Azure Policy의 규정 준수는 서로 다른 규정 준수 표준과 관련된 규정 준수 도메인 및 보안 제어에 대해 기본 제공으로 알려진 Microsoft 생성 및 관리형 이니셔티브 정의를 제공합니다. 이 페이지에는 Azure Storage에 대한 규정 준수 도메인 및 보안 제어가 나열되어 있습니다. 보안 제어에 대한 기본 제공 기능을 개별적으로 할당하여 Azure 리소스가 특정 표준을 준수하도록 할 수 있습니다.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Policy Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Important
각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 컨트롤에 대한 규정 준수를 평가하는 데 도움이 될 수 있습니다. 그러나 컨트롤과 하나 이상의 정책 간에 일 대 일 또는 완전한 일치가 없는 경우가 많습니다. 따라서 Azure Policy의 규격 준수는 정책 자체만을 나타냅니다. 이는 컨트롤의 모든 요구 사항을 완전히 준수한다는 것을 보장하지 않습니다. 또한 규정 준수 표준에는 현재 Azure Policy 정의에서 처리되지 않은 컨트롤이 포함되어 있습니다. 따라서 Azure Policy의 규정 준수는 전반적인 규정 준수 상태를 부분적으로 표시할 뿐입니다. 이 규정 준수 표준에 대한 컨트롤과 Azure Policy 규정 준수 정의 간의 연결은 시간이 지나면 변경될 수 있습니다.
오스트레일리아 정부 ISM PROTECTED
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - 오스트레일리아 정부 ISM PROTECTED를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 오스트레일리아 정부 ISM PROTECTED를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 네트워킹 지침 - 네트워크 설계 및 구성 | 520 | 네트워크 액세스 컨트롤 - 520 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 네트워킹 지침 - 네트워크 설계 및 구성 | 1182 | 네트워크 액세스 컨트롤 - 1182 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 데이터베이스 시스템 관리 지침 - 데이터베이스 서버 | 1277 | 데이터베이스 서버와 웹 서버 간 통신 - 1277 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 시스템 강화 지침 - 인증 강화 | 1546 | 시스템 인증 - 1546 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
캐나다 연방 PBMM
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - 캐나다 연방 PBMM을 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 캐나다 연방 PBMM을 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| Access Control | AC-17(1) | 원격 액세스 | 자동화된 모니터링/제어 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 시스템 및 통신 보호 | SC-7 | 경계 보호 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 시스템 및 통신 보호 | SC-8(1) | 전송 기밀성 및 무결성 | 암호화 또는 대체 물리적 보호 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
CIS Microsoft Azure 기초 벤치마크 1.1.0
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - CIS Microsoft Azure Foundations Benchmark 1.1.0을 참조하세요. 이러한 규정 준수 표준에 대한 자세한 내용은 CIS Microsoft Azure Foundations 벤치마크를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 3 스토리지 계정 | 3.1 | '보안 전송 필요'가 '사용'으로 설정되어 있는지 확인 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 3 스토리지 계정 | 3.6 | Blob 컨테이너에 대해 '퍼블릭 액세스 수준'이 프라이빗으로 설정되어 있는지 확인합니다. | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 3 스토리지 계정 | 3.7 | 스토리지 계정에 대한 기본 네트워크 액세스 규칙이 거부로 설정되어 있는지 확인 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 3 스토리지 계정 | 3.8 | '신뢰할 수 있는 Microsoft 서비스'에 스토리지 계정 액세스가 사용하도록 설정되어 있는지 확인 | 스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 1.0.0 |
| 5 로깅 및 모니터링 | 5.1.5 | 활동 로그를 저장하는 스토리지 컨테이너에 공개적으로 액세스할 수 없는지 확인 | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 5 로깅 및 모니터링 | 5.1.6 | 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정이 BYOK(사용자 고유 키 사용)로 암호화되어 있는지 확인 | 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 1.0.0 |
CIS Microsoft Azure 기초 벤치마크 1.3.0
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - CIS Microsoft Azure Foundations Benchmark 1.3.0을 참조하세요. 이러한 규정 준수 표준에 대한 자세한 내용은 CIS Microsoft Azure Foundations 벤치마크를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 3 스토리지 계정 | 3.1 | '보안 전송 필요'가 '사용'으로 설정되어 있는지 확인 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 3 스토리지 계정 | 3.5 | Blob 컨테이너에 대해 '퍼블릭 액세스 수준'이 프라이빗으로 설정되어 있는지 확인합니다. | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 3 스토리지 계정 | 3.6 | 스토리지 계정에 대한 기본 네트워크 액세스 규칙이 거부로 설정되어 있는지 확인 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 3 스토리지 계정 | 3.6 | 스토리지 계정에 대한 기본 네트워크 액세스 규칙이 거부로 설정되어 있는지 확인 | 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | 1.0.1 |
| 3 스토리지 계정 | 3.7 | '신뢰할 수 있는 Microsoft 서비스'에 스토리지 계정 액세스가 사용하도록 설정되어 있는지 확인 | 스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 1.0.0 |
| 3 스토리지 계정 | 3.9 | 중요한 데이터의 스토리지가 고객 관리형 키로 암호화되어 있는지 확인 | 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 1.0.3 |
| 5 로깅 및 모니터링 | 5.1.3 | 활동 로그를 저장하는 스토리지 컨테이너에 공개적으로 액세스할 수 없는지 확인 | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 5 로깅 및 모니터링 | 5.1.4 | 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정이 BYOK(사용자 고유 키 사용)로 암호화되어 있는지 확인 | 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 1.0.0 |
CIS Microsoft Azure 기초 벤치마크 1.4.0
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 CIS v1.4.0에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이러한 규정 준수 표준에 대한 자세한 내용은 CIS Microsoft Azure Foundations 벤치마크를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 3 스토리지 계정 | 3.1 | '보안 전송 필요'가 '사용'으로 설정되어 있는지 확인 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 3 스토리지 계정 | 3.5 | Blob 컨테이너에 대해 '퍼블릭 액세스 수준'이 프라이빗으로 설정되어 있는지 확인합니다. | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 3 스토리지 계정 | 3.6 | 스토리지 계정에 대한 기본 네트워크 액세스 규칙이 거부로 설정되어 있는지 확인 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 3 스토리지 계정 | 3.6 | 스토리지 계정에 대한 기본 네트워크 액세스 규칙이 거부로 설정되어 있는지 확인 | 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | 1.0.1 |
| 3 스토리지 계정 | 3.7 | 스토리지 계정 액세스에 '신뢰할 수 있는 Microsoft 서비스'를 사용하도록 설정 | 스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 1.0.0 |
| 3 스토리지 계정 | 3.9 | 중요한 데이터의 스토리지를 고객 관리형 키로 암호화 | 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 1.0.3 |
| 5 로깅 및 모니터링 | 5.1.3 | 활동 로그를 저장하는 스토리지 컨테이너에 공개적으로 액세스할 수 없는지 확인 | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 5 로깅 및 모니터링 | 5.1.4 | 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정이 BYOK(사용자 고유 키 사용)로 암호화되어 있는지 확인 | 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 1.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 CIS v2.0.0에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이러한 규정 준수 표준에 대한 자세한 내용은 CIS Microsoft Azure Foundations 벤치마크를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 3 | 3.1 | '보안 전송 필요'가 '사용'으로 설정되어 있는지 확인 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 3 | 3.10 | 스토리지 계정에 액세스하는 데 프라이빗 엔드포인트가 사용되는지 확인 | 스토리지 계정은 프라이빗 링크를 사용해야 함 | 2.0.0 |
| 3 | 3.12 | 중요한 데이터의 스토리지를 고객 관리형 키로 암호화 | 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 1.0.3 |
| 3 | 3.15 | 스토리지 계정의 "최소 TLS 버전"이 "버전 1.2"로 설정되어 있는지 확인 | 스토리지 계정에는 지정된 최소 TLS 버전이 있어야 함 | 1.0.0 |
| 3 | 3.2 | Azure Storage의 각 스토리지 계정에 대해 '인프라 암호화 사용'이 '사용'으로 설정되어 있는지 확인 | 스토리지 계정에는 인프라 암호화가 있어야 함 | 1.0.0 |
| 3 | 3.7 | Blob 컨테이너가 있는 스토리지 계정에 대해 '공용 액세스 수준'이 사용하지 않도록 설정되어 있는지 확인 | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 3 | 3.8 | 스토리지 계정에 대한 기본 네트워크 액세스 규칙이 거부로 설정되어 있는지 확인 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 3 | 3.8 | 스토리지 계정에 대한 기본 네트워크 액세스 규칙이 거부로 설정되어 있는지 확인 | 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | 1.0.1 |
| 3 | 3.9 | 스토리지 계정 액세스에 대해 '신뢰할 수 있는 서비스 목록의 Azure 서비스가 이 스토리지 계정에 액세스하도록 허용'이 활성화되어 있는지 확인 | 스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 1.0.0 |
| 5.1 | 5.1.3 | 활동 로그를 저장하는 스토리지 컨테이너에 공개적으로 액세스할 수 없는지 확인 | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 5.1 | 5.1.4 | 활동 로그가 있는 컨테이너가 포함된 스토리지 계정이 고객 관리형 키로 암호화되었는지 확인 | 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 1.0.0 |
CMMC 수준 3
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - CMMC Level 3을 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 CMMC(사이버 보안 완성 모델 인증)를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| Access Control | AC.1.001 | 정보 시스템 액세스 대상을 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(기타 정보 시스템 포함)로 제한합니다. | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| Access Control | AC.1.001 | 정보 시스템 액세스 대상을 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(기타 정보 시스템 포함)로 제한합니다. | 스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 1.0.0 |
| Access Control | AC.1.001 | 정보 시스템 액세스 대상을 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(기타 정보 시스템 포함)로 제한합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| Access Control | AC.1.002 | 정보 시스템 액세스 대상을 권한 있는 사용자가 실행할 수 있는 트랜잭션 및 기능의 유형으로 제한합니다. | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| Access Control | AC.1.002 | 정보 시스템 액세스 대상을 권한 있는 사용자가 실행할 수 있는 트랜잭션 및 기능의 유형으로 제한합니다. | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| Access Control | AC.1.002 | 정보 시스템 액세스 대상을 권한 있는 사용자가 실행할 수 있는 트랜잭션 및 기능의 유형으로 제한합니다. | 스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 1.0.0 |
| Access Control | AC.1.002 | 정보 시스템 액세스 대상을 권한 있는 사용자가 실행할 수 있는 트랜잭션 및 기능의 유형으로 제한합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| Access Control | AC.2.013 | 원격 액세스 세션을 모니터링하고 제어합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| Access Control | AC.2.016 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| Access Control | AC.2.016 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 구성 관리 | CM.3.068 | 불필요한 프로그램, 함수, 포트, 프로토콜 및 서비스의 사용을 제한, 사용 안 함 또는 차단합니다. | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 구성 관리 | CM.3.068 | 불필요한 프로그램, 함수, 포트, 프로토콜 및 서비스의 사용을 제한, 사용 안 함 또는 차단합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 시스템 및 통신 보호 | SC.1.175 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 시스템 및 통신 보호 | SC.1.175 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 시스템 및 통신 보호 | SC.1.175 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 시스템 및 통신 보호 | SC.1.176 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 시스템 및 통신 보호 | SC.3.177 | CUI의 기밀성을 보호하기 위해 사용되는 경우 FIPS 인증 암호화를 사용합니다. | 스토리지 계정에는 인프라 암호화가 있어야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC.3.177 | CUI의 기밀성을 보호하기 위해 사용되는 경우 FIPS 인증 암호화를 사용합니다. | 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 1.0.3 |
| 시스템 및 통신 보호 | SC.3.183 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 시스템 및 통신 보호 | SC.3.183 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC.3.183 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 시스템 및 통신 보호 | SC.3.185 | 암호화 메커니즘을 구현하여 대체 물리적 보호로 보호되는 경우를 제외하고 전송 중에는 CUI의 무단 공개를 방지합니다. | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 시스템 및 통신 보호 | SC.3.185 | 암호화 메커니즘을 구현하여 대체 물리적 보호로 보호되는 경우를 제외하고 전송 중에는 CUI의 무단 공개를 방지합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 시스템 및 통신 보호 | SC.3.191 | 휴지 상태의 CUI 비밀을 보호합니다. | 스토리지 계정에는 인프라 암호화가 있어야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC.3.191 | 휴지 상태의 CUI 비밀을 보호합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
FedRAMP High
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - FedRAMP High를 참조하세요. 이 규정 준수 표준에 관한 자세한 내용은 FedRAMP High를 참조하세요.
FedRAMP Moderate
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - FedRAMP Moderate를 참조하세요. 이 규정 준수 표준에 관한 자세한 내용은 FedRAMP Moderate를 참조하세요.
HIPAA HITRUST
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공 기능이 이 규정 준수 표준에 매핑되는 방법을 검토하려면 Azure Policy 규정 준수 - HIPAA HITRUST를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 HIPAA HITRUST를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 외부 당사자와 관련된 위험 식별 | 1401.05i1Organizational.1239 - 05.i | 외부 당사자는 직접 조사를 수행하고, 적절한 제어를 구현하고, 보안 요구 사항을 반영하는 계약/규약에 서명하여 해당 의무를 이해하고 수락한다고 인정할 때까지 조직 정보 및 시스템에 액세스할 수 없습니다. | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 08 네트워크 보호 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 네트워크 액세스 제어 | 스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 1.0.0 |
| 08 네트워크 보호 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 네트워크 액세스 제어 | 스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 1.0.0 |
| 08 네트워크 보호 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 네트워크 액세스 제어 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 08 네트워크 보호 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 네트워크 액세스 제어 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 08 네트워크 보호 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 네트워크 액세스 제어 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 08 네트워크 보호 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 네트워크 액세스 제어 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 08 네트워크 보호 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 네트워크 Access Control | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 08 네트워크 보호 | 0866.09m3Organizational.1516-09.m | 0866.09m3Organizational.1516-09.m 09.06 네트워크 보안 관리 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 08 네트워크 보호 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 네트워크 액세스 제어 | 스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 1.0.0 |
| 네트워크 컨트롤 | 0867.09m3Organizational.17 - 09.m | 무선 액세스 지점은 보안 영역에 배치되고, 사용하지 않을 때(예: 야간, 주말) 종료됩니다. | 스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 1.0.0 |
| 09 전송 보호 | 0943.09y1Organizational.1-09.y | 0943.09y1Organizational.1-09.y 09.09 전자 상거래 서비스 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
IRS 1075 2016년 9월
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - IRS 1075 2016년 9월을 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 IRS 1075 2016년 9월을 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| Access Control | 9.3.1.12 | 원격 액세스(AC-17) | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 시스템 및 통신 보호 | 9.3.16.5 | 경계 보호(SC-7) | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 시스템 및 통신 보호 | 9.3.16.6 | 전송 기밀성 및 무결성(SC-8) | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
ISO 27001:2013
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - ISO 27001:2013을 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 ISO 27001:2013을 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| Cryptography | 10.1.1 | 암호화 제어 사용에 대한 정책 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 통신 보안 | 13.1.1 | 네트워크 제어 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 통신 보안 | 13.2.1 | 정보 전송 정책 및 절차 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| Access Control | 9.1.2 | 네트워크 및 네트워크 서비스에 대한 액세스 | 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
Microsoft Cloud for Sovereignty 기준 기밀 정책
모든 Azure 서비스에 사용할 수 있는 Azure Policy 기본 제공 기능이 이 규정 준수 표준에 매핑되는 방법을 검토하려면 MCfS Sovereignty 기준 기밀 정책에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 Microsoft Cloud for Sovereignty 정책 포트폴리오를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| SO.3 - 고객 관리형 키 | SO.3 | 가능한 경우 고객 관리형 키를 사용하도록 Azure 제품을 구성해야 합니다. | Queue Storage는 암호화를 위해 고객 관리형 키를 사용해야 함 | 1.0.0 |
| SO.3 - 고객 관리형 키 | SO.3 | 가능한 경우 고객 관리형 키를 사용하도록 Azure 제품을 구성해야 합니다. | 스토리지 계정 암호화 범위에서 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 1.0.0 |
| SO.3 - 고객 관리형 키 | SO.3 | 가능한 경우 고객 관리형 키를 사용하도록 Azure 제품을 구성해야 합니다. | 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 1.0.3 |
| SO.3 - 고객 관리형 키 | SO.3 | 가능한 경우 고객 관리형 키를 사용하도록 Azure 제품을 구성해야 합니다. | Table Storage는 암호화를 위해 고객 관리형 키를 사용해야 함 | 1.0.0 |
Microsoft 클라우드 보안 벤치마크
Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 이 서비스가 Microsoft 클라우드 보안 벤치마크에 완전히 매핑되는 방법을 보려면 Azure Security Benchmark 매핑 파일을 참조하세요.
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - Microsoft 클라우드 보안 벤치마크를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 네트워크 보안 | NS-2 | NS-2 네트워크 제어를 사용하여 클라우드 서비스 보호 | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 네트워크 보안 | NS-2 | NS-2 네트워크 제어를 사용하여 클라우드 서비스 보호 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 네트워크 보안 | NS-2 | NS-2 네트워크 제어를 사용하여 클라우드 서비스 보호 | 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | 1.0.1 |
| 네트워크 보안 | NS-2 | NS-2 네트워크 제어를 사용하여 클라우드 서비스 보호 | 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함(Databricks에서 만들어진 스토리지 계정 제외) | 1.0.0 |
| 네트워크 보안 | NS-2 | NS-2 네트워크 제어를 사용하여 클라우드 서비스 보호 | 스토리지 계정은 프라이빗 링크를 사용해야 함 | 2.0.0 |
| 네트워크 보안 | NS-2 | NS-2 네트워크 제어를 사용하여 클라우드 서비스 보호 | 스토리지 계정은 프라이빗 링크를 사용해야 함(Databricks에서 만든 스토리지 계정 제외) | 1.0.0 |
| ID 관리 | IM-1 | IM-1 중앙 집중식 ID 및 인증 시스템 사용 | 스토리지 계정은 공유 키 액세스를 차단해야 함 | 2.0.0 |
| ID 관리 | IM-1 | IM-1 중앙 집중식 ID 및 인증 시스템 사용 | 스토리지 계정은 공유 키 액세스를 방지해야 함(Databricks에서 만든 스토리지 계정 제외) | 1.0.0 |
| 데이터 보호 | DP-3 | DP-3 전송 중인 중요한 데이터 암호화 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 데이터 보호 | DP-5 | DP-5 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용 | 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 1.0.3 |
| 자산 관리 | AM-2 | AM-2 승인된 서비스만 사용 | 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
NIST SP 800-171 R2
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - NIST SP 800-171 R2를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 NIST SP 800-171 R2를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| Access Control | 3.1.1 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 포함)에 대한 시스템 액세스 제어. | 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| Access Control | 3.1.1 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 포함)에 대한 시스템 액세스 제어. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| Access Control | 3.1.1 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 포함)에 대한 시스템 액세스 제어. | 스토리지 계정은 프라이빗 링크를 사용해야 함 | 2.0.0 |
| Access Control | 3.1.12 | 원격 액세스 세션을 모니터링하고 제어합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| Access Control | 3.1.12 | 원격 액세스 세션을 모니터링하고 제어합니다. | 스토리지 계정은 프라이빗 링크를 사용해야 함 | 2.0.0 |
| Access Control | 3.1.13 | 원격 액세스 세션의 기밀성을 보호하기 위한 암호화 메커니즘을 사용합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| Access Control | 3.1.13 | 원격 액세스 세션의 기밀성을 보호하기 위한 암호화 메커니즘을 사용합니다. | 스토리지 계정은 프라이빗 링크를 사용해야 함 | 2.0.0 |
| Access Control | 3.1.14 | 관리되는 액세스 제어 지점을 통해 원격 액세스를 라우팅합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| Access Control | 3.1.14 | 관리되는 액세스 제어 지점을 통해 원격 액세스를 라우팅합니다. | 스토리지 계정은 프라이빗 링크를 사용해야 함 | 2.0.0 |
| Access Control | 3.1.2 | 권한 있는 사용자가 실행할 수 있는 트랜잭션 유형 및 기능에 대한 시스템 액세스를 제한합니다. | 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| Access Control | 3.1.3 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| Access Control | 3.1.3 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| Access Control | 3.1.3 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | 1.0.1 |
| Access Control | 3.1.3 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 스토리지 계정은 프라이빗 링크를 사용해야 함 | 2.0.0 |
| 시스템 및 통신 보호 | 3.13.1 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 시스템 및 통신 보호 | 3.13.1 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 시스템 및 통신 보호 | 3.13.1 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | 1.0.1 |
| 시스템 및 통신 보호 | 3.13.1 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 스토리지 계정은 프라이빗 링크를 사용해야 함 | 2.0.0 |
| 시스템 및 통신 보호 | 3.13.10 | 조직 시스템에 사용되는 암호화를 위한 암호화 키를 설정하고 관리합니다. | 스토리지 계정 암호화 범위에서 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | 3.13.10 | 조직 시스템에 사용되는 암호화를 위한 암호화 키를 설정하고 관리합니다. | 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 1.0.3 |
| 시스템 및 통신 보호 | 3.13.16 | 휴지 상태의 CUI 비밀을 보호합니다. | 스토리지 계정에는 인프라 암호화가 있어야 함 | 1.0.0 |
| 시스템 및 통신 보호 | 3.13.2 | 조직 시스템 내에서 효과적인 정보 보안을 강화하는 아키텍처 설계, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 적용합니다. | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 시스템 및 통신 보호 | 3.13.2 | 조직 시스템 내에서 효과적인 정보 보안을 강화하는 아키텍처 설계, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 적용합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 시스템 및 통신 보호 | 3.13.2 | 조직 시스템 내에서 효과적인 정보 보안을 강화하는 아키텍처 설계, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 적용합니다. | 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | 1.0.1 |
| 시스템 및 통신 보호 | 3.13.2 | 조직 시스템 내에서 효과적인 정보 보안을 강화하는 아키텍처 설계, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 적용합니다. | 스토리지 계정은 프라이빗 링크를 사용해야 함 | 2.0.0 |
| 시스템 및 통신 보호 | 3.13.5 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 시스템 및 통신 보호 | 3.13.5 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 시스템 및 통신 보호 | 3.13.5 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | 1.0.1 |
| 시스템 및 통신 보호 | 3.13.5 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 스토리지 계정은 프라이빗 링크를 사용해야 함 | 2.0.0 |
| 시스템 및 통신 보호 | 3.13.6 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| 시스템 및 통신 보호 | 3.13.6 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 시스템 및 통신 보호 | 3.13.6 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | 1.0.1 |
| 시스템 및 통신 보호 | 3.13.8 | 암호화 메커니즘을 구현하여 대체 물리적 보호로 보호되는 경우를 제외하고 전송 중에는 CUI의 무단 공개를 방지합니다. | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
NIST SP 800-53 Rev. 4
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - NIST SP 800-53 개정 4를 참조하세요. 이 규정 준수 표준에 관한 자세한 내용은 NIST SP 800-53 개정 4를 참조하세요.
NIST SP 800-53 Rev. 5
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - NIST SP 800-53 개정 5를 참조하세요. 이 규정 준수 표준에 관한 자세한 내용은 NIST SP 800-53 개정 5를 참조하세요.
NL BIO 클라우드 테마
모든 Azure 서비스에 사용할 수 있는 Azure Policy 기본 제공 기능이 이 규정 준수 표준에 매핑되는 방법을 검토하려면 NL BIO 클라우드 테마에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 기본 정보 보안 정부 사이버 보안 - 디지털 정부(digitaleoverheid.nl)를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| B.09.1 개인 데이터의 개인 정보 보호 - 보안 측면 및 단계 | B.09.1 | 가용성, 무결성 및 기밀성 조치가 취해졌습니다. | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| U.05.1 데이터 보호 - 암호화 측정값 | U.05.1 | 데이터 전송 시 가능한 경우 CSC에서 자체적으로 키를 관리하는 암호화 기능을 통해 보호됩니다. | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| U.05.2 데이터 보호 - 암호화 측정값 | U.05.2 | 클라우드 서비스에 저장된 데이터는 최신 기술로 보호됩니다. | 스토리지 계정 암호화 범위에서 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 1.0.0 |
| U.05.2 데이터 보호 - 암호화 측정값 | U.05.2 | 클라우드 서비스에 저장된 데이터는 최신 기술로 보호됩니다. | 스토리지 계정에는 인프라 암호화가 있어야 함 | 1.0.0 |
| U.05.2 데이터 보호 - 암호화 측정값 | U.05.2 | 클라우드 서비스에 저장된 데이터는 최신 기술로 보호됩니다. | 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 1.0.3 |
| U.07.1 데이터 격리 - 격리됨 | U.07.1 | 데이터의 영구 격리는 다중 테넌트 아키텍처입니다. 패치는 제어된 방식으로 구현됩니다. | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 |
| U.07.1 데이터 격리 - 격리됨 | U.07.1 | 데이터의 영구 격리는 다중 테넌트 아키텍처입니다. 패치는 제어된 방식으로 구현됩니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| U.07.1 데이터 격리 - 격리됨 | U.07.1 | 데이터의 영구 격리는 다중 테넌트 아키텍처입니다. 패치는 제어된 방식으로 구현됩니다. | 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | 1.0.1 |
| U.07.1 데이터 격리 - 격리됨 | U.07.1 | 데이터의 영구 격리는 다중 테넌트 아키텍처입니다. 패치는 제어된 방식으로 구현됩니다. | 스토리지 계정은 프라이빗 링크를 사용해야 함 | 2.0.0 |
| U.07.3 데이터 분리 - 관리 기능 | U.07.3 | U.07.3 - CSC 데이터 및/또는 암호화 키를 확인하거나 수정할 수 있는 권한은 제어된 방식으로 부여되고 사용이 기록됩니다. | 스토리지 계정은 공유 키 액세스를 차단해야 함 | 2.0.0 |
| U.10.2 IT 서비스 및 데이터에 대한 액세스 - 사용자 | U.10.2 | CSP의 책임 하에 액세스 권한이 관리자에게 부여됩니다. | 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| U.10.2 IT 서비스 및 데이터에 대한 액세스 - 사용자 | U.10.2 | CSP의 책임 하에 액세스 권한이 관리자에게 부여됩니다. | 스토리지 계정은 공유 키 액세스를 차단해야 함 | 2.0.0 |
| U.10.3 IT 서비스 및 데이터에 대한 액세스 - 사용자 | U.10.3 | 인증된 장비를 갖춘 사용자만 IT 서비스 및 데이터에 액세스할 수 있습니다. | 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| U.10.3 IT 서비스 및 데이터에 대한 액세스 - 사용자 | U.10.3 | 인증된 장비를 갖춘 사용자만 IT 서비스 및 데이터에 액세스할 수 있습니다. | 스토리지 계정은 공유 키 액세스를 차단해야 함 | 2.0.0 |
| U.10.5 IT 서비스 및 데이터 액세스 권한 - 적격 | U.10.5 | IT 서비스 및 데이터에 대한 액세스는 기술 조치에 따라 제한되며 구현되었습니다. | 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| U.10.5 IT 서비스 및 데이터 액세스 권한 - 적격 | U.10.5 | IT 서비스 및 데이터에 대한 액세스는 기술 조치에 따라 제한되며 구현되었습니다. | 스토리지 계정은 공유 키 액세스를 차단해야 함 | 2.0.0 |
| U.11.1 암호화 서비스 - 정책 | U.11.1 | 암호화 정책에서 최소한 BIO에 따라 주체가 정교하게 다루어졌습니다. | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| U.11.2 암호화 서비스 - 암호화 조치 | U.11.2 | PKIoverheid 인증서의 경우 키 관리를 위해 PKIoverheid 요구 사항을 사용합니다. 다른 상황에서는 ISO11770을 사용합니다. | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| U.11.3 암호화 서비스 - 암호화됨 | U.11.3 | 중요한 데이터는 항상 CSC에서 관리하는 프라이빗 키를 사용하여 암호화됩니다. | 스토리지 계정 암호화 범위에서 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 1.0.0 |
| U.11.3 암호화 서비스 - 암호화됨 | U.11.3 | 중요한 데이터는 항상 CSC에서 관리하는 프라이빗 키를 사용하여 암호화됩니다. | 스토리지 계정에는 인프라 암호화가 있어야 함 | 1.0.0 |
| U.11.3 암호화 서비스 - 암호화됨 | U.11.3 | 중요한 데이터는 항상 CSC에서 관리하는 프라이빗 키를 사용하여 암호화됩니다. | 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 1.0.3 |
| U.12.1 인터페이스 - 네트워크 연결 | U.12.1 | 외부 또는 신뢰할 수 없는 영역과의 연결 지점에서 공격에 대한 조치를 취합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| U.12.2 인터페이스 - 네트워크 연결 | U.12.2 | 네트워크 구성 요소는 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제한합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
PCI DSS 3.2.1
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 PCI DSS 3.2.1을 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 PCI DSS 3.2.1을 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 요구 사항 1 | 1.3.2 | PCI DSS 요구 사항 1.3.2 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 요구 사항 1 | 1.3.4 | PCI DSS 요구 사항 1.3.4 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 요구 사항 10 | 10.5.4 | PCI DSS 요구 사항 10.5.4 | 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| 요구 사항 3 | 3.4 | PCI DSS 요구 사항 3.4 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 요구 사항 4 | 4.1 | PCI DSS 요구 사항 4.1 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 요구 사항 6 | 6.5.3 | PCI DSS 요구 사항 6.5.3 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
PCI DSS v4.0
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 PCI DSS v4.0에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 PCI DSS v4.0을 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 요구 사항 01: 네트워크 보안 컨트롤 설치 및 유지 관리 | 1.3.2 | 카드 소유자 데이터 환경에 대한 네트워크 액세스가 제한됩니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 요구 사항 01: 네트워크 보안 컨트롤 설치 및 유지 관리 | 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 요구 사항 10: 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 기록 및 모니터링 | 10.2.2 | 감사 로그는 변칙 및 의심스러운 활동 감지 및 이벤트의 포렌식 분석을 지원하기 위해 구현됩니다. | 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| 요구 사항 10: 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 기록 및 모니터링 | 10.3.3 | 감사 로그는 파괴 및 무단 수정으로부터 보호됩니다. | 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| 요구 사항 03: 저장된 계정 데이터 보호 | 3.5.1 | PAN(기본 계정 번호)은 저장되는 모든 위치에서 보호됩니다 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 요구 사항 06: 보안 시스템 및 소프트웨어 개발 및 유지 관리 | 6.2.4 | 맞춤형 및 사용자 지정 소프트웨어를 안전하게 개발합니다 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
Reserve Bank of India - NBFC에 대한 IT 프레임워크
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - Reserve Bank of India - NBFC에 대한 IT 프레임워크를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 Reserve Bank of India - NBFC에 대한 IT 프레임워크를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 정보 및 사이버 보안 | 3.1.g | Trails-3.1 | 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 1.0.0 |
| 정보 및 사이버 보안 | 3.1.h | PKI(공개 키 인프라)-3.1 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 정보 및 사이버 보안 | 3.1.h | PKI(공개 키 인프라)-3.1 | 스토리지 계정 암호화 범위에서 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 1.0.0 |
| 정보 및 사이버 보안 | 3.1.h | PKI(공개 키 인프라)-3.1 | 스토리지 계정 암호화 범위는 미사용 데이터에 이중 암호화를 사용해야 합니다. | 1.0.0 |
| 정보 및 사이버 보안 | 3.1.h | PKI(공개 키 인프라)-3.1 | 스토리지 계정에는 인프라 암호화가 있어야 함 | 1.0.0 |
| 정보 및 사이버 보안 | 3.1.h | PKI(공개 키 인프라)-3.1 | 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 1.0.3 |
인도준비은행 은행용 IT 프레임워크 v2016
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공 기능이 이 규정 준수 표준에 어떻게 매핑되는지 검토하려면 Azure Policy 규정 준수 - RBI ITF Banks v2016을 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 RBI ITF Banks v2016(PDF)을 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 보안 메일 및 메시징 시스템 | 보안 메일 및 메시징 시스템-10.1 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 | |
| 패치/취약성 및 변경 관리 | 패치/취약성 및 변경 관리-7.7 | 스토리지 계정 공용 액세스가 허용되지 않아야 함 | 3.1.1 | |
| 고급 실시간 위협 방어 및 관리 | 고급 실시간 위협 방어 및 관리-13.1 | 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 | |
| 데이터 누출 방지 전략 | 데이터 누출 방지 전략-15.2 | 스토리지 계정에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 1.0.1 | |
| 패치/취약성 및 변경 관리 | 패치/취약성 및 변경 관리-7.7 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 | |
| 패치/취약성 및 변경 관리 | 패치/취약성 및 변경 관리-7.7 | 스토리지 계정은 가상 네트워크 규칙을 사용하여 네트워크 액세스를 제한해야 함 | 1.0.1 | |
| 고급 실시간 위협 방어 및 관리 | 고급 실시간 위협 방어 및 관리-13.4 | 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 1.0.3 | |
| 패치/취약성 및 변경 관리 | 패치/취약성 및 변경 관리-7.7 | 스토리지 계정은 프라이빗 링크를 사용해야 함 | 2.0.0 |
RMIT 말레이시아
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - RMIT 말레이시아를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 RMIT 말레이시아를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| Cryptography | 10.16 | 암호화 - 10.16 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| Cryptography | 10.16 | 암호화 - 10.16 | 스토리지 계정에는 인프라 암호화가 있어야 함 | 1.0.0 |
| 네트워크 복원력 | 10.39 | 네트워크 복원력 - 10.39 | 스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 1.0.0 |
| Cloud Services | 10.51 | Cloud Services - 10.51 | 스토리지 계정에 대해 지역 중복 스토리지를 사용하도록 설정해야 함 | 1.0.0 |
| Cloud Services | 10.53 | Cloud Services - 10.53 | 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 1.0.0 |
| Cloud Services | 10.53 | Cloud Services - 10.53 | 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 1.0.3 |
| Access Control | 10.55 | 출입 통제 - 10.55 | 스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 1.0.0 |
스페인 ENS
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 스페인 ENS에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 CCN-STIC 884를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 보호 조치 | mp.com.1 | 통신 보호 | 공용 네트워크 액세스를 사용하지 않도록 스토리지 계정 구성 | 1.0.1 |
| 보호 조치 | mp.com.1 | 통신 보호 | 스토리지 계정에서 공용 네트워크 액세스를 사용하지 않도록 설정해야 함 | 1.0.1 |
| 보호 조치 | mp.com.3 | 통신 보호 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 보호 조치 | mp.info.3 | 정보 보호 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 운영 프레임워크 | op.acc.2 | 접근 제어 | 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| 운영 프레임워크 | op.acc.6 | 접근 제어 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 운영 프레임워크 | op.exp.10 | Operation | Queue Storage는 암호화를 위해 고객 관리형 키를 사용해야 함 | 1.0.0 |
| 운영 프레임워크 | op.exp.10 | Operation | 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 1.0.3 |
| 운영 프레임워크 | op.exp.10 | Operation | Table Storage는 암호화를 위해 고객 관리형 키를 사용해야 함 | 1.0.0 |
| 운영 프레임워크 | op.ext.4 | 외부 리소스 | 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| 운영 프레임워크 | op.mon.1 | 시스템 모니터링 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
SWIFT CSP-CSCF v2021
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 SWIFT CSP-CSCF v2021에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 SWIFT CSP-CSCF v2021을 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| SWIFT 환경 보호 | 1.1 | SWIFT 환경 보호 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| SWIFT 환경 보호 | 1.1 | SWIFT 환경 보호 | 스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 1.0.0 |
| 공격 표면 및 취약성 감소 | 2.5A | 외부 전송 데이터 보호 | 스토리지 계정에 대해 지역 중복 스토리지를 사용하도록 설정해야 함 | 1.0.0 |
| 공격 표면 및 취약성 감소 | 2.5A | 외부 전송 데이터 보호 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
SWIFT CSP-CSCF v2022 (스위프트 CSP-CSCF 버전 2022)
모든 Azure 서비스에 사용할 수 있는 Azure Policy 기본 제공 기능이 이 규정 준수 표준에 매핑되는 방법을 검토하려면 SWIFT CSP-CSCF v2022에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 SWIFT CSP-CSCF v2022를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 1. 인터넷 액세스 제한 및 일반 IT 환경으로부터 중요 시스템 보호 | 1.1 | 일반 IT 환경 및 외부 환경의 잠재적인 손상 요소로부터 사용자의 로컬 SWIFT 인프라를 보호합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 1. 인터넷 액세스 제한 및 일반 IT 환경으로부터 중요 시스템 보호 | 1.1 | 일반 IT 환경 및 외부 환경의 잠재적인 손상 요소로부터 사용자의 로컬 SWIFT 인프라를 보호합니다. | 스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 1.0.0 |
| 1. 인터넷 액세스 제한 및 일반 IT 환경으로부터 중요 시스템 보호 | 1.5A | 외부 환경과 일반 IT 환경의 잠재적으로 손상된 요소로부터 고객의 연결 인프라를 보호합니다. | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 1. 인터넷 액세스 제한 및 일반 IT 환경으로부터 중요 시스템 보호 | 1.5A | 외부 환경과 일반 IT 환경의 잠재적으로 손상된 요소로부터 고객의 연결 인프라를 보호합니다. | 스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 1.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.5A | 외부 전송 데이터 보호 | 스토리지 계정에 대해 지역 중복 스토리지를 사용하도록 설정해야 함 | 1.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.5A | 외부 전송 데이터 보호 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.4 | 보안 이벤트를 기록하고 로컬 SWIFT 환경 내에서 비정상적인 동작 및 작업을 검색합니다. | 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 1.0.0 |
SOC(시스템 및 조직 제어) 2
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공 기능이 이 규정 준수 표준에 어떻게 매핑되는지 검토하려면 SOC(시스템 및 조직 제어) 2에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이 준수 표준에 대한 자세한 내용은 SOC(시스템 및 조직 제어) 2를 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 논리적 및 물리적 액세스 제어 | CC6.1 | 논리적 액세스 보안 소프트웨어, 인프라 및 아키텍처 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 논리적 및 물리적 액세스 제어 | CC6.1 | 논리적 액세스 보안 소프트웨어, 인프라 및 아키텍처 | 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 1.0.0 |
| 논리적 및 물리적 액세스 제어 | CC6.1 | 논리적 액세스 보안 소프트웨어, 인프라 및 아키텍처 | 스토리지 계정은 고객 관리형 키를 사용하여 암호화해야 함 | 1.0.3 |
| 논리적 및 물리적 액세스 제어 | CC6.6 | 시스템 경계 외부의 위협에 대한 보안 조치 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 논리적 및 물리적 액세스 제어 | CC6.7 | 권한이 있는 사용자에게만 정보 이동 제한 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| 논리적 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | 스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 1.0.0 |
| 변경 관리 | CC8.1 | 인프라, 데이터, 소프트웨어 변경 | 스토리지 계정은 신뢰할 수 있는 Microsoft 서비스의 액세스를 허용해야 함 | 1.0.0 |
영국 공식 및 영국 NHS
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - 영국 공식 및 영국 NHS를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 영국 공식을 참조하세요.
| Domain | 컨트롤 ID | 컨트롤 제목 | Policy (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 전송 중인 데이터 보호 | 1 | 전송 중인 데이터 보호 | 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 2.0.0 |
| ID 및 인증 | 10 | ID 및 인증 | 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| 외부 인터페이스 보호 | 11 | 외부 인터페이스 보호 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
| 운영 보안 | 5.3 | 보호 모니터링 | 스토리지 계정은 네트워크 액세스를 제한해야 함 | 1.1.1 |
다음 단계
- Azure Policy 규정 준수에 대해 자세히 알아봅니다.
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.