영국 공식 및 영국 NHS 규정 준수 기본 제공 이니셔티브의 세부 정보
다음 문서에서는 Azure Policy 규정 준수 기본 제공 이니셔티브 정의가 영국 공식 및 영국 NHS에서 규정 준수 도메인 및 컨트롤에 매핑되는 방법을 자세히 설명합니다. 이 규정 준수 표준에 관한 자세한 내용은 영국 공식 및 영국 NHS를 참조하세요. 소유권을 이해하려면 정책 유형과 클라우드에서의 공동 책임을 검토합니다.
다음은 영국 공식 및 UK NHS 제어에 대한 매핑입니다. 여러 컨트롤이 Azure Policy 이니셔티브 정의를 사용하여 구현됩니다. 전체 이니셔티브 정의를 검토하려면 Azure Portal에서 정책을 열고 정의 페이지를 선택합니다. 그런 다음, 영국 공식 및 영국 NHS 규정 준수 기본 제공 이니셔티브 정의를 찾아서 선택합니다.
Important
아래의 각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 컨트롤을 사용한 규정 준수 평가에 도움이 될 수 있지만, 컨트롤과 하나 이상의 정책 간에 일대일 또는 완벽한 일치 관계가 없는 경우도 많습니다. 따라서 Azure Policy의 규정 준수는 정책 정의 자체만 가리킬 뿐, 컨트롤의 모든 요구 사항을 완벽하게 준수한다는 것은 아닙니다. 또한 규정 준수 표준에는 현재 Azure Policy 정의에서 처리되지 않은 컨트롤이 포함되어 있습니다. 따라서 Azure Policy의 규정 준수는 전반적인 규정 준수 상태를 부분적으로 표시할 뿐입니다. 이 규정 준수 표준에 대한 규정 준수 도메인, 컨트롤, Azure Policy 정의 간의 연결은 시간이 지나면 변경될 수 있습니다. 변경 기록을 보려면 GitHub 커밋 기록을 참조하세요.
전송 중 데이터 보호
전송 중 데이터 보호
ID: UK NCSC CSP 1 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
App Service 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 4.0.0 |
함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 함 | HTTPS를 사용하여 서버/서비스 인증을 보장하고 전송 중인 데이터를 네트워크 계층 도청 공격으로부터 보호합니다. | 감사, 사용 안 함, 거부 | 5.0.0 |
Azure Cache for Redis에 보안 연결만 사용하도록 설정해야 함 | SSL을 통해 설정된 Azure Cache for Redis 연결만 감사 보안 연결을 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 컴퓨터에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. | AuditIfNotExists, 사용 안 함 | 4.1.1 |
ID 및 인증
ID 및 인증
ID: UK NCSC CSP 10 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다. | SQL 서버에 대한 Azure Active Directory 관리자 프로비전을 감사하여 Azure AD 인증을 활성화합니다. Azure AD 인증을 사용하면 데이터베이스 사용자 및 기타 Microsoft 서비스의 권한을 간편하게 관리하고 ID를 한 곳에서 집중적으로 관리할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
passwd 파일 권한이 0644로 설정되지 않은 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. passwd 파일 권한이 0644로 설정되지 않은 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
암호가 없는 계정이 있는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호가 없는 계정이 있는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
관리 디스크를 사용하지 않는 VM 감사 | 이 정책은 관리 디스크를 사용하지 않는 VM을 감사 | 감사 | 1.0.0 |
지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있도록 허용하는 경우 머신은 비규격입니다. 고유 암호의 기본값은 24입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 경우 머신은 비규격입니다. 최대 암호 사용 기간의 기본값은 70일입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 경우 머신은 비규격입니다. 최소 암호 사용 기간의 기본값은 1일입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
암호 복잡성 설정이 활성화되지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 복잡성 설정이 활성화되지 않는 Windows 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
암호 최소 길이를 지정된 문자 수로 제한하지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최소 암호 길이를 지정된 문자 수로 제한하지 않는 경우 머신은 비규격입니다. 최소 암호 길이에 대한 기본값은 14자입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 | 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 | 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Linux 가상 머신에 Linux 게스트 구성 확장을 배포합니다. Linux 게스트 구성 확장은 모든 Linux 게스트 구성 할당의 필수 조건이며 Linux 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 3.1.0 |
Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.2.0 |
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Service Fabric 클러스터는 클라이언트 인증에 대해서만 Azure Active Directory를 사용해야 함 | Service Fabric에서 Azure Active Directory를 통한 클라이언트 인증의 사용만 감사 | 감사, 거부, 사용 안 함 | 1.1.0 |
스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 스토리지 계정에 새로운 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 Key Vault에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 가상 머신에 새 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 키 자격 증명 모음에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
외부 인터페이스 보호
외부 인터페이스 보호
ID: UK NCSC CSP 11 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
App Service 앱에 원격 디버깅이 비활성화되어 있어야 함 | 원격으로 디버깅하려면 App Service 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
함수 앱에 원격 디버깅이 해제되어 있어야 함 | 원격 디버깅을 수행하려면 함수 앱에서 인바운드 포트를 열어야 합니다. 원격 디버깅을 해제해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
사용자에 대한 감사 정보
사용자에 대한 감사 정보
ID: UK NCSC CSP 13 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
선택한 리소스 종류에 대한 진단 설정 감사 | 선택한 리소스 종류에 대한 감사 진단 설정 진단 설정을 지원하는 리소스 종류만 선택해야 합니다. | AuditIfNotExists | 2.0.1 |
SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다. | 서버의 모든 데이터베이스에서 데이터베이스 활동을 추적하고 감사 로그에 저장하려면 SQL Server에서의 감사를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
자산 보호 및 복원력
미사용 데이터 보호
ID: UK NCSC CSP 2.3 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Automation 계정 변수를 암호화해야 함 | 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
Service Fabric 클러스터는 ClusterProtectionLevel 속성을 EncryptAndSign으로 설정해야 함 | Service Fabric은 기본 클러스터 인증서를 사용하여 노드 간 통신을 위한 3단계 보호(None, Sign 및 EncryptAndSign)를 제공합니다. 모든 노드 간 메시지가 암호화되고 디지털로 서명될 수 있게 보호 수준을 설정합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
SQL 데이터베이스에 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | 저장 데이터를 보호하고 규정 준수 요구 사항을 충족하려면 투명한 데이터 암호화를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
운영 보안
취약점 관리
ID: UK NCSC CSP 5.2 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 가상 머신을 감사하여 지원되는 취약성 평가 솔루션을 실행하고 있는지 검색합니다. 모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성을 식별하고 분석하는 것입니다. Azure Security Center의 표준 가격 책정 계층에는 추가 비용 없이 가상 머신에 대한 취약성 검사가 포함됩니다. 또한 Security Center가 자동으로 도구를 배포할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
보호되지 않는 Azure SQL 서버에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security 없이 SQL 서버 감사 | AuditIfNotExists, 사용 안 함 | 2.0.1 |
보호되지 않는 SQL Managed Instance에 대해 SQL용 Azure Defender를 사용하도록 설정해야 함 | Advanced Data Security를 사용하지 않고 각 SQL Managed Instance를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2 |
SQL 데이터베이스가 발견한 취약성을 해결해야 함 | 취약성 평가 검사 결과 및 데이터베이스 취약성을 수정하는 방법에 관한 권장 사항을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 4.1.0 |
머신 보안 구성의 취약성을 수정해야 합니다. | 구성된 기준을 충족하지 않는 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
SQL Managed Instance에서 취약성 평가를 사용하도록 설정해야 함 | 반복 취약성 평가 검사를 사용하도록 설정하지 않은 각 SQL Managed Instance를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다. | 취약성 평가가 제대로 구성되지 않은 Azure SQL Server를 감사합니다. 취약성 평가는 잠재적 데이터베이스 취약성을 검색 및 추적할 수 있고 해결하는 데 도움이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
보호 모니터링
ID: UK NCSC CSP 5.3 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
재해 복구가 구성되어 있지 않은 가상 머신 감사 | 재해 복구가 구성되지 않은 가상 머신을 감사합니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. | auditIfNotExists | 1.0.0 |
Azure DDoS Protection을 사용하도록 설정해야 함 | 공용 IP를 사용하는 애플리케이션 게이트웨이의 일부인 서브넷이 포함된 모든 가상 네트워크에 DDoS 보호를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.1 |
스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
안전한 사용자 관리
관리 인터페이스 및 지원 채널에 대한 사용자 인증
ID: UK NCSC CSP 9.1 소유권: 공유
이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
다음 단계
Azure Policy에 대한 추가 문서:
- 규정 준수 개요
- 이니셔티브 정의 구조를 참조합니다.
- Azure Policy 샘플의 다른 예제를 검토합니다.
- 정책 효과 이해를 검토합니다.
- 규정 비준수 리소스를 수정하는 방법을 알아봅니다.