Azure Virtual Desktop은 organization 안전하게 유지하기 위한 많은 보안 기능을 포함하는 관리형 가상 데스크톱 서비스입니다. Azure Virtual Desktop의 아키텍처는 사용자를 데스크톱 및 앱에 연결하는 서비스를 구성하는 많은 구성 요소로 구성됩니다.
Azure Virtual Desktop에는 인바운드 네트워크 포트를 열 필요가 없는 Reverse Connect와 같은 많은 기본 제공 고급 보안 기능이 있어 어디서나 원격 데스크톱에 액세스할 수 있는 위험을 줄일 수 있습니다. 또한 이 서비스는 다단계 인증 및 조건부 액세스와 같은 Azure의 다른 많은 보안 기능의 이점을 누릴 수 있습니다. 이 문서에서는 organization 사용자 또는 외부 사용자에게 데스크톱 및 앱을 제공하든 관계없이 Azure Virtual Desktop 배포를 안전하게 유지하기 위해 관리자 권한으로 수행할 수 있는 단계를 설명합니다.
공유 보안 책임
Azure Virtual Desktop 이전에는 원격 데스크톱 서비스와 같은 온-프레미스 가상화 솔루션에서 게이트웨이, 브로커, 웹 액세스 등과 같은 역할에 대한 액세스 권한을 사용자에게 부여해야 합니다. 이러한 역할은 완전히 중복되어야 하며 최대 용량을 처리할 수 있어야 합니다. 관리자는 이러한 역할을 Windows Server 운영 체제의 일부로 설치하고 공용 연결에 액세스할 수 있는 특정 포트와 도메인에 가입해야 했습니다. 배포를 안전하게 유지하기 위해 관리자는 인프라의 모든 것이 유지 관리되고 최신 상태인지 지속적으로 확인해야 했습니다.
그러나 대부분의 클라우드 서비스에는 Microsoft와 고객 또는 파트너 간에 공유된 보안 책임 집합 이 있습니다. Azure Virtual Desktop의 경우 대부분의 구성 요소는 Microsoft 관리형이지만 세션 호스트와 일부 지원 서비스 및 구성 요소는 고객 관리 또는 파트너 관리입니다. Azure Virtual Desktop의 Microsoft 관리형 구성 요소에 대한 자세한 내용은 Azure Virtual Desktop 서비스 아키텍처 및 복원력을 참조하세요.
일부 구성 요소는 이미 사용자 환경에 맞게 보호되지만 organization 또는 고객의 보안 요구 사항에 맞게 다른 영역을 직접 구성해야 합니다. Azure Virtual Desktop 배포의 보안을 담당하는 구성 요소는 다음과 같습니다.
| 구성 요소 | 책임 |
|---|---|
| ID | 고객 또는 파트너 |
| 사용자 디바이스(모바일 및 PC) | 고객 또는 파트너 |
| 앱 보안 | 고객 또는 파트너 |
| 세션 호스트 운영 체제 | 고객 또는 파트너 |
| 배포 구성 | 고객 또는 파트너 |
| 네트워크 제어 | 고객 또는 파트너 |
| 가상화 컨트롤 플레인 | Microsoft |
| 실제 호스트 | Microsoft |
| 실제 네트워크 | Microsoft |
| 물리적 데이터 센터 | Microsoft |
보안 경계
보안 경계는 보안 도메인의 코드와 데이터를 서로 다른 신뢰 수준으로 구분합니다. 예를 들어 커널 모드와 사용자 모드 사이에는 일반적으로 보안 경계가 있습니다. 대부분의 Microsoft 소프트웨어 및 서비스는 네트워크, VM(가상 머신) 및 디바이스의 애플리케이션에서 디바이스를 격리하기 위해 여러 보안 경계에 의존합니다. 다음 표에서는 Windows에 대한 각 보안 경계와 전체 보안을 위해 수행하는 작업을 나열합니다.
| 보안 경계 | 설명 |
|---|---|
| 네트워크 경계 | 권한이 없는 네트워크 엔드포인트는 고객의 디바이스에서 코드 및 데이터에 액세스하거나 변조할 수 없습니다. |
| 커널 경계 | 비관리 사용자 모드 프로세스는 커널 코드 및 데이터에 액세스하거나 변조할 수 없습니다. 관리자-커널은 보안 경계가 아닙니다. |
| 프로세스 경계 | 권한이 없는 사용자 모드 프로세스는 다른 프로세스의 코드 및 데이터에 액세스하거나 변조할 수 없습니다. |
| AppContainer 샌드박스 경계 | AppContainer 기반 샌드박스 프로세스는 컨테이너 기능에 따라 샌드박스 외부의 코드 및 데이터에 액세스하거나 변조할 수 없습니다. |
| 사용자 경계 | 사용자는 권한이 부여되지 않고 다른 사용자의 코드 및 데이터에 액세스하거나 변조할 수 없습니다. |
| 세션 경계 | 사용자 세션은 권한이 부여되지 않고 다른 사용자 세션에 액세스하거나 변조할 수 없습니다. |
| 웹 브라우저 경계 | 권한이 없는 웹 사이트는 동일한 원본 정책을 위반할 수 없으며 Microsoft Edge 웹 브라우저 샌드박스의 네이티브 코드 및 데이터에 액세스하거나 변조할 수 없습니다. |
| 가상 머신 경계 | 권한이 없는 Hyper-V 게스트 가상 머신은 다른 게스트 가상 머신의 코드 및 데이터에 액세스하거나 변조할 수 없습니다. 여기에는 Hyper-V 격리 컨테이너가 포함됩니다. |
| VSM(가상 보안 모드) 경계 | VSM 신뢰할 수 있는 프로세스 또는 enclave 외부에서 실행되는 코드는 신뢰할 수 있는 프로세스 내에서 데이터 및 코드에 액세스하거나 변조할 수 없습니다. |
Azure Virtual Desktop 시나리오에 권장되는 보안 경계
또한 사례별로 보안 경계에 대한 특정 선택을 해야 합니다. 예를 들어 organization 사용자가 앱을 설치하려면 로컬 관리자 권한이 필요한 경우 공유 세션 호스트 대신 개인 데스크톱을 제공해야 합니다. 이러한 사용자는 세션 또는 NTFS 데이터 권한에 대한 보안 경계를 넘거나, 다중 세션 VM을 종료하거나, 서비스를 중단하거나 데이터 손실을 유발할 수 있는 기타 작업을 수행할 수 있으므로 다중 세션 풀된 시나리오에서 사용자에게 로컬 관리자 권한을 부여하지 않는 것이 좋습니다.
관리자 권한이 필요하지 않은 앱이 있는 지식 작업자와 같은 동일한 organization 사용자는 Windows 11 Enterprise 다중 세션과 같은 다중 세션 세션 호스트에 적합한 후보입니다. 이러한 세션 호스트는 여러 사용자가 단일 VM을 공유할 수 있으므로 사용자당 VM의 오버헤드 비용만 있으므로 organization 비용을 절감합니다. FSLogix와 같은 사용자 프로필 관리 제품을 사용하면 서비스 중단을 눈치채지 않고 호스트 풀의 모든 VM을 사용자에게 할당할 수 있습니다. 또한 이 기능을 사용하면 사용량이 많은 시간에 VM을 종료하는 등의 작업을 수행하여 비용을 최적화할 수 있습니다.
다른 조직의 사용자가 배포에 연결해야 하는 경우 Active Directory 및 Microsoft Entra ID 같은 ID 서비스에 대한 별도의 테넌트가 있는 것이 좋습니다. 또한 Azure Virtual Desktop 및 VM과 같은 Azure 리소스를 호스팅하기 위해 해당 사용자를 위한 별도의 구독을 사용하는 것이 좋습니다.
대부분의 경우 다중 세션을 사용하면 비용을 절감할 수 있지만 공유 다중 세션 instance 동시에 액세스할 수 있는 사용자 간의 신뢰 수준에 따라 달라지는 것이 좋습니다. 일반적으로 동일한 organization 속한 사용자는 충분한 신뢰 관계를 갖습니다. 예를 들어 사람들이 공동 작업하고 서로의 개인 정보에 액세스할 수 있는 부서 또는 작업 그룹은 신뢰 수준이 높은 organization.
Windows는 보안 경계 및 컨트롤을 사용하여 사용자 프로세스와 데이터가 세션 간에 격리되도록 합니다. 그러나 Windows는 여전히 사용자가 작업 중인 instance 대한 액세스를 제공합니다.
다중 세션 배포는 organization 안팎의 사용자가 다른 사용자의 개인 정보에 무단으로 액세스하지 못하도록 하는 보안 경계를 추가하는 심층 보안 전략의 이점을 누릴 수 있습니다. 시스템 관리자의 구성 프로세스 오류(예: 공개되지 않은 보안 취약성 또는 아직 패치되지 않은 알려진 취약성)로 인해 무단 데이터 액세스가 발생합니다.
서로 다른 회사 또는 경쟁 회사에서 일하는 사용자에게 동일한 다중 세션 환경에 대한 액세스 권한을 부여하지 않는 것이 좋습니다. 이러한 시나리오에는 네트워크, 커널, 프로세스, 사용자 또는 세션과 같이 공격 또는 남용될 수 있는 몇 가지 보안 경계가 있습니다. 단일 보안 취약성으로 인해 무단 데이터 및 자격 증명 도난, 개인 정보 유출, 신원 도용 및 기타 문제가 발생할 수 있습니다. 가상화된 환경 공급자는 가능한 한 여러 개의 강력한 보안 경계와 추가 안전 기능을 사용하는 잘 설계된 시스템을 제공할 책임이 있습니다.
이러한 잠재적 위협을 줄이려면 내결함성 구성, 패치 관리 디자인 프로세스 및 정기적인 패치 배포 일정이 필요합니다. 심층 방어 원칙을 따르고 환경을 별도로 유지하는 것이 좋습니다.
다음 표에서는 각 시나리오에 대한 권장 사항을 요약합니다.
| 신뢰 수준 시나리오 | 권장되는 해결 방법 |
|---|---|
| 표준 권한이 있는 한 organization 사용자 | Windows Enterprise OS(다중 세션 운영 체제)를 사용합니다. |
| 사용자에게 관리 권한이 필요합니다. | 개인 호스트 풀을 사용하고 각 사용자에게 자신의 세션 호스트를 할당합니다. |
| 서로 다른 조직에서 연결하는 사용자 | 별도의 Azure 테넌트 및 Azure 구독 |
Azure 보안 모범 사례
Azure Virtual Desktop은 Azure의 서비스입니다. Azure Virtual Desktop 배포의 안전을 최대화하려면 주변 Azure 인프라 및 관리 평면도 보호해야 합니다. 인프라를 보호하려면 Azure Virtual Desktop이 더 큰 Azure 에코시스템에 어떻게 적합한지 고려합니다. Azure 에코시스템에 대한 자세한 내용은 Azure 보안 모범 사례 및 패턴을 참조하세요.
오늘날의 위협 환경에는 보안 접근 방식을 염두에 둔 디자인이 필요합니다. 이상적으로는 데이터와 네트워크가 손상되거나 공격되지 않도록 보호하기 위해 컴퓨터 네트워크 전체에 계층화된 일련의 보안 메커니즘 및 컨트롤을 빌드하는 것이 좋습니다. 이러한 유형의 보안 디자인은 미국 CISA(사이버 보안 및 인프라 보안 기관)가 심층 방어를 호출하는 것입니다.
다음 섹션에는 Azure Virtual Desktop 배포를 보호하기 위한 권장 사항이 포함되어 있습니다.
클라우드용 Microsoft Defender 사용
클라우드의 향상된 보안 기능에 Microsoft Defender 사용하도록 설정하는 것이 좋습니다.
- 취약성을 관리합니다.
- PCI 보안 표준 위원회와 같은 일반적인 프레임워크의 준수를 평가합니다.
- 환경의 전반적인 보안을 강화합니다.
자세한 내용은 향상된 보안 기능 사용을 참조하세요.
보안 점수 개선
보안 점수는 전반적인 보안을 개선하기 위한 권장 사항 및 모범 사례 조언을 제공합니다. 이러한 권장 사항은 가장 중요한 권장 사항을 선택하는 데 도움이 되도록 우선 순위가 지정되며, 빠른 수정 옵션을 사용하면 잠재적인 취약성을 신속하게 해결할 수 있습니다. 또한 이러한 권장 사항은 시간이 지남에 따라 업데이트되어 환경의 보안을 유지하는 가장 좋은 방법을 최신 상태로 유지합니다. 자세한 내용은 클라우드용 Microsoft Defender 보안 점수 향상을 참조하세요.
다단계 인증 필요
Azure Virtual Desktop의 모든 사용자 및 관리자에게 다단계 인증을 요구하면 전체 배포의 보안이 향상됩니다. 자세한 내용은 Azure Virtual Desktop에 Microsoft Entra 다단계 인증 사용을 참조하세요.
조건부 액세스 사용
조건부 액세스를 사용하도록 설정하면 사용자에게 Azure Virtual Desktop 환경에 대한 액세스 권한을 부여하기 전에 위험을 관리할 수 있습니다. 액세스 권한을 부여할 사용자를 결정할 때는 사용자가 누구인지, 로그인하는 방법 및 사용 중인 디바이스도 고려하는 것이 좋습니다.
감사 로그 수집
감사 로그 수집을 사용하도록 설정하면 Azure Virtual Desktop과 관련된 사용자 및 관리자 활동을 볼 수 있습니다. 주요 감사 로그의 몇 가지 예는 다음과 같습니다.
Azure Monitor를 사용하여 사용 현황 모니터링
Azure Monitor를 사용하여 Azure Virtual Desktop 서비스의 사용량 및 가용성을 모니터링합니다. 이벤트에 영향을 주는 서비스가 있을 때마다 알림을 수신하도록 Azure Virtual Desktop 서비스에 대한 서비스 상태 경고를 만드는 것이 좋습니다.
세션 호스트 암호화
관리 디스크 암호화 옵션을 사용하여 세션 호스트를 암호화하여 저장된 데이터를 무단 액세스로부터 보호합니다.
세션 호스트 보안 모범 사례
세션 호스트는 Azure 구독 및 가상 네트워크 내에서 실행되는 가상 머신입니다. Azure Virtual Desktop 배포의 전반적인 보안은 세션 호스트에 배치한 보안 컨트롤에 따라 달라집니다. 이 섹션에서는 세션 호스트를 안전하게 유지하기 위한 모범 사례를 설명합니다.
끝점 보호 사용
알려진 악성 소프트웨어로부터 배포를 보호하려면 모든 세션 호스트에서 엔드포인트 보호를 사용하도록 설정하는 것이 좋습니다. Windows Defender 바이러스 백신 또는 타사 프로그램을 사용할 수 있습니다. 자세한 내용은 VDI 환경에서 Windows Defender 바이러스 백신 대한 배포 가이드를 참조하세요.
FSLogix 또는 가상 하드 디스크 파일을 탑재하는 다른 솔루션과 같은 프로필 솔루션의 경우 해당 파일 확장자를 제외하는 것이 좋습니다. FSLogix 제외에 대한 자세한 내용은 바이러스 백신 파일 및 폴더 제외 구성을 참조하세요.
엔드포인트 검색 및 응답 제품 설치
고급 검색 및 응답 기능을 제공하려면 EDR(엔드포인트 검색 및 응답) 제품을 설치하는 것이 좋습니다. 클라우드용 Microsoft Defender 사용하도록 설정된 서버 운영 체제의 경우 EDR 제품을 설치하면 엔드포인트용 Microsoft Defender 배포됩니다. 클라이언트 운영 체제의 경우 해당 엔드포인트에 엔드포인트용 Microsoft Defender 또는 타사 제품을 배포할 수 있습니다.
위협 및 취약성 관리 평가 사용
운영 체제 및 애플리케이션에 존재하는 소프트웨어 취약성을 식별하는 것은 환경을 안전하게 유지하는 데 중요합니다. 클라우드용 Microsoft Defender 엔드포인트용 Microsoft Defender 위협 및 취약성 관리 솔루션을 통해 문제 지점을 식별하는 데 도움이 될 수 있습니다. 클라우드 및 엔드포인트용 Microsoft Defender Microsoft Defender 사용하는 것이 좋습니다.
사용자 환경의 소프트웨어 취약성 패치
취약성을 식별한 후에는 패치해야 합니다. 이는 실행 중인 운영 체제, 내부에 배포된 애플리케이션 및 새 머신을 만드는 이미지를 포함하는 가상 환경에도 적용됩니다. 공급업체 패치 알림 통신을 따르고 적시에 패치를 적용합니다. 새로 배포된 컴퓨터가 가능한 한 안전하게 유지되도록 기본 이미지를 매월 패치하는 것이 좋습니다.
최대 비활성 시간 및 연결 끊기 정책 설정
사용자가 비활성 상태일 때 로그아웃하면 리소스가 유지되고 권한이 없는 사용자가 액세스할 수 없습니다. 시간 제한은 사용자 생산성과 리소스 사용량의 균형을 맞추는 것이 좋습니다. 상태 비저장 애플리케이션과 상호 작용하는 사용자의 경우 컴퓨터를 끄고 리소스를 보존하는 보다 적극적인 정책을 고려합니다. 시뮬레이션 또는 CAD 렌더링과 같이 사용자가 유휴 상태인 경우 계속 실행되는 장기 실행 애플리케이션의 연결을 끊으면 사용자의 작업이 중단되고 컴퓨터를 다시 시작해야 할 수도 있습니다.
유휴 세션에 대한 화면 잠금 설정
유휴 시간 동안 머신의 화면을 잠그도록 Azure Virtual Desktop을 구성하고 잠금을 해제하기 위해 인증을 요구하여 원치 않는 시스템 액세스를 방지할 수 있습니다.
계층화된 관리자 액세스 설정
사용자에게 가상 데스크톱에 대한 액세스 권한을 부여하지 않는 것이 좋습니다. 소프트웨어 패키지가 필요한 경우 Microsoft Intune 같은 구성 관리 유틸리티를 통해 사용할 수 있도록 하는 것이 좋습니다. 다중 세션 환경에서는 사용자가 소프트웨어를 직접 설치하지 않도록 하는 것이 좋습니다.
어떤 사용자가 어떤 리소스에 액세스해야 하는지 고려
세션 호스트를 기존 데스크톱 배포의 확장으로 고려합니다. 네트워크 세분화 및 필터링 사용과 같이 사용자 환경의 다른 데스크톱과 동일한 방식으로 네트워크 리소스에 대한 액세스를 제어하는 것이 좋습니다. 기본적으로 세션 호스트는 인터넷의 모든 리소스에 연결할 수 있습니다. Azure Firewall, 네트워크 가상 어플라이언스 또는 프록시를 사용하는 등 여러 가지 방법으로 트래픽을 제한할 수 있습니다. 트래픽을 제한해야 하는 경우 Azure Virtual Desktop이 제대로 작동할 수 있도록 적절한 규칙을 추가해야 합니다.
Microsoft 365 앱 보안 관리
세션 호스트를 보호하는 것 외에도 내부에서 실행되는 애플리케이션을 보호하는 것이 중요합니다. Microsoft 365 앱은 세션 호스트에 배포된 가장 일반적인 애플리케이션 중 일부입니다. Microsoft 365 배포 보안을 개선하려면 엔터프라이즈용 Microsoft 365 앱 보안 정책 관리자를 사용하는 것이 좋습니다. 이 도구는 더 많은 보안을 위해 배포에 적용할 수 있는 정책을 식별합니다. 또한 Security Policy Advisor는 보안 및 생산성에 미치는 영향에 따라 정책을 권장합니다.
사용자 프로필 보안
사용자 프로필에는 중요한 정보가 포함될 수 있습니다. 특히 FSLogix 프로필 컨테이너 를 사용하여 사용자 프로필을 SMB 공유의 가상 하드 디스크 파일에 저장하는 경우 사용자 프로필에 액세스할 수 있는 사용자 및 액세스 방법을 제한해야 합니다. SMB 공유 공급자에 대한 보안 권장 사항을 따라야 합니다. 예를 들어 Azure Files 사용하여 이러한 가상 하드 디스크 파일을 저장하는 경우 프라이빗 엔드포인트를 사용하여 Azure 가상 네트워크 내에서만 액세스할 수 있도록 할 수 있습니다.
세션 호스트에 대한 기타 보안 팁
운영 체제 기능을 제한하여 세션 호스트의 보안을 강화할 수 있습니다. 수행할 수 있는 몇 가지 작업은 다음과 같습니다.
원격 데스크톱 세션에서 드라이브, 프린터 및 USB 디바이스를 사용자의 로컬 디바이스로 리디렉션하여 디바이스 리디렉션을 제어합니다. 이러한 기능을 사용하지 않도록 설정해야 하는 경우 보안 요구 사항을 평가하고 검사 것이 좋습니다.
로컬 및 원격 드라이브 매핑을 숨겨 Windows Explorer 액세스를 제한합니다. 이렇게 하면 사용자가 시스템 구성 및 사용자에 대한 원치 않는 정보를 검색할 수 없습니다.
사용자 환경의 세션 호스트에 대한 직접 RDP 액세스를 방지합니다. 관리 또는 문제 해결을 위해 직접 RDP 액세스가 필요한 경우 Just-In-Time 액세스를 사용하도록 설정하여 세션 호스트의 잠재적 공격 노출 영역을 제한합니다.
로컬 및 원격 파일 시스템에 액세스할 때 사용자에게 제한된 권한을 부여합니다. 로컬 및 원격 파일 시스템에서 최소 권한으로 액세스 제어 목록을 사용하도록 하여 권한을 제한할 수 있습니다. 이렇게 하면 사용자는 필요한 항목에만 액세스할 수 있으며 중요한 리소스를 변경하거나 삭제할 수 없습니다.
세션 호스트에서 원치 않는 소프트웨어가 실행되지 않도록 방지합니다. RemoteApp은 보안 기능이 아니며, 이 기능을 사용하면 애플리케이션 그룹에 게시된 애플리케이션 이외의 애플리케이션을 시작할 수 없습니다. 허용하는 애플리케이션만 세션 호스트에서 실행할 수 있도록 하려면 App Control 또는 AppLocker와 같은 Windows용 애플리케이션 컨트롤 기능을 사용할 수 있습니다.
신뢰할 수 있는 시작
신뢰할 수 있는 시작은 루트킷, 부팅 키트 및 커널 수준 맬웨어와 같은 공격 벡터를 통해 스택 최하위 위협과 같은 지속적인 공격 기술로부터 보호하기 위한 향상된 보안 기능을 갖춘 Azure VM입니다. 확인된 부팅 로더, OS 커널 및 드라이버를 사용하여 VM을 안전하게 배포할 수 있으며 VM에서 키, 인증서 및 비밀을 보호할 수도 있습니다. Azure 가상 머신에 대한 신뢰할 수 있는 시작에서 신뢰할 수 있는 시작에 대해 자세히 알아봅니다.
Azure Portal 사용하여 세션 호스트를 추가하는 경우 기본 보안 유형은 신뢰할 수 있는 가상 머신입니다. 이렇게 하면 VM이 Windows 11 대한 필수 요구 사항을 충족합니다. 이러한 요구 사항에 대한 자세한 내용은 가상 머신 지원을 참조하세요.
Azure 기밀 컴퓨팅 가상 머신
Azure 기밀 컴퓨팅 가상 머신에 대한 Azure Virtual Desktop 지원은 사용자의 가상 데스크톱이 메모리에서 암호화되고, 사용 중으로 보호되며, 하드웨어 신뢰 루트에 의해 지원되도록 합니다.
Azure Virtual Desktop을 사용하여 기밀 가상 머신을 배포하면 사용자가 다른 가상 머신, 하이퍼바이저 및 호스트 OS로부터 격리를 강화하는 하드웨어 기반 격리를 사용하는 세션 호스트의 Microsoft 365 및 기타 애플리케이션에 액세스할 수 있습니다. 메모리 암호화 키는 소프트웨어에서 읽을 수 없는 CPU 내의 전용 보안 프로세서에 의해 생성되고 보호됩니다. 사용 가능한 VM 크기를 비롯한 자세한 내용은 Azure 기밀 컴퓨팅 개요를 참조하세요.
다음 운영 체제는 활성 지원 버전에 대해 Azure Virtual Desktop에서 기밀 가상 머신이 있는 세션 호스트로 사용할 수 있도록 지원됩니다. 지원 날짜는 Microsoft 수명 주기 정책을 참조하세요.
- Windows 11 Enterprise
- Windows 11 Enterprise 다중 세션
- Windows 10 Enterprise
- Windows 10 엔터프라이즈 다중 세션
- Windows Server 2022
- Windows Server 2019
Azure Virtual Desktop을 배포하거나 호스트 풀에 세션 호스트를 추가할 때 기밀 가상 머신을 사용하여 세션 호스트를 만들 수 있습니다.
운영 체제 디스크 암호화
운영 체제 디스크 암호화는 디스크 암호화 키를 기밀 컴퓨팅 VM의 TPM(신뢰할 수 있는 플랫폼 모듈)에 바인딩하는 추가 암호화 계층입니다. 이 암호화를 통해 디스크 콘텐츠는 VM에서만 액세스할 수 있습니다. 무결성 모니터링을 사용하면 정의된 기준에서 증명이 실패하여 VM이 부팅되지 않은 경우 암호화 증명 및 VM 부팅 무결성 및 모니터링 경고 확인이 가능합니다. 무결성 모니터링에 대한 자세한 내용은 클라우드 통합에 대한 Microsoft Defender 참조하세요. 호스트 풀을 만들거나 호스트 풀에 세션 호스트를 추가할 때 기밀 VM을 사용하여 세션 호스트를 만들 때 기밀 컴퓨팅 암호화를 사용하도록 설정할 수 있습니다.
보안 부팅
보안 부팅은 플랫폼 펌웨어가 맬웨어 기반 루트킷 및 부팅 키트로부터 펌웨어를 보호하는 것을 지원하는 모드입니다. 이 모드에서는 서명된 운영 체제 및 드라이버만 부팅할 수 있습니다.
원격 증명을 사용하여 부팅 무결성 모니터링
원격 증명은 VM의 상태를 검사 좋은 방법입니다. 원격 증명은 측정된 부팅 레코드가 존재하고 정품이며 vTPM(가상 신뢰할 수 있는 플랫폼 모듈)에서 발생했는지 확인합니다. 상태 검사 플랫폼이 올바르게 시작되었다는 암호화 확실성을 제공합니다.
vTPM
vTPM은 VM당 TPM의 가상 instance 있는 TPM(하드웨어 신뢰할 수 있는 플랫폼 모듈)의 가상화된 버전입니다. vTPM은 VM의 전체 부팅 체인(UEFI, OS, 시스템 및 드라이버)의 무결성 측정을 수행하여 원격 증명을 가능하게 합니다.
vTPM에서 VM에서 원격 증명을 사용하도록 설정하는 것이 좋습니다. vTPM을 사용하도록 설정하면 미사용 데이터를 보호하기 위해 전체 볼륨 암호화를 제공하는 Azure Disk Encryption을 사용하여 BitLocker 기능을 사용하도록 설정할 수도 있습니다. vTPM을 사용하는 모든 기능은 비밀이 특정 VM에 바인딩됩니다. 사용자가 풀된 시나리오에서 Azure Virtual Desktop 서비스에 연결하는 경우 사용자는 호스트 풀의 모든 VM으로 리디렉션될 수 있습니다. 기능 설계 방법에 따라 영향을 미칠 수 있습니다.
참고
BitLocker는 FSLogix 프로필 데이터를 저장하는 특정 디스크를 암호화하는 데 사용하면 안 됩니다.
가상화 기반 보안
VBS(가상화 기반 보안)는 하이퍼바이저를 사용하여 OS에 액세스할 수 없는 안전한 메모리 영역을 만들고 격리합니다. Hypervisor-Protected HVCI(코드 무결성) 및 Windows Defender Credential Guard는 모두 VBS를 사용하여 취약성으로부터 향상된 보호를 제공합니다.
Hypervisor-Protected 코드 무결성
HVCI는 VBS를 사용하여 악의적이거나 확인되지 않은 코드의 삽입 및 실행으로부터 Windows 커널 모드 프로세스를 보호하는 강력한 시스템 완화 방법입니다.
Windows Defender Credential Guard
Windows Defender Credential Guard를 사용하도록 설정합니다. Windows Defender Credential Guard는 VBS를 사용하여 권한 있는 시스템 소프트웨어만 액세스할 수 있도록 비밀을 격리하고 보호합니다. 이렇게 하면 Pass-the-Hash 공격과 같은 이러한 비밀 및 자격 증명 도난 공격에 대한 무단 액세스를 방지할 수 있습니다. 자세한 내용은 Credential Guard 개요를 참조하세요.
Windows Defender 응용 프로그램 제어
Windows Defender 애플리케이션 제어를 사용하도록 설정합니다. Windows Defender 애플리케이션 제어는 맬웨어 및 기타 신뢰할 수 없는 소프트웨어로부터 디바이스를 보호하도록 설계되었습니다. 알고 있는 승인된 코드만 실행할 수 있도록 하여 악성 코드가 실행되지 않도록 방지합니다. 자세한 내용은 Windows용 애플리케이션 제어를 참조하세요.
참고
Windows Defender Access Control 사용하는 경우 디바이스 수준에서만 정책을 대상으로 지정하는 것이 좋습니다. 개별 사용자에게 정책을 대상으로 지정할 수 있지만 정책이 적용되면 디바이스의 모든 사용자에게 동일하게 영향을 줍니다.
Windows 업데이트
Windows 업데이트 업데이트를 사용하여 세션 호스트를 최신 상태로 유지합니다. Windows 업데이트 디바이스를 최신 상태로 유지하는 안전한 방법을 제공합니다. 엔드 투 엔드 보호는 프로토콜 교환 조작을 방지하고 업데이트에 승인된 콘텐츠만 포함하도록 합니다. Windows 업데이트 대한 적절한 액세스를 얻으려면 일부 보호된 환경에 대한 방화벽 및 프록시 규칙을 업데이트해야 할 수 있습니다. 자세한 내용은 Windows 업데이트 보안을 참조하세요.
다른 OS 플랫폼의 원격 데스크톱 클라이언트 및 업데이트
다른 OS 플랫폼의 Azure Virtual Desktop 서비스에 액세스하는 데 사용할 수 있는 원격 데스크톱 클라이언트에 대한 소프트웨어 업데이트는 해당 플랫폼의 보안 정책에 따라 보호됩니다. 모든 클라이언트 업데이트는 플랫폼에서 직접 제공됩니다. 자세한 내용은 각 앱에 대한 각 저장소 페이지를 참조하세요.