Azure Security Center의 보안 점수Secure score in Azure Security Center

보안 점수 소개Introduction to secure score

Azure Security Center에는 두 가지 주요 목표가 있습니다.Azure Security Center has two main goals:

  • 현재 보안 상황을 이해 하는 데 도움을 줍니다.to help you understand your current security situation
  • 효율적이 고 효과적으로 보안을 개선 하는 데 도움이 됩니다.to help you efficiently and effectively improve your security

이러한 목표를 달성 하는 데 사용할 수 있는 Security Center의 중앙 기능은 보안 점수 입니다.The central feature in Security Center that enables you to achieve those goals is secure score.

Security Center는 리소스, 구독 및 조직의 보안 이슈를 지속적으로 평가합니다.Security Center continually assesses your resources, subscriptions, and organization for security issues. 그런 다음, 현재 보안 상황을 한눈에 파악할 수 있도록 모든 결과를 단일 점수에 집계합니다. 즉, 점수가 높을수록 식별된 위험 수준은 낮습니다.It then aggregates all the findings into a single score so that you can tell, at a glance, your current security situation: the higher the score, the lower the identified risk level.

보안 점수는 Azure Portal 페이지에 백분율 값으로 표시 되지만 기본 값도 명확 하 게 표시 됩니다.The secure score is shown in the Azure portal pages as a percentage value, but the underlying values are also clearly presented:

포털에 표시 된 전체 보안 점수

보안을 강화 하려면 점수를 올리는 데 필요한 처리 중인 작업에 대해 Security Center의 권장 사항 페이지를 검토 합니다.To increase your security, review Security Center's recommendations page for the outstanding actions necessary to raise your score. 각 권장 사항에는 특정 문제를 해결 하는 데 도움이 되는 지침이 포함 되어 있습니다.Each recommendation includes instructions to help you remediate the specific issue.

권장 사항은 보안 제어 로 그룹화 됩니다.Recommendations are grouped into security controls. 각 컨트롤은 관련 된 보안 권장 사항의 논리적 그룹 이며 취약 한 공격 노출 영역을 반영 합니다.Each control is a logical group of related security recommendations, and reflects your vulnerable attack surfaces. 점수는 컨트롤 내의 단일 리소스에 대한 모든 권장 사항에 따라 수정해야만 향상됩니다.Your score only improves when you remediate all of the recommendations for a single resource within a control. 조직이 각 개별 공격 노출 영역을 얼마나 잘 보호 하 고 있는지 확인 하려면 각 보안 제어의 점수를 검토 합니다.To see how well your organization is securing each individual attack surface, review the scores for each security control.

자세한 내용은 아래의 보안 점수를 계산 하는 방법 을 참조 하세요.For more information, see How your secure score is calculated below.

보안 점수 액세스Access your secure score

다음 섹션에 설명 된 대로 Azure Portal를 통해 또는 프로그래밍 방식으로 전체 보안 점수 뿐만 아니라 구독 당 점수를 확인할 수 있습니다.You can find your overall secure score, as well as your score per subscription, through the Azure portal or programatically as described in the following sections:

포털에서 보안 점수 얻기Get your secure score from the portal

Security Center는 포털에서 점수를 두드러지게 표시 합니다. Security Center 개요 페이지의 첫 번째 주 타일입니다.Security Center displays your score prominently in the portal: it's the first main tile the Security Center overview page. 이 타일을 선택 하면 전용 보안 점수 페이지로 이동 하 여 구독 별로 세분화 된 점수를 볼 수 있습니다.Selecting this tile, takes you to the dedicated secure score page, where you'll see the score broken down by subscription. 단일 구독을 선택 하 여 우선 순위가 지정 된 권장 사항의 세부 목록과 구독의 점수를 수정 하 게 될 잠재적 영향을 확인 합니다.Select a single subscription to see the detailed list of prioritized recommendations and the potential impact that remediating them will have on the subscription's score.

Security Center의 포털 페이지에서 다음 위치에 보안 점수가 표시 됩니다.To recap, your secure score is shown in the following locations in Security Center's portal pages.

  • Security Center 개요 의 타일 (주 대시보드):In a tile on Security Center's Overview (main dashboard):

    Security Center 대시보드의 보안 점수

  • 전용 보안 점수 페이지에서 구독 및 관리 그룹에 대 한 보안 점수를 볼 수 있습니다.In the dedicated Secure score page you can see the secure score for your subscription and your management groups:

    Security Center의 보안 점수 페이지에서 구독에 대 한 보안 점수

    Security Center의 보안 점수 페이지에서 관리 그룹의 보안 점수

    참고

    충분 한 권한이 없는 모든 관리 그룹은 해당 점수를 "제한 됨"으로 표시 합니다.Any management groups for which you don't have sufficient permissions, will show their score as “Restricted.”

  • 권장 사항 페이지의 맨 위에:At the top of the Recommendations page:

    Security Center 권장 사항 페이지의 보안 점수

REST API에서 보안 점수 얻기Get your secure score from the REST API

보안 점수 API를 통해 점수에 액세스할 수 있습니다.You can access your score via the secure score API. API 메서드는 데이터를 쿼리할 수 있는 유연성을 제공하고, 시간 경과에 따른 보안 점수에 대한 사용자 고유의 보고 메커니즘을 빌드합니다.The API methods provide the flexibility to query the data and build your own reporting mechanism of your secure scores over time. 예를 들어 보안 점수 API 를 사용 하 여 특정 구독에 대 한 점수를 가져올 수 있습니다.For example, you can use the Secure Scores API to get the score for a specific subscription. 또한 보안 점수 컨트롤 API 를 사용 하 여 보안 제어 및 구독의 현재 점수를 나열할 수 있습니다.In addition, you can use the Secure Score Controls API to list the security controls and the current score of your subscriptions.

API를 통해 단일 보안 점수 검색

보안 점수 API를 기반으로 하는 도구에 대 한 예제는 GitHub 커뮤니티의 보안 점수 영역을 참조 하세요.For examples of tools built on top of the secure score API, see the secure score area of our GitHub community.

Azure 리소스 그래프 (ARG)에서 보안 점수 가져오기Get your secure score from Azure Resource Graph (ARG)

Azure 리소스 그래프를 사용 하면 강력한 필터링, 그룹화 및 정렬 기능을 통해 클라우드 환경에서 리소스 정보에 즉시 액세스할 수 있습니다.Azure Resource Graph provides instant access to resource information across your cloud environments with robust filtering, grouping, and sorting capabilities. Azure 구독 간에 프로그래밍 방식으로 또는 Azure Portal 내에서 정보를 쿼리하는 빠르고 효율적인 방법입니다.It's a quick and efficient way to query information across Azure subscriptions programmatically or from within the Azure portal. Azure Resource Graph에 대한 자세한 정보.Learn more about Azure Resource Graph.

인수를 사용 하 여 여러 구독의 보안 점수에 액세스 하려면:To access the secure score for multiple subscriptions with ARG:

  1. Azure Portal에서 Azure 리소스 그래프 탐색기 를 엽니다.From the Azure portal, open Azure Resource Graph Explorer.

    Azure 리소스 그래프 탐색기 시작 * * 권장 사항 페이지

  2. (지침을 보려면 아래 예제를 사용 하 여) Kusto 쿼리를 입력 합니다.Enter your Kusto query (using the examples below for guidance).

    • 이 쿼리는 구독 ID, 점의 현재 점수 및 백분율을 반환 하 고 구독의 최대 점수를 반환 합니다.This query returns the subscription ID, the current score in points and as a percentage, and the maximum score for the subscription.

      SecurityResources 
      | where type == 'microsoft.security/securescores' 
      | extend current = properties.score.current, max = todouble(properties.score.max)
      | project subscriptionId, current, max, percentage = ((current / max)*100)
      
    • 이 쿼리는 모든 보안 컨트롤의 상태를 반환 합니다.This query returns the status of all the security controls. 각 컨트롤에 대해 비정상 리소스의 수, 현재 점수 및 최대 점수를 얻을 수 있습니다.For each control, you'll get the number of unhealthy resources, the current score, and the maximum score.

      SecurityResources 
      | where type == 'microsoft.security/securescores/securescorecontrols'
      | extend SecureControl = properties.displayName, unhealthy = properties.unhealthyResourceCount, currentscore = properties.score.current, maxscore = properties.score.max
      | project SecureControl , unhealthy, currentscore, maxscore
      
  3. 쿼리 실행 을 선택 합니다.Select Run query.

시간에 따른 보안 점수 추적Tracking your secure score over time

Pro 계정이 있는 사용자 Power BI 경우 시간 에 따른 보안 점수 Power BI 대시보드를 사용 하 여 시간에 따른 보안 점수를 추적 하 고 변경 내용을 조사할 수 있습니다.If you're a Power BI user with a Pro account, you can use the Secure Score Over Time Power BI dashboard to track your secure score over time and investigate any changes.

GitHub의 Azure Security Center 커뮤니티 전용 영역에서 보안 점수를 사용 하 여 프로그래밍 방식으로 작업 하는 데 사용할 수 있는 다른 도구 뿐만 아니라이 대시보드를 찾을 수 있습니다. https://github.com/Azure/Azure-Security-Center/tree/master/Secure%20ScoreYou can find this dashboard, as well as other tools for working programatically with secure score, in the dedicated area of the Azure Security Center community on GitHub: https://github.com/Azure/Azure-Security-Center/tree/master/Secure%20Score

대시보드에는 보안 상태를 분석 하는 데 도움이 되는 다음과 같은 두 가지 보고서가 포함 되어 있습니다.The dashboard contains the following two reports to help you analyze your security status:

  • 리소스 요약 -리소스 상태와 관련 하 여 요약 된 데이터를 제공 합니다.Resources Summary - provides summarized data regarding your resources’ health.
  • 보안 점수 요약 -점수 진행률과 관련 하 여 요약 된 데이터를 제공 합니다.Secure Score Summary - provides summarized data regarding your score progress. "구독 당 시간에 따른 보안 점수" 차트를 사용 하 여 점수의 변화를 확인 합니다.Use the “Secure score over time per subscription” chart to view changes in the score. 점수가 크게 변경 되는 경우 변경 될 수 있는 가능한 변경 내용에 대해서는 "보안 점수에 영향을 줄 수 있는 검색 된 변경 내용" 표를 확인 합니다.If you notice a dramatic change in your score, check the “detected changes that may affect your secure score” table for possible changes that could have caused the change. 이 테이블에는 권장 사항 중 하나에 대해 보안 상태가 변경 된 리소스, 새로 배포 된 리소스 또는 리소스가 삭제 됩니다.This table presents deleted resources, newly deployed resources, or resources that their security status changed for one of the recommendations.

시간에 따른 보안 점수를 추적 하 고 변경 내용을 조사 하는 시간에 따른 선택적 보안 점수 Power BI 대시보드

보안 점수를 계산 하는 방법How your secure score is calculated

전체적인 보안 점수에 대한 각 보안 컨트롤의 기여도는 권장 사항 페이지에 명확히 표시됩니다.The contribution of each security control towards the overall secure score is shown clearly on the recommendations page.

향상된 보안 점수로 보안 컨트롤 도입The enhanced secure score introduces security controls

보안 컨트롤을 위한 가능한 모든 포인트를 구하려면 모든 리소스가 보안 컨트롤 내의 모든 보안 권장 사항을 준수해야 합니다.To get all the possible points for a security control, all your resources must comply with all of the security recommendations within the security control. 예를 들어, Security Center에는 관리 포트를 보호하는 방법에 대한 여러 권장 사항이 있습니다.For example, Security Center has multiple recommendations regarding how to secure your management ports. 보안 점수를 변경 하려면 모두 수정 해야 합니다.You'll need to remediate them all to make a difference to your secure score.

예를 들어 "시스템 업데이트 적용"이라는 보안 컨트롤의 최대 점수는 6포인트이며, 이 컨트롤의 잠재적 증가 값을 도구 설명에서 볼 수 있습니다.For example, the security control called "Apply system updates" has a maximum score of six points, which you can see in the tooltip on the potential increase value of the control:

보안 컨트롤 "시스템 업데이트 적용"The security control "Apply system updates"

시스템 업데이트 적용 컨트롤의 최대 점수는 항상 6입니다.The maximum score for this control, Apply system updates, is always 6. 이 예제에는 50개의 리소스가 있습니다.In this example, there are 50 resources. 따라서 최대 점수를 50으로 나누면 결과적으로 모든 리소스는 0.12포인트를 기여합니다.So we divide the max score by 50, and the result is that every resource contributes 0.12 points.

  • 잠재적 증가(0.12 x 8개의 비정상 리소스 = 0.96) - 컨트롤 내에서 사용할 수 있는 나머지 포인트입니다.Potential increase (0.12 x 8 unhealthy resources = 0.96) - The remaining points available to you within the control. 이 컨트롤의 모든 권장 사항을 수정하면 점수가 2%씩 증가합니다(이 경우 0.96포인트가 1포인트로 반올림됨).If you remediate all the recommendations in this control, your score will increase by 2% (in this case, 0.96 points rounded up to 1 point).
  • 현재 점수(0.12 x 42개의 정상 리소스 = 5.04) - 이 컨트롤의 현재 점수입니다.Current score (0.12 x 42 healthy resources = 5.04) - The current score for this control. 각 컨트롤의 점수로 전체 점수를 계산합니다.Each control contributes towards the total score. 이 예제에서 이 컨트롤은 현재 보안 합계에서 5.04포인트를 차지합니다.In this example, the control is contributing 5.04 points to current secure total.
  • 최대 점수 - 컨트롤 내의 모든 권장 사항을 완료하여 얻을 수 있는 최대 포인트입니다.Max score - The maximum number of points you can gain by completing all recommendations within a control. 컨트롤의 최대 점수는 해당 컨트롤의 상대적 중요도를 나타냅니다.The maximum score for a control indicates the relative significance of that control. 가장 먼저 작업할 이슈를 심사하려면 최대 점수 값을 사용합니다.Use the max score values to triage the issues to work on first.

계산 - 점수 이해Calculations - understanding your score

메트릭Metric 수식 및 예제Formula and example
보안 컨트롤의 현재 점수Security control's current score
보안 컨트롤의 점수를 계산 하는 수식Equation for calculating a security control's score

각 개별 보안 컨트롤은 보안 점수에 기여합니다.Each individual security control contributes towards the Security Score. 컨트롤 내의 권장 구성에 의해 영향을 받는 각 리소스는 컨트롤의 현재 점수에 기여합니다.Each resource affected by a recommendation within the control, contributes towards the control's current score. 각 컨트롤의 현재 점수는 컨트롤 리소스의 상태를 측정한 것입니다.The current score for each control is a measure of the status of the resources within the control.
보안 컨트롤의 현재 점수를 계산할 때 사용되는 값을 보여 주는 도구 설명Tooltips showing the values used when calculating the security control's current score
이 예제에서 최대 점수 6은 정상 및 비정상 리소스의 합계인 78로 나뉩니다.In this example, the max score of 6 would be divided by 78 because that's the sum of the healthy and unhealthy resources.
6 / 78 = 0.07696 / 78 = 0.0769
이 값에 정상 리소스의 수(4)를 곱하여 현재 점수가 됩니다.Multiplying that by the number of healthy resources (4) results in the current score:
0.0769 * 4 = 0.310.0769 * 4 = 0.31

보안 점수Secure score
단일 구독Single subscription

구독의 보안 점수를 계산 하는 수식

모든 컨트롤이 사용하도록 설정된 단일 구독 보안 점수
이 예제에는 모든 보안 컨트롤을 사용할 수 있는 단일 구독이 있습니다(잠재적 최대 점수 60포인트).In this example, there is a single subscription with all security controls available (a potential maximum score of 60 points). 점수로는 가능한 60포인트 중에서 28포인트가 표시되고 나머지 32포인트는 보안 컨트롤의 "잠재적 점수 증가" 수치에 반영됩니다.The score shows 28 points out of a possible 60 and the remaining 32 points are reflected in the "Potential score increase" figures of the security controls.
컨트롤 목록 및 잠재적 점수 증가
보안 점수Secure score
여러 구독Multiple subscriptions

여러 구독에 대 한 보안 점수를 계산 하는 수식Equation for calculating the secure score for multiple subscriptions

여러 구독에 대 한 결합 된 점수를 계산할 때 Security Center는 각 구독에 대 한 가중치 를 포함 합니다.When calculating the combined score for multiple subscriptions, Security Center includes a weight for each subscription. 구독에 대 한 상대적 가중치는 리소스 수와 같은 요소에 따라 Security Center에 의해 결정 됩니다.The relative weights for your subscriptions are determined by Security Center based on factors such as the number of resources.
각 구독에 대 한 현재 점수는 단일 구독에 대 한 것과 동일한 방식으로 계산 되지만, 그 다음에는 수식에 표시 된 대로 가중치가 적용 됩니다.The current score for each subscription is calculated in the same way as for a single subscription, but then the weight is applied as shown in the equation.
여러 구독을 볼 때 보안 점수는 설정된 모든 정책 내의 모든 리소스를 평가하고, 각 보안 컨트롤의 최대 점수에 미치는 조합된 영향을 그룹화합니다.When viewing multiple subscriptions, secure score evaluates all resources within all enabled policies and groups their combined impact on each security control's maximum score.
모든 컨트롤이 사용하도록 설정된 여러 구독의 보안 점수Secure score for multiple subscriptions with all controls enabled
조합된 점수는 평균이 아니며, 모든 구독에서 모든 리소스의 상태를 평가한 것입니다.The combined score is not an average; rather it's the evaluated posture of the status of all resources across all subscriptions.
여기서도 권장 사항 페이지로 이동하여 사용할 수 있는 잠재적 포인트를 추가하면 현재 점수(24)와 사용 가능한 최대 점수(60) 간에 차이가 있다는 것을 알 수 있습니다.Here too, if you go to the recommendations page and add up the potential points available, you will find that it's the difference between the current score (24) and the maximum score available (60).

보안 점수 계산에 포함 되는 권장 사항은 무엇입니까?Which recommendations are included in the secure score calculations?

기본 제공 권장 사항만 보안 점수에 영향을 줍니다.Only built-in recommendations have an impact on the secure score.

미리 보기로 플래그가 지정 된 권장 사항은 보안 점수 계산에 포함 되지 않습니다.Recommendations flagged as Preview aren't included in the calculations of your secure score. 미리 보기 기간이 종료되면 점수에 기여할 수 있도록 가능한 경우 언제든지 수정해야 합니다.They should still be remediated wherever possible, so that when the preview period ends they'll contribute towards your score.

미리 보기 추천 사항의 예는 다음과 같습니다.An example of a preview recommendation:

미리 보기 플래그가 있는 추천 사항

보안 점수 향상Improve your secure score

보안 점수를 향상시키려면 권장 사항 목록에서 보안 권장 사항을 수정하세요.To improve your secure score, remediate security recommendations from your recommendations list. 각 리소스에 대해 각 권장 사항을 수동으로 수정하거나 빠른 수정!You can remediate each recommendation manually for each resource, or by using the Quick Fix! 옵션(사용 가능한 경우)을 사용하여 권장 사항의 수정 작업을 리소스 그룹에 빠르게 적용할 수 있습니다.option (when available) to apply a remediation for a recommendation to a group of resources quickly. 자세한 내용은 권장 사항에 따라 수정을 참조하세요.For more information, see Remediate recommendations.

점수를 개선 하 고 사용자가 점수에 부정적인 영향을 주는 리소스를 만들지 않도록 하는 또 다른 방법은 관련 권장 사항에 대해 적용 및 거부 옵션을 구성 하는 것입니다.Another way to improve your score and ensure your users don't create resources that negatively impact your score is to configure the Enforce and Deny options on the relevant recommendations. 적용/거부 추천 사항을 사용하여 구성 오류 방지에서 자세히 알아보세요.Learn more in Prevent misconfigurations with Enforce/Deny recommendations.

보안 제어 및 해당 권장 사항Security controls and their recommendations

다음 표에서는 Azure Security Center의 보안 컨트롤을 나열합니다.The table below lists the security controls in Azure Security Center. 각 컨트롤에 대해 모든 리소스의 컨트롤에 나열된 모든 권장 사항에 따라 수정할 경우 보안 점수에 추가될 수 있는 최대 포인트를 확인할 수 있습니다.For each control, you can see the maximum number of points you can add to your secure score if you remediate all of the recommendations listed in the control, for all of your resources.

Security Center와 함께 제공 되는 보안 권장 사항 집합은 각 조직의 환경에서 사용할 수 있는 리소스에 맞게 조정 됩니다.The set of security recommendations provided with Security Center is tailored to the available resources in each organization’s environment. 권장 사항에서 정책을 사용 하지 않도록 설정 하 고 특정 리소스를 제외하 여 권장 사항을 추가로 사용자 지정할 수 있습니다.The recommendations can be further customized by disabling policies and exempting specific resources from a recommendation.

모든 조직에서 할당 된 Azure Policy 이니셔티브를 신중 하 게 검토 하는 것이 좋습니다.We recommend every organization carefully review their assigned Azure Policy initiatives.

이니셔티브 검토 및 편집에 대 한 자세한 내용은 보안 정책 사용을 참조 하세요.For details of reviewing and editing your initiatives, see Working with security policies.

Security Center의 기본 보안 이니셔티브는 업계 모범 사례 및 표준을 기반으로 하지만 아래에 나열 된 기본 제공 권장 사항이 조직에 완전히 맞지 않는 시나리오가 있습니다.Even though Security Center’s default security initiative is based on industry best practices and standards, there are scenarios in which the built-in recommendations listed below might not completely fit your organization. 따라서 보안을 손상 시 키 지 않고 기본 이니셔티브를 조정 해야 하는 경우가 있습니다.Consequently, it’ll sometimes be necessary to adjust the default initiative - without compromising security - to ensure it’s aligned with your organization’s own policies. 충족 해야 하는 업계 표준, 규정 표준 및 벤치 마크입니다.industry standards, regulatory standards, and benchmarks you’re obligated to meet.

보안 컨트롤, 제어 및 설명Security control, score, and description
권장 사항Recommendations

MFA 사용(최대 점수 10)

Enable MFA (max score 10)

암호만 사용하여 사용자를 인증하면 공격 노출 영역이 열리게 됩니다.
If you only use a password to authenticate a user, it leaves an attack vector open. 암호가 약하거나 다른 곳에 노출된 경우 실제로 사용자 이름과 암호를 사용하는 사용자 로그인일까요?If the password is weak or has been exposed elsewhere, is it really the user signing in with the username and password?
MFA를 사용하도록 설정하면 계정이 더 안전하게 유지되고 사용자는 SSO(Single Sign-On)를 사용하여 거의 모든 애플리케이션에서 인증을 받을 수 있습니다.With MFA enabled, your accounts are more secure, and users can still authenticate to almost any application with single sign-on (SSO).
- 구독에서 소유자 권한이 있는 계정에 MFA를 사용하도록 설정해야 합니다.- MFA should be enabled on accounts with owner permissions on your subscription
- 구독에서 쓰기 권한이 있는 계정에 MFA를 사용하도록 설정해야 합니다.- MFA should be enabled accounts with write permissions on your subscription

보안 관리 포트(최대 점수 8)

Secure management ports (max score 8)

무차별 암호 대입 공격(brute force attack)은 VM에 액세스하기 위해 관리 포트를 대상으로 합니다.
Brute force attacks target management ports to gain access to a VM. 포트는 항상 열려 있어야 하는 것은 아니므로 Just-In-Time 네트워크 액세스 제어, 네트워크 보안 그룹 및 가상 머신 포트 관리를 사용하여 포트에 대한 노출을 줄이는 것이 한 가지 완화 전략입니다.Since the ports don’t always need to be open, one mitigation strategy is to reduce exposure to the ports using just-in-time network access controls, network security groups, and virtual machine port management.
많은 IT 조직이 네트워크에서 SSH 통신 아웃바운드를 차단하지 않으므로 공격자는 감염된 시스템의 RDP 포트가 공격자 명령과 다시 통신하여 서버를 제어하도록 허용하는 암호화된 터널을 만들 수 있습니다.Since many IT organizations don't block SSH communications outbound from their network, attackers can create encrypted tunnels that allow RDP ports on infected systems to communicate back to the attacker command to control servers. 공격자는 Windows 원격 관리 하위 시스템을 사용하여 사용자 환경에서 수평으로 이동하고 도난 당한 자격 증명을 사용하여 네트워크의 다른 리소스에 액세스할 수 있습니다.Attackers can use the Windows Remote Management subsystem to move laterally across your environment and use stolen credentials to access other resources on a network.
- 가상 컴퓨터의 관리 포트를 just-in-time 네트워크 액세스 제어로 보호 해야 합니다.- Management ports of virtual machines should be protected with just-in-time network access control
- 가상 머신을 네트워크 보안 그룹과 연결해야 합니다.- Virtual machines should be associated with a Network Security Group
- 가상 머신에서 관리 포트를 닫아야 합니다.- Management ports should be closed on your virtual machines

시스템 업데이트 적용(최대 점수 6)

Apply system updates (max score 6)

시스템 업데이트는 조직에 운영 효율성을 유지하고, 보안 취약성을 줄이고, 최종 사용자에게 보다 안정적인 환경을 제공하는 기능을 제공합니다.
System updates provide organizations with the ability to maintain operational efficiency, reduce security vulnerabilities, and provide a more stable environment for end users. 업데이트를 적용하지 않으면 패치가 적용되지 않은 취약한 상태가 되고 공격에 취약한 환경이 발생합니다.Not applying updates leaves unpatched vulnerabilities and results in environments that are susceptible to attacks. 이러한 취약성이 악용될 수 있으며 데이터 손실, 데이터 반출, 랜섬웨어 및 리소스 남용으로 이어질 수 있습니다.These vulnerabilities can be exploited and lead to data loss, data exfiltration, ransomware, and resource abuse. 시스템 업데이트를 배포하려면 업데이트 관리 솔루션을 사용하여 가상 머신에 대한 패치 및 업데이트를 관리할 수 있습니다.To deploy system updates, you can use the Update Management solution to manage patches and updates for your virtual machines. 업데이트 관리는 소프트웨어 릴리스의 배포 및 유지 관리를 제어하는 프로세스입니다.Update management is the process of controlling the deployment and maintenance of software releases.
- 컴퓨터에서 모니터링 에이전트 상태 문제를 해결해야 합니다.- Monitoring agent health issues should be resolved on your machines
- 가상 머신 확장 집합에 모니터링 에이전트를 설치해야 합니다.- Monitoring agent should be installed on virtual machine scale sets
- 컴퓨터에 모니터링 에이전트를 설치해야 합니다.- Monitoring agent should be installed on your machines
- 클라우드 서비스 역할에 대해 OS 버전을 업데이트해야 합니다.- OS version should be updated for your cloud service roles
- 가상 머신 확장 집합에 대한 시스템 업데이트를 설치해야 합니다.- System updates on virtual machine scale sets should be installed
- 시스템 업데이트를 머신에 설치해야 합니다.- System updates should be installed on your machines
- 시스템 업데이트를 적용하려면 머신을 다시 시작해야 합니다.- Your machines should be restarted to apply system updates
- Kubernetes Services를 취약하지 않은 Kubernetes 버전으로 업그레이드해야 합니다.- Kubernetes Services should be upgraded to a non-vulnerable Kubernetes version
- 가상 머신에 모니터링 에이전트를 설치해야 합니다.- Monitoring agent should be installed on your virtual machines
- Log Analytics 에이전트는 Windows 기반 Azure Arc 컴퓨터 (미리 보기)에 설치 되어야 합니다.- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
- Linux 기반 Azure Arc 컴퓨터 (미리 보기)에 Log Analytics 에이전트를 설치 해야 합니다.- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)

취약성 해결(최대 점수 6)

Remediate vulnerabilities (max score 6)

취약성은 리소스의 기밀성, 가용성 또는 무결성을 손상시키기 위해 위협 행위자가 활용할 수 있는 약점입니다.
A vulnerability is a weakness that a threat actor could leverage, to compromise the confidentiality, availability, or integrity of a resource. 취약성 관리는 조직의 노출을 줄이고, 엔드포인트 노출 영역을 강화하고, 조직의 복원력을 높이고, 리소스의 공격 노출 영역을 줄입니다.Managing vulnerabilities reduces organizational exposure, hardens endpoint surface area, increases organizational resilience, and reduces the attack surface of your resources. 위협 및 취약성 관리는 소프트웨어 및 보안 구성 오류에 대한 가시성을 제공하고 완화에 대한 권장 사항을 제공합니다.Threat and Vulnerability Management provides visibility into software and security misconfigurations and provide recommendations for mitigations.
- SQL Database에서 고급 데이터 보안을 사용 하도록 설정 해야 합니다.- Advanced data security should be enabled on SQL Database
- Azure Container Registry 이미지의 취약성을 수정해야 합니다.- Vulnerabilities in Azure Container Registry images should be remediated
- SQL 데이터베이스의 취약성을 수정해야 합니다.- Vulnerabilities on your SQL databases should be remediated
- 취약성 평가 솔루션으로 취약성을 수정해야 합니다.- Vulnerabilities should be remediated by a Vulnerability Assessment solution
- SQL Managed Instance에서 취약성 평가를 사용 하도록 설정 해야 합니다.- Vulnerability assessment should be enabled on SQL Managed Instance
- SQL 서버에서 취약성 평가를 사용하도록 설정해야 합니다.- Vulnerability assessment should be enabled on your SQL servers
- 취약성 평가 솔루션을 가상 머신에 설치해야 합니다.- Vulnerability assessment solution should be installed on your virtual machines
- 컨테이너 이미지는 신뢰할 수 있는 레지스트리만 배포 해야 합니다 (미리 보기).- Container images should be deployed from trusted registries only (preview)
- Kubernetes 용 Azure Policy 추가 기능을 클러스터에 설치 하 고 사용 하도록 설정 해야 합니다 (미리 보기).- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)

미사용 암호화 사용(최대 점수 4)

Enable encryption at rest (max score 4)

미사용 데이터 암호화는 저장된 데이터에 대한 데이터 보호를 제공합니다.
Encryption at rest provides data protection for stored data. 미사용 데이터에 대한 공격에는 데이터가 저장된 하드웨어에 대한 물리적 액세스 권한을 얻습니다.Attacks against data at rest include attempts to gain physical access to the hardware on which the data is stored. Azures는 대칭 암호화를 사용하여 미사용 데이터를 암호화하고 해독합니다.Azures use symmetric encryption to encrypt and decrypt large amounts of data at rest. 데이터가 스토리지에 쓰여질 때 대칭 암호화 키를 사용하여 데이터를 암호화합니다.A symmetric encryption key is used to encrypt data as it is written to storage. 암호화 키를 사용하여 메모리에서 사용하도록 준비된 데이터의 암호를 해독합니다.That encryption key is also used to decrypt that data as it is readied for use in memory. 키는 ID 기반 액세스 제어 및 감사 정책으로 안전하게 보호되는 위치에 저장해야 합니다.Keys must be stored in a secure location with identity-based access control and audit policies. 이러한 보안 위치 중 하나는 Azure Key Vault입니다.One such secure location is Azure Key Vault. 공격자가 암호화된 데이터를 획득했지만 암호화 키는 획득하지 못한 경우 암호를 해독하지 않으면 데이터에 액세스할 수 없습니다.If an attacker obtains the encrypted data but not the encryption keys, the attacker can't access the data without breaking the encryption.
- 가상 머신에서 디스크 암호화를 적용해야 합니다.- Disk encryption should be applied on virtual machines
- SQL Database 투명한 데이터 암호화를 사용 하도록 설정 해야 합니다.- Transparent Data Encryption on SQL Database should be enabled
- Automation 계정 변수를 암호화해야 합니다.- Automation account variables should be encrypted
- Service Fabric 클러스터는 ClusterProtectionLevel 속성을 EncryptAndSign으로 설정해야 합니다.- Service Fabric clusters should have the ClusterProtectionLevel property set to EncryptAndSign
- SQL 서버 TDE 보호기는 고유한 키를 사용하여 암호화해야 합니다.- SQL server TDE protector should be encrypted with your own key

전송 중 데이터 암호화(최대 점수 4)

Encrypt data in transit (max score 4)

데이터는 구성 요소, 위치 또는 프로그램 간에 전송될 때 "전송 중" 상태입니다.
Data is “in transit” when it's transmitted between components, locations, or programs. 전송 중인 데이터 보호에 실패하는 조직은 가로채기(man-in-the-middle) 공격, 도청 및 세션 하이재킹에 대해 취약합니다.Organizations that fail to protect data in transit are susceptible to man-in-the-middle attacks, eavesdropping, and session hijacking. SSL/TLS 프로토콜을 사용하여 데이터를 교환하고 VPN을 사용하는 것이 좋습니다.SSL/TLS protocols should be used to exchange data and a VPN is recommended. 인터넷을 통해 Azure Virtual Machine과 온-프레미스 위치 간에 암호화된 데이터를 전송하는 경우 Azure VPN Gateway와 같은 가상 네트워크 게이트웨이를 사용하여 암호화된 트래픽을 보낼 수 있습니다.When sending encrypted data between an Azure virtual machine and an on-premise location, over the internet, you can use a virtual network gateway such as Azure VPN Gateway to send encrypted traffic.
- API 앱은 HTTPS를 통해서만 액세스할 수 있어야 합니다.- API App should only be accessible over HTTPS
- 함수 앱은 HTTPS를 통해서만 액세스할 수 있어야 합니다.- Function App should only be accessible over HTTPS
- Redis Cache에 보안 연결만 사용하도록 설정해야 합니다.- Only secure connections to your Redis Cache should be enabled
- 스토리지 계정에 보안 전송을 사용하도록 설정해야 합니다.- Secure transfer to storage accounts should be enabled
- 웹 애플리케이션은 HTTPS를 통해서만 액세스할 수 있어야 합니다.- Web Application should only be accessible over HTTPS
- PostgreSQL 서버에 대해 개인 끝점을 사용 하도록 설정 해야 합니다.- Private endpoint should be enabled for PostgreSQL servers
- PostgreSQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용 하도록 설정 해야 합니다.- Enforce SSL connection should be enabled for PostgreSQL database servers
- MySQL 데이터베이스 서버에 대해 SSL 연결 적용을 사용 하도록 설정 해야 함- Enforce SSL connection should be enabled for MySQL database servers
- TLS는 API 앱에 대 한 최신 버전으로 업데이트 해야 합니다.- TLS should be updated to the latest version for your API app
- TLS는 함수 앱에 대 한 최신 버전으로 업데이트 해야 합니다.- TLS should be updated to the latest version for your function app
- TLS는 웹 앱에 대 한 최신 버전으로 업데이트 되어야 합니다.- TLS should be updated to the latest version for your web app
- FTPS는 API 앱에 필요 합니다.- FTPS should be required in your API App
- FTPS는 함수 앱에 필요 합니다.- FTPS should be required in your function App
- 웹 앱에서 FTPS가 필요 합니다.- FTPS should be required in your web App

액세스 및 사용 권한 관리(최대 점수 4)

Manage access and permissions (max score 4)

보안 프로그램의 핵심 부분은 사용자에 게 작업을 수행하는 데 필요한 액세스 권한만 있는지 확인하는 것입니다. 즉, 최소 권한 액세스 모델을 따릅니다.
A core part of a security program is ensuring your users have the necessary access to do their jobs but no more than that: the least privilege access model.
Azure RBAC (역할 기반 액세스 제어)를 사용 하 여 역할 할당을 만들어 리소스에 대 한 액세스를 제어 합니다.Control access to your resources by creating role assignments with Azure role-based access control (Azure RBAC). 역할 할당은 다음과 같은 세 가지 요소로 구성됩니다.A role assignment consists of three elements:
- 보안 주체: 사용자가 해당 액세스를 요청하는 개체입니다.- Security principal: the object the user is requesting access to
- 역할 정의: 사용 권한- Role definition: their permissions
- 범위: 권한이 적용되는 리소스 세트입니다.- Scope: the set of resources to which the permissions apply
- 더 이상 사용되지 않는 계정을 구독에서 제거해야 합니다(미리 보기).- Deprecated accounts should be removed from your subscription (Preview)
- 소유자 권한이 있는 사용되지 않는 계정은 구독에서 제거해야 합니다(미리 보기).- Deprecated accounts with owner permissions should be removed from your subscription (Preview)
- 소유자 권한이 있는 외부 계정을 구독에서 제거해야 합니다(미리 보기).- External accounts with owner permissions should be removed from your subscription (Preview)
- 쓰기 권한이 있는 외부 계정을 구독에서 제거해야 합니다(미리 보기).- External accounts with write permissions should be removed from your subscription (Preview)
- 구독에 둘 이상의 소유자를 할당해야 합니다.- There should be more than one owner assigned to your subscription
- Azure RBAC (역할 기반 액세스 제어)는 Kubernetes Services (미리 보기)에서 사용 해야 합니다.- Azure role-based access control (Azure RBAC) should be used on Kubernetes Services (Preview)
- Service Fabric 클러스터는 클라이언트 인증에 대해서만 Azure Active Directory를 사용해야 합니다.- Service Fabric clusters should only use Azure Active Directory for client authentication
- 관리 인증서 대신 서비스 주체를 사용 하 여 구독을 보호 해야 합니다.- Service principals should be used to protect your subscriptions instead of Management Certificates
- 컨테이너 (미리 보기)에 대해 최소 권한 Linux 기능을 적용 해야 함- Least privileged Linux capabilities should be enforced for containers (preview)
- 컨테이너 (미리 보기)에 대해 변경할 수 없는 (읽기 전용) 루트 파일 시스템을 적용 해야 함- Immutable (read-only) root filesystem should be enforced for containers (preview)
- 권한 에스컬레이션이 있는 컨테이너를 사용 하지 않아야 함 (미리 보기)- Container with privilege escalation should be avoided (preview)
- 루트 사용자로 컨테이너를 실행 하는 것을 피해 야 함 (미리 보기)- Running containers as root user should be avoided (preview)
- 중요 한 호스트 네임 스페이스를 공유 하는 컨테이너를 피해 야 함 (미리 보기)- Containers sharing sensitive host namespaces should be avoided (preview)
- Pod HostPath 볼륨 탑재 사용은 알려진 목록 (미리 보기)으로 제한 되어야 합니다.- Usage of pod HostPath volume mounts should be restricted to a known list (preview)
- 권한 있는 컨테이너를 피해 야 함 (미리 보기)- Privileged containers should be avoided (preview)
- Kubernetes 용 Azure Policy 추가 기능을 클러스터에 설치 하 고 사용 하도록 설정 해야 합니다 (미리 보기).- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)
- API 앱에서 관리 id를 사용 해야 합니다.- Managed identity should be used in your API App
- 관리 id는 함수 앱에서 사용 해야 합니다.- Managed identity should be used in your function App
- 관리 id는 웹 앱에서 사용 해야 합니다.- Managed identity should be used in your web App

보안 구성 수정(최대 점수 4)

Remediate security configurations (max score 4)

잘못 구성된 IT 자산은 공격 당할 위험이 높습니다.
Misconfigured IT assets have a higher risk of being attacked. 자산을 배포하고 마감일을 충족해야 할 때는 기본 강화 작업을 잊는 경우가 많습니다.Basic hardening actions are often forgotten when assets are being deployed and deadlines must be met. 보안 구성 오류는 운영 체제 및 네트워크 어플라이언스에서 클라우드 리소스에 이르는 인프라의 모든 수준에서 나타날 수 있습니다.Security misconfigurations can be at any level in the infrastructure: from the operating systems and network appliances, to cloud resources.
Azure Security Center는 리소스 구성을 업계 표준, 규정 및 벤치마크의 요구 사항과 지속적으로 비교합니다.Azure Security Center continually compares the configuration of your resources with requirements in industry standards, regulations, and benchmarks. 조직에 중요한 관련 "규정 준수 패키지"(표준 및 기준)를 구성할 때 나타나는 간격을 토대로 CCEID와 잠재적 보안 영향에 대한 설명을 포함 하는 보안 권장 사항이 제공됩니다.When you've configured the relevant "compliance packages" (standards and baselines) that matter to your organization, any gaps will result in security recommendations that include the CCEID and an explanation of the potential security impact.
일반적으로 사용되는 패키지는 Azure Security 벤치마크CIS Microsoft Azure Foundations 벤치마크 버전 1.1.0입니다.Commonly used packages are Azure Security Benchmark and CIS Microsoft Azure Foundations Benchmark version 1.1.0
- 컨테이너 보안 구성의 취약성을 수정해야 합니다.- Vulnerabilities in container security configurations should be remediated
- 머신 보안 구성의 취약성을 수정해야 합니다.- Vulnerabilities in security configuration on your machines should be remediated
- 가상 머신 확장 집합에서 보안 구성의 취약성을 수정해야 합니다.- Vulnerabilities in security configuration on your virtual machine scale sets should be remediated
- 가상 머신에 모니터링 에이전트를 설치해야 합니다.- Monitoring agent should be installed on your virtual machines
- 컴퓨터에 모니터링 에이전트를 설치해야 합니다.- Monitoring agent should be installed on your machines
- Log Analytics 에이전트는 Windows 기반 Azure Arc 컴퓨터 (미리 보기)에 설치 되어야 합니다.- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
- Linux 기반 Azure Arc 컴퓨터 (미리 보기)에 Log Analytics 에이전트를 설치 해야 합니다.- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)
- 가상 머신 확장 집합에 모니터링 에이전트를 설치해야 합니다.- Monitoring agent should be installed on virtual machine scale sets
- 컴퓨터에서 모니터링 에이전트 상태 문제를 해결해야 합니다.- Monitoring agent health issues should be resolved on your machines
- 컨테이너 AppArmor 프로필을 재정의 하거나 사용 하지 않도록 설정 해야 합니다 (미리 보기).- Overriding or disabling of containers AppArmor profile should be restricted (preview)
- Kubernetes 용 Azure Policy 추가 기능을 클러스터에 설치 하 고 사용 하도록 설정 해야 합니다 (미리 보기).- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)

무단 네트워크 액세스 제한(최대 점수 4)

Restrict unauthorized network access (max score 4)

조직 내의 엔드포인트는 가상 네트워크에서 지원되는 Azure 서비스로의 직접 연결을 제공합니다.
Endpoints within an organization provide a direct connection from your virtual network to supported Azure services. 서브넷의 가상 머신은 모든 리소스와 통신할 수 있습니다.Virtual machines in a subnet can communicate with all resources. 서브넷 내의 리소스 간에 통신을 제한하려면 네트워크 보안 그룹을 만들고, 서브넷에 연결합니다.To limit communication to and from resources within a subnet, create a network security group and associate it to the subnet. 조직은 인바운드 및 아웃바운드 규칙을 만들어 권한이 없는 트래픽을 제한하고 보호할 수 있습니다.Organizations can limit and protect against unauthorized traffic by creating inbound and outbound rules.
- 가상 머신에서 IP 전달을 사용하지 않도록 설정해야 합니다.- IP forwarding on your virtual machine should be disabled
- Kubernetes Service에 권한 있는 IP 범위를 정의해야 합니다(미리 보기).- Authorized IP ranges should be defined on Kubernetes Services (Preview)
- (더 이상 사용되지 않음) App Services에 대한 액세스를 제한해야 합니다(미리 보기).- (DEPRECATED) Access to App Services should be restricted (Preview)
- (더 이상 사용되지 않음) IaaS NSG의 웹 애플리케이션에 대한 규칙을 강화해야 합니다.- (DEPRECATED) The rules for web applications on IaaS NSGs should be hardened
- 가상 머신을 네트워크 보안 그룹과 연결해야 합니다.- Virtual machines should be associated with a Network Security Group
- CORS에서 모든 리소스가 API 앱에 액세스하도록 허용하지 않아야 합니다.- CORS should not allow every resource to access your API App
- CORS에서 모든 리소스가 함수 앱에 액세스하도록 허용하지 않아야 합니다.- CORS should not allow every resource to access your Function App
- CORS에서 모든 리소스가 웹 애플리케이션에 액세스하도록 허용하지 않아야 합니다.- CORS should not allow every resource to access your Web Application
- API 앱에 대해 원격 디버깅을 해제해야 합니다.- Remote debugging should be turned off for API App
- 함수 앱에 대해 원격 디버깅을 해제해야 합니다.- Remote debugging should be turned off for Function App
- 웹 애플리케이션에 대해 원격 디버깅을 해제해야 합니다.- Remote debugging should be turned off for Web Application
- 인터넷 연결 VM을 포함하는 허용되는 네트워크 보안 그룹에 대한 액세스를 제한해야 합니다.- Access should be restricted for permissive Network Security Groups with Internet-facing VMs
- 적응 네트워크 강화 권장 사항은 인터넷 연결 가상 컴퓨터에 적용 해야 합니다.- Adaptive network hardening recommendations should be applied on internet facing virtual machines
- Kubernetes 용 Azure Policy 추가 기능을 클러스터에 설치 하 고 사용 하도록 설정 해야 합니다 (미리 보기).- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)
- 컨테이너는 허용 된 포트만 수신 해야 함 (미리 보기)- Containers should listen on allowed ports only (preview)
- 서비스는 허용 된 포트만 (미리 보기)에서 수신 해야 합니다.- Services should listen on allowed ports only (preview)
- 호스트 네트워킹 및 포트 사용은 제한 되어야 합니다 (미리 보기).- Usage of host networking and ports should be restricted (preview)
- Azure 방화벽 (미리 보기)으로 가상 네트워크를 보호 해야 합니다.- Virtual networks should be protected by Azure Firewall (preview)
- 개인 끝점은 MariaDB 서버에 대해 사용 하도록 설정 해야 합니다.- Private endpoint should be enabled for MariaDB servers
- MySQL 서버에 대해 개인 끝점을 사용 하도록 설정 해야 합니다.- Private endpoint should be enabled for MySQL servers
- PostgreSQL 서버에 대해 개인 끝점을 사용 하도록 설정 해야 합니다.- Private endpoint should be enabled for PostgreSQL servers

적응형 애플리케이션 제어 적용(최대 점수 3)

Apply adaptive application control (max score 3)

AAC(적응형 애플리케이션 제어)는 Azure 및 비 Azure 머신에서 실행할 수 있는 애플리케이션을 제어하도록 하는 지능적이고 자동화된 종단 간 솔루션입니다.
Adaptive application control (AAC) is an intelligent, automated, end-to-end solution, which allows you to control which applications can run on your Azure and non-Azure machines. 또한 맬웨어로부터 머신을 보호하는 데 유용합니다.It also helps to harden your machines against malware.
Security Center는 machine learning을 사용 하 여 컴퓨터 그룹의 알려진 안전한 응용 프로그램 목록을 만듭니다.Security Center uses machine learning to create a list of known-safe applications for a group of machines.
승인 된 응용 프로그램 목록에 대 한이 혁신적인 접근 방식은 관리 복잡성 없이 보안 혜택을 제공 합니다.This innovative approach to approved application listing provides the security benefits without the management complexity.
AAC는 특정 애플리케이션 세트를 실행해야 하는 특화된 서버에 특히 적절합니다.AAC is particularly relevant for purpose-built servers that need to run a specific set of applications.
- 가상 머신에서 적응형 애플리케이션 제어를 사용하도록 설정해야 합니다.- Adaptive Application Controls should be enabled on virtual machines
- 가상 머신에 모니터링 에이전트를 설치해야 합니다.- Monitoring agent should be installed on your virtual machines
- 컴퓨터에 모니터링 에이전트를 설치해야 합니다.- Monitoring agent should be installed on your machines
- Log Analytics 에이전트는 Windows 기반 Azure Arc 컴퓨터 (미리 보기)에 설치 되어야 합니다.- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
- Linux 기반 Azure Arc 컴퓨터 (미리 보기)에 Log Analytics 에이전트를 설치 해야 합니다.- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)
- 컴퓨터에서 모니터링 에이전트 상태 문제를 해결해야 합니다.- Monitoring agent health issues should be resolved on your machines

데이터 분류 적용(최대 점수 2)

Apply data classification (max score 2)

민감도 및 비즈니스 영향을 기준으로 조직의 데이터를 분류하면 데이터에 대한 가치를 확인하고 할당할 수 있으며, 거버넌스에 대 한 전략 및 기본 사항을 제공합니다.
Classifying your organization's data by sensitivity and business impact allows you to determine and assign value to the data, and provides the strategy and basis for governance.
Azure Information Protection을 데이터 분류를 지원할 수 있습니다.Azure Information Protection can assist with data classification. 이 기능은 암호화, ID 및 권한 부여 정책을 사용하여 데이터를 보호하고 데이터 액세스를 제한합니다.It uses encryption, identity, and authorization policies to protect data and restrict data access. Microsoft에서 사용하는 일부 분류는 비즈니스 외, 퍼블릭, 일반, 기밀 및 극비를 사용합니다.Some classifications that Microsoft uses are Non-business, Public, General, Confidential, and Highly Confidential.
- SQL 데이터베이스에서 중요한 데이터를 분류해야 합니다(미리 보기).- Sensitive data in your SQL databases should be classified (Preview)

DDoS 공격으로부터 애플리케이션 보호(최대 점수 2)

Protect applications against DDoS attacks (max score 2)

DDoS(분산 서비스 거부)는 리소스의 폭발적 사용을 야기하고 애플리케이션을 사용할 수 있게 만듭니다.
Distributed denial-of-service (DDoS) attacks overwhelm resources and render applications unusable. Azure DDoS Protection 표준을 사용하여 세 가지 주요 유형의 DDoS 공격으로부터 조직을 보호합니다.Use Azure DDoS Protection Standard to defend your organization from the three main types of DDoS attacks:
- 대규모 공격에서는 합법적인 트래픽이 네트워크에 급증합니다.- Volumetric attacks flood the network with legitimate traffic. DDoS Protection Standard는 이러한 공격을 흡수하거나 자동으로 삭제하여 완화합니다.DDoS Protection Standard mitigates these attacks by absorbing or scrubbing them automatically.
- 프로토콜 공격은 계층 3 및 계층 4 프로토콜 스택의 취약성을 악용하여 대상을 액세스 불능 상태로 만듭니다.- Protocol attacks render a target inaccessible, by exploiting weaknesses in the layer 3 and layer 4 protocol stack. DDoS Protection 표준은 악성 트래픽을 차단하여 이러한 공격을 완화합니다.DDoS Protection Standard mitigates these attacks by blocking malicious traffic.
- 리소스(애플리케이션) 계층 공격은 웹 애플리케이션 패킷을 대상으로 합니다.- Resource (application) layer attacks target web application packets. 웹 애플리케이션 방화벽 및 DDoS Protection 표준을 사용하여 이 유형의 공격으로부터 방어합니다.Defend against this type with a web application firewall and DDoS Protection Standard.
- DDoS Protection 표준을 사용하도록 설정해야 합니다.- DDoS Protection Standard should be enabled
- 컨테이너 CPU 및 메모리 제한 적용 (미리 보기)- Container CPU and memory limits should be enforced (preview)
- Kubernetes 용 Azure Policy 추가 기능을 클러스터에 설치 하 고 사용 하도록 설정 해야 합니다 (미리 보기).- Azure Policy add-on for Kubernetes should be installed and enabled on your clusters (preview)

Endpoint Protection 사용(최대 점수 2)

Enable endpoint protection (max score 2)

엔드포인트가 맬웨어로부터 보호되도록 하기 위해 동작 센서는 엔드포인트 운영 체제에서 데이터를 수집 및 처리하고 분석을 위해 이 데이터를 프라이빗 클라우드로 보냅니다.
To ensure your endpoints are protected from malware, behavioral sensors collect and process data from your endpoints' operating systems and send this data to the private cloud for analysis. 보안 분석은 빅 데이터, 기계 학습 및 기타 원본을 활용하여 위협에 대한 대응 방안을 권장합니다.Security analytics leverage big-data, machine-learning, and other sources to recommend responses to threats. 예를 들어 Microsoft Defender ATP는 위협 인텔리전스를 사용하여 공격 방법을 식별하고 보안 경고를 생성합니다.For example, Microsoft Defender ATP uses threat intelligence to identify attack methods and generate security alerts.
Security Center에서는 Endpoint Protection 솔루션 Windows Defender, System Center Endpoint Protection, Trend Micro, Symantec v12.1.1.1100, McAfee v10 for Windows, McAfee v10 for Linux 및 Sophos v9 for Linux를 지원합니다.Security Center supports the following endpoint protection solutions: Windows Defender, System Center Endpoint Protection, Trend Micro, Symantec v12.1.1.1100, McAfee v10 for Windows, McAfee v10 for Linux and Sophos v9 for Linux. Security Center가 이러한 솔루션을 검색하는 경우 Endpoint Protection 설치에 대한 권장 사항이 더 이상 표시되지 않습니다.If Security Center detects any of these solutions, the recommendation to install endpoint protection will no longer appear.
- V가상 머신 확장 집합에서 Endpoint Protection 상태 실패를 해결해야 합니다.- Endpoint protection health failures should be remediated on virtual machine scale sets
- 컴퓨터에서 Endpoint Protection 상태 문제를 해결해야 합니다.- Endpoint protection health issues should be resolved on your machines
- 가상 머신 확장 집합에 Endpoint Protection 솔루션을 설치해야 합니다.- Endpoint protection solution should be installed on virtual machine scale sets
- 가상 머신에 Endpoint Protection 솔루션을 설치해야 합니다.- Install endpoint protection solution on virtual machines
- 컴퓨터에서 모니터링 에이전트 상태 문제를 해결해야 합니다.- Monitoring agent health issues should be resolved on your machines
- 가상 머신 확장 집합에 모니터링 에이전트를 설치해야 합니다.- Monitoring agent should be installed on virtual machine scale sets
- 컴퓨터에 모니터링 에이전트를 설치해야 합니다.- Monitoring agent should be installed on your machines
- 가상 머신에 모니터링 에이전트를 설치해야 합니다.- Monitoring agent should be installed on your virtual machines
- Log Analytics 에이전트는 Windows 기반 Azure Arc 컴퓨터 (미리 보기)에 설치 되어야 합니다.- Log Analytics agent should be installed on your Windows-based Azure Arc machines (Preview)
- Linux 기반 Azure Arc 컴퓨터 (미리 보기)에 Log Analytics 에이전트를 설치 해야 합니다.- Log Analytics agent should be installed on your Linux-based Azure Arc machines (Preview)
- 머신에 Endpoint Protection 솔루션을 설치해야 합니다.- Install endpoint protection solution on your machines

감사 및 로깅 사용(최대 점수 1)

Enable auditing and logging (max score 1)

데이터 로깅은 과거 문제에 대한 인사이트를 제공하고, 잠재적인 문제를 방지하고, 애플리케이션 성능을 향상시킬 수 있으며 수동 작업을 자동화하는 기능을 제공합니다.
Logging data provides insights into past problems, prevents potential ones, can improve application performance, and provides the ability to automate actions that would otherwise be manual.
- 제어/관리 로그Azure Resource Manager 작업에 대한 정보를 제공합니다.- Control and management logs provide information about Azure Resource Manager operations.
- 데이터 평면 로그는 Azure 리소스 사용의 일부로 발생한 이벤트에 대한 정보를 제공합니다.- Data plane logs provide information about events raised as part of Azure resource usage.
- 처리된 이벤트는 처리되어 분석된 이벤트/경고에 대한 정보를 제공합니다.- Processed events provide information about analyzed events/alerts that have been processed.
- SQL 서버에 대한 감사가 사용되도록 설정되어야 합니다.- Auditing on SQL server should be enabled
- App Services의 진단 로그를 사용하도록 설정해야 합니다.- Diagnostic logs in App Services should be enabled
- Azure Data Lake Store의 진단 로그를 사용하도록 설정해야 합니다.- Diagnostic logs in Azure Data Lake Store should be enabled
- Azure Stream Analytics의 진단 로그를 사용하도록 설정해야 합니다.- Diagnostic logs in Azure Stream Analytics should be enabled
- Batch 계정의 진단 로그를 사용하도록 설정해야 합니다.- Diagnostic logs in Batch accounts should be enabled
- Data Lake Analytics의 진단 로그를 사용하도록 설정해야 합니다.- Diagnostic logs in Data Lake Analytics should be enabled
- Event Hub의 진단 로그를 사용하도록 설정해야 합니다.- Diagnostic logs in Event Hub should be enabled
- IoT Hub의 진단 로그를 사용하도록 설정해야 합니다.- Diagnostic logs in IoT Hub should be enabled
- Key Vault의 진단 로그를 사용하도록 설정해야 합니다.- Diagnostic logs in Key Vault should be enabled
- Logic Apps의 진단 로그를 사용하도록 설정해야 합니다.- Diagnostic logs in Logic Apps should be enabled
- Search Service의 진단 로그를 사용하도록 설정해야 합니다.- Diagnostic logs in Search service should be enabled
- Service Bus의 진단 로그를 사용하도록 설정해야 합니다.- Diagnostic logs in Service Bus should be enabled
- Virtual Machine Scale Sets의 진단 로그를 사용하도록 설정해야 합니다.- Diagnostic logs in Virtual Machine Scale Sets should be enabled
- Batch 계정에서 메트릭 경고 규칙을 구성해야 합니다.- Metric alert rules should be configured on Batch accounts
- SQL 감사 설정에는 중요한 작업을 캡처하도록 구성된 작업 그룹이 있어야 합니다.- SQL Auditing settings should have Action-Groups configured to capture critical activities
- 감사 보존 기간(일)을 90일보다 큰 값으로 설정하여 SQL 서버를 구성해야 합니다.- SQL servers should be configured with auditing retention days greater than 90 days.

Advanced threat protection 사용 (최대 점수 0)

Enable advanced threat protection (max score 0)

Azure Security Center은 사용자 환경에 대 한 포괄적인 방어 기능을 제공 합니다.
Azure Security Center's optional Azure Defender threat protection plans provide comprehensive defenses for your environment. Security Center는 사용자 환경의 모든 영역에서 위협을 탐지하면 경고를 생성합니다.When Security Center detects a threat in any area of your environment, it generates an alert. 이러한 경고는 영향을 받는 리소스의 세부 정보, 제안된 수정 단계 및 경우에 따라 응답으로 논리 앱을 트리거하는 옵션을 설명합니다.These alerts describe details of the affected resources, suggested remediation steps, and in some cases an option to trigger a logic app in response.
각 Azure Defender 요금제는이 보안 제어에서 관련 권장 사항을 사용 하 여 설정할 수 있는 별도의 선택적 제공입니다.Each Azure Defender plan is a separate, optional offering which you can enable using the relevant recommendation in this security control.
Security Center에서 위협 방지에 대해 자세히 알아보세요.Learn more about threat protection in Security Center.
- Azure SQL Database 서버에서 고급 데이터 보안을 사용 하도록 설정 해야 합니다.- Advanced data security should be enabled on Azure SQL Database servers
- 컴퓨터의 SQL server에서 고급 데이터 보안을 사용 하도록 설정 해야 합니다.- Advanced data security should be enabled on SQL servers on machines
- Virtual Machines에서 Advanced threat protection을 사용 하도록 설정 해야 합니다.- Advanced threat protection should be enabled on Virtual Machines
- Azure App Service 요금제에서 Advanced threat protection을 사용 하도록 설정 해야 함- Advanced threat protection should be enabled on Azure App Service plans
- Azure Storage 계정에서 Advanced threat protection을 사용 하도록 설정 해야 함- Advanced threat protection should be enabled on Azure Storage accounts
- Azure Kubernetes Service 클러스터에서 Advanced threat protection을 사용 하도록 설정 해야 함- Advanced threat protection should be enabled on Azure Kubernetes Service clusters
- Azure Container Registry 레지스트리에서 Advanced threat protection을 사용 하도록 설정 해야 합니다.- Advanced threat protection should be enabled on Azure Container Registry registries
- Azure Key Vault 자격 증명 모음에서 Advanced threat protection을 사용 하도록 설정 해야 함- Advanced threat protection should be enabled on Azure Key Vault vaults

보안 모범 사례 구현(최대 점수 0)

Implement security best practices (max score 0)

최신 보안 방침에서는 네트워크 경계의 "침해를 가정"합니다.
Modern security practices “assume breach” of the network perimeter. 이러한 이유로 이 컨트롤의 많은 모범 사례는 ID 관리에 중점을 둡니다.For that reason, many of the best practices in this control focus on managing identities.
키와 자격 증명을 잃어 버리는 것은 일반적인 문제입니다.Losing keys and credentials is a common problem. Azure Key Vault는 키, .pfx 파일 및 암호를 암호화하여 키와 암호를 보호합니다.Azure Key Vault protects keys and secrets by encrypting keys, .pfx files, and passwords.
VPN(가상 사설망)은 가상 머신에 안전하게 액세스할 수 있는 방법입니다.Virtual private networks (VPNs) are a secure way to access your virtual machines. Vpn을 사용할 수 없는 경우 AZURE AD Multi-Factor Authentication와 같은 복잡 한 암호 및 2 단계 인증을 사용 합니다.If VPNs aren't available, use complex passphrases and two-factor authentication such as Azure AD Multi-Factor Authentication. 2단계 인증은 사용자 이름 및 암호에만 의존하는 약점을 방지합니다.Two-factor authentication avoids the weaknesses inherent in relying only on usernames and passwords.
강력한 인증 및 권한 부여 플랫폼을 사용하는 것이 또 다른 모범 사례입니다.Using strong authentication and authorization platforms is another best practice. 페더레이션된 ID를 사용하면 조직에서 권한 있는 ID의 관리를 위임할 수 있습니다.Using federated identities allows organizations to delegate management of authorized identities. 직원의 채용을 끝내고 해당 액세스 권한을 취소해야 하는 경우에도 이러한 과정이 중요합니다.This is also important when employees are terminated, and their access needs to be revoked.
- 구독에 최대 3명의 소유자를 지정해야 합니다.- A maximum of 3 owners should be designated for your subscription
- 읽기 권한이 있는 외부 계정을 구독에서 제거해야 합니다.- External accounts with read permissions should be removed from your subscription
- 구독에서 읽기 권한이 있는 계정에 MFA를 사용하도록 설정해야 합니다.- MFA should be enabled on accounts with read permissions on your subscription
- 방화벽 및 가상 네트워크 구성을 사용한 스토리지 계정에 대한 액세스를 제한해야 합니다.- Access to storage accounts with firewall and virtual network configurations should be restricted
- RootManageSharedAccessKey를 제외한 모든 권한 부여 규칙을 이벤트 허브 네임스페이스에서 제거해야 합니다.- All authorization rules except RootManageSharedAccessKey should be removed from Event Hub namespace
- SQL 서버에 대해 Azure Active Directory 관리자를 프로비저닝해야 합니다.- An Azure Active Directory administrator should be provisioned for SQL servers
- 관리형 인스턴스에서 Advanced Data Security를 사용하도록 설정해야 합니다.- Advanced data security should be enabled on your managed instances
- 이벤트 허브 인스턴스의 권한 부여 규칙을 정의해야 합니다.- Authorization rules on the Event Hub instance should be defined
- 스토리지 계정을 새 Azure Resource Manager 리소스로 마이그레이션해야 합니다.- Storage accounts should be migrated to new Azure Resource Manager resources
- 가상 머신을 새 Azure Resource Manager 리소스로 마이그레이션해야 합니다.- Virtual machines should be migrated to new Azure Resource Manager resources
- 서브넷을 네트워크 보안 그룹과 연결해야 합니다.- Subnets should be associated with a Network Security Group
- [미리 보기] Windows Exploit Guard를 사용하도록 설정해야 합니다.- [Preview] Windows exploit guard should be enabled
- [미리 보기] 모드 게스트 구성 에이전트를 설치해야 합니다.- [Preview] Guest configuration agent should be installed
- 인터넷에 연결 되지 않은 가상 컴퓨터는 네트워크 보안 그룹을 사용 하 여 보호 해야 합니다.- Non-internet-facing virtual machines should be protected with network security groups
- 가상 컴퓨터에 대해 Azure Backup를 사용 하도록 설정 해야 합니다.- Azure Backup should be enabled for virtual machines
- Azure Database for MariaDB에 대해 지역 중복 백업을 사용 하도록 설정 해야 합니다.- Geo-redundant backup should be enabled for Azure Database for MariaDB
- Azure Database for MySQL에 대해 지역 중복 백업을 사용 하도록 설정 해야 합니다.- Geo-redundant backup should be enabled for Azure Database for MySQL
- Azure Database for PostgreSQL에 대해 지역 중복 백업을 사용 하도록 설정 해야 합니다.- Geo-redundant backup should be enabled for Azure Database for PostgreSQL
- PHP는 API 앱에 대 한 최신 버전으로 업데이트 되어야 합니다.- PHP should be updated to the latest version for your API app
- PHP는 웹 앱에 대 한 최신 버전으로 업데이트 되어야 합니다.- PHP should be updated to the latest version for your web app
- Java는 API 앱에 대 한 최신 버전으로 업데이트 되어야 합니다.- Java should be updated to the latest version for your API app
- Java는 함수 앱에 대 한 최신 버전으로 업데이트 되어야 합니다.- Java should be updated to the latest version for your function app
- Java는 웹 앱에 대 한 최신 버전으로 업데이트 되어야 합니다.- Java should be updated to the latest version for your web app
- Python을 API 앱에 대 한 최신 버전으로 업데이트 해야 합니다.- Python should be updated to the latest version for your API app
- Python은 함수 앱에 대 한 최신 버전으로 업데이트 되어야 합니다.- Python should be updated to the latest version for your function app
- Python은 웹 앱에 대 한 최신 버전으로 업데이트 되어야 합니다.- Python should be updated to the latest version for your web app
- SQL server에 대 한 감사 보존은 90 일 이상으로 설정 해야 합니다.- Audit retention for SQL servers should be set to at least 90 days
- 웹 앱은 들어오는 모든 요청에 대해 SSL 인증서를 요청 해야 합니다.- Web apps should request an SSL certificate for all incoming requests

보안 점수 FAQSecure score FAQ

보안 컨트롤의 4가지 권장 사항 중 3가지를 해결하는 경우 보안 점수가 변경되나요?If I address only three out of four recommendations in a security control, will my secure score change?

아니요.No. 단일 리소스에 대한 모든 권장 사항을 수정할 때까지 변경되지 않습니다.It won't change until you remediate all of the recommendations for a single resource. 컨트롤에 대해 최대 점수를 얻으려면 모든 리소스에 대해 모든 권장 사항을 수정해야 합니다.To get the maximum score for a control, you must remediate all recommendations, for all resources.

권장 사항이 나에게 적용되지 않는 경우 정책에서 사용하지 않도록 설정해도 보안 컨트롤이 이행되고 보안 점수가 업데이트되나요?If a recommendation isn't applicable to me, and I disable it in the policy, will my security control be fulfilled and my secure score updated?

예.Yes. 사용자 환경에 적용할 수 없는 경우 권장 사항을 사용하지 않도록 설정하는 것이 좋습니다.We recommend disabling recommendations when they're inapplicable in your environment. 특정 권장 사항을 사용하지 않도록 설정하는 방법에 대한 지침은 보안 정책 사용 안 함을 참조하세요.For instructions on how to disable a specific recommendation, see Disable security policies.

보안 컨트롤에서 보안 점수에 대해 0포인트를 제공하면 무시해도 되나요?If a security control offers me zero points towards my secure score, should I ignore it?

경우에 따라 컨트롤 최대 점수가 0보다 클 수 있지만 영향은 0입니다.In some cases, you'll see a control max score greater than zero, but the impact is zero. 리소스 수정을 위한 증분 점수가 크지 않은 경우 0으로 반올림됩니다.When the incremental score for fixing resources is negligible, it's rounded to zero. 이러한 권장 사항은 여전히 보안을 향상시키므로 무시하지 마세요.Don't ignore these recommendations as they still bring security improvements. 유일한 예외는 "추가 모범 사례" 컨트롤입니다.The only exception is the "Additional Best Practice" control. 이러한 권장 사항을 수정하면 점수가 증가되지 않지만 전반적인 보안은 향상됩니다.Remediating these recommendations won't increase your score, but it will enhance your overall security.

다음 단계Next steps

이 문서에서는 보안 점수와 해당 점수가 적용되는 보안 컨트롤에 대해 설명했습니다.This article described the secure score and the security controls it introduces. 관련 자료는 다음 문서를 참조하세요.For related material, see the following articles: