설명:
그래픽 사용자 인터페이스, 응용 프로그램 설명 자동 생성

상자 1 --> https://docs.microsoft.com/en-us/azure/active-directory-b2c/overview 상자 2 --> https://docs.microsoft.com/en-us/azure/active-directory/external-identities/identity-providers

설명:
직원들이 승인되지 않은 클라우드 애플리케이션을 사용하여 민감한 회사 데이터를 저장하거나, 유출을 위해 수많은 민감한 파일을 다운로드하고 있을 수 있습니다. 이러한 행위는 Microsoft Defender for Cloud Apps를 통해 방지할 수 있습니다.
https://learn.microsoft.com/en-us/compliance/assurance/assurance-data-exfiltration-access-controls

주제 2, Fabrikam, Inc
온프레미스 환경
온프레미스 네트워크에는 corp.fabrikam.com이라는 단일 Active Directory 도메인 서비스(AD DS) 도메인이 포함되어 있습니다.
Azure 환경
Fabrikam은 다음과 같은 Azure 리소스를 보유하고 있습니다.
* corp.fabunkam.com과 동기화되는 fabrikam.onmicrosoft.com이라는 Azure Active Directory(Azure AD) 테넌트
* Sub1이라는 단일 Azure 구독
* 미국 동부 Azure 지역의 Vnetl이라는 가상 네트워크
* 서유럽 Azure 지역의 Vnet2라는 가상 네트워크
* Azure 웹 애플리케이션 방화벽(WAR)이 활성화된 FD1이라는 Azure Front Door 인스턴스
* Microsoft Sentinel 작업 공간
* ClaimDetails라는 테이블이 포함된 ClaimsDB라는 Azure SQL 데이터베이스
* 애플리케이션 서버로 구성되고 Microsoft Defender for Cloud에 온보딩되지 않은 20개의 가상 머신
* 테스트 목적으로만 사용되는 TestRG라는 리소스 그룹
* 개인이 할당한 세션 호스트가 포함된 Azure Virtual Desktop 호스트 풀 Sub1의 모든 리소스는 미국 동부 또는 유럽 서부 지역에 있습니다.
파트너
Fabrikam은 Contoso, Ltd.라는 회사와 애플리케이션 개발을 위한 계약을 체결했습니다. Contoso는 다음과 같은 인프라를 보유하고 있습니다.
* contoso.onmicrosoft.com이라는 Azure AD 테넌트
* ContosoAWS1이라는 Amazon Web Services(AWS) 구현은 Fabrikam 개발자 애플리케이션의 테스트 워크로드를 호스팅하는 데 사용되는 AWS EC2 인스턴스를 포함하고 있으며, Contoso의 개발자는 Fabrikam 리소스에 연결하여 애플리케이션을 테스트하거나 업데이트합니다. 개발자는 fabrikam.onmicrosoft.com의 Contoso Developers라는 보안 그룹에 추가되며, 이 그룹은 Sub1의 역할에 할당됩니다.
ContosoDevelopers 그룹에 ClaimsDB 데이터베이스에 대한 db.owner 역할이 할당되었습니다.
규정 준수 이벤트
Fabrikam은 다음과 같은 규정 준수 환경을 구축합니다.
* Defender for Cloud는 Sub1의 모든 리소스가 HIPAA HITRUST 표준을 준수하는지 평가하도록 구성되어 있습니다.
* 현재 HIPAA HITRUST 표준을 준수하지 않는 리소스는 수동으로 수정하고 있습니다.
* Qualys는 서버의 표준 취약성 평가 도구로 사용됩니다.
문제 진술
Defender for Cloud의 보안 점수는 모든 가상 머신이 다음과 같은 권장 사항을 생성함을 보여줍니다. 모든 머신에는 취약점 평가 솔루션이 있어야 합니다.
모든 가상 머신은 Defender for Cloud의 규정을 준수해야 합니다.
ClaimApp 배포
Fabrikam은 다음 사양을 갖는 ClaimsApp이라는 인터넷 접근 가능 애플리케이션을 구현할 계획입니다.
* ClaimsApp은 Vnetl 및 Vnet2에 연결되는 Azure App Service 인스턴스에 배포됩니다.
* 사용자는 https://claims.fabrikam.com URL을 사용하여 ClaimsApp에 연결합니다.
* ClaimsApp은 ClaimsDB의 데이터에 접근합니다.
* ClaimsDB는 Azure 가상 네트워크에서만 액세스할 수 있어야 합니다.
* ClaimsApp에 대한 앱 서비스 권한은 ClaimsDB에 할당되어야 합니다.
애플리케이션 개발 요구 사항
Fabrikam은 애플리케이션 개발에 대한 다음과 같은 요구 사항을 파악했습니다.
* Azure DevTest 랩은 개발자가 테스트하는 데 사용됩니다.
* 모든 애플리케이션 코드는 GitHub Enterprise에 저장되어야 합니다.
* Azure Pipelines는 애플리케이션 배포를 관리하는 데 사용됩니다.
* 모든 애플리케이션 코드 변경 사항에 대해 보안 취약점 검사를 실시해야 합니다. 여기에는 일반 텍스트로 비밀 정보가 포함된 애플리케이션 코드나 구성 파일도 포함됩니다. 검사는 코드가 저장소에 푸시될 때 수행해야 합니다.
보안 요구 사항
Fabrikam은 다음과 같은 보안 요구 사항을 식별합니다.
* 인터넷 접속이 가능한 애플리케이션은 북한에서 시작된 연결을 차단해야 합니다.
* InfraSec이라는 그룹의 멤버만 네트워크 보안 그룹(NSG)과 Azure Firewall, VJM, Sub1의 Front Door 인스턴스를 구성할 수 있어야 합니다.
* 관리자는 가상 머신의 원격 관리를 위해 보안 호스트에 연결해야 합니다. 보안 호스트는 사용자 지정 운영 체제 이미지에서 프로비저닝되어야 합니다.
AWS 요구 사항
Fabrikam은 ContosoAWSV에 호스팅된 데이터에 대해 다음과 같은 보안 요구 사항을 식별합니다.
* AWS EC2 인스턴스가 보안 점수 권장 사항을 준수하지 않는 경우 Fabrikam의 보안 관리자에게 알리세요.
* 보안 관리자가 Azure 환경에서 직접 AWS 서비스 로그를 쿼리할 수 있는지 확인합니다.
Contoso 개발자 요구 사항
Fabrikam은 Contoso 개발자에게 다음과 같은 요구 사항을 제시합니다.
* 매달 ContosoDevelopers 그룹의 멤버십을 확인해야 합니다.
* Contoso 개발자는 Sub1의 리소스에 액세스하려면 기존 contoso.onmicrosoft.com 자격 증명을 사용해야 합니다.
* 코모로 개발자는 ClaimDetails 테이블의 MedicalHistory라는 열에 있는 데이터를 볼 수 없어야 합니다.
준수 요구 사항
Fabrikam은 Sub1의 가상 머신이 HIPPA HITRUST 표준을 준수하도록 자동으로 수정하고자 합니다. TestRG의 가상 머신은 규정 준수 평가에서 제외해야 합니다.