NIST SP 800-53 개정 4(Azure Government) 규정 준수 기본 제공 이니셔티브의 세부 정보
다음 문서에서는 Azure Policy 규정 준수 기본 제공 이니셔티브 정의가 NIST SP 800-53 개정 4(Azure Government)에서 규정 준수 도메인 및 컨트롤에 매핑되는 방법을 자세히 설명합니다. 이 규정 준수 표준에 관한 자세한 내용은 NIST SP 800-53 개정 4를 참조하세요. 소유권을 이해하려면 정책 유형과 클라우드에서의 공동 책임을 검토합니다.
다음은 NIST SP 800-53 개정 4 컨트롤에 대한 매핑입니다. 여러 컨트롤이 Azure Policy 이니셔티브 정의를 사용하여 구현됩니다. 전체 이니셔티브 정의를 검토하려면 Azure Portal에서 정책을 열고 정의 페이지를 선택합니다. 그런 다음, NIST SP 800-53 Rev. 4 규정 준수 기본 제공 이니셔티브 정의를 찾아서 선택합니다.
Important
아래의 각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 컨트롤을 사용한 규정 준수 평가에 도움이 될 수 있지만, 컨트롤과 하나 이상의 정책 간에 일대일 또는 완벽한 일치 관계가 없는 경우도 많습니다. 따라서 Azure Policy의 규정 준수는 정책 정의 자체만 가리킬 뿐, 컨트롤의 모든 요구 사항을 완벽하게 준수한다는 것은 아닙니다. 또한 규정 준수 표준에는 현재 Azure Policy 정의에서 처리되지 않은 컨트롤이 포함되어 있습니다. 따라서 Azure Policy의 규정 준수는 전반적인 규정 준수 상태를 부분적으로 표시할 뿐입니다. 이 규정 준수 표준에 대한 규정 준수 도메인, 컨트롤, Azure Policy 정의 간의 연결은 시간이 지나면 변경될 수 있습니다. 변경 기록을 보려면 GitHub 커밋 기록을 참조하세요.
액세스 제어
액세스 제어 정책 및 절차
ID: NIST SP 800-53 Rev. 4 AC-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1000 - Access Control 정책 및 프로시저 요구 사항 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1001 - Access Control 정책 및 프로시저 요구 사항 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
계정 관리
ID: NIST SP 800-53 Rev. 4 AC-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
구독에 최대 3명의 소유자를 지정해야 합니다. | 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. | SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
App Service 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
사용자 지정 RBAC 역할의 사용량 감사 | 오류가 발생하기 쉬운 사용자 지정 RBAC 역할 대신 '소유자, 기여자, 읽기 권한자' 같은 기본 제공 역할을 감사합니다. 사용자 지정 역할 사용은 예외로 처리되며 엄격한 검토 및 위협 모델링이 필요합니다. | 감사, 사용 안 함 | 1.0.1 |
Azure AI 서비스 리소스에는 키 액세스가 사용하지 않도록 설정되어야 함(로컬 인증 사용하지 않도록 설정) | 보안을 위해 키 액세스(로컬 인증)를 사용하지 않도록 설정하는 것이 좋습니다. 일반적으로 개발/테스트에 사용되는 Azure OpenAI Studio에는 키 액세스가 필요하며 키 액세스가 사용하지 않도록 설정되면 작동하지 않습니다. 사용하지 않도록 설정한 후에는 Microsoft Entra ID가 유일한 액세스 방법이 되어 최소 권한 원칙을 유지하고 세부적인 제어를 허용합니다. https://aka.ms/AI/auth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 | 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 | 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
함수 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Microsoft 관리형 컨트롤 1002 - 계정 관리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1003 - 계정 관리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1004 - 계정 관리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1005 - 계정 관리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1006 - 계정 관리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1007 - 계정 관리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1008 - 계정 관리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1009 - 계정 관리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1010 - 계정 관리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1011 - 계정 관리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1012 - 계정 관리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Service Fabric 클러스터는 클라이언트 인증에 대해서만 Azure Active Directory를 사용해야 함 | Service Fabric에서 Azure Active Directory를 통한 클라이언트 인증의 사용만 감사 | 감사, 거부, 사용 안 함 | 1.1.0 |
자동화된 시스템 계정 관리
ID: NIST SP 800-53 Rev. 4 AC-2(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. | SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure AI 서비스 리소스에는 키 액세스가 사용하지 않도록 설정되어야 함(로컬 인증 사용하지 않도록 설정) | 보안을 위해 키 액세스(로컬 인증)를 사용하지 않도록 설정하는 것이 좋습니다. 일반적으로 개발/테스트에 사용되는 Azure OpenAI Studio에는 키 액세스가 필요하며 키 액세스가 사용하지 않도록 설정되면 작동하지 않습니다. 사용하지 않도록 설정한 후에는 Microsoft Entra ID가 유일한 액세스 방법이 되어 최소 권한 원칙을 유지하고 세부적인 제어를 허용합니다. https://aka.ms/AI/auth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Microsoft 관리형 컨트롤 1013 - 계정 관리| 자동화된 시스템 계정 관리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Service Fabric 클러스터는 클라이언트 인증에 대해서만 Azure Active Directory를 사용해야 함 | Service Fabric에서 Azure Active Directory를 통한 클라이언트 인증의 사용만 감사 | 감사, 거부, 사용 안 함 | 1.1.0 |
임시/비상 계정 제거
ID: NIST SP 800-53 Rev. 4 AC-2 (2) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1014 - 계정 관리| 임시/비상용 계정 제거 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
비활성 계정 사용 안 함
ID: NIST SP 800-53 Rev. 4 AC-2(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1015 - 계정 관리 | 비활성 계정 사용 안 함 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
자동화된 감사 작업
ID: NIST SP 800-53 Rev. 4 AC-2(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1016 - 계정 관리 | 자동화된 감사 작업 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
비활성화 로그아웃
ID: NIST SP 800-53 Rev. 4 AC-2(5) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1017 - 계정 관리 | 비활성 로그아웃 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
역할 기반 체계
ID: NIST SP 800-53 Rev. 4 AC-2(7) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. | SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
사용자 지정 RBAC 역할의 사용량 감사 | 오류가 발생하기 쉬운 사용자 지정 RBAC 역할 대신 '소유자, 기여자, 읽기 권한자' 같은 기본 제공 역할을 감사합니다. 사용자 지정 역할 사용은 예외로 처리되며 엄격한 검토 및 위협 모델링이 필요합니다. | 감사, 사용 안 함 | 1.0.1 |
Azure AI 서비스 리소스에는 키 액세스가 사용하지 않도록 설정되어야 함(로컬 인증 사용하지 않도록 설정) | 보안을 위해 키 액세스(로컬 인증)를 사용하지 않도록 설정하는 것이 좋습니다. 일반적으로 개발/테스트에 사용되는 Azure OpenAI Studio에는 키 액세스가 필요하며 키 액세스가 사용하지 않도록 설정되면 작동하지 않습니다. 사용하지 않도록 설정한 후에는 Microsoft Entra ID가 유일한 액세스 방법이 되어 최소 권한 원칙을 유지하고 세부적인 제어를 허용합니다. https://aka.ms/AI/auth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Microsoft 관리형 컨트롤 1018 - 계정 관리 | 역할 기반 스키마 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1019 - 계정 관리 | 역할 기반 스키마 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1020 - 계정 관리 | 역할 기반 스키마 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Service Fabric 클러스터는 클라이언트 인증에 대해서만 Azure Active Directory를 사용해야 함 | Service Fabric에서 Azure Active Directory를 통한 클라이언트 인증의 사용만 감사 | 감사, 거부, 사용 안 함 | 1.1.0 |
공유 그룹/계정 사용에 대한 제한 사항
ID: NIST SP 800-53 Rev. 4 AC-2(9) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1021 - 계정 관리 | 공유/그룹 계정 사용에 대한 제한 사항 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
공유/그룹 계정 자격 증명 종료
ID: NIST SP 800-53 Rev. 4 AC-2(10) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1022 - 계정 관리| 공유/그룹 계정 자격 증명 종료 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
사용 조건
ID: NIST SP 800-53 Rev. 4 AC-2(11) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1023 - 계정 관리| 사용 조건 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
계정 모니터링/비정상적 사용량
ID: NIST SP 800-53 Rev. 4 AC-2(12) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[미리 보기]: Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender의 확장이 설치되어 있어야 함 | Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 4.0.1-preview |
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
Microsoft 관리형 컨트롤 1024 - 계정 관리 | 계정 모니터링/비정상적 사용 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1025 - 계정 관리 | 계정 모니터링/비정상적 사용 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
위험 수준이 높은 개인 계정 사용 안 함
ID: NIST SP 800-53 Rev. 4 AC-2(13) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1026 - 계정 관리 | 위험도가 높은 개인 계정을 사용하지 않도록 설정 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
액세스 적용
ID: NIST SP 800-53 Rev. 4 AC-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. | SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
App Service 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
암호가 없는 계정이 있는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호가 없는 계정이 있는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.4.0 |
Azure AI 서비스 리소스에는 키 액세스가 사용하지 않도록 설정되어야 함(로컬 인증 사용하지 않도록 설정) | 보안을 위해 키 액세스(로컬 인증)를 사용하지 않도록 설정하는 것이 좋습니다. 일반적으로 개발/테스트에 사용되는 Azure OpenAI Studio에는 키 액세스가 필요하며 키 액세스가 사용하지 않도록 설정되면 작동하지 않습니다. 사용하지 않도록 설정한 후에는 Microsoft Entra ID가 유일한 액세스 방법이 되어 최소 권한 원칙을 유지하고 세부적인 제어를 허용합니다. https://aka.ms/AI/auth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Linux 가상 머신에 Linux 게스트 구성 확장을 배포합니다. Linux 게스트 구성 확장은 모든 Linux 게스트 구성 할당의 필수 조건이며 Linux 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.4.0 |
함수 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Microsoft 관리형 컨트롤 1027 - 액세스 적용 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Service Fabric 클러스터는 클라이언트 인증에 대해서만 Azure Active Directory를 사용해야 함 | Service Fabric에서 Azure Active Directory를 통한 클라이언트 인증의 사용만 감사 | 감사, 거부, 사용 안 함 | 1.1.0 |
스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 스토리지 계정에 새로운 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 Key Vault에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 가상 머신에 새 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 키 자격 증명 모음에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
역할 기반 액세스 제어
ID: NIST SP 800-53 Rev. 4 AC-3(7) 소유권: 고객
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Kubernetes Services에서 RBAC(역할 기반 액세스 제어)를 사용해야 함 | 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. | 감사, 사용 안 함 | 1.0.4 |
정보 흐름 적용
ID: NIST SP 800-53 Rev. 4 AC-4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[사용되지 않음]: Azure Cognitive Search 서비스에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Cognitive Search에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1-deprecated |
[사용되지 않음]: Cognitive Services에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Cognitive Services에 매핑하면 데이터 유출 가능성이 줄어듭니다. https://go.microsoft.com/fwlink/?linkid=2129800에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 3.0.1-deprecated |
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
API Management 서비스에서 가상 네트워크를 사용해야 함 | Azure Virtual Network 배포는 향상된 보안, 격리를 제공하며, 액세스를 제어하는 인터넷 라우팅이 불가능한 네트워크에 API Management 서비스를 배치할 수 있습니다. 그런 다음, 다양한 VPN 기술을 사용하여 이러한 네트워크를 온-프레미스 네트워크에 연결할 수 있으며, 이를 통해 네트워크 및/또는 온-프레미스 내에서 백 엔드 서비스에 액세스할 수 있습니다. 개발자 포털 및 API 게이트웨이를 인터넷에서 또는 가상 네트워크 내에서만 액세스할 수 있게 구성할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
App Configuration은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 앱 구성 인스턴스에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/appconfig/private-endpoint에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
App Service 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 | CORS(원본 간 리소스 공유)는 앱에 액세스하는 모든 도메인을 허용해서는 안 됩니다. 필요한 도메인만 앱과 상호 작용하도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
권한 있는 IP 범위는 Kubernetes Services에 정의되어야 함 | 특정 범위의 IP 주소에만 API 액세스 권한을 부여하여 Kubernetes Service Management API에 대한 액세스를 제한합니다. 허용된 네트워크의 애플리케이션만 클러스터에 액세스할 수 있도록 인증된 IP 범위에 대한 액세스를 제한하는 것이 좋습니다. | 감사, 사용 안 함 | 2.0.0 |
Azure AI 서비스 리소스는 네트워크 액세스를 제한해야 함 | 네트워크 액세스를 제한하면 허용된 네트워크만 서비스에 액세스할 수 있도록 할 수 있습니다. 이는 허용된 네트워크의 애플리케이션만 Azure AI 서비스에 액세스할 수 있도록 네트워크 규칙을 구성하여 달성할 수 있습니다. | 감사, 거부, 사용 안 함 | 3.2.0 |
Azure Cache for Redis는 프라이빗 링크를 사용해야 함 | 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 Azure Cache for Redis 인스턴스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Cognitive Search 서비스는 프라이빗 링크를 지원하는 SKU를 사용해야 함 | Azure Cognitive Search의 지원되는 SKU를 통해 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Search Service에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Cognitive Search 서비스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Cognitive Search 서비스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 Search Service의 노출을 제한할 수 있습니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Cosmos DB 계정에 방화벽 규칙이 있어야 함 | 권한 없는 원본의 트래픽을 방지하기 위해 Azure Cosmos DB 계정에 방화벽 규칙을 정의해야 합니다. 가상 네트워크 필터를 사용하도록 정의된 IP 규칙이 하나 이상 있는 계정은 규정을 준수하는 것으로 간주됩니다. 퍼블릭 액세스를 비활성화한 계정도 규정을 준수하는 것으로 간주됩니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
Azure Data Factory는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Data Factory에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/data-factory/data-factory-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Event Grid 도메인은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 도메인에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.2 |
Azure Event Grid 토픽은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 토픽에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.2 |
Azure 파일 동기화는 프라이빗 링크를 사용해야 함 | 표시된 Storage Sync Service 리소스의 프라이빗 엔드포인트를 만들면 인터넷에서 액세스할 수 있는 퍼블릭 엔드포인트를 사용하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스를 처리할 수 있습니다. 프라이빗 엔드포인트를 자체적으로 만든다고 해서 퍼블릭 엔드포인트가 비활성화되지 않습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Key Vault에는 방화벽이 활성화되어 있어야 합니다. | 키 자격 증명 모음이 기본적으로 공용 IP에 액세스할 수 없도록 키 자격 증명 모음 방화벽을 사용하도록 설정합니다. 필요에 따라, 특정 IP 범위를 구성하여 해당 네트워크에 대한 액세스를 제한할 수 있습니다. https://docs.microsoft.com/azure/key-vault/general/network-security에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.4.1 |
Azure Machine Learning 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Machine Learning 작업 영역에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Azure Service Bus 네임스페이스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Service Bus 네임스페이스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure SignalR Service는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 전체 서비스가 아닌 Azure SignalR Service 리소스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/asrs/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Azure Synapse 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Synapse 작업 영역에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 | 기본적으로 Azure Container Registry는 모든 네트워크에 있는 호스트로부터의 인터넷 연결을 수락합니다. 잠재적인 위협으로부터 레지스트리를 보호하려면 특정 프라이빗 엔드포인트, 공용 IP 주소 또는 주소 범위에서만 액세스를 허용합니다. 레지스트리에 네트워크 규칙이 구성되어 있지 않으면 비정상 리소스에 나타납니다. Container Registry 네트워크 규칙에 대한 자세한 내용은 https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network 및 https://aka.ms/acr/vnet을 참조하세요. | 감사, 거부, 사용 안 함 | 2.0.0 |
컨테이너 레지스트리는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 프라이빗 엔드포인트를 컨테이너 레지스트리에 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/acr/private-link에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
CosmosDB 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 CosmosDB 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 diskAccesses에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/disksprivatelinksdoc에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Event Hub 네임스페이스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Event Hub 네임스페이스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/event-hubs/private-link-service에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
IoT Hub 디바이스 프로비저닝 서비스 인스턴스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 IoT Hub 디바이스 프로비저닝 서비스에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/iotdpsvnet에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
가상 머신에서 관리 포트를 닫아야 합니다. | 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Microsoft 관리형 컨트롤 1028 - 정보 흐름 적용 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure SQL Database에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함 | 프라이빗 엔드포인트 연결은 Azure SQL Database에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. | 감사, 사용 안 함 | 1.1.0 |
Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | IP 기반 필터링 대신 기본 방법으로 가상 네트워크 규칙을 사용하여 잠재적인 위협으로부터 스토리지 계정을 보호합니다. IP 기반 필터링을 사용하지 않도록 설정하면 공용 IP에서 스토리지 계정에 액세스할 수 없습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
스토리지 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/azureprivatelinkoverview에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
서브넷을 네트워크 보안 그룹과 연결해야 합니다. | NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
동적 정보 흐름 제어
ID: NIST SP 800-53 Rev. 4 AC-4(3) 소유권: 고객
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
보안 정책 필터
ID: NIST SP 800-53 Rev. 4 AC-4(8) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1029 - 정보 흐름 적용 | 보안 정책 필터 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
정보 흐름의 물리적/논리적 구분
ID: NIST SP 800-53 Rev. 4 AC-4(21) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1030 - 정보 흐름 적용 | 정보 흐름의 물리적/논리적 분리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
의무 분리
ID: NIST SP 800-53 Rev. 4 AC-5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1031 - 의무 분리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1032 - 의무 분리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1033 - 의무 분리 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
구독에 둘 이상의 소유자를 할당해야 합니다. | 관리자 액세스 중복성을 유지하려면 둘 이상의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
최소 권한
ID: NIST SP 800-53 Rev. 4 AC-6 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
구독에 최대 3명의 소유자를 지정해야 합니다. | 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
사용자 지정 RBAC 역할의 사용량 감사 | 오류가 발생하기 쉬운 사용자 지정 RBAC 역할 대신 '소유자, 기여자, 읽기 권한자' 같은 기본 제공 역할을 감사합니다. 사용자 지정 역할 사용은 예외로 처리되며 엄격한 검토 및 위협 모델링이 필요합니다. | 감사, 사용 안 함 | 1.0.1 |
Microsoft 관리형 컨트롤 1034 - 최소 권한 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
보안 기능에 대한 액세스 권한 부여
ID: NIST SP 800-53 Rev. 4 AC-6 (1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1035 - 최소 권한 | 보안 기능에 대한 액세스 권한 부여 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
비보안 기능을 위한 비권한 액세스
ID: NIST SP 800-53 Rev. 4 AC-6 (2) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1036 - 최소 권한 | 비보안 기능에 대한 권한 없는 액세스 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
권한 명령에 대한 네트워크 액세스
ID: NIST SP 800-53 Rev. 4 AC-6 (3) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1037 - 최소 권한 | 권한 있는 명령에 대한 네트워크 액세스 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
권한 있는 계정
ID: NIST SP 800-53 Rev. 4 AC-6(5) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1038 - 최소 권한 | 권한 있는 계정 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
사용자 권한 검토
ID: NIST SP 800-53 Rev. 4 AC-6(7) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
구독에 최대 3명의 소유자를 지정해야 합니다. | 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
사용자 지정 RBAC 역할의 사용량 감사 | 오류가 발생하기 쉬운 사용자 지정 RBAC 역할 대신 '소유자, 기여자, 읽기 권한자' 같은 기본 제공 역할을 감사합니다. 사용자 지정 역할 사용은 예외로 처리되며 엄격한 검토 및 위협 모델링이 필요합니다. | 감사, 사용 안 함 | 1.0.1 |
Microsoft 관리형 컨트롤 1039 - 최소 권한 | 사용자 권한 검토 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1040 - 최소 권한 | 사용자 권한 검토 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
코드 실행에 대한 권한 수준
ID: NIST SP 800-53 Rev. 4 AC-6(8) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1041 - 최소 권한 | 코드 실행을 위한 권한 수준 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
권한 있는 기능 사용 감사
ID: NIST SP 800-53 Rev. 4 AC-6(9) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1042 - 최소 권한 | 권한 있는 기능 사용 감사 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
권한이 없는 사용자의 권한 있는 기능 실행 금지
ID: NIST SP 800-53 Rev. 4 AC-6 (10) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1043 - 최소 권한 | 권한 없는 사용자가 권한 있는 기능을 실행할 수 없도록 방지 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
실패한 로그온 시도
ID: NIST SP 800-53 Rev. 4 AC-7 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1044 - 실패한 로그온 시도 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1045 - 실패한 로그온 시도 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
모바일 디바이스 제거/초기화
ID: NIST SP 800-53 Rev. 4 AC-7 (2) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1046 - 로그온 시도 실패 | 모바일 디바이스 제거/초기화 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
시스템 사용 알림
ID: NIST SP 800-53 Rev. 4 AC-8 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1047 - 시스템 사용 알림 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1048 - 시스템 사용 알림 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1049 - 시스템 사용 알림 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
동시 세션 제어
ID: NIST SP 800-53 Rev. 4 AC-10 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1050 - 동시 세션 제어 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
세션 잠금
ID: NIST SP 800-53 Rev. 4 AC-11 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1051 - 세션 잠금 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1052 - 세션 잠금 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
패턴 숨기기 디스플레이
ID: NIST SP 800-53 Rev. 4 AC-11 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1053 - 세션 잠금 |패턴 숨기기 표시 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
세션 종료
ID: NIST SP 800-53 Rev. 4 AC-12 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1054 - 세션 종료 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
사용자가 시작한 로그아웃/메시지 표시
ID: NIST SP 800-53 Rev. 4 AC-12(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1055 - 세션 종료|사용자가 시작한 로그아웃/메시지 표시 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1056 - 세션 종료 | 사용자가 시작한 로그아웃/메시지 표시 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
ID 또는 인증 없이 허용되는 작업
ID: NIST SP 800-53 Rev. 4 AC-14 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1057 - ID 또는 인증 없이 허용되는 작업 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1058 - ID 또는 인증 없이 허용되는 작업 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
보안 특성
ID: NIST SP 800-53 Rev. 4 AC-16 소유권: 고객
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
원격 액세스
ID: NIST SP 800-53 Rev. 4 AC-17 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[사용되지 않음]: Azure Cognitive Search 서비스에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Cognitive Search에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1-deprecated |
[사용되지 않음]: Cognitive Services에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Cognitive Services에 매핑하면 데이터 유출 가능성이 줄어듭니다. https://go.microsoft.com/fwlink/?linkid=2129800에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 3.0.1-deprecated |
시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
App Configuration은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 앱 구성 인스턴스에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/appconfig/private-endpoint에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
App Service 앱에 원격 디버깅이 비활성화되어 있어야 함 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.4.0 |
Azure Cache for Redis는 프라이빗 링크를 사용해야 함 | 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 Azure Cache for Redis 인스턴스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Cognitive Search 서비스는 프라이빗 링크를 지원하는 SKU를 사용해야 함 | Azure Cognitive Search의 지원되는 SKU를 통해 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Search Service에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Data Factory는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Data Factory에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/data-factory/data-factory-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Event Grid 도메인은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 도메인에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.2 |
Azure Event Grid 토픽은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 토픽에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.2 |
Azure 파일 동기화는 프라이빗 링크를 사용해야 함 | 표시된 Storage Sync Service 리소스의 프라이빗 엔드포인트를 만들면 인터넷에서 액세스할 수 있는 퍼블릭 엔드포인트를 사용하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스를 처리할 수 있습니다. 프라이빗 엔드포인트를 자체적으로 만든다고 해서 퍼블릭 엔드포인트가 비활성화되지 않습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Machine Learning 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Machine Learning 작업 영역에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Azure Service Bus 네임스페이스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Service Bus 네임스페이스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure SignalR Service는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 전체 서비스가 아닌 Azure SignalR Service 리소스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/asrs/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Azure Synapse 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Synapse 작업 영역에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
컨테이너 레지스트리는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 프라이빗 엔드포인트를 컨테이너 레지스트리에 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/acr/private-link에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
CosmosDB 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 CosmosDB 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Linux 가상 머신에 Linux 게스트 구성 확장을 배포합니다. Linux 게스트 구성 확장은 모든 Linux 게스트 구성 할당의 필수 조건이며 Linux 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.4.0 |
Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.2.0 |
디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 diskAccesses에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/disksprivatelinksdoc에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Event Hub 네임스페이스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Event Hub 네임스페이스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/event-hubs/private-link-service에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
함수 앱에 원격 디버깅이 해제되어 있어야 함 | 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
IoT Hub 디바이스 프로비저닝 서비스 인스턴스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 IoT Hub 디바이스 프로비저닝 서비스에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/iotdpsvnet에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Microsoft 관리형 컨트롤 1059 - 원격 액세스 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1060 - 원격 액세스 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Azure SQL Database에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함 | 프라이빗 엔드포인트 연결은 Azure SQL Database에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. | 감사, 사용 안 함 | 1.1.0 |
스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
스토리지 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/azureprivatelinkoverview에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
자동화된 모니터링/제어
ID: NIST SP 800-53 Rev. 4 AC-17(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[사용되지 않음]: Azure Cognitive Search 서비스에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Cognitive Search에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1-deprecated |
[사용되지 않음]: Cognitive Services에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Cognitive Services에 매핑하면 데이터 유출 가능성이 줄어듭니다. https://go.microsoft.com/fwlink/?linkid=2129800에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 3.0.1-deprecated |
시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
App Configuration은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 앱 구성 인스턴스에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/appconfig/private-endpoint에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
App Service 앱에 원격 디버깅이 비활성화되어 있어야 함 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.4.0 |
Azure Cache for Redis는 프라이빗 링크를 사용해야 함 | 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 Azure Cache for Redis 인스턴스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Cognitive Search 서비스는 프라이빗 링크를 지원하는 SKU를 사용해야 함 | Azure Cognitive Search의 지원되는 SKU를 통해 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Search Service에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Data Factory는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Data Factory에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/data-factory/data-factory-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Event Grid 도메인은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 도메인에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.2 |
Azure Event Grid 토픽은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 토픽에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.2 |
Azure 파일 동기화는 프라이빗 링크를 사용해야 함 | 표시된 Storage Sync Service 리소스의 프라이빗 엔드포인트를 만들면 인터넷에서 액세스할 수 있는 퍼블릭 엔드포인트를 사용하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스를 처리할 수 있습니다. 프라이빗 엔드포인트를 자체적으로 만든다고 해서 퍼블릭 엔드포인트가 비활성화되지 않습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Machine Learning 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Machine Learning 작업 영역에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Azure Service Bus 네임스페이스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Service Bus 네임스페이스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure SignalR Service는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 전체 서비스가 아닌 Azure SignalR Service 리소스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/asrs/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Azure Synapse 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Synapse 작업 영역에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
컨테이너 레지스트리는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 프라이빗 엔드포인트를 컨테이너 레지스트리에 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/acr/private-link에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
CosmosDB 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 CosmosDB 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Linux 가상 머신에 Linux 게스트 구성 확장을 배포합니다. Linux 게스트 구성 확장은 모든 Linux 게스트 구성 할당의 필수 조건이며 Linux 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.4.0 |
Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.2.0 |
디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 diskAccesses에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/disksprivatelinksdoc에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Event Hub 네임스페이스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Event Hub 네임스페이스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/event-hubs/private-link-service에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
함수 앱에 원격 디버깅이 해제되어 있어야 함 | 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
IoT Hub 디바이스 프로비저닝 서비스 인스턴스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 IoT Hub 디바이스 프로비저닝 서비스에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/iotdpsvnet에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Microsoft 관리형 컨트롤 1061 - 원격 액세스 | 자동화된 모니터링/제어 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Azure SQL Database에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함 | 프라이빗 엔드포인트 연결은 Azure SQL Database에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. | 감사, 사용 안 함 | 1.1.0 |
스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
스토리지 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/azureprivatelinkoverview에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
암호화를 사용하여 기밀/무결성 보호
ID: NIST SP 800-53 Rev. 4 AC-17(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1062 - 원격 액세스 | 암호화를 사용하여 기밀성/무결성 보호 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
관리되는 액세스 제어 지점
ID: NIST SP 800-53 Rev. 4 AC-17(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1063 - 원격 액세스 | 관리형 액세스 제어 지점 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
권한 명령/액세스
ID: NIST SP 800-53 Rev. 4 AC-17(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1064 - 원격 액세스 | 권한 있는 명령/액세스 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1065 - 원격 액세스 | 권한 있는 명령/액세스 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
액세스 연결 끊기/사용 안 함
ID: NIST SP 800-53 Rev. 4 AC-17(9) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1066 - 원격 액세스 | 액세스 연결 끊기/사용 안 함 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
무선 액세스
ID: NIST SP 800-53 Rev. 4 AC-18 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1067 - 무선 액세스 제한 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1068 - 무선 액세스 제한 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
인증 및 암호화
ID: NIST SP 800-53 Rev. 4 AC-18(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1069 - 무선 액세스 제한 | 인증 및 암호화 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
무선 네트워킹 사용 안 함
ID: NIST SP 800-53 Rev. 4 AC-18 (3) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1070 - 무선 액세스 제한 | 무선 네트워킹 사용 안 함 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
사용자별 구성 제한
ID: NIST SP 800-53 Rev. 4 AC-18 (4) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1071 - 무선 액세스 제한 | 사용자의 구성 제한 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
안테나/전송 전원 수준
ID: NIST SP 800-53 Rev. 4 AC-18 (5) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1072 - 무선 액세스 제한 | 안테나/송전 수준 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
모바일 디바이스에 대한 액세스 제어
ID: NIST SP 800-53 Rev. 4 AC-19 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1073 - 휴대용 및 모바일 시스템에 대한 Access Control | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1074 - 휴대용 및 모바일 시스템에 대한 Access Control | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
전체 디바이스/컨테이너 기반 암호화
ID: NIST SP 800-53 Rev. 4 AC-19(5) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1075 - 휴대용 및 모바일 시스템용 Access Control | 전체 디바이스/컨테이너 기반 암호화 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
외부 정보 시스템의 사용
ID: NIST SP 800-53 Rev. 4 AC-20 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1076 - 외부 정보 시스템 사용 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1077 - 외부 정보 시스템 사용 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
승인된 사용에 대한 제한
ID: NIST SP 800-53 Rev. 4 AC-20(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1078 - 외부 정보 시스템 사용| 권한 있는 사용에 대한 제한 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1079 - 외부 정보 시스템 사용| 권한 있는 사용에 대한 제한 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
휴대용 스토리지 디바이스
ID: NIST SP 800-53 Rev. 4 AC-20(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1080 - 외부 정보 시스템 사용| 휴대용 스토리지 디바이스 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
정보 공유
ID: NIST SP 800-53 Rev. 4 AC-21 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1081 - 정보 공유 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1082 - 정보 공유 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
공개적으로 액세스할 수 있는 콘텐츠
ID: NIST SP 800-53 Rev. 4 AC-22 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1083 - 공개적으로 액세스할 수 있는 콘텐츠 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1084 - 공개적으로 액세스할 수 있는 콘텐츠 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1085 - 공개적으로 액세스할 수 있는 콘텐츠 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1086 - 공개적으로 액세스할 수 있는 콘텐츠 | Microsoft에서 구현하는 액세스 제어 컨트롤 | 감사 | 1.0.0 |
인식 및 교육
보안 인식 및 교육 정책 및 절차
ID: NIST SP 800-53 Rev. 4 AT-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1087 - 보안 인식과 교육 정책 및 절차 | Microsoft에서 구현하는 인식 및 교육 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1088 - 보안 인식과 교육 정책 및 절차 | Microsoft에서 구현하는 인식 및 교육 컨트롤 | 감사 | 1.0.0 |
보안 인식 교육
ID: NIST SP 800-53 Rev. 4 AT-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1089 - 보안 인식 | Microsoft에서 구현하는 인식 및 교육 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1090 - 보안 인식 | Microsoft에서 구현하는 인식 및 교육 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1091 - 보안 인식 | Microsoft에서 구현하는 인식 및 교육 컨트롤 | 감사 | 1.0.0 |
내부자 위협
ID: NIST SP 800-53 Rev. 4 AT-2(2) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1092 - 보안 인식 | 내부자 위협 | Microsoft에서 구현하는 인식 및 교육 컨트롤 | 감사 | 1.0.0 |
역할 기반 보안 교육
ID: NIST SP 800-53 Rev. 4 AT-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1093 - 역할 기반 보안 교육 | Microsoft에서 구현하는 인식 및 교육 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1094 - 역할 기반 보안 교육 | Microsoft에서 구현하는 인식 및 교육 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1095 - 역할 기반 보안 교육 | Microsoft에서 구현하는 인식 및 교육 컨트롤 | 감사 | 1.0.0 |
실습
ID: NIST SP 800-53 Rev. 4 AT-3(3) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1096 - 역할 기반 보안 교육| 연습 | Microsoft에서 구현하는 인식 및 교육 컨트롤 | 감사 | 1.0.0 |
의심스러운 통신 및 비정상적인 시스템 동작
ID: NIST SP 800-53 Rev. 4 AT-3(4) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1097 - 역할 기반 보안 교육| 의심스러운 통신 및 비정상적인 시스템 동작 | Microsoft에서 구현하는 인식 및 교육 컨트롤 | 감사 | 1.0.0 |
보안 교육 기록
ID: NIST SP 800-53 Rev. 4 AT-4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1098 - 보안 교육 기록 | Microsoft에서 구현하는 인식 및 교육 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1099 - 보안 교육 기록 | Microsoft에서 구현하는 인식 및 교육 컨트롤 | 감사 | 1.0.0 |
감사 및 책임
감사 및 책임 정책 및 절차
ID: NIST SP 800-53 Rev. 4 AU-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1100 - 감사 및 책임 정책과 절차 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1101 - 감사 및 책임 정책과 절차 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
감사 이벤트
ID: NIST SP 800-53 Rev. 4 AU-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1102 - 감사 이벤트 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1103 - 감사 이벤트 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1104 - 감사 이벤트 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1105 - 감사 이벤트 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
검토 및 업데이트
ID: NIST SP 800-53 Rev. 4 AU-2(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1106 - 감사 이벤트 | 검토 및 업데이트 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
감사 레코드의 콘텐츠
ID: NIST SP 800-53 Rev. 4 AU-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1107 - 감사 레코드의 콘텐츠 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
추가 감사 정보
ID: NIST SP 800-53 Rev. 4 AU-3(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1108 - 감사 레코드의 콘텐츠| 추가 감사 정보 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
계획된 감사 기록 내용의 중앙 집중식 관리
ID: NIST SP 800-53 Rev. 4 AU-3 (2) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1109 - 감사 레코드의 콘텐츠 | 계획된 감사 레코드 콘텐츠의 중앙 집중식 관리 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
감사 스토리지 용량
ID: NIST SP 800-53 Rev. 4 AU-4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1110 - 감사 스토리지 용량 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
감사 처리 실패에 대한 응답
ID: NIST SP 800-53 Rev. 4 AU-5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1111 - 감사 처리 실패에 대한 응답 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1112 - 감사 처리 실패에 대한 응답 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
감사 스토리지 용량
ID: NIST SP 800-53 Rev. 4 AU-5 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1113 - 감사 처리 실패에 대한 응답| 감사 스토리지 용량 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
실시간 경고
ID: NIST SP 800-53 Rev. 4 AU-5(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1114 - 감사 처리 실패에 대한 응답| 실시간 경고 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
감사 검토, 분석 및 보고
ID: NIST SP 800-53 Rev. 4 AU-6 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[미리 보기]: Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender의 확장이 설치되어 있어야 함 | Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 4.0.1-preview |
[미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
[미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
Microsoft 관리형 컨트롤 1115 - 감사 검토, 분석 및 보고 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1116 - 감사 검토, 분석 및 보고 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
프로세스 통합
ID: NIST SP 800-53 Rev. 4 AU-6(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1117 - 감사 검토, 분석 및 보고| 프로세스 통합 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
감사 리포지토리 상호 연결
ID: NIST SP 800-53 Rev. 4 AU-6(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1118 - 감사 검토, 분석 및 보고| 감사 리포지토리 상호 연결 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
중앙 검토 및 분석
ID: NIST SP 800-53 Rev. 4 AU-6(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[미리 보기]: Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender의 확장이 설치되어 있어야 함 | Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 4.0.1-preview |
[미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
[미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
App Service 앱에서 리소스 로그가 사용되어야 함 | 앱에서 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. | 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
머신에 게스트 구성 확장을 설치해야 함 | 머신의 게스트 내 설정을 안전하게 구성하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 'Windows Exploit Guard를 사용하도록 설정해야 합니다'와 같은 게스트 내 정책을 사용할 수 있습니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
Microsoft 관리형 컨트롤 1119 - 감사 검토, 분석 및 보고| 중앙 검토 및 분석 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure Data Lake Store에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Azure Stream Analytics에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Batch 계정에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Data Lake Analytics의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Event Hub의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Key Vault에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Logic Apps의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.1.0 |
Search Services에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Service Bus에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
통합/검사 및 모니터링 기능
ID: NIST SP 800-53 Rev. 4 AU-6(5) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[미리 보기]: Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender의 확장이 설치되어 있어야 함 | Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 4.0.1-preview |
[미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
[미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
App Service 앱에서 리소스 로그가 사용되어야 함 | 앱에서 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. | 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
머신에 게스트 구성 확장을 설치해야 함 | 머신의 게스트 내 설정을 안전하게 구성하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 'Windows Exploit Guard를 사용하도록 설정해야 합니다'와 같은 게스트 내 정책을 사용할 수 있습니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
Microsoft 관리형 컨트롤 1120 - 감사 검토, 분석 및 보고| 통합/검사 및 모니터링 기능 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure Data Lake Store에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Azure Stream Analytics에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Batch 계정에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Data Lake Analytics의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Event Hub의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Key Vault에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Logic Apps의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.1.0 |
Search Services에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Service Bus에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
물리적 모니터링과의 상관 관계
ID: NIST SP 800-53 Rev. 4 AU-6 (6) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1121 - 감사 검토, 분석 및 보고| 물리적 모니터링과의 상관 관계 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
허용된 작업
ID: NIST SP 800-53 Rev. 4 AU-6(7) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1122 - 감사 검토, 분석 및 보고| 허용되는 작업 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
감사 수준 조정
ID: NIST SP 800-53 Rev. 4 AU-6(10) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1123 - 감사 검토, 분석 및 보고| 감사 수준 조정 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
감사 감소 및 보고서 생성
ID: NIST SP 800-53 Rev. 4 AU-7 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1124 - 감사 감소 및 보고서 생성 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1125 - 감사 감소 및 보고서 생성 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
자동 프로세스
ID: NIST SP 800-53 Rev. 4 AU-7(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1126 - 감사 감소 및 보고서 생성 | 자동 처리 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
타임스탬프
ID: NIST SP 800-53 Rev. 4 AU-8 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1127 - 타임스탬프 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1128 - 타임스탬프 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
권한 있는 시간 원본과 동기화
ID: NIST SP 800-53 Rev. 4 AU-8(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1129 - 타임스탬프 | 신뢰할 수 있는 시간 원본과의 동기화 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1130 - 타임스탬프 | 신뢰할 수 있는 시간 원본과의 동기화 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
감사 정보 보호
ID: NIST SP 800-53 Rev. 4 AU-9 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1131 - 감사 정보 보호 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
개별 물리적 시스템/구성 요소에 대한 감사 백업
ID: NIST SP 800-53 Rev. 4 AU-9(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1132 - 감사 정보 보호| 개별 물리적 시스템/구성 요소에 대한감사 백업 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
암호화 보호
ID: NIST SP 800-53 Rev. 4 AU-9(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1133 - 감사 정보 보호| 암호화 보호 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
권한 있는 사용자 하위 집합으로 액세스
ID: NIST SP 800-53 Rev. 4 AU-9(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1134 - 감사 정보 보호| 권한 있는 사용자 하위 세트의 액세스 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
부인 방지
ID: NIST SP 800-53 Rev. 4 AU-10 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1135 - 부인 방지 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
감사 레코드 보존
ID: NIST SP 800-53 Rev. 4 AU-11 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1136 - 감사 레코드 보존 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
스토리지 계정 대상에 대한 감사 기능이 있는 SQL Server는 보존 기간을 90일 이상으로 구성해야 함 | 인시던트 조사를 위해 SQL Server 감사를 위한 데이터 보존 기간을 스토리지 계정 대상으로 90일 이상으로 설정하는 것이 좋습니다. 운영 중인 지역에 필요한 보존 규칙을 충족하는지 확인합니다. 이는 규정 표준을 준수해야 하는 경우도 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
감사 생성
ID: NIST SP 800-53 Rev. 4 AU-12 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[미리 보기]: Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender의 확장이 설치되어 있어야 함 | Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 4.0.1-preview |
[미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
[미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
App Service 앱에서 리소스 로그가 사용되어야 함 | 앱에서 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. | 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
머신에 게스트 구성 확장을 설치해야 함 | 머신의 게스트 내 설정을 안전하게 구성하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 'Windows Exploit Guard를 사용하도록 설정해야 합니다'와 같은 게스트 내 정책을 사용할 수 있습니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
Microsoft 관리형 컨트롤 1137 - 감사 생성 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1138 - 감사 생성 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1139 - 감사 생성 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure Data Lake Store에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Azure Stream Analytics에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Batch 계정에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Data Lake Analytics의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Event Hub의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Key Vault에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Logic Apps의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.1.0 |
Search Services에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Service Bus에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
시스템 전체/시간 상관 관계 감사 내역
ID: NIST SP 800-53 Rev. 4 AU-12(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[미리 보기]: Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender의 확장이 설치되어 있어야 함 | Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 4.0.1-preview |
[미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
[미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
App Service 앱에서 리소스 로그가 사용되어야 함 | 앱에서 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. | 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
머신에 게스트 구성 확장을 설치해야 함 | 머신의 게스트 내 설정을 안전하게 구성하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 'Windows Exploit Guard를 사용하도록 설정해야 합니다'와 같은 게스트 내 정책을 사용할 수 있습니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
Microsoft 관리형 컨트롤 1140 - 감사 생성 | 시스템 수준/시간 관련 감사 내역 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure Data Lake Store에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Azure Stream Analytics에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Batch 계정에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Data Lake Analytics의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Event Hub의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Key Vault에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Logic Apps의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.1.0 |
Search Services에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
Service Bus에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
권한 있는 개인의 변경 내용
ID: NIST SP 800-53 Rev. 4 AU-12(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1141 - 감사 생성 | 권한 있는 개인의 변경 | Microsoft에서 구현하는 감사 및 책임 컨트롤 | 감사 | 1.0.0 |
보안 평가 및 권한 부여
보안 평가 및 권한 부여 정책 및 절차
ID: NIST SP 800-53 Rev. 4 CA-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1142 - 인증, 권한 부여, 보안 평가 정책 및 프로시저 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1143 - 인증, 권한 부여, 보안 평가 정책 및 프로시저 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
보안 평가
ID: NIST SP 800-53 Rev. 4 CA-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1144 - 보안 평가 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1145 - 보안 평가 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1146 - 보안 평가 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1147 - 보안 평가 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
독립 평가자
ID: NIST SP 800-53 Rev. 4 CA-2(1) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1148 - 보안 평가 | 독립 평가자 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
전문화된 평가
ID: NIST SP 800-53 Rev. 4 CA-2(2) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1149 - 보안 평가 | 특별 평가 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
외부 조직
ID: NIST SP 800-53 Rev. 4 CA-2(3) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1150 - 보안 평가 | 외부 조직 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
시스템 상호 연결
ID: NIST SP 800-53 Rev. 4 CA-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1151 - 시스템 상호 연결 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1152 - 시스템 상호 연결 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1153 - 시스템 상호 연결 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
국가 소유가 아닌 미분류 보안 시스템 연결
ID: NIST SP 800-53 Rev. 4 CA-3(3) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1154 - 시스템 상호 연결| 국가 소유가 아닌 미분류 보안 시스템 연결 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
외부 시스템 연결 제한
ID: NIST SP 800-53 Rev. 4 CA-3(5) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1155 - 시스템 상호 연결| 외부 시스템 연결 제한 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
작업 플랜 및 마일스톤
ID: NIST SP 800-53 Rev. 4 CA-5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1156 - 작업 계획 및 마일스톤 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1157 - 작업 계획 및 마일스톤 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
보안 권한 부여
ID: NIST SP 800-53 Rev. 4 CA-6 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1158 - 보안 권한 부여 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1159 - 보안 권한 부여 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1160 - 보안 권한 부여 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
연속 모니터링
ID: NIST SP 800-53 Rev. 4 CA-7 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1161 - 지속적인 모니터링 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1162 - 지속적인 모니터링 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1163 - 지속적인 모니터링 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1164 - 지속적인 모니터링 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1165 - 지속적인 모니터링 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1166 - 지속적인 모니터링 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1167 - 지속적인 모니터링 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
독립적 평가
ID: NIST SP 800-53 Rev. 4 CA-7(1) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1168 - 지속적인 모니터링 | 독립적 평가 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
추세 분석
ID: NIST SP 800-53 Rev. 4 CA-7(3) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1169 - 지속적인 모니터링| 추세 분석 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
침투 테스트
ID: NIST SP 800-53 Rev. 4 CA-8 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1170 - 침투 테스트 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
독립적 침투 에이전트 또는 팀
ID: NIST SP 800-53 Rev. 4 CA-8(1) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1171 - 침투 테스트 | 독립적 침투 에이전트 또는 팀 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
내부 시스템 연결
ID: NIST SP 800-53 Rev. 4 CA-9 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1172 - 내부 시스템 연결 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1173 - 내부 시스템 연결 | Microsoft에서 구현하는 보안 평가 및 권한 부여 컨트롤 | 감사 | 1.0.0 |
구성 관리
구성 관리 정책 및 절차
ID: NIST SP 800-53 Rev. 4 CM-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1174 - 구성 관리 정책 및 절차 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1175 - 구성 관리 정책 및 절차 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
기준 구성
ID: NIST SP 800-53 Rev. 4 CM-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1176 - 기준 구성 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
검토 및 업데이트
ID: NIST SP 800-53 Rev. 4 CM-2 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1177 - 기준 구성 | 검토 및 업데이트 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1178 - 기준 구성 | 검토 및 업데이트 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1179 - 기준 구성 | 검토 및 업데이트 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
정확성/최신성을 위한 자동화 지원
ID: NIST SP 800-53 Rev. 4 CM-2(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1180 - 기준 구성 | 정확성/최신성을 위한 자동화 지원 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
이전 구성 보존
ID: NIST SP 800-53 Rev. 4 CM-2(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1181 - 기준 구성 | 이전 구성 보존 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
고위험 영역에 대한 시스템, 구성 요소 또는 디바이스 구성
ID: NIST SP 800-53 Rev. 4 CM-2(7) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1182 - 기준 구성 | 고위험 영역의 시스템, 구성 요소 또는 디바이스 구성 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1183 - 기준 구성 | 고위험 영역의 시스템, 구성 요소 또는 디바이스 구성 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
구성 변경 제어
ID: NIST SP 800-53 Rev. 4 CM-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1184 - 구성 변경 제어 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1185 - 구성 변경 제어 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1186 - 구성 변경 제어 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1187 - 구성 변경 제어 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1188 - 구성 변경 제어 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1189 - 구성 변경 제어 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1190 - 구성 변경 제어 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
자동화된 문서/알림/변경 금지
ID: NIST SP 800-53 Rev. 4 CM-3(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1191 - 구성 변경 제어 | 자동화 문서/알림/변경 금지 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1192 - 구성 변경 제어 | 자동화 문서/알림/변경 금지 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1193 - 구성 변경 제어 | 자동화 문서/알림/변경 금지 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1194 - 구성 변경 제어 | 자동화 문서/알림/변경 금지 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1195 - 구성 변경 제어 | 자동화 문서/알림/변경 금지 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1196 - 구성 변경 제어 | 자동화 문서/알림/변경 금지 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
변경 테스트/유효성 검사/문서화
ID: NIST SP 800-53 Rev. 4 CM-3(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1197 - 구성 변경 제어 | 변경 테스트/유효성 검사/문서화 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
보안 담당자
ID: NIST SP 800-53 Rev. 4 CM-3(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1198 - 구성 변경 제어 | 보안 담당자 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
암호화 관리
ID: NIST SP 800-53 Rev. 4 CM-3(6) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1199 - 구성 변경 제어 | 암호화 관리 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
보안 영향 분석
ID: NIST SP 800-53 Rev. 4 CM-4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1200 - 보안 영향 분석 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
별도의 테스트 환경
ID: NIST SP 800-53 Rev. 4 CM-4(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1201 - 보안 영향 분석 | 별도의 테스트 환경 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
변경에 대한 액세스 제한
ID: NIST SP 800-53 Rev. 4 CM-5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1202 - 변경 액세스 제한 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
자동 액세스 적용/감사
ID: NIST SP 800-53 Rev. 4 CM-5(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1203 - 변경 액세스 제한 | 자동 액세스 적용/감사 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
시스템 변경 내용 검토
ID: NIST SP 800-53 Rev. 4 CM-5(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1204 - 변경 액세스 제한 | 시스템 변경 내용 검토 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
서명된 구성 요소
ID: NIST SP 800-53 Rev. 4 CM-5(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1205 - 변경 액세스 제한 | 서명된 구성 요소 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
프로덕션/작업 권한 제한
ID: NIST SP 800-53 Rev. 4 CM-5(5) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1206 - 변경 액세스 제한 | 프로덕션/작업 권한 제한 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1207 - 변경 액세스 제한 | 프로덕션/작업 권한 제한 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
구성 설정
ID: NIST SP 800-53 Rev. 4 CM-6 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[사용되지 않음]: 함수 앱에는 '클라이언트 인증서(수신 클라이언트 인증서)'가 사용하도록 설정되어 있어야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. Http 2.0은 클라이언트 인증서를 지원하지 않기 때문에 이 정책은 동일한 이름의 새 정책으로 바뀌었습니다. | 감사, 사용 안 함 | 3.1.0-deprecated |
App Service 앱에서 클라이언트 인증서(들어오는 클라이언트 인증서)가 사용하도록 설정되어 있어야 함 | 클라이언트 인증서는 앱이 들어오는 요청에 대한 인증서를 요청하도록 허용합니다. 유효한 인증서가 있는 클라이언트만 앱에 연결할 수 있습니다. 이 정책은 Http 버전이 1.1로 설정된 앱에 적용됩니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
App Service 앱에 원격 디버깅이 비활성화되어 있어야 함 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
App Service 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 | CORS(원본 간 리소스 공유)는 앱에 액세스하는 모든 도메인을 허용해서는 안 됩니다. 필요한 도메인만 앱과 상호 작용하도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
클러스터에 AKS(Azure Kubernetes Service)용 Azure Policy 추가 기능을 설치하고 사용하도록 설정해야 함 | AKS(Azure Kubernetes Service)용 Azure Policy 추가 기능은 OPA(Open Policy Agent)용 허용 컨트롤러 웹후크인 Gatekeeper v3를 확장하여 일관된 중앙 집중식 방법으로 클러스터에 대규모 규약 및 세이프가드를 적용합니다. | 감사, 사용 안 함 | 1.0.2 |
함수 앱에 원격 디버깅이 해제되어 있어야 함 | 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
함수 앱에서 모든 리소스가 앱에 액세스할 수 있도록 CORS를 구성하면 안 됨 | CORS(교차 원본 리소스 공유)는 함수 앱에 액세스하는 모든 도메인을 허용하지 않아야 합니다. 필요한 도메인만 함수 앱과 상호 작용할 수 있도록 허용합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
Kubernetes 클러스터 컨테이너 CPU 및 메모리 리소스 한도는 지정된 한도를 초과하지 않아야 함 | Kubernetes 클러스터에서 리소스 소모 공격을 방지하기 위해 컨테이너 CPU 및 메모리 리소스 제한을 적용합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 10.2.0 |
Kubernetes 클러스터 컨테이너는 호스트 프로세스 ID 또는 호스트 IPC 네임스페이스를 공유해서는 안 됨 | Kubernetes 클러스터에서 호스트 프로세스 ID 네임스페이스 및 호스트 IPC 네임스페이스를 공유하지 못하도록 Pod 컨테이너를 차단합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.2 및 CIS 5.2.3의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 6.1.0 |
Kubernetes 클러스터 컨테이너는 허용된 AppArmor 프로필만 사용해야 함 | 컨테이너는 Kubernetes 클러스터에서 허용된 AppArmor 프로필만 사용해야 합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
Kubernetes 클러스터 컨테이너는 허용된 기능만 사용해야 함 | Kubernetes 클러스터에서 컨테이너의 공격 노출 영역을 줄이기 위해 기능을 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.8 및 CIS 5.2.9의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.0 |
Kubernetes 클러스터 컨테이너는 허용된 이미지만 사용해야 함 | 신뢰할 수 있는 레지스트리의 이미지를 사용하여 알 수 없는 취약성, 보안 문제 및 악성 이미지에 대한 Kubernetes 클러스터의 노출 위험을 줄입니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 10.2.0 |
Kubernetes 클러스터 컨테이너는 읽기 전용 루트 파일 시스템에서 실행되어야 함 | 읽기 전용 루트 파일 시스템을 통해 컨테이너를 실행하여 Kubernetes 클러스터의 PATH에 추가된 악성 이진 파일로 인한 런타임 시 변경으로부터 보호합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.0 |
Kubernetes 클러스터 Pod hostPath 볼륨은 허용된 호스트 경로만 사용해야 함 | Pod HostPath 볼륨 탑재를 Kubernetes 클러스터에서 허용된 호스트 경로로 제한합니다. 이 정책은 일반적으로 AKS(Kubernetes Service) 및 Azure Arc 지원 Kubernetes에 사용할 수 있습니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
Kubernetes 클러스터 Pod 및 컨테이너는 승인된 사용자 및 그룹 ID로만 실행해야 함 | Pod 및 컨테이너가 Kubernetes 클러스터에서 실행하는 데 사용할 수 있는 사용자, 기본 그룹, 보조 그룹 및 파일 시스템 그룹 ID를 제어합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.1 |
Kubernetes 클러스터 Pod는 승인된 호스트 네트워크와 포트 범위만 사용해야 함 | Kubernetes 클러스터에서 호스트 네트워크 및 허용 가능한 호스트 포트 범위에 대한 Pod 액세스를 제한합니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.4의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 7.1.0 |
Kubernetes 클러스터 서비스는 허용된 포트에서만 수신 대기해야 함 | Kubernetes 클러스터에 대한 액세스를 보호하기 위해 서비스가 허용된 포트에서만 수신 대기하도록 제한합니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 9.1.0 |
Kubernetes 클러스터는 권한 있는 컨테이너를 허용하지 않아야 함 | Kubernetes 클러스터는 권한 있는 컨테이너를 만드는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.1의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 10.1.0 |
Kubernetes 클러스터는 컨테이너 권한 상승을 허용해서는 안 됨 | 컨테이너가 Kubernetes 클러스터 루트로의 권한 상승을 통해 실행되는 것을 허용하지 않습니다. 이 권장 사항은 Kubernetes 환경의 보안을 향상시키기 위한 CIS 5.2.5의 일부입니다. 이 정책은 AKS(Azure Kubernetes Service)에서 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 참조하세요. | 감사, 거부, 사용 안 함 | 8.1.0 |
Linux 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.5.0 |
Microsoft 관리형 컨트롤 1208 - 구성 설정 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1209 - 구성 설정 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1210 - 구성 설정 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1211 - 구성 설정 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Azure 컴퓨팅 보안 기준의 권장 사항 중 하나에 맞게 올바르게 구성되지 않은 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
자동 중앙 관리/애플리케이션/확인
ID: NIST SP 800-53 Rev. 4 CM-6(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1212 - 구성 설정 | 자동 중앙 관리/애플리케이션/확인 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
권한 없는 변경에 대응
ID: NIST SP 800-53 Rev. 4 CM-6 (2) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1213 - 구성 설정 | 권한 없는 변경에 대응 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
최소한의 기능
ID: NIST SP 800-53 Rev. 4 CM-7 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
Microsoft 관리형 컨트롤 1214 - 최소한의 기능 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1215 - 최소한의 기능 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
주기적으로 검토
ID: NIST SP 800-53 Rev. 4 CM-7 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1216 - 최소한의 기능 | 주기적으로 검토 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1217 - 최소한의 기능 | 주기적으로 검토 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
프로그램 실행 금지
ID: NIST SP 800-53 Rev. 4 CM-7(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1218 - 최소한의 기능 | 프로그램 실행 금지 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
권한이 부여된 소프트웨어/허용 목록
ID: NIST SP 800-53 Rev. 4 CM-7(5) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1219 - 최소한의 기능 | 권한이 부여된 소프트웨어/허용 목록 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1220 - 최소한의 기능 | 권한이 부여된 소프트웨어/허용 목록 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1221 - 최소한의 기능 | 권한이 부여된 소프트웨어/허용 목록 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
정보 시스템 구성 요소 인벤토리
ID: NIST SP 800-53 Rev. 4 CM-8 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1222 - 정보 시스템 구성 요소 인벤토리 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1223 - 정보 시스템 구성 요소 인벤토리 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
설치/제거 중 업데이트
ID: NIST SP 800-53 Rev. 4 CM-8(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1224 - 정보 시스템 구성 요소 인벤토리 | 설치 중 업데이트/제거 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
자동 유지 관리
ID: NIST SP 800-53 Rev. 4 CM-8 (2) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1225 - 정보 시스템 구성 요소 인벤토리 | 자동 유지 관리 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
권한 없는 구성 요소 자동 검색
ID: NIST SP 800-53 Rev. 4 CM-8(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1226 - 정보 시스템 구성 요소 인벤토리 | 권한 없는 구성 요소 자동 검색 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1227 - 정보 시스템 구성 요소 인벤토리 | 권한 없는 구성 요소 자동 검색 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
책임 정보
ID: NIST SP 800-53 Rev. 4 CM-8(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1228 - 정보 시스템 구성 요소 인벤토리 | 책임 정보 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
구성 요소에 중복된 계정 없음
ID: NIST SP 800-53 Rev. 4 CM-8 (5) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1229 - 정보 시스템 구성 요소 인벤토리 | 구성 요소의 이중 회계 없음 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
구성 관리 계획
ID: NIST SP 800-53 Rev. 4 CM-9 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1230 - 구성 관리 계획 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1231 - 구성 관리 계획 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1232 - 구성 관리 계획 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1233 - 구성 관리 계획 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
소프트웨어 사용 제한
ID: NIST SP 800-53 Rev. 4 CM-10 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1234 - 소프트웨어 사용 제한 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1235 - 소프트웨어 사용 제한 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1236 - 소프트웨어 사용 제한 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
공개 소스 소프트웨어
ID: NIST SP 800-53 Rev. 4 CM-10(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1237 - 소프트웨어 사용 제한 | 오픈 소스 소프트웨어 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
사용자가 설치한 소프트웨어
ID: NIST SP 800-53 Rev. 4 CM-11 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1238 - 사용자가 설치한 소프트웨어 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1239 - 사용자가 설치한 소프트웨어 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1240 - 사용자가 설치한 소프트웨어 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
권한 없는 설치 경고
ID: NIST SP 800-53 Rev. 4 CM-11 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1241 - 사용자가 설치한 소프트웨어 | 권한 없는 설치 경고 | Microsoft에서 구현하는 구성 관리 컨트롤 | 감사 | 1.0.0 |
대체 계획
대체 계획 정책 및 절차
ID: NIST SP 800-53 Rev. 4 CP-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1242 - 대체 계획 정책 및 절차 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1243 - 대체 계획 정책 및 절차 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
대체 계획
ID: NIST SP 800-53 Rev. 4 CP-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1244 - 대체 계획 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1245 - 대체 계획 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1246 - 대체 계획 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1247 - 대체 계획 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1248 - 대체 계획 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1249 - 대체 계획 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1250 - 대체 계획 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
관련 플랜을 사용하여 조정
ID: NIST SP 800-53 Rev. 4 CP-2(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1251 - 대체 계획 | 관련 계획을 사용하여 조정 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
용량 계획
ID: NIST SP 800-53 Rev. 4 CP-2(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1252 - 대체 계획 | 용량 계획 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
필수 업무/비즈니스 기능 다시 시작
ID: NIST SP 800-53 Rev. 4 CP-2(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1253 - 대체 계획 | 필수 업무/비즈니스 기능 다시 시작 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
모든 업무/비즈니스 기능 다시 시작
ID: NIST SP 800-53 Rev. 4 CP-2(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1254 - 대체 계획 | 모든 업무/비즈니스 기능 다시 시작 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
필수 업무/비즈니스 기능 계속 수행
ID: NIST SP 800-53 Rev. 4 CP-2(5) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1255 - 대체 계획 | 필수 업무/비즈니스 기능 계속 수행 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
중요 자산 식별
ID: NIST SP 800-53 Rev. 4 CP-2(8) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1256 - 대체 계획| 중요 자산 식별 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
대체 교육
ID: NIST SP 800-53 Rev. 4 CP-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1257 - 대체 교육 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1258 - 대체 교육 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1259 - 대체 교육 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
시뮬레이션된 이벤트
ID: NIST SP 800-53 Rev. 4 CP-3(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1260 - 대체 교육 | 시뮬레이션된 이벤트 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
대체 계획 테스트
ID: NIST SP 800-53 Rev. 4 CP-4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1261 - 대체 계획 테스트 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1262 - 대체 계획 테스트 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1263 - 대체 계획 테스트 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
관련 플랜을 사용하여 조정
ID: NIST SP 800-53 Rev. 4 CP-4(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1264 - 대체 계획 테스트 | 관련 계획을 사용하여 조정 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
대체 처리 사이트
ID: NIST SP 800-53 Rev. 4 CP-4(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1265 - 대체 계획 테스트 | 대체 처리 사이트 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1266 - 대체 계획 테스트 | 대체 처리 사이트 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
대체 스토리지 사이트
ID: NIST SP 800-53 Rev. 4 CP-6 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MariaDB를 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MySQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
스토리지 계정에 대해 지역 중복 스토리지를 사용하도록 설정해야 함 | 지역 중복을 사용하여 고가용성 애플리케이션 만들기 | 감사, 사용 안 함 | 1.0.0 |
Azure SQL Database에 대해 장기 지역 중복 백업을 사용하도록 설정해야 합니다. | 이 정책은 장기 지역 중복 백업이 사용하도록 설정되지 않은 모든 Azure SQL Database를 감사합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
Microsoft 관리형 컨트롤 1267 - 대체 스토리지 사이트 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1268 - 대체 스토리지 사이트 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
기본 사이트에서 분리
ID: NIST SP 800-53 Rev. 4 CP-6(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MariaDB를 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MySQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
스토리지 계정에 대해 지역 중복 스토리지를 사용하도록 설정해야 함 | 지역 중복을 사용하여 고가용성 애플리케이션 만들기 | 감사, 사용 안 함 | 1.0.0 |
Azure SQL Database에 대해 장기 지역 중복 백업을 사용하도록 설정해야 합니다. | 이 정책은 장기 지역 중복 백업이 사용하도록 설정되지 않은 모든 Azure SQL Database를 감사합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
Microsoft 관리형 컨트롤 1269 - 대체 스토리지 사이트 | 기본 사이트에서 분리 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
복구 시간/지점 목표
ID: NIST SP 800-53 Rev. 4 CP-6(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1270 - 대체 스토리지 사이트 | 복구 시간/지점 목표 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
접근성
ID: NIST SP 800-53 Rev. 4 CP-6(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1271 - 대체 스토리지 사이트 | 접근성 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
대체 처리 사이트
ID: NIST SP 800-53 Rev. 4 CP-7 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
재해 복구가 구성되어 있지 않은 가상 머신 감사 | 재해 복구가 구성되지 않은 가상 머신을 감사합니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. | auditIfNotExists | 1.0.0 |
Microsoft 관리형 컨트롤 1272 - 대체 처리 사이트 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1273 - 대체 처리 사이트 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1274 - 대체 처리 사이트 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
기본 사이트에서 분리
ID: NIST SP 800-53 Rev. 4 CP-7(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1275 - 대체 처리 사이트 | 기본 사이트에서 분리 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
접근성
ID: NIST SP 800-53 Rev. 4 CP-7(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1276 - 대체 처리 사이트 | 접근성 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
서비스 우선 순위
ID: NIST SP 800-53 Rev. 4 CP-7(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1277 - 대체 처리 사이트 | 서비스 우선 순위 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
사용 준비
ID: NIST SP 800-53 Rev. 4 CP-7(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1278 - 대체 처리 사이트 | 사용 준비 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
통신 서비스
ID: NIST SP 800-53 Rev. 4 CP-8 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1279 - 통신 서비스 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
서비스 프로비저닝의 우선 순위
ID: NIST SP 800-53 Rev. 4 CP-8(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1280 - 통신 서비스 | 서비스 우선 순위 규정 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1281 - 통신 서비스 | 서비스 우선 순위 규정 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
단일 실패 지점
ID: NIST SP 800-53 Rev. 4 CP-8 (2) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1282 - 통신 서비스 | 단일 실패 지점 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
기본/대체 공급자 분리
ID: NIST SP 800-53 Rev. 4 CP-8 (3) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1283 - 통신 서비스 | 기본/대체 공급자 분리 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
공급자 대체 계획
ID: NIST SP 800-53 Rev. 4 CP-8 (4) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1284 - 통신 서비스 | 공급자 대체 계획 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1285 - 통신 서비스 | 공급자 대체 계획 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1286 - 통신 서비스 | 공급자 대체 계획 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
정보 시스템 백업
ID: NIST SP 800-53 Rev. 4 CP-9 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 Azure Virtual Machines의 보호를 보장합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure Database for MariaDB에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MariaDB를 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
Azure Database for MySQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for MySQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL을 사용하면 데이터베이스 서버에 대한 중복성 옵션을 선택할 수 있습니다. 서버가 호스트되는 지역 내에 저장될 뿐만 아니라 지역 장애 발생 시 복구 옵션을 제공하기 위해 쌍을 이루는 지역에도 복제되는 데이터가 있는 지역 중복 백업 스토리지로 설정할 수 있습니다. 백업을 위한 지역 중복 스토리지 구성은 서버 생성 중에만 허용됩니다. | 감사, 사용 안 함 | 1.0.1 |
키 자격 증명 모음에서는 삭제 방지를 사용하도록 설정해야 함 | 키 자격 증명 모음을 악의적으로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 제거 방지 및 일시 삭제를 사용하도록 설정하여 영구적인 데이터 손실을 방지할 수 있습니다. 제거 보호는 일시 삭제된 키 자격 증명 모음에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 키 자격 증명 모음을 제거할 수 없습니다. 2019년 9월 1일 이후에 만든 키 자격 증명 모음은 기본적으로 일시 삭제를 사용하도록 설정되어 있습니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
키 자격 증명 모음에 일시 삭제를 사용하도록 설정해야 함 | 일시 삭제를 사용하지 않고 키 자격 증명 모음을 삭제하면 키 자격 증명 모음에 저장된 모든 비밀, 키 및 인증서가 영구적으로 삭제됩니다. 키 자격 증명 모음을 실수로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 일시 삭제를 사용하면 실수로 삭제된 키 자격 증명 모음을 구성 가능한 보존 기간 동안 복구할 수 있습니다. | 감사, 거부, 사용 안 함 | 3.0.0 |
Microsoft 관리형 컨트롤 1287 - 정보 시스템 백업 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1288 - 정보 시스템 백업 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1289 - 정보 시스템 백업 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1290 - 정보 시스템 백업 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
안정성/무결성 테스트
ID: NIST SP 800-53 Rev. 4 CP-9 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1291 - 정보 시스템 백업 | 안정성/무결성 테스트 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
샘플링을 사용하여 복원 테스트
ID: NIST SP 800-53 Rev. 4 CP-9 (2) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1292 - 정보 시스템 백업 | 샘플링을 사용하여 복원 테스트 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
중요 정보를 위한 별도의 스토리지
ID: NIST SP 800-53 Rev. 4 CP-9(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1293 - 정보 시스템 백업 | 중요 정보를 위한 별도의 스토리지 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
대체 스토리지 사이트로 전송
ID: NIST SP 800-53 Rev. 4 CP-9(5) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1294 - 정보 시스템 백업 | 대체 스토리지 사이트로 전송 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
정보 시스템 복구 및 재구성
ID: NIST SP 800-53 Rev. 4 CP-10 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1295 - 정보 시스템 복구 및 재구성 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
트랜잭션 복구
ID: NIST SP 800-53 Rev. 4 CP-10(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1296 - 정보 시스템 복구 및 재구성 | 트랜잭션 복구 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
기간 내 복원
ID: NIST SP 800-53 Rev. 4 CP-10(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1297 - 정보 시스템 복구 및 재구성 | 기간 내 복구 | Microsoft에서 구현하는 대체 계획 컨트롤 | 감사 | 1.0.0 |
식별 및 인증
식별 및 인증 정책 및 절차
ID: NIST SP 800-53 Rev. 4 IA-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1298 - 식별 및 인증 정책과 절차 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1299 - 식별 및 인증 정책과 절차 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
식별 및 인증(조직 사용자)
ID: NIST SP 800-53 Rev. 4 IA-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. | SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
App Service 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure AI 서비스 리소스에는 키 액세스가 사용하지 않도록 설정되어야 함(로컬 인증 사용하지 않도록 설정) | 보안을 위해 키 액세스(로컬 인증)를 사용하지 않도록 설정하는 것이 좋습니다. 일반적으로 개발/테스트에 사용되는 Azure OpenAI Studio에는 키 액세스가 필요하며 키 액세스가 사용하지 않도록 설정되면 작동하지 않습니다. 사용하지 않도록 설정한 후에는 Microsoft Entra ID가 유일한 액세스 방법이 되어 최소 권한 원칙을 유지하고 세부적인 제어를 허용합니다. https://aka.ms/AI/auth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
함수 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Microsoft 관리형 컨트롤 1300 - 사용자 식별 및 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Service Fabric 클러스터는 클라이언트 인증에 대해서만 Azure Active Directory를 사용해야 함 | Service Fabric에서 Azure Active Directory를 통한 클라이언트 인증의 사용만 감사 | 감사, 거부, 사용 안 함 | 1.1.0 |
권한 있는 계정에 대한 네트워크 액세스
ID: NIST SP 800-53 Rev. 4 IA-2(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Microsoft 관리형 컨트롤 1301 - 사용자 식별 및 인증 | 권한 있는 계정에 대한 네트워크 액세스 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
권한 없는 계정에 대한 네트워크 액세스
ID: NIST SP 800-53 Rev. 4 IA-2(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Microsoft 관리형 컨트롤 1302 - 사용자 식별 및 인증 | 권한이 없는 계정에 대한 네트워크 액세스 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
권한 있는 계정에 대한 로컬 액세스
ID: NIST SP 800-53 Rev. 4 IA-2(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1303 - 사용자 식별 및 인증 | 권한 있는 계정에 대한 로컬 액세스 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
권한 없는 계정에 대한 로컬 액세스
ID: NIST SP 800-53 Rev. 4 IA-2 (4) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1304 - 사용자 식별 및 인증 | 권한이 없는 계정에 대한 로컬 액세스 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
그룹 인증
ID: NIST SP 800-53 Rev. 4 IA-2(5) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1305 - 사용자 식별 및 인증 | 그룹 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
권한 있는 계정에 대한 네트워크 액세스 - 재생 방지
ID: NIST SP 800-53 Rev. 4 IA-2 (8) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1306 - 사용자 식별 및 인증 | 권한 있는 계정에 대한 네트워크 액세스 - 재생... | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
권한 없는 계정에 대한 네트워크 액세스 - 재생 방지
ID: NIST SP 800-53 Rev. 4 IA-2 (9) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1307 - 사용자 식별 및 인증 | 권한이 없는 계정에 대한 네트워크 액세스 - 재생... | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
원격 액세스 - 별도의 디바이스
ID: NIST SP 800-53 Rev. 4 IA-2(11) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1308 - 사용자 식별 및 인증 | 원격 액세스 - 별도의 디바이스 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Piv 자격 증명 수락
ID: NIST SP 800-53 Rev. 4 IA-2(12) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1309 - 사용자 식별 및 인증 | Piv 자격 증명 수락 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
디바이스 식별 및 인증
ID: NIST SP 800-53 Rev. 4 IA-3 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1310 - 디바이스 식별 및 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
식별자 관리
ID: NIST SP 800-53 Rev. 4 IA-4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. | SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
App Service 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure AI 서비스 리소스에는 키 액세스가 사용하지 않도록 설정되어야 함(로컬 인증 사용하지 않도록 설정) | 보안을 위해 키 액세스(로컬 인증)를 사용하지 않도록 설정하는 것이 좋습니다. 일반적으로 개발/테스트에 사용되는 Azure OpenAI Studio에는 키 액세스가 필요하며 키 액세스가 사용하지 않도록 설정되면 작동하지 않습니다. 사용하지 않도록 설정한 후에는 Microsoft Entra ID가 유일한 액세스 방법이 되어 최소 권한 원칙을 유지하고 세부적인 제어를 허용합니다. https://aka.ms/AI/auth에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
함수 앱에서 관리 ID를 사용해야 함 | 인증 보안 강화를 위해 관리 ID 사용 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Microsoft 관리형 컨트롤 1311 - 식별자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1312 - 식별자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1313 - 식별자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1314 - 식별자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1315 - 식별자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Service Fabric 클러스터는 클라이언트 인증에 대해서만 Azure Active Directory를 사용해야 함 | Service Fabric에서 Azure Active Directory를 통한 클라이언트 인증의 사용만 감사 | 감사, 거부, 사용 안 함 | 1.1.0 |
사용자 상태 식별
ID: NIST SP 800-53 Rev. 4 IA-4(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1316 - 식별자 관리| 사용자 상태 식별 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
인증자 관리
ID: NIST SP 800-53 Rev. 4 IA-5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
passwd 파일 권한이 0644로 설정되지 않은 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. passwd 파일 권한이 0644로 설정되지 않은 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.4.0 |
해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Linux 가상 머신에 Linux 게스트 구성 확장을 배포합니다. Linux 게스트 구성 확장은 모든 Linux 게스트 구성 할당의 필수 조건이며 Linux 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.4.0 |
Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.2.0 |
Microsoft 관리형 컨트롤 1317 - 인증자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1318 - 인증자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1319 - 인증자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1320 - 인증자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1321 - 인증자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1322 - 인증자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1323 - 인증자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1324 - 인증자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1325 - 인증자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1326 - 인증자 관리 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
암호 기반 인증
ID: NIST SP 800-53 Rev. 4 IA-5(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 1.3.0 |
passwd 파일 권한이 0644로 설정되지 않은 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. passwd 파일 권한이 0644로 설정되지 않은 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.4.0 |
지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있도록 허용하는 경우 머신은 비규격입니다. 고유 암호의 기본값은 24입니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 경우 머신은 비규격입니다. 최대 암호 사용 기간의 기본값은 70일입니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 경우 머신은 비규격입니다. 최소 암호 사용 기간의 기본값은 1일입니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
암호 복잡성 설정이 활성화되지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 복잡성 설정이 활성화되지 않는 Windows 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
암호 최소 길이를 지정된 문자 수로 제한하지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최소 암호 길이를 지정된 문자 수로 제한하지 않는 경우 머신은 비규격입니다. 최소 암호 길이에 대한 기본값은 14자입니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Linux 가상 머신에 Linux 게스트 구성 확장을 배포합니다. Linux 게스트 구성 확장은 모든 Linux 게스트 구성 할당의 필수 조건이며 Linux 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.4.0 |
Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.2.0 |
Microsoft 관리형 컨트롤 1327 - 인증자 관리 | 암호 기반 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1328 - 인증자 관리 | 암호 기반 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1329 - 인증자 관리 | 암호 기반 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1330 - 인증자 관리 | 암호 기반 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1331 - 인증자 관리 | 암호 기반 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1332 - 인증자 관리 | 암호 기반 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
PKI 기반 인증
ID: NIST SP 800-53 Rev. 4 IA-5(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1333 - 인증자 관리 | Pki 기반 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1334 - 인증자 관리 | Pki 기반 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1335 - 인증자 관리 | Pki 기반 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1336 - 인증자 관리 | Pki 기반 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
직접 또는 신뢰할 수 있는 타사 등록
ID: NIST SP 800-53 Rev. 4 IA-5(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1337 - 인증자 관리 | 직접 또는 신뢰할 수 있는 타사 등록 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
암호 강도 결정에 대한 자동화된 지원
ID: NIST SP 800-53 Rev. 4 IA-5(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1338 - 인증자 관리 | 암호 강도 결정에 대한 지원 자동화 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
인증자 보호
ID: NIST SP 800-53 Rev. 4 IA-5(6) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1339 - 인증자 관리 | 인증자 보호 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
암호화되지 않은 정적 인증자가 포함되지 않음
ID: NIST SP 800-53 Rev. 4 IA-5(7) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1340 - 인증자 관리 | 암호화되지 않은 정적 인증자가 포함되지 않음 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
여러 정보 시스템 계정
ID: NIST SP 800-53 Rev. 4 IA-5 (8) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1341 - 인증자 관리 | 여러 정보 시스템 계정 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
하드웨어 토큰 기반 인증
ID: NIST SP 800-53 Rev. 4 IA-5(11) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1342 - 인증자 관리 | 하드웨어 토큰 기반 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
캐시된 인증자 만료
ID: NIST SP 800-53 Rev. 4 IA-5(13) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1343 - 인증자 관리 | 캐시된 인증자 만료 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
인증자 피드백
ID: NIST SP 800-53 Rev. 4 IA-6 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1344 - 인증자 피드백 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
암호화 모듈 인증
ID: NIST SP 800-53 Rev. 4 IA-7 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1345 - 암호화 모듈 인증 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
식별 및 인증(비조직 사용자)
ID: NIST SP 800-53 Rev. 4 IA-8 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1346 - 식별 및 인증(비 조직 사용자) | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
다른 기관의 PIV 자격 증명 수락
ID: NIST SP 800-53 Rev. 4 IA-8(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1347 - 식별 및 인증(비 조직 사용자) | Piv 자격 증명 수락... | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
타사 자격 증명 수락
ID: NIST SP 800-53 Rev. 4 IA-8(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1348 - 식별 및 인증(비 조직 사용자) | 타사 수락... | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
FICAM 승인 제품 사용
ID: NIST SP 800-53 Rev. 4 IA-8(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1349 - 식별 및 인증(비 조직 사용자) | Ficam 승인을 받은 제품 사용 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
FICAM에서 발급한 프로필 사용
ID: NIST SP 800-53 Rev. 4 IA-8(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1350 - 식별 및 인증(비 조직 사용자) | FICAM에서 발급한 프로필 사용 | Microsoft에서 구현하는 식별 및 인증 컨트롤 Authentication control | 감사 | 1.0.0 |
사고 대응
인시던트 대응 정책 및 절차
ID: NIST SP 800-53 Rev. 4 IR-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1351 - 인시던트 대응 정책 및 절차 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1352 - 인시던트 대응 정책 및 절차 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
인시던트 응답 교육
ID: NIST SP 800-53 Rev. 4 IR-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1353 - 인시던트 대응 교육 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1354 - 인시던트 대응 교육 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1355 - 인시던트 대응 교육 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
시뮬레이션된 이벤트
ID: NIST SP 800-53 Rev. 4 IR-2(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1356 - 인시던트 대응 교육 | 시뮬레이션된 이벤트 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
자동화된 교육 환경
ID: NIST SP 800-53 Rev. 4 IR-2(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1357 - 인시던트 대응 교육 | 자동화된 교육 환경 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
인시던트 응답 테스트
ID: NIST SP 800-53 Rev. 4 IR-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1358 - 인시던트 대응 테스트 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
관련 플랜에 맞게 조정
ID: NIST SP 800-53 Rev. 4 IR-3(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1359 - 인시던트 대응 테스트 | 관련 계획에 맞게 조정 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
인시던트 처리
ID: NIST SP 800-53 Rev. 4 IR-4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. | 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
Microsoft 관리형 컨트롤 1360 - 인시던트 처리 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1361 - 인시던트 처리 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1362 - 인시던트 처리 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
자동화된 인시던트 처리 프로세스
ID: NIST SP 800-53 Rev. 4 IR-4(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1363 - 인시던트 처리 | 자동화된 인시던트 처리 프로세스 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
동적 재구성
ID: NIST SP 800-53 Rev. 4 IR-4(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1364 - 인시던트 처리| 동적 재구성 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
작업 연속성
ID: NIST SP 800-53 Rev. 4 IR-4(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1365 - 인시던트 처리 | 작업 연속성 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
정보 상관 관계
ID: NIST SP 800-53 Rev. 4 IR-4(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1366 - 인시던트 처리| 정보 상관 관계 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
내부자 위협 - 특정 기능
ID: NIST SP 800-53 Rev. 4 IR-4(6) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1367 - 인시던트 처리 | 내부자 위협 - 특정 기능 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
외부 조직과의 상관 관계
ID: NIST SP 800-53 Rev. 4 IR-4(8) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1368 - 인시던트 처리 | 외부 조직과의 상관 관계 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
인시던트 모니터링
ID: NIST SP 800-53 Rev. 4 IR-5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. | 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
Microsoft 관리형 컨트롤 1369 - 인시던트 모니터링 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
자동화된 추적/데이터 수집/분석
ID: NIST SP 800-53 Rev. 4 IR-5 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1370 - 인시던트 모니터링 | 자동 추적/데이터 수집/분석 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
인시던트 보고
ID: NIST SP 800-53 Rev. 4 IR-6 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1371 - 인시던트 보고 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1372 - 인시던트 보고 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
자동 보고
ID: NIST SP 800-53 Rev. 4 IR-6(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1373 - 인시던트 보고 | 자동 보고 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
인시던트 관련 취약성
ID: NIST SP 800-53 Rev. 4 IR-6(2) 소유권: 고객
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. | 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
인시던트 응답 지원
ID: NIST SP 800-53 Rev. 4 IR-7 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1374 - 인시던트 대응 지원 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
정보의 가용성에 대한 자동 지원/지원
ID: NIST SP 800-53 Rev. 4 IR-7(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1375 - 인시던트 대응 지원 | 정보의 가용성에 대한 자동 지원/지원 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
외부 공급자와 조정
ID: NIST SP 800-53 Rev. 4 IR-7(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1376 - 인시던트 대응 지원 | 외부 공급자와 조율 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1377 - 인시던트 대응 지원 | 외부 공급자와 조율 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
인시던트 응답 계획
ID: NIST SP 800-53 Rev. 4 IR-8 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1378 - 인시던트 대응 계획 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1379 - 인시던트 대응 계획 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1380 - 인시던트 대응 계획 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1381 - 인시던트 대응 계획 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1382 - 인시던트 대응 계획 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1383 - 인시던트 대응 계획 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
정보 유출 대응
ID: NIST SP 800-53 Rev. 4 IR-9 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1384 - 정보 유출 대응 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1385 - 정보 유출 대응 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1386 - 정보 유출 대응 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1387 - 정보 유출 대응 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1388 - 정보 유출 대응 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1389 - 정보 유출 대응 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
책임자
ID: NIST SP 800-53 Rev. 4 IR-9(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1390 - 정보 유출 대응 | 책임자 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
학습
ID: NIST SP 800-53 Rev. 4 IR-9(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1391 - 정보 유출 대응 | 교육 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
유출 후 작업
ID: NIST SP 800-53 Rev. 4 IR-9(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1392 - 정보 유출 대응 | 유출 후 작업 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
권한 없는 사람에게 노출
ID: NIST SP 800-53 Rev. 4 IR-9(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1393 - 정보 유출 대응 | 권한 없는 사람에게 노출 | Microsoft에서 구현하는 인시던트 대응 컨트롤 | 감사 | 1.0.0 |
유지 관리
시스템 유지 관리 정책 및 절차
ID: NIST SP 800-53 Rev. 4 MA-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1394 - 시스템 유지 관리 정책 및 절차 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1395 - 시스템 유지 관리 정책 및 절차 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
제어된 유지 관리
ID: NIST SP 800-53 Rev. 4 MA-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1396 - 제어된 유지 관리 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1397 - 제어된 유지 관리 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1398 - 제어된 유지 관리 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1399 - 제어된 유지 관리 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1400 - 제어된 유지 관리 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1401 - 제어된 유지 관리 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
자동 유지 관리 작업
ID: NIST SP 800-53 Rev. 4 MA-2(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1402 - 제어된 유지 관리 | 자동 유지 관리 작업 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1403 - 제어된 유지 관리 | 자동 유지 관리 작업 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
유지 관리 도구
ID: NIST SP 800-53 Rev. 4 MA-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1404 - 유지 관리 도구 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
도구 검사
ID: NIST SP 800-53 Rev. 4 MA-3(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1405 - 유지 관리 도구 | 도구 검사 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
미디어 검사
ID: NIST SP 800-53 Rev. 4 MA-3(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1406 - 유지 관리 도구 | 미디어 검사 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
무단 제거 방지
ID: NIST SP 800-53 Rev. 4 MA-3(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1407 - 유지 관리 도구 | 무단 제거 방지 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1408 - 유지 관리 도구 | 무단 제거 방지 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1409 - 유지 관리 도구 | 무단 제거 방지 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1410 - 유지 관리 도구 | 무단 제거 방지 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
비로컬 유지 관리
ID: NIST SP 800-53 Rev. 4 MA-4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1411 - 원격 유지 관리 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1412 - 원격 유지 관리 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1413 - 원격 유지 관리 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1414 - 원격 유지 관리 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1415 - 원격 유지 관리 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
비로컬 유지 관리 문서화
ID: NIST SP 800-53 Rev. 4 MA-4(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1416 - 원격 유지 관리 | 원격 유지 관리 문서화 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
비교 가능한 보안/삭제
ID: NIST SP 800-53 Rev. 4 MA-4(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1417 - 원격 유지 관리 | 동등한 보안/위생 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1418 - 원격 유지 관리 | 비교 가능한 보안/위생 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
암호화 보호
ID: NIST SP 800-53 Rev. 4 MA-4(6) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1419 - 원격 유지 관리 | 암호화 보호 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
유지 관리 담당자
ID: NIST SP 800-53 Rev. 4 MA-5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1420 - 유지 관리 담당자 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1421 - 유지 관리 담당자 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1422 - 유지 관리 담당자 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
적절한 액세스 권한이 없는 개인
ID: NIST SP 800-53 Rev. 4 MA-5(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1423 - 유지 관리 담당자 | 적절한 액세스 권한이 없는 개인 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1424 - 유지 관리 담당자 | 적절한 액세스 권한이 없는 개인 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
시기 적절한 유지 관리
ID: NIST SP 800-53 Rev. 4 MA-6 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1425 - 시기 적절한 유지 관리 | Microsoft에서 구현하는 유지 관리 컨트롤 | 감사 | 1.0.0 |
미디어 보호
미디어 보호 정책 및 절차
ID: NIST SP 800-53 Rev. 4 MP-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1426 - 미디어 보호 정책 및 절차 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1427 - 미디어 보호 정책 및 절차 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
미디어액세스
ID: NIST SP 800-53 Rev. 4 MP-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1428 - 미디어 액세스 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
미디어 표시
ID: NIST SP 800-53 Rev. 4 MP-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1429 - 미디어 레이블 지정 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1430 - 미디어 레이블 지정 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
미디어 스토리지
ID: NIST SP 800-53 Rev. 4 MP-4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1431 - 미디어 스토리지 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1432 - 미디어 스토리지 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
미디어 전송
ID: NIST SP 800-53 Rev. 4 MP-5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1433 - 미디어 전송 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1434 - 미디어 전송 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1435 - 미디어 전송 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1436 - 미디어 전송 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
암호화 보호
ID: NIST SP 800-53 Rev. 4 MP-5(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1437 - 미디어 전송 | 암호화 보호 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
미디어 삭제
ID: NIST SP 800-53 Rev. 4 MP-6 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1438 - 미디어 삭제 및 폐기 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1439 - 미디어 삭제 및 폐기 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
검토/승인/추적/문서화/확인
ID: NIST SP 800-53 Rev. 4 MP-6(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1440 - 미디어 삭제 및 폐기 | 검토/승인/추적/문서화/확인 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
장비 테스트
ID: NIST SP 800-53 Rev. 4 MP-6(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1441 - 미디어 삭제 및 폐기 | 장비 테스트 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
비파괴 기술
ID: NIST SP 800-53 Rev. 4 MP-6 (3) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1442 - 미디어 삭제 및 폐기 | 비파괴 기술 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
미디어 사용
ID: NIST SP 800-53 Rev. 4 MP-7 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1443 - 미디어 사용 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
소유자 없을 때 사용 금지
ID: NIST SP 800-53 Rev. 4 MP-7(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1444 - 미디어 사용 | 소유자 없을 때 사용 금지 | Microsoft에서 구현하는 미디어 보호 컨트롤 | 감사 | 1.0.0 |
물리적 및 환경적 보호
물리적 및 환경적 보호 정책 및 절차
ID: NIST SP 800-53 Rev. 4 PE-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1445 - 물리적 및 환경적 보호 정책과 절차 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1446 - 물리적 및 환경적 보호 정책과 절차 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
물리적 액세스 권한 부여
ID: NIST SP 800-53 Rev. 4 PE-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1447 - 물리적 액세스 권한 부여 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1448 - 물리적 액세스 권한 부여 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1449 - 물리적 액세스 권한 부여 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1450 - 물리적 액세스 권한 부여 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
물리적 액세스 제어
ID: NIST SP 800-53 Rev. 4 PE-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1451 - 물리적 액세스 제어 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1452 - 물리적 액세스 제어 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1453 - 물리적 액세스 제어 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1454 - 물리적 액세스 제어 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1455 - 물리적 액세스 제어 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1456 - 물리적 액세스 제어 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1457 - 물리적 액세스 제어 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
정보 시스템 액세스
ID: NIST SP 800-53 Rev. 4 PE-3 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1458 - 물리적 액세스 제어 | 정보 시스템 액세스 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
전송 매체에 대한 액세스 제어
ID: NIST SP 800-53 Rev. 4 PE-4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1459 - 전송 매체에 대한 액세스 제어 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
출력 디바이스에 대한 액세스 제어
ID: NIST SP 800-53 Rev. 4 PE-5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1460 - 출력 디바이스에 대한 액세스 제어 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
물리적 액세스 모니터링
ID: NIST SP 800-53 Rev. 4 PE-6 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1461 - 물리적 액세스 모니터링 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1462 - 물리적 액세스 모니터링 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1463 - 물리적 액세스 모니터링 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
침입 경보/감시 장비
ID: NIST SP 800-53 Rev. 4 PE-6(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1464 - 물리적 액세스 모니터링 | 침입 경보/감시 장비 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
정보 시스템에 대한 물리적 액세스 모니터링
ID: NIST SP 800-53 Rev. 4 PE-6 (4) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1465 - 물리적 액세스 모니터링 | 정보 시스템에 대한 물리적 액세스 모니터링 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
방문자 액세스 기록
ID: NIST SP 800-53 Rev. 4 PE-8 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1466 - 방문자 액세스 기록 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1467 - 방문자 액세스 기록 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
자동화된 기록 유지 관리/검토
ID: NIST SP 800-53 Rev. 4 PE-8 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1468 - 방문자 액세스 기록 | 자동화된 기록 유지 관리/검토 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
전원 장비 및 케이블 연결
ID: NIST SP 800-53 Rev. 4 PE-9 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1469 - 전원 장비 및 케이블 연결 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
긴급 차단
ID: NIST SP 800-53 Rev. 4 PE-10 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1470 - 긴급 차단 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1471 - 긴급 차단 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1472 - 긴급 차단 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
긴급 전원
ID: NIST SP 800-53 Rev. 4 PE-11 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1473 - 긴급 전원 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
장기 대체 전원 공급 장치 - 최소 작동 기능
ID: NIST SP 800-53 Rev. 4 PE-11 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1474 - 긴급 전원 | 장기 대체 전원 공급 장치 - 최소 작동 기능 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
비상 조명
ID: NIST SP 800-53 Rev. 4 PE-12 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1475 - 비상 조명 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
화재 방지
ID: NIST SP 800-53 Rev. 4 PE-13소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1476 - 화재 방지 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
감지 디바이스/시스템
ID: NIST SP 800-53 Rev. 4 PE-13(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1477 - 화재 방지 | 감지 디바이스/시스템 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
진압 디바이스/시스템
ID: NIST SP 800-53 Rev. 4 PE-13(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1478 - 화재 방지 | 진압 디바이스/시스템 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
자동 화재 진압
ID: NIST SP 800-53 Rev. 4 PE-13(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1479 - 화재 방지 | 자동 화재 진압 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
온도 및 습도 제어
ID: NIST SP 800-53 Rev. 4 PE-14 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1480 - 온도 및 습도 컨트롤 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1481 - 온도 및 습도 컨트롤 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
경보/알림을 사용하여 모니터링
ID: NIST SP 800-53 Rev. 4 PE-14(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1482 - 온도 및 습도 컨트롤 | 경보/알림을 사용하여 모니터링 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
물 피해 방지
ID: NIST SP 800-53 Rev. 4 PE-15 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1483 - 물 피해 방지 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
자동 지원
ID: NIST SP 800-53 Rev. 4 PE-15 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1484 - 물 피해 방지 | 자동 지원 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
배달 및 제거
ID: NIST SP 800-53 Rev. 4 PE-16 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1485 - 배달 및 제거 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
대체 작업 사이트
ID: NIST SP 800-53 Rev. 4 PE-17 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1486 - 대체 작업 사이트 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1487 - 대체 작업 사이트 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1488 - 대체 작업 사이트 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
정보 시스템 구성 요소의 위치
ID: NIST SP 800-53 Rev. 4 PE-18 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1489 - 정보 시스템 구성 요소 위치 | Microsoft에서 구현하는 물리적 및 환경적 보호 컨트롤 | 감사 | 1.0.0 |
계획
보안 계획 정책 및 절차
ID: NIST SP 800-53 Rev. 4 PL-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1490 - 보안 계획 정책 및 절차 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1491 - 보안 계획 정책 및 절차 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
시스템 보안 계획
ID: NIST SP 800-53 Rev. 4 PL-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1492 - 시스템 보안 계획 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1493 - 시스템 보안 계획 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1494 - 시스템 보안 계획 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1495 - 시스템 보안 계획 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1496 - 시스템 보안 계획 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
다른 조직 주체와 함께 계획/조정
ID: NIST SP 800-53 Rev. 4 PL-2(3) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1497 - 시스템 보안 계획 | 다른 조직 주체와 함께 계획/조정 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
행동 규칙
ID: NIST SP 800-53 Rev. 4 PL-4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1498 - 동작 규칙 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1499 - 동작 규칙 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1500 - 동작 규칙 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1501 - 동작 규칙 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
소셜 미디어 및 네트워킹 제한 사항
ID: NIST SP 800-53 Rev. 4 PL-4(1) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1502 - 행동 규칙 | 소셜 미디어 및 네트워킹 제한 사항 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
정보 보안 아키텍처
ID: NIST SP 800-53 Rev. 4 PL-8 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1503 - 정보 보안 아키텍처 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1504 - 정보 보안 아키텍처 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1505 - 정보 보안 아키텍처 | Microsoft에서 구현하는 계획 컨트롤 | 감사 | 1.0.0 |
직원 보안
직원 보안 정책 및 절차
ID: NIST SP 800-53 Rev. 4 PS-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1506 - 직원 보안 정책 및 절차 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1507 - 직원 보안 정책 및 절차 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
위험 위치 지정
ID: NIST SP 800-53 Rev. 4 PS-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1508 - 위치 분류 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1509 - 위치 분류 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1510 - 위치 분류 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
직원 차단
ID: NIST SP 800-53 Rev. 4 PS-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1511 - 직원 차단 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1512 - 직원 차단 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
특별 보호 조치가 있는 정보
ID: NIST SP 800-53 Rev. 4 PS-3(3) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1513 - 직원 차단 | 특별한 보호 조치가 있는 정보 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1514 - 직원 차단 | 특별한 보호 조치가 있는 정보 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
직원 고용 종료
ID: NIST SP 800-53 Rev. 4 PS-4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1515 - 직원 고용 종료 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1516 - 직원 고용 종료 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1517 - 직원 고용 종료 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1518 - 직원 고용 종료 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1519 - 직원 고용 종료 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1520 - 직원 고용 종료 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
자동 알림
ID: NIST SP 800-53 Rev. 4 PS-4(2) 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1521 - 직원 고용 종료 | 자동 알림 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
직원 이전
ID: NIST SP 800-53 Rev. 4 PS-5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1522 - 직원 이전 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1523 - 직원 이전 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1524 - 직원 이전 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1525 - 직원 이전 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
액세스 계약
ID: NIST SP 800-53 Rev. 4 PS-6 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1526 - 액세스 계약 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1527 - 액세스 계약 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1528 - 액세스 계약 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
타사 직원 보안
ID: NIST SP 800-53 Rev. 4 PS-7 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1529 - 타사 직원 보안 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1530 - 타사 직원 보안 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1531 - 타사 직원 보안 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1532 - 타사 직원 보안 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1533 - 타사 직원 보안 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
직원 제재
ID: NIST SP 800-53 Rev. 4 PS-8 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1534 - 직원 제재 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1535 - 직원 제재 | Microsoft에서 구현하는 직원 보안 컨트롤 | 감사 | 1.0.0 |
위험 평가
위험 평가 정책 및 절차
ID: NIST SP 800-53 Rev. 4 RA-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1536 - 위험 평가 정책 및 절차 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1537 - 위험 평가 정책 및 절차 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
보안 분류
ID: NIST SP 800-53 Rev. 4 RA-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1538 - 보안 분류 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1539 - 보안 분류 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1540 - 보안 분류 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
위험 평가
ID: NIST SP 800-53 Rev. 4 RA-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1541 - 위험 평가 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1542 - 위험 평가 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1543 - 위험 평가 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1544 - 위험 평가 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1545 - 위험 평가 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
취약점 검색
ID: NIST SP 800-53 Rev. 4 RA-5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
Microsoft 관리형 컨트롤 1546 - 취약성 검사 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1547 - 취약성 검사 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1548 - 취약성 검사 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1549 - 취약성 검사 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1550 - 취약성 검사 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
SQL 데이터베이스가 발견한 취약성을 해결해야 함 | 취약성 평가 검사 결과 및 데이터베이스 취약성을 수정하는 방법에 관한 권장 사항을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 4.1.0 |
컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함 | SQL 취약성 평가는 데이터베이스를 검사하여 보안 취약성을 찾아내고, 구성 오류, 과도한 권한, 보호되지 않는 중요한 데이터 등과 같이 모범 사례를 따르지 않는 부분을 공개합니다. 발견된 취약성을 해결하면 데이터베이스 보안 상태가 크게 향상될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
머신 보안 구성의 취약성을 수정해야 합니다. | 구성된 기준을 충족하지 않는 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 | 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. | 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Synapse 작업 영역에서 취약성 평가를 사용하도록 설정해야 함 | Synapse 작업 영역에서 반복되는 SQL 취약성 평가 검사를 구성하여 잠재적인 취약성을 검색하고 추적 및 수정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
도구 기능 업데이트
ID: NIST SP 800-53 Rev. 4 RA-5(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1551 - 취약성 검사 | 도구 기능 업데이트 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
빈도에 따라/새 검사 전에/발견될 때 업데이트
ID: NIST SP 800-53 Rev. 4 RA-5(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1552 - 취약성 검사 | 빈도에 따라/새 검사 전에/발견될 때 업데이트 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
적용 범위/깊이
ID: NIST SP 800-53 Rev. 4 RA-5(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1553 - 취약성 검사 | 적용 폭/깊이 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
검색 가능한 정보
ID: NIST SP 800-53 Rev. 4 RA-5(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1554 - 취약성 검사 | 검색 가능한 정보 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
권한 있는 액세스
ID: NIST SP 800-53 Rev. 4 RA-5(5) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1555 - 취약성 검사 | 권한 있는 액세스 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
자동화된 추세 분석
ID: NIST SP 800-53 Rev. 4 RA-5(6) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1556 - 취약성 검사 | 자동화된 추세 분석 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
기록 감사 로그 검토
ID: NIST SP 800-53 Rev. 4 RA-5(8) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1557 - 취약성 검사 | 기록 감사 로그 검토 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
검사 정보 상관 관계
ID: NIST SP 800-53 Rev. 4 RA-5(10) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1558 - 취약성 검사 | 검사 정보 상호 연결 | Microsoft에서 구현하는 위험 평가 컨트롤 | 감사 | 1.0.0 |
시스템 및 서비스 취득
시스템 및 서비스 취득 정책 및 절차
ID: NIST SP 800-53 Rev. 4 SA-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1559 - 시스템 및 서비스 취득 정책과 절차 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1560 - 시스템 및 서비스 취득 정책과 절차 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
리소스 할당
ID: NIST SP 800-53 Rev. 4 SA-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1561 - 리소스 할당 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1562 - 리소스 할당 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1563 - 리소스 할당 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
시스템 개발 수명 주기
ID: NIST SP 800-53 Rev. 4 SA-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1564 - 시스템 개발 수명 주기 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1565 - 시스템 개발 수명 주기 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1566 - 시스템 개발 수명 주기 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1567 - 시스템 개발 수명 주기 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
취득 프로세스
ID: NIST SP 800-53 Rev. 4 SA-4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1568 - 취득 프로세스 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1569 - 취득 프로세스 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1570 - 취득 프로세스 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1571 - 취득 프로세스 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1572 - 취득 프로세스 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1573 - 취득 프로세스 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1574 - 취득 프로세스 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
보안 제어의 기능 속성
ID: NIST SP 800-53 Rev. 4 SA-4(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1575 - 취득 프로세스 | 보안 컨트롤의 기능 속성 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
보안 제어에 대한 디자인/구현 정보
ID: NIST SP 800-53 Rev. 4 SA-4(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1576 - 취득 프로세스 | 보안 컨트롤에 대한 디자인/구현 정보 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
지속적인 모니터링 계획
ID: NIST SP 800-53 Rev. 4 SA-4(8) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1577 - 취득 프로세스 | 지속적인 모니터링 계획 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
사용 중인 기능/포트/프로토콜/서비스
ID: NIST SP 800-53 Rev. 4 SA-4(9) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1578 - 취득 프로세스 | 사용 중인 기능/포트/프로토콜/서비스 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
승인된 PIV 제품 사용
ID: NIST SP 800-53 Rev. 4 SA-4(10) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1579 - 취득 프로세스 | 승인된 Piv 제품 사용 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
정보 시스템 설명서
ID: NIST SP 800-53 Rev. 4 SA-5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1580 - 정보 시스템 설명서 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1581 - 정보 시스템 설명서 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1582 - 정보 시스템 설명서 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1583 - 정보 시스템 설명서 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1584 - 정보 시스템 설명서 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
보안 엔지니어링 원칙
ID: NIST SP 800-53 Rev. 4 SA-8 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1585 - 보안 엔지니어링 원칙 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
외부 정보 시스템 서비스
ID: NIST SP 800-53 Rev. 4 SA-9 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1586 - 외부 정보 시스템 서비스 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1587 - 외부 정보 시스템 서비스 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1588 - 외부 정보 시스템 서비스 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
위험 평가/조직 승인
ID: NIST SP 800-53 Rev. 4 SA-9(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1589 - 외부 정보 시스템 서비스 | 위험 평가/조직 승인 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1590 - 외부 정보 시스템 서비스 | 위험 평가/조직 승인 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
기능/ 포트/프로토콜/서비스 식별
ID: NIST SP 800-53 Rev. 4 SA-9(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1591 - 외부 정보 시스템 서비스 | 기능/포트/프로토콜 식별... | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
소비자 및 공급자의 일관된 관심사
ID: NIST SP 800-53 Rev. 4 SA-9(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1592 - 외부 정보 시스템 서비스 | 소비자와 공급자의 일관적인 관심 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
처리, 스토리지 및 서비스 위치
ID: NIST SP 800-53 Rev. 4 SA-9(5) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1593 - 외부 정보 시스템 서비스 | 처리, 스토리지 및 서비스 위치 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
개발자 구성 관리
ID: NIST SP 800-53 Rev. 4 SA-10 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1594 - 개발자 구성 관리 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1595 - 개발자 구성 관리 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1596 - 개발자 구성 관리 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1597 - 개발자 구성 관리 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1598 - 개발자 구성 관리 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
소프트웨어/펌웨어 무결성 확인
ID: NIST SP 800-53 Rev. 4 SA-10(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1599 - 개발자 구성 관리 | 소프트웨어/펌웨어 무결성 확인 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
개발자 보안 테스트 및 평가
ID: NIST SP 800-53 Rev. 4 SA-11 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1600 - 개발자 보안 테스트 및 평가 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1601 - 개발자 보안 테스트 및 평가 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1602 - 개발자 보안 테스트 및 평가 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1603 - 개발자 보안 테스트 및 평가 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1604 - 개발자 보안 테스트 및 평가 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
정적 코드 분석
ID: NIST SP 800-53 Rev. 4 SA-11 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1605 - 개발자 보안 테스트 및 평가 | 정적 코드 분석 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
위협 및 취약성 분석
ID: NIST SP 800-53 Rev. 4 SA-11 (2) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1606 - 개발자 보안 테스트 및 평가 | 위협 및 취약성 분석 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
동적 코드 분석
ID: NIST SP 800-53 Rev. 4 SA-11 (8) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1607 - 개발자 보안 테스트 및 평가 | 동적 코드 분석 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
공급 체인 보호
ID: NIST SP 800-53 Rev. 4 SA-12 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1608 - 공급망 보호 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
개발 프로세스, 표준 및 도구
ID: NIST SP 800-53 Rev. 4 SA-15 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1609 - 개발 프로세스, 표준 및 도구 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1610 - 개발 프로세스, 표준 및 도구 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
개발자가 제공한 교육
ID: NIST SP 800-53 Rev. 4 SA-16 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1611 - 개발자가 제공한 교육 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
개발자 보안 아키텍처 및 디자인
ID: NIST SP 800-53 Rev. 4 SA-17 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1612 - 개발자 보안 아키텍처 및 디자인 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1613 - 개발자 보안 아키텍처 및 디자인 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1614 - 개발자 보안 아키텍처 및 디자인 | Microsoft에서 구현하는 시스템 및 서비스 취득 컨트롤 | 감사 | 1.0.0 |
시스템 및 통신 보호
시스템 및 통신 보호 정책 및 절차
ID: NIST SP 800-53 Rev. 4 SC-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1615 - 시스템 및 통신 보호 정책과 절차 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1616 - 시스템 및 통신 보호 정책과 절차 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
애플리케이션 분할
ID: NIST SP 800-53 Rev. 4 SC-2 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1617 - 애플리케이션 분할 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
보안 기능 격리
ID: NIST SP 800-53 Rev. 4 SC-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
Microsoft 관리형 컨트롤 1618 - 보안 기능 격리 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당). | AuditIfNotExists, 사용 안 함 | 1.1.1 |
공유 리소스의 정보
ID: NIST SP 800-53 Rev. 4 SC-4 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1619 - 공유 리소스의 정보 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
서비스 거부 방지
ID: NIST SP 800-53 Rev. 4 SC-5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure DDoS Protection을 사용하도록 설정해야 함 | 공용 IP를 사용하는 애플리케이션 게이트웨이의 일부인 서브넷이 포함된 모든 가상 네트워크에 DDoS 보호를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.1 |
Azure Front Door 진입점에 대해 Azure Web Application Firewall을 사용하도록 설정해야 함 | 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Microsoft 관리형 컨트롤 1620 - 서비스 거부 방지 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 | 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
리소스 가용성
ID: NIST SP 800-53 Rev. 4 SC-6 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1621 - 리소스 가용성 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
경계 보호
ID: NIST SP 800-53 Rev. 4 SC-7 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[사용되지 않음]: Azure Cognitive Search 서비스에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Cognitive Search에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1-deprecated |
[사용되지 않음]: Cognitive Services에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Cognitive Services에 매핑하면 데이터 유출 가능성이 줄어듭니다. https://go.microsoft.com/fwlink/?linkid=2129800에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 3.0.1-deprecated |
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
API Management 서비스에서 가상 네트워크를 사용해야 함 | Azure Virtual Network 배포는 향상된 보안, 격리를 제공하며, 액세스를 제어하는 인터넷 라우팅이 불가능한 네트워크에 API Management 서비스를 배치할 수 있습니다. 그런 다음, 다양한 VPN 기술을 사용하여 이러한 네트워크를 온-프레미스 네트워크에 연결할 수 있으며, 이를 통해 네트워크 및/또는 온-프레미스 내에서 백 엔드 서비스에 액세스할 수 있습니다. 개발자 포털 및 API 게이트웨이를 인터넷에서 또는 가상 네트워크 내에서만 액세스할 수 있게 구성할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
App Configuration은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 앱 구성 인스턴스에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/appconfig/private-endpoint에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
권한 있는 IP 범위는 Kubernetes Services에 정의되어야 함 | 특정 범위의 IP 주소에만 API 액세스 권한을 부여하여 Kubernetes Service Management API에 대한 액세스를 제한합니다. 허용된 네트워크의 애플리케이션만 클러스터에 액세스할 수 있도록 인증된 IP 범위에 대한 액세스를 제한하는 것이 좋습니다. | 감사, 사용 안 함 | 2.0.0 |
Azure AI 서비스 리소스는 네트워크 액세스를 제한해야 함 | 네트워크 액세스를 제한하면 허용된 네트워크만 서비스에 액세스할 수 있도록 할 수 있습니다. 이는 허용된 네트워크의 애플리케이션만 Azure AI 서비스에 액세스할 수 있도록 네트워크 규칙을 구성하여 달성할 수 있습니다. | 감사, 거부, 사용 안 함 | 3.2.0 |
Azure Cache for Redis는 프라이빗 링크를 사용해야 함 | 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 Azure Cache for Redis 인스턴스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Cognitive Search 서비스는 프라이빗 링크를 지원하는 SKU를 사용해야 함 | Azure Cognitive Search의 지원되는 SKU를 통해 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Search Service에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Cognitive Search 서비스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Cognitive Search 서비스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 Search Service의 노출을 제한할 수 있습니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Cosmos DB 계정에 방화벽 규칙이 있어야 함 | 권한 없는 원본의 트래픽을 방지하기 위해 Azure Cosmos DB 계정에 방화벽 규칙을 정의해야 합니다. 가상 네트워크 필터를 사용하도록 정의된 IP 규칙이 하나 이상 있는 계정은 규정을 준수하는 것으로 간주됩니다. 퍼블릭 액세스를 비활성화한 계정도 규정을 준수하는 것으로 간주됩니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
Azure Data Factory는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Data Factory에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/data-factory/data-factory-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Event Grid 도메인은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 도메인에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.2 |
Azure Event Grid 토픽은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 토픽에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.2 |
Azure 파일 동기화는 프라이빗 링크를 사용해야 함 | 표시된 Storage Sync Service 리소스의 프라이빗 엔드포인트를 만들면 인터넷에서 액세스할 수 있는 퍼블릭 엔드포인트를 사용하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스를 처리할 수 있습니다. 프라이빗 엔드포인트를 자체적으로 만든다고 해서 퍼블릭 엔드포인트가 비활성화되지 않습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Key Vault에는 방화벽이 활성화되어 있어야 합니다. | 키 자격 증명 모음이 기본적으로 공용 IP에 액세스할 수 없도록 키 자격 증명 모음 방화벽을 사용하도록 설정합니다. 필요에 따라, 특정 IP 범위를 구성하여 해당 네트워크에 대한 액세스를 제한할 수 있습니다. https://docs.microsoft.com/azure/key-vault/general/network-security에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.4.1 |
Azure Machine Learning 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Machine Learning 작업 영역에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Azure Service Bus 네임스페이스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Service Bus 네임스페이스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure SignalR Service는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 전체 서비스가 아닌 Azure SignalR Service 리소스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/asrs/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Azure Synapse 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Synapse 작업 영역에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
Azure Front Door 진입점에 대해 Azure Web Application Firewall을 사용하도록 설정해야 함 | 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 | 기본적으로 Azure Container Registry는 모든 네트워크에 있는 호스트로부터의 인터넷 연결을 수락합니다. 잠재적인 위협으로부터 레지스트리를 보호하려면 특정 프라이빗 엔드포인트, 공용 IP 주소 또는 주소 범위에서만 액세스를 허용합니다. 레지스트리에 네트워크 규칙이 구성되어 있지 않으면 비정상 리소스에 나타납니다. Container Registry 네트워크 규칙에 대한 자세한 내용은 https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network 및 https://aka.ms/acr/vnet을 참조하세요. | 감사, 거부, 사용 안 함 | 2.0.0 |
컨테이너 레지스트리는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 프라이빗 엔드포인트를 컨테이너 레지스트리에 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/acr/private-link에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
CosmosDB 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 CosmosDB 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 diskAccesses에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/disksprivatelinksdoc에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Event Hub 네임스페이스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Event Hub 네임스페이스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/event-hubs/private-link-service에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
IoT Hub 디바이스 프로비저닝 서비스 인스턴스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 IoT Hub 디바이스 프로비저닝 서비스에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/iotdpsvnet에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
가상 머신에서 관리 포트를 닫아야 합니다. | 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Microsoft 관리형 컨트롤 1622 - 경계 보호 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1623 - 경계 보호 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1624 - 경계 보호 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure SQL Database에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함 | 프라이빗 엔드포인트 연결은 Azure SQL Database에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. | 감사, 사용 안 함 | 1.1.0 |
Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | IP 기반 필터링 대신 기본 방법으로 가상 네트워크 규칙을 사용하여 잠재적인 위협으로부터 스토리지 계정을 보호합니다. IP 기반 필터링을 사용하지 않도록 설정하면 공용 IP에서 스토리지 계정에 액세스할 수 없습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
스토리지 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/azureprivatelinkoverview에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
서브넷을 네트워크 보안 그룹과 연결해야 합니다. | NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 | 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
액세스 지점
ID: NIST SP 800-53 Rev. 4 SC-7(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[사용되지 않음]: Azure Cognitive Search 서비스에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Cognitive Search에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1-deprecated |
[사용되지 않음]: Cognitive Services에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Cognitive Services에 매핑하면 데이터 유출 가능성이 줄어듭니다. https://go.microsoft.com/fwlink/?linkid=2129800에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 3.0.1-deprecated |
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
API Management 서비스에서 가상 네트워크를 사용해야 함 | Azure Virtual Network 배포는 향상된 보안, 격리를 제공하며, 액세스를 제어하는 인터넷 라우팅이 불가능한 네트워크에 API Management 서비스를 배치할 수 있습니다. 그런 다음, 다양한 VPN 기술을 사용하여 이러한 네트워크를 온-프레미스 네트워크에 연결할 수 있으며, 이를 통해 네트워크 및/또는 온-프레미스 내에서 백 엔드 서비스에 액세스할 수 있습니다. 개발자 포털 및 API 게이트웨이를 인터넷에서 또는 가상 네트워크 내에서만 액세스할 수 있게 구성할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
App Configuration은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 앱 구성 인스턴스에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/appconfig/private-endpoint에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
권한 있는 IP 범위는 Kubernetes Services에 정의되어야 함 | 특정 범위의 IP 주소에만 API 액세스 권한을 부여하여 Kubernetes Service Management API에 대한 액세스를 제한합니다. 허용된 네트워크의 애플리케이션만 클러스터에 액세스할 수 있도록 인증된 IP 범위에 대한 액세스를 제한하는 것이 좋습니다. | 감사, 사용 안 함 | 2.0.0 |
Azure AI 서비스 리소스는 네트워크 액세스를 제한해야 함 | 네트워크 액세스를 제한하면 허용된 네트워크만 서비스에 액세스할 수 있도록 할 수 있습니다. 이는 허용된 네트워크의 애플리케이션만 Azure AI 서비스에 액세스할 수 있도록 네트워크 규칙을 구성하여 달성할 수 있습니다. | 감사, 거부, 사용 안 함 | 3.2.0 |
Azure Cache for Redis는 프라이빗 링크를 사용해야 함 | 프라이빗 엔드포인트를 사용하면 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 엔드포인트를 Azure Cache for Redis 인스턴스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/azure-cache-for-redis/cache-private-link에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Cognitive Search 서비스는 프라이빗 링크를 지원하는 SKU를 사용해야 함 | Azure Cognitive Search의 지원되는 SKU를 통해 Azure Private Link를 사용하면 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Search Service에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Cognitive Search 서비스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스를 사용하지 않도록 설정하면 Azure Cognitive Search 서비스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 프라이빗 엔드포인트를 만들면 Search Service의 노출을 제한할 수 있습니다. https://aka.ms/azure-cognitive-search/inbound-private-endpoints에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Cosmos DB 계정에 방화벽 규칙이 있어야 함 | 권한 없는 원본의 트래픽을 방지하기 위해 Azure Cosmos DB 계정에 방화벽 규칙을 정의해야 합니다. 가상 네트워크 필터를 사용하도록 정의된 IP 규칙이 하나 이상 있는 계정은 규정을 준수하는 것으로 간주됩니다. 퍼블릭 액세스를 비활성화한 계정도 규정을 준수하는 것으로 간주됩니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
Azure Data Factory는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Data Factory에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/data-factory/data-factory-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Event Grid 도메인은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 도메인에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.2 |
Azure Event Grid 토픽은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스가 아닌 Event Grid 토픽에 프라이빗 엔드포인트를 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/privateendpoints에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.2 |
Azure 파일 동기화는 프라이빗 링크를 사용해야 함 | 표시된 Storage Sync Service 리소스의 프라이빗 엔드포인트를 만들면 인터넷에서 액세스할 수 있는 퍼블릭 엔드포인트를 사용하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스를 처리할 수 있습니다. 프라이빗 엔드포인트를 자체적으로 만든다고 해서 퍼블릭 엔드포인트가 비활성화되지 않습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure Key Vault에는 방화벽이 활성화되어 있어야 합니다. | 키 자격 증명 모음이 기본적으로 공용 IP에 액세스할 수 없도록 키 자격 증명 모음 방화벽을 사용하도록 설정합니다. 필요에 따라, 특정 IP 범위를 구성하여 해당 네트워크에 대한 액세스를 제한할 수 있습니다. https://docs.microsoft.com/azure/key-vault/general/network-security에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.4.1 |
Azure Machine Learning 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Machine Learning 작업 영역에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/machine-learning/how-to-configure-private-link에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Azure Service Bus 네임스페이스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Service Bus 네임스페이스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure SignalR Service는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 전체 서비스가 아닌 Azure SignalR Service 리소스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/asrs/privatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
Azure Synapse 작업 영역은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Azure Synapse 작업 영역에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/synapse-analytics/security/how-to-connect-to-workspace-with-private-links에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
Azure Front Door 진입점에 대해 Azure Web Application Firewall을 사용하도록 설정해야 함 | 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
컨테이너 레지스트리는 무제한 네트워크 액세스를 허용하지 않아야 함 | 기본적으로 Azure Container Registry는 모든 네트워크에 있는 호스트로부터의 인터넷 연결을 수락합니다. 잠재적인 위협으로부터 레지스트리를 보호하려면 특정 프라이빗 엔드포인트, 공용 IP 주소 또는 주소 범위에서만 액세스를 허용합니다. 레지스트리에 네트워크 규칙이 구성되어 있지 않으면 비정상 리소스에 나타납니다. Container Registry 네트워크 규칙에 대한 자세한 내용은 https://aka.ms/acr/privatelink, https://aka.ms/acr/portal/public-network 및 https://aka.ms/acr/vnet을 참조하세요. | 감사, 거부, 사용 안 함 | 2.0.0 |
컨테이너 레지스트리는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. 프라이빗 링크 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 전체 서비스 대신 프라이빗 엔드포인트를 컨테이너 레지스트리에 매핑하면 데이터 유출 위험으로부터 보호받을 수 있습니다. https://aka.ms/acr/private-link에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.1 |
CosmosDB 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 CosmosDB 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/cosmos-db/how-to-configure-private-endpoints에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 diskAccesses에 매핑하면 데이터 누출 위험이 줄어듭니다. https://aka.ms/disksprivatelinksdoc에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Event Hub 네임스페이스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Event Hub 네임스페이스에 매핑하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/event-hubs/private-link-service에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
IoT Hub 디바이스 프로비저닝 서비스 인스턴스는 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 IoT Hub 디바이스 프로비저닝 서비스에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/iotdpsvnet에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 |
가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
가상 머신에서 관리 포트를 닫아야 합니다. | 열려 있는 원격 관리 포트는 위험도가 높은 인터넷 기반 공격에 VM을 노출시킵니다. 이러한 공격은 자격 증명을 무차별적으로 대입하여 머신에 대한 관리자 액세스 권한을 획득하려고 시도합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Microsoft 관리형 컨트롤 1625 - 경계 보호 | 액세스 지점 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Azure SQL Database에서 프라이빗 엔드포인트 연결을 사용하도록 설정해야 함 | 프라이빗 엔드포인트 연결은 Azure SQL Database에 대한 프라이빗 연결을 사용하도록 설정하여 보안 통신을 강화합니다. | 감사, 사용 안 함 | 1.1.0 |
Azure SQL Database에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 공용 네트워크 액세스 속성을 사용하지 않도록 설정하면 프라이빗 엔드포인트에서만 Azure SQL Database에 액세스할 수 있도록 하여 보안이 향상됩니다. 이 구성은 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | IP 기반 필터링 대신 기본 방법으로 가상 네트워크 규칙을 사용하여 잠재적인 위협으로부터 스토리지 계정을 보호합니다. IP 기반 필터링을 사용하지 않도록 설정하면 공용 IP에서 스토리지 계정에 액세스할 수 없습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
스토리지 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/azureprivatelinkoverview에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
서브넷을 네트워크 보안 그룹과 연결해야 합니다. | NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 | 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
외부 원격 통신 서비스
ID: NIST SP 800-53 Rev. 4 SC-7(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1626 - 경계 보호 | 외부 원격 통신 서비스 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1627 - 경계 보호 | 외부 원격 통신 서비스 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1628 - 경계 보호 | 외부 원격 통신 서비스 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1629 - 경계 보호 | 외부 원격 통신 서비스 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1630 - 경계 보호 | 외부 원격 통신 서비스 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
기본적으로 거부/예외적으로 허용
ID: NIST SP 800-53 Rev. 4 SC-7 (5) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1631 - 경계 보호 | 기본적으로 거부/예외적으로 허용 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
원격 디바이스에 대한 분할 터널링 방지
ID: NIST SP 800-53 Rev. 4 SC-7(7) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1632 - 경계 보호 | 원격 디바이스에 대한 분할 터널링 방지 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
인증된 프록시 서버로 트래픽 라우팅
ID: NIST SP 800-53 Rev. 4 SC-7(8) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1633 - 경계 보호 | 인증된 프록시 서버로 트래픽 라우팅 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
무단 반출 방지
ID: NIST SP 800-53 Rev. 4 SC-7 (10) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1634 - 경계 보호 | 무단 반출 방지 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
호스트 기반 보호
ID: NIST SP 800-53 Rev. 4 SC-7(12) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1635 - 경계 보호 | 호스트 기반 보호 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
보안 도구/메커니즘/지원 구성 요소 격리
ID: NIST SP 800-53 Rev. 4 SC-7(13) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1636 - 경계 보호 | 보안 도구/메커니즘/지원 구성 요소 격리 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
보안 실패
ID: NIST SP 800-53 Rev. 4 SC-7(18) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1637 - 경계 보호 | 보안 실패 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
동적 격리/분리
ID: NIST SP 800-53 Rev. 4 SC-7(20) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1638 - 경계 보호 | 동적 격리/분리 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
정보 시스템 구성 요소 격리
ID: NIST SP 800-53 Rev. 4 SC-7(21) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1639 - 경계 보호 | 정보 시스템 구성 요소 격리 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
전송 기밀성 및 무결성
ID: NIST SP 800-53 Rev. 4 SC-8 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 4.0.0 |
App Service 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
App Service 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
Azure HDInsight 클러스터는 전송 중 암호화를 사용하여 Azure HDInsight 클러스터 노드 간 통신을 암호화해야 함 | 데이터는 Azure HDInsight 클러스터 노드 간 전송 중에 변조될 수 있습니다. 전송 중 암호화를 사용하도록 설정하면 전송 중 오용 및 변조 문제가 해결됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | MySQL용 Azure Database는 SSL(Secure Sockets Layer)을 사용한 MySQL용 Azure Database 서버와 클라이언트 애플리케이션 간 연결을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결하는 것을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 5.0.0 |
함수 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
함수 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
Kubernetes 클러스터는 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 인증을 보장하고, 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. 이 기능은 현재 AKS(Kubernetes Service)에 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 방문하세요. | 감사, 거부, 사용 안 함 | 9.1.0 |
Microsoft 관리형 컨트롤 1640 - 전송 기밀성 및 무결성 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Azure Cache for Redis에 보안 연결만 사용하도록 설정해야 함 | SSL을 통해 설정된 Azure Cache for Redis 연결만 감사 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 컴퓨터에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. | AuditIfNotExists, 사용 안 함 | 3.0.1 |
암호화 또는 대체 물리적 보호
ID: NIST SP 800-53 Rev. 4 SC-8(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 4.0.0 |
App Service 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
App Service 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 App Service 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
Azure HDInsight 클러스터는 전송 중 암호화를 사용하여 Azure HDInsight 클러스터 노드 간 통신을 암호화해야 함 | 데이터는 Azure HDInsight 클러스터 노드 간 전송 중에 변조될 수 있습니다. 전송 중 암호화를 사용하도록 설정하면 전송 중 오용 및 변조 문제가 해결됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | MySQL용 Azure Database는 SSL(Secure Sockets Layer)을 사용한 MySQL용 Azure Database 서버와 클라이언트 애플리케이션 간 연결을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용하도록 설정해야 합니다. | Azure Database for PostgreSQL은 SSL(Secure Sockets Layer)을 사용하여 Azure Database for PostgreSQL 서버를 클라이언트 애플리케이션에 연결하는 것을 지원합니다. 데이터베이스 서버와 클라이언트 애플리케이션 간 SSL 연결을 적용하면 서버와 애플리케이션 간 데이터 스트림을 암호화함으로써 '메시지 가로채기(man in the middle)' 공격으로부터 보호할 수 있습니다. 이 구성을 적용하면 데이터베이스 서버에 액세스할 때 항상 SSL을 사용하도록 설정됩니다. | 감사, 사용 안 함 | 1.0.1 |
함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 5.0.0 |
함수 앱에는 FTPS만 필요함 | 강화된 보안을 위해 FTPS 적용을 사용합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
함수 앱은 최신 TLS 버전을 사용해야 함 | 주기적으로 보안 결함이나 추가 기능 및 속도 향상을 위해 TLS용 최신 버전이 릴리스됩니다. 보안 픽스(있는 경우) 및/또는 최신 버전의 새로운 기능을 활용하려면 기능 앱용 최신 TLS 버전으로 업그레이드합니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
Kubernetes 클러스터는 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 인증을 보장하고, 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. 이 기능은 현재 AKS(Kubernetes Service)에 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 방문하세요. | 감사, 거부, 사용 안 함 | 9.1.0 |
Microsoft 관리형 컨트롤 1641 - 전송 기밀성 및 무결성 | 암호화 또는 대체 물리적 보호 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Azure Cache for Redis에 보안 연결만 사용하도록 설정해야 함 | SSL을 통해 설정된 Azure Cache for Redis 연결만 감사 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 컴퓨터에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. | AuditIfNotExists, 사용 안 함 | 3.0.1 |
네트워크 연결 끊기
ID: NIST SP 800-53 Rev. 4 SC-10 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1642 - 네트워크 연결 해제 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
암호화 키 설정 및 관리
ID: NIST SP 800-53 Rev. 4 SC-12 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[미리 보기]: Azure Recovery Services 자격 증명 모음에서는 백업 데이터를 암호화하는 데 고객 관리형 키를 사용해야 합니다. | 고객 관리형 키를 사용하여 백업 데이터의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/AB-CmkEncryption에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
[미리 보기]: IoT Hub 디바이스 프로비저닝 서비스 데이터는 CMK(고객 관리형 키)를 사용하여 암호화되어야 함 | 고객 관리형 키를 사용하여 IoT Hub 디바이스 프로비저닝 서비스의 미사용 데이터 암호화를 관리합니다. 데이터는 서비스 관리형 키를 사용하여 자동으로 미사용 데이터가 암호화되지만, CMK(고객 관리형 키)는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. CMK를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키로 데이터를 암호화할 수 있습니다. https://aka.ms/dps/CMK에서 CMK 암호화에 대해 자세히 알아봅니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
Azure AI 서비스 리소스는 CMK(고객 관리형 키)를 사용하여 미사용 데이터를 암호화해야 합니다. | 고객 관리형 키를 사용하여 미사용 데이터를 암호화하면 회전 및 관리를 비롯한 주요 수명 주기를 더욱 세세하게 제어할 수 있습니다. 이는 관련 규정 준수 요구 사항이 있는 조직과 특히 관련이 있습니다. 기본적으로 평가되지 않으며 규정 준수 또는 제한적인 정책 요구 사항에 따라 필요한 경우에만 적용해야 합니다. 사용하도록 설정하지 않으면 플랫폼 관리형 키를 사용하여 데이터가 암호화됩니다. 이를 구현하려면 해당 범위에 대한 보안 정책에서 ‘Effect’ 매개 변수를 업데이트합니다. | 감사, 거부, 사용 안 함 | 2.2.0 |
Azure Automation 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Automation 계정의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/automation-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Batch 계정은 고객 관리형 키를 사용하여 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Batch 계정 데이터의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/Batch-CMK에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
Azure Container Instance 컨테이너 그룹은 암호화에 고객 관리형 키를 사용해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 컨테이너를 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 사용 안 함, 거부 | 1.0.0 |
Azure Cosmos DB 계정은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Cosmos DB의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/cosmosdb-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure Data Box 작업에서 고객 관리형 키를 사용하여 디바이스 잠금 해제 암호를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Data Box에 대한 디바이스 잠금 해제 암호의 암호화를 제어합니다. 고객 관리형 키는 디바이스를 준비하고 자동화된 방식으로 데이터를 복사하기 위해 Data Box 서비스에서 디바이스 잠금 해제 암호에 대한 액세스를 관리하는 데도 도움이 됩니다. 디바이스 자체의 데이터는 Advanced Encryption Standard 256비트 암호화를 사용하여 미사용 상태로 이미 암호화되어 있으며, 디바이스 잠금 해제 암호는 기본적으로 Microsoft 관리형 키를 사용하여 암호화됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Data Explorer 저장 데이터 암호화는 고객 관리형 키를 사용해야 함 | Azure Data Explorer 클러스터에서 고객 관리형 키를 사용하여 저장 데이터 암호화를 활성화하면 저장 데이터 암호화에 사용되는 키를 추가로 제어할 수 있습니다. 이 기능은 종종 특별한 규정 준수 요구 사항을 충족하는 고객에게 적용되며, 키 관리를 위해 Key Vault가 필요합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Data Factory는 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Data Factory의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/adf-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
Azure HDInsight 클러스터는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure HDInsight 클러스터의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/hdi.cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
Azure HDInsight 클러스터는 호스트에서 암호화를 사용하여 미사용 데이터를 암호화해야 함 | 호스트에서 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 호스트에서 암호화를 사용하도록 설정하면 VM 호스트에 저장된 데이터는 미사용 및 스토리지 서비스로 암호화된 흐름으로 암호화됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Machine Learning 작업 영역은 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Machine Learning 작업 영역의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/azureml-workspaces-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure Monitor 로그 클러스터는 고객 관리형 키로 암호화해야 함 | 고객 관리형 키 암호화를 사용하여 Azure Monitor 로그 클러스터를 만듭니다. 기본적으로 로그 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수를 충족하려면 고객 관리형 키가 필요합니다. Azure Monitor에서 고객 관리형 키를 사용하면 데이터에 대한 액세스를 보다 강력하게 제어할 수 있습니다. https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys를 참조하세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure Stream Analytics 작업은 고객 관리형 키를 사용하여 데이터를 암호화해야 함 | 스토리지 계정에 Stream Analytics 작업의 메타데이터 및 프라이빗 데이터 자산을 모두 안전하게 저장하려면 고객 관리형 키를 사용합니다. 이를 통해 Stream Analytics 데이터가 암호화되는 방식을 완전히 제어할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure Synapse 작업 영역은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 Azure Synapse 작업 영역에 저장된 데이터의 저장 데이터 암호화를 제어합니다. 고객 관리형 키는 서비스 관리형 키를 사용하여 수행되는 기본 암호화 위에 두 번째 암호화 계층을 추가하여 이중 암호화를 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Bot Service는 고객 관리형 키로 암호화해야 함 | Azure Bot Service는 리소스를 자동으로 암호화하여 데이터를 보호하고 조직의 보안 및 규정 준수 약정을 충족합니다. 기본적으로 Microsoft 관리형 암호화 키가 사용됩니다. 키 관리 또는 구독에 대한 액세스 제어의 유연성을 향상하려면 BYOK(Bring Your Own Key)라고도 하는 고객 관리형 키를 선택합니다. Azure Bot Service 암호화에 대한 자세한 정보: https://docs.microsoft.com/azure/bot-service/bot-service-encryption. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure Kubernetes Service 클러스터의 운영 체제와 데이터 디스크를 모두 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 OS 및 데이터 디스크를 암호화하면 키 관리를 더 효율적으로 제어하고 더 유연하게 수행할 수 있습니다. 이는 다양한 규정 및 업계 규정 준수 표준의 공통 요구 사항입니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
컨테이너 레지스트리는 고객 관리형 키를 사용하여 암호화해야 함 | 고객 관리형 키를 사용하여 레지스트리 콘텐츠의 미사용 데이터 암호화를 관리합니다. 기본적으로 저장 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/acr/CMK에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.2 |
Event Hub 네임스페이스는 암호화에 고객 관리형 키를 사용해야 함 | Azure Event Hubs는 Microsoft 관리형 키(기본값) 또는 고객 관리형 키를 사용하여 미사용 데이터를 암호화하는 옵션을 지원합니다. 고객 관리형 키를 사용하여 데이터를 암호화하도록 선택하면 Event Hub가 네임스페이스의 데이터를 암호화하는 데 사용할 키에 대한 액세스 권한을 할당, 회전, 비활성화 및 취소할 수 있습니다. Event Hub는 전용 클러스터의 네임스페이스에 대해 고객 관리형 키를 사용한 암호화만 지원합니다. | 감사, 사용 안 함 | 1.0.0 |
Logic Apps 통합 서비스 환경은 고객 관리형 키로 암호화되어야 함 | 통합 서비스 환경에 배포하여 고객 관리형 키를 사용하여 미사용 Logic Apps 데이터의 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
관리 디스크는 플랫폼 관리형 및 고객 관리형 키를 둘 다 사용하여 이중 암호화해야 함 | 특정 암호화 알고리즘, 구현 또는 손상되는 키와 연결된 위험에 관해 우려하는 높은 수준의 보안을 중요시하는 고객은 플랫폼 관리형 암호화 키를 사용하는 인프라 계층에서 다른 암호화 알고리즘/모드를 사용하는 추가적인 암호화 계층을 선택할 수 있습니다. 이중 암호화를 사용하려면 디스크 암호화 집합이 필요합니다. https://aka.ms/disks-doubleEncryption에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
Microsoft 관리형 컨트롤 1643 - 암호화 키 설정 및 관리 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
OS 및 데이터 디스크는 고객 관리형 키로 암호화해야 함 | 고객 관리형 키를 사용하여 관리 디스크 콘텐츠의 미사용 데이터 암호화를 관리합니다. 기본적으로 미사용 데이터는 플랫폼 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수 표준을 충족하려면 고객 관리형 키가 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/disks-cmk에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 3.0.0 |
로그 암호화를 위해 Azure Monitor에 저장된 쿼리를 고객 스토리지 계정에 저장해야 함 | 저장소 계정을 Log Analytics 작업 영역에 연결하여 저장소 계정 암호화로 저장된 쿼리를 보호합니다. 고객 관리형 키는 일반적으로 규정 준수를 충족하고 Azure Monitor에 저장된 쿼리에 대한 액세스를 보다 강력하게 제어하는 데 필요합니다. 위의 항목에 대한 자세한 내용은 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries를 참조하세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Service Bus 프리미엄 네임스페이스는 암호화에 고객 관리형 키를 사용해야 함 | Azure Service Bus는 Microsoft 관리형 키(기본값) 또는 고객 관리형 키를 사용하여 미사용 데이터를 암호화하는 옵션을 지원합니다. 고객 관리형 키를 사용하여 데이터를 암호화하도록 선택하면 Service Bus가 네임스페이스의 데이터를 암호화하는 데 사용할 키에 대한 액세스 권한을 할당, 회전, 비활성화 및 취소할 수 있습니다. Service Bus는 프리미엄 네임스페이스에 대해 고객 관리형 키를 사용한 암호화만 지원합니다. | 감사, 사용 안 함 | 1.0.0 |
SQL Managed Instance는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통한 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
SQL 서버는 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 자체 키를 사용하여 TDE(투명한 데이터 암호화)를 구현하면 TDE 보호기에 대한 투명성과 제어력이 향상되고, HSM 지원 외부 서비스를 통해 보안이 강화되며, 업무 분리 프로모션을 제공합니다. 이 권장 사항은 관련 규정 준수 요구 사항이 있는 조직에 적용됩니다. | 감사, 거부, 사용 안 함 | 2.0.1 |
스토리지 계정 암호화 범위에서 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 스토리지 계정 암호화 범위의 미사용 데이터 암호화를 관리합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure 키 자격 증명 모음 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/encryption-scopes-overview에서 스토리지 계정 암호화 범위에 대해 자세히 알아봅니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 Blob 및 파일 스토리지 계정을 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 사용 안 함 | 1.0.3 |
가용성
ID: NIST SP 800-53 Rev. 4 SC-12(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1644 - 암호화 키 설정 및 관리 | 가용성 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
대칭 키
ID: NIST SP 800-53 Rev. 4 SC-12(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1645 - 암호화 키 설정 및 관리 | 대칭 키 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
비대칭 키
ID: NIST SP 800-53 Rev. 4 SC-12(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1646 - 암호화 키 설정 및 관리 | 비대칭 키 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
암호화 보호
ID: NIST SP 800-53 Rev. 4 SC-13 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1647 - 암호화 사용 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
공동 컴퓨팅 디바이스
ID: NIST SP 800-53 Rev. 4 SC-15 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1648 - 협업 컴퓨팅 디바이스 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1649 - 협업 컴퓨팅 디바이스 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
공개 키 인프라 인증서
ID: NIST SP 800-53 Rev. 4 SC-17 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1650 - 공개 키 인프라 인증서 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
모바일 코드
ID: NIST SP 800-53 Rev. 4 SC-18 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1651 - 모바일 코드 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1652 - 모바일 코드 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1653 - 모바일 코드 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Voice Over Internet Protocol
ID: NIST SP 800-53 Rev. 4 SC-19 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1654 - Voice Over Internet Protocol | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1655 - Voice Over Internet Protocol | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
보안 이름 / 주소 확인 서비스(신뢰할 수 있는 원본)
ID: NIST SP 800-53 Rev. 4 SC-20 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1656 - 이름/주소 확인 서비스(신뢰할 수 있는 원본) 보호 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1657 - 이름/주소 확인 서비스(신뢰할 수 있는 원본) 보호 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
보안 이름/주소 확인 서비스(재귀 또는 캐싱 확인자)
ID: NIST SP 800-53 Rev. 4 SC-21 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1658 - 이름/주소 확인 서비스(재귀 또는 캐싱 확인자) 보호 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
이름/주소 확인 서비스의 아키텍처 및 프로비저닝
ID: NIST SP 800-53 Rev. 4 SC-22 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1659 - 이름/주소 확인 서비스의 아키텍처 및 프로비저닝 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
세션 신뢰성
ID: NIST SP 800-53 Rev. 4 SC-23 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1660 - 세션 신뢰성 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
로그아웃 시 세션 식별자 무효화
ID: NIST SP 800-53 Rev. 4 SC-23(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1661 - 세션 신뢰성 | 로그아웃 시 세션 식별자 무효화 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
알려진 상태로 실패
ID: NIST SP 800-53 Rev. 4 SC-24 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1662 - 알려진 상태로 실패 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
미사용 정보 보호
ID: NIST SP 800-53 Rev. 4 SC-28 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
App Service Environment에서 내부 암호화가 사용되어야 함 | InternalEncryption을 true로 설정하면 App Service Environment의 프런트 엔드와 작업자 간의 페이지 파일, 작업자 디스크 및 내부 네트워크 트래픽이 암호화됩니다. 자세히 알아보려면 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption을 참조하세요. | 감사, 사용 안 함 | 1.0.1 |
Automation 계정 변수를 암호화해야 함 | 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure Data Box 작업에서 디바이스의 미사용 데이터에 대한 이중 암호화를 사용하도록 설정해야 함 | 디바이스의 미사용 데이터에 대해 소프트웨어 기반 암호화의 두 번째 계층을 사용하도록 설정합니다. 디바이스는 미사용 데이터에 대해 Advanced Encryption Standard 256비트 암호화를 통해 이미 보호되고 있습니다. 이 옵션은 데이터 암호화의 두 번째 계층을 추가합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Monitor 로그 클러스터는 인프라 암호화를 사용하도록 설정한 상태에서 만들어야 함(이중 암호화) | 보안 데이터 암호화가 서비스 수준 및 인프라 수준에서 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 통해 사용하도록 설정하려면 Azure Monitor 전용 클러스터를 사용합니다. 이 옵션은 지역에서 지원되는 경우 기본적으로 사용하도록 설정됩니다. https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview를 참조하세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure Stack Edge 디바이스는 이중 암호화를 사용해야 함 | 디바이스에 저장된 데이터를 보호하려면 데이터가 이중 암호화되고, 데이터에 대한 액세스가 제어되고, 디바이스가 비활성화되면 데이터를 데이터 디스크에서 안전하게 삭제해야 합니다. 이중 암호화는 두 가지 암호화 계층, 즉 데이터 볼륨의 BitLocker XTS-AES 256비트 암호화와 하드 드라이브의 기본 제공 암호화를 사용하는 것입니다. 특정 Stack Edge 디바이스에 대한 보안 개요 설명서에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure Data Explorer에서 디스크 암호화를 사용하도록 설정해야 함 | 디스크 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
Azure Data Explorer에서 이중 암호화를 사용하도록 설정해야 함 | 이중 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 이중 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 사용하여 두 번 암호화됩니다(서비스 수준에서 한 번, 인프라 수준에서 한 번). | 감사, 거부, 사용 안 함 | 2.0.0 |
Microsoft 관리형 컨트롤 1663 - 저장 정보 보호 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Service Fabric 클러스터는 ClusterProtectionLevel 속성을 EncryptAndSign으로 설정해야 함 | Service Fabric은 기본 클러스터 인증서를 사용하여 노드 간 통신을 위한 3단계 보호(None, Sign 및 EncryptAndSign)를 제공합니다. 모든 노드 간 메시지가 암호화되고 디지털로 서명될 수 있게 보호 수준을 설정합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
스토리지 계정에는 인프라 암호화가 있어야 함 | 데이터의 보안 수준을 높이기 위한 인프라 암호화를 사용하도록 설정합니다. 인프라 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 번 암호화됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Kubernetes Service 클러스터의 에이전트 노드 풀에 대한 임시 디스크 및 캐시는 호스트에서 암호화되어야 함 | 데이터 보안을 강화하려면 Azure Kubernetes Service 노드 VM의 VM(가상 머신) 호스트에 저장된 데이터는 미사용 시 암호화해야 합니다. 이는 다양한 규정 및 업계 규정 준수 표준의 공통 요구 사항입니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | 저장 데이터를 보호하고 규정 준수 요구 사항을 충족하려면 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
가상 머신 및 가상 머신 확장 집합에서는 호스트에서 암호화를 사용하도록 설정해야 함 | 호스트에서 암호화를 사용하여 가상 머신 및 가상 머신 확장 집합 데이터에 대한 엔드투엔트 암호화를 가져옵니다. 호스트에서 암호화를 사용하면 임시 디스크 및 OS/데이터 디스크 캐시에 대해 미사용 데이터를 암호화할 수 있습니다. 임시 및 사용 후 삭제 OS 디스크는 호스트에서 암호화가 활성화될 때 플랫폼 관리형 키로 암호화됩니다. OS/데이터 디스크 캐시는 디스크에서 선택한 암호화 유형에 따라 고객 관리형 키 또는 플랫폼 관리형 키를 사용하여 미사용 데이터를 암호화합니다. https://aka.ms/vm-hbe에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
암호화 보호
ID: NIST SP 800-53 Rev. 4 SC-28(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
App Service Environment에서 내부 암호화가 사용되어야 함 | InternalEncryption을 true로 설정하면 App Service Environment의 프런트 엔드와 작업자 간의 페이지 파일, 작업자 디스크 및 내부 네트워크 트래픽이 암호화됩니다. 자세히 알아보려면 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption을 참조하세요. | 감사, 사용 안 함 | 1.0.1 |
Automation 계정 변수를 암호화해야 함 | 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure Data Box 작업에서 디바이스의 미사용 데이터에 대한 이중 암호화를 사용하도록 설정해야 함 | 디바이스의 미사용 데이터에 대해 소프트웨어 기반 암호화의 두 번째 계층을 사용하도록 설정합니다. 디바이스는 미사용 데이터에 대해 Advanced Encryption Standard 256비트 암호화를 통해 이미 보호되고 있습니다. 이 옵션은 데이터 암호화의 두 번째 계층을 추가합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Monitor 로그 클러스터는 인프라 암호화를 사용하도록 설정한 상태에서 만들어야 함(이중 암호화) | 보안 데이터 암호화가 서비스 수준 및 인프라 수준에서 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 통해 사용하도록 설정하려면 Azure Monitor 전용 클러스터를 사용합니다. 이 옵션은 지역에서 지원되는 경우 기본적으로 사용하도록 설정됩니다. https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview를 참조하세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure Stack Edge 디바이스는 이중 암호화를 사용해야 함 | 디바이스에 저장된 데이터를 보호하려면 데이터가 이중 암호화되고, 데이터에 대한 액세스가 제어되고, 디바이스가 비활성화되면 데이터를 데이터 디스크에서 안전하게 삭제해야 합니다. 이중 암호화는 두 가지 암호화 계층, 즉 데이터 볼륨의 BitLocker XTS-AES 256비트 암호화와 하드 드라이브의 기본 제공 암호화를 사용하는 것입니다. 특정 Stack Edge 디바이스에 대한 보안 개요 설명서에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
Azure Data Explorer에서 디스크 암호화를 사용하도록 설정해야 함 | 디스크 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
Azure Data Explorer에서 이중 암호화를 사용하도록 설정해야 함 | 이중 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 이중 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 사용하여 두 번 암호화됩니다(서비스 수준에서 한 번, 인프라 수준에서 한 번). | 감사, 거부, 사용 안 함 | 2.0.0 |
Microsoft 관리형 컨트롤 1664 - 저장 정보 보호 | 암호화 보호 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
Service Fabric 클러스터는 ClusterProtectionLevel 속성을 EncryptAndSign으로 설정해야 함 | Service Fabric은 기본 클러스터 인증서를 사용하여 노드 간 통신을 위한 3단계 보호(None, Sign 및 EncryptAndSign)를 제공합니다. 모든 노드 간 메시지가 암호화되고 디지털로 서명될 수 있게 보호 수준을 설정합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
스토리지 계정에는 인프라 암호화가 있어야 함 | 데이터의 보안 수준을 높이기 위한 인프라 암호화를 사용하도록 설정합니다. 인프라 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 번 암호화됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Azure Kubernetes Service 클러스터의 에이전트 노드 풀에 대한 임시 디스크 및 캐시는 호스트에서 암호화되어야 함 | 데이터 보안을 강화하려면 Azure Kubernetes Service 노드 VM의 VM(가상 머신) 호스트에 저장된 데이터는 미사용 시 암호화해야 합니다. 이는 다양한 규정 및 업계 규정 준수 표준의 공통 요구 사항입니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | 저장 데이터를 보호하고 규정 준수 요구 사항을 충족하려면 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
가상 머신 및 가상 머신 확장 집합에서는 호스트에서 암호화를 사용하도록 설정해야 함 | 호스트에서 암호화를 사용하여 가상 머신 및 가상 머신 확장 집합 데이터에 대한 엔드투엔트 암호화를 가져옵니다. 호스트에서 암호화를 사용하면 임시 디스크 및 OS/데이터 디스크 캐시에 대해 미사용 데이터를 암호화할 수 있습니다. 임시 및 사용 후 삭제 OS 디스크는 호스트에서 암호화가 활성화될 때 플랫폼 관리형 키로 암호화됩니다. OS/데이터 디스크 캐시는 디스크에서 선택한 암호화 유형에 따라 고객 관리형 키 또는 플랫폼 관리형 키를 사용하여 미사용 데이터를 암호화합니다. https://aka.ms/vm-hbe에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
프로세스 격리
ID: NIST SP 800-53 Rev. 4 SC-39 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1665 - 프로세스 격리 | Microsoft에서 구현하는 시스템 및 통신 보호 컨트롤 | 감사 | 1.0.0 |
시스템 및 정보 무결성
시스템 및 정보 무결성 정책 및 절차
ID: NIST SP 800-53 Rev. 4 SI-1 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1666 - 시스템 및 정보 무결성 정책과 절차 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1667 - 시스템 및 정보 무결성 정책과 절차 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
결함 수정
ID: NIST SP 800-53 Rev. 4 SI-2소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
App Service 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
함수 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
Kubernetes Services를 취약하지 않은 Kubernetes 버전으로 업그레이드해야 함 | 현재 Kubernetes 버전의 알려진 취약성으로부터 보호하려면 Kubernetes 서비스 클러스터를 최신 Kubernetes 버전으로 업그레이드하세요. 취약성 CVE-2019-9946이 Kubernetes 버전 1.11.9+, 1.12.7+, 1.13.5+ 및 1.14.0+에서 패치되었습니다. | 감사, 사용 안 함 | 1.0.2 |
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
Microsoft 관리형 컨트롤 1668 - 결함 수정 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1669 - 결함 수정 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1670 - 결함 수정 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1671 - 결함 수정 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
SQL 데이터베이스가 발견한 취약성을 해결해야 함 | 취약성 평가 검사 결과 및 데이터베이스 취약성을 수정하는 방법에 관한 권장 사항을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 4.1.0 |
머신 보안 구성의 취약성을 수정해야 합니다. | 구성된 기준을 충족하지 않는 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
중앙 관리
ID: NIST SP 800-53 Rev. 4 SI-2 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1672 - 결함 수정 | 중앙 관리 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
자동화된 결함 수정 상태
ID: NIST SP 800-53 Rev. 4 SI-2(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1673 - 결함 수정 | 자동화된 결함 수정 상태 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
결함 수정 시간/정정 작업 벤치마크
ID: NIST SP 800-53 Rev. 4 SI-2(3) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1674 - 결함 수정 | 결함 수정 시간/정정 작업 벤치마크 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1675 - 결함 수정 | 결함 수정 시간/정정 작업 벤치마크 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
소프트웨어/펌웨어의 이전 버전 제거
ID: NIST SP 800-53 Rev. 4 SI-2(6) 소유권: 고객
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
App Service 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
함수 앱은 최신 'HTTP 버전'을 사용해야 함 | 보안 결함이 있거나 추가 기능을 포함하기 위해 HTTP에 대한 최신 버전이 주기적으로 릴리스됩니다. 최신 버전의 보안 픽스(있는 경우) 및/또는 새로운 기능을 활용하려면 웹앱에 최신 HTTP 버전을 사용하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
Kubernetes Services를 취약하지 않은 Kubernetes 버전으로 업그레이드해야 함 | 현재 Kubernetes 버전의 알려진 취약성으로부터 보호하려면 Kubernetes 서비스 클러스터를 최신 Kubernetes 버전으로 업그레이드하세요. 취약성 CVE-2019-9946이 Kubernetes 버전 1.11.9+, 1.12.7+, 1.13.5+ 및 1.14.0+에서 패치되었습니다. | 감사, 사용 안 함 | 1.0.2 |
악성 코드 방지
ID: NIST SP 800-53 Rev. 4 SI-3 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
Microsoft 관리형 컨트롤 1676 - 악성 코드 차단 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1677 - 악성 코드 차단 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1678 - 악성 코드 차단 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1679 - 악성 코드 차단 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당). | AuditIfNotExists, 사용 안 함 | 1.1.1 |
중앙 관리
ID: NIST SP 800-53 Rev. 4 SI-3(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
Microsoft 관리형 컨트롤 1680 - 악성 코드 차단 | 중앙 관리 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당). | AuditIfNotExists, 사용 안 함 | 1.1.1 |
자동 업데이트
ID: NIST SP 800-53 Rev. 4 SI-3(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1681 - 악성 코드 차단 | 자동 업데이트 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
비서명 기반 검색
ID: NIST SP 800-53 Rev. 4 SI-3(7) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1682 - 악성 코드 차단 | 비서명 기반 감지 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
정보 시스템 모니터링
ID: NIST SP 800-53 Rev. 4 SI-4 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[미리 보기]: Azure Arc 지원 Kubernetes 클러스터에 클라우드용 Microsoft Defender의 확장이 설치되어 있어야 함 | Azure Arc용 클라우드용 Microsoft Defender 확장은 Arc 지원 Kubernetes 클러스터에 대한 위협 방지를 제공합니다. 이 확장은 클러스터의 모든 노드에서 데이터를 수집하고 추가 분석을 위해 클라우드의 Azure Defender for Kubernetes 백 엔드로 보냅니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-enable?pivots=defender-for-container-arc에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 4.0.1-preview |
[미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
[미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
Azure SQL Database 서버용 Azure Defender를 사용하도록 설정해야 함 | Azure Defender for SQL은 잠재적인 데이터베이스 취약성을 표시 및 완화하고, SQL 데이터베이스에 대한 위협을 나타낼 수 있는 비정상적인 활동을 감지하고, 중요한 데이터를 검색 및 분류하는 기능을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
Azure Defender for Resource Manager를 사용하도록 설정해야 함 | Azure Defender for Resource Manager는 조직의 리소스 관리 작업을 자동으로 모니터링합니다. Azure Defender는 위협을 감지하고 의심스러운 활동에 대해 경고합니다. https://aka.ms/defender-for-resource-manager에서 Azure Defender for Resource Manager의 기능에 대해 자세히 알아보세요. 이 Azure Defender 계획을 사용하도록 설정하면 요금이 청구됩니다. Security Center의 가격 책정 페이지(https://aka.ms/pricing-security-center)에서 지역별 가격 정보에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
머신에 게스트 구성 확장을 설치해야 함 | 머신의 게스트 내 설정을 안전하게 구성하려면 게스트 구성 확장을 설치합니다. 확장에서 모니터링하는 게스트 내 설정에는 운영 체제 구성, 애플리케이션 구성 또는 현재 상태 및 환경 설정이 포함됩니다. 설치되면 'Windows Exploit Guard를 사용하도록 설정해야 합니다'와 같은 게스트 내 정책을 사용할 수 있습니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
컨테이너용 Microsoft Defender를 사용하도록 설정해야 합니다. | 컨테이너용 Microsoft Defender는 Azure, 하이브리드 및 다중 클라우드 Kubernetes 환경에 대한 강화, 취약성 평가 및 런타임 보호를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
스토리지용 Microsoft Defender(클래식)를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender(클래식)는 스토리지 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 탐지합니다. | AuditIfNotExists, 사용 안 함 | 1.0.4 |
Microsoft 관리형 컨트롤 1683 - 정보 시스템 모니터링 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1684 - 정보 시스템 모니터링 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1685 - 정보 시스템 모니터링 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1686 - 정보 시스템 모니터링 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1687 - 정보 시스템 모니터링 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1688 - 정보 시스템 모니터링 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1689 - 정보 시스템 모니터링 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 게스트 구성 확장에는 시스템이 할당한 관리 ID가 필요합니다. 게스트 구성 확장이 설치되어 있지만 시스템이 할당한 관리 ID가 없는 경우 이 정책 범위에 속한 Azure 가상 머신은 비준수입니다. https://aka.ms/gcpol에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
시스템 차원의 침입 감지 시스템
ID: NIST SP 800-53 Rev. 4 SI-4 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1690 - 정보 시스템 모니터링 | 시스템 차원의 침입 감지 시스템 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
실시간 분석을 위한 자동화된 도구
ID: NIST SP 800-53 Rev. 4 SI-4(2) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1691 - 정보 시스템 모니터링 | 실시간 분석용 자동화된 도구 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
인바운드 및 아웃바운드 통신 트래픽
ID: NIST SP 800-53 Rev. 4 SI-4(4) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1692 - 정보 시스템 모니터링 | 인바운드 및 아웃바운드 통신 트래픽 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
시스템 생성 경고
ID: NIST SP 800-53 Rev. 4 SI-4(5) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1693 - 정보 시스템 모니터링 | 시스템에서 생성한 경고 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
통신 트래픽 이상 분석
ID: NIST SP 800-53 Rev. 4 SI-4 (11) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1694 - 정보 시스템 모니터링 | 통신 트래픽 이상 분석 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
자동 경고
ID: NIST SP 800-53 Rev. 4 SI-4(12) 소유권: 고객
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. | 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
무선 침입 감지
ID: NIST SP 800-53 Rev. 4 SI-4(14) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1695 - 정보 시스템 모니터링 | 무선 침입 감지 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
모니터링 정보 상관 관계
ID: NIST SP 800-53 Rev. 4 SI-4 (16) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1696 - 정보 시스템 모니터링 | 모니터링 정보 상호 연결 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
트래픽 분석/비밀 반출
ID: NIST SP 800-53 Rev. 4 SI-4 (18) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1697 - 정보 시스템 모니터링 | 트래픽 분석/비밀 반출 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
위험도가 높은 개인
ID: NIST SP 800-53 Rev. 4 SI-4 (19) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1698 - 정보 시스템 모니터링 | 위험도가 높은 개인 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
권한 있는 사용자
ID: NIST SP 800-53 Rev. 4 SI-4 (20) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1699 - 정보 시스템 모니터링 | 권한 있는 사용자 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
권한 없는 네트워크 서비스
ID: NIST SP 800-53 Rev. 4 SI-4(22) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1700 - 정보 시스템 모니터링 | 권한 없는 Network Services | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
호스트 기반 디바이스
ID: NIST SP 800-53 Rev. 4 SI-4 (23) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1701 - 정보 시스템 모니터링 | 호스트 기반 디바이스 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
손상 지표
ID: NIST SP 800-53 Rev. 4 SI-4(24) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1702 - 정보 시스템 모니터링 | 손상 지표 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
보안 경고, 권고 및 지시
ID: NIST SP 800-53 Rev. 4 SI-5 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1703- 보안 경고 및 권고 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1704 - 보안 경고 및 권고 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1705 - 보안 경고 및 권고 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1706 - 보안 경고 및 권고 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
자동화된 경고 및 권고
ID: NIST SP 800-53 Rev. 4 SI-5(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1707 - 보안 경고 및 권고 | 자동화된 경고 및 권고 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
보안 기능 확인
ID: NIST SP 800-53 Rev. 4 SI-6 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1708 - 보안 기능 확인 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1709 - 보안 기능 확인 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1710 - 보안 기능 확인 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1711 - 보안 기능 확인 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
소프트웨어, 펌웨어 및 정보 무결성
ID: NIST SP 800-53 Rev. 4 SI-7 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1712 - 소프트웨어 및 정보 무결성 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
무결성 검사
ID: NIST SP 800-53 Rev. 4 SI-7(1) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1713 - 소프트웨어 및 정보 무결성 | 무결성 검사 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
자동화된 무결성 위반 알림
ID: NIST SP 800-53 Rev. 4 SI-7 (2) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1714 - 소프트웨어 및 정보 무결성 | 자동화된 무결성 위반 알림 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
무결성 위반에 자동으로 대응
ID: NIST SP 800-53 Rev. 4 SI-7(5) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1715 - 소프트웨어 및 정보 무결성 | 무결성 위반에 자동으로 대응 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
감지와 대응의 통합
ID: NIST SP 800-53 Rev. 4 SI-7 (7) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1716 - 소프트웨어 및 정보 무결성 | 감지와 대응의 통합 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
이진 또는 머신 실행 코드
ID: NIST SP 800-53 Rev. 4 SI-7(14) 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1717 - 소프트웨어 및 정보 무결성 | 이진 파일 또는 컴퓨터 실행 코드 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1718 - 소프트웨어 및 정보 무결성 | 이진 파일 또는 컴퓨터 실행 코드 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
스팸 방지
ID: NIST SP 800-53 Rev. 4 SI-8 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1719 - 스팸 방지 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1720 - 스팸 방지 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
중앙 관리
ID: NIST SP 800-53 Rev. 4 SI-8 (1) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1721 - 스팸 방지 | 중앙 관리 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
자동 업데이트
ID: NIST SP 800-53 Rev. 4 SI-8 (2) 소유권: Microsoft
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1722 - 스팸 방지 | 자동 업데이트 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
정보 입력 유효성 검사
ID: NIST SP 800-53 Rev. 4 SI-10 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1723 - 정보 입력 유효성 검사 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
오류 처리
ID: NIST SP 800-53 Rev. 4 SI-11 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1724 - 오류 처리 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Microsoft 관리형 컨트롤 1725 - 오류 처리 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
정보 처리 및 보존
ID: NIST SP 800-53 Rev. 4 SI-12 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Microsoft 관리형 컨트롤 1726 - 정보 출력 처리 및 보존 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
메모리 보호
ID: NIST SP 800-53 Rev. 4 SI-16 소유권: 공유됨
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
Microsoft 관리형 컨트롤 1727 - 메모리 보호 | Microsoft에서 구현하는 시스템 및 정보 무결성 컨트롤 | 감사 | 1.0.0 |
Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | Windows Defender Exploit Guard는 Azure Policy 게스트 구성 에이전트를 사용합니다. Exploit Guard에는 다양한 공격 벡터에 대해 디바이스를 잠그고 맬웨어 공격에서 일반적으로 사용되는 동작을 차단하면서 기업에서 보안 위험과 생산성 요구 사항 사이의 균형을 맞출 수 있도록 설계된 네 가지 구성 요소가 있습니다(Windows에만 해당). | AuditIfNotExists, 사용 안 함 | 1.1.1 |
다음 단계
Azure Policy에 대한 추가 문서:
- 규정 준수 개요
- 이니셔티브 정의 구조를 참조합니다.
- Azure Policy 샘플의 다른 예제를 검토합니다.
- 정책 효과 이해를 검토합니다.
- 규정 비준수 리소스를 수정하는 방법을 알아봅니다.