이 페이지는 Azure Service Bus Messaging 대한 Azure Policy 기본 제공 정책 정의의 인덱스입니다. 다른 서비스에 대한 추가 Azure Policy 기본 제공은 Azure Policy 기본 제공 정의 참조하세요.
각 기본 제공 정책 정의의 이름은 Azure 포털의 정책 정의에 연결됩니다. Version 열의 링크를 사용하여 Azure Policy GitHub 리포지토리 원본을 볼 수 있습니다.
Azure Service Bus Messaging
| 속성 (Azure Portal) |
설명 | 효과 | 버전 (GitHub) |
|---|---|---|---|
| Service Bus 영역 중복 여부로 구성할 수 있습니다. Service Bus 'zoneRedundant' 속성을 'false'로 설정하면 영역 중복성에 대해 구성되지 않음을 의미합니다. 이 정책은 Service Bus 인스턴스에 대한 영역 중복 구성을 식별하고 적용합니다. | 감사, 거부, 사용 안 함 | 1.0.0-preview | |
| RootManageSharedAccessKey를 제외한 모든 권한 부여 규칙은 Service Bus 네임스페이스에서 제거되어야 합니다 | Service Bus 클라이언트는 네임스페이스의 모든 큐 및 토픽에 대한 액세스를 제공하는 네임스페이스 수준 액세스 정책을 사용하면 안 됩니다. 최소 권한 보안 모델에 맞추려면 큐 및 토픽에 대한 엔터티 수준의 액세스 정책을 만들어 특정 엔터티에만 액세스를 제공해야 합니다. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Service Bus 네임스페이스에는 로컬 인증 방법을 사용하지 않도록 설정해야 합니다 | 로컬 인증 방법을 사용하지 않도록 설정하면 Azure Service Bus 네임스페이스에 인증을 위해 Microsoft Entra ID ID만 필요하도록 하여 보안이 향상됩니다. https://aka.ms/disablelocalauth-sb에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.0.1 |
| Azure Service Bus 네임스페이스는 프라이빗 링크를 사용해야 합니다 | Azure Private Link 사용하면 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결할 수 있습니다. Private Link 플랫폼은 Azure 백본 네트워크를 통해 소비자와 서비스 간의 연결을 처리합니다. 프라이빗 엔드포인트를 Service Bus 네임스페이스에 매핑하면 데이터 유출 위험이 줄어듭니다. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service에서 자세히 알아보세요. | AuditIfNotExists, 사용 안 함 | 1.0.0 |
| Azure Service Bus 네임스페이스를 구성하여 로컬 인증을 사용하지 않도록 설정합니다 | Azure ServiceBus 네임스페이스에 인증을 위해 Microsoft Entra ID ID만 필요하도록 로컬 인증 방법을 사용하지 않도록 설정합니다. https://aka.ms/disablelocalauth-sb에서 자세히 알아보세요. | 수정, 사용 안 함 | 1.0.1 |
| 프라이빗 엔드포인트를 사용하여 Service Bus 네임스페이스 구성 | 프라이빗 엔드포인트는 원본 또는 대상에서 공용 IP 주소 없이 가상 네트워크를 Azure 서비스에 연결합니다. 프라이빗 엔드포인트를 Service Bus 네임스페이스에 매핑하면 데이터 유출 위험을 줄일 수 있습니다. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service에서 자세히 알아보세요. | DeployIfNotExists, 사용 안 함 | 1.0.0 |
| 이벤트 허브에 Service Bus 대한 진단 설정 배포 | 이 진단 설정이 누락된 Service Bus 생성되거나 업데이트되면 Service Bus 대한 진단 설정을 배포하여 지역 이벤트 허브로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 2.0.0 |
| Log Analytics 작업 영역에 대한 Service Bus 대한 진단 설정 배포 | 이 진단 설정이 누락된 Service Bus 만들거나 업데이트할 때 Service Bus 대한 진단 설정을 배포하여 지역 Log Analytics 작업 영역으로 스트리밍합니다. | DeployIfNotExists, 사용 안 함 | 2.3.0 |
| 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Service Bus 네임스페이스(microsoft.servicebus/namespaces)에 대한 이벤트 허브로 라우팅합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 1.2.0 | |
| 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 Service Bus 네임스페이스(microsoft.servicebus/namespaces)에 대한 Log Analytics 작업 영역으로 로그를 라우팅합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 1.1.0 | |
| Service Bus 네임스페이스(microsoft.servicebus/namespaces)에 대한 범주 그룹별 로깅을 Storage로 | 리소스에서 발생하는 작업 및 이벤트를 추적하고 발생하는 변경 내용에 대한 표시 유형과 인사이트를 제공하려면 리소스 로그를 사용하도록 설정해야 합니다. 이 정책은 범주 그룹을 사용하여 진단 설정을 배포하여 로그를 Service Bus 네임스페이스(microsoft.servicebus/namespaces)에 대한 스토리지 계정으로 라우팅합니다. | 존재하지 않으면 배포, 존재하지 않으면 감사, 사용 안 함 | 1.1.0 |
| Service Bus 리소스 로그를 사용하도록 설정해야 합니다 | 리소스 로그 사용을 감사합니다. 이렇게 하면 보안 인시던트가 발생하거나 네트워크가 손상된 경우 조사 목적으로 사용할 활동 내역을 다시 만들 수 있습니다. | AuditIfNotExists, 사용 안 함 | 5.0.0 |
| Service Bus 네임스페이스는 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다 | Azure Service Bus 공용 네트워크 액세스를 사용하지 않도록 설정해야 합니다. 공용 네트워크 액세스를 사용하지 않도록 설정하면 리소스가 공용 인터넷에 노출되지 않도록 하여 보안이 향상됩니다. 대신 프라이빗 엔드포인트를 만들어 리소스 노출을 제한할 수 있습니다. https://docs.microsoft.com/azure/service-bus-messaging/private-link-service에서 자세히 알아보세요. | 감사, 거부, 사용 안 함 | 1.1.0 |
| Service Bus 네임스페이스는 이중 암호화를 사용하도록 설정해야 합니다 | 이중 암호화를 사용하도록 설정하면 조직의 보안 및 규정 준수 약정에 맞게 데이터를 보호할 수 있습니다. 이중 암호화를 사용하도록 설정하면 스토리지 계정의 데이터가 두 개의 다른 암호화 알고리즘과 두 개의 다른 키를 사용하여 두 번 암호화됩니다(서비스 수준에서 한 번, 인프라 수준에서 한 번). | 감사, 거부, 사용 안 함 | 1.0.0 |
| Service Bus 프리미엄 네임스페이스는 암호화에 고객 관리형 키를 사용해야 합니다 | Azure Service Bus Microsoft 관리형 키(기본값) 또는 고객 관리형 키를 사용하여 미사용 데이터를 암호화하는 옵션을 지원합니다. 고객 관리형 키를 사용하여 데이터를 암호화하도록 선택하면 Service Bus 네임스페이스의 데이터를 암호화하는 데 사용할 키에 대한 액세스를 할당, 회전, 비활성화 및 취소할 수 있습니다. Service Bus 프리미엄 네임스페이스에 대한 고객 관리형 키를 사용한 암호화만 지원합니다. | 감사, 사용 안 함 | 1.0.0 |
| Service Bus 프리미엄 네임스페이스는 미션 플랫폼에서 암호화에 고객 관리형 키를 사용해야 합니다 | 이 정책은 Mission Platform 제품 및 서비스에만 적용됩니다. 이러한 범위를 벗어난 사용은 지원되지 않습니다. 프리미엄 네임스페이스가 고객 관리형 키로 암호화하도록 요구하면 미션 테넌트 내에서 암호화 자료 제어가 유지되며 엄격한 데이터 보호 의무를 충족합니다. | 감사, 사용 안 함, 거부 | 1.0.0 |
| 이 정책은 Mission Platform 제품 및 서비스에만 적용됩니다. 이러한 범위를 벗어난 사용은 지원되지 않습니다. 프라이빗 엔드포인트 승인을 테넌트 내 구독으로 제한하면 테넌트 간 데이터 반출을 방지하고 Service Bus 연결을 승인된 임무 워크로드로 제한합니다. https://dotnet.territoriali.olinfo.it/azure/service-bus-messaging/private-endpoint-service 참조하세요. | 감사, 거부, 사용 안 함 | 1.0.0 |
다음 단계
- Azure Policy GitHub 리포지토리 기본 제공을 참조하세요.
- Azure Policy 정의 구조 검토합니다.
- 정책 효과 이해를 검토합니다.