관리 그룹 및 구독 조직Management group and subscription organization

관리 그룹 계층 구조를 보여 주는 다이어그램.

그림 1: 관리 그룹 계층 구조.Figure 1: Management group hierarchy.

관리 그룹 계층 구조를 정의Define a management group hierarchy

Azure Active Directory (Azure AD) 테 넌 트 내의 관리 그룹 구조는 조직 매핑을 지원 하며, 조직에서 대규모 Azure 채택을 계획할 때 철저 하 게 고려해 야 합니다.Management group structures within an Azure Active Directory (Azure AD) tenant support organizational mapping and should be considered thoroughly when an organization plans Azure adoption at scale.

디자인 고려 사항:Design considerations:

  • 관리 그룹은 Azure Policy를 통해 정책 및 이니셔티브 할당을 집계 하는 데 사용할 수 있습니다.Management groups can be used to aggregate policy and initiative assignments via Azure Policy.

  • 관리 그룹 트리는 최대 6 수준의 깊이를 지원할 수 있습니다.A management group tree can support up to six levels of depth. 이 제한에는 테넌트 루트 수준 또는 구독 수준이 포함되지 않습니다.This limit doesn't include the tenant root level or the subscription level.

  • Azure AD 테 넌 트 내의 모든 보안 주체 (사용자, 서비스 주체)는 관리 그룹 작업에 대 한 Azure RBAC (역할 기반 액세스 제어) 권한 부여가 기본적으로 사용 하도록 설정 되어 있지 않으므로 새 관리 그룹을 만들 수 있습니다.Any principal (user, service principal) within an Azure AD tenant can create new management groups since Azure role-based access control (RBAC) authorization for management group operations isn't enabled by default.

  • 기본적으로 모든 새 구독은 루트 관리 그룹 아래에 배치 됩니다.All new subscriptions will be placed under the root management group by default.

디자인 권장 사항:Design recommendations:

  • 관리 그룹 계층 구조는 이론적으로 3 ~ 4 개 이상의 수준으로 유지 해야 합니다.Keep the management group hierarchy reasonably flat with no more than three to four levels, ideally. 이러한 제한으로 인해 관리 오버 헤드와 복잡성이 줄어듭니다.This restriction reduces management overhead and complexity.

  • 조직 구조를 깊게 중첩된 관리 그룹 계층 구조로 복제하지 마세요.Avoid duplicating your organizational structure into a deeply nested management group hierarchy. 관리 그룹은 정책 할당 및 청구 목적으로 사용 해야 합니다.Management groups should be used for policy assignment versus billing purposes. 이 접근 방식은 동일한 관리 그룹 수준에서 동일한 유형의 보안 및 규정 준수를 요구 하는 워크 로드에 대 한 Azure 정책을 제공 하는 엔터프라이즈급 아키텍처의 용도에 대 한 관리 그룹을 사용 하는 데 필요 합니다.This approach necessitates using management groups for their intended purpose in enterprise-scale architecture, which is providing Azure policies for workloads that require the same type of security and compliance under the same management group level.

  • 루트 수준 관리 그룹 아래에 관리 그룹을 만들어 호스트할 워크로드 유형(아키타입)과 보안, 규정 준수, 연결 및 기능 요구 사항에 따른 워크로드 유형을 표현합니다.Create management groups under your root-level management group to represent the types of workloads (archetypes) that you'll host and ones based on their security, compliance, connectivity, and feature needs. 이 그룹화 구조를 사용하면 동일한 보안, 규정 준수, 연결 및 기능 설정이 필요한 모든 워크로드에 대해 관리 그룹 수준에서 적용되는 Azure 정책 집합을 사용할 수 있습니다.This grouping structure allows you to have a set of Azure policies applied at the management group level for all workloads that require the same security, compliance, connectivity, and feature settings.

  • Azure Policy를 통해 적용하거나 추가할 수 있는 리소스 태그를 사용하여 관리 그룹 계층 구조에 대해 쿼리 및 수평 탐색을 수행합니다.Use resource tags, which can be enforced or appended through Azure Policy, to query and horizontally navigate across the management group hierarchy. 그러면 복잡한 관리 그룹 계층 구조를 사용하지 않고도 검색 요구 사항에 따라 리소스를 그룹화할 수 있습니다.Then you can group resources for search needs without having to use a complex management group hierarchy.

  • 사용자가 Azure에서 즉시 실험을 수행할 수 있도록 최상위 샌드박스 관리 그룹을 만듭니다.Create a top-level sandbox management group to allow users to immediately experiment with Azure. 그러면 사용자가 프로덕션 환경에서는 아직 허용되지 않은 리소스를 실험해 볼 수 있습니다.Users can then experiment with resources that might not yet be allowed in production environments. 샌드박스는 개발, 테스트 및 프로덕션 환경에서 격리를 제공합니다.The sandbox provides isolation from your development, test, and production environments. 최상위 샌드박스 관리 그룹에 대 한 추가 지침은 구현 지침을 검토 하세요.For further guidance about the top-level sandbox management group, review the implementation guidelines.

  • 전용 SPN(서비스 사용자 이름)을 사용하여 관리 그룹 관리 작업, 구독 관리 작업 및 역할 할당을 실행합니다.Use a dedicated service principal name (SPN) to execute management group management operations, subscription management operations, and role assignment. SPN을 사용하면 상승된 권한이 있는 사용자 수가 줄어들고 최소 권한 지침을 따를 수 있습니다.Using an SPN reduces the number of users who have elevated rights and follows least-privilege guidelines.

  • 루트 User Access Administrator 관리 그룹 범위 ()에서 Azure 역할을 할당 / 하 여 루트 수준에서 액세스를 앞서 언급 한 SPN을 부여 합니다.Assign the User Access Administrator Azure role at the root management group scope (/) to grant the SPN just mentioned access at the root level. SPN에 사용 권한이 부여 된 후에는 User Access Administrator 역할을 안전 하 게 제거할 수 있습니다.After the SPN is granted permissions, the User Access Administrator role can be safely removed. 이러한 방식으로 SPN은 역할의 일부입니다 User Access Administrator .In this way, only the SPN is part of the User Access Administrator role.

  • Contributor루트 관리 그룹 범위 ()에서 이전에 언급 한 SPN에 대 한 사용 권한을 할당 하 여 / 테 넌 트 수준 작업을 허용 합니다.Assign Contributor permission to the SPN previously mentioned at the root management group scope (/), which allows tenant-level operations. 이 권한 수준에서는 SPN을 사용하여 조직 내의 모든 구독에 리소스를 배포하고 관리할 수 있습니다.This permission level ensures that the SPN can be used to deploy and manage resources to any subscription within your organization.

  • Platform공용 플랫폼 정책 및 Azure 역할 할당을 지원 하기 위해 루트 관리 그룹에 관리 그룹을 만듭니다.Create a Platform management group under the root management group to support common platform policy and Azure role assignment. 이 그룹화 구조를 사용하면 Azure 기초에 사용되는 구독에 다른 정책을 적용할 수 있습니다.This grouping structure ensures that different policies can be applied to the subscriptions used for your Azure foundation. 또한 공통 리소스에 대한 청구는 기초 구독 집합 하나로 중앙 집중화됩니다.It also ensures that the billing for common resources is centralized in one set of foundational subscriptions.

  • 루트 관리 그룹 범위 ()에서 생성 되는 Azure Policy 할당 수를 제한 / 합니다.Limit the number of Azure Policy assignments made at the root management group scope (/). 이렇게 제한하면 하위 수준 관리 그룹에서 상속된 정책의 디버깅이 최소화됩니다.This limitation minimizes debugging inherited policies in lower-level management groups.

  • 엔터프라이즈 규모 방문 영역에 사용할 수 있는 정책을 사용 하 여 관리 그룹 또는 구독 범위에서 규정 준수 요구 사항을 적용할 수 있습니다.Use the policies available for enterprise-scale landing zones to enforce compliance requirements either at management group or subscription scope. 해결할 수 있는 거 버 넌 스 요구 사항에 대 한 자세한 내용은 정책 기반 거 버 넌 스 섹션의 지침을 참조 하세요.Refer to guidance in the policy-driven governance section to learn more about the governance requirements that can be addressed.

  • 권한 있는 사용자만 관리 그룹 계층 구조 설정 에서 Azure RBAC 권한 부여를 사용 하도록 설정 하 여 테 넌 트에서 관리 그룹을 운영할 수 있습니다. 기본적으로 모든 사용자는 루트 관리 그룹에 고유한 관리 그룹을 만들 수 있는 권한이 부여 됩니다.Ensure that only privileged users can operate management groups in the tenant by enabling Azure RBAC authorization in the management group hierarchy settings (by default, all users are authorized to create their own management groups under the root management group).

  • 새 구독에 대 한 기본 전용 관리 그룹을 구성 하 여 루트 관리 그룹에 구독이 배치 되지 않도록 합니다.Configure a default, dedicated management group for new subscriptions to ensure that no subscriptions are placed under the root management group. MSDN 또는 Visual Studio 혜택 및 구독에 적합 한 사용자가 있는 경우에 특히 중요 합니다.This is especially important if there are users eligible for MSDN or Visual Studio benefits and subscriptions. 이 유형의 관리 그룹에 적합 한 후보는 Sandbox 관리 그룹입니다.A good candidate for this type of management group is a Sandbox management group.

구독 조직 및 거버넌스Subscription organization and governance

구독은 Azure에서 관리, 청구 및 크기 조정의 단위입니다.Subscriptions are a unit of management, billing, and scale within Azure. 대규모 Azure 도입을 위해 디자인하는 경우 구독은 중요한 역할을 합니다.They play a critical role when you're designing for large-scale Azure adoption. 이 섹션에서는 중요한 요인에 따라 구독 요구 사항을 포착하고 대상 구독을 디자인하는 방법에 대해 설명합니다.This section helps you capture subscription requirements and design target subscriptions based on critical factors. 이러한 요인은 환경 유형, 소유권 및 거버넌스 모델, 조직 구조, 애플리케이션 포트폴리오입니다.These factors are environment type, ownership and governance model, organizational structure, and application portfolios.

디자인 고려 사항:Design considerations:

  • 구독은 Azure 정책을 할당 하기 위한 경계 역할을 합니다.Subscriptions serve as boundaries for assigning Azure policies. 예를 들어, PCI(결제 카드 산업) 워크로드와 같은 보안 워크로드에는 일반적으로 규정 준수를 위해 추가 정책이 필요합니다.For example, secure workloads such as Payment Card Industry (PCI) workloads typically require additional policies to achieve compliance. PCI 규정 준수를 요구하는 작업을 그룹화하는 데 관리 그룹을 사용하는 대신 구독을 통해 동일한 격리를 달성할 수 있습니다.Instead of using a management group to group workloads that require PCI compliance, you can achieve the same isolation with a subscription. 이러한 방식으로 적은 수의 구독을 포함 하는 관리 그룹이 너무 많지 않습니다.This way, you don't have too many management groups with a small number of subscriptions.

  • 구독은 구성 요소 작업을 플랫폼 구독 제한내에서 확장할 수 있도록 크기 조정 단위로 사용 됩니다.Subscriptions serve as a scale unit so that component workloads can scale within the platform subscription limits. 워크로드 디자인 세션 중에 구독 리소스 제한을 고려해야 합니다.Make sure to consider subscription resource limits during your workload design sessions.

  • 구독은 관리 및 격리를 위한 관리 경계를 제공 하 여 문제를 명확 하 게 구분 합니다.Subscriptions provide a management boundary for governance and isolation, which clearly separates concerns.

  • 기업계약 등록 구독만 사용 하도록 Azure AD 테 넌 트를 제한 하기 위해 수행할 수 있는 수동 프로세스 계획 된 추가 자동화가 있습니다.There's a manual process, planned future automation, that can be conducted to limit an Azure AD tenant to use only Enterprise Agreement enrollment subscriptions. 이 프로세스를 통해 루트 관리 그룹 범위에서 Microsoft Developer Network 구독을 만들 수 없습니다.This process prevents creation of Microsoft Developer Network subscriptions at the root management group scope.

디자인 권장 사항:Design recommendations:

  • 비즈니스 요구 사항과 우선 순위에 따라 democratized 된 관리 단위로 구독을 처리 합니다.Treat subscriptions as a democratized unit of management aligned with business needs and priorities.

  • 구독 소유자가 역할 및 책임을 인식하도록 합니다.Make subscription owners aware of their roles and responsibilities:

    • 고객 조직 내에서 사용자가 이동할 때 권한이 확대되지 않도록 Azure AD Privileged Identity Management에서 분기별로 또는 연 2회 액세스 검토를 수행합니다.Perform an access review in Azure AD Privileged Identity Management quarterly or twice a year to ensure that privileges don't proliferate as users move within the customer organization.
    • 예산 지출 및 리소스 사용률에 대한 완전한 소유권을 가져옵니다.Take full ownership of budget spending and resource utilization.
    • 정책 준수를 확인하고 필요한 경우 재구성합니다.Ensure policy compliance and remediate when necessary.
  • 새 구독에 대한 요구 사항을 식별할 때 다음 원칙을 사용합니다.Use the following principles when identifying requirements for new subscriptions:

    • 크기 제한: 구독은 구성 요소 워크 로드에서 플랫폼 구독 제한 내에서 크기를 조정 하는 확장 단위로 사용 됩니다.Scale limits: Subscriptions serve as a scale unit for component workloads to scale within platform subscription limits. 예를 들어 고성능 컴퓨팅, IoT 및 SAP와 같은 대규모의 전문화된 워크로드는 모두 별도의 구독을 사용하여 제한(예: Azure Data Factory 통합 제한 50)을 방지하는 것이 더 적합합니다.For example, large, specialized workloads such as high-performance computing, IoT, and SAP are all better suited to use separate subscriptions to avoid limits (such as a limit of 50 Azure Data Factory integrations).
    • 관리 경계: 구독은 문제를 명확 하 게 구분할 수 있도록 거 버 넌 스 및 격리를 위한 관리 경계를 제공 합니다.Management boundary: Subscriptions provide a management boundary for governance and isolation, which allows for a clear separation of concerns. 예를 들어 관리 관점에서 개발, 테스트, 프로덕션 등의 환경이 격리되는 경우가 많습니다.For example, different environments such as development, test, and production are often isolated from a management perspective.
    • 정책 경계: 구독은 Azure 정책 할당에 대 한 경계 역할을 합니다.Policy boundary: Subscriptions serve as a boundary for the assignment of Azure policies. 예를 들어 PCI와 같은 보안 워크로드는 일반적으로 규정 준수를 위해 추가 정책이 필요합니다.For example, secure workloads such as PCI typically require additional policies to achieve compliance. 별도의 구독을 사용하는 경우 이 추가 오버헤드를 전체적으로 고려하지 않아도 됩니다.This additional overhead doesn't need to be considered holistically if a separate subscription is used. 마찬가지로, 개발 환경에는 프로덕션 환경에 비해 정책 요구 사항이 완화될 수 있습니다.Similarly, development environments might have more relaxed policy requirements relative to production environments.
    • 대상 네트워크 토폴로지: 가상 네트워크는 구독 간에 공유할 수 없지만 가상 네트워크 피어 링 또는 Azure Express 경로와 같은 다른 기술로 연결할 수 있습니다.Target network topology: Virtual networks can't be shared across subscriptions, but they can connect with different technologies such as virtual network peering or Azure ExpressRoute. 새 구독이 필요한지 여부를 결정할 때 서로 통신해야 하는 워크로드를 고려합니다.Consider which workloads must communicate with each other when you decide whether a new subscription is required.
  • 관리 그룹 아래에 관리 그룹 구조 및 대규모 정책 요구 사항에 따라 구독을 그룹화합니다.Group subscriptions together under management groups aligned within the management group structure and policy requirements at scale. 그룹화를 사용 하면 동일한 정책 집합과 Azure 역할 할당을 사용 하는 구독이 관리 그룹에서 상속 될 수 있으므로 중복 된 할당이 방지 됩니다.Grouping ensures that subscriptions with the same set of policies and Azure role assignments can inherit them from a management group, which avoids duplicate assignments.

  • 관리 그룹에서 전용 관리 구독을 설정 Platform 하 여 Azure Monitor Log Analytics 작업 영역 및 Azure Automation runbook과 같은 글로벌 관리 기능을 지원 합니다.Establish a dedicated management subscription in the Platform management group to support global management capabilities such as Azure Monitor Log Analytics workspaces and Azure Automation runbooks.

  • Platform필요한 경우 관리 그룹에서 Windows Server Active Directory 도메인 컨트롤러를 호스트 하는 전용 id 구독을 설정 합니다.Establish a dedicated identity subscription in the Platform management group to host Windows Server Active Directory domain controllers, when necessary.

  • 관리 그룹의 전용 연결 구독을 설정 Platform 하 여 Azure 가상 WAN 허브, 개인 DNS (Domain Name System), express 경로 회로 및 기타 네트워킹 리소스를 호스팅합니다.Establish a dedicated connectivity subscription in the Platform management group to host an Azure Virtual WAN hub, private Domain Name System (DNS), ExpressRoute circuit, and other networking resources. 전용 구독을 기준으로 모든 기초 네트워크 리소스가 함께 청구되고 다른 워크로드와 격리됩니다.A dedicated subscription ensures that all foundation network resources are billed together and isolated from other workloads.

  • 엄격한 구독 모델을 사용하지 않고 조직 전체에서 구독을 그룹화하는 유연한 기준 집합을 선택합니다.Avoid a rigid subscription model, and opt instead for a set of flexible criteria to group subscriptions across the organization. 이러한 유연성을 통해 조직의 구조 및 워크로드 구성이 변경되면 기존의 고정된 구독 집합을 사용하는 대신 새 구독 그룹을 만들 수 있습니다.This flexibility ensures that as your organization's structure and workload composition changes, you can create new subscription groups instead of using a fixed set of existing subscriptions. 구독에서는 모든 상황에 적합한 기준이란 없습니다.One size doesn't fit all for subscriptions. 한 사업부에는 적합하더라도 다른 사업부에는 그렇지 않을 수 있습니다.What works for one business unit might not work for another. 일부 애플리케이션은 동일한 랜딩 존 구독 내에 공존할 수 있는 반면 다른 애플리케이션은 자체 구독이 필요할 수 있습니다.Some applications might coexist within the same landing zone subscription while others might require their own subscription.

구독 할당량 및 용량 구성Configure subscription quota and capacity

각 Azure 지역은 리소스 수가 한정되어 있습니다.Each Azure region contains a finite number of resources. 대규모 리소스 수량을 포함 하는 엔터프라이즈급 Azure 도입을 고려 하는 경우 충분 한 용량과 Sku를 사용할 수 있고 획득 한 용량을 이해 하 고 모니터링할 수 있는지 확인 합니다.When you consider an enterprise-scale Azure adoption that involves large resource quantities, ensure that sufficient capacity and SKUs are available and that the attained capacity can be understood and monitored.

디자인 고려 사항:Design considerations:

  • 워크로드에 필요한 각 서비스에 대한 Azure 플랫폼 내의 제한 및 할당량을 고려합니다.Consider limits and quotas within the Azure platform for each service that your workloads require.

  • 선택한 Azure 지역 내에서 필요한 Sku의 가용성을 고려 합니다.Consider the availability of required SKUs within chosen Azure regions. 예를 들어 특정 지역에서만 새 기능이 제공될 수 있습니다.For example, new features might be available only in certain regions. VM과 같은 지정된 리소스에 대한 특정 SKU의 가용성은 지역마다 다를 수 있습니다.The availability of certain SKUs for given resources such as VMs might be different from one region to another.

  • 구독 할당량은 용량을 보장 하지 않으며 지역에 따라 적용 됩니다.Consider that subscription quotas aren't capacity guarantees and are applied on a per-region basis.

디자인 권장 사항:Design recommendations:

  • 구독을 배율 단위로 사용 하 고 필요에 따라 리소스 및 구독을 확장 합니다.Use subscriptions as scale units, and scale out resources and subscriptions as required. 그러면 워크로드가 Azure 플랫폼의 구독 제한에 도달하지 않고 필요에 따라 확장하는 데 필요한 리소스를 사용할 수 있습니다.Your workload can then use the required resources for scaling out, when needed, without hitting subscription limits in the Azure platform.

  • 예약 인스턴스를 사용하여 필요한 지역에서 예약된 용량의 우선 순위를 지정합니다.Use reserved instances to prioritize reserved capacity in required regions. 그러면 특정 지역에 해당 리소스의 수요가 많은 경우에도 워크로드에 필요한 용량을 확보하게 됩니다.Then your workload will have the required capacity even when there's a high demand for that resource in a specific region.

  • 사용자 지정 보기가 포함된 대시보드를 설정하여 사용된 용량 수준을 모니터링합니다.Establish a dashboard with custom views to monitor used capacity levels. 용량 사용률이 위험 수준에 도달 하는 경우 경고를 설정 합니다 (예: CPU 사용률 pf 90%).Set up alerts if capacity utilization is reaching critical levels (for example, CPU utilization pf 90 percent).

  • 구독 프로비저닝의 일부로 할당량 증가를 위한 지원 요청을 제출합니다(예: 구독 내에서 사용 가능한 총 VM 코어 수).Raise support requests for quota increase as a part of subscription provisioning (for example, total available VM cores within a subscription). 이 방법을 사용하면 워크로드가 기본 제한을 초과하기 전에 할당량 한도가 설정됩니다.This approach ensures your quota limits are set before your workloads require going over the default limits.

  • 선택한 배포 지역 내에서 필요한 서비스 및 기능을 사용할 수 있는지 확인합니다.Ensure required services and features are available within the chosen deployment regions.

비용 관리 설정Establish cost management

모든 대규모 엔터프라이즈 조직에서 직면하는 중요한 관리 과제는 기술 자산 전반의 비용 투명성입니다.Cost transparency across a technical estate is a critical management challenge faced by every large enterprise organization. 이 섹션에서는 대규모 Azure 환경에서 비용 투명성을 달성할 수 있는 방법과 관련된 주요 측면을 살펴봅니다.This section explores key aspects associated with how cost transparency can be achieved across large Azure environments.

디자인 고려 사항:Design considerations:

  • Azure App Service Environment 및 Azure Kubernetes Service와 같은 PaaS (shared platform as a service) 리소스가 관련 된 비용 정산 모델이 필요할 수 있습니다 .이는 더 높은 밀도를 얻기 위해 공유 해야 할 수도 있습니다.There could be a need for chargeback models where shared platform as a service (PaaS) resources are concerned, such as Azure App Service Environment and Azure Kubernetes Service, which might need to be shared to achieve higher density.

  • 비프로덕션 워크로드에 대한 종료 일정을 사용하여 비용을 최적화합니다.Use a shutdown schedule for nonproduction workloads to optimize costs.

  • Azure Advisor를 사용 하 여 비용을 최적화 하기 위한 권장 사항을 확인할 수 있습니다.Use Azure Advisor to check recommendations for optimizing costs.

디자인 권장 사항:Design recommendations:

  • Azure Cost Management + 청구를 사용 하 여 비용을 집계할 수 있습니다.Use Azure Cost Management + Billing to aggregate costs. 이를 애플리케이션 소유자가 사용할 수 있도록 합니다.Make it available to application owners.

  • Azure 리소스 태그를 사용 하 여 비용 및 그룹 리소스를 분류 합니다.Use Azure resource tags categorize costs and group resources. 태그를 사용하면 구독을 공유하는 워크로드 또는 여러 구독에 걸친 지정된 워크로드에 비용 정산 메커니즘을 적용할 수 있습니다.Using tags allows you to have a chargeback mechanism for workloads that share a subscription or for a given workload that spans across multiple subscriptions.

정책 중심적 거버넌스Policy-driven governance

조직은 엔터프라이즈급 Azure 정책을 사용 하 여 다음 거 버 넌 스 요구 사항을 적용할 수 있습니다.Organizations can use enterprise-scale Azure policies to enforce the following governance requirements:

  • 공용 IP 기반 서비스 방지Prevent Public IP-based services

    대부분의 Azure PaaS (platform as a service) 서비스는 각 서비스에 할당 된 공용 IP 주소를 사용 하 여 생성 됩니다.Most Azure platform-as-a-service (PaaS) services are created with a public IP address assigned to each service. 이 옵션을 사용 하면 이러한 서비스를 신속 하 게 사용 해야 하는 개발자에 게 도움이 됩니다.This option can help developers who need to start using these services quickly.

    공용 끝점은 학습 곡선의 속도를 가속화 하 고 파일럿 및 간단한 개념 증명 (POC) 구현 개발을 지원 하지만 파일럿/POCs를 프로덕션에 사용할 수 있는 엔터프라이즈 응용 프로그램으로 전환할 때 개발자가 공용 IP 주소를 간과 하기도 합니다.Public endpoint accelerates the learning curve and supports developing pilots and small-scale proof-of-concept (POC) implementations, but developers sometimes overlook their public IP addresses when transitioning pilots/POCs to production-ready enterprise applications.

    프로덕션 워크 로드에서 적절 한 보안 조치 없이 공용 Ip를 사용 하는 경우 보안 위험이 늘어날 수 있습니다.Security risks can increase when production workloads use public IPs without proper security measures. 한 가지 위협 유형은 공용 IP를 게이트웨이로 사용 하 여 공격을 시작 하는 행위자입니다.One type of threat is an actor using a public IP as a gateway to launch an attack. 보안 위험을 최소화 하기 위해 많은 엔터프라이즈 규정 준수 정책에서 공용 Ip를 허용 하지 않습니다.To minimize security risks, many enterprise compliance policies don't allow public IPs.

    범위를 대상으로 하는 사용자 지정 정책을 통해 공용 IP 주소가 생성 되지 않도록 합니다.There is a custom policy that targets a scope and prevents a public IP address from being created there. 또한 기업에서는이 정책을 사용 하 여 공용 Ip 없이 Vm (가상 머신)을 만들 수 있습니다.Enterprises can also use this policy to create virtual machines (VMs) without public IPs. 마찬가지로 엔터프라이즈에서 공용 IP 주소를 사용 하 여 Azure 서비스를 만들지 못하도록 하는 데에도 사용 되는 사용자 지정 정책 이니셔티브/정책 집합이 있습니다.Similarly, there's a custom policy initiative/policy set that also helps enterprises to prevent Azure services from being created with public IP addresses.

  • 감사 및 로그 정보 수집Collect audit and log information

    세부적인 수준에서 감사 및 진단 정보가 부족 하면 운영 관행에 영향을 줄 수 있습니다.A lack of auditing and diagnostics information at a granular level can affect operational practices. 불완전 한 감사 정보를 사용 하면 여러 Azure 서비스의 로그를 상호 연결 하 고 긴밀 한 디버깅을 만들 수 있습니다.Incomplete audit information makes it difficult to correlate logs from multiple Azure services and create cohesive debugging.

    Azure 서비스가 프로 비전 되 면 Azure 플랫폼과 상호 작용 하는 방법에 대 한 자세한 정보를 제공 해야 합니다.Once Azure services are provisioned, they should provide detailed information about how they interact with the Azure platform. 이 정보를 광범위 하 게 로그 및 메트릭으로 나눌 수 있으며 각 Azure 서비스를 해당 하위 구성 요소 (예: DDoSProtectionNotifications , DDoSMitigationReports 및를 DDoSMitigationFlowLogs 해당 하위 구성 요소로 사용 하는 azure 공용 IP 리소스)로 그룹화 할 수 있습니다.This information can be broadly divided into logs and metrics, and each Azure service can be further grouped into its subcomponents (for example, an Azure public IP resource with DDoSProtectionNotifications, DDoSMitigationReports, and DDoSMitigationFlowLogs as its subcomponents). 이러한 하위 범주에서 진단 정보를 수집 하면 조직이 감사 및 디버깅을 향상 시킬 수도 있습니다.Collecting diagnostic information at these subcategories can also help organizations to enhance auditing and debugging.

    사용자 지정 Azure 정책 이니셔티브를 통해 기업은 각 Azure 서비스에 대해 더 깊은 수준으로 로그 및 메트릭을 수집할 수 있습니다.A custom Azure policy initiative is available to help enterprises gather logs and metrics at a deeper level for each Azure service. 이 이니셔티브에는 모든 Azure 서비스에 대 한 정책이 포함 되며, 정책은 키 로그 범주 및 메트릭을 자동으로 수집 합니다.This initiative includes a policy for every Azure service, and the policies collect key log categories and metrics automatically.

  • SQL Database에 대 한 포괄적인 보안 제공Provide comprehensive security for SQL Databases

    SQL Database는 대부분의 Azure 배포에서 일반적인 Azure 서비스입니다.SQL Databases are a common Azure service in most Azure deployments. 불행 하 게도 기업 외부에서 악의적인 활동을 대상으로 합니다.Unfortunately, they're also target for malicious activity in and outside of an enterprise. SQL 데이터베이스용 사용자 지정 Azure 정책 이니셔티브를 사용 하면 조직에서 다음과 같은 주요 거 버 넌 스 사례를 적용할 수 있습니다.A custom Azure policy initiative for SQL databases helps organizations to apply the following key governance practices:

    • 미사용 SQL 데이터 암호화Encrypt SQL data at rest

      SQL 데이터베이스와 해당 백업은 악의적인 행위자에 게 취약 합니다.SQL databases and their backups are vulnerable to malicious actors. 데이터베이스 파일이 나 백업에서 SQL 데이터베이스를 복원 하는 것은 간단 하기 때문에 악의적인 행위자는 적절 한 방어 시스템이 없는 경우이 데이터에 대 한 액세스 권한을 얻을 수 있습니다.Since it's simple to restore SQL databases from database files or backups, malicious actors can gain access to this data if a proper defense system isn't in place.

      SQL database 방어 전략을 구축 하는 첫 번째 단계 중 하나는 미사용 데이터를 암호화 하는 것입니다.One of the first steps of building an SQL database defense strategy is ensuring that an SQL database is encrypted at rest. TDE (투명 한 데이터 암호화)는 응용 프로그램 코드를 변경 하지 않고 미사용 데이터베이스 데이터를 암호화 하 고 손상 된 경우에도 데이터 액세스를 시도 하는 악의적인 행위자에 게 장애물을 제공 합니다. Azure SQL DatabaseAzure SQL Database transparent data encryption (TDE) encrypts database data at rest without changing an application's code and presents obstacles for malicious actors trying access the data, even if it's compromised. 엔터프라이즈 내에서 SQL database 배포가 증가 하는 경우 TDE를 사용 하 여 만드는 것이 중요 합니다.As SQL database deployments increase within an enterprise, it's important to create them with TDE. SQL database에 대 한 TDE를 확인 하는 사용자 지정 정책이 있습니다.There's a custom policy to ensure TDE for SQL databases.

    • 의심 스러운 활동에 대 한 경고 최적화Optimize alerts for suspicious activity

      중요 한 행위자는 업무상 중요 한 SQL 데이터베이스에 액세스 하 고이를 악용할 목적을 목표로 합니다.Bad actors aim to access and exploit business-critical SQL databases. 기업에서 이러한 시도를 승인 하지 않으면 이러한 인시던트를 감지 하 고 해결 하지 못하는 위험이 늘어납니다.When enterprises don't acknowledge these attempts, their risk of not detecting and resolving these incidents increases. 최악의 시나리오에서 엔터프라이즈는 SQL 데이터베이스가 손상 되었는지 여부를 모를 수 있습니다.In a worst-case scenario, an enterprise might not know if its SQL database has been compromised.

      SQL Database 기업은 의심 스러운 Microsoft SQL Server 활동을 보고 하는 보안 경고를 설정할 수 있습니다.SQL Database lets enterprises set up security alerts that report suspicious Microsoft SQL Server activity. 이러한 경고는 미리 구성 된 전자 메일 주소 및 선택적으로 Azure 구독 관리자 및 소유자에 게 도달 합니다.These alerts reach a preconfigured email addresses and optionally, Azure subscription admins and owners. SQL 삽입 공격, 무차별 암호 대입 공격 등 악의적인 작업을 노출할 수 있습니다.They can expose malicious activities like SQL injection attacks, brute-force attacks, and more.

      사용자 지정 Azure 정책은 SQL database에 대 한 보안 경고를 사용 하도록 설정 하는 데 사용할 수 있습니다.A custom Azure policy is available to enable security alerts on SQL databases. 보안 경고는 Azure Portal에 표시 되는 모든 인시던트에 대 한 자세한 정보를 제공 하며, 경고가 트리거될 때의 전자 메일에 표시 됩니다.Security alerts provide detailed information about every incident, which are visible in the Azure portal or emails from when alerts are triggered.

    • 작업의 감사 내역 검사Examine an audit trail of operations

      업무상 중요 한 SQL 데이터베이스는 데이터 조작, 제어 및 정의 언어의 범위를 사용 하 여 매일 작업할 수 있습니다.A business-critical SQL database can operate daily with a range of data manipulation, control, and definition language commands. 이러한 운영 활동을 명확 하 게 제어 하 고 정보를 파악 하지 않고도 합법적인 작업 및 의심 스러운 작업을 구분 하는 것이 어려울 수 있습니다.Without clear controls and insights into these operational activities, it can be challenging to distinguish between legitimate and suspicious operations.

      SQL 감사를 사용 하면 기업에서 모든 데이터베이스 활동에 대 한 중요 한 정보를 수집할 수 있으며, SQL 감사를 통해 엔터프라이즈는 데이터베이스 이벤트의 감사 내역을 만들고 분석할 수 있습니다.Enabling SQL auditing can help enterprises to gather important information about all database activities, and SQL auditing helps enterprises to create and analyze an audit trail of database events. 이는 많은 업계/지역 규정 준수 요구 사항의 일부 이기도 합니다.This is also part of many industry/regional regulatory compliance requirements.

      기업은 사용자 지정 Azure 정책을 사용 하 여 SQL database 감사를 적용할 수 있습니다.Enterprises can use a custom Azure policy to enforce SQL database auditing. 이 정책은 소유권, 역할 멤버 자격 또는 스키마 변경과 같은 주요 데이터베이스 이벤트를 감사 하 고 보고 합니다. 성공/실패 한 로그인 이상.This policy audits and reports on key database events like ownership, role membership, or schema changes; successful/failed logins; and more. 기업은이 정책의 감사 내역을 사용 하 여 데이터베이스 작업에 대 한 통찰력을 얻고 업계 또는 지역 규정 요구 사항을 준수할 수 있습니다.Enterprises can use this policy's audit trail to gain insights about database operations and comply with industry or regional regulatory requirements.

  • 검증 된 모범 사례 평가Evaluate proven best practices

    SQL database는 수명 주기 동안 많은 스키마, 권한 및 구성 변경을 경험할 수 있으며 이러한 변경 내용은 모범 사례에서 벗어날 수 있습니다.An SQL database can experience a lot of of schema, permission, and configuration changes throughout its life cycle, and these changes can deviate from best practices. 그리고 악의적인 행위자가 과도 한 권한, 분리 된 역할 및 기타 구성 상태가을 악용할 수 있습니다.In turn, excessive permissions, orphaned roles, and other configurational drifts can be exploited by malicious actors.

    SQL database에 대 한 Microsoft 모범 사례를 통해 기업은 SQL 데이터베이스를 평가 하는 데 도움이 되 고 SQL Database에는 기본 제공 되는 취약성 평가 서비스가 있습니다.Microsoft best practices for SQL databases can help enterprises to assess their SQL databases, and SQL Database has a built-in vulnerability assessment service to assist. 취약성 평가는 데이터베이스 및 서버 수준 보안 위험을 검사 하 고 식별 하며 취약점을 해결할 수 있는 수정 작업을 제공 합니다.A vulnerability assessment scans and identifies database- and server-level security risks, and it offers remediation tasks that can fix vulnerabilities.

    사용자 지정 Azure 정책은 SQL 데이터베이스가 취약성 평가를 통해 구성 되도록 합니다.A custom Azure policy ensures that SQL databases are configured with vulnerability assessments. 평가 검색은 주기적으로 실행 되 고 보고서는 Azure Storage 계정에 저장 되며 미리 정의 된 전자 메일 주소는 보고 결과를 공유 합니다.Assessment scans run periodically, reports are stored in an Azure Storage account, and an predefined email address shares the results for reporting.

  • 의도적으로 또는 실수로 삭제 되지 않도록 비밀 보호Protect secrets from being deleted intentionally or accidentally

    Azure Key Vault 키, 인증서, 암호 등의 기밀 정보를 저장 합니다.Azure Key Vault stores confidential information like keys, certificates, passwords, and more. 악의적인 사용자가 저장 한 암호를 삭제 하 여 서비스를 악용할 수 있으며, 표준 사용자는 내에 저장 된 중요 한를 실수로 삭제할 수 있습니다.A malicious user can abuse the service by deleting the secrets that it stores, and a standard user could accidentally delete the sensitive stored within. 적절 한 프로 비전을 사용 하지 않을 경우 Azure Key Vault 악의적으로 또는 실수로 삭제 하면 비즈니스를 손상 시킬 수 있습니다.Without proper provisions, malicious or accidental deletion in Azure Key Vault could harm the business.

    Azure Key Vault의 일시 삭제 기능을 통해 엔터프라이즈를 의도적인 또는 실수로 삭제 하지 않도록 보호할 수 있습니다.The soft-delete feature in Azure Key Vault can protect enterprises against intentional or accidental deletion. 일시 삭제 를 사용 하는 경우 삭제 된 키는 미리 정의 된 기간 동안 보존 됩니다.With soft-delete enabled, deleted keys are retained for a predefined time period. 삭제 작업을 수행 하는 경우에는 일반적으로 더 많은 액세스 권한을 가진 사용자가 다른 제거 될 때까지 키 콘텐츠를 삭제할 수 있습니다.If the delete operation was intended, then key content can be deleted until an another purge, typically by a user with more access privileges. 삭제 작업이 우연히 인 경우에는 정의 된 시간 내에 삭제 된 키를 복원할 수 있습니다.If the delete operation was an accident, then the deleted keys can be restored within the time defined.

    Azure는 Azure Key Vault에서 일시 삭제 를 기본적으로 사용 하도록 설정 하는 사용자 지정 정책을 제공 합니다.Azure offers a a custom policy to ensure that soft-delete is enabled by default with Azure Key Vault. 이 정책은 Azure Key Vault 콘텐츠가 악의적으로 삭제 되는 경우 추가 보안 계층을 제공 하 고, 콘텐츠를 실수로 삭제 하는 경우 엔터프라이즈에서 더 많은 제어를 얻습니다.This policy provides an extra security layer if Azure Key Vault content is deleted maliciously, and enterprises gain more control if content is deleted accidentally.

  • Azure 애플리케이션 Gateway 웹 응용 프로그램 방화벽 적용Enforce Azure Application Gateway Web Application Firewall

    Azure에서 실행 되는 웹 응용 프로그램은 악의적인 공격의 대상이 될 수 있습니다.Web applications running on Azure are potential targets for malicious attacks. 주입, 사이트 간 스크립팅, 기타 등의 상위 10 개 웹 응용 프로그램 보안 위험 으로 인해 웹 응용 프로그램 취약성이 악용 되며 공격이 성공 하면 리소스와 명성를 조직에 비용을 들 수 있습니다.The top 10 web application security risks like injection, cross-site scripting, and others exploit web application vulnerabilities, and a successful attack can cost an organization its resources and reputation.

    Azure 애플리케이션 게이트웨이 WAF (웹 응용 프로그램 방화벽)는 개방 된 웹 응용 프로그램 보안 프로젝트, OWASP, 핵심 규칙 집합 3.1, 3.0 또는 2.2을 사용 하 여 일반적인 공격 으로부터 웹 응용 프로그램을 보호 합니다.Azure Application Gateway Web Application Firewall (WAF) uses the Open Web Application Security Project, OWASP, Core Rule Set 3.1, 3.0, or 2.2 to protect web applications from common attacks. Application Gateway의 WAF 정책은 방지 또는 검색 모드에 액세스할 수 있습니다.WAF policies in Application Gateway can be accessed Prevention or Detection mode.

    Azure는 Application Gateway에서 잘못 된 구성을 방지 하는 데 도움이 되는 사용자 지정 정책을 제공 합니다. 기본적으로 Application Gateway에 대 한 WAF를 만듭니다.Azure offers a custom policy to help prevent potential misconfiguration in Application Gateway; it creates a WAF for Application Gateway by default. WAF는 Application Gateway을 사용 하 여 Azure 웹 응용 프로그램을 보호 합니다.The WAF protects Azure web applications using Application Gateway.

  • Vm에서 IP 전달 방지Prevent IP forwarding on VMs

    IP 전달은 트래픽을 다른 대상으로 라우팅하는 Azure VM을 지원 합니다.IP forwarding supports an Azure VM to route its traffic to other destinations. 특별히 요구 하지 않는 한이 라우팅은 VM 및 공용 IP 주소를 라우터로 사용 하는 기타 의도 하지 않은 네트워크를 표시할 수 있습니다.Unless specifically required, this routing can expose a VM and other unintended networks with a public IP address as a router.

    Azure는 방화벽, 부하 분산 장치 등의 도구를 사용 하 여 Vm (가상 머신)에서 IP 전달을 구성 하는 옵션과 Azure Marketplace를 통해 배포 되는 다른 옵션을 제공 합니다.Azure provides an option to configure IP forwarding on virtual machines (VMs) with tools like firewalls, load balancers, and others deployed via Azure Marketplace. 이러한 서비스를 사용할 수 있는 모든 응용 프로그램은 Azure Marketplace 트랜잭션에서 사용할 수 있습니다.Any application can use these services can use them in Azure Marketplace transactions.

    특정 요구 사항 외에도 Vm의 IP 전달은 보안상의 책임도 있습니다.Outside of specific needs, IP forwarding on VMs can be a security liability. Azure는 IP 전달 라우터 역할을 하는 Vm을 방지 하는 사용자 지정 정책을 제공 하며,이 정책은 방문 영역 범위에서 적용 됩니다.Azure offers a custom policy to prevent VMs acting as IP forwarding routers, and this policy is applied at the landing zone scope. 방문 영역에서 Vm에 포커스를 지정 하는 것은 사용자 요청에 대 한 최종 대상 이어야 합니다. 모든 라우팅은 연결 구독에서 구현 되어야 합니다.Focusing on VMs in landing zones should be the final destination for user requests; any routing should be implemented in the connectivity subscription.

  • 중앙 집중식 DNS 레코드 관리 적용Enforce centralized DNS record management

    개인 Azure DNS 영역은 Azure 리소스에 대 한 DNS 레코드를 만들고 관리 하는 데 도움이 됩니다.Private Azure DNS zones help to create and manage DNS records for Azure resources. 이러한 영역을 수가 증가 하는 방법에 대 한 컨트롤이 없으면 관리 및 네트워크 연결 디버깅 문제가 발생할 수 있습니다.Without controls for how these zones proliferate, management and network connectivity debugging issues can result. 온-프레미스 사이트에서 Azure 리소스에 연결 해야 하는 하이브리드 환경에서는 조각화 된 DNS 영역에서 중복 DNS 레코드 및 유지 관리 문제를 만들 수 있습니다.In hybrid environments where on-premise sites need to connect to Azure resources, fragmented DNS zones can create duplicate DNS records and maintenance challenges.

    기업은 개인 Azure DNS 영역을 중앙에서 배포 하 여 DNS 레코드를 명확 하 게 관리할 수 있습니다.Enterprises can deploy private Azure DNS zones centrally to manage DNS records clearly. Azure Virtual Network는 개인 영역과 연결 하 여 온-프레미스 사이트에서의 연결을 간소화할 수 있는 도메인 컨트롤러를 실행 하는 데 도움이 됩니다.Azure Virtual Network can link with private zones to help run domain controllers, which can streamline connectivity from on-premise sites. Azure 개인 링크/끝점을 지 원하는 azure 서비스는 각 응용 프로그램을 배포 하는 동안 중앙에서 관리 되는 사설 DNS 영역을 만들지 않고도 사용할 수 있습니다.Azure services that support Azure Private Link/End Point can use centrally managed private DNS zones without creating them during each application deployment.

    Azure는 적용 되는 범위에서 개인 DNS 영역 생성을 방해할 수 있는 사용자 지정 정책을 제공 합니다.Azure offers a custom policy that can prevent the creation of a private DNS zone in the scope during which its applied. 엔터프라이즈는 정책 적용이 사용 되지 않는 경우에도이 정책의 준수 상태를 볼 수 있습니다.Enterprises can view this policy's compliance status even when the policy enforcement is disabled. 이 정책은 온-프레미스 사이트와 개인 링크/끝점을 사용 하 여 Azure PaaS 서비스에 대 한 액세스를 간소화 하는 데 도움이 됩니다.This policy helps to streamline connectivity between on-premise sites and access to Azure PaaS services using Private Link/End Point.

  • 네트워크 트래픽 제어 적용Enforce network traffic control

    Azure Virtual Network는 여러 서브넷으로 나눌 수 있습니다.An Azure Virtual Network can be divided into multiple subnets. 이러한 서브넷 간의 네트워크 액세스 제어는 기본적으로 존재 하지 않기 때문에 서브넷에 원치 않는 네트워크 트래픽이 발생할 수 있습니다.Since network access controls between these subnets don't exist by default, this can result in unsolicited network traffic in a subnet.

    Azure NSGs (네트워크 보안 그룹)는 들어오고 나가는 서브넷 트래픽을 필터링 하는 데 도움이 되며, 상태 저장 패킷 검사는 네트워크 트래픽을 허용 하거나 거부할 수 있습니다.Azure network security groups (NSGs) helps to filter incoming and outgoing subnet traffic, and stateful packet inspections can allow or deny network traffic. 서브넷 내의 리소스는 허용 되는 IP 주소 범위의 트래픽만 수신할 수 있습니다.Resources inside subnets can only receive traffic from allowed IP address range(s).

    Azure는 모든 서브넷을 NSG와 쌍으로 지정 하는 사용자 지정 정책을 제공 합니다.Azure offers a custom policy that pairs every subnet with an NSG. 서브넷과 NSG의 조합을 사용 하 여 기본 규칙 집합이 서브넷 간의 트래픽을 제어 합니다.A combination of subnet and an NSG ensures that a default set of rules controls traffic to and from a subnet. 기업에서는 요구 사항에 따라 더 많은 트래픽을 제어 하는 규칙을 추가 하거나 수정할 수도 있습니다.Depending on their needs, enterprises can also add or modify rules to control traffic further.

  • Azure Security Center를 사용 하 여 보안 위협을 감지 하 고 보호 합니다.Use Azure Security Center to detect and protect against security threats

    Azure 구독은 Vm, 컨테이너 이미지 등의 다양 한 리소스를 보유할 수 있으며, 이러한 리소스는 맬웨어/사용자 동의 없이 설치 된 소프트웨어 설치, VM의 관리 포트에 대 한 제어 되지 않는 액세스 등의 위험에 노출 됩니다.An Azure subscription can hold a range of resources like VMs, container images, an more, and these resources are exposed to risks like malware/unwanted software installation, uncontrolled access to management ports on a VM, and others. 보안 공격이 점점 정교 해지고 숙련 된 보안 전문가의 제한 된 공급으로 인해 보안 취약성을 감지 하 고 워크 로드를 보호 하는 것은 매우 어렵습니다.With security attacks becoming more sophisticated and a limited-supply of experienced security professionals, detecting security vulnerabilities and protecting workloads is extremely challenging.

    Azure Security Center는 보안 모범 사례에 대해 Azure 리소스의 보안 상태를 평가 하는 Azure native security management system입니다.Azure Security Center is the Azure native security management system that assesses Azure resources' security posture against security best practices. 데이터 및 응용 프로그램 서비스에 대 한 위협을 감지 하 고 방지 하는 데 도움이 되며 여러 통합 지점과 함께 신속 하 게 배포할 수 있습니다.It helps to detect and prevent threats against data and application services, and with multiple integration points, it can be deployed quickly.

    Azure는 Azure 구독을 Security Center와 쌍으로 하는 사용자 지정 정책을 제공 하 여 구독을 통해 Security Center 위협 검색 및 보호를 신속 하 게 시작할 수 있도록 지원 합니다.Azure offers a custom policy that pairs Azure subscription(s) with Security Center, helping subscription(s) to quickly start receiving Security Center threat detection and protection. 이 정책은 Vm, storage 계정 및 Security Center와 같은 주요 Azure 서비스를 자동으로 다룹니다.This policy automatically covers key Azure services like VMs, storage accounts, and seven others with Security Center. 보안 모범 사례에서의 편차가 발생 하는 경우 기업은 지속적인 보안 평가 및 조치 가능한 권장 사항을 활용 합니다.If deviation from security best practice occurs, enterprises benefit from continuous security assessments and actionable recommendations.

  • 랜 섬 웨어 공격 및 데이터 손실 로부터 보호Protect against ransomware attacks and data loss

    랜 섬 웨어 및 침입 공격에 대 한 또 다른 문제는 기업에 게 있습니다.The increasing frequency of ransomware and intrusion attacks present another concern for enterprises. 손상 된 랜 섬 웨어 공격은 비즈니스에 중요 한 프로세스 및 응용 프로그램을 방해할 수 있으며 공격자가 많은 양의 비용을 hostage 기업에 보유 하 고 있습니다.A successful ransomware attack can disrupt business-critical processes and applications, and attackers have held enterprises hostage for large amounts of money.

    Azure Backup는 Azure 가상 머신 데이터가 악의적으로 또는 실수로 제거 되지 않도록 보호 합니다.Azure Backup protects Azure Virtual Machine data from being destroyed maliciously or accidentally. 백업은 쉽게 구성 하 고 확장할 수 있으며, Azure 복구 자격 증명 모음은 간단한 관리 및 보호를 위해 데이터를 백업 합니다.Backups are easy to configure and scale, and Azure Recovery Vault backs up the data for simple management and protection.

    Azure는 Azure Backup를 사용 하 여 구성 하 여 Virtual Machines를 보호 하는 사용자 지정 정책을 제공 합니다.Azure offers a custom policy that protects Virtual Machines by configuring them with Azure Backup. 이 정책은 Azure Recovery Services 자격 증명 모음을 자동으로 프로 비전 하 고 생성 된 모든 Azure VM에 대 한 백업 컨테이너를 만듭니다.This policy automatically provisions an Azure Recovery Services vault and creates backup container for every Azure VM created.

  • 분산 된 서비스 거부 공격 으로부터 보호Protect against distributed denial of service attacks

    공개적으로 연결할 수 있는 Azure 리소스는 DDoS (배포 된 서비스 거부) 공격에 취약 합니다.Publicly reachable Azure resources are vulnerable to distributed denial-of-service (DDoS) attacks. 이러한 공격은 의도 된 사용자에 게 응용 프로그램의 가용성에 영향을 줄 수 있으며, 장기간의 공격으로 인해 사용 가능한 모든 리소스가 고갈 되 고 비즈니스에 중요 한 응용 프로그램의 가동 중지 시간이 발생할 수 있습니다.These attacks can affect an application's availability to its intended users, and prolonged attacks can exhaust all available resources and create downtime for business-critical application(s).

    방어는 들어오는 트래픽을 지속적으로 모니터링 하 여 잠재적인 위협을 식별 함으로써 DDoS 공격 으로부터 Azure 리소스를 보호 합니다. Azure DDoS ProtectionAzure DDoS Protection defends Azure resources against DDoS attacks by continuously monitoring incoming traffic to identify potential threats. 활성 공격 중에는 기업이 Microsoft DDoS 신속한 대응 팀과 함께 작업 하는 이점을 누릴 수 있습니다.During an active attack, enterprises can benefit from working with the Microsoft DDoS Rapid Response team.

    Azure는 모든 Azure 구독에서 해당 범위의 Azure DDoS Standard 요금제를 자동으로 프로 비전 하는 사용자 지정 정책을 제공 합니다.Azure offers a custom policy that automatically provisions an Azure DDoS Standard plan on all Azure subscriptions in its scope. 이 정책을 통해 기업은 서비스가 적용 될 Azure 지역을 선택할 수 있습니다.This policy allows enterprises to select the Azure regions that will be covered by the service.

  • 개인 DNS 영역을 사용 하 여 개인 링크/엔드포인트 자동 프로 비전Auto-provision Private Link/Endpoint with private DNS zones

    하나의 엔터프라이즈 유지 관리 챌린지는 Azure PaaS 서비스에 대 한 액세스가 필요한 모든 응용 프로그램에 대해 개인 DNS 영역을 만드는 방법입니다.One enterprise maintenance challenge is how to create private DNS zones for every application that needs access to Azure PaaS services. Azure 개인 링크 및 개인 끝점은 개인 IP 주소를 사용 하 여 Azure PaaS (platform as a service) 서비스에 대 한 액세스를 제공 하 고, 사설 DNS 영역은 DNS 레코드를 확인 합니다. 사설 DNS 영역 그룹은 blob, queue, table, SQL 등과 같은 Azure 서비스의 분류를 사용 하 여 개인 링크 연결을 그룹화 하 고 서비스 당 하나의 개인 DNS 영역을 사용 합니다.Azure Private Link and Private Endpoint use private IP addresses to provide access to Azure platform-as-a-service (PaaS) services, and private DNS zones resolve DNS records.Private DNS zone groups use categorizes from Azure services like blob, queue, table, SQL, etc. to group Private Link connections and use one private DNS zone per service.

    또한 기업은 중앙 개인 DNS 영역을 만들 수 있으며 사용자 지정 Azure 정책은 개인 링크/끝점을 Azure 서비스의 개인 DNS 영역에 자동으로 연결할 수 있습니다.Enterprises can also create central private DNS zones, and custom Azure policies can automatically connect Private Link/Endpoint with private DNS zones for Azure services.

  • 중앙에서 방화벽 규칙 관리Manage firewall rules centrally

    조각화 된 방화벽 규칙은 제어 되지 않거나 모호한 네트워크 트래픽 경로를 유발할 수 있습니다.Fragmented firewall rules can lead to uncontrolled and ambiguous network traffic paths. 모든 방화벽 인스턴스에 대해 방화벽 규칙을 지속적으로 변경 하면 네트워크 보안 상태를 평가 하기가 어렵기 때문에 여러 규칙을 사용 하면 중앙에서 관리 되는 기본 규칙 집합과 워크 로드 별 네트워크 경로 규칙을 구분 하기가 어렵습니다.Continuous changes to firewalls rules for every firewall instance make it difficult to assess network security posture, and multiple rules make it difficult to distinguish between a centrally managed basic set of rules and workload-specific network path rules.

    조직 전체에 적용 되는 규칙의 최소 집합을 조직에서 정의할 수 있도록 하는 Azure 방화벽 정책.Azure Firewall policies to help organizations define a minimum set of rules that apply throughout their organization. 응용 프로그램 특정 정책은 기본 규칙을 상속 하 여 엔터프라이즈 및 응용 프로그램별 방화벽 요구 사항을 충족 하는 계층 규칙을 만들 수 있습니다.Application-specific policies can inherit basic rules to create hierarchical rules that meet enterprise- and application-specific firewall requirements. 규칙은 정책을 통해 구성 될 때 중앙에서 관리 하 고 모니터링할 수 있습니다.When rules are configured through policies, they can be managed and monitored centrally.

    Azure는 기업에서 Azure 방화벽 정책을 중앙에서 정의 하는 데 도움이 되는 사용자 지정 정책을 제공 합니다.Azure offers a custom policy that helps enterprises to define Azure Firewall policies centrally. 기업은 네트워크 트래픽 라우팅 요구 사항을 충족 하는 규칙과 우선 순위를 정의 합니다.Enterprises control defining the rules and priorities that to meet their network traffic routing requirements. 기업에서는 요구 사항에 따라 방화벽 정책을 중앙에서 정의 하 고 Azure Virtual WAN 또는 허브 및 스포크 네트워크 토폴로지에 적용할 수 있습니다.Depending on their needs, enterprises can define firewall policies centrally and apply them to either Azure Virtual WAN or hub-and-spoke network topology.

  • 허브 및 스포크 네트워크 토폴로지 프로 비전Provision hub-and-spoke network topology

    Azure에 배포 하기 시작 하는 워크 로드는 방화벽, VPN gateway 등의 공통 서비스 집합을 사용 하기 시작 합니다.As more workloads start to get deployed in Azure, they begin using a common set of services such as firewalls, VPN gateways, and others. 신중 하 게 계획 하지 않은 경우 일반 서비스는 응용 프로그램 배포 별로 복제 하 여 불필요 한 비용 및 운영 오버 헤드를 만들 수 있습니다.If not carefully planned, common services can replicate per application deployment, creating unnecessary costs and operational overhead. Azure에서 온-프레미스 연결이 필요 하 고 응용 프로그램 배포 별로 연결이 설정 된 시나리오에서 네트워크 토폴로지를 유지 관리 하기가 더 어려워집니다.In scenarios where on-premises connectivity is needed from Azure and connectivity is established per application deployment, network topology becomes more difficult to maintain.

    Azure 허브 및 스포크 네트워크 토폴로지는 네트워크 연결에 대 한 요구를 간소화 하는 데 도움이 됩니다.Azure hub-and-spoke network topology helps to streamline needs for network connectivity. 허브 VNet (가상 네트워크)은 스포크 Vnet에서 응용 프로그램별 Azure 리소스를 호스트 하는 동안 공유 서비스를 호스트할 수 있습니다.A hub virtual network (VNet) can host shared services while spoke VNets host application-specific Azure resources. 허브 및 스포크 Vnet는 VNet 피어 링을 사용 하 여 서로 연결 하 고 네트워크 토폴로지는 깨끗 한 네트워크 디자인, 보다 쉬운 관리 및 최적화 된 비용을 승격 합니다.Hub-and-spoke VNets use VNet peering to connected with each other, and the network topology promotes clean network design, easier management, and optimized costs.

    Azure는 Vpn 및 Express 경로에서 허브 Vnet을 프로 비전 하는 데 Azure 방화벽과 게이트웨이를 사용 하는 사용자 지정 정책을 제공 합니다.Azure offers a custom policy that uses Azure Firewall and gateways from VPNs and ExpressRoute to provisions hub VNets. 기업은 정책 할당의 일부로 방화벽 및 게이트웨이에 대 한 모든 옵션을 구성할 수 있습니다.Enterprises can configure all options for firewalls and gateways as part of the policy assignment. 이 정책은 Azure 허브 및 스포크 네트워크 토폴로지를 배포 하는 프로세스를 간소화 합니다.This policy simplifies the process to deploy Azure hub-and-spoke network topology.

    또 다른 사용자 지정 Azure 정책을 사용 하는 경우 두 Vnet는 서로 피어 링에서 허브 VNet을 통해 서로 통신 하는 것을 방지 합니다.Another custom Azure policy prevents two VNets from peering with each other to instead communicate with each other via a hub VNet. 허브를 통해 서로 통신 하도록 Vnet을 구성 하면 네트워크 연결을 제어 하 고 모니터링할 수 있습니다.Configuring VNets to communicate with each other through with hubs makes it possible to control and monitor network connections. 네트워크 토폴로지는 유지 관리 측면 에서도 간단해 집니다.Network topology is simplified from a maintenance perspective as well.

  • Azure Monitor에 대 한 기본 구성 프로 비전Provision default configurations for Azure Monitor

    Azure 플랫폼, 서비스 및 응용 프로그램 간의 관계를 식별 하 고 시각화할 수 없게 되 면 중단 또는 검색 되지 않고 성능이 저하 될 수 있습니다.The inability to identify and visualize the relationship between the Azure platform, its service(s), and application(s) can lead to an outage or undetected and degraded performance. 작업 또는 지원 팀은 특정 조건을 수정 하는 기회를 놓칠 수 있으며, Azure 응용 프로그램은 수요에 대응 하거나 수요에 slump에 대응할 수 있도록 확장 되지 않을 수 있습니다.Operations or support teams could miss opportunity to correct specific conditions, and an Azure application might not scale itself to respond to a surge or slump in the demand.

    Azure Monitor 로그 및 Log Analytics 작업 영역에서는 경고를 사용 하 여 기업에서 중요 한 조건을 이해 하 고 해결할 수 있도록 합니다.Azure Monitor Logs and Log Analytics workspaces use alerts to help enterprises understand and resolve critical conditions. 대시보드, 통합 문서 및 Microsoft Power BI를 사용 하 여 엔터프라이즈에서 강력한 로그 정보 집합을 시각화 하 고 상호 작용 하도록 지원 합니다.They use dashboards, workbooks, and Microsoft Power BI to support enterprises to visualize and interact with a robust set of log information. 기업은 Azure Monitor 로그와 Log Analytics 작업 영역을 함께 사용 하 여 VM 자동 크기 조정을 구성 하 고 추가 인스턴스를 자동으로 추가 하거나 제거할 수 있습니다.Enterprises can use Azure Monitor Logs and Log Analytics workspaces together to configure VM autoscaling and automatically add or remove extra instances.

    Azure는 Log Analytics 작업 영역을 사용 하 여 Azure Monitor 로그를 구성 하는 사용자 지정 정책을 제공 합니다.Azure offers a custom policy to configure Azure Monitor Logs with Log Analytics workspaces. 이 정책은 Azure SQL Database 또는 Azure AD와 같은 특정 Azure 서비스에 대 한 Azure Monitor 솔루션에서 미리 패키지 된 대시보드 보고서를 배포 합니다.This policy deploys prepackaged dashboard reports from Azure Monitor solutions for specific Azure services like Azure SQL Database or Azure AD. 또한 Azure Monitor를 사용 하 여 Linux 또는 Windows VM 성능 메트릭에 대 한 데이터 원본을 구성 합니다.It also configures data sources from Linux or Windows VM performance metrics with Azure Monitor.

  • 로그 저장소 및 쿼리 사용Enable log storage and queries

    신중 하 게 계획 하지 않은 경우 로그 캡처, 저장 및 관리로 리소스, 시간 및 비용을 소비할 수 있으므로 여러 Azure 원본의 로그 정보를 관리 하기 어려울 수 있습니다.If not carefully planned, log information from multiple Azure sources can become unmanageable, as capturing, storing, and managing logs can consume resources, time, and costs. 장기간에 걸쳐 추세 또는 패턴을 식별 하 고 많은 양의 로그를 파악 하는 것도 어려울 수 있습니다.Identifying trends or patterns over a long period of time and a large amount of logs can also become challenging. Log Analytics 쿼리는 경고 및 대화형 보고서를 사용 하 여 기업이 여러 원본의 로그를 효율적으로 저장 하 고 관리할 수 있도록 지원 합니다.Log Analytics queries use alerts and interactive reports to help enterprises to efficiently store and manage logs from multiple sources.

    Azure는 데이터 로그를 저장 하는 리포지토리로 사용할 Log Analytics 작업 영역을 만드는 사용자 지정 정책을 제공 합니다.Azure offers a custom policy that creates a Log Analytics workspace to serve as a repository that stores data logs. Azure Automation 계정이 만들어지고 Log Analytics 작업 영역에 연결 하 여 작업을 자동화 하거나 이러한 작업 영역에 따라 달라 지는 Azure Monitor 솔루션을 배포할 수 있습니다.An Azure Automation account is created, and it links to a Log Analytics workspace to automate tasks or deploy Azure Monitor solutions that could depend on those workspaces. 또한이 정책은 로그 보존 기간, Azure 지역 및 기타 속성을 구성 하는 데 도움이 됩니다.The policy also helps to configure log retention periods, Azure regions, and other properties.

  • Azure Arc 사용 서버에 대 한 로깅 프로 비전Provision logging for Azure-Arc-enabled servers

    기업에서는 여러 클라우드, 온-프레미스 사이트 및에 지 위치에 걸친 IT 자산을 사용 하 여 환경 및 지리적 위치에 분산 된 서버를 관리 하 고 제어할 수 있습니다.With IT estates spanning across multiple clouds, on-premises sites, and edge locations, enterprises could struggle to manage and govern servers that are scattered across environments and geographic locations. 제품 범위를 사용 하 여 이러한 서버를 모니터링 하는 것은 매우 어려울 수 있으며, 하나의 통합 된 액세스 및 id 관리 솔루션으로 여러 환경에 서버를 할당 하는 것은 설정 하 고 관리 하기 어려울 수 있습니다.The idea of using a range of products to monitor these servers could be overwhelming, and assigning servers to multiple environments under one unified access and identity management solution can be challenging to set up and manage.

    Azure Arc는 서버, kubernetes 클러스터 및 데이터 서비스와 같은 리소스를 이기종에서 관리 하 고 관리 하는 방법을 간소화 합니다.Azure Arc simplifies how resources like servers, kubernetes clusters, and data services are governed and managed across heterogeneous. Azure Arc는 하이브리드 리소스를 네이티브 Azure 리소스로 프로젝션 함으로써 기본 및 하이브리드 리소스를 관리 하는 단일 제어 창을 제공 하 여 통합 된 역할 기반 액세스 제어 솔루션에서 네이티브 및 하이브리드 리소스를 제공 합니다.By projecting hybrid resources as native Azure resources, Azure Arc provides a single control pane for managing native and hybrid resources, bringing native and hybrid resources under a unified role-based-access-control solution.

    Azure는 기업에서 Azure Arc 사용 가능 Linux 및 Windows 서버에 Log Analytics 에이전트를 설정 하는 데 사용할 수 있는 두 가지 사용자 지정 정책을 제공 합니다.Azure offers two custom policies that can help enterprises to set up Log Analytics agents on Azure-Arc-enabled Linux and Windows servers. 로그를 저장 및 관리 하도록 Log Analytics 작업 영역도 구성 됩니다.A Log Analytics workspace is also configured to store and manage logs. 성공적으로 할당 되 면 정책에서 해당 범위 내의 서버 이름을 식별 하 고 Log Analytics 에이전트에 할당 합니다.When assigned successfully, the policy identifies the name of server(s) within its scope and assigns it to a Log Analytics agent.

  • 네트워크 트래픽 로그 수집 적용Enforce collecting network traffic logs

    Virtual Network 및 서브넷이 논리적 개인 네트워크 경계를 제공 하는 경우에도 여전히 Azure에서 네트워크 트래픽을 모니터링 해야 합니다.Even though Virtual Network and subnets provide logical private network boundaries, it's still necessary to monitor network traffic in Azure. 적절 한 모니터링을 사용 하지 않으면 엔터프라이즈 네트워크가 손상 된 IP 주소에서 악의적 이거나 알 수 없는 트래픽에 취약 합니다.Without proper monitoring, enterprise networks are vulnerable to malicious or unknown traffic from compromised IP addresses. 현재 트래픽을 이해 하지 못하면 네트워크 트래픽 증가로 추가 용량을 프로 비전 하는 것이 어려울 수 있습니다.Without an understanding of the current traffic, it can be challenging to provision extra capacity for increasing in network traffic.

    Azure Network Watcher를 통해 기업은 Azure의 IaaS (infrastructure as a service) 서비스에 대 한 네트워크 문제를 모니터링 하 고 복구할 수 있습니다.Azure Network Watcher helps enterprises to monitor and repair network issue for infrastructure-as-a-service (IaaS) services in Azure. 이 서비스를 사용 하 여 NSG 흐름 로그는 네트워크 트래픽에 대 한 정보를 캡처하는 방법을 제공 합니다.With this service, NSG flow logs provides a way to capture information about network traffic. 기업은 트래픽 분석과 패턴을 활용 하 고, 향후 용량 요구 사항을 예측 하 고, 기업 거 버 넌 스 정책을 준수 하도록 적용할 수 있습니다.Enterprises can benefit from traffic analysis and patterns, forecast future capacity needs, and enforce compliance with corporate governance policies.

    Azure는 Network Watcher의 NSG 흐름 로그를 설정 하기 위한 사용자 지정 정책을 제공 합니다. 여기서 저장소 계정은 NSG 흐름 로그를 저장 하기 위한 리포지토리로 프로 비전 됩니다.Azure offers a custom policy for setting up NSG flow logs in Network Watcher; here, a Storage account is provisioned as repository to store NSG flow logs. 또한이 정책은 NSG 흐름 로그를 저장 하는 보존 기간을 구성 합니다.This policy also configuring the retention period to store the NSG flow logs.

  • 규모에 맞게 네트워크 연결 솔루션 프로 비전Provision an at-scale network connectivity solution

    엔터프라이즈 네트워크 연결 요구 사항은 복잡할 수 있습니다.Enterprise network connectivity requirements can be complex. 새 사이트, 장치 및 사용자를 지속적으로 확장 하는 네트워크에 추가 하는 일정 요청은 프로 비전 및 관리 하기 어려울 수 있으며, 기업에서 여러 접점의 네트워크 대역폭과 처리량 요구가 까다로운 경우가 있습니다.Constant requests for adding new sites, devices, and users to an ever-expanding network are challenging to provision and manage, and network bandwidth and throughput demands from multiple touchpoints in an enterprise can be demanding.

    Azure 가상 WAN은 조직에서 연결 문제를 해결 하는 데 도움이 되는 엔터프라이즈 수준의 네트워크 서비스입니다.Azure Virtual WAN is an enterprise-level network service that helps organizations to resolve connectivity challenges. 이 서비스는 네트워크 연결을 사용 하 여 더 높은 집계 처리량을 제공 하 고, Azure 백본을 통한 최적의 라우팅을 제공 하 고, 통합 Azure 관리 환경을 제공 합니다.The service provides higher aggregate throughput with network connectivity, optimal routing over the Azure backbone, and a unified Azure management experience.

    Azure는 가상 WAN을 설정 하 고 서비스 내에서 가상 허브를 프로 비전 하는 사용자 지정 정책을 제공 합니다.Azure offers a custom policy to set up Virtual WAN and provision a virtual hub within the service. 기업은 여러 원본 및 대상의 연결에 대 한 중심점 역할을 하는 가상 허브를 배포할 수 있습니다.Enterprises can deploy virtual hubs to act as a central point for connections from multiple sources and destinations. 또한 Express 경로, VPN 게이트웨이 및 Azure 방화벽은 네트워크 연결 요구 사항을 해결 하기 위해 프로 비전 됩니다.ExpressRoute, VPN gateways, and Azure Firewall are also provisioned to address network connectivity requirements.

  • 가상 머신 설정Back up virtual machines

    클라우드 도입이 늘어남에 따라 엔터프라이즈는 Azure 워크 로드가 백업 되도록 합니다.As cloud adoption increases, enterprise face ensuring that Azure workloads are backed up. 앱 개발과 IT 운영이 별도 팀에서 관리 되는 기존 IT 지원 모델에서는 VM 백업의 소유권이 명확 하지 않을 수 있습니다.In conventional IT support models where app development and IT operations are managed by separate teams, the ownership of VM backups can become unclear. 누락 된 백업 프로세스는 작업을 복원 하기 위해 VM 백업이 필요한 의도 하거나 의도 하지 않은 시나리오에서 비용이 많이 들 수 있습니다.Missing backup process can also create costly consequences during intended or unintended scenarios that need VM backups for restoring workloads.

    Azure Backup는 Azure 또는 온-프레미스 사이트에서 실행 되는 Vm을 백업 하기 위한 원활 하 고 간단 하며 통합 된 옵션을 제공 합니다.Azure Backup provides a seamless, simple, and integrated option for backing up VMs running in Azure or on-premise sites. Azure Backup는 클라우드 규모 저장소를 사용 하 고 지속적으로 확보 하 고 백업에 대 한 저장소를 관리 하는 엔터프라이즈를 해제 합니다.Azure Backup uses cloud-scale storage and frees enterprises from constantly procuring and managing storage for backups. Azure Backup은 휴지 상태의 데이터를 안전 하 게 저장 하는 리포지토리를 제공 합니다.Azure Backup provides a repository to store at-rest and transitional data securely.

    Azure는 Windows 및 Linux Vm에 대 한 Azure backup 보호를 자동으로 구성 하는 사용자 지정 정책을 제공 합니다.Azure offers a custom policy that automatically configures Azure backup protection for Windows and Linux VMs. Azure Recovery Services 자격 증명 모음은 백업을 저장 하 고 안전 하 게 데이터를 저장 하 고 일시 삭제 를 사용 하 여 백업이 악의적으로 삭제 되지 않도록 보호 하도록 구성 됩니다.An Azure Recovery Services vault is configured for storing backups, securely storing data and using soft-delete to protect backups from being deleted maliciously. 기본 백업 정책이 생성 되 고 백업 일정, 보존 기간 등에 대해 미리 구성 된 값으로 할당 됩니다.A default backup policy is created and assigned with preconfigured values for backup schedules, retention periods, and more.

  • Vnet 간 연결 프로 비전Provision connectivity between VNets

    기업은 여러 구독 또는 Vnet에서 작업을 분산 하는 것이 일반적입니다.It is common for enterprises to scatter workloads across multiple subscriptions or VNets. 그리고 중요 한 비즈니스 응용 프로그램은 전용 및 보안 네트워크 연결 없이 데이터를 교환할 수 있습니다.In turn, critical business applications can struggle with exchanging data without dedicated and secure network connectivity. 인터넷 기반 네트워크 연결은 일관 되지 않은 네트워크 대역폭과 성능을 제공할 수 있으며, 잠재적으로 높은 네트워크 대기 시간이 사용자 환경에 부정적인 영향을 미칠 수 있습니다.An internet-based network connection will can offer inconsistent network bandwidth and performance, and potentially high network latency can negatively impact the user experience.

    Virtual Network 피어 링은 Microsoft 백본 네트워크를 통해 두 개의 Vnet를 연결 합니다.Virtual Network peering provides connects two VNets over the Microsoft backbone network. Azure 피어 링은 별도의 Azure 구독, 테 넌 트 또는 Azure 지역 간의 데이터를 안전 하 게 교환할 수 있는 고대역폭이 고 대기 시간이 짧은 네트워크 연결을 지원 합니다.Azure peering supports high-bandwidth, low-latency network connectivity where data between separate Azure subscriptions, tenants, or Azure regions can be exchanged securely.

    Azure는 Virtual Network 피어 링을 설정 하기 위한 템플릿을 제공 하는 사용자 지정 정책을 제공 합니다.Azure offers a custom policy provides with a template for setting up Virtual Network peering. Azure Resource Manager 템플릿 정의의 네트워크 레이아웃을 매개 변수로 전달할 수 있습니다.A network layout in an Azure Resource Manager template definition can be passed as a parameter. 이 정책은 Vnet를 실행 하 고, 둘 간의 VNet 피어 링을 구성 하 고, NSGs, 사용자 정의 라우팅 등의 종속성을 구성 합니다.This policy will spin up VNets and configure VNet peering between them, plus dependencies like NSGs, user-define routing, and others.

  • Windows Vm이 Azure AD 도메인에 가입 하도록 강제 적용Enforce Windows VMs to join Azure AD domains

    기업은 일관 된 관리 환경을 위해 도메인에 가입 된 Vm을 사용 하 고 있습니다.Enterprises have been using domain joined VMs for a consistent management experience. 회사 암호 정책, 중앙 인증 및 기타 작업이 도메인 정책의 일부로 생성 되 면 도메인에 가입 되지 않은 VM은 취약 한 암호와 같은 위험에 노출 되며 회사 장치, 응용 프로그램 및 기타 제한 사항에 연결할 수 없습니다.When operations like corporate password policies, central authentication, and others are created as part of domain policies, a VM that doesn't join the domain is exposed to risks like weak passwords and an inability to connect with corporate devices, applications, and other limitations. 도메인에 가입 되지 않은 Vm에 배포 하는 경우 Microsoft 새 기술 LAN 관리자 또는 Kerberos와 같은 인증 프로토콜에 의존 하는 레거시 응용 프로그램은 인증 문제를 발생 시킬 수 있습니다.When deployed on VMs that aren't joined to the domain, legacy applications relying on authentication protocols like Microsoft New technology LAN Manager or Kerberos could face authentication issues.

    Azure는 도메인 서비스를 구현 하기 위한 관리 되지 않는 솔루션을 제공 합니다.Azure provides managed and unmanaged solutions for implementing domain services. 자체 관리 되는 Azure AD DS 서비스를 통해 기업은 온-프레미스 환경에서와 동일한 설정, 구성 및 작업을 완전히 제어할 수 있습니다.With self-managed Azure AD DS services, enterprises gain the same complete control of setups, configurations, and operations as with on-premises environment. 서비스는 필수적인 도메인 서비스를 제공 하는 동시에 관리 오버 헤드의 엔터프라이즈를 해제 합니다.The service frees enterprises of management overhead while providing essential domain services.

    Azure는 새 Windows Vm에서 도메인에 자동으로 가입 하는 데 도움이 되는 사용자 지정 정책을 제공 합니다.Azure offers a custom policy that helps new Windows VMs to automatically join domains. VM에 배포 된 ' JsonADDomainExtension ' 확장은 사용자 이름, 도메인, OUPath 등의 구성 설정을 사용 하 여 VM이 지정 된 도메인에 가입 하는지 확인 합니다.The 'JsonADDomainExtension' extension deployed on the VM uses configuration settings like the username, domain, OUPath, and more to ensure that the VM joins the specified domain. 이 정책은 Azure KeyVault를 사용 하 여 기밀 도메인 사용자 이름 및 암호 정보를 관리 합니다.This policy uses Azure KeyVault to manage confidential domain username and password information.