forked from Azure/review-checklists
-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathasb_security_checklist.ko.json
125 lines (125 loc) · 8.64 KB
/
asb_security_checklist.ko.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
{
"categories": [
{
"name": "안전"
}
],
"items": [
{
"category": "안전",
"description": "Azure 서비스 버스 프리미엄은 미사용 데이터의 암호화를 제공합니다. 사용자 고유의 키를 사용하는 경우 데이터는 여전히 Microsoft 관리형 키를 사용하여 암호화되지만 Microsoft 관리형 키는 고객 관리형 키를 사용하여 암호화됩니다. ",
"guid": "87af4a79-1f89-439b-ba47-768e14c11567",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/configure-customer-managed-key",
"severity": "낮다",
"subcategory": "데이터 보호",
"text": "필요한 경우 미사용 데이터 암호화에서 고객 관리형 키 옵션 사용",
"training": "https://learn.microsoft.com/learn/modules/plan-implement-administer-conditional-access/"
},
{
"category": "안전",
"description": "클라이언트 응용 프로그램과 Azure 서비스 버스 네임스페이스 간의 통신은 TLS(전송 계층 보안)를 사용하여 암호화됩니다. Azure 서비스 버스 네임스페이스를 사용하면 클라이언트가 TLS 1.0 이상을 사용하여 데이터를 보내고 받을 수 있습니다. 더 엄격한 보안 조치를 적용하려면 클라이언트가 최신 버전의 TLS를 사용하여 데이터를 보내고 받도록 Service Bus 네임스페이스를 구성할 수 있습니다.",
"guid": "5c1ea55b-46a9-448f-b8ae-7d7e4b475b6c",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/transport-layer-security-enforce-minimum-version",
"severity": "보통",
"subcategory": "데이터 보호",
"text": "요청에 필요한 최소 버전의 TLS(전송 계층 보안) 적용 ",
"training": "https://learn.microsoft.com/learn/modules/secure-aad-users-with-mfa/"
},
{
"category": "안전",
"description": "서비스 버스 네임스페이스를 만들면 네임스페이스에 대해 RootManageSharedAccessKey라는 SAS 규칙이 자동으로 만들어집니다. 이 정책에는 전체 네임스페이스에 대한 관리 권한이 있습니다. 이 규칙을 관리 루트 계정처럼 취급하고 애플리케이션에서 사용하지 않는 것이 좋습니다. AAD를 RBAC와 함께 인증 공급자로 사용하는 것이 좋습니다. ",
"guid": "8bcbf59b-ce65-4de8-a03f-97879468d66a",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/service-bus-sas#shared-access-authorization-policies",
"severity": "보통",
"subcategory": "ID 및 액세스 관리",
"text": "필요하지 않은 경우 루트 계정을 사용하지 마십시오.",
"training": "https://learn.microsoft.com/learn/paths/azure-administrator-manage-identities-governance/"
},
{
"category": "안전",
"description": "Azure 앱 서비스 응용 프로그램 내에서 또는 Azure 리소스 지원을 위해 관리되는 엔터티를 사용하도록 설정된 가상 컴퓨터에서 실행되는 서비스 버스 클라이언트 앱은 SAS 규칙 및 키 또는 기타 액세스 토큰을 처리할 필요가 없습니다. 클라이언트 앱에는 서비스 버스 메시징 네임스페이스의 끝점 주소만 필요합니다. ",
"guid": "786d60f9-6c96-4ad8-a55d-04c2b39c986b",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/service-bus-managed-service-identity",
"severity": "보통",
"subcategory": "ID 및 액세스 관리",
"text": "가능한 경우 응용 프로그램에서 관리 ID를 사용하여 Azure 서비스 버스에 인증해야 합니다. 그렇지 않은 경우 Azure Key Vault 또는 이와 동등한 서비스에 스토리지 자격 증명(SAS, 서비스 주체 자격 증명)이 있는 것이 좋습니다.",
"training": "https://learn.microsoft.com/learn/modules/azure-ad-privileged-identity-management/"
},
{
"category": "안전",
"description": "사용 권한을 만들 때 Azure Service Bus에 대한 클라이언트의 액세스를 세부적으로 제어할 수 있습니다. Azure Service Bus의 사용 권한은 개별 리소스 수준(예: 큐, 항목 또는 구독)으로 범위를 지정할 수 있으며 그래야 합니다. ",
"guid": "f615658d-e558-4f93-9249-b831112dbd7e",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/authenticate-application#azure-built-in-roles-for-azure-service-bus",
"severity": "높다",
"subcategory": "ID 및 액세스 관리",
"text": "최소 권한 데이터부 RBAC 사용",
"training": "https://learn.microsoft.com/learn/modules/explore-basic-services-identity-types/"
},
{
"category": "안전",
"description": "Azure 서비스 버스 리소스 로그에는 작업 로그, 가상 네트워크 및 IP 필터링 로그가 포함됩니다. 런타임 감사 로그는 Service Bus의 다양한 데이터 평면 액세스 작업(예: 메시지 보내기 또는 받기)에 대한 집계된 진단 정보를 캡처합니다.",
"guid": "af12e7f9-43f6-4304-922d-929c2b1cd622",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/monitor-service-bus-reference",
"severity": "보통",
"subcategory": "모니터링",
"text": "보안 조사를 위해 로깅을 사용하도록 설정합니다. Azure Monitor를 사용하여 리소스 로그 및 런타임 감사 로그 추적(현재 프리미엄 계층에서만 사용 가능)",
"training": "https://learn.microsoft.com/learn/paths/manage-identity-and-access/"
},
{
"category": "안전",
"description": "Azure 서비스 버스는 기본적으로 공용 IP 주소를 가지며 인터넷에 연결할 수 있습니다. 프라이빗 엔드포인트는 가상 네트워크와 Azure 서비스 버스 간의 트래픽이 Microsoft 백본 네트워크를 통해 통과하도록 허용합니다. 그 외에도 퍼블릭 엔드포인트를 사용하지 않는 경우 비활성화해야 합니다. ",
"guid": "9ae669ca-48e4-4a85-b222-3ece8bb12307",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/private-link-service",
"severity": "보통",
"subcategory": "네트워킹",
"text": "프라이빗 엔드포인트를 사용하여 Azure Service Bus에 액세스하고 해당하는 경우 공용 네트워크 액세스를 사용하지 않도록 설정하는 것이 좋습니다.",
"training": "https://learn.microsoft.com/learn/modules/azure-ad-privileged-identity-management/"
},
{
"category": "안전",
"description": "IP 방화벽을 사용하면 퍼블릭 엔드포인트를 CIDR(클래스 없는 도메인 간 라우팅) 표기법의 IPv4 주소 집합 또는 IPv4 주소 범위로만 추가로 제한할 수 있습니다. ",
"guid": "ca5f06f1-58e3-4ea3-a92c-2de7e2165c3a",
"link": "https://learn.microsoft.com/azure/service-bus-messaging/service-bus-ip-filtering",
"severity": "보통",
"subcategory": "네트워킹",
"text": "특정 IP 주소 또는 범위에서 Azure 서비스 버스 네임스페이스에 대한 액세스만 허용하는 것이 좋습니다.",
"training": "https://learn.microsoft.com/learn/paths/implement-resource-mgmt-security/"
}
],
"metadata": {
"name": "Azure Service Bus Review"
},
"severities": [
{
"name": "높다"
},
{
"name": "보통"
},
{
"name": "낮다"
}
],
"status": [
{
"description": "이 검사는 아직 검토되지 않았습니다.",
"name": "확인되지 않음"
},
{
"description": "이 검사와 연결된 작업 항목이 있습니다.",
"name": "열다"
},
{
"description": "이 검사가 확인되었으며 연결된 추가 작업 항목이 없습니다.",
"name": "성취"
},
{
"description": "권장 사항을 이해했지만 현재 요구 사항에서 필요하지 않음",
"name": "필요하지 않음"
},
{
"description": "현재 디자인에는 적용되지 않음",
"name": "해당 없음"
}
]
}