Key Vault에 대한 Azure Policy 기본 제공 정의
이 페이지는 Key Vault에 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공 기능은 Azure Policy 기본 제공 정의를 참조하세요.
Azure Portal의 정책 정의에 대한 각 기본 제공 정책 정의 링크의 이름입니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리에서 원본을 봅니다.
Key Vault(서비스)
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: Azure Key Vault 관리되는 HSM에서 공용 네트워크 액세스를 사용할 수 없음 | 공용 인터넷을 통해 액세스할 수 없도록 Azure Key Vault 관리되는 HSM에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: Azure Key Vault 관리되는 HSM은 프라이빗 링크를 사용해야 합니다. | 프라이빗 링크는 공용 인터넷을 통해 트래픽을 보내지 않고 Azure Key Vault 관리되는 HSM을 Azure 리소스에 연결하는 방법을 제공합니다. 프라이빗 링크는 데이터 반출에 대한 심층 방어 기능을 제공합니다. https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link에서 자세히 알아보세요. | 감사, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 인증서는 지정된 비통합 인증 기관 중 하나에서 발급되어야 합니다. | 키 자격 증명 모음에 인증서를 발급할 수 있는 사용자 지정 또는 내부 인증 기관을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| [미리 보기]: 공용 네트워크 액세스를 사용하지 않도록 Azure Key Vault Managed HSM 구성 | 공용 인터넷을 통해 액세스할 수 없도록 Azure Key Vault 관리되는 HSM에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link#allow-trusted-services-to-access-managed-hsm에서 자세히 알아보세요. | 수정, 사용 안 함 | 2.0.0-preview |
| [미리 보기]: 프라이빗 엔드포인트로 Azure Key Vault 관리되는 HSM 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 Azure Key Vault 관리되는 HSM에 매핑하여 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/key-vault/managed-hsm/private-link에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 - 미리 보기 |
| Azure Key Vault Managed HSM에 제거 방지를 사용하도록 설정해야 함 | Azure Key Vault Managed HSM을 악의적으로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 조직의 악의적인 내부자가 잠재적으로 Azure Key Vault Managed HSM을 삭제하고 제거할 수 있습니다. 제거 보호는 일시 삭제된 Azure Key Vault Managed HSM에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 Azure Key Vault Managed HSM을 제거할 수 없습니다. | 감사, 거부, 사용 안 함 | 1.0.0 |
| Azure Key Vault에서 공용 네트워크 액세스를 사용할 수 없음 | 공용 인터넷을 통해 액세스할 수 없도록 키 자격 증명 모음에 대한 공용 네트워크 액세스를 사용하지 않도록 설정합니다. 이를 통해 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/akvprivatelink에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Azure Key Vault에는 방화벽이 활성화되어 있어야 합니다. | 키 자격 증명 모음이 기본적으로 공용 IP에 액세스할 수 없도록 키 자격 증명 모음 방화벽을 사용하도록 설정합니다. 필요에 따라, 특정 IP 범위를 구성하여 해당 네트워크에 대한 액세스를 제한할 수 있습니다. https://docs.microsoft.com/azure/key-vault/general/network-security에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 3.2.1 |
| Azure Key Vault에서 RBAC 권한 모델을 사용해야 함 | Key Vault 전반에서 RBAC 권한 모델을 사용하도록 설정합니다. https://video2.skills-academy.com/en-us/azure/key-vault/general/rbac-migration에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Key Vault에서 프라이빗 링크를 사용해야 함 | Azure Private Link를 사용하면 원본 또는 대상에 공용 IP 주소가 없어도 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 키 자격 증명 모음에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/akvprivatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | [parameters('audit_effect')] | 1.2.1 |
| 인증서는 지정된 통합 인증 기관에서 발급해야 함 | Digicert 또는 GlobalSign과 같은 키 자격 증명 모음에 인증서를 발급할 수 있는 Azure 통합 인증 기관을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 인증서는 지정된 비통합 인증 기관에서 발급해야 함 | 키 자격 증명 모음에 인증서를 발급할 수 있는 사용자 지정 또는 내부 인증 기관을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.1 |
| 인증서에 지정된 수명 작업 트리거가 있어야 함 | 특정 수명 백분율 또는 만료 전 특정 기간(일)에 인증서 수명 작업이 트리거되는지 여부를 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 인증서에 지정된 최대 유효 기간이 있어야 함 | 키 자격 증명 모음 내에서 인증서가 유효한 최대 시간을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.2.1 |
| 인증서가 지정된 기간(일) 내에 만료되지 않아야 함 | 지정된 기간(일) 내에 만료될 인증서를 관리하여 조직에서 만료 전에 인증서를 회전할 시간이 충분한지 확인합니다. | 감사, 거부, 사용 안 함 | 2.1.1 |
| 인증서는 허용된 키 유형을 사용해야 함 | 인증서에 대해 허용되는 키 유형을 제한하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 타원 곡선 암호화를 사용하는 인증서에는 허용되는 곡선 이름이 있어야 함 | 키 자격 증명 모음에 저장된 ECC 인증서에 대해 허용되는 타원 곡선 이름을 관리합니다. 자세한 내용은 https://aka.ms/akvpolicy에서 확인할 수 있습니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| RSA 암호화를 사용하는 인증서에는 지정된 최소 키 크기가 있어야 함 | 키 자격 증명 모음에 저장된 RSA 인증서에 대한 최소 키 크기를 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 프라이빗 엔드포인트로 Azure Key Vault 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 Azure 서비스에 가상 네트워크를 연결합니다. 프라이빗 엔드포인트를 키 자격 증명 모음에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://aka.ms/akvprivatelink에서 프라이빗 링크에 대해 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.1 |
| 방화벽을 사용하도록 키 자격 증명 모음 구성 | 키 자격 증명 모음이 기본적으로 공용 IP에 액세스할 수 없도록 키 자격 증명 모음 방화벽을 사용하도록 설정합니다. 그런 다음, 특정 IP 범위를 구성하여 해당 네트워크에 대한 액세스를 제한할 수 있습니다. https://docs.microsoft.com/azure/key-vault/general/network-security에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.1.1 |
| 배포 - Azure Key Vault의 진단 설정을 Log Analytics 작업 영역으로 구성 | Azure Key Vault의 진단 설정을 배포하여 해당 진단 설정이 없는 Key Vault가 생성되거나 업데이트될 때 리소스 로그를 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 2.0.1 |
| 배포 - Azure Key Vault 관리형 HSM에서 사용하도록 Log Analytics 작업 영역에 대한 진단 설정 구성 | Azure Key Vault 관리형 HSM의 진단 설정을 배포하여 이 진단 설정이 없는 Azure Key Vault 관리형 HSM이 만들어지거나 업데이트될 때 지역별 Log Analytics 작업 영역으로 스트림합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 배포 - Azure Key Vault Managed HSM에서 사용할 수 있도록 이벤트 허브에 대한 진단 설정 구성 | 이 진단 설정이 누락된 Azure Key Vault Managed HSM이 생성되거나 업데이트될 때 Azure Key Vault Managed HSM에 대한 진단 설정을 배포하여 지역 Event Hub로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| Key Vault의 진단 설정을 Event Hub에 배포 | 이 진단 설정이 누락된 Key Vault를 만들거나 업데이트할 때 Key Vault의 진단 설정을 배포하여 지역별 Event Hub로 스트림합니다. | DeployIfNotExists, 사용 안 함 | 3.0.1 |
| Key Vault의 진단 설정을 Log Analytics 작업 영역에 배포 | 이 진단 설정이 누락된 Key Vault를 만들거나 업데이트할 때 Key Vault의 진단 설정을 배포하여 지역별 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 3.0.0 |
| Event Hub에 대한 Key Vaults(microsoft.keyvault/vaults)의 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Key Vault(microsoft.keyvault/vaults)에 대한 Event Hub로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| 키 자격 증명 모음(microsoft.keyvault/vaults)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 Key Vault(microsoft.keyvault/vaults)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 키 자격 증명 모음(microsoft.keyvault/vaults)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 로그를 Key Vaults(microsoft.keyvault/vaults)의 Storage Account로 라우팅하는 범주 그룹을 사용한 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Event Hub에 대한 관리형 HSM(microsoft.keyvault/managedhsms)에 대한 범주 그룹별 로깅 사용 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 관리형 HSM(microsoft.keyvault/managedhsms)에 대한 이벤트 허브로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.2.0 |
| 관리형 HSM(microsoft.keyvault/managedhsms)에 대해 범주 그룹별로 Log Analytics에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 로그를 관리형 HSM(microsoft.keyvault/managedhsms)에 대한 Log Analytics 작업 영역으로 라우팅하는 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| 관리형 HSM(microsoft.keyvault/managedhsms)에 대해 범주 그룹별로 Storage에 대한 로깅을 사용하도록 설정 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 로그를 관리형 HSM(microsoft.keyvault/managedhsms)의 Storage Account로 라우팅하는 범주 그룹을 사용한 진단 설정을 배포합니다. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.1.0 |
| Key Vault 키에는 만료 날짜가 있어야 함 | 암호화 키에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 키는 잠재적인 공격자에게 키를 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 암호화 키에 대한 만료 날짜를 설정하는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
| Key Vault 비밀에는 만료 날짜가 있어야 함 | 비밀에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 비밀은 잠재적인 공격자에게 비밀을 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 비밀에 대한 만료 날짜를 설정하는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
| Key Vault는 가상 네트워크 서비스 엔드포인트를 사용해야 함 | 이 정책은 가상 네트워크 서비스 엔드포인트를 사용하도록 구성되지 않은 모든 Key Vault를 감사합니다. | 감사, 사용 안 함 | 1.0.0 |
| 키 자격 증명 모음에서는 삭제 방지를 사용하도록 설정해야 함 | 키 자격 증명 모음을 악의적으로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 제거 방지 및 일시 삭제를 사용하도록 설정하여 영구적인 데이터 손실을 방지할 수 있습니다. 제거 보호는 일시 삭제된 키 자격 증명 모음에 대해 필수 보존 기간을 적용하여 내부자 공격으로부터 보호합니다. 일시 삭제 보존 기간 동안에는 조직 또는 Microsoft 내부의 어느 누구도 키 자격 증명 모음을 제거할 수 없습니다. 2019년 9월 1일 이후에 만든 키 자격 증명 모음은 기본적으로 일시 삭제를 사용하도록 설정되어 있습니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 키 자격 증명 모음에 일시 삭제를 사용하도록 설정해야 함 | 일시 삭제를 사용하지 않고 키 자격 증명 모음을 삭제하면 키 자격 증명 모음에 저장된 모든 비밀, 키 및 인증서가 영구적으로 삭제됩니다. 키 자격 증명 모음을 실수로 삭제하면 데이터가 영구적으로 손실될 수 있습니다. 일시 삭제를 사용하면 실수로 삭제된 키 자격 증명 모음을 구성 가능한 보존 기간 동안 복구할 수 있습니다. | 감사, 거부, 사용 안 함 | 3.0.0 |
| 키는 HSM(하드웨어 보안 모듈)에서 지원되어야 함 | HSM은 키를 저장하는 하드웨어 보안 모듈입니다. HSM은 암호화 키에 대한 물리적 보호 계층을 제공합니다. 암호화 키는 소프트웨어 키보다 높은 수준의 보안을 제공하는 물리적 HSM을 벗어날 수 없습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 키는 지정된 RSA 또는 EC 암호화 유형이어야 함 | 일부 애플리케이션에서는 특정 암호화 유형으로 지원되는 키를 사용해야 합니다. 사용자 환경에서 특정 암호화 키 유형(RSA 또는 EC)을 적용합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 키에는 키 생성 후 지정된 일 수 이내에 키 회전을 예약하는 회전 정책이 있어야 함 | 키를 만든 후 순환해야 할 때까지 최대 일 수를 지정하여 조직 규정 준수 요구 사항을 관리합니다. | 감사, 사용 안 함 | 1.0.0 |
| 키에는 만료 전에 지정된 기간(일)보다 더 많은 기간이 있어야 함 | 키가 만료에 너무 가까운 경우 조직에서 키 회전 지연이 발생하여 운영이 중단될 수 있습니다. 키는 오류에 대응할 수 있는 충분한 시간을 제공하기 위해 만료 전 지정된 일 수에서 회전되어야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 키에는 지정된 최대 유효 기간이 있어야 함 | 키 자격 증명 모음 내에서 키가 유효한 최대 일 수를 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 키는 지정된 기간(일)을 초과하는 활성 상태가 아니어야 함 | 키가 활성 상태여야 하는 기간(일)을 지정합니다. 기간을 초과하여 키를 사용하면 공격자가 키를 손상시킬 가능성이 높아집니다. 보안상 키가 2년을 초과하는 활성 상태가 아닌지 확인하는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 타원 곡선 암호화를 사용하는 키에는 지정된 곡선 이름이 있어야 함 | 타원 곡선 암호화로 지원되는 키는 다른 곡선 이름을 사용할 수 있습니다. 일부 애플리케이션은 특정 타원 곡선 키와만 호환됩니다. 환경에서 만들 수 있는 타원 곡선 키 유형을 적용합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| RSA 암호화를 사용하는 키에는 지정된 최소 키 크기가 있어야 함 | 키 자격 증명 모음에 사용하는 데 허용되는 최소 키 크기를 설정합니다. 작은 키 크기의 RSA 키를 사용하는 것은 안전한 방법이 아니며 많은 업계 인증 요구 사항을 충족하지 않습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Key Vault Managed HSM의 리소스 로그를 사용하도록 설정해야 함 | 보안 인시던트가 발생하거나 네트워크가 손상되었을 때 조사를 위해 활동 기록을 다시 만들려면 Managed HSM에서 리소스 로그를 사용하도록 설정하여 감사할 수 있습니다. 여기(https://docs.microsoft.com/azure/key-vault/managed-hsm/logging)의 지침을 따르세요. | AuditIfNotExists, 사용 안 함 | 1.1.0 |
| Key Vault에서 리소스 로그를 사용하도록 설정해야 함 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
| 비밀에는 콘텐츠 형식이 설정되어야 함 | 콘텐츠 형식 태그는 비밀이 암호, 연결 문자열 등인지 식별하는 데 도움이 됩니다. 비밀마다 교체 요구 사항이 다릅니다. 콘텐츠 형식 태그는 비밀에 설정되어야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 비밀에는 만료 전에 지정된 기간(일)보다 더 많은 기간이 있어야 함 | 비밀이 만료에 너무 가까운 경우 조직에서 비밀 회전 지연이 발생하여 운영이 중단될 수 있습니다. 비밀은 오류에 대응할 수 있는 충분한 시간을 제공하기 위해 만료 전 지정된 일 수에서 회전되어야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 비밀에는 지정된 최대 유효 기간이 있어야 함 | 키 자격 증명 모음 내에서 비밀이 유효한 최대 일 수를 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 비밀은 지정된 기간(일)을 초과하는 활성 상태가 아니어야 함 | 미래의 활성화 날짜를 설정하여 비밀을 만든 경우 비밀이 지정된 기간을 초과하는 활성 상태가 아닌지 확인해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
Key Vault(개체)
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| [미리 보기]: 인증서는 지정된 비통합 인증 기관 중 하나에서 발급되어야 합니다. | 키 자격 증명 모음에 인증서를 발급할 수 있는 사용자 지정 또는 내부 인증 기관을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.0 - 미리 보기 |
| 인증서는 지정된 통합 인증 기관에서 발급해야 함 | Digicert 또는 GlobalSign과 같은 키 자격 증명 모음에 인증서를 발급할 수 있는 Azure 통합 인증 기관을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 인증서는 지정된 비통합 인증 기관에서 발급해야 함 | 키 자격 증명 모음에 인증서를 발급할 수 있는 사용자 지정 또는 내부 인증 기관을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.1 |
| 인증서에 지정된 수명 작업 트리거가 있어야 함 | 특정 수명 백분율 또는 만료 전 특정 기간(일)에 인증서 수명 작업이 트리거되는지 여부를 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 인증서에 지정된 최대 유효 기간이 있어야 함 | 키 자격 증명 모음 내에서 인증서가 유효한 최대 시간을 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.2.1 |
| 인증서가 지정된 기간(일) 내에 만료되지 않아야 함 | 지정된 기간(일) 내에 만료될 인증서를 관리하여 조직에서 만료 전에 인증서를 회전할 시간이 충분한지 확인합니다. | 감사, 거부, 사용 안 함 | 2.1.1 |
| 인증서는 허용된 키 유형을 사용해야 함 | 인증서에 대해 허용되는 키 유형을 제한하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| 타원 곡선 암호화를 사용하는 인증서에는 허용되는 곡선 이름이 있어야 함 | 키 자격 증명 모음에 저장된 ECC 인증서에 대해 허용되는 타원 곡선 이름을 관리합니다. 자세한 내용은 https://aka.ms/akvpolicy에서 확인할 수 있습니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| RSA 암호화를 사용하는 인증서에는 지정된 최소 키 크기가 있어야 함 | 키 자격 증명 모음에 저장된 RSA 인증서에 대한 최소 키 크기를 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 2.1.0 |
| Key Vault 키에는 만료 날짜가 있어야 함 | 암호화 키에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 키는 잠재적인 공격자에게 키를 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 암호화 키에 대한 만료 날짜를 설정하는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
| Key Vault 비밀에는 만료 날짜가 있어야 함 | 비밀에는 정의된 만료 날짜가 있어야 하며 영구적이지 않아야 합니다. 영구적으로 유효한 비밀은 잠재적인 공격자에게 비밀을 손상시킬 수 있는 시간을 더 많이 제공합니다. 보안상 비밀에 대한 만료 날짜를 설정하는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.0.2 |
| 키는 HSM(하드웨어 보안 모듈)에서 지원되어야 함 | HSM은 키를 저장하는 하드웨어 보안 모듈입니다. HSM은 암호화 키에 대한 물리적 보호 계층을 제공합니다. 암호화 키는 소프트웨어 키보다 높은 수준의 보안을 제공하는 물리적 HSM을 벗어날 수 없습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 키는 지정된 RSA 또는 EC 암호화 유형이어야 함 | 일부 애플리케이션에서는 특정 암호화 유형으로 지원되는 키를 사용해야 합니다. 사용자 환경에서 특정 암호화 키 유형(RSA 또는 EC)을 적용합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 키에는 키 생성 후 지정된 일 수 이내에 키 회전을 예약하는 회전 정책이 있어야 함 | 키를 만든 후 순환해야 할 때까지 최대 일 수를 지정하여 조직 규정 준수 요구 사항을 관리합니다. | 감사, 사용 안 함 | 1.0.0 |
| 키에는 만료 전에 지정된 기간(일)보다 더 많은 기간이 있어야 함 | 키가 만료에 너무 가까운 경우 조직에서 키 회전 지연이 발생하여 운영이 중단될 수 있습니다. 키는 오류에 대응할 수 있는 충분한 시간을 제공하기 위해 만료 전 지정된 일 수에서 회전되어야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 키에는 지정된 최대 유효 기간이 있어야 함 | 키 자격 증명 모음 내에서 키가 유효한 최대 일 수를 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 키는 지정된 기간(일)을 초과하는 활성 상태가 아니어야 함 | 키가 활성 상태여야 하는 기간(일)을 지정합니다. 기간을 초과하여 키를 사용하면 공격자가 키를 손상시킬 가능성이 높아집니다. 보안상 키가 2년을 초과하는 활성 상태가 아닌지 확인하는 것이 좋습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 타원 곡선 암호화를 사용하는 키에는 지정된 곡선 이름이 있어야 함 | 타원 곡선 암호화로 지원되는 키는 다른 곡선 이름을 사용할 수 있습니다. 일부 애플리케이션은 특정 타원 곡선 키와만 호환됩니다. 환경에서 만들 수 있는 타원 곡선 키 유형을 적용합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| RSA 암호화를 사용하는 키에는 지정된 최소 키 크기가 있어야 함 | 키 자격 증명 모음에 사용하는 데 허용되는 최소 키 크기를 설정합니다. 작은 키 크기의 RSA 키를 사용하는 것은 안전한 방법이 아니며 많은 업계 인증 요구 사항을 충족하지 않습니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 비밀에는 콘텐츠 형식이 설정되어야 함 | 콘텐츠 형식 태그는 비밀이 암호, 연결 문자열 등인지 식별하는 데 도움이 됩니다. 비밀마다 교체 요구 사항이 다릅니다. 콘텐츠 형식 태그는 비밀에 설정되어야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 비밀에는 만료 전에 지정된 기간(일)보다 더 많은 기간이 있어야 함 | 비밀이 만료에 너무 가까운 경우 조직에서 비밀 회전 지연이 발생하여 운영이 중단될 수 있습니다. 비밀은 오류에 대응할 수 있는 충분한 시간을 제공하기 위해 만료 전 지정된 일 수에서 회전되어야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 비밀에는 지정된 최대 유효 기간이 있어야 함 | 키 자격 증명 모음 내에서 비밀이 유효한 최대 일 수를 지정하여 조직의 규정 준수 요구 사항을 관리합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| 비밀은 지정된 기간(일)을 초과하는 활성 상태가 아니어야 함 | 미래의 활성화 날짜를 설정하여 비밀을 만든 경우 비밀이 지정된 기간을 초과하는 활성 상태가 아닌지 확인해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
다음 단계
- Azure Policy GitHub 리포지토리의 기본 제공 기능을 참조하세요.
- Azure Policy 정의 구조를 검토합니다.
- 정책 효과 이해를 검토합니다.