다음을 통해 공유

클라우드 규모 분석의 정책

  • 아티클

배포를 고려하기 전에 조직에서 가드레일을 배치하는 것이 중요합니다. Azure 정책을 사용하여 리소스 일관성, 규정 준수, 보안, 비용 및 관리에 대한 거버넌스를 구현할 수 있습니다.

배경

클라우드 규모 분석의 핵심 원칙은 필요에 따라 리소스를 쉽게 만들고, 읽고, 업데이트 및 삭제할 수 있도록 하는 것입니다. 그러나 개발자에게 무제한 리소스 액세스를 제공하면 개발자를 민첩하게 만들 수 있지만 의도하지 않은 비용 결과를 초래할 수도 있습니다. 이 문제에 대한 해결 방법은 리소스 액세스 거버넌스입니다. 이 거버넌스는 조직의 목표와 요구 사항을 충족하기 위해 Azure 리소스 사용을 관리, 모니터링 및 감사하는 지속적인 프로세스입니다.

클라우드 채택 프레임워크 엔터프라이즈 규모 랜딩 존으로 시작은 이미 이 개념을 사용합니다. 클라우드 규모 분석은 이러한 표준을 기반으로 하는 사용자 지정 Azure 정책을 추가합니다. 그런 다음 표준이 데이터 관리 랜딩 존 및 데이터 랜딩 존에 적용됩니다.

Diagram that shows how Azure governance works.Azure 거버넌스의 작동 방식을 보여 주는 다이어그램

Azure Policy는 클라우드 규모 분석 내에서 보안 및 규정 준수를 보장할 때 중요합니다. 표준을 적용하고 대규모 규정 준수를 평가하는 데 도움이 됩니다. 정책을 사용하여 Azure의 리소스를 평가하고 원하는 속성과 비교할 수 있습니다. 여러 정책 또는 비즈니스 규칙을 하나의 이니셔티브로 그룹화할 수 있습니다. 개별 정책 또는 이니셔티브는 Azure의 다른 범위에 할당할 수 있습니다. 이러한 범위는 관리 그룹, 구독, 리소스 그룹 또는 개별 리소스일 수 있습니다. 할당은 범위 내의 모든 리소스에 적용되며 필요한 경우 예외를 제외하고 하위 범위를 제외할 수 있습니다.

디자인 고려 사항

클라우드 규모 분석의 Azure 정책은 다음 설계 고려 사항을 염두에 두고 개발되었습니다.

  • Azure 정책을 사용하여 리소스 일관성, 규정 준수, 보안, 비용 및 관리에 대한 거버넌스를 구현하고 규칙을 적용합니다.
  • 사용 가능한 미리 빌드 정책을 사용하여 시간을 절약합니다.
  • 정책 관리를 단순화하기 위해 관리 그룹 트리에서 가능한 가장 높은 수준에 정책을 할당합니다.
  • 상속된 범위에서 제외를 통해 관리하지 않도록 루트 관리 그룹 범위에서 수행된 Azure Policy 할당을 제한합니다.
  • 필요한 경우에만 정책 예외를 사용하고 승인이 필요합니다.

클라우드 규모 분석을 위한 Azure 정책

사용자 지정 정책을 구현하면 Azure Policy로 더 많은 작업을 수행할 수 있습니다. 클라우드 규모 분석에는 사용자 환경에서 필요한 가드레일을 구현하는 데 도움이 되는 미리 생성된 정책 집합이 함께 제공됩니다.

Azure Policy는 데이터 관리 랜딩 존, 데이터 랜딩 존 및 조직의 테넌트 내의 기타 랜딩 존 내에서 리소스를 준수할 수 있도록 Azure(데이터) 플랫폼 팀의 핵심 도구여야 합니다. 이 플랫폼 기능은 가드레일을 도입하고 해당 관리 그룹 범위 내에서 승인된 전체 서비스 구성을 준수하는 데 사용해야 합니다. 예를 들어 플랫폼 팀은 Azure Policy를 사용하여 데이터 플랫폼 환경 내에서 호스트되는 모든 스토리지 계정에 프라이빗 엔드포인트를 적용하거나 스토리지 계정에 대한 모든 연결에 대해 전송 중인 TLS 1.2 암호화를 적용할 수 있습니다. 올바르게 수행되면 이 정책은 모든 데이터 애플리케이션 팀이 해당 테넌트 범위 내에서 비호환 상태로 서비스를 호스팅하는 것을 금지합니다.

책임 있는 IT 팀은 이 플랫폼 기능을 사용하여 보안 및 규정 준수 문제를 해결하고 (데이터) 랜딩 존 내에서 셀프 서비스 접근 방식을 열어야 합니다.

클라우드 규모 분석에는 리소스 및 비용 관리, 인증, 암호화, 네트워크 격리, 로깅, 복원력 등과 관련된 사용자 지정 정책이 포함되어 있습니다.

참고 항목

정책은 지침 전용으로 간주되어야 하며 비즈니스 요구 사항에 따라 적용할 수 있습니다. 정책은 항상 가능한 가장 높은 수준에 적용되어야 하며 대부분의 경우 관리 그룹이 됩니다.

모든 서비스

정책 이름 정책 영역 설명
Deny-PublicIp 네트워크 격리 공용 IP 배포를 제한합니다.
Deny-PrivateEndpoint-PrivateLinkServiceConnections 네트워크 격리 Microsoft Entra 테넌트 및 구독 외부의 리소스에 대한 프라이빗 엔드포인트를 거부합니다.
Deploy-DNSZoneGroup-{Service}-PrivateEndpoint 네트워크 격리 서비스의 프라이빗 엔드포인트에 대한 매개 변수로 프라이빗 DNS 영역 그룹의 구성을 배포합니다. 단일 프라이빗 DNS 영역에 구성을 적용하는 데 사용됩니다.
DiagnosticSettings-{Service}-LogAnalytics 로깅 Azure Cosmos DB에 대한 진단 설정을 Log Analytics 작업 영역에 보냅니다.

스토리지

정책 이름 정책 영역 설명
Append-Storage-Encryption 암호화 스토리지 계정에 암호화를 적용합니다.
Deny-Storage-AllowBlobPublicAccess 네트워크 격리 스토리지 계정의 모든 Blob 또는 컨테이너에 대해 퍼블릭 액세스를 적용하지 않습니다.
Deny-Storage-ContainerDeleteRetentionPolicy 복원력 스토리지 계정에 7일보다 긴 컨테이너 삭제 보존 정책을 적용합니다.
Deny-Storage-CorsRules 네트워크 격리 스토리지 계정에 대해 CORS 규칙을 거부합니다.
Deny-Storage-InfrastructureEncryption 암호화 스토리지 계정에 인프라(이중) 암호화를 적용합니다.
Deny-Storage-MinimumTlsVersion 암호화 스토리지 계정에 최소 TLS 버전 1.2를 적용합니다.
Deny-Storage-NetworkAclsBypass 네트워크 격리 스토리지 계정에 네트워크 바이패스를 적용하지 않습니다.
Deny-Storage-NetworkAclsIpRules 네트워크 격리 스토리지 계정에 네트워크 IP 규칙을 적용합니다.
Deny-Storage-NetworkAclsVirtualNetworkRules 네트워크 격리 스토리지 계정에 대한 가상 네트워크 규칙을 거부합니다.
Deny-Storage-Sku 리소스 관리 스토리지 계정 SKU를 적용합니다.
Deny-Storage-SupportsHttpsTrafficOnly 암호화 스토리지 계정에 https 트래픽을 적용합니다.
Deploy-Storage-BlobServices 리소스 관리 스토리지 계정의 Blob 서비스 기본 설정을 배포합니다.
Deny-Storage-RoutingPreference 네트워크 격리
Deny-Storage-Kind 리소스 관리
Deny-Storage-NetworkAclsDefaultAction 네트워크 격리

Key Vault

정책 이름 정책 영역 설명
Audit-KeyVault-PrivateEndpointId 네트워크 격리 키 자격 증명 모음의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-KeyVault-NetworkAclsBypass 네트워크 격리 키 자격 증명 모음에 네트워크 수준 바이패스 규칙을 적용합니다.
Deny-KeyVault-NetworkAclsDefaultAction 네트워크 격리 키 자격 증명 모음에 기본 네트워크 ACL 수준 작업을 적용합니다.
Deny-KeyVault-NetworkAclsIpRules 네트워크 격리 키 자격 증명 모음에 네트워크 IP 규칙을 적용합니다.
Deny-KeyVault-NetworkAclsVirtualNetworkRules 네트워크 격리 키 자격 증명 모음에 대한 가상 네트워크 규칙을 거부합니다.
Deny-KeyVault-PurgeProtection 복원력 키 자격 증명 모음에 제거 방지를 적용합니다.
Deny-KeyVault-SoftDelete 복원력 키 자격 증명 모음에 최소 보존 기간(일)이 있는 일시 삭제를 적용합니다.
Deny-KeyVault-TenantId 리소스 관리 키 자격 증명 모음에 테넌트 ID를 적용합니다.

Azure Data Factory

정책 이름 정책 영역 설명
Append-DataFactory-IdentityType 인증 데이터 팩터리에 시스템 할당 ID 사용을 적용합니다.
Deny-DataFactory-ApiVersion 리소스 관리 데이터 팩터리 V1의 이전 API 버전을 거부합니다.
Deny-DataFactory-IntegrationRuntimeManagedVirtualNetwork 네트워크 격리 Managed Virtual Network에 연결되지 않은 통합 런타임을 거부합니다.
Deny-DataFactory-LinkedServicesConnectionStringType 인증 연결된 서비스에 대해 Key Vault에 저장되지 않은 비밀을 거부합니다.
Deny-DataFactory-ManagedPrivateEndpoints 네트워크 격리 연결된 서비스에 대한 외부 프라이빗 엔드포인트를 거부합니다.
Deny-DataFactory-PublicNetworkAccess 네트워크 격리 데이터 팩터리에 대한 퍼블릭 액세스를 거부합니다.
Deploy-DataFactory-ManagedVirtualNetwork 네트워크 격리 데이터 팩터리에 대한 관리형 가상 네트워크를 배포합니다.
Deploy-SelfHostedIntegrationRuntime-Sharing 복원력 데이터 허브에서 호스트되는 자체 호스팅 통합 런타임을 데이터 노드의 데이터 팩터리와 공유합니다.

Azure Synapse Analytics

정책 이름 정책 영역 설명
Append-Synapse-LinkedAccessCheckOnTargetResource 네트워크 격리 Synapse 작업 영역을 만들 때 관리형 가상 네트워크 설정 내에서 LinkedAccessCheckOnTargetResource을(를) 적용합니다.
Append-Synapse-Purview 네트워크 격리 중앙 Purview 인스턴스와 Synapse 작업 영역 간에 연결을 적용합니다.
Append-SynapseSpark-ComputeIsolation 리소스 관리 Synapse Spark 풀이 컴퓨팅 격리 없이 만들어질 경우, 이 기능이 추가됩니다.
Append-SynapseSpark-DefaultSparkLogFolder 로깅 로깅 없이 Synapse Spark 풀이 만들어지면 이 정책은 로깅을 추가합니다.
Append-SynapseSpark-SessionLevelPackages 리소스 관리 Synapse Spark 풀이 세션 수준 패키지 없이 만들어지면 이 패키지를 추가합니다.
Audit-Synapse-PrivateEndpointId 네트워크 격리 Synapse의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-Synapse-AllowedAadTenantIdsForLinking 네트워크 격리
Deny-Synapse-Firewall 네트워크 격리 Synapse의 방화벽을 설정합니다.
Deny-Synapse-ManagedVirtualNetwork 네트워크 격리 Synapse 작업 영역이 관리형 가상 네트워크 없이 만들어지면 추가됩니다.
Deny-Synapse-PreventDataExfiltration 네트워크 격리 Synapse 관리형 가상 네트워크에 데이터 반출 방지를 적용합니다.
Deny-SynapsePrivateLinkHub 네트워크 격리 Synapse 프라이빗 링크 허브를 거부합니다.
Deny-SynapseSpark-AutoPause 리소스 관리 Synapse Spark 풀에 자동 일시 중지를 적용합니다.
Deny-SynapseSpark-AutoScale 리소스 관리 Synapse Spark 풀에 자동 스케일링을 적용합니다.
Deny-SynapseSql-Sku 리소스 관리 특정 Synapse SQL 풀 SKU를 거부합니다.
Deploy-SynapseSql-AuditingSettings 로깅 Synapse SQL 풀의 감사 로그를 Log Analytics로 보냅니다.
Deploy-SynapseSql-MetadataSynch 리소스 관리 Synapse SQL 풀에 대한 메타데이터 동기화를 설정합니다.
Deploy-SynapseSql-SecurityAlertPolicies 로깅 Synapse SQL 풀 보안 경고 정책을 배포합니다.
Deploy-SynapseSql-TransparentDataEncryption 암호화 Synapse SQL 투명한 데이터 암호화를 배포합니다.
Deploy-SynapseSql-VulnerabilityAssessment 로깅 Synapse SQL 풀 취약성 평가를 배포합니다.

Azure Databricks

정책 이름 정책 영역 설명
Append-Databricks-PublicIp 네트워크 격리 Databricks 작업 영역에 대해 퍼블릭 액세스를 적용하지 않습니다.
Deny-Databricks-Sku 리소스 관리 비프리미엄 Databricks SKU를 거부합니다.
Deny-Databricks-VirtualNetwork 네트워크 격리 Databricks에 대한 비가상 네트워크 배포를 거부하라.

클러스터 정책을 통해 Databricks 작업 영역에 적용되는 기타 정책:

클러스터 정책 이름 정책 영역
Spark 버전 제한 리소스 관리
클러스터 크기 및 VM 유형 제한 리소스 관리
비용 태그 지정 적용 리소스 관리
자동 스케일링 적용 리소스 관리
자동 일시 중지 적용 리소스 관리
시간당 DBU 제한 리소스 관리
퍼블릭 SSH 거부 인증
클러스터 자격 증명 통과 사용 인증
프로세스 격리 사용 네트워크 격리
Spark 모니터링 적용 로깅
클러스터 로그 적용 로깅
SQL, Python만 허용 리소스 관리
추가 설치 스크립트 거부 리소스 관리

Azure IoT Hub

정책 이름 정책 영역 설명
Append-IotHub-MinimalTlsVersion 암호화 IoT Hub에 최소 TLS 버전을 적용합니다.
Audit-IotHub-PrivateEndpointId 네트워크 격리 IoT Hub의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-IotHub-PublicNetworkAccess 네트워크 격리 IoT Hub에 대한 공용 네트워크 액세스를 거부합니다.
Deny-IotHub-Sku 리소스 관리 IoT Hub SKU를 적용합니다.
Deploy-IotHub-IoTSecuritySolutions 보안 IoT Hub용 Microsoft Defender for IoT를 배포합니다.

Azure Event Hubs

정책 이름 정책 영역 설명
Deny-EventHub-Ipfilterrules 네트워크 격리 Azure Event Hubs에 대한 IP 필터 규칙 추가를 거부합니다.
Deny-EventHub-MaximumThroughputUnits 네트워크 격리 SQL 서버에 대한 공용 네트워크 액세스를 거부합니다.
Deny-EventHub-NetworkRuleSet 네트워크 격리 Azure Event Hubs에 기본 가상 네트워크 규칙을 적용합니다.
Deny-EventHub-Sku 리소스 관리 Azure Event Hubs에 대한 특정 SKU를 거부합니다.
Deny-EventHub-Virtualnetworkrules 네트워크 격리 Azure Event Hubs에 대한 가상 네트워크 규칙 추가를 거부합니다.

Azure Stream Analytics

정책 이름 정책 영역 설명
Append-StreamAnalytics-IdentityType 인증 Stream Analytics에 시스템 할당 ID 사용을 적용합니다.
Deny-StreamAnalytics-ClusterId 리소스 관리 Stream Analytics 클러스터 사용을 적용합니다.
Deny-StreamAnalytics-StreamingUnits 리소스 관리 Stream Analytics 스트리밍 단위 수를 적용합니다.

Azure Data Explorer

정책 이름 정책 영역 설명
Deny-DataExplorer-DiskEncryption 암호화 Data Explorer에 디스크 암호화 사용을 적용합니다.
Deny-DataExplorer-DoubleEncryption 암호화 Data Explorer에 이중 암호화 사용을 적용합니다.
Deny-DataExplorer-Identity 인증 Data Explorer에 시스템 또는 사용자 할당 ID 사용을 적용합니다.
Deny-DataExplorer-Sku 리소스 관리 Data Explorer SKU를 적용합니다.
Deny-DataExplorer-TrustedExternalTenants 네트워크 격리 Data Explorer에 대한 외부 테넌트를 거부합니다.
Deny-DataExplorer-VirtualNetworkConfiguration 네트워크 격리 Data Explorer에 가상 네트워크 수집을 적용합니다.

Azure Cosmos DB

정책 이름 정책 영역 설명
Append-Cosmos-DenyCosmosKeyBasedMetadataWriteAccess 인증 Azure Cosmos DB 계정에 대한 키 기반 메타데이터 쓰기 액세스를 거부합니다.
Append-Cosmos-PublicNetworkAccess 네트워크 격리 Azure Cosmos DB 계정에 대한 공용 네트워크 액세스를 적용하지 않습니다.
Audit-Cosmos-PrivateEndpointId 네트워크 격리 Azure Cosmos DB에 대한 다른 구독에서 만든 공용 엔드포인트를 감사합니다.
Deny-Cosmos-Cors 네트워크 격리 Azure Cosmos DB 계정에 대한 CORS 규칙을 거부합니다."
Deny-Cosmos-PublicNetworkAccess 네트워크 격리 Azure Cosmos DB 계정에 대한 공용 네트워크 액세스를 거부합니다.

Azure Container Registry

정책 이름 정책 영역 설명
Audit-ContainerRegistry-PrivateEndpointId 네트워크 격리 Cognitive Services의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-ContainerRegistry-PublicNetworkAccess 네트워크 격리 컨테이너 레지스트리에 대한 공용 네트워크 액세스를 거부합니다.
Deny-ContainerRegistry-Sku 리소스 관리 Container Registry에 프리미엄 SKU를 적용합니다.

Azure Cognitive Services

정책 이름 정책 영역 설명
Append-CognitiveServices-IdentityType 인증 Container Registry에 시스템 할당 ID 사용을 적용합니다.
Audit-CognitiveServices-PrivateEndpointId 네트워크 격리 Cognitive Services의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-CognitiveServices-Encryption 암호화 Cognitive Services에 암호화 사용을 적용합니다.
Deny-CognitiveServices-PublicNetworkAccess 네트워크 격리 Cognitive Services에 공용 네트워크 액세스가 아닌 액세스를 적용하지 않습니다.
Deny-CognitiveServices-Sku 리소스 관리 Cognitive Services 무료 SKU를 거부합니다.
Deny-CognitiveServices-UserOwnedStorage 네트워크 격리 Cognitive Services에 사용자 소유 스토리지를 적용합니다.

Azure Machine Learning

정책 이름 정책 영역 설명
Append-MachineLearning-PublicAccessWhenBehindVnet 네트워크 격리 기계 학습 작업 영역에 대한 가상 네트워크 뒤의 공용 액세스를 거부합니다.
Audit-MachineLearning-PrivateEndpointId 네트워크 격리 Machine Learning의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-MachineLearning-HbiWorkspace 네트워크 격리 환경 전반에 걸쳐 높은 비즈니스 영향 Machine Learning 작업 영역을 적용합니다.
Deny-MachineLearningAks 리소스 관리 Machine Learning에서 AKS 만들기(연결 안 함)를 거부합니다.
Deny-MachineLearningCompute-SubnetId 네트워크 격리 Machine Learning 컴퓨팅 클러스터 및 인스턴스에 대한 공용 IP를 거부합니다.
Deny-MachineLearningCompute-VmSize 리소스 관리 Machine Learning 컴퓨팅 클러스터 및 인스턴스에 허용되는 VM 크기를 제한합니다.
Deny-MachineLearningComputeCluster-RemoteLoginPortPublicAccess 네트워크 격리 SSH를 통한 클러스터 퍼블릭 액세스를 거부합니다.
Deny-MachineLearningComputeCluster-Scale 리소스 관리 Machine Learning 컴퓨팅 클러스터에 스케일링 설정을 적용합니다.

Azure SQL Managed Instance

정책 이름 정책 영역 설명
Append-SqlManagedInstance-MinimalTlsVersion 암호화 SQL Managed Instance 서버에 최소 TLS 버전을 적용합니다.
Deny-SqlManagedInstance-PublicDataEndpoint 네트워크 격리 SQL Managed Instance에 대한 퍼블릭 데이터 엔드포인트를 거부합니다.
Deny-SqlManagedInstance-Sku 리소스 관리
Deny-SqlManagedInstance-SubnetId 네트워크 격리 SQL Managed Instance의 서브넷에 배포를 적용합니다.
Deploy-SqlManagedInstance-AzureAdOnlyAuthentications 인증 SQL Managed Instance에 대해 Microsoft Entra 전용 인증을 적용합니다.
Deploy-SqlManagedInstance-SecurityAlertPolicies 로깅 SQL Managed Instance 보안 경고 정책을 배포합니다.
Deploy-SqlManagedInstance-VulnerabilityAssessment 로깅 SQL Managed Instance 취약성 평가를 배포합니다.

Azure SQL Database

정책 이름 정책 영역 설명
Append-Sql-MinimalTlsVersion 암호화 SQL 서버에 최소 TLS 버전을 적용합니다.
Audit-Sql-PrivateEndpointId 네트워크 격리 Azure SQL의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-Sql-PublicNetworkAccess 네트워크 격리 SQL 서버에 대한 공용 네트워크 액세스를 거부합니다.
Deny-Sql-StorageAccountType 복원력 지역 중복 데이터베이스 백업을 적용합니다.
Deploy-Sql-AuditingSettings 로깅 SQL 감사 설정을 배포합니다.
Deploy-Sql-AzureAdOnlyAuthentications 인증 SQL Server에 대해 Microsoft Entra 전용 인증을 적용합니다.
Deploy-Sql-SecurityAlertPolicies 로깅 SQL 보안 경고 정책을 배포합니다.
Deploy-Sql-TransparentDataEncryption 암호화 SQL 투명한 데이터 암호화를 배포합니다.
Deploy-Sql-VulnerabilityAssessment 로깅 SQL 취약성 평가를 배포합니다.
Deploy-SqlDw-AuditingSettings 로깅 SQL DW 감사 설정을 배포합니다.

Azure Database for MariaDB

정책 이름 정책 영역 설명
Append-MariaDb-MinimalTlsVersion 암호화 MariaDB 서버에 최소 TLS 버전을 적용합니다.
Audit-MariaDb-PrivateEndpointId 네트워크 격리 MariaDB의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-MariaDb-PublicNetworkAccess 네트워크 격리 MariaDB 서버에 대한 공용 네트워크 액세스를 거부합니다.
Deny-MariaDb-StorageProfile 복원력 최소 보존 시간(일)이 있는 지역 중복 데이터베이스 백업을 적용합니다.
Deploy-MariaDb-SecurityAlertPolicies 로깅 MariaDB에 대한 SQL 보안 경고 정책을 배포합니다.

Azure Database for MySQL

정책 이름 정책 영역 설명
Append-MySQL-MinimalTlsVersion 암호화 MySQL 서버에 최소 TLS 버전을 적용합니다.
Audit-MySql-PrivateEndpointId 네트워크 격리 MySQL의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-MySQL-InfrastructureEncryption 암호화 MySQL 서버에 인프라 암호화를 적용합니다.
Deny-MySQL-PublicNetworkAccess 네트워크 격리 MySQL 서버에 대한 공용 네트워크 액세스를 거부합니다.
Deny-MySql-StorageProfile 복원력 최소 보존 시간(일)이 있는 지역 중복 데이터베이스 백업을 적용합니다.
Deploy-MySql-SecurityAlertPolicies 로깅 MySQL에 대한 SQL 보안 경고 정책을 배포합니다.

Azure Database for PostgreSQL

정책 이름 정책 영역 설명
Append-PostgreSQL-MinimalTlsVersion 암호화 PostgreSQL 서버에 최소 TLS 버전을 적용합니다.
Audit-PostgreSql-PrivateEndpointId 네트워크 격리 PostgreSQL의 다른 구독에서 만들어진 퍼블릭 엔드포인트를 감사합니다.
Deny-PostgreSQL-InfrastructureEncryption 암호화 PostgreSQL 서버에 인프라 암호화를 적용합니다.
Deny-PostgreSQL-PublicNetworkAccess 네트워크 격리 PostgreSQL 서버에 대한 공용 네트워크 액세스를 거부합니다.
Deny-PostgreSql-StorageProfile 복원력 최소 보존 시간(일)이 있는 지역 중복 데이터베이스 백업을 적용합니다.
Deploy-PostgreSql-SecurityAlertPolicies 로깅 PostgreSQL에 대한 SQL 보안 경고 정책을 배포합니다.
정책 이름 정책 영역 설명
Append-Search-IdentityType 인증 Azure AI Search에 시스템 할당 ID 사용을 적용합니다.
Audit-Search-PrivateEndpointId 네트워크 격리 Azure AI Search에 대한 다른 구독에서 만든 퍼블릭 엔드포인트를 감사합니다.
Deny-Search-PublicNetworkAccess 네트워크 격리 Azure AI Search에 대한 공용 네트워크 액세스를 거부합니다.
Deny-Search-Sku 리소스 관리 Azure AI Search SKU를 적용합니다.

Azure DNS

정책 이름 정책 영역 설명
Deny-PrivateDnsZones 리소스 관리 확산을 방지하기 위해 프라이빗 DNS 영역의 배포를 제한합니다.

네트워크 보안 그룹

정책 이름 정책 영역 설명
Deploy-Nsg-FlowLogs 로깅 NSG 흐름 로그 및 트래픽 분석을 배포합니다.

Batch

정책 이름 정책 영역 설명
Deny-Batch-InboundNatPools 네트워크 격리 배치 계정 VM 풀에 대한 인바운드 NAT 풀을 거부합니다.
Deny-Batch-NetworkConfiguration 네트워크 격리 배치 계정 VM 풀에 대한 공용 IP 주소를 거부합니다.
Deny-Batch-PublicNetworkAccess 네트워크 격리 배치 계정에 대한 공용 네트워크 액세스를 거부합니다.
Deny-Batch-Scale 리소스 관리 배치 계정 VM 풀에 대한 특정 스케일링 구성을 거부합니다.
Deny-Batch-VmSize 리소스 관리 배치 계정 VM 풀에 대한 특정 VM 크기를 거부합니다.

Azure Cache for Redis

정책 이름 정책 영역 설명
Deny-Cache-Enterprise 리소스 관리 Redis Cache Enterprise를 거부합니다.
Deny-Cache-FirewallRules 네트워크 격리 Redis Cache에 대한 방화벽 규칙을 거부합니다.
Deny-Cache-MinimumTlsVersion 암호화 Redis Cache에 최소 TLS 버전을 적용합니다.
Deny-Cache-NonSslPort 네트워크 격리 Redis Cache에 대해 비SSL 포트 끄기를 적용합니다.
Deny-Cache-PublicNetworkAccess 네트워크 격리 Redis Cache에 대해 공용 네트워크 액세스를 적용하지 않습니다.
Deny-Cache-Sku 리소스 관리 Redis Cache에 특정 SKU를 적용합니다.
Deny-Cache-VnetInjection 네트워크 격리 프라이빗 엔드포인트 사용을 적용하고 Redis Cache에 대한 가상 네트워크 주입을 거부합니다.

Container instances

정책 이름 정책 영역 설명
Deny-ContainerInstance-PublicIpAddress 네트워크 격리 Azure Machine Learning에서 만들어진 퍼블릭 Container Instances를 거부합니다.

Azure Firewall

정책 이름 정책 영역 설명
Deny-Firewall 리소스 관리 확산을 방지하기 위해 Azure Firewall의 배포를 제한합니다.

HDInsight

정책 이름 정책 영역 설명
Deny-HdInsight-EncryptionAtHost 암호화 HDInsight 클러스터에 대해 호스트에서 암호화를 적용합니다.
Deny-HdInsight-EncryptionInTransit 암호화 HDInsight 클러스터에 전송 중 암호화를 적용합니다.
Deny-HdInsight-MinimalTlsVersion 암호화 HDInsight 클러스터에 최소 TLS 버전을 적용합니다.
Deny-HdInsight-NetworkProperties 네트워크 격리 HDInsight 클러스터에 프라이빗 링크 사용을 적용합니다.
Deny-HdInsight-Sku HDInsight 클러스터에 특정 SKU를 적용합니다.
Deny-HdInsight-VirtualNetworkProfile 네트워크 격리 HDInsight 클러스터에 가상 네트워크 삽입을 적용합니다.

Power BI

정책 이름 정책 영역 설명
Deny-PrivateLinkServicesForPowerBI 리소스 관리 확산을 방지하기 위해 Power BI에 대해 프라이빗 링크 서비스 배포를 제한합니다.

다음 단계