Azure Policy에서 보안 정책 및 이니셔티브 만들기, 할당, 해석

  • 7분

Azure 환경을 보호하려면 다음 두 가지 필수 도구를 접하게 됩니다. Azure 보안 정책Azure 보안 이니셔티브. 둘 다 규정 준수를 유지 관리하는 중요한 역할을 하지만 서로 다른 용도로 사용됩니다. 해당 기능과 사용 사례를 분석해 보겠습니다.

Azure 보안 정책:

  • 정의: Azure Policy는 리소스가 특정 규칙을 준수하도록 보장하는 부지런한 보호자와 같습니다. 이를 통해 Azure 환경 전반에 걸쳐 정책을 정의하고 적용할 수 있습니다.

  • 구성 요소:

    • 정책 정의: 제어할 조건(예: 허용되는 리소스 종류, 필수 태그)을 지정합니다.
    • 정책 할당: 정책이 적용되는 위치(개별 리소스, 리소스 그룹, 관리 그룹)를 결정합니다.
    • 정책 매개 변수: 정책 동작(예: Virtual Machine Stock Keeping Units, location)을 사용자 지정합니다.

  • 사용 사례:

    • 특정 규칙을 일관되게 적용합니다.
    • 균일한 태그 지정을 보장합니다.
    • 리소스 유형을 제어합니다.

Azure 보안 이니셔티브:

  • 정의: Azure 이니셔티브를 정책 번들로 생각합니다. 특정 목적을 위해 관련 Azure Policy 정의를 함께 그룹화합니다.

  • 구성 요소:

    • 정의(정책): 단일 항목에 번들로 제공되는 정책 컬렉션입니다.
    • 할당: 이니셔티브는 범위(예: 구독, 리소스 그룹)에 적용됩니다.
    • 매개 변수: 이니셔티브 동작을 사용자 지정합니다.

  • 사용 사례:

    • 보다 광범위한 규정 준수 목표(예: 결제 카드 산업 데이터 보안 표준, HIPAA(Health Insurance Portability and Accountability Act))를 달성합니다.
    • 관련 정책을 통합적으로 관리합니다.

각 항목을 사용해야 하는 경우:

  • Azure Policy:

    • 특정 규칙에 적용이 필요한 경우 개별 정책에 사용합니다.
    • 때로는 단일 정책으로 충분합니다.

  • Azure Initiatives:

    • 관리를 간소화하기 때문에 단일 정책에 대해서도 권장됩니다.
    • 이니셔티브를 사용하면 여러 정책을 응집력 있는 단위로 관리할 수 있습니다.
    • 예: PCI-DSS 규정 준수를 위해 20개의 별도 정책을 처리하는 대신 모두 동시에 평가하는 이니셔티브를 사용합니다.

Azure 보안 정책은 세부적인 제어에 중점을 두는 반면 Azure 보안 이니셔티브는 통합된 방식을 제공합니다. 조직의 요구 사항 및 규정 준수 복잡성에 따라 현명하게 선택합니다. 둘 다 Azure 보안 도구 상자의 필수 도구입니다.

규정 준수를 적용하는 정책 만들기 및 관리

회사 표준 및 서비스 수준 계약의 준수를 유지하는 데 있어 Azure에서 정책을 만들고 관리하는 방법을 이해하는 것이 중요합니다. 이 예에서는 Azure Policy를 사용하여 조직 전체에서 정책을 생성, 할당 및 관리하는 것과 관련된 보다 일반적인 작업 중 일부를 수행하는 방법에 대해 알아봅니다.

  • 나중에 만들 리소스에 대한 조건을 적용하는 정책 할당
  • 여러 리소스에 대한 규정 준수를 추적하기 위한 이니셔티브 정의 만들기 및 할당
  • 규정 비준수 또는 거부된 리소스 해결
  • 조직 전체에서 새 정책 구현

필수 조건

Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.

정책 할당

Azure Policy 준수를 적용하기 위한 첫 번째 단계는 정책 정의를 할당하는 것입니다. 정책 정의는 정책이 적용되는 조건과 효과를 정의합니다. 이 예제에서는 누락된 경우 리소스 그룹에서 태그 상속이라는 기본 제공 정책 정의를 할당하여 상위 리소스 그룹에서 해당 값이 있는 지정된 태그를 태그가 누락된 새로운 또는 업데이트된 리소스에 추가합니다.

  1. Azure Portal로 이동하여 정책을 할당합니다. 정책을 검색하고 선택합니다.

Azure Portal에서 탐색하여 정책을 할당하는 방법을 보여 주는 스크린샷.

  1. Azure Policy 페이지의 왼쪽에서 할당을 선택합니다. 할당은 특정 범위 내에서 수행하도록 할당된 정책입니다.

정책 페이지에서 할당을 구성하는 방법을 보여 주는 스크린샷.

  1. 정책 - 할당 창의 위쪽에서 정책 할당을 선택합니다.

작성 할당 페이지에서 정책을 할당하는 방법을 보여 주는 스크린샷.

  1. 정책 할당 페이지와 기본 사항 탭에서 줄임표를 선택하고 관리 그룹 또는 구독을 선택하여 범위를 선택합니다. 필요한 경우 리소스 그룹을 선택합니다. 범위는 정책 할당이 적용되는 리소스 또는 리소스 그룹을 결정합니다. 그 후 범위 페이지의 맨 위에서 선택을 클릭합니다. 이 예제에서는 Contoso 구독을 사용합니다. 자신의 구독은 다를 수 있습니다.
  2. 범위를 기준으로 리소스를 제외할 수 있습니다. 제외범위 수준보다 한 수준 아래에서 시작됩니다. 제외는 선택 사항이므로 일단은 비워둡니다.
  3. 정책 정의 줄임표를 선택하여 사용 가능한 정의 목록을 엽니다. 정책 정의 유형을 기본 제공으로 필터링하여 모든 정의를 표시하고 해당 설명을 확인할 수 있습니다.
  4. 누락된 경우 리소스 그룹에서 태그 상속을 선택합니다. 즉시 찾을 수 없는 경우 검색 상자에 태그 상속을 입력한 다음, ENTER를 누르거나 검색 상자 바깥쪽을 선택합니다. 정책 정의를 찾아서 선택했으면 AvailableDefinitions 페이지의 맨 아래에서 선택을 선택합니다.

사용 가능한 Azure Policy 정의 형식을 보는 방법을 보여 주는 스크린샷.

  1. 할당 이름에는 선택한 정책 이름이 자동으로 입력됩니다. 하지만 이 이름은 변경할 수 있습니다. 이 예제에서는 누락된 경우 리소스 그룹에서 태그 상속을 그대로 둡니다. 선택적인 설명을 추가할 수도 있습니다. 설명은 이 정책 할당에 대한 세부 정보를 제공합니다.
  2. 정책 적용사용으로 둡니다. 사용 안 함으로 할 경우 이 설정은 효과를 트리거하지 않고 정책의 결과를 테스트할 수 있습니다. 자세한 내용은 적용 모드를 참조하세요.
  3. 할당한 사람은 로그인한 사용자를 기준으로 자동으로 입력됩니다. 이 필드는 선택 사항이므로 사용자 지정 값을 입력할 수 있습니다.
  4. 마법사 맨 위에 있는 매개 변수 탭을 선택합니다.
  5. 태그 이름환경을 입력합니다.
  6. 마법사 맨 위에 있는 수정 탭을 선택합니다.
  7. 수정 작업 만들기를 선택하지 않은 상태로 둡니다. 이 상자에서는 새 리소스 또는 업데이트된 리소스 외에도 기존 리소스를 변경하는 작업을 만들 수 있습니다.
  8. 관리 ID 만들기는 이 정책 정의가 수정 효과를 사용하기 때문에 자동으로 선택됩니다. 권한은 정책 정의에 따라 자동으로 기여자로 설정됩니다. 자세한 내용은 관리 ID 및 수정 액세스 제어의 작동 방식을 참조하세요.
  9. 마법사 맨 위에 있는 비규격 메시지 탭을 선택합니다.
  10. 비규격 메시지이 리소스는 필수 태그가 없음으로 설정합니다. 이 사용자 지정 메시지는 리소스가 거부되거나 정기 평가 중에 비규격 리소스에 대해 표시됩니다.
  11. 마법사 맨 위에 있는 검토 + 만들기 탭을 선택합니다.
  12. 선택 내용을 검토한 다음, 페이지 아래쪽에서 만들기를 선택합니다.