다음을 통해 공유


AKS(Azure Kubernetes Service)에 대한 Azure 보안 기준

이 보안 기준은 Microsoft 클라우드 보안 벤치마크 버전 1.0지침을 AKS(Azure Kubernetes Service)에 적용합니다. Microsoft 클라우드 보안 벤치마크는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Microsoft 클라우드 보안 벤치마크에서 정의한 보안 제어 및 AKS(Azure Kubernetes Service)에 적용되는 관련 지침에 따라 그룹화됩니다.

클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 포털 페이지의 규정 준수 섹션에 나열됩니다.

기능에 관련 Azure Policy 정의가 있는 경우 Microsoft 클라우드 보안 벤치마크 컨트롤 및 권장 사항 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고 항목

AKS(Azure Kubernetes Service)에 적용되지 않는 기능은 제외되었습니다. AKS(Azure Kubernetes Service)가 Microsoft 클라우드 보안 벤치마크에 완전히 매핑되는 방법을 보려면 전체 AKS(Azure Kubernetes Service) 보안 기준 매핑 파일을 참조하세요.

보안 프로필

보안 프로필에는 AKS(Azure Kubernetes Service)의 영향력이 큰 동작이 요약되어 있으며, 이로 인해 보안 고려 사항이 증가할 수 있습니다.

서비스 동작 특성
제품 범주 컨테이너
고객이 HOST/OS에 액세스할 수 있습니다. 액세스 없음
서비스를 고객의 가상 네트워크에 배포할 수 있습니다. True
고객 콘텐츠를 미사용에 저장 True

네트워크 보안

자세한 내용은 Microsoft 클라우드 보안 벤치마크인 네트워크 보안을 참조하세요.

NS-1: 네트워크 구분 경계 설정

기능

가상 네트워크 통합

설명: 서비스는 고객의 프라이빗 VNet(Virtual Network)에 대한 배포를 지원합니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
True True Microsoft

구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.

참조: AKS(Azure Kubernetes Service)에서 고유한 IP 주소 범위로 kubenet 네트워킹 사용

네트워크 보안 그룹 지원

설명: 서비스 네트워크 트래픽은 서브넷에서 네트워크 보안 그룹 규칙 할당을 준수합니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
True True Microsoft

구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.

참조: 네트워크 보안 그룹

NS-2: 네트워크 제어를 사용하여 클라우드 서비스 보호

기능

설명: 네트워크 트래픽을 필터링하기 위한 서비스 네이티브 IP 필터링 기능(NSG 또는 Azure Firewall과 혼동하지 않음). 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: Private Link 기능을 지원하는 모든 Azure 리소스에 대한 프라이빗 엔드포인트를 배포하여 리소스에 대한 프라이빗 액세스 지점을 설정합니다.

참조: 프라이빗 Azure Kubernetes Service 클러스터 만들기

공용 네트워크 액세스 사용 안 함

설명: 서비스는 서비스 수준 IP ACL 필터링 규칙(NSG 또는 Azure Firewall 아님)을 사용하거나 '공용 네트워크 액세스 사용 안 함' 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: Azure CLI를 사용하여 프라이빗 Azure Kubernetes Service 클러스터에서 공용 FQDN을 사용하지 않도록 설정합니다.

참조: 프라이빗 Azure Kubernetes Service 클러스터 만들기

클라우드용 Microsoft Defender 모니터링

Azure Policy 기본 제공 정의 - Microsoft.ContainerService:

속성
(Azure Portal)
설명 효과 버전
(GitHub)
권한 있는 IP 범위는 Kubernetes Services에 정의되어야 함 특정 범위의 IP 주소에만 API 액세스 권한을 부여하여 Kubernetes Service Management API에 대한 액세스를 제한합니다. 허용된 네트워크의 애플리케이션만 클러스터에 액세스할 수 있도록 인증된 IP 범위에 대한 액세스를 제한하는 것이 좋습니다. 감사, 사용 안 함 2.0.1

ID 관리

자세한 내용은 Microsoft 클라우드 보안 벤치마크인 ID 관리를 참조하세요.

IM-1: 중앙 ID 및 인증 시스템 사용

기능

데이터 평면 액세스에 필요한 Azure AD 인증

설명: 서비스는 데이터 평면 액세스에 Azure AD 인증 사용을 지원합니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: Azure AD(Azure Active Directory)를 기본 인증 방법으로 사용하여 데이터 평면 액세스를 제어합니다.

참조: AKS 관리형 Azure Active Directory 통합

데이터 평면 액세스에 대한 로컬 인증 방법

설명: 로컬 사용자 이름 및 암호와 같은 데이터 평면 액세스에 대해 지원되는 로컬 인증 방법입니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

기능 참고 사항: 로컬 인증 방법 또는 계정을 사용하지 않도록 하려면 가능한 한 사용하지 않도록 설정해야 합니다. 대신 Azure AD를 사용하여 가능한 경우 인증합니다.

구성 지침: Kubernetes RBAC(Kubernetes 역할 기반 액세스 제어) 또는 Azure Active Directory 및 Azure RBAC를 사용하여 Kubernetes 클러스터에 대한 액세스를 인증, 권한 부여, 보안 및 제어할 수 있습니다.

참조: AKS(Azure Kubernetes Service)에 대한 액세스 및 ID 옵션

IM-3: 애플리케이션 ID를 안전하게 자동으로 관리

기능

관리 ID

설명: 데이터 평면 작업은 관리 ID를 사용하는 인증을 지원합니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
True True Microsoft

기능 정보: 기본적으로 AKS 클러스터를 만들 때 시스템 할당 관리 ID가 자동으로 생성됩니다. 배포에 Azure CLI를 사용하지 않고 사용자 고유의 VNet, 연결된 Azure 디스크, 고정 IP 주소, 경로 테이블 또는 작업자 노드 리소스 그룹 외부에 있는 사용자 할당 kubelet ID를 사용하는 경우 사용자 할당 컨트롤 플레인 ID를 사용하는 것이 좋습니다.

구성 지침: 기본 배포에서 사용하도록 설정되므로 추가 구성이 필요하지 않습니다.

참조: Azure Kubernetes Service에서 관리 ID 사용

서비스 주체

설명: 데이터 평면은 서비스 주체를 사용하는 인증을 지원합니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: 이 기능 구성에 대한 현재 Microsoft 지침은 없습니다. 조직에서 이 보안 기능을 구성하려는지 검토하고 확인하세요.

참조: 서비스 주체 만들기

IM-7: 조건에 따라 리소스 액세스 제한

기능

데이터 평면에 대한 조건부 액세스

설명: Azure AD 조건부 액세스 정책을 사용하여 데이터 평면 액세스를 제어할 수 있습니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: 워크로드에서 Azure AD(Azure Active Directory) 조건부 액세스에 적용 가능한 조건 및 조건을 정의합니다. 특정 위치에서 액세스 차단 또는 액세스 권한 부여, 위험한 로그인 동작 차단 또는 특정 애플리케이션에 대한 조직 관리 디바이스 요구와 같은 일반적인 사용 사례를 고려합니다.

참조:

IM-8: 자격 증명 및 비밀 노출 제한

기능

Azure Key Vault의 서비스 자격 증명 및 비밀 지원 통합 및 스토리지

설명: 데이터 평면은 자격 증명 및 비밀 저장소에 대한 Azure Key Vault의 기본 사용을 지원합니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: 비밀 및 자격 증명을 코드 또는 구성 파일에 포함하는 대신 Azure Key Vault와 같은 보안 위치에 저장해야 합니다.

참조: CSI 비밀 저장소

권한 있는 액세스

자세한 내용은 Microsoft 클라우드 보안 벤치마크: 권한 있는 액세스를 참조하세요.

PA-1: 높은 권한이 있는 사용자/관리자를 분리하고 제한

기능

로컬 관리자 계정

설명: 서비스에는 로컬 관리 계정의 개념이 있습니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

기능 참고 사항: 로컬 인증 방법 또는 계정을 사용하지 않도록 하려면 가능한 한 사용하지 않도록 설정해야 합니다. 대신 Azure AD를 사용하여 가능한 경우 인증합니다.

구성 지침: Kubernetes RBAC(Kubernetes 역할 기반 액세스 제어) 또는 Azure Active Directory 및 Azure RBAC를 사용하여 Kubernetes 클러스터에 대한 액세스를 인증, 권한 부여, 보안 및 제어할 수 있습니다.

일상적인 관리 작업에 필요하지 않은 경우 긴급 사용에 대해서만 로컬 관리자 계정을 사용하지 않도록 설정하거나 제한합니다.

참조: AKS(Azure Kubernetes Service)에 대한 액세스 및 ID 옵션

PA-7: 충분한 관리 수행(최소 권한) 원칙

기능

데이터 평면용 Azure RBAC

설명: Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 서비스의 데이터 평면 작업에 대한 액세스를 관리할 수 있습니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 기본 제공 역할 할당을 통해 Azure 리소스 액세스를 관리합니다. Azure RBAC 역할은 사용자, 그룹, 서비스 주체 및 관리 ID에 할당할 수 있습니다.

참조: Kubernetes 권한 부여에 Azure RBAC 사용

클라우드용 Microsoft Defender 모니터링

Azure Policy 기본 제공 정의 - Microsoft.ContainerService:

속성
(Azure Portal)
설명 효과 버전
(GitHub)
Kubernetes Services에서 Azure RBAC(역할 기반 액세스 제어)를 사용해야 함 사용자가 수행할 수 있는 작업에 대한 세부적인 필터링을 제공하려면 Azure RBAC(역할 기반 액세스 제어)를 사용하여 Kubernetes Service 클러스터에서 권한을 관리하고 관련 권한 부여 정책을 구성합니다. 감사, 사용 안 함 1.0.3

PA-8: 클라우드 공급자 지원을 위한 액세스 프로세스 결정

기능

고객 Lockbox

설명: 고객 Lockbox는 Microsoft 지원 액세스에 사용할 수 있습니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: Microsoft가 데이터에 액세스해야 하는 지원 시나리오에서 고객 Lockbox를 사용하여 Microsoft의 각 데이터 액세스 요청을 검토, 승인 또는 거부합니다.

참조: Microsoft Azure용 고객 Lockbox

데이터 보호

자세한 내용은 Microsoft 클라우드 보안 벤치마크인 데이터 보호를 참조하세요.

DP-1: 중요한 데이터 검색, 분류 및 레이블 지정

기능

중요한 데이터 검색 및 분류

설명: 도구(예: Azure Purview 또는 Azure Information Protection)는 서비스의 데이터 검색 및 분류에 사용할 수 있습니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
False 해당 없음 해당 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

DP-2: 중요한 데이터를 대상으로 하는 변칙 및 위협 모니터링

기능

데이터 누출/손실 방지

설명: 서비스는 중요한 데이터 이동(고객의 콘텐츠)을 모니터링하는 DLP 솔루션을 지원합니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: DLP(데이터 손실 방지) 준수에 필요한 경우 Azure Marketplace의 호스트 기반 DLP 솔루션 또는 Microsoft 365 DLP 솔루션을 사용하여 데이터 반출을 방지하기 위해 검색 및/또는 예방 제어를 적용할 수 있습니다.

참조: 컨테이너용 Microsoft Defender 사용

DP-3: 전송 중인 중요한 데이터 암호화

기능

전송 암호화 중인 데이터

설명: 서비스는 데이터 평면에 대한 전송 중인 데이터 암호화를 지원합니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: 기본 제공 전송 암호화 기능에 네이티브 데이터가 있는 서비스에서 보안 전송을 사용하도록 설정합니다. 모든 웹 애플리케이션 및 서비스에 HTTPS를 적용하고 TLS v1.2 이상이 사용되는지 확인합니다. SSL 3.0, TLS v1.0과 같은 레거시 버전을 사용하지 않도록 설정해야 합니다. Virtual Machines의 원격 관리를 위해 암호화되지 않은 프로토콜 대신 SSH(Linux용) 또는 RDP/TLS(Windows용)를 사용합니다.

참조: AKS(Azure Kubernetes Service)에서 수신 컨트롤러와 함께 TLS 사용

클라우드용 Microsoft Defender 모니터링

Azure Policy 기본 제공 정의 - Microsoft.ContainerService:

속성
(Azure Portal)
설명 효과 버전
(GitHub)
Kubernetes 클러스터는 HTTPS를 통해서만 액세스할 수 있어야 함 HTTPS를 사용하여 인증을 보장하고, 네트워크 계층 도청 공격으로부터 전송 중인 데이터를 보호합니다. 이 기능은 현재 AKS(Kubernetes Service)에 일반 공급되며 Azure Arc 지원 Kubernetes에서 미리 보기로 제공됩니다. 자세한 내용은 https://aka.ms/kubepolicydoc를 방문하세요. 감사, 거부, 사용 안 함 8.1.0

DP-4: 기본적으로 미사용 데이터 암호화 사용하도록 설정

기능

플랫폼 키를 사용하여 미사용 데이터 암호화

설명: 플랫폼 키를 사용한 미사용 데이터 암호화가 지원되며, 미사용 고객 콘텐츠는 이러한 Microsoft 관리형 키로 암호화됩니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

기능 정보: 호스트 기반 암호화는 Azure Storage에서 사용하는 SSE(서버 쪽 암호화)와 다릅니다. Azure 관리 디스크는 Azure Storage를 사용하여 데이터를 저장할 때 미사용 데이터를 자동으로 암호화합니다. 호스트 기반 암호화는 VM의 호스트를 사용하여 데이터가 Azure Storage를 통과하기 전에 암호화를 처리합니다.

구성 지침: 서비스에서 자동으로 구성되지 않는 플랫폼 관리(Microsoft 관리형) 키를 사용하여 미사용 데이터 암호화를 사용하도록 설정합니다.

참조: AKS(Azure Kubernetes Service)의 호스트 기반 암호화

DP-5: 필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용

기능

CMK를 이용하여 미사용 데이터 암호화

설명: 고객 관리형 키를 사용한 미사용 데이터 암호화는 서비스에서 저장한 고객 콘텐츠에 대해 지원됩니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: 규정 준수에 필요한 경우 고객 관리형 키를 사용한 암호화가 필요한 사용 사례 및 서비스 범위를 정의합니다. 서비스에서 고객 관리형 키를 사용하여 미사용 데이터 암호화를 사용하도록 설정하고 구현합니다.

참조: AKS(Azure Kubernetes Service)의 호스트 기반 암호화

DP-6: 보안 키 관리 프로세스 사용

기능

Azure Key Vault에서 키 관리

설명: 서비스는 고객 키, 비밀 또는 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: Azure Key Vault를 사용하여 키 생성, 배포 및 스토리지를 포함하여 암호화 키의 수명 주기를 만들고 제어합니다. 정의된 일정에 따라 또는 키 사용 중지 또는 손상이 있는 경우 Azure Key Vault 및 서비스에서 키를 회전하고 해지합니다. 워크로드, 서비스 또는 애플리케이션 수준에서 CMK(고객 관리형 키)를 사용해야 하는 경우 키 관리에 대한 모범 사례를 따라야 합니다. 키 계층 구조를 사용하여 키 자격 증명 모음에서 키 암호화 키(KEK)와 함께 별도의 DEK(데이터 암호화 키)를 생성합니다. 키가 Azure Key Vault에 등록되고 서비스 또는 애플리케이션의 키 ID를 통해 참조되는지 확인합니다. 서비스에 BYOK(사용자 고유 키)를 가져와야 하는 경우(예: 온-프레미스 HSM에서 Azure Key Vault로 HSM 보호 키 가져오기) 권장 지침에 따라 초기 키 생성 및 키 전송을 수행합니다.

참조: AKS(Azure Kubernetes Service)의 호스트 기반 암호화

DP-7: 보안 인증서 관리 프로세스 사용

기능

Azure Key Vault에서 인증 관리

설명: 이 서비스는 모든 고객 인증서에 대한 Azure Key Vault 통합을 지원합니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: Azure Key Vault를 사용하여 인증서 만들기, 가져오기, 회전, 해지, 스토리지 및 제거를 포함하여 인증서 수명 주기를 만들고 제어합니다. 인증서 생성이 안전하지 않은 속성(예: 불충분한 키 크기, 지나치게 긴 유효 기간, 안전하지 않은 암호화)을 사용하지 않고 정의된 표준을 따르도록 합니다. 정의된 일정 또는 인증서 만료 시기에 따라 Azure Key Vault 및 Azure 서비스(지원되는 경우)에서 인증서의 자동 회전을 설정합니다. 애플리케이션에서 자동 회전이 지원되지 않는 경우 Azure Key Vault 및 애플리케이션에서 수동 메서드를 사용하여 자동 회전이 계속 회전되는지 확인합니다.

참조: 비밀 저장소 CSI 드라이버에서 사용자 고유의 인증서와 함께 TLS 사용

자산 관리

자세한 내용은 Microsoft 클라우드 보안 벤치마크인 자산 관리를 참조하세요.

AM-2: 승인된 서비스만 사용

기능

Azure Policy 지원

설명: Azure Policy를 통해 서비스 구성을 모니터링하고 적용할 수 있습니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: 클라우드용 Microsoft Defender 사용하여 Azure 리소스의 구성을 감사하고 적용하도록 Azure Policy를 구성합니다. 리소스에서 구성 편차가 검색되면 Azure Monitor를 사용하여 경고를 만듭니다. Azure Policy [거부] 및 [존재하지 않는 경우 배포] 효과를 사용하여 Azure 리소스에 보안 구성을 적용합니다.

참조: AKS 기본 제공 Azure Policy

로깅 및 위협 탐지

자세한 내용은 Microsoft 클라우드 보안 벤치마크인 로깅 및 위협 검색을 참조하세요.

LT-1: 위협 탐지 기능 사용하도록 설정

기능

서비스/제품 제공에 대한 Microsoft Defender

설명: 서비스에는 보안 문제를 모니터링하고 경고하는 제품별 Microsoft Defender 솔루션이 있습니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: 컨테이너용 Microsoft Defender는 컨테이너를 보호하는 데 사용되는 클라우드 네이티브 솔루션이므로 클러스터, 컨테이너 및 해당 애플리케이션의 보안을 개선, 모니터링 및 유지 관리할 수 있습니다.

참조: 컨테이너용 Microsoft Defender 사용

클라우드용 Microsoft Defender 모니터링

Azure Policy 기본 제공 정의 - Microsoft.ContainerService:

속성
(Azure Portal)
설명 효과 버전
(GitHub)
Azure Kubernetes Service 클러스터에는 Defender 프로필이 사용하도록 설정되어 있어야 합니다. 컨테이너용 Microsoft Defender는 환경 강화, 워크로드 보호 및 런타임 보호를 비롯한 클라우드 네이티브 Kubernetes 보안 기능을 제공합니다. Azure Kubernetes Service 클러스터에서 SecurityProfile.AzureDefender를 사용하도록 설정하면 에이전트가 보안 이벤트 데이터를 수집할 클러스터에 배포됩니다. https://docs.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction?tabs=defender-for-container-arch-aks에서 컨테이너용 Microsoft Defender에 대해 자세히 알아보세요. 감사, 사용 안 함 2.0.1

LT-4: 보안 조사를 위해 로깅 사용

기능

Azure 리소스 로그

설명: 서비스는 향상된 서비스별 메트릭 및 로깅을 제공할 수 있는 리소스 로그를 생성합니다. 고객은 이러한 리소스 로그를 구성하고 스토리지 계정 또는 로그 분석 작업 영역과 같은 자체 데이터 싱크로 보낼 수 있습니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: 서비스에 대한 리소스 로그를 사용하도록 설정합니다. 예를 들어 Key Vault는 키 자격 증명 모음에서 비밀을 가져오는 작업에 대한 추가 리소스 로그를 지원하며 Azure SQL에는 데이터베이스에 대한 요청을 추적하는 리소스 로그가 있습니다. 이러한 로그의 내용은 Azure 서비스와 리소스 종류에 따라 달라집니다.

참조: 리소스 로그 수집

포스처 및 취약성 관리

자세한 내용은 Microsoft 클라우드 보안 벤치마크인 자세 및 취약성 관리 참조하세요.

PV-3: 컴퓨팅 리소스에 대한 보안 구성 설정

기능

사용자 지정 컨테이너 이미지

Desription: 서비스는 특정 기준 구성이 미리 적용된 마켓플레이스에서 사용자가 제공한 컨테이너 이미지 또는 미리 빌드된 이미지 사용을 지원합니다. 자세한 정보

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: AKS(Azure Kubernetes Service)에서 ACR(Azure Container Registry)을 사용하는 경우 인증 메커니즘을 설정해야 합니다. ACR과 AKS 간에 필요한 권한 구성은 Azure CLI, Azure PowerShell 및 Azure Portal을 사용하여 수행할 수 있습니다. AKS-ACR 통합은 AKS 클러스터의 에이전트 풀과 연결된 Azure AD(Azure Active Directory) 관리 ID에 AcrPull 역할을 할당합니다.

참조: Azure Container Registry와 Azure Kubernetes Service 통합 - Azure Kubernetes Service

PV-5: 취약성 평가 수행

기능

Microsoft Defender를 사용한 취약성 평가

소멸: 서비스는 클라우드용 Microsoft Defender 또는 기타 Microsoft Defender 서비스에 포함된 취약성 평가 기능(서버용 Microsoft Defender, 컨테이너 레지스트리, App Service, SQL 및 DNS 포함)을 사용하여 취약성 검사를 검색할 수 있습니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: 기본적으로 Azure Portal을 통해 계획을 사용하도록 설정할 때 Microsoft Defender for Containers는 기본 작업 영역 할당을 포함하여 계획에서 제공하는 보호를 제공하기 위해 필요한 구성 요소를 자동으로 설치하도록 구성됩니다.

참조: Azure Kubernetes Service에 대한 취약성 관리 - Azure Kubernetes Service

Backup 및 복구

자세한 내용은 Microsoft 클라우드 보안 벤치마크인 백업 및 복구를 참조하세요.

BR-1: 자동화된 정기 백업 보장

기능

Azure Backup

설명: Azure Backup 서비스에서 서비스를 백업할 수 있습니다. 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
거짓 고객

구성 지침: 원하는 빈도 및 원하는 보존 기간으로 Azure Backup을 사용하도록 설정하고 백업 원본(예: Azure Virtual Machines, SQL Server, HANA 데이터베이스 또는 파일 공유)을 구성합니다. Azure Virtual Machines의 경우 Azure Policy를 사용하여 자동 백업을 사용하도록 설정할 수 있습니다.

참조: Azure Backup을 사용하여 Azure Kubernetes Service 백업

서비스 네이티브 백업 기능

설명: 서비스는 자체 네이티브 백업 기능을 지원합니다(Azure Backup을 사용하지 않는 경우). 자세히 알아보기.

지원됨 기본적으로 사용 구성 책임
False 해당 없음 해당 없음

구성 지침: 이 기능은 이 서비스를 보호하기 위해 지원되지 않습니다.

다음 단계