Azure의 보안 관리

Azure 구독자는 관리 워크스테이션, 개발자 PC, 심지어 작업별 사용 권한을 가진 최종 사용자 디바이스 등 여러 디바이스에서 자신의 클라우드 환경을 관리할 수 있습니다. 경우에 따라, 관리 기능은 Azure Portal과 같은 웹 기반 콘솔을 통해 수행됩니다. 다른 경우에는 VPN(가상 사설망), 터미널 서비스, 클라이언트 애플리케이션 프로토콜 또는(프로그래밍 방식으로) Azure 클래식 배포 모델을 통해 온-프레미스 시스템에서 Azure로 직접 연결할 수 있습니다. 또한 클라이언트 엔드포인트는 태블릿이나 스마트폰 같이 조인 또는 격리되고 관리되지 않는 도메인이 될 수 있습니다.

여러 액세스 및 관리 기능은 다양한 옵션을 제공하지만, 이러한 가변성은 클라우드 배포에 상당한 위험을 더할 수 있습니다. 관리 작업을 관리, 추적 및 감사하기 어려울 수 있습니다. 이 가변성은 또한 클라우드 서비스 관리에 사용되는 클라이언트 엔드포인트에 대한 액세스를 규제하지 않음으로써 보안 위협을 들여올 수 있습니다. 인프라를 개발 및 관리하기 위한 일반 또는 개인 워크스테이션을 사용 하면 웹 검색(예: 워터링 홀 공격) 또는 전자 메일(예: 소셜 엔지니어링 및 피싱 공격)와 같이 예측할 수 없는 위협 벡터를 열게 됩니다.

이러한 유형의 환경에서는 매우 다양한 엔드포인트로부터 Azure 인터페이스(예: SMAPI)에 대한 액세스를 적절하게 관리하기 위해 보안 정책 및 메커니즘을 생성하는 것이 어렵기 때문에 공격 받을 가능성이 높습니다.

원격 관리 위협

공격자는 종종 계정 자격 증명을 손상시키거나(예: 암호 무차별 대입, 피싱 및 자격 증명 수집) 사용자를 속여 유해한 코드(예: 드라이브 바이 다운로드 방식을 통해 유해한 웹 사이트 또는 유해한 전자 메일 첨부 파일로부터 감염)를 실행하게 함으로써 권한 있는 액세스를 시도하려 합니다. 원격으로 관리되는 클라우드 환경에서 계정 보안 위험은 언제 어디서나 액세스로 인해 큰 위험으로 이어질 수 있습니다.

기본 관리자 계정을 엄격하게 관리하더라도 하위 수준의 사용자 계정을 통해 보안 전략의 약점을 악용할 수 있습니다. 또한 적절한 보안 교육의 부족으로 인해 계정 정보가 우발적으로 공개되거나 노출되는 보안 위험으로 이어질 수 있습니다.

관리 작업에 사용자 워크스테이션도 필요한 경우, 많은 여러 지점에서 손상될 수 있습니다. 사용자가 웹을 검색한 여부와 상관 없이 타사 및 오픈 소스 도구를 사용하거나 트로이 목마를 포함한 유해한 문서 파일을 연 경우 손상될 수 있습니다.

일반적으로 데이터 보안 위험으로 인한 대부분의 대상 지정 공격은 데스크톱 컴퓨터에서 브라우저 악용, 플러그 인(예: Flash, PDF, Java), 스피어 피싱(전자 메일)를 통해 추적할 수 있습니다. 다른 자산을 개발하거나 관리하는 데 이러한 머신을 사용하는 경우 작업을 위해 관리 수준 또는 서비스 수준 권한을 가지고 라이브 서버 또는 네트워크 디바이스에 액세스할 수 있습니다.

작업 보안 기본 사항

보다 안전한 관리 및 작업을 위해 진입점의 수를 줄여 클라이언트의 공격 표면을 최소화할 수 있습니다. 이러한 작업은 "의무 분리" 및 "환경의 분리" 보안 원칙을 통해 수행할 수 있습니다.

즉, 다른 기능으로부터 민감한 기능을 격리하면 어떤 한 수준에서의 실수가 다른 수준의 보안 위험으로 이어질 수 있는 가능성을 낮출 수 있습니다. 예:

• 관리 작업은 손상으로 이어질 수 있는 작업과 함께 수행하면 안 됩니다(예: 인프라 서버를 감염시키는 관리자의 이메일 내의 맬웨어).
• 매우 민감한 작업에 사용되는 워크스테이션은 인터넷 검색 등 위험도가 높은 용도에 사용하는 시스템으로 사용하면 안 됩니다.

불필요한 소프트웨어를 제거하여 시스템의 공격 표면을 줄입니다. 예시:

• 디바이스의 주요 목적이 클라우드 서비스를 관리하는 것인 경우 모든 표준 관리, 지원 또는 개발용 워크스테이션은 이메일 클라이언트 또는 기타 생산성 애플리케이션을 설치할 필요가 없습니다.

인프라 구성 요소에 대한 관리자 권한이 있는 클라이언트 시스템은 보안 위험을 줄이기 위하여 가능한 한 가장 엄격한 정책을 적용해야 합니다. 예:

• 보안 정책은 개방된 인터넷 액세스를 거부하는 그룹 정책 설정과 제한적인 방화벽 구성 사용을 포함할 수 있습니다.
• 직접 액세스가 필요한 경우 인터넷 프로토콜 보안(IPsec) VPN을 사용합니다.
• Active Directory 도메인의 관리 및 개발을 별도로 구성합니다.
• 관리 워크스테이션 네트워크 트래픽을 격리 및 필터링합니다.
• 맬웨어 방지 소프트웨어를 사용합니다.
• Multi-Factor Authentication을 구현하여 도난 된 자격 증명의 위험성을 줄입니다.

또한 액세스 리소스를 통합하고 관리되지 않는 엔드포인트를 제거하면 관리 작업을 단순화할 수 있습니다.

Azure의 원격 관리를 위한 보안 제공

Azure는 Azure 클라우드 서비스 및 가상 머신을 관리하는 관리자를 지원하기 위해 보안 메커니즘을 제공합니다. 이러한 메커니즘은 다음을 포함합니다.

• 인증 및 Azure RBAC(Azure 역할 기반 액세스 제어).
• 모니터링, 로깅 및 보고.
• 인증서 및 암호화된 통신.
• 웹 관리 포털.
• 네트워크 패킷 필터링.

클라이언트 쪽 보안 구성 및 관리 게이트웨이의 데이터센터 배포와 함께, 클라우드 애플리케이션 및 데이터에 대한 관리자 액세스를 제한하고 모니터링할 수 있습니다.

참고 항목

이 문서의 특정 권장 사항으로 인해 데이터, 네트워크 또는 컴퓨팅 리소스 사용량이 증가할 수 있으며 이로 인해 라이선스 또는 구독 비용이 증가할 수 있습니다.

관리용 워크스테이션 강화

워크스테이션의 강화 목표는 작동에 필요한 가장 중요한 기능을 제외하고 모두 제외하여 잠재적인 공격 노출 영역을 가능한 한 작게 만드는 것입니다. 시스템 강화에는 설치된 서비스 및 응용 프로그램 수 최소화, 애플리케이션 실행 제한, 필요한 장치에만 네트워크 액세스 허용, 그리고 항상 시스템을 최신 상태로 유지 등이 있습니다. 또한 관리용 강화 워크스테이션을 사용하면 다른 최종 사용자 작업으로부터 관리 도구 및 활동을 분리합니다.

온-프레미스 엔터프라이즈 환경 내에서 전용 관리 네트워크, 카드로 액세스할 수 있는 서버실, 네트워크의 보호된 영역에서 실행되는 워크스테이션을 통해 실제 인프라의 공격 노출 영역을 제한할 수 있습니다. 클라우드 또는 하이브리드 IT 모델에서 보안 관리 서비스를 정교하게 만들면 IT 리소스에 실제적인 액세스를 줄이기 때문에 보다 복잡하게 만들 수 있습니다. 보호 솔루션을 구현하면 세심한 소프트웨어 구성, 보안에 중점을 둔 프로세스, 포괄적인 정책이 필요합니다.

클라우드 관리 및 애플리케이션 개발을 위해 잠긴 워크스테이션에서 최소 권한의 소프트웨어의 사용 공간을 최소화하면 원격 관리 및 개발 환경을 표준화하면 보안 문제 발생의 위험성을 줄일 수 있습니다. 강화된 워크스테이션 구성은 맬웨어 및 악용 사례가 이용되는 여러 일반적인 수단을 차단하여 중요한 클라우드 리소스를 관리하는 데 사용되는 계정의 손상을 방지할 수 있습니다. 특히, Windows AppLocker 및 Hyper-V 기술을 사용하여 클라이언트 시스템 동작을 통제 및 격리하고 전자 메일 또는 인터넷 검색 등의 위협을 완화할 수 있습니다.

강화된 워크스테이션에서 관리자는 표준 사용자 계정(관리자 수준의 실행을 차단)을 실행하고 관련된 애플리케이션을 허용 목록에 따라 제어합니다. 강화된 워크스테이션의 기본 요소는 다음과 같습니다.

• 활성 검색 및 패치. 맬웨어 방지 소프트웨어를 배포하고, 일반적인 취약점 검색을 수행하며, 적절한 시간 내에 최신 보안 업데이트를 사용하여 모든 워크스테이션을 업데이트합니다.
• 제한된 기능. 필요하지 않은 모든 애플리케이션을 제거하고 불필요한 (시작) 서비스를 사용하지 않습니다.
• 네트워크 강화. Windows 방화벽 규칙을 사용하여 Azure 관리와 관련된 유효한 IP 주소, 포트 및 URL만 허용합니다. 워크스테이션에 대한 인바운드 원격 연결도 차단되는지 확인합니다.
• 실행 제한. 실행 관리에 필요한 미리 정의된 실행 파일 집합만 허용합니다("기본 거부"라고도 함). 기본적으로 사용자는 허용 목록에 명시적으로 정의되지 않은 프로그램을 실행할 수 있는 권한이 거부되어야 합니다.
• 최소 권한. 관리 워크스테이션 사용자는 로컬 컴퓨터에 대해 어떠한 관리 권한도 가지지 않습니다. 때문에 시스템 구성 또는 시스템 파일을 의도적이든 또는 실수로든 변경할 수 없습니다.

Active Directory Domain Services(AD DS)의 그룹 정책 개체(GPO)를 사용하고 로컬 관리 도메인을 통해 이를 모든 관리 계정에 적용함으로써 이 모두를 적용할 수 있습니다.

서비스, 애플리케이션 및 데이터 관리

Azure 클라우드 서비스 구성은 Windows PowerShell 명령줄 인터페이스 또는 이러한 RESTful 인터페이스를 활용하는 사용자 지정 애플리케이션을 경유하여 Azure Portal 또는 SMAPI를 통해 수행됩니다. 이러한 메커니즘을 사용하여 서비스에는 Microsoft Entra ID, Azure Storage, Azure Websites 및 Azure Virtual Network 등이 있습니다.

Virtual Machine–배포 애플리케이션은 필요에 따라 MMC(Microsoft Management Console), 엔터프라이즈 관리 콘솔(예: Microsoft System Center 또는 Windows Intune) 또는 다른 관리 애플리케이션(예: Microsoft SQL Server Management Studio) 등 자체 클라이언트 도구 및 인터페이스를 제공합니다. 이러한 도구는 일반적으로 엔터프라이즈 환경 또는 클라이언트 네트워크에 상주합니다. 이는 직접적이며 상태 저장 연결이 필요한 RDP(원격 데스크톱 프로토콜)와 같은 특정 네트워크 프로토콜에 따라 다를 수 있습니다. 일부는 인터넷을 통해 공개적으로 게시되거나 액세스할 수 없는 웹 기반 인터페이스가 있을 수 있습니다.

다단계 인증, X.509 관리 인증서 및 방화벽 규칙을 사용하여 Azure의 인프라 및 플랫폼 서비스 관리에 대한 액세스를 제한할 수 있습니다. Azure 포털 및 SMAPI는 전송 계층 보안(TLS)이 필요합니다. 그러나 Azure에 배포하는 서비스 및 애플리케이션은 애플리케이션에 따라 적절한 보호 조치를 취해야 합니다. 이러한 메커니즘은 강화된 워크스테이션 구성을 표준화하여 보다 쉽게 자주 사용할 수 있습니다.

보안 지침

일반적으로 클라우드에서 사용할 관리자 워크스테이션을 보호하는 것은 온-프레미스 워크스테이션에 사용되는 방식과 유사합니다. 예를 들어, 빌드 및 제한적인 권한이 최소화됩니다. 클라우드 관리의 몇 가지 고유한 측면은 원격 또는 대역 외 엔터프라이즈 관리와 비슷합니다. 여기에는 자격 증명의 사용 및 감사, 보안 향상된 원격 액세스, 위협 요소 탐지 및 대응이 있습니다.

인증

Azure 로그온 제한을 사용하여 관리 도구에 액세스하기 위한 원본 IP 주소를 제한하고 액세스 요청을 감사할 수 있습니다. Azure가 관리 클라이언트(워크스테이션 및/또는 애플리케이션)를 파악하도록 하려면 Windows PowerShell cmdlet과 같은 고객 개발 도구를 통한 SMAPI와 Azure Portal이 TLS/SSL 인증서 외에도 설치할 클라이언트 쪽 관리 인증서를 요구하도록 구성할 수 있습니다. 또한 관리자 액세스에 대해 다단계 인증을 요구하는 것이 좋습니다.

Azure에 배포하는 일부 애플리케이션 또는 서비스는 최종 사용자와 관리자 액세스를 위한 자체 인증 메커니즘이 있을 수 있지만, 다른 것들은 Microsoft Entra ID를 최대한 활용합니다. AD FS(Active Directory Federation Services)를 통해 자격 증명을 페더레이션할지, 디렉터리 동기화를 사용할지, 클라우드에서 사용자 계정만 관리할지에 따라 Microsoft Identity Manager(Microsoft Entra ID P1 또는 P2의 일부)를 사용하면 리소스 간의 ID 수명 주기를 관리할 수 있습니다.

연결

Azure 가상 네트워크에 보안 클라이언트를 연결하기 위해 몇 가지 메커니즘을 사용할 수 있습니다. 이러한 메커니즘 중 두 가지인 사이트 간 VPN(S2S) 및 지점 및 사이트 간 VPN(P2S)은 암호화 및 터널링에 업계 표준 IPsec(S2S)을 사용할 수 있도록 합니다. Azure가 Azure Portal 등 공용 Azure 서비스 관리에 연결하는 경우 Azure는 HTTPS(Hypertext Transfer Protocol Secure)가 필요합니다.

RD 게이트웨이를 통해 Azure에 연결되지 않은 독립 실행형 강화된 워크스테이션은 SSTP 기반 지점 및 사이트 간 VPN을 사용하여 Azure Virtual Network에 먼저 연결한 다음 VPN 터널에서 개별 가상 머신에 RDP 연결을 설정해야 합니다.

감사 관리 및 정책 적용

일반적으로 관리 프로세스를 보호하는 두 가지 접근 방식 즉, 감사와 정책 적용 등이 있습니다. 두 방식 다 포괄적으로 제어하지만, 모든 상황에서 가능하지 않을 수도 있습니다. 또한 각 접근 방식은 위험, 비용 및 보안 관리와 관련된 노력 등의 수준이 서로 다르며, 특히 개인 및 시스템 아키텍처 모두에 부여되는 신뢰 수준과 관련이 있습니다.

모니터링, 로깅 및 감사는 관리 작업을 추적하고 파악하기 위한 기초를 제공하지만, 생성된 데이터의 양으로 인해 항상 모든 작업을 자세히 감사하지는 않습니다. 그러나 관리 정책의 효율성을 감사하는 것이 최선입니다.

엄격한 액세스 제어를 포함하는 정책은 프로그래밍 방식 메커니즘을 관리자 작업을 관리할 수 있는 장소에 적용하고 모든 가능한 보호 조치가 사용되도록 합니다. 로깅하면 위치 및 시간에서부터 누가 무엇을 했는지까지 적용 기록이 남습니다. 또한 로깅하면 관리자가 정책을 잘 따르고 있는지에 관한 정보를 감사하고 크로스체킹할 수 있으며 활동의 증거를 제공합니다.

클라이언트 구성

강화된 워크스테이션에 대한 세 가지 기본 구성을 지정하는 것이 좋습니다. 이들의 가장 큰 차이점은 비용, 유용성, 접근성이며, 모든 옵션에 걸쳐 비슷한 보안 프로필을 유지합니다. 다음 테이블은 각각에 대한 장점과 위험을 간단히 분석한 내용입니다. ("회사 PC"는 역할에 관계없이 모든 도메인 사용자를 위해 배포되는 표준 데스크톱 PC 구성을 의미합니다.)

구성	이점	단점
독립 실행형 강화된 워크스테이션	밀접하게 제어된 워크스테이션	전용 데스크톱의 비용 증가
-	애플리케이션 악용 위험성 감소	관리 노력 감소
-	업무의 명확한 분할	-
회사 PC의 가상 머신화	하드웨어 비용 감소	-
-	역할 및 애플리케이션의 분리	-

강화된 워크스테이션은 게스트가 아닌 호스트라는 것이 중요하며, 호스트 운영 체제와 하드웨어 사이에 아무 것도 없습니다. "클린 소스 원칙"("보안 출처" 라고도 함)을 따르는 것은 호스트가 가장 강화되어야 함을 의미합니다. 그렇지 않으면 강화된 워크스테이션(게스트)은 호스트 되는 시스템의 공격 대상이 될 수 있습니다.

도구 및 관리용 권한만 있는 강화된 각 워크스테이션에 대한 전용 시스템 이미지를 통해 관리 기능을 세부적으로 구분할 수 있으며, 필수 작업에 필요한 특정 로컬 AD DS GPO를 통해 Azure와 클라우드 애플리케이션을 선택할 수 있습니다.

온-프레미스 인프라가 없는 IT 환경의 경우(예: 모든 서버가 클라우드에 있어서 GPO에 대한 로컬 AD DS 인스턴스에 액세스할 수 없는 경우), Microsoft Intune과 같은 서비스를 사용하면 워크스테이션 구성의 배포 및 관리를 간소화할 수 있습니다.

관리를 위한 독립 실행형 강화된 워크스테이션

독립 실행형 강화된 워크스테이션에서 관리자는 관리 작업에 PC나 랩톱을 사용하고, 비 관리 작업에는 다른 별도의 PC 또는 랩톱을 사용합니다. 독립 실행형 강화된 워크스테이션 시나리오에서(아래 참조) Windows 방화벽(또는 비 Microsoft 클라이언트 방화벽)의 로컬 인스턴스는 RDP와 같이 인바운드 연결을 차단하도록 구성됩니다. 관리자는 강화된 워크스테이션에 로그온하여 VPN을 Azure Virtual Network와 연결한 후 Azure에 연결하는 RDP 세션을 시작할 수 있지만, 회사 PC에 로그온할 수 없으며 RDP를 사용하여 강화된 워크스테이션에 연결할 수 있습니다.

회사 PC의 가상 머신화

독립 실행형 강화된 워크스테이션이 비용상 제한되거나 불편한 경우, 강화된 워크스테이션은 비 관리 작업을 수행하는 데 가상 머신을 호스팅할 수 있습니다.

한 대의 워크스테이션을 사용하여 시스템 관리 및 기타 일상적인 작업을 수행하면서 발생할 수 있는 몇 가지 보안 위험을 방지하기 위해 Windows Hyper-V 가상 머신을 강화된 워크스테이션에 배포할 수 있습니다. 이 가상 머신은 회사 PC로 사용할 수 있습니다. 회사 PC 환경은 호스트로부터 격리할 수 있어, 공격 표면을 줄이고 중요한 관리 작업과 사용자의 일상적인 작업(예: 이메일)를 분리할 수 있습니다.

회사 PC 가상 머신은 보호된 공간에서 실행되고 사용자 애플리케이션을 제공합니다. 호스트는 "정리 소스"로 유지되고 루트 운영 체제에서 엄격한 네트워크 정책을 적용합니다(예: 가상 머신으로부터 RDP 액세스 차단).

모범 사례

Azure에서 애플리케이션 및 데이터를 관리하는 경우 다음의 추가 지침을 고려합니다.

권장 사항 및 금지 사항

워크스테이션이 잠겨 있기 다른 일반적인 보안 요구 사항을 충족 필요가 없다고 가정하지 마세요. 관리자 계정이 일반적으로 처리하는 상승된 액세스 수준으로 인해 위험이 발생할 가능성이 높습니다. 위험 및 대체 안전 조치의 예는 아래 테이블에 나와 있습니다.

안 함	수행
관리자 액세스 또는 기타 비밀(예: TLS/SSL 또는 관리 인증서)에 대한 자격 증명을 메일로 보내지 마세요.	계정 이름 및 음성 암호(음성 메일에는 저장되지 않음)를 제공하여 기밀성을 유지하거나, 클라이언트/서버 인증서의 원격 설치를 수행하거나(암호화된 세션을 통해), 보호된 네트워크 공유에서 다운로드하거나, 이동식 미디어를 통해 직접 배포합니다.
-	관리 인증서 수명 주기를 사전 관리합니다.
암호화되지 않았거나 해시되지 않은 애플리케이션 스토리지(스프레드시트, SharePoint 사이트 또는 파일 공유 등)에 계정 암호를 저장하지 마세요.	보안 관리 원칙 및 시스템 강화 정책을 설정하고, 이를 개발 환경에 적용합니다.
관리자 간 계정 및 암호를 공유하거나, 여러 사용자 계정 또는 서비스, 특히 소셜 미디어 또는 기타 비 관리 작업에 암호를 다시 사용하지 마세요.	Azure 구독을 관리하는 전용 Microsoft 계정(개인 이메일에 사용하지 않는 계정)을 만듭니다.
구성 파일을 전자 메일로 보내지 마세요.	구성 파일 및 프로필은 전자 메일 등 쉽게 손상될 수 있는 메커니즘이 아닌 신뢰할 수 있는 소스(예: 암호화된 USB 플래시 드라이브)로부터 설치해야 합니다.
약하거나 단순한 로그온 암호를 사용하지 마세요.	강력한 암호 정책, 만료 주기(changeon-first-use), 콘솔 시간 제한, 자동 계정 잠금 등을 적용합니다. 암호 자격 증명 모음 액세스용 다단계 인증으로 클라이언트 암호 관리 시스템을 사용합니다.
관리 포트를 인터넷에 노출하지 마세요.	Azure 포트 및 IP 주소를 잠가 관리 액세스를 제한합니다.
-	모든 관리 연결에 대한 방화벽, VPN 및 NAP를 사용합니다.

Azure 작업

Microsoft의 Azure 작업 내에서, Azure의 프로덕션 시스템에 액세스하는 작업 엔지니어 및 고객 지원 담당자는 회사 내부 네트워크 액세스 및 애플리케이션(예: 이메일, 인트라넷 등)을 위해 프로비전되고 VM으로 강화된 워크스테이션 PC를 사용합니다. 모든 관리 워크스테이션 컴퓨터에는 TPM이 있고, 호스트 부트 드라이브는 BitLocker로 암호화되어 있으며, Microsoft의 기본 회사 도메인에 특별 조직 구성 단위(OU)에 가입되어 있습니다.

중앙 집중화된 소프트웨어 업데이트와 함께 그룹 정책을 통해 시스템 강화가 적용됩니다. 감사 및 분석을 위해 이벤트 로그(예: 보안 및 AppLocker)는 관리 워크스테이션에서 수집되며 중앙 위치에 저장됩니다.

또한 2단계 인증을 필요로 하는 Microsoft의 네트워크의 전용 점프 상자는 Azure의 프로덕션 네트워크에 연결하는 데 사용됩니다.

Azure 보안 검사 목록

관리자가 강화된 워크스테이션에서 수행할 수 있는 작업의 수를 최소화하면 개발 및 관리 환경의 공격 노출 영역을 최소화하는 데 도움이 됩니다. 다음과 같은 기술을 사용하여 강화된 워크스테이션을 보호할 수 있습니다.

• 웹 브라우저는 외부 서버와의 광범위한 상호 작용으로 인해 유해한 코드의 주요 진입점입니다. 클라이언트 정책을 검토하고 보호 모드에서 실행하고 추가 기능을 사용하지 않도록 설정하고 파일 다운로드를 사용하지 않도록 설정합니다. 보안 경고가 표시되는지 확인 합니다. 인터넷 영역을 활용하고 적절한 강화를 구성한 신뢰할 수 있는 사이트의 목록을 만듭니다. 다른 모든 사이트 및 ActiveX 및 Java와 같은 브라우저 내 코드를 차단합니다.
• 표준 사용자. 표준 사용자로서 실행하면 다양한 이점을 제공하는 데, 그 중 가장 큰 것은 맬웨어를 통해 관리자 자격 증명을 도용하기가 더욱 어려워진다는 점입니다. 또한 표준 사용자 계정은 루트 운영 체제에서 높은 권한을 가지 않으며, 많은 구성 옵션 및 API는 기본적으로 잠깁니다.
• 코드 서명. 관리자가 사용하는 모든 도구와 스크립트를 코드 서명하면 애플리케이션 잠금 정책을 배포하기 위한 관리 가능형 메커니즘을 제공합니다. 해시는 코드의 빠른 변경으로 크기 조정되지 않으며 파일 경로는 높은 수준의 보안을 제공하지 않습니다. Windows 컴퓨터용 PowerShell 실행 정책을 설정합니다.
• 그룹 정책. 관리(및 다른 모든 사용자로부터 액세스 차단)에 사용되는 모든 도메인 워크스테이션 및 해당 워크스테이션에서 인증된 사용자 계정 관리에 적용되는 전역 관리 정책을 만듭니다.
• 보안이 강화된 프로비전. 무단 변경을 방지하기 위해 초기의 강화된 워크스테이션 이미지를 보호합니다. 암호화 및 격리와 같은 보안 조치를 사용하여 이미지, 가상 머신 및 스크립트를 저장하고 액세스를 제한합니다(감사 가능한 체크 인/체크 아웃 프로세스 사용).
• 패치 적용. 일관성 있는 빌드(또는 개발, 작업 및 기타 관리 작업에 대한 별도 이미지)를 유지하고, 변경 내용 및 맬웨어를 정기적으로 검사하고, 빌드를 최신 상태로 유지 하며, 필요할 때만 컴퓨터를 활성화합니다.
• 거버넌스. AD DS GPO를 사용하여 파일 공유와 같이 모든 관리자의 Windows 인터페이스를 제어합니다. 감사, 모니터링 및 로깅 프로세스에 관리 워크스테이션을 포함합니다. 모든 관리자 및 개발자 액세스 및 사용을 추적합니다.

요약

Azure 클라우드 서비스, Virtual Machines 및 애플리케이션을 관리하기 위해 강화된 워크스테이션 구성을 사용하면 중요한 IT 인프라를 원격으로 관리함으로써 발생할 수 있는 다양한 위험 및 위협을 방지할 수 있습니다. Azure와 Windows 모두 통신, 인증 및 클라이언트 동작을 보호하고 제어하는 데 사용할 수 있는 메커니즘을 제공합니다.

다음 단계

Azure 및 관련 Microsoft 서비스에 대한 보다 일반적인 정보를 제공하기 위해 다음 리소스를 사용할 수 있습니다.

• 권한 있는 액세스 보안 - Azure 관리를 위한 보안 관리 워크스테이션의 설계 및 구축에 대한 기술 세부 정보를 가져옵니다.
• Microsoft 보안 센터 - Azure 패브릭 및 Azure에서 실행되는 워크로드를 보호하는 Azure 플랫폼 기능에 대해 알아봅니다.
• Microsoft 보안 응답 센터 - Azure와 관련된 문제를 비롯한 Microsoft 보안 취약점을 보고하거나 secure@microsoft.com으로 이메일을 보낼 수 있습니다.