비스 관리형 키를 사용하여 수행되는 기본 암호화 위에 두 번째 암호화 계층을 추가하여 이중 암호화를 제공합니다. 감사, 거부, 사용 안 함 1.0.0
Azure Kubernetes Service 클러스터의 운영 체제와 데이터 디스크를 모두 고객 관리형 키로 암호화해야 함 고객 관리형 키를 사용하여 OS 및 데이터 디스크를 암호화하면 키 관리를 더 효율적으로 제어하고 더 유연하게 수행할 수 있습니다. 이는 다양한 규정 및 업계 규정 준수 표준의 공통 요구 사항입니다. 감사, 거부, 사용 안 함 1.0.1
Cognitive Services 계정은 고객 관리형 키를 사용하여 데이터를 암호화하도록 설정해야 함 고객 관리형 키는 일반적으로 규정 준수 표준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 Cognitive Services에 저장된 데이터를 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://go.microsoft.com/fwlink/?linkid=2121321에서 고객 관리형 키에 대해 자세히 알아보세요. 감사, 거부, 사용 안 함 2.1.0
컨테이너 레지스트리는 고객 관리형 키를 사용하여 암호화해야 함 고객 관리형 키를 사용하여 레지스트리 콘텐츠의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/acr/CMK에서 자세히 알아보세요. 감사, 거부, 사용 안 함 1.1.2
Azure Data Explorer에서 디스크 암호화를 사용하도록 설정해야 함 디스크 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 감사, 거부, 사용 안 함 2.0.0
Azure Data Explorer에서 이중 암호화를 사용하도록 설정해야 함 이중 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 이중 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 사용하여 두 번 암호화됩니다(서비스 수준에서 한 번, 인프라 수준에서 한 번). 감사, 거부, 사용 안 함 2.0.0
Service Fabric 클러스터는 ClusterProtectionLevel 속성을 EncryptAndSign으로 설정해야 함 Service Fabric은 기본 클러스터 인증서를 사용하여 노드 간 통신을 위한 3단계 보호(None, Sign 및 EncryptAndSign)를 제공합니다. 모든 노드 간 메시지가 암호화되고 디지털로 서명될 수 있게 보호 수준을 설정합니다. 감사, 거부, 사용 안 함 1.1.0
SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통한 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. 감사, 거부, 사용 안 함 2.0.0
SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통해 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. 감사, 거부, 사용 안 함 2.0.1
스토리지 계정에는 인프라 암호화가 있어야 함 데이터의 보안 수준을 높이기 위한 인프라 암호화를 사용하도록 설정합니다. 인프라 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 번 암호화됩니다. 감사, 거부, 사용 안 함 1.0.0
스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 고객 관리형 키를 사용하여 유연성이 뛰어난 Blob 및 파일 스토리지 계정을 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. 감사, 사용 안 함 1.0.3
SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다. 저장 데이터를 보호하고 규정 준수 요구 사항을 충족하려면 투명한 데이터 암호화를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. 임시 디스크, 데이터 캐시 및 컴퓨팅과 스토리지 간의 데이터 흐름은 암호화되지 않습니다. 다음과 같은 경우 이 권장 사항을 무시합니다. 1. 호스트에서 암호화를 사용하는 경우 또는 2. Managed Disks의 서버 쪽 암호화는 보안 요구 사항을 충족합니다. Azure Disk Storage: https://aka.ms/disksse, 다양한 디스크 암호화 제품: https://aka.ms/diskencryptioncomparison의 서버 쪽 암호화에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 2.0.3

조직 시스템 내에서 효과적인 정보 보안을 강화하는 아키텍처 설계, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 적용합니다.

ID: CMMC L3 SC.3.180 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
서브넷을 네트워크 보안 그룹과 연결해야 합니다. NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. AuditIfNotExists, 사용 안 함 3.0.0

사용자 기능과 시스템 관리 기능을 분리합니다.

ID: CMMC L3 SC.3.181 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
구독에 최대 3명의 소유자를 지정해야 합니다. 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 3.0.0
SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
구독에 둘 이상의 소유자를 할당해야 합니다. 관리자 액세스 중복성을 유지하려면 둘 이상의 구독 소유자를 지정하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 3.0.0

네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용).

ID: CMMC L3 SC.3.183 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. AuditIfNotExists, 사용 안 함 3.0.0
App Service 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 CORS(원본 간 리소스 공유)는 앱에 액세스하는 모든 도메인을 허용해서는 안 됩니다. 필요한 도메인만 앱과 상호 작용하도록 허용합니다. AuditIfNotExists, 사용 안 함 2.0.0
Azure AI Services 리소스는 네트워크 액세스를 제한해야 합니다. 네트워크 액세스를 제한하여 허용된 네트워크만 서비스에 액세스할 수 있도록 할 수 있습니다. 허용된 네트워크의 애플리케이션만 Azure AI 서비스에 액세스할 수 있도록 네트워크 규칙을 구성하여 이 작업을 수행할 수 있습니다. 감사, 거부, 사용 안 함 3.2.0
Azure Front Door 진입점에 대해 Azure Web Application Firewall을 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 1.0.2
Cognitive Services 계정은 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 Cognitive Services 계정의 보안을 개선하려면 퍼블릭 인터넷에 노출되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://go.microsoft.com/fwlink/?linkid=2129800에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. 감사, 거부, 사용 안 함 3.0.1
컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 기본적으로 Azure Container Registry는 모든 네트워크에 있는 호스트로부터의 인터넷 연결을 수락합니다. 잠재적인 위협으로부터 레지스트리를 보호하려면 특정 프라이빗 엔드포인트, 공용 IP 주소 또는 주소 범위에서만 액세스를 허용합니다. 레지스트리에 네트워크 규칙이 구성되어 있지 않으면 비정상 리소스에 나타납니다. Container Registry 네트워크 규칙에 대한 자세한 내용은 https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-networkhttps://aka.ms/acr/vnet을 참조하세요. 감사, 거부, 사용 안 함 2.0.0
모든 네트워크 보안 그룹에 대해 흐름 로그를 구성해야 함 네트워크 보안 그룹을 감사하여 흐름 로그가 구성되어 있는지 확인합니다. 흐름 로그를 사용하면 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. 감사, 사용 안 함 1.1.0
함수 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 CORS(교차 원본 리소스 공유)는 함수 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. AuditIfNotExists, 사용 안 함 2.0.0
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.0.0
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0
네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 AuditIfNotExists, 사용 안 함 3.0.0
Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 감사, 거부, 사용 안 함 1.1.0
스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 스토리지 계정과 상호 작용하는 일부 Microsoft 서비스는 네트워크 규칙을 통해 액세스 권한을 부여할 수 없는 네트워크에서 작동합니다. 이러한 유형의 서비스가 의도한 대로 작동하도록 하려면 신뢰할 수 있는 Microsoft 서비스 세트에서 네트워크 규칙을 무시하도록 허용합니다. 그러면 이러한 서비스에서 강력한 인증을 사용하여 스토리지 계정에 액세스합니다. 감사, 거부, 사용 안 함 1.0.0
스토리지 계정은 네트워크 액세스를 제한해야 함 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. 감사, 거부, 사용 안 함 1.1.1
서브넷을 네트워크 보안 그룹과 연결해야 합니다. NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. AuditIfNotExists, 사용 안 함 3.0.0
Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 2.0.0
WAF(웹 애플리케이션 방화벽)는 Application Gateway에 지정된 모드를 사용해야 함 Application Gateway에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. 감사, 거부, 사용 안 함 1.0.0
WAF(웹 애플리케이션 방화벽)는 Azure Front Door Service에 지정된 모드를 사용해야 함 Azure Front Door Service에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. 감사, 거부, 사용 안 함 1.0.0

암호화 메커니즘을 구현하여 대체 물리적 보호로 보호되는 경우를 제외하고 전송 중에는 CUI의 무단 공개를 방지합니다.

ID: CMMC L3 SC.3.185 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. 감사, 사용 안 함, 거부 4.0.0
App Service 앱은 최신 TLS 버전을 사용해야 함 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. AuditIfNotExists, 사용 안 함 2.0.1
MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. MySQL용 Azure Database는 SSL(Secure Sockets Layer)을 사용한 MySQL용 Azure Database 서버와 클라이언트 애플리케이션 간 연결을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. 감사, 사용 안 함 1.0.1
PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결하는 것을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. 감사, 사용 안 함 1.0.1
함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. 감사, 사용 안 함, 거부 5.0.0
함수 앱은 최신 TLS 버전을 사용해야 함 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. AuditIfNotExists, 사용 안 함 2.0.1
Azure Cache for Redis에 보안 연결만 사용하도록 설정해야 함 SSL을 통해 설정된 Azure Cache for Redis 연결만 감사 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. 감사, 거부, 사용 안 함 1.0.0
스토리지 계정에 보안 전송을 사용하도록 설정해야 함 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. 감사, 거부, 사용 안 함 2.0.0
스토리지 계정은 네트워크 액세스를 제한해야 함 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. 감사, 거부, 사용 안 함 1.1.1

조직 시스템에서 사용되는 암호화에 대한 암호화 키를 설정하고 관리합니다.

ID: CMMC L3 SC.3.187 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
키 자격 증명 모음에서는 삭제 방지를 사용하도록 설정해야 함 키 자격 증명 모음을 악의적으로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 제거 방지 및 일시 삭제를 사용하도록 설정하여 영구적인 데이터 손실을 방지할 수 있습니다. 제거 보호는 일시 삭제된 키 자격 증명 모음에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 키 자격 증명 모음을 제거할 수 없습니다. 2019년 9월 1일 이후에 만든 키 자격 증명 모음은 기본적으로 일시 삭제를 사용하도록 설정되어 있습니다. 감사, 거부, 사용 안 함 2.1.0
키 자격 증명 모음에 일시 삭제를 사용하도록 설정해야 함 일시 삭제를 사용하지 않고 키 자격 증명 모음을 삭제하면 키 자격 증명 모음에 저장된 모든 비밀, 키 및 인증서가 영구적으로 삭제됩니다. 키 자격 증명 모음을 실수로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 일시 삭제를 사용하면 실수로 삭제된 키 자격 증명 모음을 구성 가능한 보존 기간 동안 복구할 수 있습니다. 감사, 거부, 사용 안 함 3.0.0

통신 세션의 신뢰성을 보호합니다.

ID: CMMC L3 SC.3.190 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 1.0.0
App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. 감사, 사용 안 함, 거부 4.0.0
App Service 앱은 최신 TLS 버전을 사용해야 함 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. AuditIfNotExists, 사용 안 함 2.0.1
MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. MySQL용 Azure Database는 SSL(Secure Sockets Layer)을 사용한 MySQL용 Azure Database 서버와 클라이언트 애플리케이션 간 연결을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. 감사, 사용 안 함 1.0.1
PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결하는 것을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. 감사, 사용 안 함 1.0.1
함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. 감사, 사용 안 함, 거부 5.0.0
함수 앱은 최신 TLS 버전을 사용해야 함 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. AuditIfNotExists, 사용 안 함 2.0.1

휴지 상태의 CUI 비밀을 보호합니다.

ID: CMMC L3 SC.3.191 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Automation 계정 변수를 암호화해야 함 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. 감사, 거부, 사용 안 함 1.1.0
Azure Data Box 작업에서 디바이스의 미사용 데이터에 대한 이중 암호화를 사용하도록 설정해야 함 디바이스의 미사용 데이터에 대해 소프트웨어 기반 암호화의 두 번째 계층을 사용하도록 설정합니다. 디바이스는 미사용 데이터에 대해 Advanced Encryption Standard 256비트 암호화를 통해 이미 보호되고 있습니다. 이 옵션은 데이터 암호화의 두 번째 계층을 추가합니다. 감사, 거부, 사용 안 함 1.0.0
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security 없이 SQL 서버 감사 AuditIfNotExists, 사용 안 함 2.0.1
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.2
Azure Data Explorer에서 디스크 암호화를 사용하도록 설정해야 함 디스크 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 감사, 거부, 사용 안 함 2.0.0
Azure Data Explorer에서 이중 암호화를 사용하도록 설정해야 함 이중 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 이중 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 사용하여 두 번 암호화됩니다(서비스 수준에서 한 번, 인프라 수준에서 한 번). 감사, 거부, 사용 안 함 2.0.0
Service Fabric 클러스터는 ClusterProtectionLevel 속성을 EncryptAndSign으로 설정해야 함 Service Fabric은 기본 클러스터 인증서를 사용하여 노드 간 통신을 위한 3단계 보호(None, Sign 및 EncryptAndSign)를 제공합니다. 모든 노드 간 메시지가 암호화되고 디지털로 서명될 수 있게 보호 수준을 설정합니다. 감사, 거부, 사용 안 함 1.1.0
스토리지 계정에는 인프라 암호화가 있어야 함 데이터의 보안 수준을 높이기 위한 인프라 암호화를 사용하도록 설정합니다. 인프라 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 번 암호화됩니다. 감사, 거부, 사용 안 함 1.0.0
스토리지 계정은 네트워크 액세스를 제한해야 함 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. 감사, 거부, 사용 안 함 1.1.1
SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다. 저장 데이터를 보호하고 규정 준수 요구 사항을 충족하려면 투명한 데이터 암호화를 사용하도록 설정해야 합니다. AuditIfNotExists, 사용 안 함 2.0.0
가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. 임시 디스크, 데이터 캐시 및 컴퓨팅과 스토리지 간의 데이터 흐름은 암호화되지 않습니다. 다음과 같은 경우 이 권장 사항을 무시합니다. 1. 호스트에서 암호화를 사용하는 경우 또는 2. Managed Disks의 서버 쪽 암호화는 보안 요구 사항을 충족합니다. Azure Disk Storage: https://aka.ms/disksse, 다양한 디스크 암호화 제품: https://aka.ms/diskencryptioncomparison의 서버 쪽 암호화에 대해 알아봅니다. AuditIfNotExists, 사용 안 함 2.0.3

시스템 및 정보 무결성

정보 및 정보 시스템 결함을 적시에 식별, 보고 및 수정합니다.

ID: CMMC L3 SI.1.210 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
App Service 앱은 최신 'HTTP 버전'을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 4.0.0
App Service 앱은 최신 TLS 버전을 사용해야 함 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. AuditIfNotExists, 사용 안 함 2.0.1
함수 앱은 최신 'HTTP 버전'을 사용해야 함 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. AuditIfNotExists, 사용 안 함 4.0.0
함수 앱은 최신 TLS 버전을 사용해야 함 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. AuditIfNotExists, 사용 안 함 2.0.1
Kubernetes Services를 취약하지 않은 Kubernetes 버전으로 업그레이드해야 함 현재 Kubernetes 버전의 알려진 취약성으로부터 보호하려면 Kubernetes 서비스 클러스터를 최신 Kubernetes 버전으로 업그레이드하세요. 취약성 CVE-2019-9946이 Kubernetes 버전 1.11.9+, 1.12.7+, 1.13.5+ 및 1.14.0+에서 패치되었습니다. 감사, 사용 안 함 1.0.2
보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 이 정책은 Microsoft Antimalware 보호 서명의 자동 업데이트로 구성되지 않은 Windows 가상 머신을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
SQL 데이터베이스가 발견한 취약성을 해결해야 함 취약성 평가 검사 결과 및 데이터베이스 취약성을 수정하는 방법에 관한 권장 사항을 모니터링합니다. AuditIfNotExists, 사용 안 함 4.1.0
가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다. Windows 및 Linux 가상 머신 확장 집합의 보안을 유지하기 위해 설치해야 하는 누락된 시스템 보안 업데이트 및 중요 업데이트가 있는지 감사합니다. AuditIfNotExists, 사용 안 함 3.0.0
시스템 업데이트를 머신에 설치해야 합니다. 서버의 누락된 보안 시스템 업데이트는 Azure Security Center에서 권장 사항으로 모니터링합니다. AuditIfNotExists, 사용 안 함 3.0.0
머신 보안 구성의 취약성을 수정해야 합니다. 구성된 기준을 충족하지 않는 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.1.0
가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. 가상 머신 확장 집합의 OS 취약성을 감사하여 공격으로부터 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0

조직 정보 시스템 내의 적절한 위치에서 악성 코드로부터 보호합니다.

ID: CMMC L3 SI.1.211 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. 가상 머신 확장 집합에서 엔드포인트 보호 솔루션의 존재 및 상태를 감사하여 위협 및 취약성으로부터 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0
보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 이 정책은 Microsoft Antimalware 보호 서명의 자동 업데이트로 구성되지 않은 Windows 가상 머신을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
Microsoft IaaSAntimalware 확장을 Windows Server에 배포해야 함 이 정책은 Microsoft IaaSAntimalware 확장이 배포되지 않은 Windows Server VM을 감사합니다. AuditIfNotExists, 사용 안 함 1.1.0
Azure Security Center에서 누락된 Endpoint Protection 모니터링 Endpoint Protection 에이전트가 설치되어 있지 않은 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.1.0

새 릴리스를 사용할 수 있는 경우 악성 코드 방지 메커니즘을 업데이트합니다.

ID: CMMC L3 SI.1.212 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 이 정책은 Microsoft Antimalware 보호 서명의 자동 업데이트로 구성되지 않은 Windows 가상 머신을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0

파일을 다운로드하거나 열거나 실행할 때 정보 시스템을 정기적으로 검사하고 외부 원본의 파일을 실시간으로 검사합니다.

ID: CMMC L3 SI.1.213 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
서버용 Azure Defender를 사용하도록 설정해야 함 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. AuditIfNotExists, 사용 안 함 1.0.3
보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 이 정책은 Microsoft Antimalware 보호 서명의 자동 업데이트로 구성되지 않은 Windows 가상 머신을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. AuditIfNotExists, 사용 안 함 1.0.4
Microsoft IaaSAntimalware 확장을 Windows Server에 배포해야 함 이 정책은 Microsoft IaaSAntimalware 확장이 배포되지 않은 Windows Server VM을 감사합니다. AuditIfNotExists, 사용 안 함 1.1.0
Azure Security Center에서 누락된 Endpoint Protection 모니터링 Endpoint Protection 에이전트가 설치되어 있지 않은 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. AuditIfNotExists, 사용 안 함 3.1.0

인바운드 및 아웃바운드 통신 트래픽을 비롯한 조직 시스템을 모니터링하여 공격 및 잠재적인 공격의 지표를 감지합니다.

ID: CMMC L3 SI.2.216 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
특정 관리 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
특정 정책 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. AuditIfNotExists, 사용 안 함 3.0.0
특정 보안 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. AuditIfNotExists, 사용 안 함 1.0.2
서버용 Azure Defender를 사용하도록 설정해야 함 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. AuditIfNotExists, 사용 안 함 1.0.3
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security 없이 SQL 서버 감사 AuditIfNotExists, 사용 안 함 2.0.1
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.2
Azure Monitor는 모든 지역의 활동 로그를 수집해야 합니다. 이 정책은 글로벌 지역을 포함하여 모든 Azure 지원 지역에서 활동을 내보내지 않는 Azure Monitor 로그 프로필을 감사합니다. AuditIfNotExists, 사용 안 함 2.0.0
Azure 구독에는 활동 로그에 대한 로그 프로필이 있어야 합니다. 이 정책은 로그 프로필이 활동 로그를 내보낼 수 있는지 확인합니다. 로그를 스토리지 계정 또는 이벤트 허브로 내보내기 위해 생성된 로그 프로필이 없는지 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure Front Door 진입점에 대해 Azure Web Application Firewall을 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 1.0.2
심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. AuditIfNotExists, 사용 안 함 2.0.0
모든 네트워크 보안 그룹에 대해 흐름 로그를 구성해야 함 네트워크 보안 그룹을 감사하여 흐름 로그가 구성되어 있는지 확인합니다. 흐름 로그를 사용하면 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. 감사, 사용 안 함 1.1.0
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. AuditIfNotExists, 사용 안 함 1.0.0
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. AuditIfNotExists, 사용 안 함 1.0.4
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0
구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. AuditIfNotExists, 사용 안 함 1.0.1
Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 2.0.0
WAF(웹 애플리케이션 방화벽)는 Application Gateway에 지정된 모드를 사용해야 함 Application Gateway에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. 감사, 거부, 사용 안 함 1.0.0
WAF(웹 애플리케이션 방화벽)는 Azure Front Door Service에 지정된 모드를 사용해야 함 Azure Front Door Service에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. 감사, 거부, 사용 안 함 1.0.0

조직 시스템의 무단 사용을 식별합니다.

ID: CMMC L3 SI.2.217 소유권: 공유

이름
(Azure Portal)
설명 효과 버전
(GitHub)
활동 로그는 1년 이상 보존되어야 합니다. 이 정책은 보존이 365일 또는 계속(보존 기간이 0으로 설정)으로 설정되지 않은 경우 활동 로그를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
특정 관리 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 관리 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
특정 정책 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 정책 작업을 감사합니다. AuditIfNotExists, 사용 안 함 3.0.0
특정 보안 작업의 활동 로그 경고가 있어야 합니다. 이 정책은 활동 로그 경고가 구성되지 않은 특정 보안 작업을 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security 없이 SQL 서버 감사 AuditIfNotExists, 사용 안 함 2.0.1
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.2
Azure Monitor 로그 프로필은 'write'(쓰기), 'delete'(삭제) 및 'action'(작업) 범주에 대한 로그를 수집해야 합니다. 이 정책을 사용하면 로그 프로필이 '쓰기,' '삭제' 및 '작업' 범주에 대한 로그를 수집합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure Monitor는 모든 지역의 활동 로그를 수집해야 합니다. 이 정책은 글로벌 지역을 포함하여 모든 Azure 지원 지역에서 활동을 내보내지 않는 Azure Monitor 로그 프로필을 감사합니다. AuditIfNotExists, 사용 안 함 2.0.0
Azure 구독에는 활동 로그에 대한 로그 프로필이 있어야 합니다. 이 정책은 로그 프로필이 활동 로그를 내보낼 수 있는지 확인합니다. 로그를 스토리지 계정 또는 이벤트 허브로 내보내기 위해 생성된 로그 프로필이 없는지 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. AuditIfNotExists, 사용 안 함 2.0.0
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0

다음 단계

Azure Policy에 대한 추가 문서: