Azure API for FHIR에 대한 Azure Policy 규정 준수 컨트롤
Important
Azure API for FHIR은 2026년 9월 30일에 사용 중지됩니다. 해당 날짜까지 마이그레이션 전략에 따라 Azure Health Data Services FHIR 서비스로 전환합니다. Azure API for FHIR의 사용 중지로 인해 2025년 4월 1일부터 신규 배포가 허용되지 않습니다. Azure Health Data Services FHIR 서비스는 고객이 다른 Azure 서비스에 통합된 FHIR, DICOM 및 MedTech 서비스를 관리할 수 있도록 하는 FHIR용 Azure API의 진화된 버전입니다.
Azure Policy의 규정 준수는 서로 다른 규정 준수 표준과 관련된 규정 준수 도메인 및 보안 제어에 대해 기본 제공으로 알려진 Microsoft 생성 및 관리형 이니셔티브 정의를 제공합니다. 이 페이지에는 Azure API for FHIR에 대한 규정 준수 도메인 및 보안 제어가 나열되어 있습니다. 보안 제어에 대한 기본 제공 기능을 개별적으로 할당하여 Azure 리소스가 특정 표준을 준수하도록 할 수 있습니다.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Policy Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Important
각 컨트롤은 하나 이상의 Azure Policy 정의와 연결되어 있습니다. 이러한 정책은 컨트롤에 대한 규정 준수를 평가하는 데 도움이 될 수 있습니다. 그러나 컨트롤과 하나 이상의 정책 간에 일 대 일 또는 완전한 일치가 없는 경우가 많습니다. 따라서 Azure Policy의 규격 준수는 정책 자체만을 나타냅니다. 이는 컨트롤의 모든 요구 사항을 완전히 준수한다는 것을 보장하지 않습니다. 또한 규정 준수 표준에는 현재 Azure Policy 정의에서 처리되지 않은 컨트롤이 포함되어 있습니다. 따라서 Azure Policy의 규정 준수는 전반적인 규정 준수 상태를 부분적으로 표시할 뿐입니다. 이 규정 준수 표준에 대한 컨트롤과 Azure Policy 규정 준수 정의 간의 연결은 시간이 지나면 변경될 수 있습니다.
CMMC Level 3
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - CMMC Level 3을 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 CMMC(사이버 보안 완성 모델 인증)를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 액세스 제어 | AC.1.001 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 정보 포함)에 대한 정보 시스템 액세스를 제한합니다. | CORS에서 모든 도메인이 API for FHIR에 액세스하도록 허용하지 않아야 함 | 1.1.0 |
| 액세스 제어 | AC.1.002 | 권한 있는 사용자가 실행할 수 있는 트랜잭션 유형 및 기능에 대한 정보 시스템 액세스를 제한합니다. | CORS에서 모든 도메인이 API for FHIR에 액세스하도록 허용하지 않아야 함 | 1.1.0 |
| 액세스 제어 | AC.2.016 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | CORS에서 모든 도메인이 API for FHIR에 액세스하도록 허용하지 않아야 함 | 1.1.0 |
| 구성 관리 | CM.3.068 | 불필요한 프로그램, 함수, 포트, 프로토콜 및 서비스의 사용을 제한, 사용 안 함 또는 차단합니다. | CORS에서 모든 도메인이 API for FHIR에 액세스하도록 허용하지 않아야 함 | 1.1.0 |
| 시스템 및 통신 보호 | SC.3.177 | CUI의 기밀성을 보호하기 위해 사용되는 경우 FIPS 인증 암호화를 사용합니다. | Azure API for FHIR은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 1.1.0 |
| 시스템 및 통신 보호 | SC.3.183 | 네트워크 통신 트래픽을 기본적으로 거부하고, 예외를 기준으로 허용합니다(즉, 모두 거부, 예외 기준 허용). | CORS에서 모든 도메인이 API for FHIR에 액세스하도록 허용하지 않아야 함 | 1.1.0 |
FedRAMP High
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - FedRAMP High를 참조하세요. 이 규정 준수 표준에 관한 자세한 내용은 FedRAMP High를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 액세스 제어 | AC-4 | 정보 흐름 적용 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | AC-17 | 원격 액세스 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | AC-17(1) | 자동화된 모니터링/제어 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC-7 | 경계 보호 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC-7(3) | 액세스 지점 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC-12 | 암호화 키 설정 및 관리 | Azure API for FHIR은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 1.1.0 |
FedRAMP Moderate
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - FedRAMP Moderate를 참조하세요. 이 규정 준수 표준에 관한 자세한 내용은 FedRAMP Moderate를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 액세스 제어 | AC-4 | 정보 흐름 적용 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | AC-17 | 원격 액세스 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | AC-17(1) | 자동화된 모니터링/제어 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC-7 | 경계 보호 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC-7(3) | 액세스 지점 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC-12 | 암호화 키 설정 및 관리 | Azure API for FHIR은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 1.1.0 |
NIST SP 800-171 R2
모든 Azure 서비스에 사용 가능한 Azure Policy 기본 제공이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - NIST SP 800-171 R2를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 NIST SP 800-171 R2를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 액세스 제어 | 3.1.1 | 권한 있는 사용자, 권한 있는 사용자를 대신하여 작동하는 프로세스 및 디바이스(다른 시스템 포함)에 대한 시스템 액세스 제어. | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | 3.1.12 | 원격 액세스 세션을 모니터링하고 제어합니다. | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | 3.1.13 | 원격 액세스 세션의 기밀성을 보호하기 위한 암호화 메커니즘을 사용합니다. | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | 3.1.14 | 관리되는 액세스 제어 지점을 통해 원격 액세스를 라우팅합니다. | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | 3.1.3 | 승인된 권한 부여에 따라 CUI의 흐름을 제어합니다. | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | 3.13.1 | 조직 시스템의 외부 경계 및 핵심 내부 경계에서 통신(즉, 조직 시스템에서 전송 또는 수신하는 정보)을 모니터링하고 제어하고 보호합니다. | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | 3.13.10 | 조직 시스템에서 사용되는 암호화에 대한 암호화 키를 설정하고 관리합니다. | Azure API for FHIR은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 1.1.0 |
| 시스템 및 통신 보호 | 3.13.2 | 조직 시스템 내에서 효과적인 정보 보안을 강화하는 아키텍처 설계, 소프트웨어 개발 기술 및 시스템 엔지니어링 원칙을 적용합니다. | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | 3.13.5 | 내부 네트워크에서 물리적으로 또는 논리적으로 분리된 공개적으로 액세스할 수 있는 시스템 구성 요소에 대한 하위 네트워크를 구현합니다. | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
NIST SP 800-53 Rev. 4
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - NIST SP 800-53 개정 4를 참조하세요. 이 규정 준수 표준에 관한 자세한 내용은 NIST SP 800-53 개정 4를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 액세스 제어 | AC-4 | 정보 흐름 적용 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | AC-17 | 원격 액세스 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | AC-17(1) | 자동화된 모니터링/제어 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC-7 | 경계 보호 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC-7(3) | 액세스 지점 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC-12 | 암호화 키 설정 및 관리 | Azure API for FHIR은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 1.1.0 |
NIST SP 800-53 Rev. 5
모든 Azure 서비스에서 사용할 수 있는 Azure Policy 기본 제공 사항이 이 규정 준수 표준에 매핑되는 방식을 검토하려면 Azure Policy 규정 준수 - NIST SP 800-53 개정 5를 참조하세요. 이 규정 준수 표준에 관한 자세한 내용은 NIST SP 800-53 개정 5를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| 액세스 제어 | AC-4 | 정보 흐름 적용 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | AC-17 | 원격 액세스 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 액세스 제어 | AC-17(1) | 모니터링 및 제어 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC-7 | 경계 보호 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC-7(3) | 액세스 지점 | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| 시스템 및 통신 보호 | SC-12 | 암호화 키 설정 및 관리 | Azure API for FHIR은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 1.1.0 |
NL BIO 클라우드 테마
모든 Azure 서비스에 사용할 수 있는 Azure Policy 기본 제공 기능이 이 규정 준수 표준에 매핑되는 방법을 검토하려면 NL BIO 클라우드 테마에 대한 Azure Policy 규정 준수 세부 정보를 참조하세요. 이 규정 준수 표준에 대한 자세한 내용은 기준 정보 보안 정부 사이버 보안 - 디지털 정부(digitaleoverheid.nl)를 참조하세요.
| 도메인 | 컨트롤 ID | 컨트롤 제목 | 정책 (Azure Portal) |
정책 버전 (GitHub) |
|---|---|---|---|---|
| U.05.2 데이터 보호 - 암호화 측정값 | U.05.2 | 클라우드 서비스에 저장된 데이터는 최신 기술로 보호됩니다. | Azure API for FHIR은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 1.1.0 |
| U.07.1 데이터 격리 - 격리됨 | U.07.1 | 데이터의 영구 격리는 다중 테넌트 아키텍처입니다. 패치는 제어된 방식으로 구현됩니다. | Azure API for FHIR은 프라이빗 링크를 사용해야 함 | 1.0.0 |
| U.11.3 암호화 서비스 - 암호화됨 | U.11.3 | 중요한 데이터는 항상 CSC에서 관리하는 프라이빗 키를 사용하여 암호화됩니다. | Azure API for FHIR은 고객 관리형 키를 사용하여 미사용 데이터를 암호화해야 함 | 1.1.0 |
다음 단계
이 문서에서는 Azure API for FHIR에 대한 Azure Policy 규정 준수 컨트롤에 대해 알아보았습니다. 자세한 내용은 참조하세요.
- Azure Policy 규정 준수에 대해 자세히 알아봅니다.
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
FHIR®은 HL7의 등록 상표이며, HL7의 사용 허가 하에 사용됩니다.