Azure Virtual Network에 대한 Azure Policy 기본 제공 정의

이 페이지는 Azure Virtual Network에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.

Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.

Azure Virtual Network

Name
(Azure Portal)
Description 효과 버전
(GitHub)
모든 Azure 가상 네트워크 게이트웨이 연결에 사용자 지정 IPsec/IKE 정책을 적용해야 함 이 정책은 모든 Azure 가상 네트워크 게이트웨이 연결이 사용자 지정 Ipsec(인터넷 프로토콜 보안)/IKE(Internet Key Exchange) 정책을 사용함을 보장합니다. 지원되는 알고리즘 및 키 수준 - https://aka.ms/AA62kb0 감사, 사용 안 함 1.0.0
[미리 보기]: 모든 인터넷 트래픽은 배포된 Azure Firewall을 통해 라우팅되어야 함 Azure Security Center에서 일부 서브넷이 차세대 방화벽으로 보호되지 않는 것으로 확인되었습니다. Azure Firewall 또는 지원되는 차세대 방화벽으로 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0-preview
App Service는 가상 네트워크 서비스 엔드포인트를 사용해야 함 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 App Service를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
Azure VPN Gateway에서는 '기본' SKU를 사용할 수 없음 이 정책은 VPN Gateway가 '기본' SKU를 사용하지 않음을 보장합니다. 감사, 사용 안 함 1.0.0
트래픽 분석을 사용하도록 네트워크 보안 그룹 구성 정책을 만드는 동안 제공된 설정을 사용하여 특정 지역에서 호스트되는 모든 네트워크 보안 그룹에 대해 트래픽 분석을 사용하도록 설정할 수 있습니다. 이미 트래픽 분석을 사용할 수 있는 네트워크 보안 그룹의 경우 정책에서 해당 설정을 덮어쓰지 않습니다. 흐름 로그가 없는 네트워크 보안 그룹에 대해 흐름 로그도 사용하도록 설정됩니다. 트래픽 분석은 클라우드 네트워크의 사용자 및 애플리케이션 작업에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. DeployIfNotExists, 사용 안 함 1.0.0
트래픽 분석에 특정 작업 영역을 사용하도록 네트워크 보안 그룹 구성 이미 트래픽 분석을 사용할 수 있는 네트워크 보안 그룹의 경우 정책을 만드는 동안 제공된 설정을 사용하여 정책에서 기존 설정을 덮어씁니다. 트래픽 분석은 클라우드 네트워크의 사용자 및 애플리케이션 작업에 대한 가시성을 제공하는 클라우드 기반 솔루션입니다. DeployIfNotExists, 사용 안 함 1.0.0
[미리 보기]: Container Registry는 가상 네트워크 서비스 엔드포인트를 사용해야 함 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 Container Registry를 감사합니다. 감사, 사용 안 함 1.0.0 - 미리 보기
Cosmos DB는 가상 네트워크 서비스 엔드포인트를 사용해야 함 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 Cosmos DB를 감사합니다. 감사, 사용 안 함 1.0.0
대상 네트워크 보안 그룹을 사용하여 흐름 로그 리소스 배포 특정 네트워크 보안 그룹에 대한 흐름 로그를 구성합니다. 이를 통해 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 흐름 로그를 사용하면 알 수 없거나 원하지 않는 트래픽을 식별하고, 네트워크 격리 및 엔터프라이즈 액세스 규칙 준수를 확인하고, 손상된 IP 및 네트워크 인터페이스에서 네트워크 흐름을 분석할 수 있습니다. deployIfNotExists 1.0.0
가상 네트워크를 만들 때 네트워크 감시자 배포 이 정책은 가상 네트워크를 사용하여 지역에 네트워크 감시자 리소스를 만듭니다. 네트워크 감시자 인스턴스를 배포하는 데 사용되는 networkWatcherRG라는 리소스 그룹이 있는지 확인해야 합니다. DeployIfNotExists 1.0.0
이벤트 허브는 가상 네트워크 서비스 엔드포인트를 사용해야 함 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 이벤트 허브를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
모든 네트워크 보안 그룹에 대해 흐름 로그를 구성해야 함 네트워크 보안 그룹을 감사하여 흐름 로그가 구성되어 있는지 확인합니다. 흐름 로그를 사용하면 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. 감사, 사용 안 함 1.1.0
모든 네트워크 보안 그룹에 대해 흐름 로그를 사용하도록 설정해야 함 흐름 로그 리소스를 감사하여 흐름 로그 상태를 사용할 수 있는지 확인합니다. 흐름 로그를 사용하면 네트워크 보안 그룹을 통해 흐르는 IP 트래픽에 대한 정보를 기록할 수 있습니다. 네트워크 흐름 최적화, 처리량 모니터링, 규정 준수 확인, 침입 감지 등에 사용할 수 있습니다. 감사, 사용 안 함 1.0.0
게이트웨이 서브넷은 네트워크 보안 그룹을 사용하여 구성해서는 안 됨 이 정책은 게이트웨이 서브넷이 네트워크 보안 그룹으로 구성된 경우 거부합니다. 네트워크 보안 그룹을 게이트웨이 서브넷에 할당하면 게이트웨이가 작동을 중지합니다. deny 1.0.0
Key Vault는 가상 네트워크 서비스 엔드포인트를 사용해야 함 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 Key Vault를 감사합니다. 감사, 사용 안 함 1.0.0
네트워크 인터페이스가 IP 전달을 사용하지 않아야 함 이 정책은 IP 전달을 사용하도록 설정된 네트워크 인터페이스를 거부합니다. IP 전달 설정은 Azure에서 네트워크 인터페이스에 대한 원본과 대상을 확인하지 않도록 합니다. 네트워크 보안 팀에서 검토해야 합니다. deny 1.0.0
네트워크 인터페이스에 공용 IP를 사용할 수 없음 이 정책은 공용 IP로 구성된 네트워크 인터페이스를 거부합니다. 공용 IP 주소를 사용하면 인터넷 리소스에서 Azure 리소스로 인바운드 방식으로 통신하고, Azure 리소스에서 인터넷으로 아웃바운드 방식으로 통신할 수 있습니다. 네트워크 보안 팀에서 검토해야 합니다. deny 1.0.0
Network Watcher 흐름 로그에 트래픽 분석을 사용할 수 있어야 함 트래픽 분석은 Network Watcher 네트워크 보안 그룹 흐름 로그를 분석하여 Azure 클라우드 내 트래픽 흐름에 대한 인사이트를 제공합니다. Azure 구독 전체에서 네트워크 활동을 시각화하고, 핫스폿을 식별하고, 보안 위협을 식별하고, 트래픽 흐름 패턴을 파악하고, 네트워크 오류를 정확하게 파악하는 데 사용할 수 있습니다. 감사, 사용 안 함 1.0.0
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0
인터넷에서 RDP 액세스를 차단해야 함 이 정책은 인터넷에서 RDP 액세스를 허용하는 모든 네트워크 보안 규칙을 감사합니다. 감사, 사용 안 함 2.0.0
SQL Server는 가상 네트워크 서비스 엔드포인트를 사용해야 함 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 SQL Server를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
인터넷에서 SSH 액세스를 차단해야 함 이 정책은 인터넷에서 SSH 액세스를 허용하는 모든 네트워크 보안 규칙을 감사합니다. 감사, 사용 안 함 2.0.0
스토리지 계정은 가상 네트워크 서비스 엔드포인트를 사용해야 함 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 스토리지 계정을 감사합니다. 감사, 사용 안 함 1.0.0
가상 머신은 승인된 가상 네트워크에 연결되어야 함 이 정책은 승인되지 않은 가상 네트워크에 연결된 모든 가상 머신을 감사합니다. 감사, 거부, 사용 안 함 1.0.0
가상 네트워크는 Azure DDoS Protection 표준으로 보호되어야 함 Azure DDoS Protection Standard를 사용하여 볼륨 및 프로토콜 공격으로부터 가상 네트워크를 보호합니다. 자세한 내용은 https://aka.ms/ddosprotectiondocs를 방문하세요. 수정, 감사, 사용 안 함 1.0.0
가상 네트워크는 지정된 가상 네트워크 게이트웨이를 사용해야 함 이 정책은 기본 경로가 지정된 가상 네트워크 게이트웨이를 가리키지 않는 경우 모든 가상 네트워크를 감사합니다. AuditIfNotExists, 사용 안 함 1.0.0
VPN 게이트웨이는 지점 및 사이트 간 사용자에 대해 Azure AD(Azure Active Directory) 인증만 사용해야 함 로컬 인증 방법을 사용하지 않도록 설정하면 VPN Gateway가 인증에 Azure Active Directory ID만 사용하도록 하여 보안이 향상됩니다. https://docs.microsoft.com/azure/vpn-gateway/openvpn-azure-ad-tenant에서 Azure AD 인증에 대해 자세히 알아봅니다. 감사, 거부, 사용 안 함 1.0.0
Application Gateway에 WAF(웹 애플리케이션 방화벽)를 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 1.0.1
WAF(Web Application Firewall)를 Azure Front Door Service 서비스에 사용하도록 설정해야 함 들어오는 트래픽의 추가 검사를 위해 공용 웹 애플리케이션 앞에 Azure WAF(웹 애플리케이션 방화벽)를 배포합니다. WAF(웹 애플리케이션 방화벽)는 SQL 삽입, 교차 사이트 스크립팅, 로컬 및 원격 파일 실행과 같은 일반적인 악용과 취약성으로부터 웹 애플리케이션을 중앙 집중식으로 보호합니다. 사용자 지정 규칙을 통해 국가, IP 주소 범위 및 기타 http 매개 변수별로 웹 애플리케이션에 대한 액세스를 제한할 수도 있습니다. 감사, 거부, 사용 안 함 1.0.1
WAF(웹 애플리케이션 방화벽)는 Application Gateway에 지정된 모드를 사용해야 함 Application Gateway에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. 감사, 거부, 사용 안 함 1.0.0
WAF(웹 애플리케이션 방화벽)는 Azure Front Door Service에 지정된 모드를 사용해야 함 Azure Front Door Service에 대한 모든 웹 애플리케이션 방화벽 정책에서 '검색' 또는 '방지' 모드를 사용해야 합니다. 감사, 거부, 사용 안 함 1.0.0

태그들

Name
(Azure Portal)
Description 효과 버전
(GitHub)
리소스 그룹에 태그 추가 이 태그를 누락하는 리소스 그룹을 만들거나 업데이트할 때 지정된 태그 및 값을 추가합니다. 기존 리소스 그룹은 수정 작업을 트리거하여 수정할 수 있습니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. 수정 1.0.0
리소스에 태그 추가 이 태그를 누락하는 리소스를 만들거나 업데이트할 때 지정된 태그 및 값을 추가합니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. 리소스 그룹에 대한 태그는 수정하지 않습니다. 수정 1.0.0
구독에 태그 추가 수정 작업을 통해 지정된 태그 및 값을 구독에 추가합니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. 정책 수정에 대한 자세한 내용은 https://aka.ms/azurepolicyremediation을 참조하세요. 수정 1.0.0
리소스 그룹에 태그 추가 또는 바꾸기 리소스 그룹을 만들거나 업데이트할 때 지정된 태그 및 값을 추가하거나 바꿉니다. 기존 리소스 그룹은 수정 작업을 트리거하여 수정할 수 있습니다. 수정 1.0.0
리소스에 태그 추가 또는 바꾸기 리소스를 만들거나 업데이트할 때 지정된 태그 및 값을 추가하거나 바꿉니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. 리소스 그룹에 대한 태그는 수정하지 않습니다. 수정 1.0.0
구독에 태그 추가 또는 바꾸기 수정 작업을 통해 지정된 태그 및 값을 구독에 추가하거나 바꿉니다. 기존 리소스 그룹은 수정 작업을 트리거하여 수정할 수 있습니다. 정책 수정에 대한 자세한 내용은 https://aka.ms/azurepolicyremediation을 참조하세요. 수정 1.0.0
리소스 그룹에서 태그 및 해당 값 추가 이 태그를 누락하는 리소스를 만들거나 업데이트할 때 리소스 그룹의 해당 값으로 지정된 태그를 추가합니다. 해당 리소스가 변경될 때까지 이 정책을 적용하기 전에 만들어진 리소스의 태그를 수정하지 않습니다. 기존 리소스에 대한 태그 수정을 지원하는 새로운 '수정' 효과 정책을 사용할 수 있습니다(https://aka.ms/modifydoc 참조). 추가 1.0.0
리소스 그룹에서 태그 및 해당 값 추가 이 태그를 누락하는 리소스 그룹을 만들거나 업데이트할 때 지정된 태그 및 값을 추가합니다. 해당 리소스 그룹이 변경될 때까지 이 정책을 적용하기 전에 만들어진 리소스 그룹의 태그를 수정하지 않습니다. 기존 리소스에 대한 태그 수정을 지원하는 새로운 '수정' 효과 정책을 사용할 수 있습니다(https://aka.ms/modifydoc 참조). 추가 1.0.0
리소스에 태그 및 해당 값 추가 이 태그를 누락하는 리소스를 만들거나 업데이트할 때 지정된 태그 및 값을 추가합니다. 해당 리소스가 변경될 때까지 이 정책을 적용하기 전에 만들어진 리소스의 태그를 수정하지 않습니다. 리소스 그룹에는 적용되지 않습니다. 기존 리소스에 대한 태그 수정을 지원하는 새로운 '수정' 효과 정책을 사용할 수 있습니다(https://aka.ms/modifydoc 참조). 추가 1.0.1
리소스 그룹에서 태그 상속 리소스를 만들거나 업데이트할 때 부모 리소스 그룹의 지정된 태그 및 값을 추가하거나 바꿉니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. 수정 1.0.0
없는 경우 리소스 그룹에서 태그 상속 이 태그를 누락하는 리소스를 만들거나 업데이트할 때 부모 리소스 그룹의 해당 값으로 지정된 태그를 추가합니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. 수정 1.0.0
구독에서 태그 상속 리소스를 만들거나 업데이트할 때 포함된 구독에서 지정된 태그 및 값을 추가하거나 바꿉니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. 수정 1.0.0
누락된 경우 구독에서 태그 상속 이 태그를 누락한 리소스를 만들거나 업데이트할 때 포함된 구독의 값으로 지정된 태그를 추가합니다. 기존 리소스는 수정 작업을 트리거하여 수정할 수 있습니다. 태그가 다른 값으로 존재하는 경우 변경되지 않습니다. 수정 1.0.0
리소스 그룹에 태그 및 해당 값 필요 리소스 그룹에 필요한 태그와 해당 값을 적용합니다. deny 1.0.0
리소스에 태그 및 해당 값 필요 필수 태그와 해당 값을 적용합니다. 리소스 그룹에는 적용되지 않습니다. deny 1.0.1
리소스 그룹에 태그 필요 리소스 그룹에 태그 사용을 적용합니다. deny 1.0.0
리소스에 태그 필요 태그의 존재를 적용합니다. 리소스 그룹에는 적용되지 않습니다. deny 1.0.1

일반

Name
(Azure Portal)
Description 효과 버전
(GitHub)
허용되는 위치 이 정책을 사용하면 조직에서 리소스를 배포할 때 지정할 수 있는 위치를 제한할 수 있습니다. 지역 규정 준수 요구 사항을 적용하는 데 사용합니다. 리소스 그룹, Microsoft.AzureActiveDirectory/b2cDirectories 및 '글로벌' 지역을 사용하는 리소스를 제외합니다. deny 1.0.0
리소스 그룹에 허용된 위치 이 정책을 통해 조직에서 리소스 그룹을 만들 수 있는 위치를 제한할 수 있습니다. 지역 규정 준수 요구 사항을 적용하는 데 사용합니다. deny 1.0.0
허용되는 리소스 유형 이 정책을 사용하면 조직에서 배포할 수 있는 리소스 유형을 지정할 수 있습니다. '태그' 및 '위치'를 지원하는 리소스 유형만 이 정책의 영향을 받습니다. 모든 리소스를 제한하려면 이 정책을 복제하고 '모드'를 '모두'로 변경하세요. deny 1.0.0
리소스 위치가 리소스 그룹 위치와 일치하는지 감사 리소스 위치가 리소스 그룹 위치와 일치하는지 감사 감사 2.0.0
사용자 지정 RBAC 규칙 사용 감사 오류가 발생하기 쉬운 사용자 지정 RBAC 역할 대신 '소유자, 기여자, 읽기 권한자' 같은 기본 제공 역할을 감사합니다. 사용자 지정 역할 사용은 예외로 처리되며 엄격한 검토 및 위협 모델링이 필요합니다. 감사, 사용 안 함 1.0.0
사용자 지정 구독 소유자 역할이 없어야 함 이 정책은 사용자 지정 구독 소유자 역할이 없도록 합니다. 감사, 사용 안 함 2.0.0
허용되지 않는 리소스 유형 사용자 환경에 배포할 수 있는 리소스 종류를 제한합니다. 리소스 종류를 제한하면 환경의 복잡성과 공격을 줄이는 동시에 비용을 관리할 수 있습니다. 규정 준수 결과는 비규격 리소스에 대해서만 표시됩니다. 감사, 거부, 사용 안 함 2.0.0

다음 단계