Azure Storage에 대한 Azure Policy 기본 제공 정의
이 페이지는 Azure Storage에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Microsoft.Storage
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
[미리 보기]: 스토리지 계정의 Blob에 대해 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 스토리지 계정을 보호합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
[미리 보기]: 동일한 지역의 기존 백업 자격 증명 모음에 대해 지정된 태그가 있는 스토리지 계정의 Blob에 대한 백업 구성 | 중앙 백업 자격 증명 모음에 지정된 태그가 포함된 모든 스토리지 계정의 Blob에 대한 백업을 적용합니다. 이렇게 하면 여러 스토리지 계정에 포함된 Blob의 백업을 대규모로 관리하는 데 도움이 될 수 있습니다. 자세한 내용은 https://aka.ms/AB-BlobBackupAzPolicies를 참조하세요. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
[미리 보기]: 동일한 영역의 백업 자격 증명 모음에 대해 지정된 태그가 없는 모든 스토리지 계정에 대해 Blob 백업 구성 | 중앙 백업 자격 증명 모음에 지정된 태그가 포함되지 않은 모든 스토리지 계정의 Blob에 대한 백업을 적용합니다. 이렇게 하면 여러 스토리지 계정에 포함된 Blob의 백업을 대규모로 관리하는 데 도움이 될 수 있습니다. 자세한 내용은 https://aka.ms/AB-BlobBackupAzPolicies를 참조하세요. | DeployIfNotExists, AuditIfNotExists, Disabled | 2.0.0-preview |
[미리 보기]: 스토리지 계정 공용 액세스가 허용되지 않아야 함 | Azure Storage의 컨테이너 및 BLOB에 대한 익명 공용 읽기 액세스는 데이터를 공유하는 편리한 방법이지만 보안 위험이 있을 수도 있습니다. 원치 않는 익명 액세스로 인해 발생하는 데이터 위반을 방지하기 위해 Microsoft는 시나리오에 필요한 경우가 아니면 스토리지 계정에 대한 공개 액세스를 방지하는 것이 좋습니다 | 감사, 거부, 사용 안 함 | 3.1.0-preview |
[미리 보기]: 스토리지 계정은 영역 중복이어야 합니다. | 스토리지 계정은 영역 중복 여부에 관계없이 구성될 수 있습니다. 스토리지 계정의 SKU 이름이 'ZRS'로 끝나지 않거나 해당 종류가 'Storage'인 경우 영역 중복이 아닙니다. 이 정책은 스토리지 계정이 영역 중복 구성을 사용하도록 보장합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
Azure 파일 동기화는 프라이빗 링크를 사용해야 함 | 표시된 Storage Sync Service 리소스의 프라이빗 엔드포인트를 만들면 인터넷에서 액세스할 수 있는 퍼블릭 엔드포인트를 사용하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스를 처리할 수 있습니다. 프라이빗 엔드포인트를 자체적으로 만든다고 해서 퍼블릭 엔드포인트가 비활성화되지 않습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
프라이빗 엔드포인트를 사용하여 Azure 파일 동기화 구성 | 표시된 Storage Sync Service 리소스에 대해 프라이빗 엔드포인트가 배포됩니다. 이렇게 하면 인터넷에 액세스할 수 있는 퍼블릭 엔드포인트를 통하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스 주소를 지정할 수 있습니다. 하나 이상의 프라이빗 엔드포인트가 자체적으로 있다고 하더라도 퍼블릭 엔드포인트가 비활성화되지는 않습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
Blob service의 진단 설정을 Log Analytics 작업 영역으로 구성 | 이 진단 설정이 누락된 Blob service가 만들어지거나 업데이트되면 Blob service의 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
파일 서비스의 진단 설정을 Log Analytics 작업 영역으로 구성 | 이 진단 설정이 누락된 파일 서비스가 만들어지거나 업데이트되면 파일 서비스의 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
큐 서비스의 진단 설정을 Log Analytics 작업 영역으로 구성 | 이 진단 설정이 누락된 큐 서비스가 만들어지거나 업데이트되면 큐 서비스의 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. 참고: 이 정책은 스토리지 계정을 만들 때 트리거되지 않으며 계정을 업데이트하려면 수정 작업을 만들어야 합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
스토리지 계정의 진단 설정을 Log Analytics 작업 영역으로 구성 | 이 진단 설정이 누락된 스토리지 계정이 만들어지거나 업데이트되면 스토리지 계정의 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.0 |
테이블 서비스의 진단 설정을 Log Analytics 작업 영역으로 구성 | 이 진단 설정이 누락된 테이블 서비스가 만들어지거나 업데이트되면 테이블 서비스의 진단 설정을 배포하여 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. 참고: 이 정책은 스토리지 계정을 만들 때 트리거되지 않으며 계정을 업데이트하려면 수정 작업을 만들어야 합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 4.0.1 |
스토리지 계정에서 데이터 보안 전송 구성 | 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 수정, 사용 안 함 | 1.0.0 |
프라이빗 링크 연결을 사용하도록 스토리지 계정 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/azureprivatelinkoverview에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
공용 네트워크 액세스를 사용하지 않도록 스토리지 계정 구성 | 스토리지 계정의 보안을 향상시키려면 공용 인터넷에 공개되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://aka.ms/storageaccountpublicnetworkaccess에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. | 수정, 사용 안 함 | 1.0.1 |
네트워크 ACL 무시 구성을 통해서만 네트워크 액세스를 제한하도록 스토리지 계정을 구성합니다. | 스토리지 계정의 보안을 강화하려면 네트워크 ACL 무시를 통해서만 액세스를 사용하도록 설정합니다. 이 정책은 스토리지 계정 액세스를 위해 프라이빗 엔드포인트와 함께 사용해야 합니다. | 수정, 사용 안 함 | 1.0.0 |
스토리지 계정 공용 액세스를 허용하지 않도록 구성 | Azure Storage의 컨테이너 및 BLOB에 대한 익명 공용 읽기 액세스는 데이터를 공유하는 편리한 방법이지만 보안 위험이 있을 수도 있습니다. 원치 않는 익명 액세스로 인해 발생하는 데이터 위반을 방지하기 위해 Microsoft는 시나리오에 필요한 경우가 아니면 스토리지 계정에 대한 공개 액세스를 방지하는 것이 좋습니다 | 수정, 사용 안 함 | 1.0.0 |
Blob 버전 관리를 사용하도록 Storage 계정 구성 | Blob 스토리지 버전 관리를 사용하도록 설정하여 이전 버전의 개체를 자동으로 유지 관리할 수 있습니다. Blob 버전 관리를 사용하도록 설정하면 데이터가 수정되거나 삭제된 경우 이전 버전의 Blob에 액세스하여 복구할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정에 스토리지용 Defender(클래식) 배포 | 이 정책을 사용하면 스토리지 계정에서 스토리지용 Defender(클래식)를 사용할 수 있습니다. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
HPC 캐시(microsoft.storagecache/caches)에 대한 범주 그룹별 로깅을 Event Hub에 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 HPC 캐시용 이벤트 허브(microsoft.storagecache/caches)로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Log Analytics에 대한 HPC 캐시(microsoft.storagecache/caches)에 대한 범주별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 HPC 캐시(microsoft.storagecache/caches)에 대한 Log Analytics 작업 영역으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
스토리지에 대한 HPC 캐시(microsoft.storagecache/caches)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 HPC 캐시(microsoft.storagecache/caches)에 대한 스토리지 계정으로 로그를 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Event Hub에 대한 스토리지 이동기(microsoft.storagemover/storagemovers)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 스토리지 이동기용 이벤트 허브(microsoft.storagemover/storagemovers)로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Log Analytics에 대한 스토리지 이동기(microsoft.storagemover/storagemovers)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 스토리지 이동기(microsoft.storagemover/storagemovers)에 대한 Log Analytics 작업 영역으로 로그를 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
스토리지 이동기(microsoft.storagemover/storagemovers)에 대한 범주 그룹별 로깅을 스토리지로 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 스토리지 이동자에 대한 스토리지 계정(microsoft.storagemover/storagemovers)으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
스토리지 계정에 대해 지역 중복 스토리지를 사용하도록 설정해야 함 | 지역 중복을 사용하여 고가용성 애플리케이션 만들기 | 감사, 사용 안 함 | 1.0.0 |
HPC Cache 계정은 암호화에 고객 관리형 키를 사용해야 함 | 고객 관리형 키를 사용하여 Azure HPC Cache의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. | 감사, 사용 안 함, 거부 | 2.0.0 |
수정 - 공용 네트워크 액세스를 사용하지 않도록 Azure 파일 동기화 구성 | 조직 정책에 따라 Azure 파일 동기화의 인터넷 액세스 가능 퍼블릭 엔드포인트가 비활성화되었습니다. 프라이빗 엔드포인트를 통해 Storage Sync Service에 계속 액세스할 수 있습니다. | 수정, 사용 안 함 | 1.0.0 |
수정 - Blob 버전 관리를 사용하도록 Storage 계정 구성 | Blob 스토리지 버전 관리를 사용하도록 설정하여 이전 버전의 개체를 자동으로 유지 관리할 수 있습니다. Blob 버전 관리를 사용하도록 설정하면 데이터가 수정되거나 삭제된 경우 이전 버전의 Blob에 액세스하여 복구할 수 있습니다. 기존 스토리지 계정은 Blob Storage 버전 관리를 사용하도록 수정되지 않습니다. 새로 만든 스토리지 계정만 Blob Storage 버전 관리를 사용하도록 설정됩니다 | 수정, 사용 안 함 | 1.0.0 |
Azure 파일 동기화의 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 퍼블릭 엔드포인트를 사용하지 않도록 설정하면 Storage Sync Service에 대한 액세스를 조직의 네트워크에서 승인된 프라이빗 엔드포인트로 향하는 요청으로 제한할 수 있습니다. 퍼블릭 엔드포인트에 대한 요청을 허용할 때 기본적으로 안전하지 않은 것은 없지만 규정, 법률 또는 조직 정책 요구 사항을 충족하기 위해 사용하지 않도록 설정할 수 있습니다. 리소스의 incomingTrafficPolicy를 AllowVirtualNetworksOnly로 설정하여 Storage Sync Service에 대한 퍼블릭 엔드포인트를 사용하지 않도록 설정할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Queue Storage는 암호화를 위해 고객 관리 키를 사용해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 큐 스토리지를 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 이 정책은 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정이 BYOK로 암호화되었는지 감사합니다. 이 정책은 스토리지 계정이 기본적으로 활동 로그와 같은 구독에 있는 경우에만 작동합니다. Azure Storage 저장 데이터 암호화에 대한 자세한 내용은 https://aka.ms/azurestoragebyok를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
스토리지 계정 암호화 범위에서 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 고객 관리형 키를 사용하여 스토리지 계정 암호화 범위의 미사용 데이터 암호화를 관리합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure 키 자격 증명 모음 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. https://aka.ms/encryption-scopes-overview에서 스토리지 계정 암호화 범위에 대해 자세히 알아봅니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정 암호화 범위는 미사용 데이터에 이중 암호화를 사용해야 합니다. | 보안 강화를 위해 나머지 스토리지 계정 암호화 범위에서 암호화를 위해 인프라 암호화를 사용하도록 설정합니다. 인프라 암호화는 데이터가 두 번 암호화되도록 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정 키가 만료되지 않아야 함 | 키 만료 시 조치를 취해 계정 키의 보안을 강화하기 위해 키 만료 정책을 설정할 때 사용자 스토리지 계정 키가 만료되지 않았는지 확인합니다. | 감사, 거부, 사용 안 함 | 3.0.0 |
스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 스토리지 계정과 상호 작용하는 일부 Microsoft 서비스는 네트워크 규칙을 통해 액세스 권한을 부여할 수 없는 네트워크에서 작동합니다. 이러한 유형의 서비스가 의도한 대로 작동하도록 하려면 신뢰할 수 있는 Microsoft 서비스 세트에서 네트워크 규칙을 무시하도록 허용합니다. 그러면 이러한 서비스에서 강력한 인증을 사용하여 스토리지 계정에 액세스합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정은 허용된 SKU별로 제한해야 함 | 조직이 배포할 수 있는 스토리지 계정 SKU 세트를 제한합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 스토리지 계정에 새로운 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 Key Vault에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 스토리지 계정의 보안을 향상시키려면 공용 인터넷에 공개되지 않고 프라이빗 엔드포인트에서만 액세스할 수 있는지 확인합니다. https://aka.ms/storageaccountpublicnetworkaccess에 설명된 대로 공용 네트워크 액세스 속성을 사용하지 않도록 설정합니다. 이 옵션은 Azure IP 범위를 벗어나는 공용 주소 공간에서의 액세스를 사용하지 않도록 설정하고, IP 또는 가상 네트워크 기반 방화벽 규칙과 일치하는 모든 로그인을 거부합니다. 이로 인해 데이터 누출 위험이 줄어듭니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
스토리지 계정에는 인프라 암호화가 있어야 함 | 데이터의 보안 수준을 높이기 위한 인프라 암호화를 사용하도록 설정합니다. 인프라 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 번 암호화됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정에 SAS(공유 액세스 서명) 정책이 구성되어 있어야 합니다. | 스토리지 계정에 SAS(공유 액세스 서명) 만료 정책을 사용하도록 설정되어 있는지 확인합니다. 사용자는 SAS를 사용하여 Azure Storage 계정의 리소스에 대한 액세스 권한을 위임합니다. 그리고 SAS 만료 정책은 사용자가 SAS 토큰을 만들 때 만료 상한 사용을 권장합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정에는 지정된 최소 TLS 버전이 있어야 함 | 클라이언트 애플리케이션과 스토리지 계정 간의 보안 통신을 위해 최소 TLS 버전을 구성합니다. 보안 위험을 최소화하기 위해 권장되는 최소 TLS 버전은 현재 TLS 1.2인 최신 릴리스 버전입니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정은 테넌트 간 개체 복제를 방지해야 합니다. | 스토리지 계정에 대한 개체 복제 제한을 감사합니다. 기본적으로 사용자는 하나의 Azure AD 테넌트의 원본 스토리지 계정과 다른 테넌트의 대상 계정을 사용하여 개체 복제를 구성할 수 있습니다. 이것은 고객의 데이터가 고객이 소유한 스토리지 계정에 복제될 수 있기 때문에 보안 문제입니다. allowCrossTenantReplication을 false로 설정하면 원본 계정과 대상 계정이 모두 동일한 Azure AD 테넌트에 있는 경우에만 개체 복제를 구성할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정은 공유 키 액세스를 차단해야 함 | 스토리지 계정에 대한 요청을 권한 부여하는 Azure AD(Azure Active Directory)의 감사 요구 사항입니다. 기본적으로 요청은 Azure Active Directory 자격 증명을 사용하거나 공유 키 권한 부여를 위한 계정 액세스 키를 사용하여 권한을 부여할 수 있습니다. 이러한 두 가지 유형의 권한 부여 중 Azure AD는 공유 키보다 뛰어난 보안과 사용 편의성을 제공하며 Microsoft에서 권장합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
스토리지 계정은 네트워크 ACL 무시 구성을 통해서만 네트워크 액세스를 제한해야 합니다. | 스토리지 계정의 보안을 강화하려면 네트워크 ACL 무시를 통해서만 액세스를 사용하도록 설정합니다. 이 정책은 스토리지 계정 액세스를 위해 프라이빗 엔드포인트와 함께 사용해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | IP 기반 필터링 대신 기본 방법으로 가상 네트워크 규칙을 사용하여 잠재적인 위협으로부터 스토리지 계정을 보호합니다. IP 기반 필터링을 사용하지 않도록 설정하면 공용 IP에서 스토리지 계정에 액세스할 수 없습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 스토리지 계정을 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 Blob 및 파일 스토리지 계정을 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 사용 안 함 | 1.0.3 |
스토리지 계정은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 스토리지 계정에 매핑하면 데이터 유출 위험이 줄어듭니다. https://aka.ms/azureprivatelinkoverview에서 프라이빗 링크에 대해 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
Table Storage는 암호화를 위해 고객 관리 키를 사용해야 함 | 고객 관리형 키를 사용하여 유연성이 뛰어난 테이블 스토리지를 보호합니다. 고객 관리형 키를 지정하는 경우 해당 키는 데이터를 암호화하는 키에 대한 액세스를 보호하고 제어하는 데 사용됩니다. 고객 관리형 키를 사용하면 키 암호화 키의 회전을 제어하거나 데이터를 암호화 방식으로 지우는 추가 기능이 제공됩니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Microsoft.StorageCache
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
HPC 캐시(microsoft.storagecache/caches)에 대한 범주 그룹별 로깅을 Event Hub에 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 HPC 캐시용 이벤트 허브(microsoft.storagecache/caches)로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Log Analytics에 대한 HPC 캐시(microsoft.storagecache/caches)에 대한 범주별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 HPC 캐시(microsoft.storagecache/caches)에 대한 Log Analytics 작업 영역으로 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
스토리지에 대한 HPC 캐시(microsoft.storagecache/caches)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 HPC 캐시(microsoft.storagecache/caches)에 대한 스토리지 계정으로 로그를 라우팅합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
HPC Cache 계정은 암호화에 고객 관리형 키를 사용해야 함 | 고객 관리형 키를 사용하여 Azure HPC Cache의 미사용 데이터 암호화를 관리합니다. 기본적으로 고객 데이터는 서비스 관리형 키로 암호화되지만, 고객 관리형 키는 일반적으로 규정 준수 기준을 충족하는 데 필요합니다. 고객 관리형 키를 사용하면 사용자가 만들고 소유한 Azure Key Vault 키를 사용하여 데이터를 암호화할 수 있습니다. 순환 및 관리를 포함하여 키의 수명 주기를 고객이 모두 제어하고 책임져야 합니다. | 감사, 사용 안 함, 거부 | 2.0.0 |
Microsoft.StorageSync
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
Azure 파일 동기화는 프라이빗 링크를 사용해야 함 | 표시된 Storage Sync Service 리소스의 프라이빗 엔드포인트를 만들면 인터넷에서 액세스할 수 있는 퍼블릭 엔드포인트를 사용하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스를 처리할 수 있습니다. 프라이빗 엔드포인트를 자체적으로 만든다고 해서 퍼블릭 엔드포인트가 비활성화되지 않습니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
프라이빗 엔드포인트를 사용하여 Azure 파일 동기화 구성 | 표시된 Storage Sync Service 리소스에 대해 프라이빗 엔드포인트가 배포됩니다. 이렇게 하면 인터넷에 액세스할 수 있는 퍼블릭 엔드포인트를 통하지 않고 조직 네트워크의 개인 IP 주소 공간 내에서 Storage Sync Service 리소스 주소를 지정할 수 있습니다. 하나 이상의 프라이빗 엔드포인트가 자체적으로 있다고 하더라도 퍼블릭 엔드포인트가 비활성화되지는 않습니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
수정 - 공용 네트워크 액세스를 사용하지 않도록 Azure 파일 동기화 구성 | 조직 정책에 따라 Azure 파일 동기화의 인터넷 액세스 가능 퍼블릭 엔드포인트가 비활성화되었습니다. 프라이빗 엔드포인트를 통해 Storage Sync Service에 계속 액세스할 수 있습니다. | 수정, 사용 안 함 | 1.0.0 |
Azure 파일 동기화의 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 퍼블릭 엔드포인트를 사용하지 않도록 설정하면 Storage Sync Service에 대한 액세스를 조직의 네트워크에서 승인된 프라이빗 엔드포인트로 향하는 요청으로 제한할 수 있습니다. 퍼블릭 엔드포인트에 대한 요청을 허용할 때 기본적으로 안전하지 않은 것은 없지만 규정, 법률 또는 조직 정책 요구 사항을 충족하기 위해 사용하지 않도록 설정할 수 있습니다. 리소스의 incomingTrafficPolicy를 AllowVirtualNetworksOnly로 설정하여 Storage Sync Service에 대한 퍼블릭 엔드포인트를 사용하지 않도록 설정할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
Microsoft.ClassicStorage
속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
---|---|---|---|
스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 스토리지 계정에 새로운 Azure Resource Manager를 사용하여 더 강력한 액세스 제어(RBAC), 더 나은 감사, Azure Resource Manager 기반 배포 및 관리, 관리 ID 액세스, 비밀을 위해 Key Vault에 액세스, Azure AD 기반 인증, 보다 쉬운 보안 관리를 위한 태그 및 리소스 그룹 지원과 같은 보안 기능 향상을 제공합니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.