엔터프라이즈 규모 보안, 거버넌스 및 규정 준수Enterprise-scale security, governance, and compliance

이 문서에서는 암호화 및 키 관리를 정의 하 고, 거 버 넌 스를 계획 하 고, 보안 모니터링과 감사 정책을 정의 하 고, 플랫폼 보안을 계획 하는 방법을 설명 합니다.This article covers defining encryption and key management, planning for governance, defining security monitoring and an audit policy, and planning for platform security. 이 문서의 끝부분에서 프레임 워크를 설명 하는 테이블을 참조 하 여 Azure 서비스의 엔터프라이즈 보안 준비 상태를 평가할 수 있습니다.At the end of the article, you can refer to a table that describes a framework to assess enterprise security readiness of Azure services.

암호화 및 키 관리 정의Define encryption and key management

암호화는 Microsoft Azure의 데이터 개인 정보 보호, 규정 준수 및 데이터 상주을 보장 하기 위한 중요 한 단계입니다.Encryption is a vital step toward ensuring data privacy, compliance, and data residency in Microsoft Azure. 많은 기업에서 가장 중요한 보안 문제 중 하나이기도 합니다.It's also one of the most important security concerns of many enterprises. 이 섹션에서는 암호화 및 키 관리와 관련 된 디자인 고려 사항 및 권장 사항에 대해 설명 합니다.This section covers design considerations and recommendations as they pertain to encryption and key management.

디자인 고려 사항:Design considerations:

  • Azure Key Vault에 적용 되는 구독 및 크기 제한: Key Vault에는 키와 비밀에 대 한 트랜잭션 제한이 있습니다.Subscription and scale limits as they apply to Azure Key Vault: Key Vault has transaction limits for keys and secrets. 특정 기간에 자격 증명 모음 당 트랜잭션을 제한 하려면 Azure 제한을 참조 하세요.To throttle transactions per vault in a certain period, see Azure limits.

  • 키, 암호 및 인증서에 대 한 액세스 권한이 자격 증명 모음 수준에 있기 때문에 Key Vault는 보안 경계를 사용 합니다.Key Vault serves a security boundary because access permissions for keys, secrets, and certificates are at the vault level. 액세스 정책 할당 Key Vault 키, 암호 또는 인증서에 대 한 권한을 별도로 부여 합니다.Key Vault access policy assignments grant permissions separately to keys, secrets, or certificates. 특정 키, 비밀 또는 인증서 키 관리와 같은 세부적인 개체 수준 사용 권한은 지원 하지 않습니다.They don't support granular, object-level permissions like a specific key, secret, or certificate key management.

  • 응용 프로그램별 및 워크 로드 관련 비밀 및 공유 암호를 적절 한 제어 액세스로 격리할 수 있습니다.You can isolate application-specific and workload-specific secrets and shared secrets, as appropriate control access.

  • 하드웨어 보안 모듈 보호 된 키가 필요한 프리미엄 Sku를 최적화할 수 있습니다.You can optimize Premium SKUs where hardware-security-module-protected keys are required. 기본 Hsm (하드웨어 보안 모듈)은 FIPS 140-2 수준 2 규격입니다.Underlying hardware security modules (HSMs) are FIPS 140-2 Level 2 compliant. 지원 되는 시나리오를 고려 하 여 FIPS 140-2 수준 3 준수에 대 한 Azure 전용 HSM을 관리 합니다.Manage Azure dedicated HSM for FIPS 140-2 Level 3 compliance by considering the supported scenarios.

  • 키 회전 및 비밀 만료.Key rotation and secret expiration.

    • 인증서 에 대 한Key Vault를 사용 하 여 인증서 조달 및 서명Certificate procurement and signing by using Key Vault about certificates.
    • 경고/알림 및 자동화 된 인증서 갱신.Alerting/notifications and automated certificate renewals.
  • 키, 인증서 및 암호에 대 한 재해 복구 요구 사항Disaster recovery requirements for keys, certificates, and secrets.

    Key Vault 서비스 복제 및 장애 조치 (failover) 기능: 가용성 및 중복성.Key Vault service replication and failover capabilities: availability and redundancy.

  • 키, 인증서 및 비밀 사용 모니터링Monitoring key, certificate, and secret usage.

    키 자격 증명 모음 또는 Azure Monitor Log Analytics 작업 영역을 사용 하 여 무단 액세스 검색: 모니터링 및 경고Detecting unauthorized access by using a key vault or Azure Monitor Log Analytics workspace: monitoring and alerting.

  • 위임 된 Key Vault 인스턴스화 및 권한 있는 액세스: 보안 액세스.Delegated Key Vault instantiation and privileged access: secure access.

  • Azure Storage 암호화와 같은 기본 암호화 메커니즘에 고객 관리 키를 사용 하기 위한 요구 사항:Requirements for using customer-managed keys for native encryption mechanisms such as Azure Storage encryption:

    • 고객 관리 키.Customer-managed keys.
    • Vm (가상 컴퓨터)에 대 한 전체 디스크 암호화Whole-disk encryption for virtual machines (VMs).
    • 전송 중 데이터 암호화.Data-in-transit encryption.
    • 휴지 상태의 데이터 암호화Data-at-rest encryption.

디자인 권장 사항:Design recommendations:

  • 페더레이션된 Azure Key Vault 모델을 사용 하 여 트랜잭션 규모 제한을 방지 합니다.Use a federated Azure Key Vault model to avoid transaction scale limits.

  • 삭제 된 개체에 대 한 보존 보호를 허용 하도록 설정 된 일시 삭제 및 제거 정책을 사용 하 여 Azure Key Vault를 프로 비전 합니다.Provision Azure Key Vault with the soft delete and purge policies enabled to allow retention protection for deleted objects.

  • 권한 부여를 제한 하 여 특수 한 사용자 지정 Azure Active Directory (Azure AD) 역할에 키, 암호 및 인증서를 영구적으로 삭제 하는 방법으로 최소 권한 모델을 따릅니다.Follow a least privilege model by limiting authorization to permanently delete keys, secrets, and certificates to specialized custom Azure Active Directory (Azure AD) roles.

  • 관리를 용이 하 게 하기 위해 공개 인증 기관에서 인증서 관리 및 갱신 프로세스를 자동화 합니다.Automate the certificate management and renewal process with public certificate authorities to ease administration.

  • 키 및 인증서 회전을 위한 자동화 된 프로세스를 설정 합니다.Establish an automated process for key and certificate rotation.

  • 키 자격 증명 모음에 대 한 액세스를 제어 하려면 자격 증명 모음에서 방화벽 및 가상 네트워크 서비스 끝점을 사용 하도록 설정 합니다.Enable firewall and virtual network service endpoint on the vault to control access to the key vault.

  • 플랫폼 중심 Azure Monitor Log Analytics 작업 영역을 사용 하 여 Key Vault의 각 인스턴스 내에서 키, 인증서 및 암호 사용을 감사 합니다.Use the platform-central Azure Monitor Log Analytics workspace to audit key, certificate, and secret usage within each instance of Key Vault.

  • Key Vault 인스턴스화 및 권한 있는 액세스를 위임 하 고 Azure Policy를 사용 하 여 일관 된 호환 구성을 적용 합니다.Delegate Key Vault instantiation and privileged access and use Azure Policy to enforce a consistent compliant configuration.

  • 보안 주체 암호화 기능을 위해 Microsoft에서 관리 하는 키를 기본값으로 사용 하 고 필요할 때 고객 관리 키를 사용 합니다.Default to Microsoft-managed keys for principal encryption functionality and use customer-managed keys when required.

  • 응용 프로그램 키 또는 비밀에 대해 중앙 집중식 Key Vault 인스턴스를 사용 하지 마세요.Don't use centralized instances of Key Vault for application keys or secrets.

  • 환경 간의 비밀 공유를 방지 하려면 응용 프로그램 간에 Key Vault 인스턴스를 공유 하지 마세요.Don't share Key Vault instances between applications to avoid secret sharing across environments.

거버넌스 계획Plan for governance

거버넌스는 Azure에서 애플리케이션 및 리소스에 대한 제어를 유지 관리하는 프로세스와 메커니즘을 제공합니다.Governance provides mechanisms and processes to maintain control over your applications and resources in Azure. Azure Policy는 엔터프라이즈 기술 자산 내에서 보안 및 규정 준수를 보장 하는 데 필수적입니다.Azure Policy is essential to ensuring security and compliance within enterprise technical estates. Azure 플랫폼 서비스 전체에서 중요 한 관리 및 보안 규칙을 적용 하 고, 권한 있는 사용자가 수행할 수 있는 작업을 제어 하는 azure RBAC (역할 기반 액세스 제어)를 보완할 수 있습니다.It can enforce vital management and security conventions across Azure platform services and supplement Azure role-based access control (Azure RBAC) that controls what actions authorized users can perform.

디자인 고려 사항:Design considerations:

  • 필요한 Azure 정책을 결정 합니다.Determine what Azure policies are needed.

  • 개인 끝점 사용과 같은 관리 및 보안 규칙을 적용 합니다.Enforce management and security conventions, such as the use of private endpoints.

  • 정책 정의를 사용 하 여 정책 할당 관리 및 만들기는 상속 된 여러 할당 범위에서 다시 사용할 수 있습니다.Manage and create policy assignments by using policy definitions can be reused at multiple inherited assignment scopes. 관리 그룹, 구독 및 리소스 그룹 범위에서 중앙 집중식 기준 정책 할당을 사용할 수 있습니다.You can have centralized, baseline policy assignments at management group, subscription, and resource group scopes.

  • 준수 보고 및 감사를 사용 하 여 지속적인 준수를 보장 합니다.Ensure continuous compliance with compliance reporting and auditing.

  • 특정 범위에서 정의 제한 ( 정책 제한)과 같은 제한이 Azure Policy 있음을 이해 합니다.Understand that Azure Policy has limits, such as the restriction of definitions at any particular scope: policy limits.

  • 규정 준수 정책을 이해 합니다.Understand regulatory compliance policies. 여기에는 HIPAA, PCI DSS 또는 SOC 2 신뢰 서비스 원칙이 포함 될 수 있습니다.These might include HIPAA, PCI-DSS, or SOC 2 trust service principles.

디자인 권장 사항:Design recommendations:

  • 필요한 Azure 태그를 식별 하 고 추가 정책 모드를 사용 하 여 사용을 적용 합니다.Identify required Azure tags and use the append policy mode to enforce usage.

  • 규정 및 규정 준수 요구 사항을 Azure Policy 정의 및 Azure 역할 할당에 매핑합니다.Map regulatory and compliance requirements to Azure Policy definitions and Azure role assignments.

  • 상속 된 범위에서 할당할 수 있도록 최상위 루트 관리 그룹에서 Azure Policy 정의를 설정 합니다.Establish Azure Policy definitions at the top-level root management group so that they can be assigned at inherited scopes.

  • 필요한 경우 최하위 수준에서 제외를 사용 하 여 가장 적합 한 수준에서 정책 할당을 관리 합니다.Manage policy assignments at the highest appropriate level with exclusions at bottom levels, if required.

  • Azure Policy를 사용 하 여 구독 및/또는 관리 그룹 수준에서 리소스 공급자 등록을 제어 합니다.Use Azure Policy to control resource provider registrations at the subscription and/or management group levels.

  • 가능한 경우 기본 제공 정책을 사용 하 여 운영 오버 헤드를 최소화 합니다.Use built-in policies where possible to minimize operational overhead.

  • 특정 범위에서 기본 제공 정책 참가자 역할을 할당 하 여 응용 프로그램 수준 관리를 사용 하도록 설정 합니다.Assign the built-in Policy Contributor role at a particular scope to enable application-level governance.

  • 상속 된 범위에서 제외를 통해 관리 하지 않도록 루트 관리 그룹 범위에서 수행 되는 Azure Policy 할당 수를 제한 합니다.Limit the number of Azure Policy assignments made at the root management group scope to avoid managing through exclusions at inherited scopes.

보안 모니터링 및 감사 정책 정의Define security monitoring and an audit policy

엔터프라이즈는 기술 클라우드 공간 내에서 발생 하는 상황에 대 한 가시성을 보유 해야 합니다.An enterprise must have visibility into what's happening within their technical cloud estate. Azure platform services의 보안 모니터링 및 감사 로깅은 확장 가능한 프레임 워크의 핵심 구성 요소입니다.Security monitoring and audit logging of Azure platform services is a key component of a scalable framework.

디자인 고려 사항:Design considerations:

  • 감사 데이터에 대 한 데이터 보존 기간입니다.Data retention periods for audit data. Azure AD Premium 보고서에는 30 일의 보존 기간이 있습니다.Azure AD Premium reports have a 30-day retention period.

  • Azure 활동 로그, VM 로그 및 PaaS (platform as a service) 로그와 같은 로그의 장기 보관Long-term archiving of logs such as Azure activity logs, VM logs, and platform as a service (PaaS) logs.

  • Azure 게스트 내 VM 정책을 통한 기본 보안 구성Baseline security configuration via Azure in-guest VM policy.

  • 중요 취약성에 대 한 응급 패치.Emergency patching for critical vulnerabilities.

  • 오랜 시간 동안 오프 라인 상태인 Vm에 대 한 패치Patching for VMs that are offline for extended periods of time.

  • 실시간 모니터링 및 경고에 대 한 요구 사항Requirements for real-time monitoring and alerting.

  • Azure Security Center 및 Azure 센티널과의 보안 정보 및 이벤트 관리 통합Security information and event management integration with Azure Security Center and Azure Sentinel.

  • Vm의 취약성 평가Vulnerability assessment of VMs.

디자인 권장 사항:Design recommendations:

  • Azure AD reporting 기능을 사용 하 여 액세스 제어 감사 보고서를 생성 합니다.Use Azure AD reporting capabilities to generate access control audit reports.

  • 장기적인 데이터 보존을 위해 Azure 활동 로그를 Azure Monitor 로그로 내보냅니다.Export Azure activity logs to Azure Monitor Logs for long-term data retention. 필요한 경우 2 년 이상 장기 저장소에 대 한 Azure Storage로 내보냅니다.Export to Azure Storage for long-term storage beyond two years, if necessary.

  • 모든 구독에 대해 Security Center Standard를 사용 하도록 설정 하 고 Azure Policy를 사용 하 여 규정 준수를 보장 합니다.Enable Security Center Standard for all subscriptions, and use Azure Policy to ensure compliance.

  • Azure Monitor 로그 및 Azure Security Center를 통해 기본 운영 체제 패치 드리프트를 모니터링 합니다.Monitor base operating system patching drift via Azure Monitor Logs and Azure Security Center.

  • Azure 정책을 사용 하 여 VM 확장을 통해 소프트웨어 구성을 자동으로 배포 하 고 규격 기준 VM 구성을 적용 합니다.Use Azure policies to automatically deploy software configurations through VM extensions and enforce a compliant baseline VM configuration.

  • Azure Policy를 통해 VM 보안 구성 드리프트를 모니터링 합니다.Monitor VM security configuration drift via Azure Policy.

  • 기본 리소스 구성을 중앙 집중식 Azure Monitor Log Analytics 작업 영역에 연결 합니다.Connect default resource configurations to a centralized Azure Monitor Log Analytics workspace.

  • 로그 지향적 실시간 경고에 Azure Event Grid 기반 솔루션을 사용 합니다.Use an Azure Event Grid-based solution for log-oriented, real-time alerting.

플랫폼 보안 계획Plan for platform security

Azure를 채택할 때 정상적인 보안 상태를 유지 해야 합니다.You must maintain a healthy security posture as you adopt Azure. 표시 유형 외에도 Azure 서비스가 발전 함에 따라 초기 설정 및 변경 내용을 제어할 수 있어야 합니다.Besides visibility, you have to be able to control the initial settings and changes as the Azure services evolve. 따라서 플랫폼 보안에 대 한 계획은 중요 합니다.Therefore, planning for platform security is key.

디자인 고려 사항:Design considerations:

  • 공유 책임.Shared responsibility.

  • 고가용성 및 재해 복구High availability and disaster recovery.

  • 데이터 관리 및 제어 평면 작업과 관련 하 여 Azure 서비스에서 일관 된 보안.Consistent security across Azure services in terms of data management and control plane operations.

  • 핵심 플랫폼 구성 요소에 대 한 배포할지에입니다.Multitenancy for key platform components. 여기에는 Hyper-v, Hsm 토대 인 Key Vault 및 데이터베이스 엔진이 포함 됩니다.This includes Hyper-V, the HSMs underpinning Key Vault, and database engines.

디자인 권장 사항:Design recommendations:

  • 기본 요구 사항의 컨텍스트에서 각 필수 서비스에 대 한 공동 검사를 수행 합니다.In the context of your underlying requirements, conduct a joint examination of each required service. 사용자 고유의 키를 가져오려면 고려 되는 모든 서비스에서 지원 되지 않을 수 있습니다.If you want to bring your own keys, this might not be supported across all considered services. 불일치가 원하는 결과를 방해 하지 않도록 관련 완화를 구현 합니다.Implement relevant mitigation so that inconsistencies don't hinder desired outcomes. 대기 시간을 최소화 하는 적절 한 영역 쌍 및 재해 복구 지역을 선택 합니다.Choose appropriate region pairs and disaster recovery regions that minimize latency.

  • 보안 허용 목록 계획을 개발 하 여 서비스 보안 구성, 모니터링, 경고 및 기존 시스템과 통합 하는 방법을 평가 합니다.Develop a security allow-list plan to assess services security configuration, monitoring, alerts, and how to integrate these with existing systems.

  • 프로덕션으로 허용 하기 전에 Azure 서비스에 대 한 인시던트 대응 계획을 결정 합니다.Determine the incident response plan for Azure services before allowing it into production.

  • Azure AD reporting 기능을 사용 하 여 액세스 제어 감사 보고서를 생성 합니다.Use Azure AD reporting capabilities to generate access control audit reports.

  • 보안 요구 사항을 Azure platform 로드맵에와 맞추고 새로 릴리스된 보안 제어로 최신 상태를 유지 하세요.Align your security requirements with Azure platform roadmaps to stay current with newly released security controls.

  • 적절 한 경우 Azure 플랫폼에 액세스 하기 위한 0 신뢰 방법을 구현 합니다.Implement a zero-trust approach for access to the Azure platform, where appropriate.

Azure 보안 벤치마크Azure Security Benchmark

Azure 보안 벤치 마크에는 Azure에서 사용 하는 대부분의 서비스를 보호 하는 데 사용할 수 있는 높은 영향을 주는 보안 권장 사항 컬렉션이 포함 되어 있습니다.The Azure Security Benchmark includes a collection of high-impact security recommendations you can use to help secure most of the services you use in Azure. 이러한 권장 사항은 대부분의 Azure 서비스에 적용 되는 "일반" 또는 "조직" 이라고 생각할 수 있습니다.You can think of these recommendations as "general" or "organizational" as they are applicable to most Azure services. Azure 보안 벤치 마크 권장 사항은 각 Azure 서비스에 대해 사용자 지정 되며이 사용자 지정 된 지침은 서비스 권장 사항 문서에 포함 되어 있습니다.The Azure Security Benchmark recommendations are then customized for each Azure service, and this customized guidance is contained in service recommendations articles.

Azure 보안 벤치 마크 설명서는 보안 제어 및 서비스 권장 사항을 지정 합니다.The Azure Security Benchmark documentation specifies security controls and service recommendations.

  • 보안 제어: Azure 보안 벤치 마크 권장 사항은 보안 제어에 의해 분류 됩니다.Security controls: The Azure Security Benchmark recommendations are categorized by security controls. 보안 제어는 네트워크 보안 및 데이터 보호와 같은 높은 수준의 공급 업체 독립적 보안 요구 사항을 나타냅니다.Security controls represent high-level vendor-agnostic security requirements, such as network security and data protection. 각 보안 제어에는 해당 권장 사항을 구현 하는 데 도움이 되는 보안 권장 사항 및 지침이 포함 되어 있습니다.Each security control has a set of security recommendations and instructions that help you implement those recommendations.
  • 서비스 권장 사항: 사용 가능한 경우 azure 서비스에 대 한 벤치 마크 권장 사항에는 해당 서비스에 맞게 특별히 조정 된 Azure 보안 벤치 마크 권장 사항이 포함 됩니다.Service recommendations: When available, benchmark recommendations for Azure services will include Azure Security Benchmark recommendations that are tailored specifically for that service.

서비스 지원 프레임 워크Service enablement framework

비즈니스 단위에서 Azure에 워크 로드를 배포 하도록 요청 하는 경우 적절 한 수준의 거 버 넌 스, 보안 및 규정 준수를 달성할 방법을 결정 하기 위해 워크 로드에 대 한 추가 가시성이 필요 합니다.As business units request to deploy workloads to Azure, you need additional visibility into a workload to determine how to achieve appropriate levels of governance, security, and compliance. 새 서비스가 필요한 경우 허용 해야 합니다.When a new service is required, you need to allow it. 다음 표에서는 Azure 서비스의 엔터프라이즈 보안 준비 상태를 평가 하기 위한 프레임 워크를 제공 합니다.The following table provides a framework to assess enterprise security readiness of Azure services:

평가Assessment 범주Category 조건Criteria
보안Security 네트워크 끝점Network endpoint 가상 네트워크 외부에서 액세스할 수 있는 공용 끝점이 서비스에 있나요?Does the service have a public endpoint that is accessible outside of a virtual network?
가상 네트워크 서비스 끝점을 지원 하나요?Does it support virtual network service endpoints?
Azure 서비스가 서비스 끝점과 직접 상호 작용할 수 있나요?Can Azure services interact directly with the service endpoint?
Azure 개인 링크 끝점이 지원 되나요?Does it support Azure Private Link endpoints?
가상 네트워크 내에 배포할 수 있나요?Can it be deployed within a virtual network?
데이터 반출 방지Data exfiltration prevention PaaS 서비스에는 Azure Express 경로 Microsoft 피어 링에 별도의 BGP (Border Gateway Protocol) 커뮤니티가 있나요?Does the PaaS service have a separate Border Gateway Protocol (BGP) community in Azure ExpressRoute Microsoft peering? Express 경로에서 서비스에 대 한 경로 필터를 노출 하나요?Does ExpressRoute expose a route filter for the service?
서비스에서 개인 링크 끝점을 지원 하나요?Does the service support Private Link endpoints?
관리 및 데이터 평면 작업에 대 한 네트워크 트래픽 흐름 적용Enforce network traffic flow for management and data plane operations 서비스를 시작/종료 하는 트래픽을 검사할 수 있나요?Is it possible to inspect traffic entering/exiting the service? 트래픽이 사용자 정의 라우팅으로 강제 tunnelled 수 있나요?Can traffic be force-tunnelled with user-defined routing?
관리 작업에서 Azure 공유 공용 IP 범위를 사용 하나요?Do management operations use Azure shared public IP ranges?
호스트에 노출 된 링크-로컬 끝점을 통해 관리 트래픽이 전송 되나요?Is management traffic directed via a link-local endpoint exposed on the host?
휴지 상태의 데이터 암호화Data encryption at-rest 암호화가 기본적으로 적용 되나요?Is encryption applied by default?
암호화를 사용 하지 않도록 설정할 수 있나요?Can encryption be disabled?
Microsoft에서 관리 하는 키 또는 고객이 관리 하는 키를 사용 하 여 암호화를 수행 하나요?Is encryption performed with Microsoft-managed keys or customer-managed keys?
전송 중인 데이터 암호화Data encryption in-transit 프로토콜 수준 (SSL/TLS)에서 암호화 된 서비스에 대 한 트래픽 입니까?Is traffic to the service encrypted at a protocol level (SSL/TLS)?
HTTP 끝점이 있으며 사용 하지 않도록 설정할 수 있나요?Are there any HTTP endpoints, and can they be disabled?
기본 서비스 통신도 암호화 되나요?Is underlying service communication also encrypted?
Microsoft에서 관리 하는 키 또는 고객이 관리 하는 키를 사용 하 여 암호화를 수행 하나요?Is encryption performed with Microsoft-managed keys or customer-managed keys? (사용자의 암호화를 지원 하나요?)(Is bring your own encryption supported?)
소프트웨어 배포Software deployment 응용 프로그램 소프트웨어 또는 타사 제품을 서비스에 배포할 수 있나요?Can application software or third-party products be deployed to the service?
소프트웨어 배포를 수행 하 고 관리 하는 방법How is software deployment performed and managed?
원본 또는 코드 무결성을 제어 하기 위해 정책을 적용할 수 있나요?Can policies be enforced to control source or code integrity?
소프트웨어를 배포할 수 있는 경우 맬웨어 방지 기능, 취약성 관리 및 보안 모니터링 도구를 사용할 수 있나요?If software is deployable, can antimalware capability, vulnerability management, and security monitoring tools be used?
서비스는 Azure Kubernetes Service를 사용 하는 경우와 같이 기본적으로 이러한 기능을 제공 하나요?Does the service provide such capabilities natively, such as with Azure Kubernetes Service?
ID 및 액세스 관리Identity and access management 인증 및 액세스 제어Authentication and access control 모든 제어 평면 작업이 Azure AD에서 관리 되나요?Are all control plane operations governed by Azure AD? Azure Kubernetes Service와 같은 중첩 된 제어 평면이 있나요?Is there a nested control plane, such as with Azure Kubernetes Service?
데이터 평면에 대 한 액세스를 제공 하기 위해 존재 하는 방법은 무엇입니까?What methods exist to provide access to the data plane?
데이터 평면이 Azure AD와 통합 되나요?Does the data plane integrate with Azure AD?
인증 bwtween Azure 서비스가 관리 되는 id 또는 서비스 주체를 사용 하나요?Does authentication bwtween Azure services use managed identities or service principals?
Azure AD를 통한 Azure-IaaS (서비스 간) 인증 입니까?Is Azure-to-IaaS (service-to-virtual-network) authentication via Azure AD?
적용 가능한 키 또는 공유 액세스 서명은 어떻게 관리 되나요?How are any applicable keys or shared access signatures managed?
액세스를 취소 하려면 어떻게 해야 하나요?How can access be revoked?
의무 분리Segregation of duties 서비스는 Azure AD 내에서 제어 평면과 데이터 평면 작업을 분리 하나요?Does the service separate control plane and data plane operations within Azure AD?
Multi-factor authentication 및 조건부 액세스Multi-factor authentication and conditional access 사용자와 서비스 간 상호 작용에 대해 multi-factor authentication이 적용 되나요?Is multi-factor authentication enforced for user to service interactions?
거버넌스Governance 데이터 내보내기 및 가져오기Data export and import 서비스를 통해 데이터를 안전 하 고 암호화 하 여 가져오고 내보낼 수 있나요?Does service allow you to import and export data securely and encrypted?
데이터 개인 정보 및 사용Data privacy and usage Microsoft 엔지니어가 데이터에 액세스할 수 있나요?Can Microsoft engineers access the data?
서비스와의 Microsoft 지원 상호 작용을 감사 하나요?Is any Microsoft Support interaction with the service audited?
데이터 상주Data residency 서비스 배포 지역에 데이터를 포함 하나요?Is data contained to the service deployment region?
작업Operations 모니터링Monitoring 서비스가 Azure Monitor와 통합 되나요?Does the service integrate with Azure Monitor?
백업 관리Backup management 백업 해야 하는 작업 데이터는 무엇 인가요?Which workload data need to be backed up?
백업은 어떻게 캡처 됩니까?How are backups captured?
얼마나 자주 백업을 수행할 수 있나요?How frequently can backups be taken?
백업 보존 기간 (일)은 얼마 인가요?How long can backups be retained for?
백업이 암호화되나요?Are backups encrypted?
Microsoft에서 관리 하는 키 또는 고객이 관리 하는 키를 사용 하 여 백업 암호화를 수행 하나요?Is backup encryption performed with Microsoft-managed keys or customer-managed keys?
재해 복구Disaster recovery 지역 중복 방식으로 서비스를 사용 하려면 어떻게 해야 하나요?How can the service be used in a regional redundant fashion?
Realistic 복구 시간 목표와 복구 지점 목표는 무엇 인가요?What is the attainable recovery time objective and recovery point objective?
SKUSKU 사용할 수 있는 Sku는 무엇 인가요?What SKUs are available? 그리고 어떻게 다릅니까?And how do they differ?
Premium SKU의 보안과 관련 된 기능이 있나요?Are there any features related to security for Premium SKU?
용량 관리Capacity management 용량을 모니터링 하는 방법How is capacity monitored?
수평 규모의 단위는 무엇 인가요?What is the unit of horizontal scale?
패치 및 업데이트 관리Patch and update management 서비스에 활성 업데이트가 필요 하거나 업데이트가 자동으로 수행 되나요?Does the service require active updating or do updates happen automatically?
업데이트는 얼마나 자주 적용 되나요?How frequently are updates applied? 자동화할 수 있나요?Can they be automated?
감사Audit 중첩 된 제어 평면 작업 (예: Azure Kubernetes Service 또는 Azure Databricks)이 캡처 되었습니까?Are nested control plane operations captured (for example, Azure Kubernetes Service or Azure Databricks)?
키 데이터 평면 활동이 기록 되나요?Are key data plane activities recorded?
구성 관리Configuration management 태그를 지원 하 고 put 모든 리소스에 대 한 스키마를 제공 하나요?Does it support tags and provide a put schema for all resources?
Azure 서비스 준수Azure service compliance 서비스 증명, 인증 및 외부 감사Service attestation, certification, and external audits 서비스 PCI/ISO/SOC 규격을 준수 하나요?Is the service PCI/ISO/SOC compliant?
서비스 가용성Service availability 서비스에서 비공개 미리 보기, 공개 미리 보기 또는 일반 공급 여부Is the service a private preview, a public preview, or generally available?
서비스를 사용할 수 있는 지역은 어디 인가요?In what regions is the service available?
서비스의 배포 범위는 무엇 인가요?What is the deployment scope of the service? 지역 또는 글로벌 서비스 인가요?Is it a regional or global service?
Sla (서비스 수준 계약)Service-level agreements (SLAs) 서비스 가용성에 대 한 SLA는 무엇 인가요?What is the SLA for service availability?
해당 하는 경우 성능에 대 한 SLA는 무엇 인가요?If applicable, what is the SLA for performance?