SWIFT CSP-CSCF v2022 규정 준수 기본 제공 이니셔티브의 세부 정보
다음 문서에서는 Azure Policy 규정 준수 기본 제공 이니셔티브 정의가 SWIFT CSP-CSCF vv2022에서 규정 준수 도메인 및 컨트롤에 매핑되는 방법을 자세히 설명합니다. 이 규정 준수 표준에 대한 자세한 내용은 SWIFT CSP-CSCF v2022를 참조하세요. 소유권을 이해하려면 Azure Policy 정책 정의 및 클라우드의 공동 책임을 참조하세요.
다음 매핑은 SWIFT CSP-CSCF v2022 컨트롤에 대한 것입니다. 여러 컨트롤이 Azure Policy 이니셔티브 정의를 사용하여 구현됩니다. 전체 이니셔티브 정의를 검토하려면 Azure Portal에서 정책을 열고 정의 페이지를 선택합니다. 그런 다음 SWIFT CSP-CSCF v2022 규정 준수 기본 제공 이니셔티브 정의를 찾아서 선택합니다.
Important
아래의 각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 컨트롤을 사용한 규정 준수 평가에 도움이 될 수 있지만, 컨트롤과 하나 이상의 정책 간에 일대일 또는 완벽한 일치 관계가 없는 경우도 많습니다. 따라서 Azure Policy의 규정 준수는 정책 정의 자체만 가리킬 뿐, 컨트롤의 모든 요구 사항을 완벽하게 준수한다는 것은 아닙니다. 또한 규정 준수 표준에는 현재 Azure Policy 정의에서 처리되지 않은 컨트롤이 포함되어 있습니다. 따라서 Azure Policy의 규정 준수는 전반적인 규정 준수 상태를 부분적으로 표시할 뿐입니다. 이 규정 준수 표준에 대한 규정 준수 도메인, 컨트롤, Azure Policy 정의 간의 연결은 시간이 지나면 변경될 수 있습니다. 변경 기록을 보려면 GitHub 커밋 기록을 참조하세요.
1. 일반 IT 환경의 인터넷 액세스 제한 및 중요 시스템 보호
일반 IT 환경 및 외부 환경의 잠재적인 손상 요소로부터 사용자의 로컬 SWIFT 인프라를 보호합니다.
ID: SWIFT CSCF v2022 1.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 모든 인터넷 트래픽은 배포된 Azure Firewall을 통해 라우팅되어야 함 | Azure Security Center에서 일부 서브넷이 차세대 방화벽으로 보호되지 않는 것으로 확인되었습니다. Azure Firewall 또는 지원되는 차세대 방화벽으로 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0-preview |
| [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
| [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
| 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 애플리케이션 제어를 활성화하여 머신에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고, 다른 애플리케이션이 실행될 때 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 머신에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | Azure Security Center는 인터넷 연결 가상 머신의 트래픽 패턴을 분석하고 잠재적 공격 노출 영역을 줄이는 네트워크 보안 그룹 규칙 권장 사항을 제공합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 적응형 애플리케이션 제어 정책의 허용 목록 규칙을 업데이트해야 함 | Azure Security Center의 적응형 애플리케이션 제어를 통한 감사를 위해 구성된 머신 그룹의 동작 변경 내용을 모니터링합니다. Security Center는 기계 학습을 사용하여 머신에서 실행 중인 프로세스를 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. 이러한 앱은 적응형 애플리케이션 제어 정책에서 허용하도록 권장되는 앱으로 제공됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| App Service 앱은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 가상 네트워크 서비스 엔드포인트를 사용하여 Azure Virtual Network에서 선택한 서브넷의 앱에 대한 액세스를 제한합니다. App Service 서비스 엔드포인트에 대해 자세히 알아보려면 https://aka.ms/appservice-vnet-service-endpoint를 참조하세요. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| Azure Key Vault에는 방화벽이 활성화되어 있어야 합니다. | 키 자격 증명 모음이 기본적으로 공용 IP에 액세스할 수 없도록 키 자격 증명 모음 방화벽을 사용하도록 설정합니다. 필요에 따라, 특정 IP 범위를 구성하여 해당 네트워크에 대한 액세스를 제한할 수 있습니다. https://docs.microsoft.com/azure/key-vault/general/network-security에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 3.2.1 |
| 내부 연결을 설정하기 전에 프라이버시 및 보안 준수 확인 | CMA_0053 - 내부 연결을 설정하기 전에 프라이버시 및 보안 준수 확인 | 수동, 사용 안 함 | 1.1.0 |
| 외부 공급자가 고객의 관심사를 일관되게 충족하는지 확인 | CMA_C1592 - 외부 공급자가 고객의 관심사를 일관되게 충족하는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Key Vault는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 Key Vault를 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | CMA_0469 - 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | 수동, 사용 안 함 | 1.1.0 |
| 스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
| 스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 스토리지 계정을 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| 서브넷을 네트워크 보안 그룹과 연결해야 합니다. | NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
| VM Image Builder 템플릿은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 VM Image Builder에 매핑하여 리소스를 구성하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함, 거부 | 1.1.0 |
관리자 수준 운영 체제 계정의 할당 및 사용을 제한하고 제어합니다.
ID: SWIFT CSCF v2022 1.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 구독에 최대 3명의 소유자를 지정해야 합니다. | 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 | 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 | 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 공유 및 그룹 계정에 대한 조건 정의 및 적용 | CMA_0117 - 공유 및 그룹 계정에 대한 조건 정의 및 적용 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 모델 디자인 | CMA_0129 - 액세스 제어 모델 디자인 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 보안 계획 개발 및 설정 | CMA_0151 - 시스템 보안 계획 개발 및 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 정책 및 절차 개발 | CMA_0158 - 정보 보안 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 최소 권한 액세스 사용 | CMA_0212 - 최소 권한 액세스 사용 | 수동, 사용 안 함 | 1.1.0 |
| 프라이버시 프로그램 설정 | CMA_0257 - 프라이버시 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | CMA_0279 - 연결된 디바이스 제조에 대한 보안 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 정보 시스템의 보안 엔지니어링 원칙 구현 | CMA_0325 - 정보 시스템의 보안 엔지니어링 원칙 구현 | 수동, 사용 안 함 | 1.1.0 |
| 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 계정 활동 모니터링 | CMA_0377 - 계정 활동 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 역할 할당 모니터링 | CMA_0378 - 권한 있는 역할 할당 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 계정에 대한 액세스 제한 | CMA_0446 - 권한 있는 계정에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 권한 있는 역할 철회 | CMA_0483 - 권한 있는 역할을 적절하게 취소 | 수동, 사용 안 함 | 1.1.0 |
| 구독에 둘 이상의 소유자를 할당해야 합니다. | 관리자 액세스 중복성을 유지하려면 둘 이상의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 권한 있는 관리 ID 사용 | CMA_0533 - 권한 있는 관리 ID 사용 | 수동, 사용 안 함 | 1.1.0 |
SWIFT 관련 구성 요소를 호스팅하는 가상화 플랫폼 및 가상 머신(VM)을 물리적 시스템과 동일한 수준으로 보호합니다.
ID: SWIFT CSCF v2022 1.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 관리 디스크를 사용하지 않는 VM 감사 | 이 정책은 관리 디스크를 사용하지 않는 VM을 감사 | 감사 | 1.0.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
보안 영역 내의 운영자 PC 및 시스템에서 인터넷 액세스를 제어/보호하세요.
ID: SWIFT CSCF v2022 1.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 모든 인터넷 트래픽은 배포된 Azure Firewall을 통해 라우팅되어야 함 | Azure Security Center에서 일부 서브넷이 차세대 방화벽으로 보호되지 않는 것으로 확인되었습니다. Azure Firewall 또는 지원되는 차세대 방화벽으로 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0-preview |
| 원격 액세스 권한 부여 | CMA_0024 - 원격 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 암호화 사용 정의 | CMA_0120 - 암호화 사용 정의 | 수동, 사용 안 함 | 1.1.0 |
| 무선 액세스 지침 문서화 및 구현 | CMA_0190 - 무선 액세스 지침 문서화 및 구현 | 수동, 사용 안 함 | 1.1.0 |
| 문서 이동성 학습 | CMA_0191 - 문서 이동성 학습 | 수동, 사용 안 함 | 1.1.0 |
| 원격 액세스 지침 문서화 | CMA_0196 - 원격 액세스 지침 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 대체 작업 현장을 보호하기 위한 컨트롤 구현 | CMA_0315 - 대체 작업 사이트를 보호하기 위한 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 네트워크 보안 그룹을 사용하여 비인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 액세스를 제한하여 잠재적인 위협으로부터 비인터넷 연결 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 무선 액세스 보호 | CMA_0411 - 무선 액세스 보호 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
외부 환경 및 일반 IT 환경의 잠재적으로 손상된 요소로부터 고객의 연결 인프라를 보호하세요.
ID: SWIFT CSCF v2022 1.5A 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 모든 인터넷 트래픽은 배포된 Azure Firewall을 통해 라우팅되어야 함 | Azure Security Center에서 일부 서브넷이 차세대 방화벽으로 보호되지 않는 것으로 확인되었습니다. Azure Firewall 또는 지원되는 차세대 방화벽으로 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0-preview |
| [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
| [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
| 머신에서 안전한 애플리케이션을 정의하기 위해 적응형 애플리케이션 제어를 사용하도록 설정해야 함 | 애플리케이션 제어를 활성화하여 머신에서 실행 중인 알려진 안전한 애플리케이션 목록을 정의하고, 다른 애플리케이션이 실행될 때 경고합니다. 이렇게 하면 맬웨어로부터 머신을 강화할 수 있습니다. 규칙을 구성하고 유지 관리하는 프로세스를 간소화하기 위해 Security Center는 기계 학습을 사용하여 각 머신에서 실행 중인 애플리케이션을 분석하고 알려진 안전한 애플리케이션의 목록을 제안합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | Azure Security Center는 인터넷 연결 가상 머신의 트래픽 패턴을 분석하고 잠재적 공격 노출 영역을 줄이는 네트워크 보안 그룹 규칙 권장 사항을 제공합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 가상 머신과 연결된 네트워크 보안 그룹에서 모든 네트워크 포트를 제한해야 함 | Azure Security Center에서 네트워크 보안 그룹의 인바운드 규칙 중 일부가 너무 관대하다는 사실을 식별했습니다. 인바운드 규칙에서 '모두' 또는 '인터넷' 범위에서 들어오는 액세스를 허용해서는 안 됩니다. 그러면 리소스가 공격자의 표적이 될 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| App Service 앱은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 가상 네트워크 서비스 엔드포인트를 사용하여 Azure Virtual Network에서 선택한 서브넷의 앱에 대한 액세스를 제한합니다. App Service 서비스 엔드포인트에 대해 자세히 알아보려면 https://aka.ms/appservice-vnet-service-endpoint를 참조하세요. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| Azure DDoS Protection을 사용하도록 설정해야 함 | 공용 IP를 사용하는 애플리케이션 게이트웨이의 일부인 서브넷이 포함된 모든 가상 네트워크에 DDoS 보호를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.1 |
| Azure Key Vault에는 방화벽이 활성화되어 있어야 합니다. | 키 자격 증명 모음이 기본적으로 공용 IP에 액세스할 수 없도록 키 자격 증명 모음 방화벽을 사용하도록 설정합니다. 필요에 따라, 특정 IP 범위를 구성하여 해당 네트워크에 대한 액세스를 제한할 수 있습니다. https://docs.microsoft.com/azure/key-vault/general/network-security에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 3.2.1 |
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 경계 보호를 사용하여 정보 시스템 격리 | CMA_C1639 - 경계 보호를 사용하여 정보 시스템 격리 | 수동, 사용 안 함 | 1.1.0 |
| 암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 외부 시스템 상호 연결에 대한 제한 사항 적용 | CMA_C1155 - 외부 시스템 상호 연결에 대한 제한 사항 적용 | 수동, 사용 안 함 | 1.1.0 |
| 방화벽 및 라우터 구성 표준 설정 | CMA_0272 - 방화벽 및 라우터 구성 표준 설정 | 수동, 사용 안 함 | 1.1.0 |
| 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | CMA_0273 - 카드 소유자 데이터 환경에 대한 네트워크 구분 설정 | 수동, 사용 안 함 | 1.1.0 |
| 다운스트림 정보 교환 식별 및 관리 | CMA_0298 - 다운스트림 정보 교환 식별 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 각 외부 서비스에 대한 관리형 인터페이스 구현 | CMA_C1626 - 각 외부 서비스에 대한 관리형 인터페이스 구현 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 보안 그룹을 사용하여 인터넷 연결 가상 머신을 보호해야 함 | NSG(네트워크 보안 그룹)를 통해 가상 머신에 대한 액세스를 제한하여 잠재적인 위협으로부터 가상 머신을 보호합니다. https://aka.ms/nsg-doc에서 NSG를 통한 트래픽 제어에 대해 자세히 알아보기 | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 함 | 가상 머신의 NIC에서 IP 전달을 사용하도록 설정하면 머신이 다른 대상으로 주소가 지정된 트래픽을 수신할 수 있습니다. IP 전달은 거의 필요하지 않으므로(예: VM을 네트워크 가상 어플라이언스로 사용하는 경우), 네트워크 보안 팀에서 검토해야 합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Key Vault는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 Key Vault를 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 스토리지 계정은 네트워크 액세스를 제한해야 함 | 스토리지 계정에 대한 네트워크 액세스가 제한되어야 합니다. 허용되는 네트워크의 애플리케이션만 스토리지 계정에 액세스할 수 있도록 네트워크 규칙을 구성합니다. 특정 인터넷 또는 온-프레미스 클라이언트의 연결을 허용하기 위해 특정 Azure 가상 네트워크 또는 공용 인터넷 IP 주소 범위의 트래픽에 대한 액세스 권한을 부여할 수 있습니다. | 감사, 거부, 사용 안 함 | 1.1.1 |
| 스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 스토리지 계정을 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| 서브넷을 네트워크 보안 그룹과 연결해야 합니다. | NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| VM Image Builder 템플릿은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 VM Image Builder에 매핑하여 리소스를 구성하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함, 거부 | 1.1.0 |
2. 공격 표면 및 취약성 감소
로컬 SWIFT 관련 구성 요소 간 애플리케이션 데이터 흐름의 기밀성, 무결성 및 신뢰성을 확인하세요.
ID: SWIFT CSCF v2022 2.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Linux 머신에 대한 인증에 SSH 키가 필요함 | SSH 자체에서 암호화된 연결을 제공하지만 SSH와 함께 암호를 사용하면 VM은 여전히 무차별 암호 대입 공격에 취약합니다. SSH를 통해 Azure Linux 가상 머신에 인증하는 가장 안전한 옵션은 SSH 키라고도 하는 퍼블릭-프라이빗 키 쌍을 사용하는 것입니다. https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 3.2.0 |
| Automation 계정 변수를 암호화해야 함 | 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| 비규격 디바이스에 대한 작업 구성 | CMA_0062 - 비규격 디바이스에 대한 작업 구성 | 수동, 사용 안 함 | 1.1.0 |
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 키 관리 프로세스 정의 | CMA_0115 - 물리적 키 관리 프로세스 정의 | 수동, 사용 안 함 | 1.1.0 |
| 암호화 사용 정의 | CMA_0120 - 암호화 사용 정의 | 수동, 사용 안 함 | 1.1.0 |
| 암호화 키 관리에 대한 조직 요구 사항 정의 | CMA_0123 - 암호화 키 관리에 대한 조직 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 어설션 요구 사항 확인 | CMA_0136 - 어설션 요구 사항 확인 | 수동, 사용 안 함 | 1.1.0 |
| 기준 구성 개발 및 유지 관리 | CMA_0153 - 기준 구성 개발 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 경계 보호를 사용하여 정보 시스템 격리 | CMA_C1639 - 경계 보호를 사용하여 정보 시스템 격리 | 수동, 사용 안 함 | 1.1.0 |
| 암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 임의 고유 세션 식별자 적용 | CMA_0247 - 임의 고유 세션 식별자 적용 | 수동, 사용 안 함 | 1.1.0 |
| 보안 구성 설정 적용 | CMA_0249 - 보안 구성 설정 적용 | 수동, 사용 안 함 | 1.1.0 |
| 구성 제어 보드 설정 | CMA_0254 - 구성 제어 보드 설정 | 수동, 사용 안 함 | 1.1.0 |
| 데이터 유출 관리 절차 설정 | CMA_0255 - 데이터 유출 관리 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 구성 관리 계획 수립 및 문서화 | CMA_0264 - 구성 관리 계획 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 백업 정책 및 절차 설정 | CMA_0268 - 백업 정책 및 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 자동화된 구성 관리 도구 구현 | CMA_0311 - 자동화된 구성 관리 도구 구현 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
| 보안 정책 필터를 사용한 정보 흐름 제어 | CMA_C1029 - 보안 정책 필터를 사용한 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| SecurID 시스템, 보안 인시던트 관리 시스템 격리 | CMA_C1636 - SecurID 시스템, 보안 인시던트 관리 시스템 격리 | 수동, 사용 안 함 | 1.1.0 |
| 공개 키 인증서 발급 | CMA_0347 - 공개 키 인증서 발급 | 수동, 사용 안 함 | 1.1.0 |
| 정보의 가용성 유지 관리 | CMA_C1644 - 정보의 가용성 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 대칭 암호화 키 관리 | CMA_0367 - 대칭 암호화 키 관리 | 수동, 사용 안 함 | 1.1.0 |
| 사용자에게 시스템 로그온 또는 액세스 알림 | CMA_0382 - 사용자에게 시스템 로그온 또는 액세스 알림 | 수동, 사용 안 함 | 1.1.0 |
| 비대칭 암호화 키 생성, 제어 및 배포 | CMA_C1646 - 비대칭 암호화 키 생성, 제어 및 배포 | 수동, 사용 안 함 | 1.1.0 |
| 대칭 암호화 키 생성, 제어 및 배포 | CMA_C1645 - 대칭 암호화 키 생성, 제어 및 배포 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
| 특수 정보 보호 | CMA_0409 - 특수 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 프라이빗 키에 대한 액세스 제한 | CMA_0445 - 프라이빗 키에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
| 외부 시스템으로부터 인터페이스 보호 | CMA_0491 - 외부 시스템으로부터 인터페이스 보호 | 수동, 사용 안 함 | 1.1.0 |
| Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 컴퓨터에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. | AuditIfNotExists, 사용 안 함 | 4.1.1 |
공급업체 지원을 보장하고, 필수 소프트웨어 업데이트를 적용하고, 평가된 위험에 맞춰 시기 적절한 보안 업데이트를 적용하여 운영자 PC 및 로컬 SWIFT 인프라 내에서 알려진 기술 취약성 발생을 최소하세요.
ID: SWIFT CSCF v2022 2.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
| 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
| 재부팅을 대기 중인 Windows VM 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 구성 요소 기반 서비스, Windows 업데이트, 보류 중인 파일 이름 바꾸기, 보류 중인 컴퓨터 이름 바꾸기, 구성 관리자의 다시 부팅 보류 중 등의 이유로 머신이 다시 부팅을 보류 중인 경우 머신은 비규격입니다. 각 검색에는 고유한 레지스트리 경로가 있습니다. | auditIfNotExists | 2.0.0 |
| 취약성 검사 정보 상관 관계 지정 | CMA_C1558 - 취약성 검사 정보 상관 관계 지정 | 수동, 사용 안 함 | 1.1.1 |
| Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.2.0 |
| 직원에게 보안 경고 배포 | CMA_C1705 - 직원에게 보안 경고 배포 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다. | Windows 및 Linux 가상 머신 확장 집합의 보안을 유지하기 위해 설치해야 하는 누락된 시스템 보안 업데이트 및 중요 업데이트가 있는지 감사합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 시스템 업데이트를 머신에 설치해야 합니다. | 서버의 누락된 보안 시스템 업데이트는 Azure Security Center에서 권장 사항으로 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 4.0.0 |
| 보안 경고에 자동화된 메커니즘 사용 | CMA_C1707 - 보안 경고에 자동화된 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
시스템 강화를 수행하여 SWIFT 관련 구성 요소의 사이버 공격 표면을 줄이세요.
ID: SWIFT CSCF v2022 2.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
| 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
| passwd 파일 권한이 0644로 설정되지 않은 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. passwd 파일 권한이 0644로 설정되지 않은 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| 지정한 기간(일) 내에 만료되는 인증서가 포함된 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 지정된 저장소에 있는 인증서의 만료 날짜가 매개 변수로 지정된 일 수에 대한 범위를 벗어나는 경우 머신은 비규격입니다. 또한 이 정책은 특정 인증서를 확인하거나 특정 인증서를 제외하는 옵션 및 만료된 인증서를 보고할지 여부를 제공합니다. | auditIfNotExists | 2.0.0 |
| 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 제안된 변경 내용에 대한 문서화 자동화 | CMA_C1191 - 제안된 변경 내용에 대한 문서화 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 영향 분석 수행 | CMA_0057 - 보안 영향 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 비규격 디바이스에 대한 작업 구성 | CMA_0062 - 비규격 디바이스에 대한 작업 구성 | 수동, 사용 안 함 | 1.1.0 |
| Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Linux 가상 머신에 Linux 게스트 구성 확장을 배포합니다. Linux 게스트 구성 확장은 모든 Linux 게스트 구성 할당의 필수 조건이며 Linux 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 3.1.0 |
| Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.2.0 |
| 취약성 관리 표준 개발 및 유지 관리 | CMA_0152 - 취약성 관리 표준 개발 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 기준 구성 개발 및 유지 관리 | CMA_0153 - 기준 구성 개발 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 보안 구성 설정 적용 | CMA_0249 - 보안 구성 설정 적용 | 수동, 사용 안 함 | 1.1.0 |
| 구성 제어 보드 설정 | CMA_0254 - 구성 제어 보드 설정 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 구성 관리 계획 수립 및 문서화 | CMA_0264 - 구성 관리 계획 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 자동화된 구성 관리 도구 구현 | CMA_0311 - 자동화된 구성 관리 도구 구현 | 수동, 사용 안 함 | 1.1.0 |
| 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 프라이버시 영향 평가 수행 | CMA_0387 - 프라이버시 영향 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 이전 버전의 기준 구성 보존 | CMA_C1181 - 이전 버전의 기준 구성 보존 | 수동, 사용 안 함 | 1.1.0 |
| VM Image Builder 템플릿은 프라이빗 링크를 사용해야 함 | Azure Private Link를 통해 원본 또는 대상의 공용 IP 주소가 없어도 Azure 서비스에 가상 네트워크를 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 VM Image Builder에 매핑하여 리소스를 구성하면 데이터 누출 위험이 줄어듭니다. https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet에서 프라이빗 링크에 대해 자세히 알아보세요. | 감사, 사용 안 함, 거부 | 1.1.0 |
로컬 또는 원격 SWIFT 인프라 구성 요소와 이와 연결된 백오피스 첫 번째 홉 간의 데이터 흐름의 기밀성, 무결성 및 상호 신뢰성을 확인하세요.
ID: SWIFT CSCF v2022 2.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 시스템 설명서 백업 수행 | CMA_C1289 - 정보 시스템 설명서 백업 수행 | 수동, 사용 안 함 | 1.1.0 |
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 백업 정책 및 절차 설정 | CMA_0268 - 백업 정책 및 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 사용자에게 시스템 로그온 또는 액세스 알림 | CMA_0382 - 사용자에게 시스템 로그온 또는 액세스 알림 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
백오피스 Data Flow 보안
ID: SWIFT CSCF v2022 2.4A 소유권: 고객
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Linux 머신에 대한 인증에 SSH 키가 필요함 | SSH 자체에서 암호화된 연결을 제공하지만 SSH와 함께 암호를 사용하면 VM은 여전히 무차별 암호 대입 공격에 취약합니다. SSH를 통해 Azure Linux 가상 머신에 인증하는 가장 안전한 옵션은 SSH 키라고도 하는 퍼블릭-프라이빗 키 쌍을 사용하는 것입니다. https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed에서 자세한 내용을 알아보세요. | AuditIfNotExists, 사용 안 함 | 3.2.0 |
| Automation 계정 변수를 암호화해야 함 | 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 컴퓨터에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. | AuditIfNotExists, 사용 안 함 | 4.1.1 |
운영 프로세스의 일부로 보안 영역 외부에서 전송되거나 저장된 SWIFT 관련 데이터의 기밀성을 보호하세요.
ID: SWIFT CSCF v2022 2.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 시스템 설명서 백업 수행 | CMA_C1289 - 정보 시스템 설명서 백업 수행 | 수동, 사용 안 함 | 1.1.0 |
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 백업 정책 및 절차 설정 | CMA_0268 - 백업 정책 및 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 컨트롤을 구현하여 모든 미디어 보호 | CMA_0314 - 모든 미디어를 보호하는 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 자산의 운송 관리 | CMA_0370 - 자산의 운송 관리 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
외부 전송 데이터 보호
ID: SWIFT CSCF v2022 2.5A 소유권: 고객
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 재해 복구가 구성되지 않은 가상 머신을 감사합니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. | auditIfNotExists | 1.0.0 |
| 관리 디스크를 사용하지 않는 VM 감사 | 이 정책은 관리 디스크를 사용하지 않는 VM을 감사 | 감사 | 1.0.0 |
| Automation 계정 변수를 암호화해야 함 | 중요한 데이터를 저장할 때 Automation 계정 변수 자산의 암호화를 사용하도록 설정해야 합니다. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 Azure Virtual Machines의 보호를 보장합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 스토리지 계정에 대해 지역 중복 스토리지를 사용하도록 설정해야 함 | 지역 중복을 사용하여 고가용성 애플리케이션 만들기 | 감사, 사용 안 함 | 1.0.0 |
| 스토리지 계정에 보안 전송을 사용하도록 설정해야 함 | 스토리지 계정의 보안 전송 요구 사항을 감사합니다. 보안 전송은 사용자의 스토리지 계정이 보안 연결(HTTPS)에서 오는 요청만 수락하도록 강제 적용하는 옵션입니다. HTTPS를 사용하여 서버와 서비스 간 인증을 보장하고 전송 중인 데이터를 메시지 가로채기(man-in-the-middle), 도청 및 세션 하이재킹과 같은 네트워크 계층 공격으로부터 보호합니다. | 감사, 거부, 사용 안 함 | 2.0.0 |
| 가상 머신은 Compute 및 Storage 리소스 간에 임시 디스크, 캐시 및 데이터 흐름을 암호화해야 함 | 기본적으로 가상 머신의 OS 및 데이터 디스크는 플랫폼 관리형 키를 사용하여 미사용 시 암호화됩니다. 임시 디스크, 데이터 캐시 및 컴퓨팅과 스토리지 간의 데이터 흐름은 암호화되지 않습니다. 다음과 같은 경우 이 권장 사항을 무시합니다. 1. 호스트에서 암호화를 사용하는 경우 또는 2. Managed Disks의 서버 쪽 암호화는 보안 요구 사항을 충족합니다. Azure Disk Storage: https://aka.ms/disksse, 다양한 디스크 암호화 제품: https://aka.ms/diskencryptioncomparison의 서버 쪽 암호화에 대해 알아봅니다. | AuditIfNotExists, 사용 안 함 | 2.0.3 |
로컬 또는 원격(서비스 공급자가 운영하는) SWIFT 인프라 또는 서비스 공급자 SWIFT 관련 애플리케이션에 연결하는 대화형 운영자 세션의 기밀성 및 무결성을 보호하세요.
ID: SWIFT CSCF v2022 2.6 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
| 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
| 원격 액세스 권한 부여 | CMA_0024 - 원격 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.2.0 |
| 무선 액세스 지침 문서화 및 구현 | CMA_0190 - 무선 액세스 지침 문서화 및 구현 | 수동, 사용 안 함 | 1.1.0 |
| 문서 이동성 학습 | CMA_0191 - 문서 이동성 학습 | 수동, 사용 안 함 | 1.1.0 |
| 원격 액세스 지침 문서화 | CMA_0196 - 원격 액세스 지침 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 디바이스 식별 및 인증 | CMA_0296 - 네트워크 디바이스 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
| 대체 작업 현장을 보호하기 위한 컨트롤 구현 | CMA_0315 - 대체 작업 사이트를 보호하기 위한 컨트롤 구현 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
| 무선 액세스 보호 | CMA_0411 - 무선 액세스 보호 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 세션 다시 인증 또는 종료 | CMA_0421 - 사용자 세션 다시 인증 또는 종료 | 수동, 사용 안 함 | 1.1.0 |
| Windows 컴퓨터는 보안 통신 프로토콜을 사용하도록 구성되어야 함 | 인터넷을 통해 전달되는 정보의 개인 정보를 보호하려면 컴퓨터에서 최신 버전의 업계 표준 암호화 프로토콜인 TLS(전송 계층 보안)를 사용해야 합니다. TLS는 컴퓨터 간 연결을 암호화하여 네트워크를 통한 통신을 보호합니다. | AuditIfNotExists, 사용 안 함 | 4.1.1 |
| Windows 머신은 '보안 옵션 - 대화형 로그온'에 대한 요구 사항을 충족해야 함 | Windows 머신에서 마지막 사용자 이름을 표시하고 ctrl-alt-del을 요구하려면 '보안 옵션 - 대화형 로그온' 범주에 지정된 그룹 정책 설정이 있어야 합니다. 이 정책을 사용하려면 게스트 구성 필수 구성 요소가 정책 할당 범위에 배포되었어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
정기적인 취약성 검사 프로세스를 구현하고 결과에 따라 조치를 취하여 로컬 SWIFT 환경 내 알려진 취약성을 식별합니다.
ID: SWIFT CSCF v2022 2.7 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 취약성 평가 솔루션을 가상 머신에서 사용하도록 설정해야 함 | 가상 머신을 감사하여 지원되는 취약성 평가 솔루션을 실행하고 있는지 검색합니다. 모든 사이버 위험 및 보안 프로그램의 핵심 구성 요소는 취약성을 식별하고 분석하는 것입니다. Azure Security Center의 표준 가격 책정 계층에는 추가 비용 없이 가상 머신에 대한 취약성 검사가 포함됩니다. 또한 Security Center가 자동으로 도구를 배포할 수 있습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Azure Defender for App Service를 사용하도록 설정해야 함 | Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Azure Defender for Key Vault를 사용하도록 설정해야 함 | Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 취약성 검사 정보 상관 관계 지정 | CMA_C1558 - 취약성 검사 정보 상관 관계 지정 | 수동, 사용 안 함 | 1.1.1 |
| 취약성 검사 활동을 실행하기 위한 권한 있는 액세스 구현 | CMA_C1555 - 취약성 검사 활동을 실행하기 위한 권한 있는 액세스 구현 | 수동, 사용 안 함 | 1.1.0 |
| 결함 수정을 구성 관리에 통합 | CMA_C1671 - 결함 수정을 구성 관리에 통합 | 수동, 사용 안 함 | 1.1.0 |
| 스토리지용 Microsoft Defender를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위 및 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 보안 약점 관찰 및 보고 | CMA_0384 - 보안 약점 관찰 및 보고 | 수동, 사용 안 함 | 1.1.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 위협 모델링 수행 | CMA_0392 - 위협 모델링 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 컨테이너 보안 구성의 취약성을 수정해야 합니다. | Docker가 설치된 머신에서 보안 구성의 취약성을 감사하고 Azure Security Center에서 권장 사항으로 표시합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 머신 보안 구성의 취약성을 수정해야 합니다. | 구성된 기준을 충족하지 않는 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다. | 가상 머신 확장 집합의 OS 취약성을 감사하여 공격으로부터 보호합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
고객의 메시지 모니터링에 일관되고 효과적인 접근 방식을 보장하세요.
ID: SWIFT CSCF v2022 2.8.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 타사 관계의 위험 평가 | CMA_0014 - 타사 관계의 위험 평가 | 수동, 사용 안 함 | 1.1.0 |
| 정부 감독 정의 및 문서화 | CMA_C1587 - 정부 감독 정의 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 상품 및 서비스 제공 요구 사항 정의 | CMA_0126 - 상품 및 서비스 제공 요구 사항 정의 | 수동, 사용 안 함 | 1.1.0 |
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| 공급망 위험 관리에 대한 정책 설정 | CMA_0275 - 공급망 위험 관리에 대한 정책 설정 | 수동, 사용 안 함 | 1.1.0 |
| 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | CMA_C1586 - 외부 서비스 공급자가 보안 요구 사항을 준수하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | CMA_0469 - 클라우드 서비스 공급자의 정책 및 계약 준수 검토 | 수동, 사용 안 함 | 1.1.0 |
| 독립적인 보안 검토 진행 | CMA_0515 - 독립적인 보안 검토 진행 | 수동, 사용 안 함 | 1.1.0 |
중요한 활동의 아웃소싱으로 인해 노출되는 위험으로부터 로컬 SWIFT 인프라를 보호하세요.
ID: SWIFT CSCF v2022 2.8A 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 공급자 계약 의무 결정 | CMA_0140 - 공급자 계약 의무 결정 | 수동, 사용 안 함 | 1.1.0 |
| 문서 취득 계약 승인 조건 | CMA_0187 - 문서 취득 계약 승인 조건 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약에서 개인 데이터 보호 문서화 | CMA_0194 - 취득 계약에서 개인 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 정보 보호 문서화 | CMA_0195 - 취득 계약의 보안 정보 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | CMA_0197 - 계약에서 공유 데이터를 사용하기 위한 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 보증 요구 사항 문서화 | CMA_0199 - 취득 계약의 보안 보증 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 설명서 요구 사항 문서화 | CMA_0200 - 취득 계약의 보안 문서 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 기능 요구 사항 문서화 | CMA_0201 - 취득 계약의 보안 기능 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 타사 계약의 카드 소유자 데이터 보호 문서화 | CMA_0207 - 타사 계약의 카드 소유자 데이터 보호 문서화 | 수동, 사용 안 함 | 1.1.0 |
정상적인 비즈니스의 예상 범위 내에서 아웃바운드 트랜잭션 작업을 보장합니다.
ID: SWIFT CSCF v2022 2.9 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| voip 권한 부여, 모니터링 및 제어 | CMA_0025 - voip 권한 부여, 모니터링 및 제어 | 수동, 사용 안 함 | 1.1.0 |
| 정보 흐름 제어 | CMA_0079 - 정보 흐름 제어 | 수동, 사용 안 함 | 1.1.0 |
| 암호화된 정보의 흐름 제어 메커니즘 사용 | CMA_0211 - 암호화된 정보의 흐름 제어 메커니즘 사용 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
| 게이트웨이 관리 | CMA_0363 - 게이트웨이 관리 | 수동, 사용 안 함 | 1.1.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | CMA_0484 - 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | 수동, 사용 안 함 | 1.1.0 |
트랜잭션 작업을 유효성이 검사되고 승인된 비즈니스 대응으로 제한하세요.
ID: SWIFT CSCF v2022 2.11A 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 기능 및 정보에 대한 액세스 권한 부여 | CMA_0022 - 보안 기능 및 정보에 대한 액세스 권한 부여 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 부여 및 관리 | CMA_0023 - 액세스 권한 부여 및 관리 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 제어 모델 디자인 | CMA_0129 - 액세스 제어 모델 디자인 | 수동, 사용 안 함 | 1.1.0 |
| 최소 권한 액세스 사용 | CMA_0212 - 최소 권한 액세스 사용 | 수동, 사용 안 함 | 1.1.0 |
| 논리적 액세스 적용 | CMA_0245 - 논리적 액세스 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필수 및 임의 액세스 제어 정책 적용 | CMA_0246 - 필수 및 임의 액세스 제어 정책 적용 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 사용자 권한 다시 할당 또는 제거 | CMA_C1040 - 필요에 따라 사용자 권한 다시 할당 또는 제거 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | CMA_0481 - 중요한 데이터에 액세스할 수 있는 사용자 그룹 및 애플리케이션 검토 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 권한 검토 | CMA_C1039 - 사용자 권한 검토 | 수동, 사용 안 함 | 1.1.0 |
3. 환경의 물리적 보안
중요한 장비, 작업 공간 환경, 호스팅 사이트, 저장소에 대한 무단 물리적 액세스를 방지하세요.
ID: SWIFT CSCF v2022 3.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 관리 디스크를 사용하지 않는 VM 감사 | 이 정책은 관리 디스크를 사용하지 않는 VM을 감사 | 감사 | 1.0.0 |
| 물리적 액세스 제어 | CMA_0081 - 물리적 액세스 제어 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 키 관리 프로세스 정의 | CMA_0115 - 물리적 키 관리 프로세스 정의 | 수동, 사용 안 함 | 1.1.0 |
| 자산 인벤토리 설정 및 유지 관리 | CMA_0266 - 자산 인벤토리 설정 및 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 사무실, 작업 공간, 보안 영역에 대한 물리적 보안 구현 | CMA_0323 - 사무실, 작업 영역, 보안 영역에 대한 물리적 보안 구현 | 수동, 사용 안 함 | 1.1.0 |
| 경보 시스템 설치 | CMA_0338 - 경보 시스템 설치 | 수동, 사용 안 함 | 1.1.0 |
| 보안 감시 카메라 시스템 관리 | CMA_0354 - 보안 감시 카메라 시스템 관리 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 및 환경 정책 및 절차 검토 및 업데이트 | CMA_C1446 - 물리적 및 환경 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
4. 자격 증명 손상 방지
효율적인 암호 정책을 구현하고 적용하여 암호가 일반적인 암호 공격을 충분히 방지할 수 있는지 확인하세요.
ID: SWIFT CSCF v2022 4.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
| 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
| 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 없이 계정에서 원격 연결을 허용하는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| 암호가 없는 계정이 있는 Linux 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호가 없는 계정이 있는 Linux 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 3.1.0 |
| 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 지정된 수의 고유 암호 이후 암호를 다시 사용할 수 있도록 허용하는 경우 머신은 비규격입니다. 고유 암호의 기본값은 24입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최대 암호 사용 기간이 지정된 일 수로 설정되지 않은 경우 머신은 비규격입니다. 최대 암호 사용 기간의 기본값은 70일입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최소 암호 사용 기간이 지정된 일 수로 설정되지 않은 경우 머신은 비규격입니다. 최소 암호 사용 기간의 기본값은 1일입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 암호 복잡성 설정이 활성화되지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 암호 복잡성 설정이 활성화되지 않는 Windows 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 암호 최소 길이를 지정된 문자 수로 제한하지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. Windows 머신이 최소 암호 길이를 지정된 문자 수로 제한하지 않는 경우 머신은 비규격입니다. 최소 암호 길이에 대한 기본값은 14자입니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| Linux 게스트 구성 확장을 배포하여 Linux VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Linux 가상 머신에 Linux 게스트 구성 확장을 배포합니다. Linux 게스트 구성 확장은 모든 Linux 게스트 구성 할당의 필수 조건이며 Linux 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 3.1.0 |
| Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.2.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 암호 정책 설정 | CMA_0256 - 암호 정책 설정 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 형식 및 프로세스 설정 | CMA_0267 - 인증자 형식 및 프로세스 설정 | 수동, 사용 안 함 | 1.1.0 |
| 기억된 비밀 검증 도구에 대한 매개 변수 구현 | CMA_0321 - 기억된 비밀 검증 도구에 대한 매개 변수 구현 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 수명 관리 및 다시 사용 | CMA_0355 - 인증자 수명 관리 및 다시 사용 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
다단계 인증을 구현하여 단일 인증 요소의 손상으로 인해 SWIFT 관련 시스템 또는 애플리케이션에 액세스하지 못하는 일이 없도록 합니다.
ID: SWIFT CSCF v2022 4.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Azure 리소스에 대한 소유자 권한이 있는 계정은 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 소유자 권한이 있는 모든 구독 계정에 대해 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 읽기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 함 | 계정 또는 리소스 위반을 방지하려면 쓰기 권한이 있는 모든 구독 계정에서 MFA(Multi-Factor Authentication)를 사용하도록 설정해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 생체 인식 인증 메커니즘 채택 | CMA_0005 - 생체 인증 메커니즘 채택 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 디바이스 식별 및 인증 | CMA_0296 - 네트워크 디바이스 식별 및 인증 | 수동, 사용 안 함 | 1.1.0 |
5. ID 관리 및 권한 분리
운영자 계정에 대해 알아야 할 액세스 권한, 최소 권한 및 업무 분리의 보안 원칙을 적용합니다.
ID: SWIFT CSCF v2022 5.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 구독에 최대 3명의 소유자를 지정해야 합니다. | 보안이 침해된 소유자의 위반 가능성을 줄이려면 최대 3명의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
| 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
| 계정 관리자 할당 | CMA_0015 - 계정 관리자 할당 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| 지정한 기간(일) 내에 만료되는 인증서가 포함된 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 지정된 저장소에 있는 인증서의 만료 날짜가 매개 변수로 지정된 일 수에 대한 범위를 벗어나는 경우 머신은 비규격입니다. 또한 이 정책은 특정 인증서를 확인하거나 특정 인증서를 제외하는 옵션 및 만료된 인증서를 보고할지 여부를 제공합니다. | auditIfNotExists | 2.0.0 |
| 계정 관리 자동화 | CMA_0026 - 계정 관리 자동화 | 수동, 사용 안 함 | 1.1.0 |
| Azure 리소스에 대한 소유자 권한이 있는 차단된 계정을 제거해야 함 | 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 및 쓰기 권한이 있는 차단된 계정을 제거해야 함 | 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다. 사용되지 않는 계정은 로그인이 차단된 계정입니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 의무 분리를 지원하기 위한 액세스 권한 부여 정의 | CMA_0116 - 의무 분리를 지원하기 위한 액세스 권한 부여 정의 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 계정 유형 정의 | CMA_0121 - 정보 시스템 계정 유형 정의 | 수동, 사용 안 함 | 1.1.0 |
| Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.2.0 |
| 액세스 제어 모델 디자인 | CMA_0129 - 액세스 제어 모델 디자인 | 수동, 사용 안 함 | 1.1.0 |
| 종료 시 인증자 사용 안 함 | CMA_0169 - 종료 시 인증자 사용 안 함 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 권한 문서화 | CMA_0186 - 액세스 권한 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 의무 분리 문서화 | CMA_0204 - 의무 분리 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 최소 권한 액세스 사용 | CMA_0212 - 최소 권한 액세스 사용 | 수동, 사용 안 함 | 1.1.0 |
| 역할 멤버 자격에 대한 조건 설정 | CMA_0269 - 역할 멤버 자격에 대한 조건 설정 | 수동, 사용 안 함 | 1.1.0 |
| Azure 리소스에 대한 소유자 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 읽기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure 리소스에 대한 쓰기 권한이 있는 게스트 계정을 제거해야 함 | 모니터링되지 않는 액세스를 방지하려면 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 시스템 및 관리자 계정 관리 | CMA_0368 - 시스템 및 관리자 계정 관리 | 수동, 사용 안 함 | 1.1.0 |
| 조직 전체에서 액세스 모니터링 | CMA_0376 - 조직 전체에서 액세스 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 계정 활동 모니터링 | CMA_0377 - 계정 활동 모니터링 | 수동, 사용 안 함 | 1.1.0 |
| 계정이 필요하지 않은 경우 알림 | CMA_0383 - 계정이 필요하지 않은 경우 알림 | 수동, 사용 안 함 | 1.1.0 |
| 감사 정보 보호 | CMA_0401 - 감사 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 사용자 권한 다시 할당 또는 제거 | CMA_C1040 - 필요에 따라 사용자 권한 다시 할당 또는 제거 | 수동, 사용 안 함 | 1.1.0 |
| 계정 만들기를 위한 승인 필요 | CMA_0431 - 계정 만들기를 위한 승인 필요 | 수동, 사용 안 함 | 1.1.0 |
| 권한 있는 계정에 대한 액세스 제한 | CMA_0446 - 권한 있는 계정에 대한 액세스 제한 | 수동, 사용 안 함 | 1.1.0 |
| 계정 프로비저닝 로그 검토 | CMA_0460 - 계정 프로비저닝 로그 검토 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 검토. | CMA_0480 - 사용자 계정 검토 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 권한 검토 | CMA_C1039 - 사용자 권한 검토 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 권한 있는 역할 철회 | CMA_0483 - 권한 있는 역할을 적절하게 취소 | 수동, 사용 안 함 | 1.1.0 |
| 개인의 별도 의무 | CMA_0492 - 개인의 별도 의무 | 수동, 사용 안 함 | 1.1.0 |
| 구독에 둘 이상의 소유자를 할당해야 합니다. | 관리자 액세스 중복성을 유지하려면 둘 이상의 구독 소유자를 지정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
연결/연결 해제된 하드웨어 인증 또는 개인 토큰(토큰이 사용되는 경우)이 적절히 관리, 추적 및 사용되도록 보장합니다.
ID: SWIFT CSCF v2022 5.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 인증자 배포 | CMA_0184 - 인증자 배포 | 수동, 사용 안 함 | 1.1.0 |
| 인증자 형식 및 프로세스 설정 | CMA_0267 - 인증자 형식 및 프로세스 설정 | 수동, 사용 안 함 | 1.1.0 |
| 초기 인증자 배포를 위한 절차 설정 | CMA_0276 - 초기 인증자 배포를 위한 절차 설정 | 수동, 사용 안 함 | 1.1.0 |
| 가상 머신의 관리 포트는 Just-In-Time 네트워크 액세스 제어로 보호해야 함 | 가능한 네트워크 JIT(Just In Time) 액세스는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 인증자를 배포하기 전에 ID 확인 | CMA_0538 - 인증자를 배포하기 전에 ID 확인 | 수동, 사용 안 함 | 1.1.0 |
허용되고 실행 가능한 범위 내에서 정기적인 직원 심사를 수행하여 현지 SWIFT 환경을 운영하는 직원의 신뢰성을 보장합니다.
ID: SWIFT CSCF v2022 5.3A 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 기밀 정보에 액세스할 수 있는 직원 지우기 | CMA_0054 - 기밀 정보에 액세스할 수 있는 직원 지우기 | 수동, 사용 안 함 | 1.1.0 |
| 액세스 계약이 적시에 서명 또는 재서명되었는지 확인 | CMA_C1528 - 액세스 계약이 적시에 서명 또는 재서명되었는지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 직원 심사 구현 | CMA_0322 - 직원 심사 구현 | 수동, 사용 안 함 | 1.1.0 |
| 특수 정보 보호 | CMA_0409 - 특수 정보 보호 | 수동, 사용 안 함 | 1.1.0 |
| 정의된 빈도로 개인 다시 선별 | CMA_C1512 - 정의된 빈도로 개인 다시 선별 | 수동, 사용 안 함 | 1.1.0 |
기록된 암호의 리포지토리를 물리적 및 논리적으로 보호하세요.
ID: SWIFT CSCF v2022 5.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신 감사 | 필수 구성 요소가 정책 할당 범위에 배포되어야 합니다. 자세한 내용은 https://aka.ms/gcpol 을 참조하세요. 해독 가능한 암호화를 사용하여 암호를 저장하지 않는 Windows 머신의 경우 머신은 비규격입니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| 취득 계약의 보안 강도 요구 사항 문서화 | CMA_0203 - 취득 계약의 보안 강도 요구 사항 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 암호 정책 설정 | CMA_0256 - 암호 정책 설정 | 수동, 사용 안 함 | 1.1.0 |
| 기억된 비밀 검증 도구에 대한 매개 변수 구현 | CMA_0321 - 기억된 비밀 검증 도구에 대한 매개 변수 구현 | 수동, 사용 안 함 | 1.1.0 |
| 키 자격 증명 모음에서는 삭제 방지를 사용하도록 설정해야 함 | 키 자격 증명 모음을 악의적으로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 제거 방지 및 일시 삭제를 사용하도록 설정하여 영구적인 데이터 손실을 방지할 수 있습니다. 제거 보호는 일시 삭제된 키 자격 증명 모음에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 키 자격 증명 모음을 제거할 수 없습니다. 2019년 9월 1일 이후에 만든 키 자격 증명 모음은 기본적으로 일시 삭제를 사용하도록 설정되어 있습니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
6. 시스템 또는 트랜잭션 레코드에 대한 비정상적인 활동 검색
로컬 SWIFT 인프라가 맬웨어로부터 보호되는지 확인하고 결과에 따라 조치를 수행하세요.
ID: SWIFT CSCF v2022 6.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| USB에서 실행되는 신뢰할 수 없고 서명되지 않은 프로세스 차단 | CMA_0050 - USB에서 실행되는 신뢰할 수 없는 프로세스 및 서명되지 않은 프로세스 차단 | 수동, 사용 안 함 | 1.1.0 |
| 감사 레코드 상관 관계 지정 | CMA_0087 - 감사 레코드 상관 관계 지정 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 정보 상관 관계 지정 | CMA_C1558 - 취약성 검사 정보 상관 관계 지정 | 수동, 사용 안 함 | 1.1.1 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다. | 가상 머신 확장 집합에서 엔드포인트 보호 솔루션의 존재 및 상태를 감사하여 위협 및 취약성으로부터 보호합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 감사 검토 및 보고를 위한 요구 사항 설정 | CMA_0277 - 감사 검토 및 보고를 위한 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 활동을 실행하기 위한 권한 있는 액세스 구현 | CMA_C1555 - 취약성 검사 활동을 실행하기 위한 권한 있는 액세스 구현 | 수동, 사용 안 함 | 1.1.0 |
| 감사 검토, 분석, 보고 통합 | CMA_0339 - 감사 검토, 분석, 보고 통합 | 수동, 사용 안 함 | 1.1.0 |
| Siem과 클라우드 앱 보안 통합 | CMA_0340 - Siem과 클라우드 앱 보안 통합 | 수동, 사용 안 함 | 1.1.0 |
| 게이트웨이 관리 | CMA_0363 - 게이트웨이 관리 | 수동, 사용 안 함 | 1.1.0 |
| 보호 서명을 자동으로 업데이트하려면 Azure용 Microsoft Antimalware를 구성해야 함 | 이 정책은 Microsoft Antimalware 보호 서명의 자동 업데이트로 구성되지 않은 Windows 가상 머신을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Microsoft IaaSAntimalware 확장을 Windows Server에 배포해야 함 | 이 정책은 Microsoft IaaSAntimalware 확장이 배포되지 않은 Windows Server VM을 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| Azure Security Center에서 누락된 Endpoint Protection 모니터링 | Endpoint Protection 에이전트가 설치되어 있지 않은 서버는 Azure Security Center에서 권장 사항으로 모니터링됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 보안 약점 관찰 및 보고 | CMA_0384 - 보안 약점 관찰 및 보고 | 수동, 사용 안 함 | 1.1.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 위협 모델링 수행 | CMA_0392 - 위협 모델링 수행 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 계정 프로비저닝 로그 검토 | CMA_0460 - 계정 프로비저닝 로그 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 관리자 할당 검토 | CMA_0461 - 매주 관리자 할당 검토 | 수동, 사용 안 함 | 1.1.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 ID 보고서 개요 검토 | CMA_0468 - 클라우드 ID 보고서 개요 검토 | 수동, 사용 안 함 | 1.1.0 |
| 제어된 폴더 액세스 이벤트 검토 | CMA_0471 - 제어된 폴더 액세스 이벤트 검토 | 수동, 사용 안 함 | 1.1.0 |
| 악용 방지 이벤트 검토 | CMA_0472 - 악용 방지 이벤트 검토 | 수동, 사용 안 함 | 1.1.0 |
| 파일 및 폴더 작업 검토 | CMA_0473 - 파일 및 폴더 작업 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 맬웨어 검색 보고서 검토 | CMA_0475 - 매주 맬웨어 검색 보고서 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 역할 그룹 변경 내용 검토 | CMA_0476 - 매주 역할 그룹 변경 내용 검토 | 수동, 사용 안 함 | 1.1.0 |
| 바이러스 백신 정의 업데이트 | CMA_0517 - 바이러스 백신 정의 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 소프트웨어, 펌웨어 및 정보 무결성 확인 | CMA_0542 - 소프트웨어, 펌웨어 및 정보 무결성 확인 | 수동, 사용 안 함 | 1.1.0 |
SWIFT 관련 구성 요소의 소프트웨어 무결성을 확인하고 결과에 따라 조치를 취하세요.
ID: SWIFT CSCF v2022 6.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 디지털 인증서를 확인하도록 워크스테이션 구성 | CMA_0073 - 디지털 인증서를 확인하도록 워크스테이션 구성 | 수동, 사용 안 함 | 1.1.0 |
| 위반이 검색되면 자동 종료/다시 시작 사용 | CMA_C1715 - 위반이 검색되면 자동 종료/다시 시작 사용 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 전송 중인 데이터 보호 | CMA_0403 - 암호화를 사용하여 전송 중인 데이터 보호 | 수동, 사용 안 함 | 1.1.0 |
| 암호화를 사용하여 암호 보호 | CMA_0408 - 암호화를 사용하여 암호 보호 | 수동, 사용 안 함 | 1.1.0 |
| 소프트웨어, 펌웨어 및 정보 무결성 확인 | CMA_0542 - 소프트웨어, 펌웨어 및 정보 무결성 확인 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 진단 데이터 보기 및 구성 | CMA_0544 - 시스템 진단 데이터 보기 및 구성 | 수동, 사용 안 함 | 1.1.0 |
SWIFT 메시지 인터페이스 또는 고객 커넥터에 대한 데이터베이스 레코드의 무결성을 확인하고 결과에 따라 조치를 수행하세요.
ID: SWIFT CSCF v2022 6.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 소프트웨어, 펌웨어 및 정보 무결성 확인 | CMA_0542 - 소프트웨어, 펌웨어 및 정보 무결성 확인 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 진단 데이터 보기 및 구성 | CMA_0544 - 시스템 진단 데이터 보기 및 구성 | 수동, 사용 안 함 | 1.1.0 |
보안 이벤트를 기록하고 로컬 SWIFT 환경 내에서 비정상적인 작업 및 작업을 검색합니다.
ID: SWIFT CSCF v2022 6.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 나열된 가상 머신 이미지에 대해 Log Analytics 확장을 사용하도록 설정해야 합니다. | 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신을 비규격으로 보고합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1-preview |
| [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
| [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
| 활동 로그는 1년 이상 보존되어야 합니다. | 이 정책은 보존이 365일 또는 계속(보존 기간이 0으로 설정)으로 설정되지 않은 경우 활동 로그를 감사합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 시스템 할당 관리 ID를 추가하여 ID가 없는 가상 머신에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되지만 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
| 시스템이 할당한 관리 ID를 추가하여 사용자가 할당한 ID가 있는 VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되고 사용자 할당 ID가 하나 이상 있지만 시스템 할당 관리 ID가 없는 Azure에서 호스트되는 가상 머신에 시스템 할당 관리 ID를 추가합니다. 시스템 할당 관리 ID는 모든 게스트 구성 할당에 대한 필수 구성 요소이며 게스트 구성 정책 정의를 사용하기 전에 머신에 추가해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | 수정 | 4.1.0 |
| 모든 흐름 로그 리소스가 사용 상태여야 함 | 흐름 로그 리소스를 감사하여 흐름 로그 상태를 사용할 수 있는지 확인합니다. 흐름 로그를 사용하도록 설정하면 IP 트래픽 흐름에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. | 감사, 사용 안 함 | 1.0.1 |
| App Service 앱에서 리소스 로그가 사용되어야 함 | 앱에서 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| 권한 있는 기능 감사 | CMA_0019 - 권한 있는 기능 감사 | 수동, 사용 안 함 | 1.1.0 |
| 사용자 계정 상태 감사 | CMA_0020 - 사용자 계정 상태 감사 | 수동, 사용 안 함 | 1.1.0 |
| 재해 복구가 구성되어 있지 않은 가상 머신 감사 | 재해 복구가 구성되지 않은 가상 머신을 감사합니다. 재해 복구에 대한 자세한 내용은 https://aka.ms/asr-doc를 참조하세요. | auditIfNotExists | 1.0.0 |
| 구독에 Log Analytics 에이전트의 자동 프로비저닝을 사용하도록 설정해야 함 | 보안 취약성 및 위협을 모니터링하기 위해 Azure Security Center는 Azure 가상 머신에서 데이터를 수집합니다. 데이터는 이전에 MMA(Microsoft Monitoring Agent)로 알려진 Log Analytics 에이전트에 의해 수집되며, 머신에서 다양한 보안 관련 구성 및 이벤트 로그를 읽고 분석을 위해 Log Analytics 작업 영역에 데이터를 복사합니다. 지원되는 모든 Azure VM과 생성된 모든 새 VM에 에이전트를 자동으로 배포하려면 자동 프로비저닝을 사용하도록 설정하는 것이 좋습니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| Virtual Machines에 Azure Backup을 사용하도록 설정해야 합니다. | Azure Backup을 사용하도록 설정하여 Azure Virtual Machines의 보호를 보장합니다. Azure Backup은 Azure를 위한 안전하고 경제적인 데이터 보호 솔루션입니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| Azure Defender for App Service를 사용하도록 설정해야 함 | Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Azure Defender for Key Vault를 사용하도록 설정해야 함 | Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Azure Monitor 로그 프로필은 'write'(쓰기), 'delete'(삭제) 및 'action'(작업) 범주에 대한 로그를 수집해야 합니다. | 이 정책을 사용하면 로그 프로필이 '쓰기,' '삭제' 및 '작업' 범주에 대한 로그를 수집합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Monitor 로그 클러스터는 인프라 암호화를 사용하도록 설정한 상태에서 만들어야 함(이중 암호화) | 보안 데이터 암호화가 서비스 수준 및 인프라 수준에서 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 통해 사용하도록 설정하려면 Azure Monitor 전용 클러스터를 사용합니다. 이 옵션은 지역에서 지원되는 경우 기본적으로 사용하도록 설정됩니다. https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview를 참조하세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure Monitor 로그 클러스터는 고객 관리형 키로 암호화해야 함 | 고객 관리형 키 암호화를 사용하여 Azure Monitor 로그 클러스터를 만듭니다. 기본적으로 로그 데이터는 서비스 관리형 키를 사용하여 암호화되지만, 일반적으로 규정 준수를 충족하려면 고객 관리형 키가 필요합니다. Azure Monitor에서 고객 관리형 키를 사용하면 데이터에 대한 액세스를 보다 강력하게 제어할 수 있습니다. https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys를 참조하세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Application Insights의 Azure Monitor 로그는 Log Analytics 작업 영역에 연결해야 함 | 로그 암호화를 위해 Application Insights 구성 요소를 Log Analytics 작업 영역에 연결합니다. 고객 관리형 키는 일반적으로 규정 준수를 충족하고 Azure Monitor에서 데이터를 보다 강력하게 제어하는 데 필요합니다. 고객 관리형 키를 통해 사용하도록 설정된 Log Analytics 작업 영역에 구성 요소를 연결하여 Application Insights 로그가 이 규정 준수 요구 사항을 충족 하는지 확인합니다. https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys를 참조하세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure Monitor는 모든 지역의 활동 로그를 수집해야 합니다. | 이 정책은 글로벌 지역을 포함하여 모든 Azure 지원 지역에서 활동을 내보내지 않는 Azure Monitor 로그 프로필을 감사합니다. | AuditIfNotExists, 사용 안 함 | 2.0.0 |
| Azure Monitor 솔루션 '보안 및 감사'가 배포되어야 합니다. | 이 정책은 보안 및 감사가 배포되었는지 확인합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| 감사 레코드 상관 관계 지정 | CMA_0087 - 감사 레코드 상관 관계 지정 | 수동, 사용 안 함 | 1.1.0 |
| Windows 게스트 구성 확장을 배포하여 Windows VM에서 게스트 구성 할당을 사용하도록 설정 | 이 정책은 게스트 구성에서 지원되는 Azure에서 호스트되는 Windows 가상 머신에 Windows 게스트 구성 확장을 배포합니다. Windows 게스트 구성 확장은 모든 Windows 게스트 구성 할당의 필수 조건이며 Windows 게스트 구성 정책 정의를 사용하기 전에 머신에 배포해야 합니다. 게스트 구성에 대한 자세한 내용은 https://aka.ms/gcpol을 방문하세요. | deployIfNotExists | 1.2.0 |
| 감사 가능한 이벤트 확인 | CMA_0137 - 감사 가능한 이벤트 확인 | 수동, 사용 안 함 | 1.1.0 |
| 감사 검토 및 보고를 위한 요구 사항 설정 | CMA_0277 - 감사 검토 및 보고를 위한 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 모든 네트워크 보안 그룹에 대해 흐름 로그를 구성해야 함 | 네트워크 보안 그룹을 감사하여 흐름 로그가 구성되어 있는지 확인합니다. 흐름 로그를 사용하면 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. | 감사, 사용 안 함 | 1.1.0 |
| 감사 검토, 분석, 보고 통합 | CMA_0339 - 감사 검토, 분석, 보고 통합 | 수동, 사용 안 함 | 1.1.0 |
| Siem과 클라우드 앱 보안 통합 | CMA_0340 - Siem과 클라우드 앱 보안 통합 | 수동, 사용 안 함 | 1.1.0 |
| 가상 머신 확장 집합에서 나열된 가상 머신 이미지의 Log Analytics 확장을 사용하도록 설정해야 함 | 가상 머신 이미지가 정의된 목록에 없고 확장이 설치되어 있지 않은 경우 가상 머신 확장 집합을 비규격으로 보고합니다. | AuditIfNotExists, 사용 안 함 | 2.0.1 |
| 스토리지용 Microsoft Defender를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위 및 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Network Watcher 흐름 로그에 트래픽 분석을 사용할 수 있어야 함 | 트래픽 분석은 흐름 로그를 분석하여 Azure 클라우드의 트래픽 흐름에 대한 인사이트를 제공합니다. Azure 구독 전체에서 네트워크 활동을 시각화하고, 핫스폿을 식별하고, 보안 위협을 식별하고, 트래픽 흐름 패턴을 파악하고, 네트워크 오류를 정확하게 파악하는 데 사용할 수 있습니다. | 감사, 사용 안 함 | 1.0.1 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 감사 이벤트 실패에 대한 실시간 경고 제공 | CMA_C1114 - 감사 이벤트 실패에 대한 실시간 경고 제공 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| Batch 계정에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
| Key Vault에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
| Logic Apps의 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.1.0 |
| Search Services에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
| Service Bus에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
| 계정 프로비저닝 로그 검토 | CMA_0460 - 계정 프로비저닝 로그 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 관리자 할당 검토 | CMA_0461 - 매주 관리자 할당 검토 | 수동, 사용 안 함 | 1.1.0 |
| 감사 데이터 검토 | CMA_0466 - 감사 데이터 검토 | 수동, 사용 안 함 | 1.1.0 |
| 클라우드 ID 보고서 개요 검토 | CMA_0468 - 클라우드 ID 보고서 개요 검토 | 수동, 사용 안 함 | 1.1.0 |
| 제어된 폴더 액세스 이벤트 검토 | CMA_0471 - 제어된 폴더 액세스 이벤트 검토 | 수동, 사용 안 함 | 1.1.0 |
| 악용 방지 이벤트 검토 | CMA_0472 - 악용 방지 이벤트 검토 | 수동, 사용 안 함 | 1.1.0 |
| 파일 및 폴더 작업 검토 | CMA_0473 - 파일 및 폴더 작업 검토 | 수동, 사용 안 함 | 1.1.0 |
| 매주 역할 그룹 변경 내용 검토 | CMA_0476 - 매주 역할 그룹 변경 내용 검토 | 수동, 사용 안 함 | 1.1.0 |
| 로그 암호화를 위해 Azure Monitor에 저장된 쿼리를 고객 스토리지 계정에 저장해야 함 | 저장소 계정을 Log Analytics 작업 영역에 연결하여 저장소 계정 암호화로 저장된 쿼리를 보호합니다. 고객 관리형 키는 일반적으로 규정 준수를 충족하고 Azure Monitor에 저장된 쿼리에 대한 액세스를 보다 강력하게 제어하는 데 필요합니다. 위의 항목에 대한 자세한 내용은 https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries를 참조하세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정은 BYOK로 암호화해야 합니다. | 이 정책은 활동 로그가 있는 컨테이너를 포함하는 스토리지 계정이 BYOK로 암호화되었는지 감사합니다. 이 정책은 스토리지 계정이 기본적으로 활동 로그와 같은 구독에 있는 경우에만 작동합니다. Azure Storage 저장 데이터 암호화에 대한 자세한 내용은 https://aka.ms/azurestoragebyok를 참조하세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Virtual Machine Scale Sets에 Log Analytics 확장을 설치해야 함 | 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 모든 Windows/Linux Virtual Machine Scale Sets에 대해 감사를 수행합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
| 가상 머신에 Log Analytics 확장이 설치되어 있어야 함 | 이 정책은 Log Analytics 확장이 설치되어 있지 않은 경우 모든 Windows/Linux 가상 머신에 대해 감사를 수행합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
로컬 또는 원격 SWIFT 환경 내부 및 내부의 비정상적인 네트워크 활동을 검색하고 억제합니다.
ID: SWIFT CSCF v2022 6.5A 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Linux 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
| [미리 보기]: Windows 가상 머신에 네트워크 트래픽 데이터 수집 에이전트를 설치해야 함 | Security Center에서는 Microsoft Dependency Agent를 사용하여 Azure 가상 머신에서 네트워크 트래픽 데이터를 수집함으로써 네트워크 맵의 트래픽 시각화, 네트워크 강화 권장 사항 및 특정 네트워크 위협과 같은 고급 네트워크 보호 기능을 활성화합니다. | AuditIfNotExists, 사용 안 함 | 1.0.2-preview |
| 인터넷 연결 가상 머신에 적응형 네트워크 강화 권장 사항을 적용해야 함 | Azure Security Center는 인터넷 연결 가상 머신의 트래픽 패턴을 분석하고 잠재적 공격 노출 영역을 줄이는 네트워크 보안 그룹 규칙 권장 사항을 제공합니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 정보 유출에 대한 경고 담당자 | CMA_0007 - 직원에게 정보 유출 경고 | 수동, 사용 안 함 | 1.1.0 |
| voip 권한 부여, 모니터링 및 제어 | CMA_0025 - voip 권한 부여, 모니터링 및 제어 | 수동, 사용 안 함 | 1.1.0 |
| Azure Defender for App Service를 사용하도록 설정해야 함 | Azure Defender for App Service는 클라우드의 규모와 Azure가 클라우드 공급자로서 가지고 있는 가시성을 활용하여 일반적인 웹앱 공격을 모니터링합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| Azure Defender for Key Vault를 사용하도록 설정해야 함 | Azure Defender for Key Vault는 키 자격 증명 모음 계정에 액세스하거나 이를 악용하려는 비정상적이고 잠재적으로 유해한 시도를 감지하여 보안 인텔리전스에 추가 보호 계층을 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 서버용 Azure Defender를 사용하도록 설정해야 함 | 서버용 Azure Defender는 서버 워크로드에 대한 실시간 위협 방지 기능을 제공하고 강화된 권장 사항과 의심스러운 활동에 대한 경고를 생성합니다. | AuditIfNotExists, 사용 안 함 | 1.0.3 |
| 승인되지 않았거나 승인되지 않은 네트워크 서비스 검색 | CMA_C1700 - 승인되거나 승인되지 않은 네트워크 서비스 검색 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 문서 보안 운영 | CMA_0202 - 문서 보안 운영 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
| 게이트웨이 관리 | CMA_0363 - 게이트웨이 관리 | 수동, 사용 안 함 | 1.1.0 |
| 스토리지용 Microsoft Defender를 사용하도록 설정해야 함 | 스토리지용 Microsoft Defender는 스토리지 계정에 대한 잠재적 위협을 탐지합니다. 악의적인 파일 업로드, 중요한 데이터 반출 및 데이터 손상 등 데이터 및 워크로드에 미치는 세 가지 주요 영향을 방지하는 데 도움이 됩니다. 새 스토리지용 Defender 플랜에는 맬웨어 검사 및 중요한 데이터 위협 탐지가 포함됩니다. 이 플랜은 또한 적용 범위 및 비용을 더 잘 제어할 수 있도록 예측 가능한 가격 책정 구조(스토리지 계정당)를 제공합니다. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Network Watcher를 사용하도록 설정해야 함 | Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. | AuditIfNotExists, 사용 안 함 | 3.0.0 |
| 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | CMA_0484 - 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | 수동, 사용 안 함 | 1.1.0 |
| 조직의 새로운 최신 인기 클라우드 애플리케이션에 대한 자동화된 알림 설정 | CMA_0495 - 조직의 새로운 최신 클라우드 애플리케이션에 대한 자동화된 알림 설정 | 수동, 사용 안 함 | 1.1.0 |
| 엔드포인트 보안 솔루션에 대한 센서 켜기 | CMA_0514 - 엔드포인트 보안 솔루션에 대한 센서 켜기 | 수동, 사용 안 함 | 1.1.0 |
7. 인시던트 대응 및 정보 공유 계획
사이버 인시던트 관리에 일관되고 효과적인 접근 방식을 보장하세요.
ID: SWIFT CSCF v2022 7.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 보안 문제 해결 | CMA_C1742 - 정보 보안 문제 해결 | 수동, 사용 안 함 | 1.1.0 |
| 심각도가 높은 경고에 대해 이메일 알림을 사용하도록 설정해야 합니다. | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 심각도가 높은 경고에 대한 이메일 알림을 사용하도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| 심각도가 높은 경고에 대해 구독 소유자에게 이메일 알림을 사용하도록 설정해야 합니다. | 구독에 잠재적인 보안 위반이 있을 때 구독 소유자에게 알리려면 Security Center에서 심각도가 높은 경고에 대해 구독 소유자에게 이메일로 알리도록 설정합니다. | AuditIfNotExists, 사용 안 함 | 2.1.0 |
| 인시던트 클래스 및 수행한 작업 식별 | CMA_C1365 - 인시던트 클래스 및 수행한 작업 식별 | 수동, 사용 안 함 | 1.1.0 |
| 시뮬레이션된 이벤트를 인시던트 대응 교육에 통합 | CMA_C1356 - 시뮬레이션된 이벤트를 인시던트 대응 교육에 통합 | 수동, 사용 안 함 | 1.1.0 |
| 정보 유출 교육 제공 | CMA_0413 - 정보 유출 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | CMA_C1352 - 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 구독에 보안 문제에 대한 연락처 이메일 주소가 있어야 함 | 구독 중 하나에 잠재적인 보안 위반이 있을 때 조직의 관련 인원에게 알리려면 Security Center에서 이메일 알림을 받을 수 있도록 보안 연락처를 설정합니다. | AuditIfNotExists, 사용 안 함 | 1.0.1 |
모든 직원이 정기적인 인식 활동을 수행하여 보안 책임을 인식하고 이행하도록 하고 권한 있는 액세스 권한이 있는 직원의 보안 지식을 유지 관리합니다.
ID: SWIFT CSCF v2022 7.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 보안 및 프라이버시 교육 활동 문서화 | CMA_0198 - 보안 및 프라이버시 교육 활동 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 정기적으로 역할 기반 보안 교육 제공 | CMA_C1095 - 정기적으로 역할 기반 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 정기적으로 보안 인식 교육 제공 | CMA_C1091 - 정기적으로 보안 인식 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 개인 정보 학습 제공 | CMA_0415 - 개인 정보 학습 제공 | 수동, 사용 안 함 | 1.1.0 |
| 역할 기반 실습 제공 | CMA_C1096 - 역할 기반 실습 제공 | 수동, 사용 안 함 | 1.1.0 |
| 역할 기반 보안 교육 제공 | CMA_C1094 - 역할 기반 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 의심스러운 활동에 대한 역할 기반 교육 제공 | CMA_C1097 - 의심스러운 활동에 대한 역할 기반 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 내부자 위협에 대한 보안 인식 교육 제공 | CMA_0417 - 내부자 위협에 대한 보안 인식 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 액세스를 제공하기 전에 보안 교육 제공 | CMA_0418 - 액세스를 제공하기 전에 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 새 사용자를 위한 보안 교육 제공 | CMA_0419 - 새 사용자를 위한 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 업데이트된 보안 인식 교육 제공 | CMA_C1090 - 업데이트된 보안 인식 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
침투 테스트를 수행하여 운영 보안 구성의 유효성을 검사하고 보안 간격을 식별하세요.
ID: SWIFT CSCF v2022 7.3A 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 침투 테스트에 독립적인 팀 고용 | CMA_C1171 - 침투 테스트에 독립적인 팀 고용 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 보안 아키텍처를 빌드하도록 요구 | CMA_C1612 - 개발자가 보안 아키텍처를 빌드하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
사이버 공격 시나리오에 따라 조직의 위험 및 준비 상태를 평가하세요.
ID: SWIFT CSCF v2022 7.4A 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 위험 평가 수행 | CMA_C1543 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 및 결과 배포 | CMA_C1544 - 위험 평가 수행 및 결과 배포 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 및 결과 문서화 | CMA_C1542 - 위험 평가 수행 및 결과 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 수립 | CMA_0258 - 위험 관리 전략 수립 | 수동, 사용 안 함 | 1.1.0 |
| 위험 관리 전략 구현 | CMA_C1744 - 위험 관리 전략 구현 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 수행 | CMA_0388 - 위험 평가 수행 | 수동, 사용 안 함 | 1.1.0 |
| 위험 평가 정책 및 절차 검토 및 업데이트 | CMA_C1537 - 위험 평가 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
8. 성능 설정 및 모니터링
달성하려는 목표를 정식으로 설정하고 모니터링하여 가용성을 보장하세요.
ID: SWIFT CSCF v2022 8.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 개발 | CMA_C1244 - 대체 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 활동 모니터링에 대한 법적 의견 얻기 | CMA_C1688 - 시스템 활동 모니터링에 대한 법적 의견 얻기 | 수동, 사용 안 함 | 1.1.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 필수 비즈니스 기능의 연속성 플랜 | CMA_C1255 - 필수 비즈니스 기능의 연속성 플랜 | 수동, 사용 안 함 | 1.1.0 |
| 필수 비즈니스 기능 다시 시작 플랜 | CMA_C1253 - 필수 비즈니스 기능 다시 시작 플랜 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 모니터링 정보 제공 | CMA_C1689 - 필요에 따라 모니터링 정보 제공 | 수동, 사용 안 함 | 1.1.0 |
| 모든 임무 및 비즈니스 기능 다시 시작 | CMA_C1254 - 모든 임무 및 비즈니스 기능 다시 시작 | 수동, 사용 안 함 | 1.1.0 |
고객에게 서비스의 가용성, 용량 및 품질을 보장합니다.
ID: SWIFT CSCF v2022 8.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 용량 계획 수행 | CMA_C1252 - 용량 계획 수행 | 수동, 사용 안 함 | 1.1.0 |
| 관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
| 식별된 변칙에 대한 대체 작업 만들기 | CMA_C1711 - 식별된 변칙에 대한 대체 작업 만들기 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 개발 | CMA_C1244 - 대체 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
| 직원에게 실패한 보안 확인 테스트 알림 | CMA_C1710 - 직원에게 실패한 보안 확인 테스트 알림 | 수동, 사용 안 함 | 1.1.0 |
| 정의된 빈도로 보안 기능 확인 수행 | CMA_C1709 - 정의된 빈도로 보안 기능 확인 수행 | 수동, 사용 안 함 | 1.1.0 |
| 필수 비즈니스 기능의 연속성 플랜 | CMA_C1255 - 필수 비즈니스 기능의 연속성 플랜 | 수동, 사용 안 함 | 1.1.0 |
SWIFTNet 릴리스 및 FIN 표준의 조기 가용성을 보장하여 라이브로 전환하기 전에 고객이 적절한 테스트를 수행할 수 있도록 합니다.
ID: SWIFT CSCF v2022 8.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 코딩 취약성 해결 | CMA_0003 - 코딩 취약성 해결 | 수동, 사용 안 함 | 1.1.0 |
| 애플리케이션 보안 요구 사항 개발 및 문서화 | CMA_0148 - 애플리케이션 보안 요구 사항 개발 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 취득 계약의 정보 시스템 환경 문서화 | CMA_0205 - 취득 계약의 정보 시스템 환경 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 보안 소프트웨어 개발 프로그램 설정 | CMA_0259 - 보안 소프트웨어 개발 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 취약성 검사 수행 | CMA_0393 - 취약성 검사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 정보 시스템 결함 수정 | CMA_0427 - 정보 시스템 결함 수정 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 승인된 변경 내용 및 잠재적 영향을 문서화하도록 요구 | CMA_C1597 - 개발자가 승인된 변경 내용 및 잠재적 영향을 문서화하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 승인된 변경 내용만 구현하도록 요구 | CMA_C1596 - 개발자가 승인된 변경 내용만 구현하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 변경 무결성을 관리하도록 요구 | CMA_C1595 - 개발자가 변경 무결성을 관리하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 개발자가 보안 평가 플랜 실행의 증거를 생성하도록 요구 | CMA_C1602 - 개발자가 보안 평가 플랜 실행의 증거를 생성하도록 요구 | 수동, 사용 안 함 | 1.1.0 |
| 소프트웨어, 펌웨어 및 정보 무결성 확인 | CMA_0542 - 소프트웨어, 펌웨어 및 정보 무결성 확인 | 수동, 사용 안 함 | 1.1.0 |
9. 복원력을 통한 가용성 보장
공급자는 지역적 교란 또는 오작동이 발생하는 경우에도 고객이 서비스를 계속 사용할 수 있도록 보장해야 합니다.
ID: SWIFT CSCF v2022 9.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 인시던트 대응 테스트 수행 | CMA_0060 - 인시던트 대응 테스트 수행 | 수동, 사용 안 함 | 1.1.0 |
| 관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 개발 | CMA_C1244 - 대체 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
| 대체 계획 정책 및 절차 개발 | CMA_0156 - 대체 계획 정책 및 절차 개발 | 수동, 사용 안 함 | 1.1.0 |
| 정책 및 절차 배포 | CMA_0185 - 정책 및 절차 배포 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 대체 교육 제공 | CMA_0412 - 대체 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 시뮬레이션 공격 실행 | CMA_0486 - 시뮬레이션 공격 실행 | 수동, 사용 안 함 | 1.1.0 |
공급자는 현장 재난 발생 시 고객이 서비스를 계속 사용할 수 있도록 해야 합니다.
ID: SWIFT CSCF v2022 9.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 시스템 설명서 백업 수행 | CMA_C1289 - 정보 시스템 설명서 백업 수행 | 수동, 사용 안 함 | 1.1.0 |
| 별도의 대체 및 기본 스토리지 사이트 만들기 | CMA_C1269 - 별도의 대체 및 기본 스토리지 사이트 만들기 | 수동, 사용 안 함 | 1.1.0 |
| 대체 스토리지 사이트 보호 장치가 기본 사이트와 동일한지 확인 | CMA_C1268 - 대체 스토리지 사이트 보호 장치가 기본 사이트와 동일한지 확인 | 수동, 사용 안 함 | 1.1.0 |
| 복구 작업을 용이하게 하는 대체 스토리지 사이트 설정 | CMA_C1270 - 복구 작업을 용이하게 하는 대체 스토리지 사이트 설정 | 수동, 사용 안 함 | 1.1.0 |
| 백업 정보를 저장하고 검색할 대체 스토리지 사이트 설정 | CMA_C1267 - 백업 정보를 저장하고 검색할 대체 스토리지 사이트 설정 | 수동, 사용 안 함 | 1.1.0 |
| 대체 처리 사이트 설정 | CMA_0262 - 대체 처리 사이트 설정 | 수동, 사용 안 함 | 1.1.0 |
| 인터넷 서비스 공급자에 대한 요구 사항 설정 | CMA_0278 - 인터넷 서비스 공급자에 대한 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 대체 스토리지 사이트에서 잠재적인 문제 식별 및 완화 | CMA_C1271 - 대체 스토리지 사이트에서 잠재적인 문제 식별 및 완화 | 수동, 사용 안 함 | 1.1.0 |
| 운영 사이트로 사용할 대체 처리 사이트 준비 | CMA_C1278 - 운영 사이트로 사용할 대체 처리 사이트 준비 | 수동, 사용 안 함 | 1.1.0 |
| 중단 후 리소스 복구 및 재구성 | CMA_C1295 - 중단 후 리소스 복구 및 재구성 | 수동, 사용 안 함 | 1.1.1 |
| 리소스를 작동 상태로 복원 | CMA_C1297 - 리소스를 작동 상태로 복원 | 수동, 사용 안 함 | 1.1.1 |
| 백업 정보를 별도로 저장 | CMA_C1293 - 백업 정보를 별도로 저장 | 수동, 사용 안 함 | 1.1.0 |
| 백업 정보를 대체 스토리지 사이트로 전송 | CMA_C1294 - 백업 정보를 대체 스토리지 사이트로 전송 | 수동, 사용 안 함 | 1.1.0 |
서비스 출력소는 오류, 위험 또는 인시던트 발생 시 고객이 서비스를 계속 사용할 수 있도록 해야 합니다.
ID: SWIFT CSCF v2022 9.3 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 비즈니스 연속성 및 재해 복구 플랜 개발 및 문서화 | CMA_0146 - 비즈니스 연속성 및 재해 복구 플랜 개발 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 개발 | CMA_C1244 - 대체 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
| 자동 비상 조명 사용 | CMA_0209 - 자동 비상 조명 사용 | 수동, 사용 안 함 | 1.1.0 |
| 침투 테스트 방법론 구현 | CMA_0306 - 침투 테스트 방법론 구현 | 수동, 사용 안 함 | 1.1.0 |
| 사무실, 작업 공간, 보안 영역에 대한 물리적 보안 구현 | CMA_0323 - 사무실, 작업 영역, 보안 영역에 대한 물리적 보안 구현 | 수동, 사용 안 함 | 1.1.0 |
| 물리적 및 환경 정책 및 절차 검토 및 업데이트 | CMA_C1446 - 물리적 및 환경 정책 및 절차 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시뮬레이션 공격 실행 | CMA_0486 - 시뮬레이션 공격 실행 | 수동, 사용 안 함 | 1.1.0 |
공급자의 가용성 및 서비스 품질은 권장 SWIFT 연결 팩과 적절한 회선 대역폭의 사용을 통해 보장됩니다.
ID: SWIFT CSCF v2022 9.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| voip 권한 부여, 모니터링 및 제어 | CMA_0025 - voip 권한 부여, 모니터링 및 제어 | 수동, 사용 안 함 | 1.1.0 |
| 용량 계획 수행 | CMA_C1252 - 용량 계획 수행 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 경계 보호 구현 | CMA_0328 - 시스템 경계 보호 구현 | 수동, 사용 안 함 | 1.1.0 |
| 게이트웨이 관리 | CMA_0363 - 게이트웨이 관리 | 수동, 사용 안 함 | 1.1.0 |
| 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | CMA_0484 - 관리형 네트워크 액세스 지점을 통해 트래픽 라우팅 | 수동, 사용 안 함 | 1.1.0 |
10. 대규모 재해에 대비
잠재적으로 영향을 받는 당사자(서비스 부서 및 고객)에게 전달되는 문서화된 계획을 통해 비즈니스 연속성을 보장합니다.
ID: SWIFT CSCF v2022 10.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 관련 플랜을 사용하여 대체 플랜 조정 | CMA_0086 - 관련 플랜을 사용하여 대체 플랜 조정 | 수동, 사용 안 함 | 1.1.0 |
| 대체 플랜 개발 | CMA_C1244 - 대체 플랜 개발 | 수동, 사용 안 함 | 1.1.0 |
| 필수 비즈니스 기능의 연속성 플랜 | CMA_C1255 - 필수 비즈니스 기능의 연속성 플랜 | 수동, 사용 안 함 | 1.1.0 |
| 필수 비즈니스 기능 다시 시작 플랜 | CMA_C1253 - 필수 비즈니스 기능 다시 시작 플랜 | 수동, 사용 안 함 | 1.1.0 |
| 모든 임무 및 비즈니스 기능 다시 시작 | CMA_C1254 - 모든 임무 및 비즈니스 기능 다시 시작 | 수동, 사용 안 함 | 1.1.0 |
11. 주요 재해 발생시 모니터링
이벤트 모니터링 및 에스컬레이션을 위한 일관되고 효과적인 접근 방식을 보장합니다.
ID: SWIFT CSCF v2022 11.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 문서 보안 운영 | CMA_0202 - 문서 보안 운영 | 수동, 사용 안 함 | 1.1.0 |
| 시스템 활동 모니터링에 대한 법적 의견 얻기 | CMA_C1688 - 시스템 활동 모니터링에 대한 법적 의견 얻기 | 수동, 사용 안 함 | 1.1.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 필요에 따라 모니터링 정보 제공 | CMA_C1689 - 필요에 따라 모니터링 정보 제공 | 수동, 사용 안 함 | 1.1.0 |
| 엔드포인트 보안 솔루션에 대한 센서 켜기 | CMA_0514 - 엔드포인트 보안 솔루션에 대한 센서 켜기 | 수동, 사용 안 함 | 1.1.0 |
인시던트 관리를 위한 일관되고 효과적인 접근 방식을 보장합니다(문제 관리).
ID: SWIFT CSCF v2022 11.2 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정보 보안 이벤트 평가 | CMA_0013 - 정보 보안 이벤트 평가 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 테스트 수행 | CMA_0060 - 인시던트 대응 테스트 수행 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 보안 보호 기능 개발 | CMA_0161 - 보안 보호 기능 개발 | 수동, 사용 안 함 | 1.1.0 |
| 문서 보안 운영 | CMA_0202 - 문서 보안 운영 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 보호 사용 | CMA_0238 - 네트워크 보호 사용 | 수동, 사용 안 함 | 1.1.0 |
| 오염된 정보 제거 | CMA_0253 - 오염된 정보 제거 | 수동, 사용 안 함 | 1.1.0 |
| 정보 보안 프로그램 설정 | CMA_0263 - 정보 보안 프로그램 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 유출에 대한 응답으로 작업 실행 | CMA_0281 - 정보 유출에 대한 응답으로 작업 실행 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 클래스 및 수행한 작업 식별 | CMA_C1365 - 인시던트 클래스 및 수행한 작업 식별 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 처리 구현 | CMA_0318 - 인시던트 처리 구현 | 수동, 사용 안 함 | 1.1.0 |
| 시뮬레이션된 이벤트를 인시던트 대응 교육에 통합 | CMA_C1356 - 시뮬레이션된 이벤트를 인시던트 대응 교육에 통합 | 수동, 사용 안 함 | 1.1.0 |
| 데이터 위반 레코드 유지 관리 | CMA_0351 - 데이터 위반 레코드 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 플랜 유지 관리 | CMA_0352 - 인시던트 대응 플랜 유지 관리 | 수동, 사용 안 함 | 1.1.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 플랜 보호 | CMA_0405 - 인시던트 대응 플랜 보호 | 수동, 사용 안 함 | 1.1.0 |
| 정보 유출 교육 제공 | CMA_0413 - 정보 유출 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | CMA_C1352 - 인시던트 대응 정책 및 절차에 대한 검토 및 업데이트 | 수동, 사용 안 함 | 1.1.0 |
| 시뮬레이션 공격 실행 | CMA_0486 - 시뮬레이션 공격 실행 | 수동, 사용 안 함 | 1.1.0 |
| 제한된 사용자 보기 및 조사 | CMA_0545 - 제한된 사용자 보기 및 조사 | 수동, 사용 안 함 | 1.1.0 |
고객에게 영향을 미치는 경우 운영 오작동의 적절한 에스컬레이션을 보장합니다.
ID: SWIFT CSCF v2022 11.4 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 구현된 변경 내용을 문서화하는 프로세스 자동화 | CMA_C1195 - 구현된 변경 내용을 문서화하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | CMA_C1193 - 검토되지 않은 변경 제안을 강조 표시하는 프로세스 자동화 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 문서 보안 운영 | CMA_0202 - 문서 보안 운영 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 보호 사용 | CMA_0238 - 네트워크 보호 사용 | 수동, 사용 안 함 | 1.1.0 |
| 오염된 정보 제거 | CMA_0253 - 오염된 정보 제거 | 수동, 사용 안 함 | 1.1.0 |
| 변경 제어 프로세스 설정 및 문서화 | CMA_0265 - 변경 제어 프로세스 설정 및 문서화 | 수동, 사용 안 함 | 1.1.0 |
| 개발자를 위한 구성 관리 요구 사항 설정 | CMA_0270 - 개발자를 위한 구성 관리 요구 사항 설정 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 기능과 외부 공급자 간의 관계 설정 | CMA_C1376 - 인시던트 대응 기능과 외부 공급자 간의 관계 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 유출에 대한 응답으로 작업 실행 | CMA_0281 - 정보 유출에 대한 응답으로 작업 실행 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 처리 구현 | CMA_0318 - 인시던트 처리 구현 | 수동, 사용 안 함 | 1.1.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 구성 변경 제어에 대한 감사 수행 | CMA_0390 - 구성 변경 제어에 대한 감사 수행 | 수동, 사용 안 함 | 1.1.0 |
| 제한된 사용자 보기 및 조사 | CMA_0545 - 제한된 사용자 보기 및 조사 | 수동, 사용 안 함 | 1.1.0 |
고객이 업무 시간에 문제가 발생할 경우 효과적인 지원을 제공합니다.
ID: SWIFT CSCF v2022 11.5 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 인시던트 대응 계획 개발 | CMA_0145 - 인시던트 대응 계획 개발 | 수동, 사용 안 함 | 1.1.0 |
| 문서 보안 운영 | CMA_0202 - 문서 보안 운영 | 수동, 사용 안 함 | 1.1.0 |
| 네트워크 보호 사용 | CMA_0238 - 네트워크 보호 사용 | 수동, 사용 안 함 | 1.1.0 |
| 오염된 정보 제거 | CMA_0253 - 오염된 정보 제거 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 기능과 외부 공급자 간의 관계 설정 | CMA_C1376 - 인시던트 대응 기능과 외부 공급자 간의 관계 설정 | 수동, 사용 안 함 | 1.1.0 |
| 정보 유출에 대한 응답으로 작업 실행 | CMA_0281 - 정보 유출에 대한 응답으로 작업 실행 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 대응 직원 식별 | CMA_0301 - 인시던트 대응 직원 식별 | 수동, 사용 안 함 | 1.1.0 |
| 인시던트 처리 구현 | CMA_0318 - 인시던트 처리 구현 | 수동, 사용 안 함 | 1.1.0 |
| 위협에 대한 추세 분석 수행 | CMA_0389 - 위협에 대한 추세 분석 수행 | 수동, 사용 안 함 | 1.1.0 |
| 제한된 사용자 보기 및 조사 | CMA_0545 - 제한된 사용자 보기 및 조사 | 수동, 사용 안 함 | 1.1.0 |
12. 지식을 사용할 수 있는지 확인
SWIFT 인증 직원을 통해 고객에게 서비스 품질을 보장하세요.
ID: SWIFT CSCF v2022 12.1 소유권: 공유됨
| 이름 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| 정기적으로 역할 기반 보안 교육 제공 | CMA_C1095 - 정기적으로 역할 기반 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 역할 기반 보안 교육 제공 | CMA_C1094 - 역할 기반 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
| 액세스를 제공하기 전에 보안 교육 제공 | CMA_0418 - 액세스를 제공하기 전에 보안 교육 제공 | 수동, 사용 안 함 | 1.1.0 |
다음 단계
Azure Policy에 대한 추가 문서:
- 규정 준수 개요
- 이니셔티브 정의 구조를 참조합니다.
- Azure Policy 샘플의 다른 예제를 검토합니다.
- 정책 효과 이해를 검토합니다.
- 규정 비준수 리소스를 수정하는 방법을 알아봅니다.