이 페이지는 Azure Policy Azure Storage 대한 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공은 Azure Policy 기본 제공 정의 참조하세요.
각 기본 제공 정책 정의의 이름은 Azure 포털의 정책 정의에 연결됩니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리 원본을 볼 수 있습니다.
Microsoft. 보관소
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 스토리지 계정의 Blob에 대해 Azure Backup 사용하도록 설정해야 합니다 | Azure Backup 사용하도록 설정하여 스토리지 계정을 보호합니다. Azure Backup Azure 위한 안전하고 비용 효율적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: Azure 파일 공유에서 Azure Backup 사용하도록 설정해야 합니다 | Azure Backup 사용하도록 설정하여 Azure 파일 공유를 보호합니다. Azure Backup Azure 위한 안전하고 비용 효율적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: 지정된 태그가 있는 Azure Files 공유에 대한 백업을 새 정책을 사용하여 새 복구 서비스 자격 증명 모음에 구성합니다 | 스토리지 계정과 동일한 위치 및 리소스 그룹에 복구 서비스 자격 증명 모음을 배포하여 모든 Azure Files 백업을 적용합니다. 이 작업은 조직의 여러 애플리케이션 팀에 별도의 리소스 그룹이 할당되고 자체 백업 및 복원을 관리해야 하는 경우에 유용합니다. 필요에 따라 지정된 태그가 포함된 스토리지 계정에 Azure Files 포함하여 할당 범위를 제어할 수 있습니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: 지정된 태그가 있는 Azure Files 공유에 대한 백업을 동일한 위치의 기존 복구 서비스 자격 증명 모음에 구성합니다 | 스토리지 계정과 동일한 지역의 기존 중앙 Recovery Services 자격 증명 모음에 백업하여 모든 Azure Files 백업을 적용합니다. 자격 증명 모음은 동일하거나 다른 구독에 있을 수 있습니다. 이는 중앙 팀이 구독 간에 백업을 관리하는 경우에 유용합니다. 필요에 따라 지정된 태그를 사용하여 스토리지 계정에 Azure Files 포함하여 정책 할당의 범위를 제어할 수 있습니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: 새 정책을 사용하여 새 복구 서비스 자격 증명 모음에 지정된 태그 없이 Azure Files 공유에 대한 백업을 구성합니다 | 스토리지 계정과 동일한 위치 및 리소스 그룹에 복구 서비스 자격 증명 모음을 배포하여 모든 Azure Files 백업을 적용합니다. 이 작업은 조직의 여러 애플리케이션 팀에 별도의 리소스 그룹이 할당되고 자체 백업 및 복원을 관리해야 하는 경우에 유용합니다. 필요에 따라 지정된 태그가 포함된 스토리지 계정에서 Azure Files 제외하여 할당 범위를 제어할 수 있습니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 1.0.0-preview |
| [미리 보기]: 동일한 위치에 있는 기존 복구 서비스 자격 증명 모음에 지정된 태그 없이 Azure Files 공유에 대한 백업을 구성합니다 | 스토리지 계정과 동일한 지역의 기존 중앙 Recovery Services 자격 증명 모음에 백업하여 모든 Azure Files 백업을 적용합니다. 자격 증명 모음은 동일하거나 다른 구독에 있을 수 있습니다. 이는 중앙 팀이 구독 간에 백업을 관리하는 경우에 유용합니다. 필요에 따라 지정된 태그가 있는 스토리지 계정에서 Azure Files 제외하여 정책 할당의 범위를 제어할 수 있습니다. | AuditIfNotExists, DeployIfNotExists, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: 동일한 지역의 기존 백업 자격 증명 모음에 대해 지정된 태그가 있는 스토리지 계정의 Blob에 대한 백업 구성 | 중앙 백업 자격 증명 모음에 지정된 태그가 포함된 모든 스토리지 계정의 Blob에 대한 백업을 적용합니다. 이렇게 하면 여러 스토리지 계정에 포함된 Blob의 백업을 대규모로 관리하는 데 도움이 될 수 있습니다. 자세한 내용은 https://aka.ms/AB-BlobBackupAzPolicies를 참조하세요. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: 동일한 영역의 백업 자격 증명 모음에 대해 지정된 태그가 없는 모든 스토리지 계정에 대해 Blob 백업 구성 | 중앙 백업 자격 증명 모음에 지정된 태그가 포함되지 않은 모든 스토리지 계정의 Blob에 대한 백업을 적용합니다. 이렇게 하면 여러 스토리지 계정에 포함된 Blob의 백업을 대규모로 관리하는 데 도움이 될 수 있습니다. 자세한 내용은 https://aka.ms/AB-BlobBackupAzPolicies를 참조하세요. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: 스토리지 계정은 영역 중복이어야 합니다. | 스토리지 계정은 영역 중복 여부에 관계없이 구성될 수 있습니다. 스토리지 계정의 SKU 이름이 'ZRS'로 끝나지 않거나 해당 종류가 'Storage'인 경우 영역 중복이 아닙니다. 이 정책은 스토리지 계정이 영역 중복 구성을 사용하도록 보장합니다. | 감사, 거부, 사용 안 함 | 1.0.0-preview |
| Azure 파일 동기화 프라이빗 링크를 사용해야 합니다 | 표시된 Storage Sync Service 리소스의 프라이빗 엔드포인트를 만들면 인터넷에서 액세스할 수 있는 퍼블릭 엔드포인트를 사용하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스를 처리할 수 있습니다. 프라이빗 엔드포인트를 자체적으로 만든다고 해서 퍼블릭 엔드포인트가 비활성화되지 않습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure 파일 동기화 구성 | 표시된 Storage Sync Service 리소스에 대해 프라이빗 엔드포인트가 배포됩니다. 이렇게 하면 인터넷에 액세스할 수 있는 퍼블릭 엔드포인트를 통하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스 주소를 지정할 수 있습니다. 하나 이상의 프라이빗 엔드포인트가 자체적으로 있다고 하더라도 퍼블릭 엔드포인트가 비활성화되지는 않습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Blob Services에서 작업 영역을 Log Analytics 진단 설정 구성 | 이 진단 설정이 누락된 Blob Service가 만들어지거나 업데이트되면 Blob Services에 대한 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 4.0.0 |
| 파일 서비스에서 작업 영역을 Log Analytics 진단 설정 구성 | 이 진단 설정이 누락된 파일 서비스가 만들어지거나 업데이트되면 File Services에 대한 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 4.0.0 |
| Queue Services에 대한 진단 설정을 구성하여 작업 영역을 Log Analytics | 이 진단 설정이 누락된 큐 서비스가 만들어지거나 업데이트되면 Queue Services에 대한 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. 참고: 이 정책은 스토리지 계정을 만들 때 트리거되지 않으며 계정을 업데이트하려면 수정 작업을 만들어야 합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 4.0.1 |
| 스토리지 계정에 대한 진단 설정을 Log Analytics 작업 영역으로 구성 | 이 진단 설정이 누락된 스토리지 계정이 만들어지거나 업데이트되면 스토리지 계정에 대한 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 4.0.0 |
| Table Services에서 작업 영역을 Log Analytics 진단 설정 구성 | 이 진단 설정이 누락된 table Service가 생성되거나 업데이트되면 Table Services에 대한 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. 참고: 이 정책은 스토리지 계정을 만들 때 트리거되지 않으며 계정을 업데이트하려면 수정 작업을 만들어야 합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 4.0.1 |
| 스토리지 계정에서 데이터 보안 전송 구성 | 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 수정, 사용 안 함 | 1.0.0 |
| Storage 계정에서 Blob 및 컨테이너에 대한 일시 삭제 구성 | 아직 사용하도록 설정하지 않은 경우 스토리지 계정에서 Blob 및 컨테이너 모두에 대해 일시 삭제를 배포합니다. 이렇게 하면 사용자 지정 가능한 보존 기간으로 데이터 보호가 보장됩니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 링크 연결을 사용하도록 스토리지 계정 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/azureprivatelinkoverview에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 공용 네트워크 액세스를 사용하지 않도록 스토리지 계정 구성 | 스토리지 계정의 보안을 향상시키려면 공용 인터넷에 공개되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://aka.ms/storageaccountpublicnetworkaccess에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위 외부의 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. | 수정, 사용 안 함 | 1.0.1 |
| 네트워크 ACL 무시 구성을 통해서만 네트워크 액세스를 제한하도록 스토리지 계정을 구성합니다. | 스토리지 계정의 보안을 강화하려면 네트워크 ACL 무시를 통해서만 액세스를 사용하도록 설정합니다. 이 정책은 스토리지 계정 액세스를 위해 프라이빗 엔드포인트와 함께 사용해야 합니다. | 수정, 사용 안 함 | 1.0.0 |
| 스토리지 계정 공용 액세스를 허용하지 않도록 구성 | Azure Storage 컨테이너 및 Blob에 대한 익명 공용 읽기 액세스는 데이터를 공유하는 편리한 방법이지만 보안 위험을 초래할 수 있습니다. 원치 않는 익명 액세스로 인한 데이터 침해를 방지하기 위해 Microsoft 시나리오에서 요구하지 않는 한 스토리지 계정에 대한 공용 액세스를 방지하는 것이 좋습니다. | 수정, 사용 안 함 | 1.0.0 |
| Blob 버전 관리를 사용하도록 Storage 계정 구성 | Blob 스토리지 버전 관리를 사용하도록 설정하여 이전 버전의 개체를 자동으로 유지 관리할 수 있습니다. Blob 버전 관리를 사용하도록 설정하면 데이터가 수정되거나 삭제된 경우 이전 버전의 Blob에 액세스하여 복구할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| resourceGroupName RG에서 VNet Flowlogs에 대한 지역 스토리지 계정 만들기 | VNet 흐름 로그에 대해 기본적으로 할당된 범위 및 리소스 그룹 nwtarg-subscriptionID<> 아래에 지역 스토리지 계정을 만듭니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| HPC 캐시(microsoft.storagecache/caches)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 HPC 캐시(microsoft.storagecache/caches)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 1.0.0 |
| 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 HPC 캐시(microsoft.storagecache/caches)에 대한 Log Analytics 작업 영역으로 로그를 라우팅합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 1.0.0 | |
| HPC 캐시(microsoft.storagecache/caches)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 HPC 캐시(microsoft.storagecache/caches)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 1.0.0 |
| Storage Mover(microsoft.storagemover/storagemovers)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Storage Mover(microsoft.storagemover/storagemovers)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 1.0.0 |
| 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 스토리지 이동기(microsoft.storagemover/storagemovers)에 대한 Log Analytics 작업 영역으로 로그를 라우팅합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 1.0.0 | |
| Storage Mover(microsoft.storagemover/storagemovers)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 Storage Mover(microsoft.storagemover/storagemovers)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 1.0.0 |
| 스토리지 계정에 대해 지역 중복 스토리지를 사용하도록 설정해야 함 | 지역 중복을 사용하여 고가용성 애플리케이션 만들기 | 감사, 사용 안 함 | 1.0.0 |
| HPC Cache 계정은 암호화에 고객 관리형 키를 사용해야 합니다 | 고객 관리형 키를 사용하여 나머지 Azure HPC Cache 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. | 감사, 사용 안 함, 거부 | 2.0.0 |
| 모dify - 공용 네트워크 액세스를 사용하지 않도록 Azure 파일 동기화 구성 | Azure 파일 동기화 인터넷에 액세스할 수 있는 공용 엔드포인트는 조직 정책에 의해 비활성화됩니다. 프라이빗 엔드포인트를 통해 Storage Sync Service에 계속 액세스할 수 있습니다. | 수정, 사용 안 함 | 1.0.0 |
| 수정 - Blob 버전 관리를 사용하도록 Storage 계정 구성 | Blob 스토리지 버전 관리를 사용하도록 설정하여 이전 버전의 개체를 자동으로 유지 관리할 수 있습니다. Blob 버전 관리를 사용하도록 설정하면 데이터가 수정되거나 삭제된 경우 이전 버전의 Blob에 액세스하여 복구할 수 있습니다. 기존 스토리지 계정은 Blob Storage 버전 관리를 사용하도록 수정되지 않습니다. 새로 만든 스토리지 계정만 Blob Storage 버전 관리를 사용하도록 설정됩니다 | 수정, 사용 안 함 | 1.0.0 |
| 퍼블릭 엔드포인트를 사용하지 않도록 설정하면 Storage Sync Service에 대한 액세스를 조직의 네트워크에서 승인된 프라이빗 엔드포인트로 향하는 요청으로 제한할 수 있습니다. 퍼블릭 엔드포인트에 대한 요청을 허용할 때 기본적으로 안전하지 않은 것은 없지만 규정, 법률 또는 조직 정책 요구 사항을 충족하기 위해 사용하지 않도록 설정할 수 있습니다. 리소스의 incomingTrafficPolicy를 AllowVirtualNetworksOnly로 설정하여 Storage Sync Service에 대한 퍼블릭 엔드포인트를 사용하지 않도록 설정할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 | |
| Queue Storage는 암호화를 위해 고객 관리 키를 사용해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 큐 스토리지를 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 이 정책은 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정이 BYOK로 암호화되었는지 감사합니다. 이 정책은 스토리지 계정이 기본적으로 활동 로그와 같은 구독에 있는 경우에만 작동합니다. 미사용 Azure Storage 암호화에 대한 자세한 내용은 https://aka.ms/azurestoragebyok 여기에서 확인할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 스토리지 계정 암호화 범위에서 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 스토리지 계정 암호화 범위의 미사용 데이터 암호화를 관리합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure 키 자격 증명 모음 키로 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/encryption-scopes-overview에서 스토리지 계정 암호화 범위에 대해 자세히 알아봅니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정 암호화 범위는 미사용 데이터에 이중 암호화를 사용해야 합니다. | 보안 강화를 위해 나머지 스토리지 계정 암호화 범위에서 암호화를 위해 인프라 암호화를 사용하도록 설정합니다. 인프라 암호화는 데이터가 두 번 암호화되도록 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정 키가 만료되지 않아야 함 | 키 만료 시 조치를 취해 계정 키의 보안을 강화하기 위해 키 만료 정책을 설정할 때 사용자 스토리지 계정 키가 만료되지 않았는지 확인합니다. | 감사, 거부, 사용 안 함 | 3.0.0 |
| 스토리지 계정 공용 액세스를 허용하지 않아야 합니다. | Azure Storage 컨테이너 및 Blob에 대한 익명 공용 읽기 액세스는 데이터를 공유하는 편리한 방법이지만 보안 위험을 초래할 수 있습니다. 원치 않는 익명 액세스로 인한 데이터 침해를 방지하기 위해 Microsoft 시나리오에서 요구하지 않는 한 스토리지 계정에 대한 공용 액세스를 방지하는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 3.1.1 |
| 스토리지 계정과 상호 작용하는 일부 Microsoft 서비스 네트워크 규칙을 통해 액세스 권한을 부여할 수 없는 네트워크에서 작동합니다. 이러한 유형의 서비스가 의도한 대로 작동하도록 하려면 신뢰할 수 있는 Microsoft 서비스 집합이 네트워크 규칙을 무시하도록 허용합니다. 그러면 이러한 서비스에서 강력한 인증을 사용하여 스토리지 계정에 액세스합니다. | 감사, 거부, 사용 안 함 | 1.0.0 | |
| 스토리지 계정은 허용된 SKU별로 제한해야 함 | 조직이 배포할 수 있는 스토리지 계정 SKU 세트를 제한합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| 스토리지 계정에 대한 새 Azure Resource Manager 사용하여 더 강력한 RBAC(액세스 제어), 더 나은 감사, Azure Resource Manager 기반 배포 및 거버넌스, 관리 ID에 대한 액세스, 비밀용 키 자격 증명 모음에 대한 액세스 등의 보안 향상 기능을 제공합니다. Azure 더 쉬운 보안 관리를 위해 태그 및 리소스 그룹에 대한 AD 기반 인증 및 지원 | 감사, 거부, 사용 안 함 | 1.0.0 | |
| 스토리지 계정에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 스토리지 계정의 보안을 향상시키려면 공용 인터넷에 공개되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://aka.ms/storageaccountpublicnetworkaccess에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위 외부의 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고 IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| 스토리지 계정에는 인프라 암호화가 있어야 함 | 데이터의 보안 수준을 높이기 위한 인프라 암호화를 사용하도록 설정합니다. 인프라 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 번 암호화됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정에 SAS(공유 액세스 서명) 정책이 구성되어 있어야 합니다. | 스토리지 계정에 SAS(공유 액세스 서명) 만료 정책을 사용하도록 설정되어 있는지 확인합니다. 사용자는 SAS를 사용하여 Azure Storage 계정의 리소스에 대한 액세스를 위임합니다. 그리고 SAS 만료 정책은 사용자가 SAS 토큰을 만들 때 만료 상한 사용을 권장합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정에는 지정된 최소 TLS 버전이 있어야 함 | 클라이언트 애플리케이션과 스토리지 계정 간의 보안 통신을 위해 최소 TLS 버전을 구성합니다. 보안 위험을 최소화하기 위해 권장되는 최소 TLS 버전은 현재 TLS 1.2인 최신 릴리스 버전입니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정은 테넌트 간 개체 복제를 방지해야 합니다. | 스토리지 계정에 대한 개체 복제 제한을 감사합니다. 기본적으로 사용자는 하나의 Azure AD 테넌트에 있는 원본 스토리지 계정과 다른 테넌트에 있는 대상 계정으로 개체 복제를 구성할 수 있습니다. 이것은 고객의 데이터가 고객이 소유한 스토리지 계정에 복제될 수 있기 때문에 보안 문제입니다. allowCrossTenantReplication을 false로 설정하면 원본 계정과 대상 계정이 모두 동일한 Azure AD 테넌트에 있는 경우에만 개체 복제를 구성할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정은 공유 키 액세스를 차단해야 함 | 스토리지 계정에 대한 요청을 승인하기 위한 Azure Active Directory(Azure AD)의 요구 사항을 감사합니다. 기본적으로 요청은 Azure Active Directory 자격 증명을 사용하거나 공유 키 권한 부여를 위해 계정 액세스 키를 사용하여 권한을 부여할 수 있습니다. 이러한 두 가지 유형의 권한 부여 중 Azure AD는 공유 키보다 뛰어난 보안 및 사용 편의성을 제공하며 Microsoft 권장됩니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| 스토리지 계정은 공유 키 액세스를 방지해야 합니다(Databricks에서 만든 스토리지 계정 제외). | 스토리지 계정에 대한 요청을 승인하기 위한 Azure Active Directory(Azure AD)의 요구 사항을 감사합니다. 기본적으로 요청은 Azure Active Directory 자격 증명을 사용하거나 공유 키 권한 부여를 위해 계정 액세스 키를 사용하여 권한을 부여할 수 있습니다. 이러한 두 가지 유형의 권한 부여 중 Azure AD는 공유 키보다 뛰어난 보안 및 사용 편의성을 제공하며 Microsoft 권장됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트에서 연결을 허용하려면 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
| 스토리지 계정은 네트워크 ACL 무시 구성을 통해서만 네트워크 액세스를 제한해야 합니다. | 스토리지 계정의 보안을 강화하려면 네트워크 ACL 무시를 통해서만 액세스를 사용하도록 설정합니다. 이 정책은 스토리지 계정 액세스를 위해 프라이빗 엔드포인트와 함께 사용해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | IP 기반 필터링 대신 기본 방법으로 가상 네트워크 규칙을 사용하여 잠재적인 위협으로부터 스토리지 계정을 보호합니다. IP 기반 필터링을 사용하지 않도록 설정하면 공용 IP에서 스토리지 계정에 액세스할 수 없습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 합니다(Databricks에서 만든 스토리지 계정 제외). | IP 기반 필터링 대신 기본 방법으로 가상 네트워크 규칙을 사용하여 잠재적인 위협으로부터 스토리지 계정을 보호합니다. IP 기반 필터링을 사용하지 않도록 설정하면 공용 IP에서 스토리지 계정에 액세스할 수 없습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| 스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 스토리지 계정을 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 Blob 및 파일 스토리지 계정을 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 사용 안 함 | 1.0.3 |
| 스토리지 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/azureprivatelinkoverview에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 스토리지 계정은 프라이빗 링크를 사용해야 합니다(Databricks에서 만든 스토리지 계정 제외). | Azure Private Link 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/azureprivatelinkoverview에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 스토리지 SAS 토큰은 7일 최대 유효성을 준수해야 합니다. | 이 정책은 스토리지 계정에 대한 SAS(공유 액세스 서명) 토큰이 최대 유효 기간인 7일 이하로 구성되도록 합니다. SAS 토큰 수명이 길거나 적절한 만료 작업이 구성되지 않은 스토리지 계정을 거부하거나 감사합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Table Storage는 암호화를 위해 고객 관리 키를 사용해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 테이블 스토리지를 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Microsoft. StorageCache
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| HPC 캐시(microsoft.storagecache/caches)에 대해 범주 그룹별로 Event Hub에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 HPC 캐시(microsoft.storagecache/caches)에 대해 범주 그룹을 사용하여 Event Hub로 로그를 라우팅하는 진단 설정을 배포합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 1.0.0 |
| 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 HPC 캐시(microsoft.storagecache/caches)에 대한 Log Analytics 작업 영역으로 로그를 라우팅합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 1.0.0 | |
| HPC 캐시(microsoft.storagecache/caches)에 대해 범주 그룹별로 Storage에 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 HPC 캐시(microsoft.storagecache/caches)에 대해 범주 그룹을 사용하여 Storage 계정으로 로그를 라우팅하는 진단 설정을 배포합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 1.0.0 |
| HPC Cache 계정은 암호화에 고객 관리형 키를 사용해야 합니다 | 고객 관리형 키를 사용하여 나머지 Azure HPC Cache 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. | 감사, 사용 안 함, 거부 | 2.0.0 |
Microsoft. StorageSync
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure 파일 동기화 프라이빗 링크를 사용해야 합니다 | 표시된 Storage Sync Service 리소스의 프라이빗 엔드포인트를 만들면 인터넷에서 액세스할 수 있는 퍼블릭 엔드포인트를 사용하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스를 처리할 수 있습니다. 프라이빗 엔드포인트를 자체적으로 만든다고 해서 퍼블릭 엔드포인트가 비활성화되지 않습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 프라이빗 엔드포인트를 사용하여 Azure 파일 동기화 구성 | 표시된 Storage Sync Service 리소스에 대해 프라이빗 엔드포인트가 배포됩니다. 이렇게 하면 인터넷에 액세스할 수 있는 퍼블릭 엔드포인트를 통하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스 주소를 지정할 수 있습니다. 하나 이상의 프라이빗 엔드포인트가 자체적으로 있다고 하더라도 퍼블릭 엔드포인트가 비활성화되지는 않습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 모dify - 공용 네트워크 액세스를 사용하지 않도록 Azure 파일 동기화 구성 | Azure 파일 동기화 인터넷에 액세스할 수 있는 공용 엔드포인트는 조직 정책에 의해 비활성화됩니다. 프라이빗 엔드포인트를 통해 Storage Sync Service에 계속 액세스할 수 있습니다. | 수정, 사용 안 함 | 1.0.0 |
| 퍼블릭 엔드포인트를 사용하지 않도록 설정하면 Storage Sync Service에 대한 액세스를 조직의 네트워크에서 승인된 프라이빗 엔드포인트로 향하는 요청으로 제한할 수 있습니다. 퍼블릭 엔드포인트에 대한 요청을 허용할 때 기본적으로 안전하지 않은 것은 없지만 규정, 법률 또는 조직 정책 요구 사항을 충족하기 위해 사용하지 않도록 설정할 수 있습니다. 리소스의 incomingTrafficPolicy를 AllowVirtualNetworksOnly로 설정하여 Storage Sync Service에 대한 퍼블릭 엔드포인트를 사용하지 않도록 설정할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Microsoft. ClassicStorage
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 스토리지 계정에 대한 새 Azure Resource Manager 사용하여 더 강력한 RBAC(액세스 제어), 더 나은 감사, Azure Resource Manager 기반 배포 및 거버넌스, 관리 ID에 대한 액세스, 비밀용 키 자격 증명 모음에 대한 액세스 등의 보안 향상 기능을 제공합니다. Azure 더 쉬운 보안 관리를 위해 태그 및 리소스 그룹에 대한 AD 기반 인증 및 지원 | 감사, 거부, 사용 안 함 | 1.0.0 |
다음 단계
- Azure Policy GitHub 리포지토리 기본 제공을 참조하세요.
- Azure Policy 정의 구조 검토합니다.
- 정책 효과 이해를 검토합니다.