본문으로 건너뛰기

점검기준

영역 Scope항목명점검 기준
계정 관리AD 사용자 계정 관리양호 기준: 관리자 권한을 보유한 다수 계정이 존재하지 않고 불필요한 계정이 존재하지 않을 경우
취약 기준: 관리자 권한을 보유한 다수 계정이 존재하거나 불필요한 계정이 존재할 경우
AD 사용자 프로필 및 디렉터리 식별 관리양호 기준: 프로필 필수 항목(ID, 작업정보, 연락처 등) 이 작성되어 있을 경우
취약 기준: 프로필 필수 항목(ID, 작업정보, 연락처 등) 이 작성되어 있지 않을 경우
AD 그룹 소유자 및 구성원 관리양호 기준: 그룹에 소유자 및 구성원이 설정되어 있는 경우
취약 기준: 그룹에 소유자 및 구성원이 설정되어 있지 않을 경우
AD 게스트 사용자양호 기준: 게스트 사용자 계정(사용 만료된 불필요한 계정 포함)을 사용하지 않을 경우
취약 기준: 게스트 사용자 계정(사용 만료된 불필요한 계정 포함)을 사용하고 있을 경우
AD 암호 재설정 규칙 관리양호 기준: 암호 재설정 규칙이 필수 설정 기준에 맞게 설정되어 있는 경우
취약 기준: 암호 재설정 규칙이 필수 설정 기준에 맞게 설정되어 있지 않은 경우
SSH key 접근 관리양호 기준: SSH Key ‘생성/변경/삭제’가 관리자 및 소유자 계정만 가능하도록 설정되어 있을 경우
취약 기준: SSH Key ‘생성/변경/삭제’가 관리자 및 소유자 계정만 가능하도록 설정되어 있지 않을 경우
MFA(Multi-Factor-Authentication) 설정양호 기준: AD 사용자 계정에 MFA를 활성화하여 사용하고 있을 경우
취약 기준: AD 사용자 계정에 MFA를 활성화하여 사용하고 있지 않을 경우
MFA(Multi-Factor-Authentication) 계정잠금정책관리양호 기준: 계정 잠금 설정이 정책에 맞게 설정되어 있을 경우
취약 기준: 계정 잠금 설정이 정책에 맞게 설정되어 있지 않을 경우
Azure 패스워드 정책 관리양호 기준: 정책에 맞게 암호 보호 정책을 적용하여 사용하고 있을 경우
취약 기준: 정책에 맞게 암호 보호 정책을 적용하여 사용하고 있지 않을 경우
권한관리구독 액세스 제어(IAM) 역할 관리양호 기준: 구독에 설정된 액세스 제어 역할이 서비스별 독자 권한(읽기)으로 부여되어 있는 경우
취약 기준: 구독에 설정된 액세스 제어 역할에 전체 서비스 권한(소유자, 기여자, 사용자 액세스 관리자, 독자)으로 부여되어 있을 경우
리소스 그룹 액세스 제어(IAM) 역할 할당 양호 기준: AZURE 사용자의 권한/그룹을 목적에 맞게 역할을 할당하고 있을 경우
취약 기준: AZURE 사용자의 권한/그룹을 목적에 맞게 역할을 할당하고 있지 않을 경우
AD 사용자 역할 권한 관리양호 기준: AD 관리 역할이 업무 및 서비스 사용 목적에 맞게 부여되어 있을 경우
취약 기준: AD 관리 역할이 업무 및 서비스 사용 목적에 맞게 부여되어 있지 않을 경우
인스턴스 서비스 액세스 정책 관리 양호 기준: 인스턴스 서비스에 대한 액세스 제어(IAM)가 사용자 역할에 맞게 부여되어 있는 경우
취약 기준: 인스턴스 서비스에 대한 액세스 제어(IAM)가 사용자 역할에 맞게 부여되어 있지 않은 경우
네트워크 서비스 액세스 정책 관리 양호 기준: 네트워크 서비스에 대한 액세스 제어(IAM)가 사용자 역할에 맞게 부여되어 있는 경우
취약 기준: 네트워크 서비스에 대한 액세스 제어(IAM)가 사용자 역할에 맞게 부여되어 있지 않은 경우
기타 서비스 액세스 정책 관리 양호 기준: 기타 서비스에 대한 액세스 제어(IAM)가 사용자 역할에 맞게 부여되어 있는 경우
취약 기준: 기타 서비스에 대한 액세스 제어(IAM)가 사용자 역할에 맞게 부여되어 있지 않은 경우
가상 리소스 관리가상 네트워크 리소스 관리양호 기준: 연결된 디바이스 중 내부 네트워크만 사용하는 리소스에 공용 IP 주소가 존재하지 않는 경우
취약 기준: 연결된 디바이스 중 내부 네트워크만 사용하는 리소스에 공용 IP 주소가 존재하는 경우
내부 가상 네트워크 보안 관리 양호 기준: 내부 리소스 접근 시 접근통제(VPN, Bastion)가 적용되어 있을 경우
취약 기준: 내부 리소스 접근 시 접근통제(VPN, Bastion)가 적용되어 있지 않을 경우
보안그룹 인/아웃바운드 ANY 설정 관리 양호 기준: 보안그룹 내 인/아웃바운드의 포트가 Any로 허용되어 있지 않을 경우
취약 기준: 보안그룹 내 인/아웃바운드의 포트가 Any로 허용되어 있을 경우
보안그룹 인/아웃바운드 불필요 정책 관리양호 기준: 보안그룹 인/아웃바운드 규칙 내 불필요한 정책(Source, Destination)이 존재하지 않는 경우
취약 기준: 보안그룹 인/아웃바운드 규칙 내 불필요한 정책(Source, Destination)이 존재하는 경우
방화벽 ANY정책 설정관리양호 기준: 방화벽 정책 내 규칙(Source, Destination, Port)이 Any로 허용되어 있지 않을 경우
취약 기준: 방화벽 정책 내 규칙(Source, Destination, Port)이 Any로 허용되어 있을 경우
방화벽 불필요 정책 관리 양호 기준: 방화벽 정책 내 불필요한 규칙이 존재하고 있지 않을 경우
취약 기준: 방화벽 정책 내 불필요한 규칙이 존재하고 있을 경우
NAT 게이트웨이 서브넷 연결 관리 양호 기준: 퍼블릭 네트워크 접속이 필요한 서브넷만 연결되어 있을 경우
취약 기준: 퍼블릭 네트워크 접속이 불필요한 서브넷이 연결되어 있을 경우
스토리지 계정 보안 설정 양호 기준: 보안 전송 필요 활성화, TLS 버전(1.2) 설정 및 퍼블릭 액세스가 차단되어 있을 경우
취약 기준: 보안 전송 필요 비활성화, TLS 버전(1.2 이하) 설정 및 퍼블릭 액세스가 차단되어 있을 경우
스토리지 계정 공유 액세스 서명 정책 관리 양호 기준: 공유 액세스 서명을 사용 시 허용된 권한 및 허용 IP 주소가 최소한으로 설정되어 있을 경우
취약 기준: 공유 액세스 서명을 사용 시 허용된 권한 및 허용 IP 주소가 최소한으로 설정되어 있지 않을 경우
운영 관리데이터베이스 암호화 설정 관리 양호 기준: 투명한 데이터 암호화 및 데이터 암호화 기능이 설정되어 있을 경우
취약 기준: 투명한 데이터 암호화 및 데이터 암호화 기능이 설정되어 있지 않을 경우
스토리지 암호화 설정 양호 기준: 서비스 관리형 키 및 고객 관리형 키를 통해 암호화를 설정하고 있을 경우
취약 기준: 서비스 관리형 키 및 고객 관리형 키를 통해 암호화를 설정하고 있지 않을 경우
디스크 암호화 설정 양호 기준: 서비스 관리형 키 및 고객 관리형 키를 통해 암호화를 설정하고 있을 경우
취약 기준: 서비스 관리형 키 및 고객 관리형 키를 통해 암호화를 설정하고 있지 않을 경우
통신구간 암호화 설정 양호 기준: 클라우드 리소스 통신 구간 내 암호화 설정이 되어 있는 경우
취약 기준: 클라우드 리소스 통신 구간 내 암호화 설정이 되어 있지 않는 경우
키자격 증명모음 회전정책 관리 양호 기준: 사용자 고유키에 대한 회전 정책이 기준(90일)에 맞게 설정되어 있을 경우
취약 기준: 사용자 고유키에 대한 회전 정책이 기준(90 일 초과)에 맞게 설정되어 있지 않을 경우
AD 감사로그 설정 양호 기준: AD 감사 로그 보관 정책이 존재하고 있을 경우
취약 기준: AD 감사 로그 보관 정책이 존재하고 있지 않을 경우
인스턴스 서비스 감사 로그 설정 양호 기준: 인스턴스 서비스 로그 보관 정책이 존재하고 있을 경우
취약 기준: 인스턴스 서비스 로그 보관 정책이 존재하고 있지 않을 경우
네트워크 서비스 감사 로그 설정 양호 기준: 네트워크 서비스 로그 보관 정책이 존재하고 있을 경우
취약 기준: 네트워크 서비스 로그 보관 정책이 존재하고 있지 않을 경우
기타 서비스 감사 로그 설정 양호 기준: 기타 서비스 로그 보관 정책이 존재하고 있을 경우
취약 기준: 기타 서비스 로그 보관 정책이 존재하고 있지 않을 경우
리소스 그룹 잠금 양호 기준: 고객서비스(상용) 및 운영서비스가 잠금 기능을 설정하여 사용하고 있을 경우
취약 기준: 고객서비스(상용) 및 운영서비스가 잠금 기능을 설정하여 사용하고 있지 않을 경우
백업 사용 여부양호 기준: 클라우드 리소스 백업 정책이 존재하는 경우
취약 기준: 클라우드 리소스 백업 정책이 존재하지 않는 경우