Azure Virtual Machines에 대한 Azure Policy 규정 준수 컨트롤
적용 대상: ✔️ Linux VM ✔️ Windows VM ✔️ 유연한 확장 집합 ✔️ 균일한 확장 집합
Azure Policy의 규정 준수는 서로 다른 규정 준수 표준과 관련된 규정 준수 도메인 및 보안 제어에 대해 기본 제공으로 알려진 Microsoft 생성 및 관리형 이니셔티브 정의를 제공합니다. 이 페이지에는 Azure Virtual Machines에 대한 규정 준수 도메인 및 보안 제어가 나열되어 있습니다. 보안 제어에 대한 기본 제공 기능을 개별적으로 할당하여 Azure 리소스가 특정 표준을 준수하도록 할 수 있습니다.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Policy Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Important
각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 컨트롤에 대한 규정 준수를 평가하는 데 도움이 될 수 있습니다. 그러나 컨트롤과 하나 이상의 정책 간에 일 대 일 또는 완전한 일치가 없는 경우가 많습니다. 따라서 Azure Policy의 규격 준수는 정책 자체만을 나타냅니다. 이는 컨트롤의 모든 요구 사항을 완전히 준수한다는 것을 보장하지 않습니다. 또한 규정 준수 표준에는 현재 Azure Policy 정의에서 처리되지 않은 컨트롤이 포함되어 있습니다. 따라서 Azure Policy의 규정 준수는 전반적인 규정 준수 상태를 부분적으로 표시할 뿐입니다. 이 규정 준수 표준에 대한 컨트롤과 Azure Policy 규정 준수 정의 간의 연결은 시간이 지나면 변경될 수 있습니다.
오스트레일리아 정부 ISM PROTECTED
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - 오스트레일리아 정부 ISM PROTECTED를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 오스트레일리아 정부 ISM PROTECTED를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 415 | 사용자 ID - 415 | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 415 | 사용자 ID - 415 | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 415 | 사용자 ID - 415 | 관리자 그룹에 지정된 구성원이 있는 Windows 머신 감사 | 2.0.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 415 | 사용자 ID - 415 | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 시스템 강화 지침 - 인증 강화 | 421 | 단일 단계 인증 - 421 | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 시스템 강화 지침 - 인증 강화 | 421 | 단일 단계 인증 - 421 | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 시스템 강화 지침 - 인증 강화 | 421 | 단일 단계 인증 - 421 | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 시스템 강화 지침 - 인증 강화 | 421 | 단일 단계 인증 - 421 | Windows 머신은 '보안 설정 - 계정 정책'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 445 | 시스템에 대한 권한 있는 액세스 - 445 | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 445 | 시스템에 대한 권한 있는 액세스 - 445 | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 445 | 시스템에 대한 권한 있는 액세스 - 445 | 관리자 그룹에 지정된 구성원이 있는 Windows 머신 감사 | 2.0.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 445 | 시스템에 대한 권한 있는 액세스 - 445 | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 암호화 지침 - 암호화 기본 사항 | 459 | 미사용 데이터 암호화 - 459 | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 시스템 모니터링 지침 - 이벤트 로깅 및 감사 | 582 | 로그할 이벤트 - 582 | 가상 머신을 지정된 작업 영역에 연결해야 함 | 1.1.0 |
| 시스템 관리 지침 - 시스템 패치 | 940 | 보안 취약성을 패치하는 경우 - 940 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 940 | 보안 취약성을 패치하는 경우 - 940 | 컨테이너 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 940 | 보안 취약성을 패치하는 경우 - 940 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 시스템 관리 지침 - 시스템 패치 | 940 | 보안 취약성을 패치하는 경우 - 940 | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 암호화 지침 - 전송 계층 보안 | 1139 | 전송 계층 보안 사용 - 1139 | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 암호화 지침 - 전송 계층 보안 | 1139 | 전송 계층 보안 사용 - 1139 | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 암호화 지침 - 전송 계층 보안 | 1139 | 전송 계층 보안 사용 - 1139 | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 암호화 지침 - 전송 계층 보안 | 1139 | 전송 계층 보안 사용 - 1139 | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| 시스템 관리 지침 - 시스템 패치 | 1144 | 보안 취약점을 패치하는 경우 - 1144 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 1144 | 보안 취약점을 패치하는 경우 - 1144 | 컨테이너 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 1144 | 보안 취약점을 패치하는 경우 - 1144 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 시스템 관리 지침 - 시스템 패치 | 1144 | 보안 취약점을 패치하는 경우 - 1144 | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 네트워킹 지침 - 네트워크 설계 및 구성 | 1182 | 네트워크 액세스 컨트롤 - 1182 | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 네트워킹 지침 - 네트워크 설계 및 구성 | 1182 | 네트워크 액세스 컨트롤 - 1182 | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 데이터베이스 시스템 관리 지침 - 데이터베이스 서버 | 1277 | 데이터베이스 서버와 웹 서버 간 통신 - 1277 | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 데이터베이스 시스템 관리 지침 - 데이터베이스 서버 | 1277 | 데이터베이스 서버와 웹 서버 간 통신 - 1277 | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 데이터베이스 시스템 관리 지침 - 데이터베이스 서버 | 1277 | 데이터베이스 서버와 웹 서버 간 통신 - 1277 | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 데이터베이스 시스템 관리 지침 - 데이터베이스 서버 | 1277 | 데이터베이스 서버와 웹 서버 간 통신 - 1277 | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| 게이트웨이 지침 - 콘텐츠 필터링 | 1288 | 바이러스 검사 - 1288 | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| 게이트웨이 지침 - 콘텐츠 필터링 | 1288 | 바이러스 검사 - 1288 | Microsoft IaaSAntimalware 확장을 Windows Server에 배포해야 함 | 1.1.0 |
| 게이트웨이 지침 - 콘텐츠 필터링 | 1288 | 바이러스 검사 - 1288 | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 시스템 관리 지침 - 시스템 관리 | 1386 | 관리 트래픽 흐름 제한 - 1386 | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 시스템 강화 지침 - 운영 체제 강화 | 1407 | 운영 체제 버전 - 1407 | 가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다. | 3.0.0 |
| 시스템 강화 지침 - 운영 체제 강화 | 1407 | 운영 체제 버전 - 1407 | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 시스템 강화 지침 - 운영 체제 강화 | 1417 | 바이러스 백신 소프트웨어 - 1417 | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| 시스템 강화 지침 - 운영 체제 강화 | 1417 | 바이러스 백신 소프트웨어 - 1417 | Microsoft IaaSAntimalware 확장을 Windows Server에 배포해야 함 | 1.1.0 |
| 시스템 강화 지침 - 운영 체제 강화 | 1417 | 바이러스 백신 소프트웨어 - 1417 | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 데이터베이스 시스템 관리 지침 - 데이터베이스 서버 | 1425 | 데이터베이스 서버 콘텐츠 보호 - 1425 | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 시스템 관리 지침 - 시스템 패치 | 1472 | 보안 취약점을 패치하는 경우 - 1472 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 1472 | 보안 취약점을 패치하는 경우 - 1472 | 컨테이너 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 1472 | 보안 취약점을 패치하는 경우 - 1472 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 시스템 관리 지침 - 시스템 패치 | 1472 | 보안 취약점을 패치하는 경우 - 1472 | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 시스템 강화 지침 - 운영 체제 강화 | 1490 | 애플리케이션 제어 - 1490 | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 1494 | 보안 취약점을 패치하는 경우 - 1494 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 1494 | 보안 취약점을 패치하는 경우 - 1494 | 컨테이너 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 1494 | 보안 취약점을 패치하는 경우 - 1494 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 시스템 관리 지침 - 시스템 패치 | 1494 | 보안 취약점을 패치하는 경우 - 1494 | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 1495 | 보안 취약성을 패치하는 경우 - 1495 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 1495 | 보안 취약성을 패치하는 경우 - 1495 | 컨테이너 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 1495 | 보안 취약성을 패치하는 경우 - 1495 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 시스템 관리 지침 - 시스템 패치 | 1495 | 보안 취약성을 패치하는 경우 - 1495 | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 1496 | 보안 취약성을 패치하는 경우 - 1496 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 1496 | 보안 취약성을 패치하는 경우 - 1496 | 컨테이너 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 시스템 관리 지침 - 시스템 패치 | 1496 | 보안 취약성을 패치하는 경우 - 1496 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 시스템 관리 지침 - 시스템 패치 | 1496 | 보안 취약성을 패치하는 경우 - 1496 | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 1503 | 시스템에 대한 표준 액세스 - 1503 | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 1503 | 시스템에 대한 표준 액세스 - 1503 | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 1503 | 시스템에 대한 표준 액세스 - 1503 | 관리자 그룹에 지정된 구성원이 있는 Windows 머신 감사 | 2.0.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 1503 | 시스템에 대한 표준 액세스 - 1503 | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 1507 | 시스템에 대한 권한 있는 액세스 - 1507 | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 1507 | 시스템에 대한 권한 있는 액세스 - 1507 | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 1507 | 시스템에 대한 권한 있는 액세스 - 1507 | 관리자 그룹에 지정된 구성원이 있는 Windows 머신 감사 | 2.0.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 1507 | 시스템에 대한 권한 있는 액세스 - 1507 | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 1508 | 시스템에 대한 권한 있는 액세스 - 1508 | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 1508 | 시스템에 대한 권한 있는 액세스 - 1508 | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 1508 | 시스템에 대한 권한 있는 액세스 - 1508 | 관리자 그룹에 지정된 구성원이 있는 Windows 머신 감사 | 2.0.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 1508 | 시스템에 대한 권한 있는 액세스 - 1508 | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 직원 보안 지침 - 시스템 및 해당 리소스에 대한 액세스 | 1508 | 시스템에 대한 권한 있는 액세스 - 1508 | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 시스템 관리 지침 - 데이터 백업 및 복원 | 1511 | 백업 수행 - 1511 | 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 1.0.0 |
| 시스템 강화 지침 - 인증 강화 | 1546 | 시스템 인증 - 1546 | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 시스템 강화 지침 - 인증 강화 | 1546 | 시스템 인증 - 1546 | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 시스템 강화 지침 - 인증 강화 | 1546 | 시스템 인증 - 1546 | 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 3.1.0 |
| 시스템 강화 지침 - 인증 강화 | 1546 | 시스템 인증 - 1546 | 암호가 없는 계정이 있는 Linux 머신 감사 | 3.1.0 |
| 시스템 강화 지침 - 인증 강화 | 1546 | 시스템 인증 - 1546 | Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 3.1.0 |
캐나다 연방 PBMM
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - 캐나다 연방 PBMM을 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 캐나다 연방 PBMM을 참조하세요.
CIS Microsoft Azure Foundations Benchmark 1.1.0
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - CIS Microsoft Azure Foundations Benchmark 1.1.0을 참조하세요. 이러한 규정 준수 표준에 대한 자세한 내용은 CIS Microsoft Azure Foundations 벤치마크를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 2 Security Center | 2.10 | ASC 기본 정책 설정 "취약성 평가 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 2 Security Center | 2.12 | ASC 기본 정책 설정 "JIT 네트워크 액세스 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인 | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 2 Security Center | 2.13 | ASC 기본 정책 설정인 "적응형 애플리케이션 허용 목록 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인 | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 2 Security Center | 2.3 | ASC 기본 정책 설정 "시스템 업데이트 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인 | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 2 Security Center | 2.4 | ASC 기본 정책 설정 "OS 취약성 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 2 Security Center | 2.5 | ASC 기본 정책 설정 "엔드포인트 보호 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인 | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 2 Security Center | 2.6 | ASC 기본 정책 설정 "디스크 암호화 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인 | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 2 Security Center | 2.7 | ASC 기본 정책 설정인 "네트워크 보안 그룹 모니터링"이 "사용 안 함"으로 설정되어 있지 않은지 확인 | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 2 Security Center | 2.9 | ASC 기본 정책 설정인 "차세대 방화벽(NGFW) 모니터링을 사용하도록 설정"이 "사용 안 함"으로 설정되어 있지 않은지 확인 | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 7 가상 머신 | 7.1 | 'OS 디스크'가 암호화되어 있는지 확인 | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 7 가상 머신 | 7.2 | '데이터 디스크'가 암호화되어 있는지 확인 | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 7 가상 머신 | 7.4 | 승인된 확장만 설치되어 있는지 확인 | 승인된 VM 확장만 설치해야 함 | 1.0.0 |
| 7 가상 머신 | 7.5 | 모든 Virtual Machines에 최신 OS 패치가 적용되어 있는지 확인 | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 7 가상 머신 | 7.6 | 모든 Virtual Machines에 대한 엔드포인트 보호가 설치되어 있는지 확인 | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.3.0
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - CIS Microsoft Azure Foundations Benchmark 1.3.0을 참조하세요. 이러한 규정 준수 표준에 대한 자세한 내용은 CIS Microsoft Azure Foundations 벤치마크를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 7 가상 머신 | 7.1 | Virtual Machines가 Managed Disks를 활용하는지 확인 | 관리 디스크를 사용하지 않는 VM 감사 | 1.0.0 |
| 7 가상 머신 | 7.2 | 'OS 및 데이터' 디스크가 CMK로 암호화되어 있는지 확인 | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 7 가상 머신 | 7.4 | 승인된 확장만 설치되어 있는지 확인 | 승인된 VM 확장만 설치해야 함 | 1.0.0 |
| 7 가상 머신 | 7.5 | 모든 Virtual Machines에 최신 OS 패치가 적용되어 있는지 확인 | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 7 가상 머신 | 7.6 | 모든 Virtual Machines에 대한 엔드포인트 보호가 설치되어 있는지 확인 | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 1.4.0
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 CIS v1.4.0에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이러한 규정 준수 표준에 대한 자세한 내용은 CIS Microsoft Azure Foundations 벤치마크를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 7 가상 머신 | 7.1 | Virtual Machines가 Managed Disks를 활용하는지 확인 | 관리 디스크를 사용하지 않는 VM 감사 | 1.0.0 |
| 7 가상 머신 | 7.2 | 'OS 및 데이터' 디스크를 CMK(고객 관리 키)로 암호화 | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 7 가상 머신 | 7.4 | 승인된 확장만 설치되어 있는지 확인 | 승인된 VM 확장만 설치해야 함 | 1.0.0 |
| 7 가상 머신 | 7.5 | 모든 Virtual Machines에 최신 OS 패치가 적용되어 있는지 확인 | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 7 가상 머신 | 7.6 | 모든 Virtual Machines에 대한 엔드포인트 보호가 설치되어 있는지 확인 | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
CIS Microsoft Azure Foundations Benchmark 2.0.0
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 CIS v2.0.0에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이러한 규정 준수 표준에 대한 자세한 내용은 CIS Microsoft Azure Foundations 벤치마크를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 2.1 | 2.1.13 | '시스템 업데이트 적용' 상태의 Microsoft Defender 권장 사항이 '완료됨'인지 확인 | 누락된 시스템 업데이트가 있는지 주기적으로 확인하도록 컴퓨터를 구성해야 함 | 3.7.0 |
| 6 | 6.1 | 인터넷의 RDP 액세스가 평가되었고 제한되는지 확인 | 가상 머신에서 관리 포트를 닫아야 합니다. | 3.0.0 |
| 6 | 6.2 | 인터넷의 SSH 액세스가 평가되었고 제한되는지 확인 | 가상 머신에서 관리 포트를 닫아야 합니다. | 3.0.0 |
| 7 | 7.2 | Virtual Machines가 Managed Disks를 활용하는지 확인 | 관리 디스크를 사용하지 않는 VM 감사 | 1.0.0 |
| 7 | 7.3 | 'OS 및 데이터' 디스크를 CMK(고객 관리 키)로 암호화 | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 7 | 7.4 | '연결되지 않은 디스크'가 'CMK(고객 관리형 키)'로 암호화되었는지 확인 | 관리 디스크는 플랫폼 관리형 및 고객 관리형 키를 둘 다 사용하여 이중 암호화해야 함 | 1.0.0 |
| 7 | 7.5 | 승인된 확장만 설치되어 있는지 확인 | 승인된 VM 확장만 설치해야 함 | 1.0.0 |
| 7 | 7.6 | 모든 Virtual Machines에 대해 Endpoint Protection이 설치되어 있는지 확인 | 머신에 Endpoint Protection을 설치해야 함 | 1.0.0 |
CMMC Level 3
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - CMMC Level 3을 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 CMMC(사이버 보안 완성 모델 인증)를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 액세스 제어 | AC.1.001 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 정보 포함)에 대한 정보 시스템 액세스를 제한합니다. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 액세스 제어 | AC.1.001 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 정보 포함)에 대한 정보 시스템 액세스를 제한합니다. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 액세스 제어 | AC.1.001 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 정보 포함)에 대한 정보 시스템 액세스를 제한합니다. | 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 3.1.0 |
| 액세스 제어 | AC.1.001 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 정보 포함)에 대한 정보 시스템 액세스를 제한합니다. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 액세스 제어 | AC.1.001 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 정보 포함)에 대한 정보 시스템 액세스를 제한합니다. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 액세스 제어 | AC.1.001 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 정보 포함)에 대한 정보 시스템 액세스를 제한합니다. | Windows 컴퓨터는 '보안 옵션 - 네트워크 액세스' 요구 사항을 충족해야 함 | 3.0.0 |
| 액세스 제어 | AC.1.001 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 정보 포함)에 대한 정보 시스템 액세스를 제한합니다. | Windows 머신은 '보안 옵션 - 네트워크 보안'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 액세스 제어 | AC.1.002 | 권한 있는 사용자가 실행할 수 있는 트랜잭션 유형 및 기능에 대한 정보 시스템 액세스를 제한합니다. | 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 3.1.0 |
| 액세스 제어 | AC.1.002 | 권한 있는 사용자가 실행할 수 있는 트랜잭션 유형 및 기능에 대한 정보 시스템 액세스를 제한합니다. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 액세스 제어 | AC.1.002 | 권한 있는 사용자가 실행할 수 있는 트랜잭션 유형 및 기능에 대한 정보 시스템 액세스를 제한합니다. | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| 액세스 제어 | AC.1.002 | 권한 있는 사용자가 실행할 수 있는 트랜잭션 유형 및 기능에 대한 정보 시스템 액세스를 제한합니다. | Windows 컴퓨터는 '보안 옵션 - 네트워크 액세스' 요구 사항을 충족해야 함 | 3.0.0 |
| 액세스 제어 | AC.1.003 | 외부 정보 시스템의 연결 및 사용을 확인하고 제어/제한합니다. | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 액세스 제어 | AC.1.003 | 외부 정보 시스템의 연결 및 사용을 확인하고 제어/제한합니다. | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 액세스 제어 | AC.2.007 | 특정 보안 기능 및 권한 있는 계정을 포함하여 최소 권한 원칙을 채택합니다. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 액세스 제어 | AC.2.008 | 비보안 기능에 액세스하는 경우 권한 없는 계정 또는 역할을 사용합니다. | Windows 컴퓨터는 '보안 옵션 - 사용자 계정 컨트롤' 요구 사항을 충족해야 함 | 3.0.0 |
| 액세스 제어 | AC.2.008 | 비보안 기능에 액세스하는 경우 권한 없는 계정 또는 역할을 사용합니다. | Windows 머신은 '사용자 권한 할당'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 액세스 제어 | AC.2.013 | 원격 액세스 세션을 모니터링하고 제어합니다. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 액세스 제어 | AC.2.013 | 원격 액세스 세션을 모니터링하고 제어합니다. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 액세스 제어 | AC.2.013 | 원격 액세스 세션을 모니터링하고 제어합니다. | 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 3.1.0 |
| 액세스 제어 | AC.2.013 | 원격 액세스 세션을 모니터링하고 제어합니다. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 액세스 제어 | AC.2.013 | 원격 액세스 세션을 모니터링하고 제어합니다. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 액세스 제어 | AC.2.013 | 원격 액세스 세션을 모니터링하고 제어합니다. | Windows 머신은 '보안 옵션 - 네트워크 보안'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 액세스 제어 | AC.2.016 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 액세스 제어 | AC.2.016 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 액세스 제어 | AC.2.016 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | Windows 컴퓨터는 '보안 옵션 - 네트워크 액세스' 요구 사항을 충족해야 함 | 3.0.0 |
| 액세스 제어 | AC.3.017 | 개인의 의무를 구분하여 공모 없이 악의적인 활동의 위험을 줄입니다. | 관리자 그룹에 지정된 구성원이 없는 Windows 머신 감사 | 2.0.0 |
| 액세스 제어 | AC.3.017 | 개인의 의무를 구분하여 공모 없이 악의적인 활동의 위험을 줄입니다. | 관리자 그룹에 지정된 구성원이 있는 Windows 머신 감사 | 2.0.0 |
| 액세스 제어 | AC.3.018 | 권한 없는 사용자가 권한 있는 기능을 실행하지 못하도록 방지하고 이러한 기능의 실행을 감사 로그에 캡처합니다. | Windows 머신은 '시스템 감사 정책 - 권한 사용'의 요구 사항을 충족해야 함 | 3.0.0 |
| 액세스 제어 | AC.3.021 | 권한 있는 명령의 원격 실행 및 보안 관련 정보에 대한 원격 액세스 권한을 부여합니다. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 액세스 제어 | AC.3.021 | 권한 있는 명령의 원격 실행 및 보안 관련 정보에 대한 원격 액세스 권한을 부여합니다. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 액세스 제어 | AC.3.021 | 권한 있는 명령의 원격 실행 및 보안 관련 정보에 대한 원격 액세스 권한을 부여합니다. | Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 3.1.0 |
| 액세스 제어 | AC.3.021 | 권한 있는 명령의 원격 실행 및 보안 관련 정보에 대한 원격 액세스 권한을 부여합니다. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 액세스 제어 | AC.3.021 | 권한 있는 명령의 원격 실행 및 보안 관련 정보에 대한 원격 액세스 권한을 부여합니다. | 머신에 게스트 구성 확장을 설치해야 함 | 1.0.3 |
| 액세스 제어 | AC.3.021 | 권한 있는 명령의 원격 실행 및 보안 관련 정보에 대한 원격 액세스 권한을 부여합니다. | 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 1.0.1 |
| 액세스 제어 | AC.3.021 | 권한 있는 명령의 원격 실행 및 보안 관련 정보에 대한 원격 액세스 권한을 부여합니다. | Windows 컴퓨터는 '보안 옵션 - 사용자 계정 컨트롤' 요구 사항을 충족해야 함 | 3.0.0 |
| 액세스 제어 | AC.3.021 | 권한 있는 명령의 원격 실행 및 보안 관련 정보에 대한 원격 액세스 권한을 부여합니다. | Windows 머신은 '사용자 권한 할당'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 감사 및 책임 | AU.2.041 | 개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다. | [미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. | 2.0.1-preview |
| 감사 및 책임 | AU.2.041 | 개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다. | 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 | 2.0.1 |
| 감사 및 책임 | AU.2.041 | 개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다. | Virtual Machine Scale Sets에 Log Analytics 확장을 설치해야 함 | 1.0.1 |
| 감사 및 책임 | AU.2.041 | 개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다. | 가상 머신을 지정된 작업 영역에 연결해야 함 | 1.1.0 |
| 감사 및 책임 | AU.2.041 | 개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다. | 가상 머신에 Log Analytics 확장이 설치되어 있어야 함 | 1.0.1 |
| 감사 및 책임 | AU.2.042 | 불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다. | [미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. | 2.0.1-preview |
| 감사 및 책임 | AU.2.042 | 불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다. | 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 | 2.0.1 |
| 감사 및 책임 | AU.2.042 | 불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다. | Virtual Machine Scale Sets에 Log Analytics 확장을 설치해야 함 | 1.0.1 |
| 감사 및 책임 | AU.2.042 | 불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다. | 가상 머신을 지정된 작업 영역에 연결해야 함 | 1.1.0 |
| 감사 및 책임 | AU.2.042 | 불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다. | 가상 머신에 Log Analytics 확장이 설치되어 있어야 함 | 1.0.1 |
| 감사 및 책임 | AU.3.046 | 감사 로깅 프로세스가 실패한 이벤트의 경고입니다. | [미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. | 2.0.1-preview |
| 감사 및 책임 | AU.3.046 | 감사 로깅 프로세스가 실패한 이벤트의 경고입니다. | 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 | 2.0.1 |
| 감사 및 책임 | AU.3.046 | 감사 로깅 프로세스가 실패한 이벤트의 경고입니다. | 가상 머신을 지정된 작업 영역에 연결해야 함 | 1.1.0 |
| 감사 및 책임 | AU.3.048 | 감사 정보(예: 로그)를 하나 이상의 중앙 리포지토리에 수집합니다. | [미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. | 2.0.1-preview |
| 감사 및 책임 | AU.3.048 | 감사 정보(예: 로그)를 하나 이상의 중앙 리포지토리에 수집합니다. | 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 | 2.0.1 |
| 감사 및 책임 | AU.3.048 | 감사 정보(예: 로그)를 하나 이상의 중앙 리포지토리에 수집합니다. | Virtual Machine Scale Sets에 Log Analytics 확장을 설치해야 함 | 1.0.1 |
| 감사 및 책임 | AU.3.048 | 감사 정보(예: 로그)를 하나 이상의 중앙 리포지토리에 수집합니다. | 가상 머신을 지정된 작업 영역에 연결해야 함 | 1.1.0 |
| 감사 및 책임 | AU.3.048 | 감사 정보(예: 로그)를 하나 이상의 중앙 리포지토리에 수집합니다. | 가상 머신에 Log Analytics 확장이 설치되어 있어야 함 | 1.0.1 |
| 보안 평가 | CA.2.158 | 조직 시스템의 보안 제어를 정기적으로 평가하여 이러한 제어가 애플리케이션에서 효과적인지 확인합니다. | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 보안 평가 | CA.2.158 | 조직 시스템의 보안 제어를 정기적으로 평가하여 이러한 제어가 애플리케이션에서 효과적인지 확인합니다. | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 보안 평가 | CA.2.158 | 조직 시스템의 보안 제어를 정기적으로 평가하여 이러한 제어가 애플리케이션에서 효과적인지 확인합니다. | 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 | 3.0.0 |
| 보안 평가 | CA.2.158 | 조직 시스템의 보안 제어를 정기적으로 평가하여 이러한 제어가 애플리케이션에서 효과적인지 확인합니다. | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| 보안 평가 | CA.2.158 | 조직 시스템의 보안 제어를 정기적으로 평가하여 이러한 제어가 애플리케이션에서 효과적인지 확인합니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 보안 평가 | CA.3.161 | 보안 제어를 지속적으로 모니터링하여 지속적인 제어 효율성을 보장합니다. | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 보안 평가 | CA.3.161 | 보안 제어를 지속적으로 모니터링하여 지속적인 제어 효율성을 보장합니다. | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 보안 평가 | CA.3.161 | 보안 제어를 지속적으로 모니터링하여 지속적인 제어 효율성을 보장합니다. | 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 | 3.0.0 |
| 보안 평가 | CA.3.161 | 보안 제어를 지속적으로 모니터링하여 지속적인 제어 효율성을 보장합니다. | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| 보안 평가 | CA.3.161 | 보안 제어를 지속적으로 모니터링하여 지속적인 제어 효율성을 보장합니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 구성 관리 | CM.2.061 | 각 시스템 개발 수명 주기 전반에 걸쳐 조직 시스템(하드웨어, 소프트웨어, 펌웨어 및 설명서 포함)의 기준 구성 및 인벤토리를 설정하고 유지 관리합니다. | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 구성 관리 | CM.2.061 | 각 시스템 개발 수명 주기 전반에 걸쳐 조직 시스템(하드웨어, 소프트웨어, 펌웨어 및 설명서 포함)의 기준 구성 및 인벤토리를 설정하고 유지 관리합니다. | Linux 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 2.2.0 |
| 구성 관리 | CM.2.062 | 필수 기능만 제공하도록 조직 시스템을 구성하여 최소 기능 원칙을 채택합니다. | Windows 머신은 '시스템 감사 정책 - 권한 사용'의 요구 사항을 충족해야 함 | 3.0.0 |
| 구성 관리 | CM.2.063 | 사용자가 설치한 소프트웨어를 제어하고 모니터링합니다. | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 구성 관리 | CM.2.063 | 사용자가 설치한 소프트웨어를 제어하고 모니터링합니다. | 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 | 3.0.0 |
| 구성 관리 | CM.2.063 | 사용자가 설치한 소프트웨어를 제어하고 모니터링합니다. | Windows 컴퓨터는 '보안 옵션 - 사용자 계정 컨트롤' 요구 사항을 충족해야 함 | 3.0.0 |
| 구성 관리 | CM.2.064 | 조직 시스템에 사용되는 정보 기술 제품에 대한 보안 구성 설정을 설정하고 적용합니다. | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 구성 관리 | CM.2.064 | 조직 시스템에 사용되는 정보 기술 제품에 대한 보안 구성 설정을 설정하고 적용합니다. | Windows 머신은 '보안 옵션 - 네트워크 보안'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 구성 관리 | CM.2.065 | 조직 시스템에 대한 변경 내용을 추적, 검토, 승인 또는 거부하고 기록합니다. | Windows 머신은 '시스템 감사 정책 - 정책 변경'의 요구 사항을 충족해야 함 | 3.0.0 |
| 구성 관리 | CM.3.068 | 불필요한 프로그램, 함수, 포트, 프로토콜 및 서비스의 사용을 제한, 사용 안 함 또는 차단합니다. | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 구성 관리 | CM.3.068 | 불필요한 프로그램, 함수, 포트, 프로토콜 및 서비스의 사용을 제한, 사용 안 함 또는 차단합니다. | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 구성 관리 | CM.3.068 | 불필요한 프로그램, 함수, 포트, 프로토콜 및 서비스의 사용을 제한, 사용 안 함 또는 차단합니다. | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 구성 관리 | CM.3.068 | 불필요한 프로그램, 함수, 포트, 프로토콜 및 서비스의 사용을 제한, 사용 안 함 또는 차단합니다. | 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 | 3.0.0 |
| 구성 관리 | CM.3.068 | 불필요한 프로그램, 함수, 포트, 프로토콜 및 서비스의 사용을 제한, 사용 안 함 또는 차단합니다. | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 구성 관리 | CM.3.068 | 불필요한 프로그램, 함수, 포트, 프로토콜 및 서비스의 사용을 제한, 사용 안 함 또는 차단합니다. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 구성 관리 | CM.3.068 | 불필요한 프로그램, 함수, 포트, 프로토콜 및 서비스의 사용을 제한, 사용 안 함 또는 차단합니다. | 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 구성 관리 | CM.3.069 | 권한 없는 소프트웨어 또는 모두 거부 사용을 방지하기 위한 예외별 거부(차단 목록) 정책 적용, 승인된 소프트웨어 실행을 허용하기 위한 예외별 허용(허용 목록) 정책 적용. | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 식별 및 인증 | IA.1.077 | 조직 정보 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 해당 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | IA.1.077 | 조직 정보 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 해당 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | IA.1.077 | 조직 정보 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 해당 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다. | passwd 파일 권한이 0644로 설정되지 않은 Linux 머신 감사 | 3.1.0 |
| 식별 및 인증 | IA.1.077 | 조직 정보 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 해당 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다. | 암호가 없는 계정이 있는 Linux 머신 감사 | 3.1.0 |
| 식별 및 인증 | IA.1.077 | 조직 정보 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 해당 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 식별 및 인증 | IA.1.077 | 조직 정보 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 해당 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다. | Windows 머신은 '보안 옵션 - 네트워크 보안'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 식별 및 인증 | IA.2.078 | 새 암호를 만들 때 최소 암호 복잡성 및 문자 변경을 적용합니다. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | IA.2.078 | 새 암호를 만들 때 최소 암호 복잡성 및 문자 변경을 적용합니다. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | IA.2.078 | 새 암호를 만들 때 최소 암호 복잡성 및 문자 변경을 적용합니다. | 암호가 없는 계정이 있는 Linux 머신 감사 | 3.1.0 |
| 식별 및 인증 | IA.2.078 | 새 암호를 만들 때 최소 암호 복잡성 및 문자 변경을 적용합니다. | 암호 복잡성 설정이 활성화되지 않는 Windows 머신 감사 | 2.0.0 |
| 식별 및 인증 | IA.2.078 | 새 암호를 만들 때 최소 암호 복잡성 및 문자 변경을 적용합니다. | 암호 최소 길이를 지정된 문자 수로 제한하지 않는 Windows 머신 감사 | 2.1.0 |
| 식별 및 인증 | IA.2.078 | 새 암호를 만들 때 최소 암호 복잡성 및 문자 변경을 적용합니다. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 식별 및 인증 | IA.2.078 | 새 암호를 만들 때 최소 암호 복잡성 및 문자 변경을 적용합니다. | Windows 머신은 '보안 옵션 - 네트워크 보안'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 식별 및 인증 | IA.2.079 | 지정된 세대 수에 대해 암호 재사용을 금지합니다. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | IA.2.079 | 지정된 세대 수에 대해 암호 재사용을 금지합니다. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | IA.2.079 | 지정된 세대 수에 대해 암호 재사용을 금지합니다. | 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있는 Windows 머신 감사 | 2.1.0 |
| 식별 및 인증 | IA.2.079 | 지정된 세대 수에 대해 암호 재사용을 금지합니다. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 식별 및 인증 | IA.2.079 | 지정된 세대 수에 대해 암호 재사용을 금지합니다. | Windows 머신은 '보안 옵션 - 네트워크 보안'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 식별 및 인증 | IA.2.081 | 암호화로 보호되는 암호만 저장하고 전송합니다. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | IA.2.081 | 암호화로 보호되는 암호만 저장하고 전송합니다. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | IA.2.081 | 암호화로 보호되는 암호만 저장하고 전송합니다. | 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 2.0.0 |
| 식별 및 인증 | IA.2.081 | 암호화로 보호되는 암호만 저장하고 전송합니다. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 식별 및 인증 | IA.2.081 | 암호화로 보호되는 암호만 저장하고 전송합니다. | Windows 머신은 '보안 옵션 - 네트워크 보안'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 식별 및 인증 | IA.3.084 | 재생 방지 인증 메커니즘을 권한 있는 계정과 권한 없는 계정에 대한 네트워크 액세스에 사용합니다. | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| 사고 대응 | IR.2.093 | 이벤트를 검색하고 보고합니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 복구 | RE.2.137 | 데이터 백업을 정기적으로 수행하고 테스트합니다. | 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 1.0.0 |
| 복구 | RE.2.137 | 데이터 백업을 정기적으로 수행하고 테스트합니다. | Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | 3.0.0 |
| 복구 | RE.3.139 | 조직에서 정의한 대로 완전하고, 종합적이며, 복원력 있는 데이터 백업을 정기적으로 수행합니다. | 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 1.0.0 |
| 복구 | RE.3.139 | 조직에서 정의한 대로 완전하고, 종합적이며, 복원력 있는 데이터 백업을 정기적으로 수행합니다. | Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | 3.0.0 |
| 위험 평가 | RM.2.141 | 조직 시스템의 운영 및 관련된 처리, 스토리지 또는 CUI 전송으로 인한 조직 운영(업무, 기능, 이미지 또는 평판 포함), 조직 자산 및 개인에 대한 위험을 정기적으로 평가합니다. | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 위험 평가 | RM.2.142 | 조직 시스템 및 애플리케이션의 취약성을 정기적으로 검사하고 이러한 시스템 및 애플리케이션에 영향을 주는 새로운 취약점을 식별합니다. | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 위험 평가 | RM.2.143 | 위험 평가에 따라 취약성을 수정합니다. | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 위험 평가 | RM.2.143 | 위험 평가에 따라 취약성을 수정합니다. | 컨테이너 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 위험 평가 | RM.2.143 | 위험 평가에 따라 취약성을 수정합니다. | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 위험 평가 | RM.2.143 | 위험 평가에 따라 취약성을 수정합니다. | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 시스템 및 통신 보호 | SC.1.175 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.1.175 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.1.175 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.1.175 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.1.175 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.1.175 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| 시스템 및 통신 보호 | SC.1.175 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | Windows 컴퓨터는 '보안 옵션 - 네트워크 액세스' 요구 사항을 충족해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.1.175 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | Windows 머신은 '보안 옵션 - 네트워크 보안'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.1.176 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.1.176 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.1.176 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.2.179 | 네트워크 디바이스를 관리하는 데 암호화된 세션을 사용합니다. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.3.177 | CUI의 기밀성을 보호하기 위해 사용되는 경우 FIPS 인증 암호화를 사용합니다. | 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 2.0.0 |
| 시스템 및 통신 보호 | SC.3.177 | CUI의 기밀성을 보호하기 위해 사용되는 경우 FIPS 인증 암호화를 사용합니다. | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 시스템 및 통신 보호 | SC.3.181 | 사용자 기능과 시스템 관리 기능을 분리합니다. | 관리자 그룹에 지정된 구성원이 있는 Windows 머신 감사 | 2.0.0 |
| 시스템 및 통신 보호 | SC.3.183 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.3.183 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.3.183 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.3.183 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.3.183 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.3.183 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | Windows 컴퓨터는 '보안 옵션 - 네트워크 액세스' 요구 사항을 충족해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.3.183 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | Windows 머신은 '보안 옵션 - 네트워크 보안'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | SC.3.185 | 암호화 메커니즘을 구현하여 대체 물리적 보호로 보호되는 경우를 제외하고 전송 중에는 CUI의 무단 공개를 방지합니다. | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| 시스템 및 통신 보호 | SC.3.190 | 통신 세션의 신뢰성을 보호합니다. | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| 시스템 및 통신 보호 | SC.3.191 | 휴지 상태의 CUI 비밀을 보호합니다. | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 시스템 및 정보 무결성 | SI.1.210 | 정보 및 정보 시스템 결함을 적시에 식별, 보고 및 수정합니다. | 보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 | 1.0.0 |
| 시스템 및 정보 무결성 | SI.1.210 | 정보 및 정보 시스템 결함을 적시에 식별, 보고 및 수정합니다. | 가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다. | 3.0.0 |
| 시스템 및 정보 무결성 | SI.1.210 | 정보 및 정보 시스템 결함을 적시에 식별, 보고 및 수정합니다. | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 시스템 및 정보 무결성 | SI.1.210 | 정보 및 정보 시스템 결함을 적시에 식별, 보고 및 수정합니다. | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 시스템 및 정보 무결성 | SI.1.210 | 정보 및 정보 시스템 결함을 적시에 식별, 보고 및 수정합니다. | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 시스템 및 정보 무결성 | SI.1.211 | 조직 정보 시스템 내의 적절한 위치에서 악성 코드로부터 보호합니다. | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| 시스템 및 정보 무결성 | SI.1.211 | 조직 정보 시스템 내의 적절한 위치에서 악성 코드로부터 보호합니다. | 보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 | 1.0.0 |
| 시스템 및 정보 무결성 | SI.1.211 | 조직 정보 시스템 내의 적절한 위치에서 악성 코드로부터 보호합니다. | Microsoft IaaSAntimalware 확장을 Windows Server에 배포해야 함 | 1.1.0 |
| 시스템 및 정보 무결성 | SI.1.211 | 조직 정보 시스템 내의 적절한 위치에서 악성 코드로부터 보호합니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 시스템 및 정보 무결성 | SI.1.212 | 새 릴리스를 사용할 수 있는 경우 악성 코드 방지 메커니즘을 업데이트합니다. | 보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 | 1.0.0 |
| 시스템 및 정보 무결성 | SI.1.213 | 파일을 다운로드하거나 열거나 실행할 때 정보 시스템을 정기적으로 검사하고 외부 원본의 파일을 실시간으로 검사합니다. | 보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 | 1.0.0 |
| 시스템 및 정보 무결성 | SI.1.213 | 파일을 다운로드하거나 열거나 실행할 때 정보 시스템을 정기적으로 검사하고 외부 원본의 파일을 실시간으로 검사합니다. | Microsoft IaaSAntimalware 확장을 Windows Server에 배포해야 함 | 1.1.0 |
| 시스템 및 정보 무결성 | SI.1.213 | 파일을 다운로드하거나 열거나 실행할 때 정보 시스템을 정기적으로 검사하고 외부 원본의 파일을 실시간으로 검사합니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
FedRAMP High
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - FedRAMP High를 참조하세요. 이 규정 준수 표준에 관한 자세한 내용은 FedRAMP High를 참조하세요.
FedRAMP Moderate
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - FedRAMP Moderate를 참조하세요. 이 규정 준수 표준에 관한 자세한 내용은 FedRAMP Moderate를 참조하세요.
HIPAA HITRUST 9.2
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - HIPAA HITRUST 9.2를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 HIPAA HITRUST 9.2를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 사용자 식별 및 인증 | 11210.01q2Organizational.10 - 01.q | 전자 레코드에 실행되는 전자 서명 및 필기 서명은 각 전자 레코드에 연결됩니다. | 관리자 그룹에 지정된 구성원이 있는 Windows 머신 감사 | 2.0.0 |
| 사용자 식별 및 인증 | 11211.01q2Organizational.11 - 01.q | 서명된 전자 레코드에는 사람이 읽을 수 있는 형식의 서명과 연결된 정보가 포함됩니다. | 관리자 그룹에 지정된 구성원이 없는 Windows 머신 감사 | 2.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 악성 및 모바일 코드로부터 보호 | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 악성 및 모바일 코드로부터 보호 | Windows Server용 기본 Microsoft IaaSAntimalware 확장 배포 | 1.1.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 악성 및 모바일 코드로부터 보호 | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 악성 및 모바일 코드로부터 보호 | 보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 | 1.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 악성 및 모바일 코드로부터 보호 | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 02 Endpoint Protection | 0201.09j1Organizational.124-09.j | 0201.09j1Organizational.124-09.j 09.04 악성 및 모바일 코드로부터 보호 | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 03 휴대용 미디어 보안 | 0302.09o2Organizational.1-09.o | 0302.09o2Organizational.1-09.o 09.07 미디어 취급 | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 06 구성 관리 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 시스템 파일 보안 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 06 구성 관리 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 시스템 파일 보안 | Windows 컴퓨터는 '보안 옵션 - 감사' 요구 사항을 충족해야 함 | 3.0.0 |
| 06 구성 관리 | 0605.10h1System.12-10.h | 0605.10h1System.12-10.h 10.04 시스템 파일 보안 | Windows 머신은 '시스템 감사 정책 - 계정 관리'의 요구 사항을 충족해야 함 | 3.0.0 |
| 06 구성 관리 | 0635.10k1Organizational.12-10.k | 0635.10k1Organizational.12-10.k 10.05 개발 및 지원 프로세스의 보안 | Windows 머신은 '시스템 감사 정책 - 상세 추적'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 06 구성 관리 | 0636.10k2Organizational.1-10.k | 0636.10k2Organizational.1-10.k 10.05 개발 및 지원 프로세스의 보안 | Windows 머신은 '시스템 감사 정책 - 상세 추적'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 06 구성 관리 | 0637.10k2Organizational.2-10.k | 0637.10k2Organizational.2-10.k 10.05 개발 및 지원 프로세스의 보안 | Windows 머신은 '시스템 감사 정책 - 상세 추적'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 06 구성 관리 | 0638.10k2Organizational.34569-10.k | 0638.10k2Organizational.34569-10.k 10.05 개발 및 지원 프로세스의 보안 | Windows 머신은 '시스템 감사 정책 - 상세 추적'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 06 구성 관리 | 0639.10k2Organizational.78-10.k | 0639.10k2Organizational.78-10.k 10.05 개발 및 지원 프로세스의 보안 | Windows 머신은 '시스템 감사 정책 - 상세 추적'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 06 구성 관리 | 0640.10k2Organizational.1012-10.k | 0640.10k2Organizational.1012-10.k 10.05 개발 및 지원 프로세스의 보안 | Windows 머신은 '시스템 감사 정책 - 상세 추적'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 06 구성 관리 | 0641.10k2Organizational.11-10.k | 0641.10k2Organizational.11-10.k 10.05 개발 및 지원 프로세스의 보안 | Windows 머신은 '시스템 감사 정책 - 상세 추적'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 06 구성 관리 | 0642.10k3Organizational.12-10.k | 0642.10k3Organizational.12-10.k 10.05 개발 및 지원 프로세스의 보안 | Windows 머신은 '시스템 감사 정책 - 상세 추적'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 06 구성 관리 | 0643.10k3Organizational.3-10.k | 0643.10k3Organizational.3-10.k 10.05 개발 및 지원 프로세스의 보안 | Windows 머신은 '시스템 감사 정책 - 상세 추적'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 06 구성 관리 | 0644.10k3Organizational.4-10.k | 0644.10k3Organizational.4-10.k 10.05 개발 및 지원 프로세스의 보안 | Windows 머신은 '시스템 감사 정책 - 상세 추적'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 07 취약성 관리 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 기술 취약성 관리 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 07 취약성 관리 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 기술 취약성 관리 | 컨테이너 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 07 취약성 관리 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 기술 취약성 관리 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 07 취약성 관리 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 기술 취약성 관리 | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 07 취약성 관리 | 0709.10m1Organizational.1-10.m | 0709.10m1Organizational.1-10.m 10.06 기술 취약성 관리 | Windows 컴퓨터는 '보안 옵션 - Microsoft 네트워크 서버' 요구 사항을 충족해야 함 | 3.0.0 |
| 07 취약성 관리 | 0711.10m2Organizational.23-10.m | 0711.10m2Organizational.23-10.m 10.06 기술 취약성 관리 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 07 취약성 관리 | 0713.10m2Organizational.5-10.m | 0713.10m2Organizational.5-10.m 10.06 기술 취약성 관리 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 07 취약성 관리 | 0714.10m2Organizational.7-10.m | 0714.10m2Organizational.7-10.m 10.06 기술 취약성 관리 | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 07 취약성 관리 | 0715.10m2Organizational.8-10.m | 0715.10m2Organizational.8-10.m 10.06 기술 취약성 관리 | 컨테이너 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 07 취약성 관리 | 0717.10m3Organizational.2-10.m | 0717.10m3Organizational.2-10.m 10.06 기술 취약성 관리 | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 07 취약성 관리 | 0718.10m3Organizational.34-10.m | 0718.10m3Organizational.34-10.m 10.06 기술 취약성 관리 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 08 네트워크 보호 | 0805.01m1Organizational.12-01.m | 0805.01m1Organizational.12-01.m 01.04 네트워크 액세스 제어 | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0806.01m2Organizational.12356-01.m | 0806.01m2Organizational.12356-01.m 01.04 네트워크 액세스 제어 | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 네트워크 액세스 제어 | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0809.01n2Organizational.1234-01.n | 0809.01n2Organizational.1234-01.n 01.04 네트워크 액세스 제어 | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 네트워크 액세스 제어 | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0810.01n2Organizational.5-01.n | 0810.01n2Organizational.5-01.n 01.04 네트워크 액세스 제어 | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 네트워크 액세스 제어 | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0811.01n2Organizational.6-01.n | 0811.01n2Organizational.6-01.n 01.04 네트워크 액세스 제어 | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 네트워크 액세스 제어 | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0812.01n2Organizational.8-01.n | 0812.01n2Organizational.8-01.n 01.04 네트워크 액세스 제어 | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 네트워크 Access Control | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0814.01n1Organizational.12-01.n | 0814.01n1Organizational.12-01.n 01.04 네트워크 Access Control | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 네트워크 보안 관리 | [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 08 네트워크 보호 | 0835.09n1Organizational.1-09.n | 0835.09n1Organizational.1-09.n 09.06 네트워크 보안 관리 | 가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| 08 네트워크 보호 | 0836.09.n2Organizational.1-09.n | 0836.09.n2Organizational.1-09.n 09.06 네트워크 보안 관리 | [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 08 네트워크 보호 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 네트워크 보안 관리 | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 네트워크 보안 관리 | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0858.09m1Organizational.4-09.m | 0858.09m1Organizational.4-09.m 09.06 네트워크 보안 관리 | Windows 컴퓨터는 'Windows 방화벽 속성' 요구 사항을 충족해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0859.09m1Organizational.78-09.m | 0859.09m1Organizational.78-09.m 09.06 네트워크 보안 관리 | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0861.09m2Organizational.67-09.m | 0861.09m2Organizational.67-09.m 09.06 네트워크 보안 관리 | Windows 컴퓨터는 '보안 옵션 - 네트워크 액세스' 요구 사항을 충족해야 함 | 3.0.0 |
| 08 네트워크 보호 | 0885.09n2Organizational.3-09.n | 0885.09n2Organizational.3-09.n 09.06 네트워크 보안 관리 | [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 08 네트워크 보호 | 0887.09n2Organizational.5-09.n | 0887.09n2Organizational.5-09.n 09.06 네트워크 보안 관리 | [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 08 네트워크 보호 | 0894.01m2Organizational.7-01.m | 0894.01m2Organizational.7-01.m 01.04 네트워크 액세스 제어 | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 백업 | 1699.09l1Organizational.10 - 09.l | 데이터 백업 프로세스에서 직원 멤버의 역할과 책임을 식별하여 직원에게 전달합니다. 특히 BYOD(Bring Your Own Device) 사용자는 자신의 디바이스에서 조직 및/또는 클라이언트 데이터의 백업을 수행해야 합니다. | Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | 3.0.0 |
| 09 전송 보호 | 0945.09y1Organizational.3-09.y | 0945.09y1Organizational.3-09.y 09.09 전자 상거래 서비스 | 신뢰할 수 있는 루트에 지정한 인증서가 포함되지 않은 Windows 머신 감사 | 3.0.0 |
| 운영 소프트웨어 제어 | 0606.10h2System.1 - 10.h | 애플리케이션 및 운영 체제는 프로덕션 이전에 유용성, 보안 및 영향을 테스트했습니다. | 컨테이너 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 운영 소프트웨어 제어 | 0607.10h2System.23 - 10.h | 조직은 구성 제어 프로그램을 사용하여 구현된 모든 소프트웨어 및 해당 시스템 설명서의 제어를 유지하고, 이전 버전의 구현된 소프트웨어 및 관련 시스템 설명서를 보관합니다. | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 운영 소프트웨어 제어 | 0607.10h2System.23 - 10.h | 조직은 구성 제어 프로그램을 사용하여 구현된 모든 소프트웨어 및 해당 시스템 설명서의 제어를 유지하고, 이전 버전의 구현된 소프트웨어 및 관련 시스템 설명서를 보관합니다. | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 11 액세스 제어 | 11180.01c3System.6-01.c | 11180.01c3System.6-01.c 01.02 정보 시스템에 대한 권한 있는 액세스 | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 11 액세스 제어 | 1119.01j2Organizational.3-01.j | 1119.01j2Organizational.3-01.j 01.04 네트워크 액세스 제어 | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 11 액세스 제어 | 1123.01q1System.2-01.q | 1123.01q1System.2-01.q 01.05 운영 체제 액세스 제어 | 관리자 그룹에 추가 계정이 있는 Windows 머신 감사 | 2.0.0 |
| 11 액세스 제어 | 1125.01q2System.1-01.q | 1125.01q2System.1-01.q 01.05 운영 체제 액세스 제어 | 관리자 그룹에 지정된 구성원이 있는 Windows 머신 감사 | 2.0.0 |
| 11 액세스 제어 | 1127.01q2System.3-01.q | 1127.01q2System.3-01.q 01.05 운영 체제 액세스 제어 | 관리자 그룹에 지정된 구성원이 없는 Windows 머신 감사 | 2.0.0 |
| 11 액세스 제어 | 1143.01c1System.123-01.c | 1143.01c1System.123-01.c 01.02 정보 시스템에 대한 권한 있는 액세스 | 가상 머신에서 관리 포트를 닫아야 합니다. | 3.0.0 |
| 11 액세스 제어 | 1148.01c2System.78-01.c | 1148.01c2System.78-01.c 01.02 정보 시스템에 대한 권한 있는 액세스 | Windows 머신은 '보안 옵션 - 계정'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 11 액세스 제어 | 1150.01c2System.10-01.c | 1150.01c2System.10-01.c 01.02 정보 시스템에 대한 권한 있는 액세스 | 가상 머신에서 관리 포트를 닫아야 합니다. | 3.0.0 |
| 11 액세스 제어 | 1175.01j1Organizational.8-01.j | 1175.01j1Organizational.8-01.j 01.04 네트워크 액세스 제어 | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 11 액세스 제어 | 1179.01j3Organizational.1-01.j | 1179.01j3Organizational.1-01.j 01.04 네트워크 액세스 제어 | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 11 액세스 제어 | 1192.01l1Organizational.1-01.l | 1192.01l1Organizational.1-01.l 01.04 네트워크 액세스 제어 | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 11 액세스 제어 | 1193.01l2Organizational.13-01.l | 1193.01l2Organizational.13-01.l 01.04 네트워크 액세스 제어 | 가상 머신에서 관리 포트를 닫아야 합니다. | 3.0.0 |
| 11 액세스 제어 | 1197.01l3Organizational.3-01.l | 1197.01l3Organizational.3-01.l 01.04 네트워크 액세스 제어 | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 12 감사 로깅 & 모니터링 | 1202.09aa1System.1-09.aa | 1202.09aa1System.1-09.aa 09.10 모니터링 | 가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다. | 3.0.0 |
| 12 감사 로깅 & 모니터링 | 12100.09ab2System.15-09.ab | 12100.09ab2System.15-09.ab 09.10 모니터링 | 가상 머신에 Log Analytics 확장이 설치되어 있어야 함 | 1.0.1 |
| 12 감사 로깅 & 모니터링 | 12101.09ab1Organizational.3-09.ab | 12101.09ab1Organizational.3-09.ab 09.10 모니터링 | Virtual Machine Scale Sets에 Log Analytics 확장을 설치해야 함 | 1.0.1 |
| 12 감사 로깅 & 모니터링 | 12102.09ab1Organizational.4-09.ab | 12102.09ab1Organizational.4-09.ab 09.10 모니터링 | Log Analytics 에이전트가 예상대로 연결되지 않은 Windows 머신 감사 | 2.0.0 |
| 12 감사 로깅 & 모니터링 | 1215.09ab2System.7-09.ab | 1215.09ab2System.7-09.ab 09.10 모니터링 | 가상 머신에 Log Analytics 확장이 설치되어 있어야 함 | 1.0.1 |
| 12 감사 로깅 & 모니터링 | 1216.09ab3System.12-09.ab | 1216.09ab3System.12-09.ab 09.10 모니터링 | Virtual Machine Scale Sets에 Log Analytics 확장을 설치해야 함 | 1.0.1 |
| 12 감사 로깅 & 모니터링 | 1217.09ab3System.3-09.ab | 1217.09ab3System.3-09.ab 09.10 모니터링 | Log Analytics 에이전트가 예상대로 연결되지 않은 Windows 머신 감사 | 2.0.0 |
| 12 감사 로깅 및 모니터링 | 1232.09c3Organizational.12-09.c | 1232.09c3Organizational.12-09.c 09.01 문서화된 운영 절차 | Windows 머신은 '사용자 권한 할당'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 12 감사 로깅 및 모니터링 | 1277.09c2Organizational.4-09.c | 1277.09c2Organizational.4-09.c 09.01 문서화된 운영 절차 | Windows 컴퓨터는 '보안 옵션 - 사용자 계정 컨트롤' 요구 사항을 충족해야 함 | 3.0.0 |
| 16 비즈니스 연속성 및 재해 복구 | 1620.09l1Organizational.8-09.l | 1620.09l1Organizational.8-09.l 09.05 정보 백업 | Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | 3.0.0 |
| 16 비즈니스 연속성 및 재해 복구 | 1625.09l3Organizational.34-09.l | 1625.09l3Organizational.34-09.l 09.05 정보 백업 | Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | 3.0.0 |
| 16 비즈니스 연속성 및 재해 복구 | 1634.12b1Organizational.1-12.b | 1634.12b1Organizational.1-12.b 12.01 비즈니스 연속성 관리의 정보 보안 측면 | 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 1.0.0 |
| 16 비즈니스 연속성 및 재해 복구 | 1637.12b2Organizational.2-12.b | 1637.12b2Organizational.2-12.b 12.01 비즈니스 연속성 관리의 정보 보안 측면 | Windows 컴퓨터는 '보안 옵션 - 복구 콘솔' 요구 사항을 충족해야 함 | 3.0.0 |
| 16 비즈니스 연속성 및 재해 복구 | 1638.12b2Organizational.345-12.b | 1638.12b2Organizational.345-12.b 12.01 비즈니스 연속성 관리의 정보 보안 측면 | 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 1.0.0 |
IRS 1075 2016년 9월
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - IRS 1075 2016년 9월을 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 IRS 1075 2016년 9월을 참조하세요.
ISO 27001:2013
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - ISO 27001:2013을 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 ISO 27001:2013을 참조하세요.
Microsoft Cloud for Sovereignty 기본 기밀 정책
모든 Azure 서비스에 사용할 수 있는 Azure Policy 기본 제공 기능이 이 규정 준수 표준에 매핑되는 방법을 검토하려면 MCfS Sovereignty 기준 기밀 정책에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 Microsoft Cloud for Sovereignty 정책 포트폴리오를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| SO.3 - 고객 관리형 키 | SO.3 | 가능한 경우 고객 관리형 키를 사용하도록 Azure 제품을 구성해야 합니다. | 관리 디스크는 플랫폼 관리형 및 고객 관리형 키를 둘 다 사용하여 이중 암호화해야 함 | 1.0.0 |
| SO.4 - Azure 기밀 컴퓨팅 | SO.4 | 가능한 경우 Azure 기밀 컴퓨팅 SKU를 사용하도록 Azure 제품을 구성해야 합니다. | 허용된 가상 머신 크기 SKU | 1.0.1 |
Microsoft Cloud 보안 벤치마크
Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 이 서비스가 Microsoft 클라우드 보안 벤치마크에 완전히 매핑되는 방법을 보려면 Azure Security Benchmark 매핑 파일을 참조하세요.
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - Microsoft 클라우드 보안 벤치마크를 참조하세요.
NIST SP 800-171 R2
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - NIST SP 800-171 R2를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 NIST SP 800-171 R2를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 액세스 제어 | 3.1.1 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 포함)에 대한 시스템 액세스 제어. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 액세스 제어 | 3.1.1 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 포함)에 대한 시스템 액세스 제어. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 액세스 제어 | 3.1.1 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 포함)에 대한 시스템 액세스 제어. | 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 3.1.0 |
| 액세스 제어 | 3.1.1 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 포함)에 대한 시스템 액세스 제어. | 암호가 없는 계정이 있는 Linux 머신 감사 | 3.1.0 |
| 액세스 제어 | 3.1.1 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 포함)에 대한 시스템 액세스 제어. | Linux 머신에 대한 인증에 SSH 키가 필요함 | 3.2.0 |
| 액세스 제어 | 3.1.1 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 포함)에 대한 시스템 액세스 제어. | Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 3.1.0 |
| 액세스 제어 | 3.1.1 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 포함)에 대한 시스템 액세스 제어. | 디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | 3.1.1 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 포함)에 대한 시스템 액세스 제어. | 가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| 액세스 제어 | 3.1.12 | 원격 액세스 세션을 모니터링하고 제어합니다. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 액세스 제어 | 3.1.12 | 원격 액세스 세션을 모니터링하고 제어합니다. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 액세스 제어 | 3.1.12 | 원격 액세스 세션을 모니터링하고 제어합니다. | 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 3.1.0 |
| 액세스 제어 | 3.1.12 | 원격 액세스 세션을 모니터링하고 제어합니다. | Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 3.1.0 |
| 액세스 제어 | 3.1.12 | 원격 액세스 세션을 모니터링하고 제어합니다. | 디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | 3.1.13 | 원격 액세스 세션의 기밀성을 보호하기 위한 암호화 메커니즘을 사용합니다. | 디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | 3.1.14 | 관리되는 액세스 제어 지점을 통해 원격 액세스를 라우팅합니다. | 디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | 3.1.2 | 권한이 부여된 사용자가 실행할 수 있는 트랜잭션 및 함수 유형에 대한 시스템 액세스를 제한합니다. | 가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| 액세스 제어 | 3.1.3 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 액세스 제어 | 3.1.3 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 액세스 제어 | 3.1.3 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | 3.1.3 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 액세스 제어 | 3.1.3 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 3.0.0 |
| 액세스 제어 | 3.1.3 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 액세스 제어 | 3.1.3 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 가상 머신에서 관리 포트를 닫아야 합니다. | 3.0.0 |
| 액세스 제어 | 3.1.3 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 액세스 제어 | 3.1.4 | 개인의 의무를 구분하여 공모 없이 악의적인 활동의 위험을 줄입니다. | 관리자 그룹에 지정된 구성원이 없는 Windows 머신 감사 | 2.0.0 |
| 액세스 제어 | 3.1.4 | 개인의 의무를 구분하여 공모 없이 악의적인 활동의 위험을 줄입니다. | 관리자 그룹에 지정된 구성원이 있는 Windows 머신 감사 | 2.0.0 |
| 위험 평가 | 3.11.2 | 조직 시스템 및 애플리케이션의 취약성을 정기적으로 검사하고 이러한 시스템 및 애플리케이션에 영향을 주는 새로운 취약점을 식별합니다. | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 위험 평가 | 3.11.2 | 조직 시스템 및 애플리케이션의 취약성을 정기적으로 검사하고 이러한 시스템 및 애플리케이션에 영향을 주는 새로운 취약점을 식별합니다. | 컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함 | 1.0.0 |
| 위험 평가 | 3.11.2 | 조직 시스템 및 애플리케이션의 취약성을 정기적으로 검사하고 이러한 시스템 및 애플리케이션에 영향을 주는 새로운 취약점을 식별합니다. | 컨테이너 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 위험 평가 | 3.11.2 | 조직 시스템 및 애플리케이션의 취약성을 정기적으로 검사하고 이러한 시스템 및 애플리케이션에 영향을 주는 새로운 취약점을 식별합니다. | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 위험 평가 | 3.11.2 | 조직 시스템 및 애플리케이션의 취약성을 정기적으로 검사하고 이러한 시스템 및 애플리케이션에 영향을 주는 새로운 취약점을 식별합니다. | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 위험 평가 | 3.11.3 | 위험 평가에 따라 취약성을 수정합니다. | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 위험 평가 | 3.11.3 | 위험 평가에 따라 취약성을 수정합니다. | 컴퓨터의 SQL Server는 발견한 취약성을 해결해야 함 | 1.0.0 |
| 위험 평가 | 3.11.3 | 위험 평가에 따라 취약성을 수정합니다. | 컨테이너 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 위험 평가 | 3.11.3 | 위험 평가에 따라 취약성을 수정합니다. | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 위험 평가 | 3.11.3 | 위험 평가에 따라 취약성을 수정합니다. | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.1 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.1 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.1 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | 3.13.1 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.1 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.1 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.1 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 가상 머신에서 관리 포트를 닫아야 합니다. | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.1 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.10 | 조직 시스템에서 사용되는 암호화에 대한 암호화 키를 설정하고 관리합니다. | 관리 디스크는 플랫폼 관리형 및 고객 관리형 키를 둘 다 사용하여 이중 암호화해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | 3.13.10 | 조직 시스템에서 사용되는 암호화에 대한 암호화 키를 설정하고 관리합니다. | OS 및 데이터 디스크는 고객 관리형 키로 암호화해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.16 | 휴지 상태의 CUI 비밀을 보호합니다. | 가상 머신 및 가상 머신 확장 집합에서는 호스트에서 암호화를 사용하도록 설정해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | 3.13.16 | 휴지 상태의 CUI 비밀을 보호합니다. | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 시스템 및 통신 보호 | 3.13.2 | 조직 시스템 내에서 효과적인 정보 보안을 강화하는 아키텍처 설계, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 적용합니다. | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.2 | 조직 시스템 내에서 효과적인 정보 보안을 강화하는 아키텍처 설계, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 적용합니다. | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.2 | 조직 시스템 내에서 효과적인 정보 보안을 강화하는 아키텍처 설계, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 적용합니다. | 디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | 3.13.2 | 조직 시스템 내에서 효과적인 정보 보안을 강화하는 아키텍처 설계, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 적용합니다. | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.2 | 조직 시스템 내에서 효과적인 정보 보안을 강화하는 아키텍처 설계, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 적용합니다. | 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.2 | 조직 시스템 내에서 효과적인 정보 보안을 강화하는 아키텍처 설계, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 적용합니다. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.2 | 조직 시스템 내에서 효과적인 정보 보안을 강화하는 아키텍처 설계, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 적용합니다. | 가상 머신에서 관리 포트를 닫아야 합니다. | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.2 | 조직 시스템 내에서 효과적인 정보 보안을 강화하는 아키텍처 설계, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 적용합니다. | 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.5 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.5 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.5 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | 3.13.5 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.5 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.5 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.5 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 가상 머신에서 관리 포트를 닫아야 합니다. | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.5 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.6 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.6 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.6 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.6 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.6 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 가상 머신에서 관리 포트를 닫아야 합니다. | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.6 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 시스템 및 통신 보호 | 3.13.8 | 암호화 메커니즘을 구현하여 대체 물리적 보호로 보호되는 경우를 제외하고 전송 중에는 CUI의 무단 공개를 방지합니다. | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| 시스템 및 정보 무결성 | 3.14.1 | 적시에 시스템 결함을 식별, 보고 및 수정합니다. | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 시스템 및 정보 무결성 | 3.14.1 | 적시에 시스템 결함을 식별, 보고 및 수정합니다. | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| 시스템 및 정보 무결성 | 3.14.1 | 적시에 시스템 결함을 식별, 보고 및 수정합니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 시스템 및 정보 무결성 | 3.14.1 | 적시에 시스템 결함을 식별, 보고 및 수정합니다. | 가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다. | 3.0.0 |
| 시스템 및 정보 무결성 | 3.14.1 | 적시에 시스템 결함을 식별, 보고 및 수정합니다. | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 시스템 및 정보 무결성 | 3.14.1 | 적시에 시스템 결함을 식별, 보고 및 수정합니다. | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 시스템 및 정보 무결성 | 3.14.1 | 적시에 시스템 결함을 식별, 보고 및 수정합니다. | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 시스템 및 정보 무결성 | 3.14.1 | 적시에 시스템 결함을 식별, 보고 및 수정합니다. | Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | 2.0.0 |
| 시스템 및 정보 무결성 | 3.14.2 | 조직 시스템 내의 지정된 위치에서 악성 코드로부터 보호합니다. | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| 시스템 및 정보 무결성 | 3.14.2 | 조직 시스템 내의 지정된 위치에서 악성 코드로부터 보호합니다. | 보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 | 1.0.0 |
| 시스템 및 정보 무결성 | 3.14.2 | 조직 시스템 내의 지정된 위치에서 악성 코드로부터 보호합니다. | Microsoft IaaSAntimalware 확장을 Windows Server에 배포해야 함 | 1.1.0 |
| 시스템 및 정보 무결성 | 3.14.2 | 조직 시스템 내의 지정된 위치에서 악성 코드로부터 보호합니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 시스템 및 정보 무결성 | 3.14.2 | 조직 시스템 내의 지정된 위치에서 악성 코드로부터 보호합니다. | Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | 2.0.0 |
| 시스템 및 정보 무결성 | 3.14.3 | 시스템 보안 경고 및 권고를 모니터링하고 그에 대한 대응 조치를 수행합니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 시스템 및 정보 무결성 | 3.14.4 | 새 릴리스를 사용할 수 있는 경우 악성 코드 방지 메커니즘을 업데이트합니다. | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| 시스템 및 정보 무결성 | 3.14.4 | 새 릴리스를 사용할 수 있는 경우 악성 코드 방지 메커니즘을 업데이트합니다. | 보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 | 1.0.0 |
| 시스템 및 정보 무결성 | 3.14.4 | 새 릴리스를 사용할 수 있는 경우 악성 코드 방지 메커니즘을 업데이트합니다. | Microsoft IaaSAntimalware 확장을 Windows Server에 배포해야 함 | 1.1.0 |
| 시스템 및 정보 무결성 | 3.14.4 | 새 릴리스를 사용할 수 있는 경우 악성 코드 방지 메커니즘을 업데이트합니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 시스템 및 정보 무결성 | 3.14.4 | 새 릴리스를 사용할 수 있는 경우 악성 코드 방지 메커니즘을 업데이트합니다. | Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | 2.0.0 |
| 시스템 및 정보 무결성 | 3.14.5 | 파일이 다운로드되거나, 열리거나 또는 실행될 때 외부 원본에서 파일의 실시간 검사 및 조직 시스템에 대한 주기적 검사를 수행합니다. | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| 시스템 및 정보 무결성 | 3.14.5 | 파일이 다운로드되거나, 열리거나 또는 실행될 때 외부 원본에서 파일의 실시간 검사 및 조직 시스템에 대한 주기적 검사를 수행합니다. | 보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 | 1.0.0 |
| 시스템 및 정보 무결성 | 3.14.5 | 파일이 다운로드되거나, 열리거나 또는 실행될 때 외부 원본에서 파일의 실시간 검사 및 조직 시스템에 대한 주기적 검사를 수행합니다. | Microsoft IaaSAntimalware 확장을 Windows Server에 배포해야 함 | 1.1.0 |
| 시스템 및 정보 무결성 | 3.14.5 | 파일이 다운로드되거나, 열리거나 또는 실행될 때 외부 원본에서 파일의 실시간 검사 및 조직 시스템에 대한 주기적 검사를 수행합니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 시스템 및 정보 무결성 | 3.14.5 | 파일이 다운로드되거나, 열리거나 또는 실행될 때 외부 원본에서 파일의 실시간 검사 및 조직 시스템에 대한 주기적 검사를 수행합니다. | Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | 2.0.0 |
| 시스템 및 정보 무결성 | 3.14.6 | 인바운드 및 아웃바운드 통신 트래픽을 비롯한 조직 시스템을 모니터링하여 공격 및 잠재적인 공격의 지표를 감지합니다. | [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 시스템 및 정보 무결성 | 3.14.6 | 인바운드 및 아웃바운드 통신 트래픽을 비롯한 조직 시스템을 모니터링하여 공격 및 잠재적인 공격의 지표를 감지합니다. | [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 시스템 및 정보 무결성 | 3.14.6 | 인바운드 및 아웃바운드 통신 트래픽을 비롯한 조직 시스템을 모니터링하여 공격 및 잠재적인 공격의 지표를 감지합니다. | 머신에 게스트 구성 확장을 설치해야 함 | 1.0.3 |
| 시스템 및 정보 무결성 | 3.14.6 | 인바운드 및 아웃바운드 통신 트래픽을 비롯한 조직 시스템을 모니터링하여 공격 및 잠재적인 공격의 지표를 감지합니다. | Azure Security Center를 모니터링하려면 가상 머신에 Log Analytics 에이전트를 설치해야 함 | 1.0.0 |
| 시스템 및 정보 무결성 | 3.14.6 | 인바운드 및 아웃바운드 통신 트래픽을 비롯한 조직 시스템을 모니터링하여 공격 및 잠재적인 공격의 지표를 감지합니다. | Azure Security Center를 모니터링하려면 가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 함 | 1.0.0 |
| 시스템 및 정보 무결성 | 3.14.6 | 인바운드 및 아웃바운드 통신 트래픽을 비롯한 조직 시스템을 모니터링하여 공격 및 잠재적인 공격의 지표를 감지합니다. | 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 1.0.1 |
| 시스템 및 정보 무결성 | 3.14.7 | 조직 시스템의 무단 사용을 식별합니다. | [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 시스템 및 정보 무결성 | 3.14.7 | 조직 시스템의 무단 사용을 식별합니다. | [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 시스템 및 정보 무결성 | 3.14.7 | 조직 시스템의 무단 사용을 식별합니다. | 머신에 게스트 구성 확장을 설치해야 함 | 1.0.3 |
| 시스템 및 정보 무결성 | 3.14.7 | 조직 시스템의 무단 사용을 식별합니다. | Azure Security Center를 모니터링하려면 가상 머신에 Log Analytics 에이전트를 설치해야 함 | 1.0.0 |
| 시스템 및 정보 무결성 | 3.14.7 | 조직 시스템의 무단 사용을 식별합니다. | Azure Security Center를 모니터링하려면 가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 함 | 1.0.0 |
| 시스템 및 정보 무결성 | 3.14.7 | 조직 시스템의 무단 사용을 식별합니다. | 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 1.0.1 |
| 감사 및 책임 | 3.3.1 | 불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다 | [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 감사 및 책임 | 3.3.1 | 불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다 | [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 감사 및 책임 | 3.3.1 | 불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다 | 머신에 게스트 구성 확장을 설치해야 함 | 1.0.3 |
| 감사 및 책임 | 3.3.1 | 불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다 | Azure Security Center를 모니터링하려면 가상 머신에 Log Analytics 에이전트를 설치해야 함 | 1.0.0 |
| 감사 및 책임 | 3.3.1 | 불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다 | Azure Security Center를 모니터링하려면 가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 함 | 1.0.0 |
| 감사 및 책임 | 3.3.1 | 불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다 | Virtual Machine Scale Sets에 Log Analytics 확장을 설치해야 함 | 1.0.1 |
| 감사 및 책임 | 3.3.1 | 불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다 | 가상 머신을 지정된 작업 영역에 연결해야 함 | 1.1.0 |
| 감사 및 책임 | 3.3.1 | 불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다 | 가상 머신에 Log Analytics 확장이 설치되어 있어야 함 | 1.0.1 |
| 감사 및 책임 | 3.3.1 | 불법적인 또는 권한이 없는 시스템 활동의 모니터링, 분석, 조사 및 보고를 사용하도록 설정하는 데 필요한 범위 내에서 시스템 감사 로그 및 레코드를 만들고 유지합니다 | 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 1.0.1 |
| 감사 및 책임 | 3.3.2 | 개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다. | [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 감사 및 책임 | 3.3.2 | 개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다. | [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 감사 및 책임 | 3.3.2 | 개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다. | 머신에 게스트 구성 확장을 설치해야 함 | 1.0.3 |
| 감사 및 책임 | 3.3.2 | 개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다. | Azure Security Center를 모니터링하려면 가상 머신에 Log Analytics 에이전트를 설치해야 함 | 1.0.0 |
| 감사 및 책임 | 3.3.2 | 개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다. | Azure Security Center를 모니터링하려면 가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 함 | 1.0.0 |
| 감사 및 책임 | 3.3.2 | 개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다. | Virtual Machine Scale Sets에 Log Analytics 확장을 설치해야 함 | 1.0.1 |
| 감사 및 책임 | 3.3.2 | 개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다. | 가상 머신을 지정된 작업 영역에 연결해야 함 | 1.1.0 |
| 감사 및 책임 | 3.3.2 | 개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다. | 가상 머신에 Log Analytics 확장이 설치되어 있어야 함 | 1.0.1 |
| 감사 및 책임 | 3.3.2 | 개별 시스템 사용자의 작업을 해당 사용자가 고유하게 추적할 수 있는지 확인하여 본인 작업에 대한 책임을 질 수 있도록 합니다. | 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 1.0.1 |
| 구성 관리 | 3.4.1 | 각 시스템 개발 수명 주기 전반에 걸쳐 조직 시스템(하드웨어, 소프트웨어, 펌웨어 및 설명서 포함)의 기준 구성 및 인벤토리를 설정하고 유지 관리합니다. | Linux 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 2.2.0 |
| 구성 관리 | 3.4.1 | 각 시스템 개발 수명 주기 전반에 걸쳐 조직 시스템(하드웨어, 소프트웨어, 펌웨어 및 설명서 포함)의 기준 구성 및 인벤토리를 설정하고 유지 관리합니다. | Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 2.0.0 |
| 구성 관리 | 3.4.2 | 조직 시스템에 사용되는 정보 기술 제품에 대한 보안 구성 설정을 설정하고 적용합니다. | Linux 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 2.2.0 |
| 구성 관리 | 3.4.2 | 조직 시스템에 사용되는 정보 기술 제품에 대한 보안 구성 설정을 설정하고 적용합니다. | Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 2.0.0 |
| 구성 관리 | 3.4.6 | 필수 기능만 제공하도록 조직 시스템을 구성하여 최소 기능 원칙을 채택합니다. | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 구성 관리 | 3.4.6 | 필수 기능만 제공하도록 조직 시스템을 구성하여 최소 기능 원칙을 채택합니다. | 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 | 3.0.0 |
| 구성 관리 | 3.4.7 | 불필요한 프로그램, 함수, 포트, 프로토콜 및 서비스의 사용을 제한, 사용 안 함 또는 차단합니다. | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 구성 관리 | 3.4.7 | 불필요한 프로그램, 함수, 포트, 프로토콜 및 서비스의 사용을 제한, 사용 안 함 또는 차단합니다. | 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 | 3.0.0 |
| 구성 관리 | 3.4.8 | 권한 없는 소프트웨어 또는 모두 거부 사용을 방지하기 위한 예외별 거부(차단 목록) 정책 적용, 승인된 소프트웨어 실행을 허용하기 위한 예외별 허용(허용 목록) 정책 적용. | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 구성 관리 | 3.4.8 | 권한 없는 소프트웨어 또는 모두 거부 사용을 방지하기 위한 예외별 거부(차단 목록) 정책 적용, 승인된 소프트웨어 실행을 허용하기 위한 예외별 허용(허용 목록) 정책 적용. | 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 | 3.0.0 |
| 구성 관리 | 3.4.9 | 사용자가 설치한 소프트웨어를 제어하고 모니터링합니다. | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 구성 관리 | 3.4.9 | 사용자가 설치한 소프트웨어를 제어하고 모니터링합니다. | 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 | 3.0.0 |
| 식별 및 인증 | 3.5.10 | 암호화로 보호되는 암호만 저장하고 전송합니다. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | 3.5.10 | 암호화로 보호되는 암호만 저장하고 전송합니다. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | 3.5.10 | 암호화로 보호되는 암호만 저장하고 전송합니다. | passwd 파일 권한이 0644로 설정되지 않은 Linux 머신 감사 | 3.1.0 |
| 식별 및 인증 | 3.5.10 | 암호화로 보호되는 암호만 저장하고 전송합니다. | 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 2.0.0 |
| 식별 및 인증 | 3.5.10 | 암호화로 보호되는 암호만 저장하고 전송합니다. | Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 3.1.0 |
| 식별 및 인증 | 3.5.10 | 암호화로 보호되는 암호만 저장하고 전송합니다. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 식별 및 인증 | 3.5.10 | 암호화로 보호되는 암호만 저장하고 전송합니다. | Windows 머신은 '보안 옵션 - 네트워크 보안'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 식별 및 인증 | 3.5.2 | 조직 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | 3.5.2 | 조직 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | 3.5.2 | 조직 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다. | passwd 파일 권한이 0644로 설정되지 않은 Linux 머신 감사 | 3.1.0 |
| 식별 및 인증 | 3.5.2 | 조직 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다. | 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 2.0.0 |
| 식별 및 인증 | 3.5.2 | 조직 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다. | Linux 머신에 대한 인증에 SSH 키가 필요함 | 3.2.0 |
| 식별 및 인증 | 3.5.2 | 조직 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다. | Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 3.1.0 |
| 식별 및 인증 | 3.5.2 | 조직 시스템에 대한 액세스를 허용하기 위한 필수 구성 요소로 사용자, 프로세스 또는 디바이스의 ID를 인증(또는 확인)합니다. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 식별 및 인증 | 3.5.4 | 권한 있는 계정과 권한 없는 계정에 대한 네트워크 액세스에 재생 방지 인증 메커니즘을 사용하세요. | Windows 머신은 '보안 옵션 - 네트워크 보안'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 식별 및 인증 | 3.5.7 | 새 암호를 만들 때 최소 암호 복잡성 및 문자 변경을 적용합니다. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | 3.5.7 | 새 암호를 만들 때 최소 암호 복잡성 및 문자 변경을 적용합니다. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | 3.5.7 | 새 암호를 만들 때 최소 암호 복잡성 및 문자 변경을 적용합니다. | 암호 복잡성 설정이 활성화되지 않는 Windows 머신 감사 | 2.0.0 |
| 식별 및 인증 | 3.5.7 | 새 암호를 만들 때 최소 암호 복잡성 및 문자 변경을 적용합니다. | 암호 최소 길이를 지정된 문자 수로 제한하지 않는 Windows 머신 감사 | 2.1.0 |
| 식별 및 인증 | 3.5.7 | 새 암호를 만들 때 최소 암호 복잡성 및 문자 변경을 적용합니다. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 식별 및 인증 | 3.5.8 | 지정된 세대 수에 대해 암호 재사용을 금지합니다. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | 3.5.8 | 지정된 세대 수에 대해 암호 재사용을 금지합니다. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 식별 및 인증 | 3.5.8 | 지정된 세대 수에 대해 암호 재사용을 금지합니다. | 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있는 Windows 머신 감사 | 2.1.0 |
| 식별 및 인증 | 3.5.8 | 지정된 세대 수에 대해 암호 재사용을 금지합니다. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 미디어 보호 | 3.8.9 | 스토리지 위치에서 백업 CUI의 기밀성을 보호합니다. | Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | 3.0.0 |
NIST SP 800-53 Rev. 4
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - NIST SP 800-53 개정 4를 참조하세요. 이 규정 준수 표준에 관한 자세한 내용은 NIST SP 800-53 개정 4를 참조하세요.
NIST SP 800-53 Rev. 5
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - NIST SP 800-53 개정 5를 참조하세요. 이 규정 준수 표준에 관한 자세한 내용은 NIST SP 800-53 개정 5를 참조하세요.
NL BIO 클라우드 테마
모든 Azure 서비스에 사용할 수 있는 Azure Policy 기본 제공 기능이 이 규정 준수 표준에 매핑되는 방법을 검토하려면 NL BIO 클라우드 테마에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 기준 정보 보안 정부 사이버 보안 - 디지털 정부(digitaleoverheid.nl)를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| C.04.3 기술적 취약성 관리 - 타임라인 | C.04.3 | 남용 가능성과 예상 피해가 모두 높은 경우 패치는 일주일 이내에 설치됩니다. | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| C.04.3 기술적 취약성 관리 - 타임라인 | C.04.3 | 남용 가능성과 예상 피해가 모두 높은 경우 패치는 일주일 이내에 설치됩니다. | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| C.04.3 기술적 취약성 관리 - 타임라인 | C.04.3 | 남용 가능성과 예상 피해가 모두 높은 경우 패치는 일주일 이내에 설치됩니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| C.04.3 기술적 취약성 관리 - 타임라인 | C.04.3 | 남용 가능성과 예상 피해가 모두 높은 경우 패치는 일주일 이내에 설치됩니다. | 가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다. | 3.0.0 |
| C.04.3 기술적 취약성 관리 - 타임라인 | C.04.3 | 남용 가능성과 예상 피해가 모두 높은 경우 패치는 일주일 이내에 설치됩니다. | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| C.04.3 기술적 취약성 관리 - 타임라인 | C.04.3 | 남용 가능성과 예상 피해가 모두 높은 경우 패치는 일주일 이내에 설치됩니다. | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| C.04.3 기술적 취약성 관리 - 타임라인 | C.04.3 | 남용 가능성과 예상 피해가 모두 높은 경우 패치는 일주일 이내에 설치됩니다. | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| C.04.3 기술적 취약성 관리 - 타임라인 | C.04.3 | 남용 가능성과 예상 피해가 모두 높은 경우 패치는 일주일 이내에 설치됩니다. | Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | 2.0.0 |
| C.04.6 기술적 취약성 관리 - 타임라인 | C.04.6 | 기술적인 취약성은 적시에 패치 관리를 수행함으로써 해결될 수 있습니다. | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| C.04.6 기술적 취약성 관리 - 타임라인 | C.04.6 | 기술적인 취약성은 적시에 패치 관리를 수행함으로써 해결될 수 있습니다. | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| C.04.6 기술적 취약성 관리 - 타임라인 | C.04.6 | 기술적인 취약성은 적시에 패치 관리를 수행함으로써 해결될 수 있습니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| C.04.6 기술적 취약성 관리 - 타임라인 | C.04.6 | 기술적인 취약성은 적시에 패치 관리를 수행함으로써 해결될 수 있습니다. | 가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다. | 3.0.0 |
| C.04.6 기술적 취약성 관리 - 타임라인 | C.04.6 | 기술적인 취약성은 적시에 패치 관리를 수행함으로써 해결될 수 있습니다. | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| C.04.6 기술적 취약성 관리 - 타임라인 | C.04.6 | 기술적인 취약성은 적시에 패치 관리를 수행함으로써 해결될 수 있습니다. | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| C.04.6 기술적 취약성 관리 - 타임라인 | C.04.6 | 기술적인 취약성은 적시에 패치 관리를 수행함으로써 해결될 수 있습니다. | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| C.04.6 기술적 취약성 관리 - 타임라인 | C.04.6 | 기술적인 취약성은 적시에 패치 관리를 수행함으로써 해결될 수 있습니다. | Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | 2.0.0 |
| C.04.7 기술적 취약성 관리 - 평가됨 | C.04.7 | 기술적 취약성에 대한 평가가 기록되고 보고됩니다. | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| C.04.7 기술적 취약성 관리 - 평가됨 | C.04.7 | 기술적 취약성에 대한 평가가 기록되고 보고됩니다. | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| C.04.7 기술적 취약성 관리 - 평가됨 | C.04.7 | 기술적 취약성에 대한 평가가 기록되고 보고됩니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| C.04.7 기술적 취약성 관리 - 평가됨 | C.04.7 | 기술적 취약성에 대한 평가가 기록되고 보고됩니다. | 가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다. | 3.0.0 |
| C.04.7 기술적 취약성 관리 - 평가됨 | C.04.7 | 기술적 취약성에 대한 평가가 기록되고 보고됩니다. | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| C.04.7 기술적 취약성 관리 - 평가됨 | C.04.7 | 기술적 취약성에 대한 평가가 기록되고 보고됩니다. | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| C.04.7 기술적 취약성 관리 - 평가됨 | C.04.7 | 기술적 취약성에 대한 평가가 기록되고 보고됩니다. | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| C.04.7 기술적 취약성 관리 - 평가됨 | C.04.7 | 기술적 취약성에 대한 평가가 기록되고 보고됩니다. | Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | 2.0.0 |
| C.04.8 기술적 취약성 관리 - 평가됨 | C.04.8 | 평가 보고서에는 개선에 대한 제안이 포함되어 있으며 관리자/소유자에게 전달됩니다. | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| C.04.8 기술적 취약성 관리 - 평가됨 | C.04.8 | 평가 보고서에는 개선에 대한 제안이 포함되어 있으며 관리자/소유자에게 전달됩니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| C.04.8 기술적 취약성 관리 - 평가됨 | C.04.8 | 평가 보고서에는 개선에 대한 제안이 포함되어 있으며 관리자/소유자에게 전달됩니다. | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| C.04.8 기술적 취약성 관리 - 평가됨 | C.04.8 | 평가 보고서에는 개선에 대한 제안이 포함되어 있으며 관리자/소유자에게 전달됩니다. | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| U.03.1 비즈니스 연속성 서비스 - 중복성 | U.03.1 | 합의된 연속성은 충분히 논리적이거나 실제로 여러 시스템 기능을 통해 보장합니다. | 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 1.0.0 |
| U.03.1 비즈니스 연속성 서비스 - 중복성 | U.03.1 | 합의된 연속성은 충분히 논리적이거나 실제로 다양한 시스템 함수를 통해 보장됩니다. | Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | 3.0.0 |
| U.03.2 비즈니스 연속성 서비스 - 연속성 요구 사항 | U.03.2 | CSC와 합의된 클라우드 서비스에 대한 연속성 요구 사항은 시스템 아키텍처에서 보장합니다. | 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 1.0.0 |
| U.03.2 비즈니스 연속성 서비스 - 연속성 요구 사항 | U.03.2 | CSC와 합의된 클라우드 서비스에 대한 연속성 요구 사항은 시스템 아키텍처에 의해 보장됩니다. | Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | 3.0.0 |
| U.04.1 데이터 및 클라우드 서비스 복구 - 복원 함수 | U.04.1 | 데이터 및 클라우드 서비스는 합의된 기간 및 최대 데이터 손실 내에 복원되며 CSC에서 사용할 수 있습니다. | 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 1.0.0 |
| U.04.2 데이터 및 클라우드 서비스 복구 - 복원 기능 | U.04.2 | 지속적인 복구 가능한 데이터 보호 프로세스가 모니터링됩니다. | 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 1.0.0 |
| U.04.3 데이터 및 클라우드 서비스 복구 - 테스트됨 | U.04.3 | 복구 기능의 작동은 주기적으로 테스트되고 결과는 CSC와 공유됩니다. | 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 1.0.0 |
| U.05.1 데이터 보호 - 암호화 측정값 | U.05.1 | 데이터 전송은 가능한 경우 CSC 자체에서 키 관리를 수행하는 암호화로 보호됩니다. | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| U.05.1 데이터 보호 - 암호화 측정값 | U.05.1 | 데이터 전송은 가능한 경우 CSC 자체에서 키 관리를 수행하는 암호화로 보호됩니다. | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| U.05.2 데이터 보호 - 암호화 측정값 | U.05.2 | 클라우드 서비스에 저장된 데이터는 최신 기술로 보호됩니다. | [미리 보기]: 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 함 | 6.0.0-preview |
| U.05.2 데이터 보호 - 암호화 측정값 | U.05.2 | 클라우드 서비스에 저장된 데이터는 최신 기술로 보호됩니다. | [미리 보기]: 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 | 5.1.0-preview |
| U.05.2 데이터 보호 - 암호화 측정값 | U.05.2 | 클라우드 서비스에 저장된 데이터는 최신 기술로 보호됩니다. | [미리 보기]: 지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 함 | 4.0.0-preview |
| U.05.2 데이터 보호 - 암호화 측정값 | U.05.2 | 클라우드 서비스에 저장된 데이터는 최신 기술로 보호됩니다. | [미리 보기]: 지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 | 3.1.0-preview |
| U.05.2 데이터 보호 - 암호화 측정값 | U.05.2 | 클라우드 서비스에 저장된 데이터는 최신 기술로 보호됩니다. | [미리 보기]: 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 함 | 4.0.0-preview |
| U.05.2 데이터 보호 - 암호화 측정값 | U.05.2 | 클라우드 서비스에 저장된 데이터는 최신 기술로 보호됩니다. | [미리 보기]: 지원되는 가상 머신에서 vTPM을 사용하도록 설정해야 함 | 2.0.0-preview |
| U.05.2 데이터 보호 - 암호화 측정값 | U.05.2 | 클라우드 서비스에 저장된 데이터는 최신 기술로 보호됩니다. | 관리 디스크는 플랫폼 관리형 및 고객 관리형 키를 둘 다 사용하여 이중 암호화해야 함 | 1.0.0 |
| U.05.2 데이터 보호 - 암호화 측정값 | U.05.2 | 클라우드 서비스에 저장된 데이터는 최신 기술로 보호됩니다. | OS 및 데이터 디스크는 고객 관리형 키로 암호화해야 함 | 3.0.0 |
| U.05.2 데이터 보호 - 암호화 측정값 | U.05.2 | 클라우드 서비스에 저장된 데이터는 최신 기술로 보호됩니다. | 가상 머신 및 가상 머신 확장 집합에서는 호스트에서 암호화를 사용하도록 설정해야 함 | 1.0.0 |
| U.05.2 데이터 보호 - 암호화 측정값 | U.05.2 | 클라우드 서비스에 저장된 데이터는 최신 기술로 보호됩니다. | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| U.07.1 데이터 분리 - 격리됨 | U.07.1 | 데이터의 영구 격리는 다중 테넌트 아키텍처입니다. 패치는 제어된 방식으로 구현됩니다. | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| U.07.1 데이터 격리 - 격리됨 | U.07.1 | 데이터의 영구 격리는 다중 테넌트 아키텍처입니다. 패치는 제어된 방식으로 구현됩니다. | 디스크 액세스 리소스는 프라이빗 링크를 사용해야 함 | 1.0.0 |
| U.07.1 데이터 격리 - 격리됨 | U.07.1 | 데이터의 영구 격리는 다중 테넌트 아키텍처입니다. 패치는 제어된 방식으로 구현됩니다. | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| U.07.1 데이터 격리 - 격리됨 | U.07.1 | 데이터의 영구 격리는 다중 테넌트 아키텍처입니다. 패치는 제어된 방식으로 구현됩니다. | 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 3.0.0 |
| U.07.1 데이터 격리 - 격리됨 | U.07.1 | 데이터의 영구 격리는 다중 테넌트 아키텍처입니다. 패치는 제어된 방식으로 구현됩니다. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| U.07.1 데이터 격리 - 격리됨 | U.07.1 | 데이터의 영구 격리는 다중 테넌트 아키텍처입니다. 패치는 제어된 방식으로 구현됩니다. | 가상 머신에서 관리 포트를 닫아야 합니다. | 3.0.0 |
| U.07.1 데이터 격리 - 격리됨 | U.07.1 | 데이터의 영구 격리는 다중 테넌트 아키텍처입니다. 패치는 제어된 방식으로 구현됩니다. | 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| U.09.3 맬웨어 보호 - 검색, 방지, 복구 | U.09.3 | 맬웨어 보호는 다양한 환경에서 실행됩니다. | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| U.09.3 맬웨어 보호 - 검색, 방지, 복구 | U.09.3 | 맬웨어 보호는 다양한 환경에서 실행됩니다. | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| U.09.3 맬웨어 보호 - 검색, 방지, 복구 | U.09.3 | 맬웨어 보호는 다양한 환경에서 실행됩니다. | 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 3.0.0 |
| U.09.3 맬웨어 보호 - 검색, 방지, 복구 | U.09.3 | 맬웨어 보호는 다양한 환경에서 실행됩니다. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| U.09.3 맬웨어 보호 - 검색, 방지, 복구 | U.09.3 | 맬웨어 보호는 다양한 환경에서 실행됩니다. | 가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다. | 3.0.0 |
| U.09.3 맬웨어 보호 - 검색, 방지, 복구 | U.09.3 | 맬웨어 보호는 다양한 환경에서 실행됩니다. | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| U.09.3 맬웨어 보호 - 검색, 방지, 복구 | U.09.3 | 맬웨어 보호는 다양한 환경에서 실행됩니다. | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| U.09.3 맬웨어 보호 - 검색, 방지, 복구 | U.09.3 | 맬웨어 보호는 다양한 환경에서 실행됩니다. | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| U.09.3 맬웨어 보호 - 검색, 방지, 복구 | U.09.3 | 맬웨어 보호는 다양한 환경에서 실행됩니다. | Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | 2.0.0 |
| U.10.2 IT 서비스 및 데이터에 대한 액세스 - 사용자 | U.10.2 | CSP의 책임하에 관리자에게 액세스 권한이 부여됩니다. | 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 3.1.0 |
| U.10.2 IT 서비스 및 데이터에 대한 액세스 - 사용자 | U.10.2 | CSP의 책임하에 관리자에게 액세스 권한이 부여됩니다. | 암호가 없는 계정이 있는 Linux 머신 감사 | 3.1.0 |
| U.10.2 IT 서비스 및 데이터에 대한 액세스 - 사용자 | U.10.2 | CSP의 책임하에 관리자에게 액세스 권한이 부여됩니다. | 관리 디스크를 사용하지 않는 VM 감사 | 1.0.0 |
| U.10.2 IT 서비스 및 데이터에 대한 액세스 - 사용자 | U.10.2 | CSP의 책임하에 관리자에게 액세스 권한이 부여됩니다. | 가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| U.10.3 IT 서비스 및 데이터에 대한 액세스 - 사용자 | U.10.3 | 인증된 장비를 갖춘 사용자만 IT 서비스 및 데이터에 액세스할 수 있습니다. | 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 3.1.0 |
| U.10.3 IT 서비스 및 데이터에 대한 액세스 - 사용자 | U.10.3 | 인증된 장비를 갖춘 사용자만 IT 서비스 및 데이터에 액세스할 수 있습니다. | 암호가 없는 계정이 있는 Linux 머신 감사 | 3.1.0 |
| U.10.3 IT 서비스 및 데이터에 대한 액세스 - 사용자 | U.10.3 | 인증된 장비를 갖춘 사용자만 IT 서비스 및 데이터에 액세스할 수 있습니다. | 관리 디스크를 사용하지 않는 VM 감사 | 1.0.0 |
| U.10.3 IT 서비스 및 데이터에 대한 액세스 - 사용자 | U.10.3 | 인증된 장비를 갖춘 사용자만 IT 서비스 및 데이터에 액세스할 수 있습니다. | 가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| U.10.5 IT 서비스 및 데이터 액세스 권한 - 적격 | U.10.5 | IT 서비스 및 데이터에 대한 액세스는 기술적 측정값에 의해 제한되며 구현되었습니다. | 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 3.1.0 |
| U.10.5 IT 서비스 및 데이터에 대한 액세스 - 적격 | U.10.5 | IT 서비스 및 데이터에 대한 액세스는 기술적 측정값에 의해 제한되며 구현되었습니다. | 암호가 없는 계정이 있는 Linux 머신 감사 | 3.1.0 |
| U.10.5 IT 서비스 및 데이터에 대한 액세스 - 적격 | U.10.5 | IT 서비스 및 데이터에 대한 액세스는 기술적 측정값에 의해 제한되며 구현되었습니다. | 관리 디스크를 사용하지 않는 VM 감사 | 1.0.0 |
| U.10.5 IT 서비스 및 데이터 액세스 권한 - 적격 | U.10.5 | IT 서비스 및 데이터에 대한 액세스는 기술적 측정값에 의해 제한되며 구현되었습니다. | 가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| U.11.1 암호화 서비스 - 정책 | U.11.1 | 암호화 정책에서는 최소한 BIO에 따라 주제를 자세하게 다루었습니다. | 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 2.0.0 |
| U.11.1 암호화 서비스 - 정책 | U.11.1 | 암호화 정책에서는 최소한 BIO에 따라 주제를 자세하게 다루었습니다. | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| U.11.1 암호화 서비스 - 정책 | U.11.1 | 암호화 정책에서는 최소한 BIO에 따라 주제를 자세하게 다루었습니다. | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| U.11.2 암호화 서비스 - 암호화 측정값 | U.11.2 | PKIoverheid 인증서의 경우 키 관리를 위해 PKIoverheid 요구 사항을 사용합니다. 다른 상황에서는 ISO11770을 사용합니다. | 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 2.0.0 |
| U.11.2 암호화 서비스 - 암호화 측정값 | U.11.2 | PKIoverheid 인증서의 경우 키 관리를 위해 PKIoverheid 요구 사항을 사용합니다. 다른 상황에서는 ISO11770을 사용합니다. | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| U.11.2 암호화 서비스 - 암호화 측정값 | U.11.2 | PKIoverheid 인증서의 경우 키 관리를 위해 PKIoverheid 요구 사항을 사용합니다. 다른 상황에서는 ISO11770을 사용합니다. | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| U.11.3 암호화 서비스 - 암호화됨 | U.11.3 | 중요한 데이터는 항상 CSC에서 관리하는 프라이빗 키를 사용하여 암호화됩니다. | [미리 보기]: 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 함 | 6.0.0-preview |
| U.11.3 암호화 서비스 - 암호화됨 | U.11.3 | 중요한 데이터는 항상 CSC에서 관리하는 프라이빗 키를 사용하여 암호화됩니다. | [미리 보기]: 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 | 5.1.0-preview |
| U.11.3 암호화 서비스 - 암호화됨 | U.11.3 | 중요한 데이터는 항상 CSC에서 관리하는 프라이빗 키를 사용하여 암호화됩니다. | [미리 보기]: 지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 함 | 4.0.0-preview |
| U.11.3 암호화 서비스 - 암호화됨 | U.11.3 | 중요한 데이터는 항상 CSC에서 관리하는 프라이빗 키를 사용하여 암호화됩니다. | [미리 보기]: 지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 | 3.1.0-preview |
| U.11.3 암호화 서비스 - 암호화됨 | U.11.3 | 중요한 데이터는 항상 CSC에서 관리하는 프라이빗 키를 사용하여 암호화됩니다. | [미리 보기]: 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 함 | 4.0.0-preview |
| U.11.3 암호화 서비스 - 암호화됨 | U.11.3 | 중요한 데이터는 항상 CSC에서 관리하는 프라이빗 키를 사용하여 암호화됩니다. | [미리 보기]: 지원되는 가상 머신에서 vTPM을 사용하도록 설정해야 함 | 2.0.0-preview |
| U.11.3 암호화 서비스 - 암호화됨 | U.11.3 | 중요한 데이터는 항상 CSC에서 관리하는 프라이빗 키를 사용하여 암호화됩니다. | 관리 디스크는 플랫폼 관리형 및 고객 관리형 키를 둘 다 사용하여 이중 암호화해야 함 | 1.0.0 |
| U.11.3 암호화 서비스 - 암호화됨 | U.11.3 | 중요한 데이터는 항상 CSC에서 관리하는 프라이빗 키를 사용하여 암호화됩니다. | OS 및 데이터 디스크는 고객 관리형 키로 암호화해야 함 | 3.0.0 |
| U.11.3 암호화 서비스 - 암호화됨 | U.11.3 | 중요한 데이터는 항상 CSC에서 관리하는 프라이빗 키를 사용하여 암호화됩니다. | 가상 머신 및 가상 머신 확장 집합에서는 호스트에서 암호화를 사용하도록 설정해야 함 | 1.0.0 |
| U.11.3 암호화 서비스 - 암호화됨 | U.11.3 | 중요한 데이터는 항상 CSC에서 관리하는 프라이빗 키를 사용하여 암호화됩니다. | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| U.12.1 인터페이스 - 네트워크 연결 | U.12.1 | 외부 또는 신뢰할 수 없는 영역과의 연결 지점에서 공격에 대한 조치를 취합니다. | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| U.12.1 인터페이스 - 네트워크 연결 | U.12.1 | 외부 또는 신뢰할 수 없는 영역과의 연결 지점에서 공격에 대한 조치를 취합니다. | 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 3.0.0 |
| U.12.2 인터페이스 - 네트워크 연결 | U.12.2 | 네트워크 구성 요소는 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제한합니다. | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| U.12.2 인터페이스 - 네트워크 연결 | U.12.2 | 네트워크 구성 요소는 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결을 제한합니다. | 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 3.0.0 |
| U.15.1 로깅 및 모니터링 - 기록된 이벤트 | U.15.1 | 정책 규칙 위반은 CSP와 CSC에 의해 기록됩니다. | [미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. | 2.0.1-preview |
| U.15.1 로깅 및 모니터링 - 기록된 이벤트 | U.15.1 | 정책 규칙 위반은 CSP와 CSC에 의해 기록됩니다. | [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| U.15.1 로깅 및 모니터링 - 기록된 이벤트 | U.15.1 | 정책 규칙 위반은 CSP와 CSC에 의해 기록됩니다. | [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| U.15.1 로깅 및 모니터링 - 기록된 이벤트 | U.15.1 | 정책 규칙 위반은 CSP와 CSC에 의해 기록됩니다. | 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 | 2.0.0 |
| U.15.1 로깅 및 모니터링 - 기록된 이벤트 | U.15.1 | 정책 규칙 위반은 CSP와 CSC에 의해 기록됩니다. | 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 | 2.0.0 |
| U.15.1 로깅 및 모니터링 - 기록된 이벤트 | U.15.1 | 정책 규칙 위반은 CSP와 CSC에 의해 기록됩니다. | 머신에 게스트 구성 확장을 설치해야 함 | 1.0.3 |
| U.15.1 로깅 및 모니터링 - 이벤트 로그됨 | U.15.1 | 정책 규칙 위반은 CSP와 CSC에 의해 기록됩니다. | Azure Security Center를 모니터링하려면 가상 머신에 Log Analytics 에이전트를 설치해야 함 | 1.0.0 |
| U.15.1 로깅 및 모니터링 - 이벤트 로그됨 | U.15.1 | 정책 규칙 위반은 CSP와 CSC에 의해 기록됩니다. | Azure Security Center를 모니터링하려면 가상 머신 확장 집합에 Log Analytics 에이전트를 설치해야 함 | 1.0.0 |
| U.15.1 로깅 및 모니터링 - 이벤트 로그됨 | U.15.1 | 정책 규칙 위반은 CSP와 CSC에 의해 기록됩니다. | 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 | 2.0.1 |
| U.15.1 로깅 및 모니터링 - 기록된 이벤트 | U.15.1 | 정책 규칙 위반은 CSP와 CSC에 의해 기록됩니다. | 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 1.0.1 |
| U.15.3 로깅 및 모니터링 - 기록된 이벤트 | U.15.3 | CSP는 로깅 및 모니터링 측면에서 중요한 모든 자산 목록을 유지하고 이 목록을 검토합니다. | [미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. | 2.0.1-preview |
| U.15.3 로깅 및 모니터링 - 기록된 이벤트 | U.15.3 | CSP는 로깅 및 모니터링 측면에서 중요한 모든 자산 목록을 유지하고 이 목록을 검토합니다. | 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 | 2.0.0 |
| U.15.3 로깅 및 모니터링 - 기록된 이벤트 | U.15.3 | CSP는 로깅 및 모니터링 측면에서 중요한 모든 자산 목록을 유지하고 이 목록을 검토합니다. | 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 종속성 에이전트를 사용하도록 설정해야 함 | 2.0.0 |
| U.15.3 로깅 및 모니터링 - 기록된 이벤트 | U.15.3 | CSP는 로깅 및 모니터링 측면에서 중요한 모든 자산 목록을 유지하고 이 목록을 검토합니다. | 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 | 2.0.1 |
| U.17.1 다중 테넌트 아키텍처 - 암호화됨 | U.17.1 | 전송 중 및 미사용 CSC 데이터는 암호화됩니다. | 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 1.0.0 |
| U.17.1 다중 테넌트 아키텍처 - 암호화됨 | U.17.1 | 전송 중인 CSC 데이터와 저장 중인 데이터는 암호화됩니다. | Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | 3.0.0 |
PCI DSS 3.2.1
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 PCI DSS 3.2.1을 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 PCI DSS 3.2.1을 참조하세요.
PCI DSS v4.0
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 PCI DSS v4.0에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 PCI DSS v4.0을 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 요구 사항 01: 네트워크 보안 컨트롤 설치 및 유지 관리 | 1.3.2 | 카드 소유자 데이터 환경에 대한 네트워크 액세스가 제한됩니다 | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 요구 사항 01: 네트워크 보안 컨트롤 설치 및 유지 관리 | 1.4.2 | 신뢰할 수 있는 네트워크와 신뢰할 수 없는 네트워크 간의 네트워크 연결이 제어됩니다 | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 요구 사항 10: 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 기록 및 모니터링 | 10.2.2 | 변칙 및 의심스러운 활동 검색 및 이벤트에 대한 포렌식 분석을 지원하도록 감사 로그가 구현됩니다 | 가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| 요구 사항 10: 시스템 구성 요소 및 카드 소유자 데이터에 대한 모든 액세스 기록 및 모니터링 | 10.3.3 | 감사 로그의 삭제 및 무단 수정을 방지합니다 | 가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 함 | 1.0.0 |
| 요구 사항 11: 정기적으로 시스템 및 네트워크의 보안 테스트 | 11.3.1 | 외부 및 내부 취약성은 정기적으로 식별, 우선 순위를 지정하여 해결합니다 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 요구 사항 11: 정기적으로 시스템 및 네트워크의 보안 테스트 | 11.3.1 | 외부 및 내부 취약성은 정기적으로 식별, 우선 순위를 지정하여 해결합니다 | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 요구 사항 11: 정기적으로 시스템 및 네트워크의 보안 테스트 | 11.3.1 | 외부 및 내부 취약성은 정기적으로 식별, 우선 순위를 지정하여 해결합니다 | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 요구 사항 11: 정기적으로 시스템 및 네트워크의 보안 테스트 | 11.3.1 | 외부 및 내부 취약성은 정기적으로 식별, 우선 순위를 지정하여 해결합니다 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 요구 사항 03: 저장된 계정 데이터 보호 | 3.5.1 | PAN(기본 계정 번호)은 저장되는 모든 위치에서 보호됩니다 | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 요구 사항 05: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호 | 5.2.1 | 악성 소프트웨어(맬웨어)가 방지되거나 검색되어 처리됩니다 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 요구 사항 05: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호 | 5.2.1 | 악성 소프트웨어(맬웨어)가 방지되거나 검색되어 처리됩니다 | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 요구 사항 05: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호 | 5.2.1 | 악성 소프트웨어(맬웨어)가 방지되거나 검색되어 처리됩니다 | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 요구 사항 05: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호 | 5.2.1 | 악성 소프트웨어(맬웨어)가 방지되거나 검색되어 처리됩니다 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 요구 사항 05: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호 | 5.2.2 | 악성 소프트웨어(맬웨어)가 방지되거나 검색되어 처리됩니다 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 요구 사항 05: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호 | 5.2.2 | 악성 소프트웨어(맬웨어)가 방지되거나 검색되어 처리됩니다 | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 요구 사항 05: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호 | 5.2.2 | 악성 소프트웨어(맬웨어)가 방지되거나 검색되어 처리됩니다 | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 요구 사항 05: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호 | 5.2.2 | 악성 소프트웨어(맬웨어)가 방지되거나 검색되어 처리됩니다 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 요구 사항 05: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호 | 5.2.3 | 악성 소프트웨어(맬웨어)가 방지되거나 검색되어 처리됩니다 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 요구 사항 05: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호 | 5.2.3 | 악성 소프트웨어(맬웨어)가 방지되거나 검색되어 처리됩니다 | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 요구 사항 05: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호 | 5.2.3 | 악성 소프트웨어(맬웨어)가 방지되거나 검색되어 처리됩니다 | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 요구 사항 05: 악성 소프트웨어로부터 모든 시스템 및 네트워크 보호 | 5.2.3 | 악성 소프트웨어(맬웨어)가 방지되거나 검색되어 처리됩니다 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 요구 사항 06: 보안 시스템 및 소프트웨어 개발 및 유지 관리 | 6.2.4 | 맞춤형 및 사용자 지정 소프트웨어를 안전하게 개발합니다 | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 요구 사항 06: 보안 시스템 및 소프트웨어 개발 및 유지 관리 | 6.3.3 | 보안 취약성을 식별하고 해결합니다 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 요구 사항 06: 보안 시스템 및 소프트웨어 개발 및 유지 관리 | 6.3.3 | 보안 취약성을 식별하고 해결합니다 | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 요구 사항 06: 보안 시스템 및 소프트웨어 개발 및 유지 관리 | 6.3.3 | 보안 취약성을 식별하고 해결합니다 | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 요구 사항 06: 보안 시스템 및 소프트웨어 개발 및 유지 관리 | 6.3.3 | 보안 취약성을 식별하고 해결합니다 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 요구 사항 06: 보안 시스템 및 소프트웨어 개발 및 유지 관리 | 6.4.1 | 공용 웹 애플리케이션의 공격을 방지합니다 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 요구 사항 06: 보안 시스템 및 소프트웨어 개발 및 유지 관리 | 6.4.1 | 공용 웹 애플리케이션의 공격을 방지합니다 | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 요구 사항 06: 보안 시스템 및 소프트웨어 개발 및 유지 관리 | 6.4.1 | 공용 웹 애플리케이션의 공격을 방지합니다 | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 요구 사항 06: 보안 시스템 및 소프트웨어 개발 및 유지 관리 | 6.4.1 | 공용 웹 애플리케이션의 공격을 방지합니다 | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 요구 사항 08: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증 | 8.3.6 | 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다 | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 요구 사항 08: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증 | 8.3.6 | 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다 | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 요구 사항 08: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증 | 8.3.6 | 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다 | 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있는 Windows 머신 감사 | 2.1.0 |
| 요구 사항 08: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증 | 8.3.6 | 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다 | 최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 2.1.0 |
| 요구 사항 08: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증 | 8.3.6 | 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다 | 암호 최소 길이를 지정된 문자 수로 제한하지 않는 Windows 머신 감사 | 2.1.0 |
| 요구 사항 08: 사용자 식별 및 시스템 구성 요소에 대한 액세스 인증 | 8.3.6 | 사용자 및 관리자에 대한 강력한 인증이 설정되고 관리됩니다 | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
Reserve Bank of India - NBFC에 대한 IT 프레임워크
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - Reserve Bank of India - NBFC에 대한 IT 프레임워크를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 - NBFC에 대한 IT 프레임워크를 참조하세요.
Reserve Bank of India IT Framework for Banks v2016
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공 기능이 이 규정 준수 표준에 어떻게 매핑되는지 검토하려면 Azure Policy 규정 준수 - RBI ITF Banks v2016을 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 RBI ITF Banks v2016(PDF)을 참조하세요.
RMIT 말레이시아
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - RMIT 말레이시아를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 RMIT 말레이시아를 참조하세요.
SWIFT CSP-CSCF v2021
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 SWIFT CSP-CSCF v2021에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 SWIFT CSP CSCF v2021을 참조하세요.
SWIFT CSP-CSCF v2022
모든 Azure 서비스에 사용할 수 있는 Azure Policy 기본 제공 기능이 이 규정 준수 표준에 매핑되는 방법을 검토하려면 SWIFT CSP-CSCF v2022에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 SWIFT CSP-CSCF v2022를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.1 | 일반 IT 환경 및 외부 환경의 잠재적인 손상 요소로부터 사용자의 로컬 SWIFT 인프라를 보호합니다. | [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.1 | 일반 IT 환경 및 외부 환경의 잠재적인 손상 요소로부터 사용자의 로컬 SWIFT 인프라를 보호합니다. | [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.1 | 일반 IT 환경 및 외부 환경의 잠재적인 손상 요소로부터 사용자의 로컬 SWIFT 인프라를 보호합니다. | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.1 | 일반 IT 환경 및 외부 환경의 잠재적인 손상 요소로부터 사용자의 로컬 SWIFT 인프라를 보호합니다. | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.1 | 일반 IT 환경 및 외부 환경의 잠재적인 손상 요소로부터 사용자의 로컬 SWIFT 인프라를 보호합니다. | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.1 | 일반 IT 환경 및 외부 환경의 잠재적인 손상 요소로부터 사용자의 로컬 SWIFT 인프라를 보호합니다. | 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 | 3.0.0 |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.1 | 일반 IT 환경 및 외부 환경의 잠재적인 손상 요소로부터 사용자의 로컬 SWIFT 인프라를 보호합니다. | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.1 | 일반 IT 환경 및 외부 환경의 잠재적인 손상 요소로부터 사용자의 로컬 SWIFT 인프라를 보호합니다. | 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 3.0.0 |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.2 | 관리자 수준 운영 체제 계정의 할당 및 사용을 제한하고 제어합니다. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.3 | SWIFT 관련 구성 요소를 호스팅하는 가상화 플랫폼 및 가상 머신(VM)을 물리적 시스템과 동일한 수준으로 보호합니다. | 관리 디스크를 사용하지 않는 VM 감사 | 1.0.0 |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.4 | 보안 영역 내의 운영자 PC 및 시스템에서 인터넷 액세스를 제어/보호하세요. | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.4 | 보안 영역 내의 운영자 PC 및 시스템에서 인터넷 액세스를 제어/보호하세요. | 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.5A | 외부 환경 및 일반 IT 환경의 잠재적으로 손상된 요소로부터 고객의 연결 인프라를 보호하세요. | [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.5A | 외부 환경 및 일반 IT 환경의 잠재적으로 손상된 요소로부터 고객의 연결 인프라를 보호하세요. | [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.5A | 외부 환경 및 일반 IT 환경의 잠재적으로 손상된 요소로부터 고객의 연결 인프라를 보호하세요. | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.5A | 외부 환경 및 일반 IT 환경의 잠재적으로 손상된 요소로부터 고객의 연결 인프라를 보호하세요. | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.5A | 외부 환경 및 일반 IT 환경의 잠재적으로 손상된 요소로부터 고객의 연결 인프라를 보호하세요. | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.5A | 외부 환경 및 일반 IT 환경의 잠재적으로 손상된 요소로부터 고객의 연결 인프라를 보호하세요. | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호 | 1.5A | 외부 환경 및 일반 IT 환경의 잠재적으로 손상된 요소로부터 고객의 연결 인프라를 보호하세요. | 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 3.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.1 | 로컬 SWIFT 관련 구성 요소 간 애플리케이션 데이터 흐름의 기밀성, 무결성, 신뢰성을 보장합니다. | Linux 머신에 대한 인증에 SSH 키가 필요함 | 3.2.0 |
| 2. 공격 표면 및 취약성 감소 | 2.1 | 로컬 SWIFT 관련 구성 요소 간 애플리케이션 데이터 흐름의 기밀성, 무결성, 신뢰성을 보장합니다. | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| 2. 공격 표면 및 취약성 감소 | 2.2 | 공급업체 지원을 보장하고, 필수 소프트웨어 업데이트를 적용하고, 평가된 위험에 맞춰 시기 적절한 보안 업데이트를 적용하여 운영자 PC 및 로컬 SWIFT 인프라 내에서 알려진 기술 취약성 발생을 최소하세요. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 2. 공격 표면 및 취약성 감소 | 2.2 | 공급업체 지원을 보장하고, 필수 소프트웨어 업데이트를 적용하고, 평가된 위험에 맞춰 시기 적절한 보안 업데이트를 적용하여 운영자 PC 및 로컬 SWIFT 인프라 내에서 알려진 기술 취약성 발생을 최소하세요. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 2. 공격 표면 및 취약성 감소 | 2.2 | 공급업체 지원을 보장하고, 필수 소프트웨어 업데이트를 적용하고, 평가된 위험에 맞춰 시기 적절한 보안 업데이트를 적용하여 운영자 PC 및 로컬 SWIFT 인프라 내에서 알려진 기술 취약성 발생을 최소화합니다. | 재부팅을 대기 중인 Windows VM 감사 | 2.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.2 | 공급업체 지원을 보장하고, 필수 소프트웨어 업데이트를 적용하고, 평가된 위험에 맞춰 시기 적절한 보안 업데이트를 적용하여 운영자 PC 및 로컬 SWIFT 인프라 내에서 알려진 기술 취약성 발생을 최소하세요. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 2. 공격 표면 및 취약성 감소 | 2.2 | 공급업체 지원을 보장하고, 필수 소프트웨어 업데이트를 적용하고, 평가된 위험에 맞춰 시기 적절한 보안 업데이트를 적용하여 운영자 PC 및 로컬 SWIFT 인프라 내에서 알려진 기술 취약성 발생을 최소하세요. | 가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다. | 3.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.2 | 공급업체 지원을 보장하고, 필수 소프트웨어 업데이트를 적용하고, 평가된 위험에 맞춰 시기 적절한 보안 업데이트를 적용하여 운영자 PC 및 로컬 SWIFT 인프라 내에서 알려진 기술 취약성 발생을 최소하세요. | 시스템 업데이트를 머신에 설치해야 합니다. | 4.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.3 | 시스템 강화를 수행하여 SWIFT 관련 구성 요소의 사이버 공격 표면을 줄이세요. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 2. 공격 표면 및 취약성 감소 | 2.3 | 시스템 강화를 수행하여 SWIFT 관련 구성 요소의 사이버 공격 표면을 줄이세요. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 2. 공격 표면 및 취약성 감소 | 2.3 | 시스템 강화를 수행하여 SWIFT 관련 구성 요소의 사이버 공격 표면을 줄입니다. | passwd 파일 권한이 0644로 설정되지 않은 Linux 머신 감사 | 3.1.0 |
| 2. 공격 표면 및 취약성 감소 | 2.3 | 시스템 강화를 수행하여 SWIFT 관련 구성 요소의 사이버 공격 표면을 줄입니다. | 지정한 기간(일) 내에 만료되는 인증서가 포함된 Windows 머신 감사 | 2.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.3 | 시스템 강화를 수행하여 SWIFT 관련 구성 요소의 사이버 공격 표면을 줄입니다. | 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 2.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.3 | 시스템 강화를 수행하여 SWIFT 관련 구성 요소의 사이버 공격 표면을 줄이세요. | Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 3.1.0 |
| 2. 공격 표면 및 취약성 감소 | 2.3 | 시스템 강화를 수행하여 SWIFT 관련 구성 요소의 사이버 공격 표면을 줄이세요. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 2. 공격 표면 및 취약성 감소 | 2.3 | 시스템 강화를 수행하여 SWIFT 관련 구성 요소의 사이버 공격 표면을 줄이세요. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.4A | 백오피스 Data Flow 보안 | Linux 머신에 대한 인증에 SSH 키가 필요함 | 3.2.0 |
| 2. 공격 표면 및 취약성 감소 | 2.4A | 백오피스 Data Flow 보안 | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| 2. 공격 표면 및 취약성 감소 | 2.5A | 외부 전송 데이터 보호 | 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 1.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.5A | 외부 전송 데이터 보호 | 관리 디스크를 사용하지 않는 VM 감사 | 1.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.5A | 외부 전송 데이터 보호 | Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | 3.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.5A | 외부 전송 데이터 보호 | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 2. 공격 표면 및 취약성 감소 | 2.6 | 로컬 또는 원격(서비스 공급자가 운영하는) SWIFT 인프라 또는 서비스 공급자 SWIFT 관련 애플리케이션에 연결하는 대화형 운영자 세션의 기밀성 및 무결성을 보호하세요. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 2. 공격 표면 및 취약성 감소 | 2.6 | 로컬 또는 원격(서비스 공급자가 운영하는) SWIFT 인프라 또는 서비스 공급자 SWIFT 관련 애플리케이션에 연결하는 대화형 운영자 세션의 기밀성 및 무결성을 보호하세요. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 2. 공격 표면 및 취약성 감소 | 2.6 | 로컬 또는 원격(서비스 공급자가 운영하는) SWIFT 인프라 또는 서비스 공급자 SWIFT 관련 애플리케이션에 연결하는 대화형 운영자 세션의 기밀성 및 무결성을 보호하세요. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 2. 공격 표면 및 취약성 감소 | 2.6 | 로컬 또는 원격(서비스 공급자가 운영하는) SWIFT 인프라 또는 서비스 공급자 SWIFT 관련 애플리케이션에 연결하는 대화형 운영자 세션의 기밀성 및 무결성을 보호합니다. | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| 2. 공격 표면 및 취약성 감소 | 2.6 | 로컬 또는 원격(서비스 공급자가 운영하는) SWIFT 인프라 또는 서비스 공급자 SWIFT 관련 애플리케이션에 연결하는 대화형 운영자 세션의 기밀성 및 무결성을 보호합니다. | Windows 머신은 '보안 옵션 - 대화형 로그온'에 대한 요구 사항을 충족해야 함 | 3.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.7 | 정기적인 취약성 검사 프로세스를 구현하고 결과에 따라 조치를 취하여 로컬 SWIFT 환경 내 알려진 취약성을 식별합니다. | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.7 | 정기적인 취약성 검사 프로세스를 구현하고 결과에 따라 조치를 취하여 로컬 SWIFT 환경 내 알려진 취약성을 식별합니다. | 컨테이너 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 2. 공격 표면 및 취약성 감소 | 2.7 | 정기적인 취약성 검사 프로세스를 구현하고 결과에 따라 조치를 취하여 로컬 SWIFT 환경 내 알려진 취약성을 식별합니다. | 머신 보안 구성의 취약성을 수정해야 합니다. | 3.1.0 |
| 2. 공격 표면 및 취약성 감소 | 2.7 | 정기적인 취약성 검사 프로세스를 구현하고 결과에 따라 조치를 취하여 로컬 SWIFT 환경 내 알려진 취약성을 식별합니다. | 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 3.0.0 |
| 3. 환경의 물리적 보안 | 3.1 | 중요한 장비, 작업 공간 환경, 호스팅 사이트, 스토리지의 무단 물리적 액세스를 방지하세요. | 관리 디스크를 사용하지 않는 VM 감사 | 1.0.0 |
| 4. 자격 증명 손상 방지 | 4.1 | 효율적인 암호 정책을 구현하고 적용하여 암호가 일반적인 암호 공격을 충분히 방지할 수 있는지 확인하세요. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 4. 자격 증명 손상 방지 | 4.1 | 효율적인 암호 정책을 구현하고 적용하여 암호가 일반적인 암호 공격을 충분히 방지할 수 있는지 확인하세요. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 4. 자격 증명 손상 방지 | 4.1 | 효율적인 암호 정책을 구현하고 적용하여 암호가 일반적인 암호 공격을 충분히 방지할 수 있는지 확인하세요. | 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 3.1.0 |
| 4. 자격 증명 손상 방지 | 4.1 | 효율적인 암호 정책을 구현하고 적용하여 암호가 일반적인 암호 공격을 충분히 방지할 수 있는지 확인하세요. | 암호가 없는 계정이 있는 Linux 머신 감사 | 3.1.0 |
| 4. 자격 증명 손상 방지 | 4.1 | 효율적인 암호 정책을 구현하고 적용하여 암호가 일반적인 암호 공격을 충분히 방지할 수 있는지 확인하세요. | 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있는 Windows 머신 감사 | 2.1.0 |
| 4. 자격 증명 손상 방지 | 4.1 | 효율적인 암호 정책을 구현하고 적용하여 암호가 일반적인 암호 공격을 충분히 방지할 수 있는지 확인하세요. | 최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 2.1.0 |
| 4. 자격 증명 손상 방지 | 4.1 | 효율적인 암호 정책을 구현하고 적용하여 암호가 일반적인 암호 공격을 충분히 방지할 수 있는지 확인하세요. | 최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 2.1.0 |
| 4. 자격 증명 손상 방지 | 4.1 | 효율적인 암호 정책을 구현하고 적용하여 암호가 일반적인 암호 공격을 충분히 방지할 수 있는지 확인하세요. | 암호 복잡성 설정이 활성화되지 않는 Windows 머신 감사 | 2.0.0 |
| 4. 자격 증명 손상 방지 | 4.1 | 효율적인 암호 정책을 구현하고 적용하여 암호가 일반적인 암호 공격을 충분히 방지할 수 있는지 확인하세요. | 암호 최소 길이를 지정된 문자 수로 제한하지 않는 Windows 머신 감사 | 2.1.0 |
| 4. 자격 증명 손상 방지 | 4.1 | 효율적인 암호 정책을 구현하고 적용하여 암호가 일반적인 암호 공격을 충분히 방지할 수 있는지 확인하세요. | Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 3.1.0 |
| 4. 자격 증명 손상 방지 | 4.1 | 효율적인 암호 정책을 구현하고 적용하여 암호가 일반적인 암호 공격을 충분히 방지할 수 있는지 확인하세요. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 5. ID 관리 및 권한 분리 | 5.1 | 운영자 계정에 대해 알아야 할 액세스 권한, 최소 권한, 업무 분리의 보안 원칙을 적용합니다. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 5. ID 관리 및 권한 분리 | 5.1 | 운영자 계정에 대해 알아야 할 액세스 권한, 최소 권한, 업무 분리의 보안 원칙을 적용합니다. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 5. ID 관리 및 권한 분리 | 5.1 | 운영자 계정에 대해 알아야 할 액세스 권한, 최소 권한, 업무 분리의 보안 원칙을 적용합니다. | 지정한 기간(일) 내에 만료되는 인증서가 포함된 Windows 머신 감사 | 2.0.0 |
| 5. ID 관리 및 권한 분리 | 5.1 | 운영자 계정에 대해 알아야 할 액세스 권한, 최소 권한, 업무 분리의 보안 원칙을 적용합니다. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 5. ID 관리 및 권한 분리 | 5.2 | 연결/연결 해제된 하드웨어 인증 또는 개인 토큰(토큰이 사용되는 경우)이 적절히 관리, 추적, 사용되도록 보장합니다. | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 5. ID 관리 및 권한 분리 | 5.4 | 기록된 암호의 리포지토리를 물리적 및 논리적으로 보호하세요. | 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 2.0.0 |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.1 | 로컬 SWIFT 인프라가 맬웨어로부터 보호되는지 확인하고 결과에 따라 조치를 취하세요. | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.1 | 로컬 SWIFT 인프라가 맬웨어로부터 보호되는지 확인하고 결과에 따라 조치를 취하세요. | 보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 | 1.0.0 |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.1 | 로컬 SWIFT 인프라가 맬웨어로부터 보호되는지 확인하고 결과에 따라 조치를 취하세요. | Microsoft IaaSAntimalware 확장을 Windows Server에 배포해야 함 | 1.1.0 |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.1 | 로컬 SWIFT 인프라가 맬웨어로부터 보호되는지 확인하고 결과에 따라 조치를 취하세요. | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.4 | 보안 이벤트를 기록하고 로컬 SWIFT 환경 내에서 비정상적인 작업 및 작업을 검색합니다. | [미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. | 2.0.1-preview |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.4 | 보안 이벤트를 기록하고 로컬 SWIFT 환경 내에서 비정상적인 작업 및 작업을 검색합니다. | [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.4 | 보안 이벤트를 기록하고 로컬 SWIFT 환경 내에서 비정상적인 작업 및 작업을 검색합니다. | [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.4 | 보안 이벤트를 기록하고 로컬 SWIFT 환경 내에서 비정상적인 작업 및 작업을 검색합니다. | 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.4 | 보안 이벤트를 기록하고 로컬 SWIFT 환경 내에서 비정상적인 작업 및 작업을 검색합니다. | 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 4.1.0 |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.4 | 보안 이벤트를 기록하고 로컬 SWIFT 환경 내에서 비정상적인 동작과 작업을 검색합니다. | 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 1.0.0 |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.4 | 보안 이벤트를 기록하고 로컬 SWIFT 환경 내에서 비정상적인 작업 및 작업을 검색합니다. | Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | 3.0.0 |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.4 | 보안 이벤트를 기록하고 로컬 SWIFT 환경 내에서 비정상적인 작업 및 작업을 검색합니다. | Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 1.2.0 |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.4 | 보안 이벤트를 기록하고 로컬 SWIFT 환경 내에서 비정상적인 작업 및 작업을 검색합니다. | 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 | 2.0.1 |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.4 | 보안 이벤트를 기록하고 로컬 SWIFT 환경 내에서 비정상적인 작업 및 작업을 검색합니다. | Virtual Machine Scale Sets에 Log Analytics 확장을 설치해야 함 | 1.0.1 |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.4 | 보안 이벤트를 기록하고 로컬 SWIFT 환경 내에서 비정상적인 작업 및 작업을 검색합니다. | 가상 머신에 Log Analytics 확장이 설치되어 있어야 함 | 1.0.1 |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.5A | 로컬 또는 원격 SWIFT 환경 내부 및 내부의 비정상적인 네트워크 활동을 검색하고 억제합니다. | [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.5A | 로컬 또는 원격 SWIFT 환경 내부 및 내부의 비정상적인 네트워크 활동을 검색하고 억제합니다. | [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | 1.0.2-preview |
| 6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색 | 6.5A | 로컬 또는 원격 SWIFT 환경 내부 및 내부의 비정상적인 네트워크 활동을 검색하고 억제합니다. | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
SOC(시스템 및 조직 제어) 2
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공 기능이 이 규정 준수 표준에 어떻게 매핑되는지 검토하려면 SOC(시스템 및 조직 제어) 2에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이 준수 표준에 대한 자세한 내용은 SOC(시스템 및 조직 제어) 2를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 가용성에 대한 추가 조건 | A1.2 | 환경 보호, 소프트웨어, 데이터 백업 프로세스 및 복구 인프라 | Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | 3.0.0 |
| 위험 평가 | CC3.2 | COSO 원칙 7 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.1 | 논리적 액세스 보안 소프트웨어, 인프라 및 아키텍처 | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.1 | 논리적 액세스 보안 소프트웨어, 인프라 및 아키텍처 | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.1 | 논리적 액세스 보안 소프트웨어, 인프라 및 아키텍처 | Linux 머신에 대한 인증에 SSH 키가 필요함 | 3.2.0 |
| 논리 및 물리적 액세스 제어 | CC6.1 | 논리적 액세스 보안 소프트웨어, 인프라 및 아키텍처 | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.1 | 논리적 액세스 보안 소프트웨어, 인프라 및 아키텍처 | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.1 | 논리적 액세스 보안 소프트웨어, 인프라 및 아키텍처 | 가상 머신에서 관리 포트를 닫아야 합니다. | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.1 | 논리적 액세스 보안 소프트웨어, 인프라 및 아키텍처 | 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.1 | 논리적 액세스 보안 소프트웨어, 인프라 및 아키텍처 | 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 2.0.3 |
| 논리 및 물리적 액세스 제어 | CC6.1 | 논리적 액세스 보안 소프트웨어, 인프라 및 아키텍처 | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| 논리 및 물리적 액세스 제어 | CC6.6 | 시스템 경계 외부의 위협에 대한 보안 조치 | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.6 | 시스템 경계 외부의 위협에 대한 보안 조치 | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.6 | 시스템 경계 외부의 위협에 대한 보안 조치 | Linux 머신에 대한 인증에 SSH 키가 필요함 | 3.2.0 |
| 논리 및 물리적 액세스 제어 | CC6.6 | 시스템 경계 외부의 위협에 대한 보안 조치 | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.6 | 시스템 경계 외부의 위협에 대한 보안 조치 | 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.6 | 시스템 경계 외부의 위협에 대한 보안 조치 | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.6 | 시스템 경계 외부의 위협에 대한 보안 조치 | 가상 머신에서 관리 포트를 닫아야 합니다. | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.6 | 시스템 경계 외부의 위협에 대한 보안 조치 | 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.6 | 시스템 경계 외부의 위협에 대한 보안 조치 | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| 논리 및 물리적 액세스 제어 | CC6.7 | 권한이 있는 사용자에게만 정보 이동 제한 | 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.7 | 권한이 있는 사용자에게만 정보 이동 제한 | 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.7 | 권한이 있는 사용자에게만 정보 이동 제한 | 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.7 | 권한이 있는 사용자에게만 정보 이동 제한 | 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.7 | 권한이 있는 사용자에게만 정보 이동 제한 | 가상 머신에서 관리 포트를 닫아야 합니다. | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.7 | 권한이 있는 사용자에게만 정보 이동 제한 | 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.7 | 권한이 있는 사용자에게만 정보 이동 제한 | Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 4.1.1 |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | [미리 보기]: 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 함 | 6.0.0-preview |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | [미리 보기]: 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 | 5.1.0-preview |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | [미리 보기]: 지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 함 | 4.0.0-preview |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | [미리 보기]: 지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 | 3.1.0-preview |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | [미리 보기]: 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 함 | 4.0.0-preview |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | [미리 보기]: 지원되는 가상 머신에서 vTPM을 사용하도록 설정해야 함 | 2.0.0-preview |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | 관리 디스크를 사용하지 않는 VM 감사 | 1.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | 머신에서 엔드포인트 보호 상태 문제를 해결해야 함 | 1.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | 머신에 Endpoint Protection을 설치해야 함 | 1.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | 머신에 게스트 구성 확장을 설치해야 함 | 1.0.3 |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | Linux 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 2.2.0 |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | Azure Security Center에서 누락된 Endpoint Protection 모니터링 | 3.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | 승인된 VM 확장만 설치해야 함 | 1.0.0 |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 1.0.1 |
| 논리 및 물리적 액세스 제어 | CC6.8 | 무단 또는 악성 소프트웨어 방지 또는 탐지 | Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 2.0.0 |
| 시스템 작업 | CC7.1 | 새 취약성 감지 및 모니터링 | 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 3.0.0 |
| 시스템 작업 | CC7.1 | 새 취약성 감지 및 모니터링 | 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 3.0.0 |
| 시스템 작업 | CC7.1 | 새 취약성 감지 및 모니터링 | 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 | 3.0.0 |
| 시스템 작업 | CC7.2 | 시스템 구성 요소에서 비정상적인 동작 모니터링 | Windows Defender Exploit Guard를 머신에서 사용하도록 설정해야 함 | 2.0.0 |
| 변경 관리 | CC8.1 | 인프라, 데이터, 소프트웨어 변경 | [미리 보기]: 지원되는 Linux 가상 머신에 게스트 증명 확장을 설치해야 함 | 6.0.0-preview |
| 변경 관리 | CC8.1 | 인프라, 데이터, 소프트웨어 변경 | [미리 보기]: 지원되는 Linux 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 | 5.1.0-preview |
| 변경 관리 | CC8.1 | 인프라, 데이터, 소프트웨어 변경 | [미리 보기]: 지원되는 Windows 가상 머신에 게스트 증명 확장을 설치해야 함 | 4.0.0-preview |
| 변경 관리 | CC8.1 | 인프라, 데이터, 소프트웨어 변경 | [미리 보기]: 지원되는 Windows 가상 머신 확장 집합에 게스트 증명 확장을 설치해야 함 | 3.1.0-preview |
| 변경 관리 | CC8.1 | 인프라, 데이터, 소프트웨어 변경 | [미리 보기]: 지원되는 Windows 가상 머신에서 보안 부팅을 사용하도록 설정해야 함 | 4.0.0-preview |
| 변경 관리 | CC8.1 | 인프라, 데이터, 소프트웨어 변경 | [미리 보기]: 지원되는 가상 머신에서 vTPM을 사용하도록 설정해야 함 | 2.0.0-preview |
| 변경 관리 | CC8.1 | 인프라, 데이터, 소프트웨어 변경 | 관리 디스크를 사용하지 않는 VM 감사 | 1.0.0 |
| 변경 관리 | CC8.1 | 인프라, 데이터, 소프트웨어 변경 | 머신에 게스트 구성 확장을 설치해야 함 | 1.0.3 |
| 변경 관리 | CC8.1 | 인프라, 데이터, 소프트웨어 변경 | Linux 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 2.2.0 |
| 변경 관리 | CC8.1 | 인프라, 데이터, 소프트웨어 변경 | 승인된 VM 확장만 설치해야 함 | 1.0.0 |
| 변경 관리 | CC8.1 | 인프라, 데이터, 소프트웨어 변경 | 가상 머신의 게스트 구성 확장은 시스템이 할당한 관리 ID를 사용하여 배포해야 함 | 1.0.1 |
| 변경 관리 | CC8.1 | 인프라, 데이터, 소프트웨어 변경 | Windows 머신은 Azure 컴퓨팅 보안 기준의 요구 사항을 충족해야 함 | 2.0.0 |
| 처리 무결성에 대한 추가 조건 | PI1.5 | 입력 및 출력을 완전하고 정확하며 시기 적절하게 저장 | Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | 3.0.0 |
영국 공식 및 영국 NHS
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - 영국 공식 및 영국 NHS를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 영국 공식을 참조하세요.
다음 단계
- Azure Policy 규정 준수에 대해 자세히 알아봅니다.
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.