Azure Virtual Desktop 워크로드에 대한 보안 및 ID 및 액세스 관리(IAM) 고려 사항
이 문서에서는 Azure Virtual Desktop 워크로드의 보안 및 IAM 디자인 영역에 대해 설명합니다. Azure Virtual Desktop 은 가상 데스크톱 인프라에 대한 Microsoft 컨트롤 플레인을 제공하는 관리되는 서비스입니다. Azure Virtual Desktop은 Azure RBAC(역할 기반 액세스 제어) 를 사용하여 ID를 제어하고 액세스를 관리합니다. 워크로드 소유자는 조직 요구 사항에 적합한 다른 제로 트러스트 원칙을 적용할 수도 있습니다. 예를 들어 명시적으로 확인 원칙과 최소 권한 액세스 원칙이 있습니다.
중요
이 문서는 Azure Well-Architected Framework Azure Virtual Desktop 워크로드 시리즈의 일부입니다. 이 시리즈에 익숙하지 않은 경우 Azure Virtual Desktop 워크로드란?으로 시작하는 것이 좋습니다.
RBAC 사용
영향: 보안, 운영 우수성
RBAC는 Azure Virtual Desktop 배포를 관리하는 다양한 팀과 개인에 대한 업무 분리 를 지원합니다. 랜딩 존 디자인의 일환으로 누가 다양한 역할을 맡을지 결정해야 합니다. 그런 다음 역할에서 사용자를 추가 및 제거하는 작업을 간소화하기 위해 각 역할에 대한 보안 그룹을 만들어야 합니다.
Azure Virtual Desktop은 각 기능 영역에 대해 설계된 사용자 지정 Azure 역할을 제공합니다. 이러한 역할을 구성하는 방법에 대한 자세한 내용은 Azure Virtual Desktop에 대한 기본 제공 역할을 참조하세요. Azure 배포에 대한 클라우드 채택 프레임워크 일부로 Azure 사용자 지정 역할을 만들고 정의할 수도 있습니다. Azure Virtual Desktop과 관련된 RBAC 역할을 다른 Azure RBAC 역할과 결합해야 할 수도 있습니다. 이 방법은 사용자가 Azure Virtual Desktop 및 VM(가상 머신) 및 네트워킹과 같은 다른 Azure 서비스에 필요한 전체 권한 집합을 제공합니다.
권장 사항
- Azure Virtual Desktop 배포를 관리하는 팀과 개인에 대한 역할을 정의합니다.
- 호스트 풀, 애플리케이션 그룹 및 작업 영역에 대한 관리 책임을 구분하도록 Azure 기본 제공 역할을 정의합니다.
- 각 역할에 대한 보안 그룹을 만듭니다.
세션 호스트의 보안 강화
영향: 보안
Azure Virtual Desktop은 터미널 서버 또는 세션 호스트와 최종 사용자 클라이언트 간의 통신에 RDP(원격 데스크톱 프로토콜)를 사용합니다.
RDP는 다음 정보를 전달하는 별도의 가상 채널을 허용하고 거부할 수 있는 다중 채널 프로토콜입니다.
- 프레젠테이션 데이터
- 직렬 디바이스 통신
- 라이선싱 정보
- 키보드 및 마우스 작업과 같은 고도로 암호화된 데이터
보안을 개선하기 위해 Azure Virtual Desktop에서 연결의 RDP 속성을 중앙에서 구성할 수 있습니다.
권장 사항
- 로컬 및 원격 드라이브 매핑을 숨겨 Windows 탐색기 액세스를 제한합니다. 이 전략은 사용자가 시스템 구성 및 사용자에 대한 중요한 정보를 검색하지 못하도록 합니다.
- 원치 않는 소프트웨어가 세션 호스트에서 실행되지 않도록 방지합니다. 세션 호스트에서 추가 보안을 위해 AppLocker를 사용하도록 설정할 수 있습니다. 이 기능은 지정한 앱만 호스트에서 실행할 수 있도록 하는 데 도움이 됩니다.
- 화면 캡처 보호 및 워터마크를 사용하여 클라이언트 엔드포인트에서 중요한 정보가 캡처되지 않도록 방지합니다. 화면 캡처 보호를 켜면 스크린샷 및 화면 공유에서 원격 콘텐츠가 자동으로 차단되거나 숨겨집니다. 원격 데스크톱 클라이언트는 화면을 캡처하는 악성 소프트웨어의 콘텐츠도 숨깁니다.
- Microsoft Defender 바이러스 백신을 사용하여 VM을 보호합니다. 자세한 내용은 원격 데스크톱 또는 가상 데스크톱 인프라 환경에서 Microsoft Defender 바이러스 백신 구성을 참조하세요.
- Windows Defender 애플리케이션 제어를 켭니다. 드라이버 및 애플리케이션을 신뢰하는지 여부에 관계없이 드라이버 및 애플리케이션에 대한 정책을 정의합니다.
- 리소스를 보존하고 무단 액세스를 방지하기 위해 비활성 상태일 때 사용자를 로그아웃합니다. 자세한 내용은 최대 비활성 시간 및 연결 끊기 정책 수립을 참조하세요.
- CSPM(클라우드 보안 태세 관리)용 클라우드용 Microsoft Defender 켭니다. 자세한 내용은 Microsoft 365 Defender 비영구 VDI(가상 데스크톱 인프라) 디바이스 온보딩을 참조하세요.
중앙 플랫폼, ID 및 네트워킹 팀에 대한 디자인 고려 사항
영향: 보안
ID 는 Azure Virtual Desktop의 기본 디자인 원칙입니다. ID는 아키텍처 프로세스 내에서 일류 관심사로 취급해야 하는 주요 디자인 영역이기도 합니다.
Azure Virtual Desktop의 ID 디자인
Azure Virtual Desktop은 회사 리소스 및 애플리케이션에 액세스하기 위한 다양한 유형의 ID를 지원합니다. 워크로드 소유자는 비즈니스 및 조직의 요구 사항에 따라 다양한 유형의 ID 공급자 중에서 선택할 수 있습니다. 이 섹션의 ID 디자인 영역을 검토하여 워크로드에 가장 적합한 항목을 평가합니다.
| ID 디자인 | 요약 |
|---|---|
| AD DS(Active Directory Domain Services) ID | Azure Virtual Desktop에 액세스하려면 Microsoft Entra ID를 통해 사용자를 검색할 수 있어야 합니다. 따라서 AD DS에만 존재하는 사용자 ID는 지원되지 않습니다. AD FS(Active Directory Federation Services)를 사용하는 독립 실행형 Active Directory 배포도 지원되지 않습니다. |
| 하이브리드 ID | Azure Virtual Desktop은 AD FS를 사용하여 페더레이션된 ID를 포함하여 Microsoft Entra ID를 통해 하이브리드 ID를 지원합니다. AD DS에서 이러한 사용자 ID를 관리하고 Microsoft Entra Connect를 사용하여 Microsoft Entra ID에 동기화할 수 있습니다. Microsoft Entra ID를 사용하여 이러한 ID를 관리하고 AD DS에 동기화할 수도 있습니다. |
| 클라우드 전용 ID | Azure Virtual Desktop은 Microsoft Entra ID를 사용하여 조인된 VM을 사용하는 경우 클라우드 전용 ID를 지원합니다. 이러한 사용자는 Microsoft Entra ID로 직접 만들어지고 관리됩니다. |
중요
Azure Virtual Desktop은 비즈니스 대 비즈니스 계정, Microsoft 계정 또는 외부 ID를 지원하지 않습니다.
ID 및 인증 전략을 선택하고 구현하는 방법에 대한 자세한 내용은 지원되는 ID 및 인증 방법을 참조하세요.
권장 사항
- 최소 권한으로 전용 사용자 계정을 만듭니다. 세션 호스트를 배포할 때 이 계정을 사용하여 세션 호스트를 Microsoft Entra Domain Services 또는 AD DS 도메인에 조인합니다.
- 다단계 인증이 필요합니다. 전체 배포의 보안을 향상하려면 Azure Virtual Desktop의 모든 사용자 및 관리자에 대해 다단계 인증을 적용합니다. 자세한 내용은 조건부 액세스를 사용하여 Azure Virtual Desktop에 대한 Microsoft Entra ID 다단계 인증 적용을 참조하세요.
- Microsoft Entra ID 조건부 액세스를 켭니다. 조건부 액세스를 사용하는 경우 사용자에게 Azure Virtual Desktop 환경에 대한 액세스 권한을 부여하기 전에 위험을 관리할 수 있습니다. 액세스 권한을 부여할 사용자를 결정하는 과정에서 각 사용자가 누구인지, 로그인하는 방법 및 사용 중인 디바이스도 고려해야 합니다.
Azure Virtual Desktop에 대한 보안 네트워크 디자인
네트워크 보안 조치가 없으면 공격자가 자산에 액세스할 수 있습니다. 리소스를 보호하려면 네트워크 트래픽에 컨트롤을 배치하는 것이 중요합니다. 적절한 네트워크 보안 제어는 클라우드 배포에 진입하는 공격자를 감지하고 중지하는 데 도움이 될 수 있습니다.
권장 사항
- 허브-스포크 아키텍처를 사용합니다. 공유 서비스와 Azure Virtual Desktop 애플리케이션 서비스를 구분하는 것이 중요합니다. 허브-스포크 아키텍처는 보안에 대한 좋은 접근 방식입니다. 허브의 공유 서비스와는 별개인 워크로드별 리소스를 자체 가상 네트워크에 유지해야 합니다. 공유 서비스의 예로는 관리 및 DNS(Domain Name System) 서비스가 있습니다.
- 네트워크 보안 그룹을 사용합니다. 네트워크 보안 그룹을 사용하여 Azure Virtual Desktop 워크로드에서 네트워크 트래픽을 필터링할 수 있습니다. 서비스 태그 및 네트워크 보안 그룹 규칙은 Azure Virtual Desktop 애플리케이션에 대한 액세스를 허용하거나 거부하는 방법을 제공합니다. instance 경우 온-프레미스 IP 주소 범위에서 Azure Virtual Desktop 애플리케이션 포트에 대한 액세스를 허용하고 공용 인터넷에서 액세스를 거부할 수 있습니다. 자세한 내용은 네트워크 보안 그룹을 참조하세요. Azure Virtual Desktop을 배포하고 사용자가 사용할 수 있도록 하려면 세션 호스트 VM이 언제든지 액세스할 수 있는 특정 URL을 허용해야 합니다. 이러한 URL 목록은 Azure Virtual Desktop에 필요한 URL을 참조하세요.
- 각 호스트 풀을 별도의 가상 네트워크에 배치하여 호스트 풀을 격리합니다. Azure Virtual Desktop에서 각 서브넷에 필요한 URL과 함께 네트워크 보안 그룹을 사용합니다.
- 네트워크 및 애플리케이션 보안을 적용합니다. 네트워크 및 애플리케이션 보안 제어는 모든 Azure Virtual Desktop 워크로드에 대한 기본 보안 조치입니다. Azure Virtual Desktop 세션 호스트 네트워크 및 애플리케이션에는 엄격한 보안 검토 및 기준 제어가 필요합니다.
- RDP 포트를 사용하지 않도록 설정하거나 차단하여 환경의 세션 호스트에 대한 직접 RDP 액세스를 방지합니다. 관리 또는 문제 해결을 위해 직접 RDP 액세스가 필요한 경우 Azure Bastion을 사용하여 세션 호스트에 연결합니다.
- Azure Virtual Desktop에서 Azure Private Link 사용하여 Microsoft 네트워크 내에서 트래픽을 유지하고 보안을 향상시킵니다. 프라이빗 엔드포인트를 만들 때 가상 네트워크와 서비스 간의 트래픽은 Microsoft 네트워크에 유지됩니다. 더 이상 공용 인터넷에 서비스를 노출할 필요가 없습니다. 원격 데스크톱 클라이언트를 사용하는 사용자가 가상 네트워크에 연결할 수 있도록 VPN(가상 사설망) 또는 Azure ExpressRoute를 사용할 수도 있습니다.
- Azure Firewall 사용하여 Azure Virtual Desktop을 보호합니다. Azure Virtual Desktop 세션 호스트는 가상 네트워크에서 실행되며 가상 네트워크 보안 제어의 적용을 받습니다. 애플리케이션 또는 사용자에게 아웃바운드 인터넷 액세스가 필요한 경우 Azure Firewall 사용하여 애플리케이션을 보호하고 환경을 잠그는 것이 좋습니다.
전송 중인 데이터 암호화
영향: 보안
전송 중인 암호화는 한 위치에서 다른 위치로 이동하는 데이터의 상태에 적용됩니다. 연결의 특성에 따라 전송 중인 데이터를 여러 가지 방법으로 암호화할 수 있습니다. 자세한 내용은 전송 중인 데이터 암호화를 참조하세요.
Azure Virtual Desktop은 클라이언트 및 세션 호스트에서 Azure Virtual Desktop 인프라 구성 요소로 시작되는 모든 연결에 TLS(전송 계층 보안) 버전 1.2를 사용합니다. Azure Virtual Desktop은 Azure Front Door와 동일한 TLS 1.2 암호화를 사용합니다. 클라이언트 컴퓨터와 세션 호스트가 이러한 암호화를 사용할 수 있는지 확인하는 것이 중요합니다. 역방향 연결 전송의 경우 클라이언트 및 세션 호스트는 Azure Virtual Desktop 게이트웨이에 연결합니다. 그런 다음 클라이언트 및 세션 호스트는 TCP(Transmission Control Protocol) 연결을 설정합니다. 다음으로 클라이언트 및 세션 호스트는 Azure Virtual Desktop 게이트웨이 인증서의 유효성을 검사합니다. RDP는 기본 전송을 설정하는 데 사용됩니다. 그런 다음 RDP는 세션 호스트 인증서를 사용하여 클라이언트와 세션 호스트 간에 중첩된 TLS 연결을 설정합니다.
네트워크 연결에 대한 자세한 내용은 Azure Virtual Desktop 네트워크 연결 이해를 참조하세요.
권장 사항
- Azure Virtual Desktop이 전송 중인 데이터를 암호화하는 방법을 이해합니다.
- 클라이언트 컴퓨터와 세션 호스트가 Azure Front Door에서 사용하는 TLS 1.2 암호화를 사용할 수 있는지 확인합니다.
사용 중인 데이터를 암호화하는 데 기밀 컴퓨팅 사용
영향: 보안, 성능 효율성
기밀 컴퓨팅을 사용하여 정부, 금융 서비스 및 의료 기관과 같은 규제 산업에서 운영할 때 사용 중인 데이터를 보호합니다.
Azure Virtual Desktop에 기밀 VM을 사용할 수 있습니다. 기밀 VM은 사용 중인 데이터를 보호하여 데이터 개인 정보 보호 및 보안을 강화합니다. Azure DCasv5 및 ECasv5 기밀 VM 시리즈는 TEE(하드웨어 기반 신뢰할 수 있는 실행 환경)를 제공합니다. 이 환경에는 AMD(Advanced Micro Devices) SEV-SNP(Secure Encrypted Virtualization-Secure 중첩 페이징) 보안 기능이 있습니다. 이러한 기능은 VM 메모리 및 상태에 대한 하이퍼바이저 및 기타 호스트 관리 코드 액세스를 거부하도록 게스트 보호를 강화합니다. 또한 운영자 액세스로부터 보호하고 사용 중인 데이터를 암호화합니다.
기밀 VM은 버전 22H1, 22H2 및 향후 버전의 Windows 11 지원합니다. Windows 10 대한 기밀 VM 지원이 계획되어 있습니다. 기밀 운영 체제 디스크 암호화는 기밀 VM에 사용할 수 있습니다. 또한 기밀 VM에 대한 Azure Virtual Desktop 호스트 풀 프로비저닝 중에 무결성 모니터링을 사용할 수 있습니다.
자세한 내용은 다음 자료를 참조하세요.
권장 사항
- 기밀 컴퓨팅을 사용하여 사용 중인 데이터를 보호합니다.
- Azure DCasv5 및 ECasv5 기밀 VM 시리즈를 사용하여 하드웨어 기반 TEE를 빌드합니다.
관련 Azure Virtual Desktop 보안 리소스
다음 단계
이제 Azure Virtual Desktop 보안 모범 사례를 살펴보았으므로 비즈니스 우수성을 달성하기 위한 운영 관리 절차를 조사합니다.
평가 도구를 사용하여 디자인 선택을 평가합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기