수업 1강제해야 할 상위 5개 Azure Policy 정의/이니셔티브(상세 목록 및 근거)대부분 환경에서 강제해야 할 5개 핵심 Azure Policy 정의 및 이니셔티브를 검토하고, 근거를 이해하며, 조직의 위험 프로필 및 규정 준수 요구사항에 맞게 조정하는 방법을 배웁니다.
기본 보안 이니셔티브 선택중요 ID 및 액세스 정책데이터 보호 및 암호화 정책네트워크 및 노출 제어 정책모니터링 및 로깅 요구사항수업 2정책 2: 요구된 곳에서 고객 관리 키 암호화 요구 - 할당 및 제외요구된 곳에서 고객 관리 키 암호화를 요구하는 정책을 구성하고, 적절한 범위를 선택하며, CMK가 불가능하거나 불필요한 서비스 또는 환경을 위한 제외를 설계합니다.
고객 관리 키 지원 서비스키 볼트 설계 및 키 로테이션리소스용 CMK 요구 정책제외 및 레거시 시스템 처리CMK 사용 및 실패 모니터링수업 3정책 5: 운영 SQL 및 스토리지용 진단 로그 및 리소스 잠금 요구 - 할당 및 복구 조치운영 SQL 및 스토리지용 진단 로깅 및 리소스 잠금을 요구하는 정책을 구성하고, 운영 범위를 정의하며, 장애 방지와 복구 가능성 및 감사 가능성 향상을 위한 복구 단계를 설계합니다.
운영 SQL 및 스토리지 식별진단 설정 활성화 정책중요 데이터 리소스 잠금 요구로깅 구성 자동 배포로그 및 잠금 효과 검토수업 4Microsoft Defender for Cloud: 계획 선택, 가격 티어, 워크로드 보호 활성화 시기Defender for Cloud 계획 및 가격 티어를 이해하고, 워크로드 유형별 보호 선택, 보안 범위, 비용 최적화, 규제 또는 비즈니스 요구사항 균형을 위한 고급 계획 활성화 시기를 배웁니다.
Defender for Cloud 계획 개요무료 vs 유료 티어 기능구독 또는 워크스페이스별 계획 활성화비용 추정 및 청구 모델새 워크로드 보안 온보딩수업 5정책 4: 워크로드용 NSG 및 서브넷 제한 강제, 특정 리소스 유형에서 공용 IP 거부NSG, 서브넷 제한을 강제하고 민감 리소스 유형에서 공용 IP를 거부하는 정책을 구현합니다. 노출을 줄이면서 필요한 연결 패턴을 허용하는 네트워크 가드레일 설계 방법을 배웁니다.
서브넷 NSG 요구 정책NSG 규칙으로 트래픽 제한보호 리소스 공용 IP 거부승인 공용 엔드포인트만 허용네트워크 자세 정기 검증수업 6자동 복구: deployIfNotExists 및 복구 작업용 관리 IDdeployIfNotExists 및 관리 ID를 사용하여 비준수 리소스 복구를 자동화하고, 안전한 복구 로직을 설계하며, 환경 전반 일관된 변경 적용을 검증합니다.
deployIfNotExists 상세 동작복구 작업 및 범위 생성변경용 관리 ID 사용하위 티어에서 복구 테스트복구 작업 결과 모니터링수업 7정책 예외 처리: 면제 프로세스, 임시 면제, 정당화, 추적Azure Policy 면제를 정의하고 관리하며, 승인 워크플로, 시간 제한 예외, 정당화 요구사항을 포함하고, 수용된 편차로부터 장기 위험을 최소화하면서 추적성을 유지합니다.
면제 유형 및 지원 범위비즈니스 정당화 문서화시간 제한 및 갱신 가능 면제검토 및 승인 워크플로활성 면제 보고수업 8관리 그룹 및 구독 전반 Defender for Cloud 설정: 워크스페이스 통합 및 중앙 텔레메트리관리 그룹 및 구독 전반 Defender for Cloud 배포를 계획하고, Log Analytics 워크스페이스와 통합하며, 크로스 테넌트 가시성 및 보안 운영을 지원하는 텔레메트리를 중앙화합니다.
관리 그룹 계층 선택워크스페이스에 구독 연결Defender 텔레메트리 중앙화다중 테넌트 및 하이브리드 고려사항보안 팀 액세스 제어수업 9정책 할당 전략: 관리 그룹 vs 구독 vs 리소스 그룹 및 상속 영향관리 그룹, 구독, 리소스 그룹을 사용하여 적절한 Azure Policy 할당 범위를 선택하고, 상속 동작을 이해하며, 최소 권한 및 명확한 소유권을 지원하는 확장 가능한 구조를 설계합니다.
관리 그룹 범위 할당 시기구독 수준 할당 장단점예외용 리소스 그룹 범위정책 상속 및 평가 순서중복 및 충돌 정책 처리수업 10Microsoft Sentinel 및 Defender 경고 전달 모범 사례 통합Defender for Cloud 경고를 Microsoft Sentinel로 전달하고, 분석 규칙을 설계하며, 여러 환경 전반 경고 정규화, 중복 제거, 인시던트 처리 모범 사례를 적용합니다.
Defender를 Sentinel 워크스페이스에 연결경고 전달 규칙 구성보안 경고 정규화 및 강화Sentinel 분석 규칙 생성인시던트 분류 및 대응 워크플로수업 11권장 Defender 계획: App Service, Storage, SQL, Key Vault, 가상 머신 - 근거 및 보호 제어App Service, Storage, SQL, Key Vault, 가상 머신용 권장 Defender for Cloud 계획을 식별하고, 각 계획이 위협 탐지 및 구성 강화에 제공하는 보호 제어를 이해합니다.
App Service 보호용 DefenderStorage 위협 탐지용 DefenderSQL 및 SQL 서버용 DefenderKey Vault 액세스 모니터링용 Defender서버 및 VM용 Defender수업 12자세 운영화: 위험 기반 우선순위 지정, 경고 조정, 스프린트 백로그에 자세 결과 통합위험 우선순위 지정, 소음 경고 조정, 복구 작업을 애자일 스프린트에 통합하여 자세 결과를 운영 프로세스로 변환하고, 지속 개선 및 측정 가능한 위험 감소를 보장합니다.
결과 위험 기반 우선순위 지정정책 및 경고 임계값 조정팀용 복구 백로그 생성스프린트에 자세 작업 포함자세 성숙도 메트릭 및 KPI수업 13정책 3: 승인 지역으로 리소스 배포 제한 - 관리 그룹 vs 구독 할당배포를 승인 지역으로 제한하는 정책을 구현하고, 관리 그룹 vs 구독 할당을 비교하며, 데이터 거주, 지연, 규제 요구사항에 맞는 지역 전략을 조정합니다.
허용 지역 목록 정의계층에서 지역 정책 할당글로벌 및 지역리스 서비스 처리특별 사례 예외 관리시간 경과 지역 사용 감사수업 14정책 1: App Service 및 스토리지 정적 웹사이트에서 HTTPS 전용 강제 - 할당 범위 및 복구 모드Azure Policy를 사용하여 App Service 및 정적 웹사이트에서 HTTPS 전용을 강제하고, 올바른 할당 범위를 선택하며, 대규모 비준수 리소스를 자동 수정하는 복구 작업을 구성합니다.
HTTPS 전용 강제 내장 정책웹 앱 및 스토리지 정책 범위HTTPS 설정용 deployIfNotExists 사용레거시 HTTP 전용 앱 처리HTTPS 강제 테스트 및 검증수업 15지속 준수 모니터링: Azure Policy 준수 대시보드, 예약 스캔, 경고 사용Azure Policy 준수 뷰, 예약 평가, 경고를 사용하여 지속 준수를 유지하고, 드리프트 빠르게 탐지하며, 환경 전반 감사 및 규제 보고를 위한 증거를 제공합니다.
Azure Policy 준수 대시보드 사용정책 스캔 예약 및 트리거준수 경고 및 이메일 구성감사를 위한 준수 데이터 내보내기드리프트 및 복구 진행 추적
