acr_security_checklist.ko.json

{
    "categories": [
        {
            "name": "안전"
        }
    ],
    "items": [
        {
            "category": "안전",
            "description": "데이터 반출을 방지하기 위해 이미지 내보내기를 비활성화합니다. 이렇게 하면 이미지를 다른 ACR 인스턴스로 가져올 수 없습니다.",
            "guid": "ab91932c-9fc9-4d1b-a880-37f5e6bfcb9e",
            "link": "https://learn.microsoft.com/azure/container-registry/data-loss-prevention",
            "severity": "높다",
            "subcategory": "데이터 보호",
            "text": "Azure 컨테이너 레지스트리 이미지 내보내기 사용 안 함"
        },
        {
            "category": "안전",
            "description": "Azure용 Azure Policy를 사용하도록 설정하여 감사 규정 준수 가시성 사용",
            "guid": "d503547c-d447-4e82-9128-a7100f1cac6d",
            "link": "https://learn.microsoft.com/azure/container-registry/container-registry-azure-policy",
            "severity": "높다",
            "subcategory": "데이터 보호",
            "text": "Azure 컨테이너 레지스트리에 대한 Azure 정책 사용"
        },
        {
            "category": "안전",
            "description": "AKV(Azure 키 자격 증명 모음)는 컨테이너 이미지 및 기타 아티팩트에 서명하고 확인하기 위해 AKV 플러그 인(azure-kv) 표기법으로 표기하여 사용할 수 있는 서명 키를 저장하는 데 사용됩니다. ACR(Azure 컨테이너 레지스트리)을 사용하면 az 또는 oras CLI 명령을 사용하여 이러한 서명을 연결할 수 있습니다.",
            "guid": "d345293c-7639-4637-a551-c5c04e401955",
            "link": "https://learn.microsoft.com/azure/container-registry/container-registry-tutorial-sign-build-push",
            "severity": "높다",
            "subcategory": "데이터 보호",
            "text": "표기법으로 컨테이너 서명 및 확인(Notary v2)"
        },
        {
            "category": "안전",
            "description": "Azure 컨테이너 레지스트리는 사용자가 저장하는 이미지 및 기타 아티팩트를 자동으로 암호화합니다. 기본적으로 Azure는 서비스 관리형 키를 사용하여 미사용 레지스트리 콘텐츠를 자동으로 암호화합니다. 고객 관리형 키를 사용하면 추가 암호화 계층으로 기본 암호화를 보완할 수 있습니다.",
            "guid": "0bd05dc2-efd5-4d76-8d41-d2500cc47b49",
            "link": "https://learn.microsoft.com/azure/container-registry/tutorial-customer-managed-keys",
            "severity": "보통",
            "subcategory": "데이터 보호",
            "text": "고객 관리형 키로 레지스트리 암호화"
        },
        {
            "category": "안전",
            "description": "관리 ID를 사용하여 클라이언트 애플리케이션에서 ACRPull/푸시 RBAC 액세스 보호",
            "guid": "8f42d78e-79dc-47b3-9bd2-a1a27e7a8e90",
            "link": "https://learn.microsoft.com/azure/container-registry/container-registry-authentication-managed-identity",
            "severity": "높다",
            "subcategory": "ID 및 액세스 제어",
            "text": "서비스 주체 대신 관리 ID를 사용하여 연결"
        },
        {
            "category": "안전",
            "description": "로컬 관리자 계정은 기본적으로 사용하지 않도록 설정되어 있으며 사용하도록 설정해서는 안 됩니다. 대신 토큰 또는 RBAC 기반 액세스 방법을 사용하십시오.",
            "guid": "be0e38ce-e297-411b-b363-caaab79b198d",
            "link": "https://learn.microsoft.com/azure/container-registry/container-registry-authentication-managed-identity",
            "severity": "높다",
            "subcategory": "ID 및 액세스 제어",
            "text": "관리부 액세스에 대한 로컬 인증 비활성화"
        },
        {
            "category": "안전",
            "description": "관리자 계정을 사용하지 않도록 설정하고 ACR 끌어오기/밀어넣기 작업을 위해 보안 주체에 RBAC 역할 할당",
            "guid": "387e5ced-126c-4d13-8af5-b20c6998a646",
            "link": "https://learn.microsoft.com/azure/container-registry/container-registry-roles?tabs=azure-cli",
            "severity": "높다",
            "subcategory": "ID 및 액세스 제어",
            "text": "ID 주체에 대한 관리 액세스 권한을 부여하는 대신 AcrPull & AcrPush RBAC 역할을 할당합니다."
        },
        {
            "category": "안전",
            "description": "익명 풀/푸시 액세스 비활성화",
            "guid": "e338997e-41c7-47d7-acf6-a62a1194956d",
            "link": "https://learn.microsoft.com/azure/container-registry/anonymous-pull-access#configure-anonymous-pull-access",
            "severity": "보통",
            "subcategory": "ID 및 액세스 제어",
            "text": "익명 끌어오기 액세스 사용 안 함"
        },
        {
            "category": "안전",
            "description": "토큰 인증은 AAD 보안 주체에 대한 할당을 지원하지 않습니다. 제공된 모든 토큰은 토큰에 액세스할 수 있는 모든 사용자가 사용할 수 있습니다.",
            "guid": "698dc3a2-fd27-4b2e-8870-1a1252beedf6",
            "link": "https://learn.microsoft.com/azure/container-registry/container-registry-authentication?tabs=azure-cli",
            "severity": "높다",
            "subcategory": "ID 및 액세스 제어",
            "text": "리포지토리 범위 액세스 토큰 사용 안 함"
        },
        {
            "category": "안전",
            "description": "신뢰할 수 있는 네트워크 내의 프라이빗 엔드포인트 뒤에 있는 ACR에 컨테이너 이미지 배포",
            "guid": "b3bec3d4-f343-47c1-936d-b55f27a71eee",
            "severity": "높다",
            "subcategory": "ID 및 액세스 제어",
            "text": "신뢰할 수 있는 환경에서 이미지 배포"
        },
        {
            "category": "안전",
            "description": "ACR 대상 그룹이 있는 토큰만 인증에 사용할 수 있습니다. ACR에 대한 조건부 액세스 정책을 분석할 때 사용됩니다.",
            "guid": "3a041fd3-2947-498b-8288-b3c6a56ceb54",
            "link": "https://learn.microsoft.com/azure/container-registry/container-registry-enable-conditional-access-policy",
            "severity": "보통",
            "subcategory": "ID 및 액세스 제어",
            "text": "인증을 위해 Azure ARM 대상 토큰을 사용하지 않도록 설정"
        },
        {
            "category": "안전",
            "description": "'repositoryEvents' 및 'LoginEvents'를 로깅 및 모니터링을 위한 중앙 대상으로 Log Analytics에 보내도록 진단 설정을 설정합니다. 이렇게 하면 ACR 리소스 자체에서 컨트롤 플레인 작업을 모니터링할 수 있습니다.",
            "guid": "8a488cde-c486-42bc-9bd2-1be77f26e5e6",
            "link": "https://learn.microsoft.com/azure/container-registry/monitor-service",
            "severity": "보통",
            "subcategory": "로깅 및 모니터링",
            "text": "진단 로깅 사용"
        },
        {
            "category": "안전",
            "description": "서비스는 서비스 수준 IP ACL 필터링 규칙(NSG 또는 Azure Firewall이 아님)을 사용하거나 '공용 네트워크 액세스 사용 안 함' 토글 스위치를 사용하여 공용 네트워크 액세스를 사용하지 않도록 지원합니다.",
            "guid": "21d41d25-00b7-407a-b9ea-b40fd3290798",
            "link": "https://learn.microsoft.com/azure/container-registry/container-registry-private-link",
            "severity": "보통",
            "subcategory": "네트워크 보안",
            "text": "Private Link로 인바운드 네트워크 액세스 제어"
        },
        {
            "category": "안전",
            "description": "Private Link를 사용하여 인바운드 네트워크 액세스가 보호되는 경우 공용 네트워크 액세스 비활성화",
            "guid": "cd289ced-6b17-4db8-8554-62f2aee4553a",
            "link": "https://learn.microsoft.com/azure/container-registry/container-registry-access-selected-networks#disable-public-network-access",
            "severity": "보통",
            "subcategory": "네트워크 보안",
            "text": "공용 네트워크 액세스 사용 안 함"
        },
        {
            "category": "안전",
            "description": "ACR 프리미엄 SKU만 프라이빗 링크 액세스를 지원합니다.",
            "guid": "fc833934-8b26-42d6-ac5f-512925498f6d",
            "link": "https://learn.microsoft.com/azure/container-registry/container-registry-skus",
            "severity": "보통",
            "subcategory": "네트워크 보안",
            "text": "프라이빗 링크(프리미엄 SKU)를 지원하는 Azure 컨테이너 레지스트리 SKU 사용"
        },
        {
            "category": "안전",
            "description": "컨테이너용 Azure Defender 또는 동등한 서비스를 사용하여 컨테이너 이미지에서 취약성을 검사해야 합니다.",
            "guid": "bad37dac-43bc-46ce-8d7a-a9b24604489a",
            "link": "https://learn.microsoft.com/azure/defender-for-cloud/defender-for-containers-introduction",
            "severity": "낮다",
            "subcategory": "네트워크 보안",
            "text": "컨테이너용 Defender를 사용하도록 설정하여 Azure 컨테이너 레지스트리에서 취약성을 검사합니다."
        },
        {
            "category": "안전",
            "description": "DevSecOps 사례에 따라 취약성에 대해 유효성을 검사하고 검사한 신뢰할 수 있는 코드를 배포합니다.",
            "guid": "4451e1a2-d345-4293-a763-9637a551c5c0",
            "severity": "보통",
            "subcategory": "취약성 관리",
            "text": "검증된 컨테이너 이미지 배포"
        },
        {
            "category": "안전",
            "description": "지원되는 플랫폼, 프로그래밍 언어, 프로토콜 및 프레임워크의 최신 버전을 사용합니다.",
            "guid": "4e401955-387e-45ce-b126-cd132af5b20c",
            "severity": "높다",
            "subcategory": "취약성 관리",
            "text": "최신 플랫폼, 언어, 프로토콜 및 프레임워크 사용"
        }
    ],
    "metadata": {
        "name": "Azure Container Registry Security Review"
    },
    "severities": [
        {
            "name": "높다"
        },
        {
            "name": "보통"
        },
        {
            "name": "낮다"
        }
    ],
    "status": [
        {
            "description": "이 검사는 아직 검토되지 않았습니다.",
            "name": "확인되지 않음"
        },
        {
            "description": "이 검사와 연결된 작업 항목이 있습니다.",
            "name": "열다"
        },
        {
            "description": "이 검사가 확인되었으며 연결된 추가 작업 항목이 없습니다.",
            "name": "성취"
        },
        {
            "description": "현재 디자인에는 적용되지 않음",
            "name": "해당 없음"
        },
        {
            "description": "필요하지 않음",
            "name": "필요하지 않음"
        }
    ]
}