Azure Bastion의 Azure 보안 기준

관련 보안 기준은 Azure Security Benchmark 2.0버전의 참고 자료를 적용합니다. Azure Security Benchmark는 Azure에서 클라우드 솔루션을 보호하는 방법에 대한 권장 사항을 제공합니다. 콘텐츠는 Azure Security Benchmark 및 Azure Bastion에 적용되는 관련 참고 자료에서 정의된 보안 컨트롤에 따라 그룹화됩니다.

클라우드용 Microsoft Defender를 사용하여 이 보안 기준 및 권장 사항을 모니터링할 수 있습니다. Azure Policy 정의는 클라우드용 Microsoft Defender 대시보드의 규정 준수 섹션에 나열됩니다.

섹션에 관련 Azure Policy 정의가 있는 경우 Azure Security Benchmark 컨트롤 및 권장 사항에 대한 규정 준수를 측정하는 데 도움이 되도록 이 기준에 나열됩니다. 일부 권장 사항에는 특정 보안 시나리오를 사용하도록 설정하기 위해 유료 Microsoft Defender 계획이 필요할 수 있습니다.

참고

Azure Bastion에 적용되지 않는 컨트롤과 글로벌 지침이 권장되는 컨트롤은 제외되었습니다. Azure Bastion을 Azure 보안 벤치마크에 완전히 매핑하는 방법에 대해서는 전체 Azure Bastion 보안 기준선 매핑 파일을 참조하세요.

네트워크 보안

자세한 내용은 Azure Security Benchmark: 네트워크 보안을 참조하세요.

NS-1: 내부 트래픽에 대한 보안 구현

참고 자료: Azure Bastion 리소스를 배포할 경우 기존 가상 네트워크를 만들거나 사용해야 합니다. 모든 Azure 가상 네트워크가 비즈니스 위험에 적합한 엔터프라이즈 구분 원칙을 준수해야 합니다. 조직에 보다 큰 위험을 초래할 수 있는 시스템은 자체 가상 네트워크 내에 격리하여 NSG(네트워크 보안 그룹)을 사용해 충분히 안전하게 보호해야 합니다.

Azure Bastion 서비스가 제대로 작동하려면 다음 포트가 열려 있어야 합니다.

  • 수신 트래픽:

    • 퍼블릭 인터넷의 수신 트래픽: Azure Bastion은 수신 트래픽에 대한 공용 IP에서 443 포트를 사용하도록 설정하여야 하는 공용 IP를 만듭니다. AzureBastionSubnet에서는 3389/22 포트를 열 필요가 없습니다.

    • Azure Bastion 컨트롤 플레인의 수신 트래픽: 컨트롤 플레인 연결의 경우 GatewayManager 서비스 태그에서 443 포트 인바운드를 사용하도록 설정합니다. 해당 작업을 통해 컨트롤 플레인, 즉 게이트웨이 관리자가 Azure Bastion과 통신할 수 있습니다.

  • 송신 트래픽:

    • VM(가상 머신)을 대상으로 하는 송신 트래픽: Azure Bastion은 개인 IP를 통해 대상 VM에 도달합니다. NSGs는 포트 3389와 포트 22의 다른 대상 VM 서브넷으로 향하는 송신 트래픽을 허용하여야 합니다.

    • Azure의 다른 퍼블릭 엔드포인트에 대한 송신 트래픽: Azure Bastion은 Azure 내의 다양한 퍼블릭 엔드포인트(예: 진단 로그 및 측광 로그 저장용)에 연결할 수 있어야 합니다. 따라서 Azure Bastion에는 AzureCloud 서비스 태그로 아웃바운드 443이 필요합니다.

Azure 인증서를 통해 게이트웨이 관리자 및 Azure 서비스 태그에 대한 연결이 보호됩니다(잠긴 상태). 관련 리소스의 소비자를 포함한 외부 엔터티는 해당 엔드포인트에서 통신할 수 없습니다.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 제어와 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수도 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Network:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
모든 인터넷 트래픽은 배포된 Azure Firewall을 통해 라우팅되어야 함 클라우드용 Microsoft Defender에서 일부 서브넷이 차세대 방화벽으로 보호되지 않는 것을 확인했습니다. Azure Firewall 또는 지원되는 차세대 방화벽으로 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. AuditIfNotExists, 사용 안 함 3.0.0-preview
서브넷을 네트워크 보안 그룹과 연결해야 합니다. NSG(네트워크 보안 그룹)를 통해 VM에 대한 액세스를 제한하여 잠재적인 위협으로부터 서브넷을 보호합니다. NSG는 서브넷에 대한 네트워크 트래픽을 허용 또는 거부하는 ACL(액세스 제어 목록) 규칙의 목록을 포함합니다. AuditIfNotExists, 사용 안 함 3.0.0

NS-2: 여러 사설망 함께 연결

지침: Azure Bastion은 피어링된 네트워크에 배포하여 Bastion 배포를 중앙 집중화하고 네트워크 간 연결을 사용하도록 지원합니다.

책임: Customer

NS-7: 보안 DNS(Domain Name Service)

지침: 해당 없음. Azure Bastion은 기본 DNS 구성을 노출하지 않으며 이러한 설정은 Microsoft에서 유지 관리합니다.

책임: Microsoft

ID 관리

자세한 내용은 Azure Security Benchmark: ID 관리를 참조하세요.

IM-1: Azure Active Directory를 중앙 ID 및 인증 시스템으로 표준화

참고 자료: Azure Bastion은 Azure의 기본 ID 및 액세스 관리 서비스인 Azure AD(Azure Active Directory)와 통합됩니다. 사용자는 Azure AD 인증을 사용하여 Azure Portal에 액세스하여 Azure Bastion 서비스(Bastion 리소스 생성, 업데이트 및 삭제)를 관리할 수 있습니다.

Azure Bastion을 사용한 가상 머신 연결은 SSH 키 또는 사용자 이름/암호를 사용하며 현재는 Azure AD 자격 증명의 사용을 지원하지 않습니다.

SSH 키를 Azure Key Vault 비밀로 저장하고 해당 비밀을 사용하여 Azure Bastion을 사용하는 가상 머신에 연결할 수 있습니다. 개별 사용자 또는 Azure AD 그룹에 Key Vault 액세스 정책을 할당하여 해당 비밀에 대한 사용자 액세스를 컨트롤할 수 있습니다. 해당 매서드를 사용하여 가상 머신에 연결하려면 사용자에게 다음 권한이 필요합니다.

  • 선택한 Azure Key Vault에 저장한 비밀에 대한 액세스 권한 얻기
  • 선택한 Azure Key Vault에 저장한 비밀에 대한 액세스 나열

Azure Bastion을 사용하여 가상 머신에 연결하는 경우 SSH 키 또는 사용자 이름/암호 외에도 사용자에게 다음 역할 할당이 필요합니다.

  • 대상 가상 머신에 대한 Reader 역할
  • 대상 가상 머신의 개인 IP를 사용하는 NIC에 대한 Reader 역할
  • Azure Bastion 리소스에 대한 읽기 권한자 역할
  • 대상 가상 머신의 가상 네트워크에 대한 읽기 권한자 역할(Bastion 배포가 피어된 가상 네트워크에 있는 경우)

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

IM-3: 애플리케이션 액세스에 Azure AD SSO(Single Sign-On) 사용

참고 자료: Azure Bastion은 가상 머신 리소스에 인증할 때 인증을 위한 SSO를 지원하지 않으며 SSH 또는 사용자 이름/암호만 지원합니다. 다만 Azure Bastion은 Azure AD(Azure Active Directory)를 사용하여 전체 서비스에 대한 ID 및 액세스 관리를 제공합니다. 사용자는 Azure AD에 대한 인증을 통해 Azure Bastion 리소스에 액세스 및 관리하고, Azure AD Connect를 통해 자체 동기화된 엔터프라이즈 ID로 원활한 SSO를 경험할 수 있습니다.

책임: Customer

권한 있는 액세스

자세한 내용은 Azure Security Benchmark: 권한 있는 액세스를 참조하세요.

PA-3: 정기적으로 사용자 액세스 검토 및 조정

참고 자료: Azure Bastion은 Azure AD(Azure Active Directory) 계정 및 Azure RBAC를 사용하여 리소스를 관리합니다. 사용자 계정 및 액세스 할당을 정기적으로 검토하여 계정 및 액세스 권한이 유효한지 확인합니다. Azure AD 액세스 검토를 사용하여 그룹 멤버 자격, 엔터프라이즈 애플리케이션에 대한 액세스 및 역할 할당을 검토할 수 있습니다. Azure AD 보고는 부실 계정을 발견하는 데 유용한 로그를 제공합니다. 또한 Azure AD Privileged Identity Management를 사용하여 검토 프로세스를 용이하게 하는 액세스 검토 보고서 워크플로를 만들 수 있습니다.

또한 Azure Privileged Identity Management는 과도한 수의 관리자 계정이 생성되었을 때 경고하도록 구성하고, 부실하거나 부적절하게 구성된 관리자 계정을 식별할 수 있습니다.

책임: Customer

PA-6: 권한 있는 액세스 워크스테이션 사용

지침: 안전하고 격리된 워크스테이션은 관리자, 개발자 및 중요 서비스 운영자와 같은 중요한 역할의 보안에 매우 중요합니다. 요구 사항에 따라 프로덕션 환경에서 Azure Bastion 리소스를 사용하여 관리자 관리 작업을 수행하는 데 매우 안전한 사용자 워크스테이션을 사용할 수 있습니다. Azure AD(Azure Active Directory), Microsoft Defender ATP(Advanced Threat Protection) 및/또는 Microsoft Intune을 사용하여 관리 작업을 위한 관리형 보안 사용자 워크스테이션을 배포합니다. 보안 워크스테이션을 중앙에서 관리하여 강력한 인증, 소프트웨어 및 하드웨어 기준 설정, 제한된 논리 및 네트워크 액세스를 비롯한 보안 구성을 적용할 수 있습니다.

책임: Customer

PA-7: 충분한 관리 수행(최소 권한 원칙)

참고 자료: Azure Bastion은 Azure RBAC(역할 기반 액세스 제어)와 통합되어 리소스를 관리합니다. Azure RBAC를 사용하면 역할 할당을 통해 Azure 리소스 액세스를 관리할 수 있습니다. 이러한 기본 제공 역할을 사용자, 그룹, 서비스 주체 및 관리 ID에 할당할 수 있습니다. 특정 리소스에 대해 미리 정의된 기본 제공 역할이 있으며 이러한 역할은 Azure CLI, Azure PowerShell 또는 Azure Portal과 같은 도구를 통해 쿼리하거나 인벤토리에 포함할 수 있습니다. Azure RBAC를 통해 리소스에 할당하는 권한은 항상 역할에 필요한 권한으로 제한해야 합니다. 이렇게 하면 Azure AD(Azure Active Directory) PIM(Privileged Identity Management)의 JIT(Just-In-Time) 접근 방식을 보완하는 효과가 있으며, 정기적으로 검토해야 합니다. 기본 제공 역할을 사용하여 권한을 할당하고, 필요한 경우에만 사용자 지정 역할을 만듭니다.

Azure Bastion를 사용하여 가상 머신에 연결하는 경우 사용자에게 다음 역할 할당이 필요합니다.

  • 대상 가상 머신에 대한 Reader 역할
  • 대상 가상 머신의 개인 IP를 사용하는 NIC에 대한 Reader 역할
  • Azure Bastion 리소스에 대한 읽기 권한자 역할

자세한 내용은 다음 참조 문서를 참조하세요.

책임: Customer

데이터 보호

자세한 내용은 Azure Security Benchmark: 데이터 보호를 참조하세요.

DP-4: 전송 중인 중요한 정보 암호화

지침: Azure Bastion은 사용자와 가상 머신 간에 전송 중인 데이터에 TLS를 사용합니다.

책임: Microsoft

자산 관리

자세한 내용은 Azure Security Benchmark: 자산 관리를 참조하세요.

AM-1: 보안 팀에서 자산 위험에 대한 가시성을 확보하도록 보장

지침: 보안 팀이 Azure 테넌트 및 구독에서 보안 읽기 권한자 권한을 부여받아 클라우드용 Microsoft Defender를 사용하여 보안 위험을 모니터링할 수 있도록 합니다.

보안 팀의 책임이 구성된 방식에 따라 보안 위험 모니터링은 중앙 보안 팀 또는 로컬 팀의 책임이 될 수 있습니다. 즉, 보안 인사이트 및 위험이 항상 조직 내의 중앙에서 집계되어야 합니다.

보안 읽기 권한자 권한은 전체 테넌트(루트 관리 그룹)에 광범위하게 적용하거나 범위를 관리 그룹 또는 특정 구독으로 지정할 수 있습니다.

참고: 워크로드 및 서비스에 대한 가시성을 얻으려면 추가 권한이 필요할 수 있습니다.

책임: Customer

AM-2: 보안 팀에 자산 인벤토리 및 메타데이터에 대한 액세스 권한이 있는지 확인

참고 자료: Azure Bastion 리소스, 리소스 그룹 및 구독에 태그를 적용하여 논리적으로 분류 체계로 구성합니다. 각 태그는 이름과 값 쌍으로 이루어져 있습니다. 예를 들어 프로덕션의 모든 리소스에 "환경" 이름과 "프로덕션" 값을 적용할 수 있습니다. 보안 팀이 지속적으로 업데이트되는 Azure 자산 인벤토리에 대한 액세스 권한을 가지고 있는지 확인합니다. 보안 팀에서 Azure Resource Graph를 사용하여 Azure 서비스, 애플리케이션 및 네트워크 리소스를 비롯하여 구독에 있는 모든 리소스를 쿼리 및 발견할 수 있습니다.

책임: Customer

AM-3: 승인된 Azure 서비스만 사용

참고 자료: Azure Policy를 사용하여 사용자 환경에서 사용자가 프로비저닝할 수 있는 서비스를 감사하고 제한할 수 있습니다. 해당 서비스에는 Azure Bastion 리소스의 배포를 허용하거나 거부할 수 있는 기능이 포함됩니다. Azure Resource Graph를 사용하여 구독 내에서 리소스를 쿼리하고 검색합니다. 또한 Azure Monitor를 사용하여 승인되지 않은 서비스가 검색되면 경고를 트리거하는 규칙을 만들 수 있습니다.

책임: Customer

로깅 및 위협 탐지

자세한 내용은 Azure Security Benchmark: 로깅 및 위협 탐지를 참조하세요.

LT-2: Azure ID 및 액세스 관리에 위협 탐지 사용

참고 자료: Azure Bastion은 Azure AD(Azure Active Directory)와 통합되며 관련 서비스는 Azure Portal을 통해 액세스됩니다. 해당 서비스에 대한 관리 작업(예: 만들기, 업데이트 및 삭제)은 기본적으로 Azure 활동 로그를 통해 캡처됩니다. 또한 사용자는 BastionAuditLogs 세션 등의 Azure Bastion 리소스 로그를 사용하도록 설정하여 Bastion 세션을 추적해야 합니다.

Azure AD는 Azure AD 보고에서 볼 수 있거나 더 정교한 모니터링 및 분석 사용 사례를 위해 Azure Monitor, Azure Sentinel 또는 기타 SIEM/모니터링 도구와 통합할 수 있는 다음과 같은 사용자 로그를 제공합니다.

  • 로그인 – 로그인 보고서는 관리되는 애플리케이션 및 사용자 로그인 활동의 사용 정보를 제공합니다.

  • 감사 로그 - Azure AD 내의 다양한 기능에 의해 수행된 모든 변경 내용에 대한 로그를 통한 추적 기능을 제공합니다. 감사 로그의 예제로는 사용자, 앱, 그룹, 역할 및 정책 추가 또는 제거와 같은 Azure AD 내의 모든 리소스에 대한 변경 내용이 있습니다.

  • 위험한 로그인 - 위험한 로그인은 사용자 계정의 정당한 소유자가 아닌 사용자에 의해 수행된 로그인 시도에 대한 지표입니다.

  • 위험 플래그가 지정된 사용자 - 위험한 사용자는 손상되었을 수 있는 사용자 계정에 대한 표시기입니다.

클라우드용 Microsoft Defender에서 과도한 인증 시도 실패 횟수 및 구독에서 더 이상 사용되지 않는 계정과 같이 의심스러운 특정 작업에 대해 경고할 수도 있습니다. 기본 보안 예방 모니터링 외에도 클라우드용 Microsoft Defender의 위협 방지 모듈은 개별 Azure 컴퓨팅 리소스(예: 가상 머신, 컨테이너, App Service), 데이터 리소스(예: SQL DB 및 스토리지), Azure 서비스 계층에서 보다 심층적인 보안 경고를 수집할 수도 있습니다. 해당 기능을 사용하면 개별 리소스 내에서 비정상 계정 활동을 볼 수 있습니다.

책임: Customer

LT-3: Azure 네트워크 활동에 대한 로깅 사용

참고 자료: Azure Bastion 리소스 로그를 사용하도록 설정하고, 관련 진단 로그를 사용하여 어떤 사용자가 어떤 워크로드에 언제 어디서 연결되었는지에 대한 관련 로깅 정보를 볼 수 있습니다. 사용자는 장기 보존 및 감사를 위해 관련 로그를 스토리지 계정에 보내도록 구성할 수 있습니다.

Azure Bastion 리소스를 배포한 가상 네트워크에 적용되는 네트워크 보안 그룹에 대한 NSG(네트워크 보안 그룹) 리소스 로그 및 NSG 흐름 로그를 사용하도록 설정하고 수집합니다. 해당 로그를 사용하여 네트워크 보안을 분석하고 인시던트 조사, 위협 헌팅 및 보안 경고 생성을 지원할 수 있습니다. 흐름 로그를 Azure Monitor Log Analytics 작업 영역으로 보낸 다음, 트래픽 분석을 사용하여 인사이트를 제공할 수 있습니다.

책임: Customer

클라우드용 Microsoft Defender 모니터링: Azure 보안 벤치마크는 클라우드용 Microsoft Defender의 기본 정책 이니셔티브이며 클라우드용 Microsoft Defender 권장 사항의 기초입니다. 이 제어와 관련된 Azure Policy 정의는 클라우드용 Microsoft Defender에서 사용하도록 자동으로 설정됩니다. 이 제어와 관련된 경고에는 관련 서비스에 대한 Microsoft Defender 요금제가 필요할 수도 있습니다.

Azure Policy 기본 제공 정의 - Microsoft.Network:

Name
(Azure Portal)
설명 효과 버전
(GitHub)
Network Watcher를 사용하도록 설정해야 함 Network Watcher는 Azure 내에서, Azure로, Azure로부터 네트워크 시나리오 수준 상태를 모니터링하고 진단할 수 있게 하는 지역 서비스입니다. 시나리오 수준 모니터링을 사용하면 종단 간 네트워크 수준 보기에서 문제를 진단할 수 있습니다. 가상 네트워크가 있는 모든 지역에서 Network Watcher 리소스 그룹을 만들어야 합니다. 특정 지역에서 Network Watcher 리소스 그룹을 사용할 수 없는 경우 경고가 활성화됩니다. AuditIfNotExists, 사용 안 함 3.0.0

LT-4: Azure 리소스에 대한 로깅 사용

참고 자료: 자동으로 사용할 수 있는 활동 로그에는 읽기 작업(GET)을 제외하고 Azure Bastion 리소스에 대한 모든 쓰기 작업(PUT, POST, DELETE)이 포함됩니다. 활동 로그를 사용하여 문제를 해결할 때 오류를 찾거나 조직의 사용자가 리소스를 수정한 방법을 모니터링할 수 있습니다.

책임: Customer

LT-5: 보안 로그 관리 및 분석 중앙 집중화

지침: 상관 관계를 사용하도록 설정하기 위해 로깅 스토리지 및 분석을 중앙 집중화합니다. 각 로그 원본에 대해 데이터 소유자, 액세스 지침, 스토리지 위치, 데이터를 처리하고 액세스하는 데 사용되는 도구, 데이터 보존 요구 사항을 할당했는지 확인합니다.

Azure 활동 로그를 중앙 로깅에 통합하고 있는지 확인합니다. Azure Monitor를 통해 로그를 수집하여 엔드포인트 디바이스, 네트워크 리소스, 기타 보안 시스템에 의해 생성된 보안 데이터를 집계합니다. Azure Monitor에서 Log Analytics 작업 영역을 사용하여 분석을 쿼리하고 수행하며, 장기 및 기록 스토리지에 Azure Storage 계정을 사용할 수 있습니다.

또한 Microsoft Sentinel 또는 타사 SIEM에 데이터를 사용하도록 설정하고 온보딩합니다.

여러 조직에서, 자주 사용되는 '핫' 데이터에는 Microsoft Sentinel을 사용하고 비교적 덜 사용되는 '콜드' 데이터에는 Azure Storage를 사용하고 있습니다.

책임: Customer

LT-6: 로그 스토리지 보존 구성

참고 자료: Azure Bastion 로그를 저장하는 데 사용되는 스토리지 계정 또는 Log Analytics 작업 영역에 조직의 준수 규정에 따라 설정된 로그 보존 기간이 설정되어 있는지 확인합니다.

Azure Monitor에서 조직의 준수 규정에 따라 Log Analytics 작업 영역의 보존 기간을 설정할 수 있습니다.

책임: Customer

LT-7: 승인된 시간 동기화 원본 사용

지침: Azure Bastion은 자체 시간 동기화 원본 구성을 지원하지 않습니다. Azure Bastion 서비스는 Microsoft 시간 동기화 원본에 의존하며, 이러한 원본은 구성을 위해 고객에게 노출되지 않습니다.

책임: Microsoft

태세 및 취약성 관리

자세한 내용은 Azure Security Benchmark: 태세 및 취약성 관리를 참조하세요.

PV-1: Azure 서비스에 대한 보안 구성 설정

참고 자료: Azure Policy를 사용하여 Azure Bastion에 대한 표준 보안 구성을 정의 및 구현합니다. “Microsoft.Network” 네임스페이스에서 Azure Policy 별칭을 사용하여 Azure Bastion의 네트워크 구성을 감사 및 시행하는 사용자 지정 정책을 만듭니다. 고객은 또한 Azure Blueprints 또는 ARM 템플릿을 활용하여 보안 구성을 설정함으로써 Bastion 리소스를 안전하고도 일관되게 배포할 수도 있습니다.

책임: Customer

PV-2: Azure 서비스에 대한 보안 구성 유지

참고 자료: Azure Policy를 사용하여 Azure Bastion에 대한 표준 보안 구성을 정의 및 구현합니다. “Microsoft.Network” 네임스페이스에서 Azure Policy 별칭을 사용하여 Bastion 리소스의 네트워크 구성을 감사 및 시행하는 사용자 지정 정책을 만듭니다.

책임: Customer

PV-6: 소프트웨어 취약성 평가 수행

지침: Microsoft는 Azure Bastion을 지원하는 기본 시스템에서 취약성 관리를 수행합니다.

책임: Microsoft

PV-7: 자동으로 신속하게 소프트웨어 취약성 수정

지침: Microsoft는 Azure Bastion을 지원하는 기본 시스템에서 취약성 관리 및 소프트웨어 업데이트를 수행합니다.

책임: Microsoft

PV-8: 정기적인 공격 시뮬레이션 수행

지침: 필요에 따라 Azure 리소스에 대한 침투 테스트 또는 레드 팀 활동을 수행하고 모든 중요한 보안 결과를 수정해야 합니다.

Microsoft Cloud 침투 테스트 시행 규칙에 따라 침투 테스트가 Microsoft 정책을 위반하지 않는지 확인합니다. Microsoft의 전략과 Microsoft에서 관리하는 클라우드 인프라, 서비스, 애플리케이션에 대한 레드 팀 실행 및 실시간 사이트 침투 테스트를 사용합니다.

책임: 공유됨

엔드포인트 보안

자세한 내용은 Azure Security Benchmark: 엔드포인트 보안을 참조하세요.

ES-1: EDR(엔드포인트 검색 및 응답) 사용

지침: Azure Bastion은 완전 관리형 PaaS 제품이며 Microsoft는 엔드포인트 보호 처리를 담당합니다.

책임: Microsoft

ES-2: 중앙 관리형 최신 맬웨어 방지 소프트웨어 사용

지침: Azure Bastion은 완전 관리형 PaaS 제품이며 Microsoft는 맬웨어 방지 보호 설치 및 관리를 담당합니다.

책임: Microsoft

ES-3: 맬웨어 방지 소프트웨어 및 서명이 업데이트되는지 확인

지침: Azure Bastion은 완전 관리형 PaaS 제품이며 Microsoft는 맬웨어 방지 서명 설치, 관리 및 업데이트를 담당합니다.

책임: Microsoft

다음 단계