다음을 통해 공유


Azure Virtual Desktop 배포에 제로 트러스트 원칙 적용

이 문서에서는 다음과 같은 방법으로 Azure Virtual Desktop 배포에 제로 트러스트 원칙을 적용하는 단계를 제공합니다.

제로 트러스트 원칙 정의 Met by
명시적으로 확인 항상 사용 가능한 모든 데이터 포인트를 기반으로 인증하고 권한을 부여합니다. Azure Virtual Desktop 사용자의 ID 및 엔드포인트를 확인하고 세션 호스트에 대한 액세스를 보호합니다.
최소 권한 액세스 사용 JIT/JEA(Just-In-Time and Just-Enough-Access), 위험 기반 적응 정책 및 데이터 보호를 사용하여 사용자 액세스를 제한합니다.
  • 세션 호스트 및 해당 데이터에 대한 액세스를 제한합니다.
  • 스토리지: 미사용 데이터, 전송 중인 데이터, 사용 중인 데이터 등 세 가지 모드로 데이터를 보호합니다.
  • VNet(가상 네트워크): Azure Firewall을 사용하여 허브와 스포크 VNet 간에 허용되는 네트워크 트래픽 흐름을 지정합니다.
  • 가상 머신: RBAC(역할 기반 액세스 제어)를 사용합니다.
위반 가정 미치는 영향 및 세그먼트 액세스를 최소화합니다. 엔드투엔드 암호화를 확인하고, 분석을 사용하여 가시성을 확보하고, 위협 탐지를 추진하고, 방어를 향상시킵니다.
  • Azure Virtual Desktop 배포의 구성 요소를 격리합니다.
  • 스토리지: 자동화된 위협 탐지 및 보호를 위해 Storage용 Defender를 사용합니다.
  • VNet: Azure Firewall을 사용하여 워크로드 간의 트래픽 흐름을 방지합니다.
  • 가상 머신: 엔드 투 엔드 암호화에 이중 암호화를 사용하고, 호스트에서 암호화를 사용하도록 설정하고, 가상 머신에 대한 보안 유지 관리를 사용하고, 위협 탐지를 위해 서버용 Microsoft Defender를 사용합니다.
  • Azure Virtual Desktop: Azure Virtual Desktop 보안, 거버넌스, 관리 및 모니터링 기능을 사용하여 방어를 개선하고 세션 호스트 분석을 수집합니다.

Azure IaaS 환경에서 제로 트러스트 원칙을 적용하는 방법에 대한 자세한 내용은 Azure IaaS에 제로 트러스트 원칙 적용 개요를 참조하세요.

참조 아키텍처

이 문서에서는 허브 및 스포크에 대한 다음 참조 아키텍처를 사용하여 일반적으로 배포되는 환경과 인터넷을 통해 사용자의 액세스를 통해 Azure Virtual Desktop에 대한 제로 트러스트 원칙을 적용하는 방법을 보여 줍니다. Azure Virtual WAN 아키텍처는 Azure Virtual Desktop용 RDP Shortpath를 사용하여 관리되는 네트워크에 대한 프라이빗 액세스 외에도 지원됩니다.

Azure Virtual Desktop에 대한 참조 아키텍처의 다이어그램.

Azure Virtual Desktop용 Azure 환경에는 다음이 포함됩니다.

구성 요소 설명
A Azure Virtual Desktop 사용자 프로필용 Azure Storage Services.
B 연결 허브 VNet.
C Azure Virtual Desktop 세션이 있는 스포크 VNet은 가상 머신 기반 워크로드를 호스트합니다.
D Azure Virtual Desktop 컨트롤 플레인.
E Azure Virtual Desktop 관리 평면.
F Microsoft Entra ID, 클라우드용 Microsoft Defender, RBAC(역할 기반 액세스 제어) 및 Azure Monitor를 포함한 종속 PaaS 서비스입니다.
G Azure Compute 갤러리.

Azure 환경에 액세스하는 사용자 또는 관리자는 인터넷, 사무실 위치 또는 온-프레미스 데이터 센터에서 시작됩니다.

참조 아키텍처는 Azure Virtual Desktop 클라우드 채택 프레임워크 엔터프라이즈 규모 랜딩 존에 설명된 아키텍처에 맞춥니다.

논리 아키텍처

이 다이어그램에서는 Azure Virtual Desktop 배포를 위한 Azure 인프라가 Microsoft Entra ID 테넌트 내에 포함되어 있습니다.

Microsoft Entra ID 테넌트에 있는 Azure Virtual Desktop의 구성 요소 다이어그램

논리 아키텍처의 요소는 다음과 같습니다.

  • Azure Virtual Desktop에 대한 Azure 구독

    각 구독에 네트워크 구독 또는 보안 구독과 같은 서로 다른 역할을 보유할 수 있는 둘 이상의 구독에 리소스를 배포할 수 있습니다. 이는 클라우드 채택 프레임워크 및 Azure 랜딩 존에 설명되어 있습니다. 다른 구독은 프로덕션, 개발 및 테스트 환경과 같은 다양한 환경을 보유할 수도 있습니다. 환경을 분리하려는 방법과 각 환경에 있는 리소스 수에 따라 달라집니다. 관리 그룹을 사용하여 하나 이상의 구독을 함께 관리할 수 있습니다. 이렇게 하면 각 구독을 개별적으로 설정하는 대신 RBAC 및 Azure 정책을 사용하여 사용 권한을 구독 그룹에 적용할 수 있습니다.

  • Azure Virtual Desktop 리소스 그룹

    Azure Virtual Desktop 리소스 그룹은 Key Vault, Azure Virtual Desktop 서비스 개체 및 프라이빗 엔드포인트를 격리합니다.

  • 스토리지 리소스 그룹

    스토리지 리소스 그룹은 Azure Files 서비스 프라이빗 엔드포인트 및 데이터 집합을 격리합니다.

  • 세션 호스트 가상 머신 리소스 그룹

    전용 리소스 그룹은 가상 머신, 디스크 암호화 집합 및 애플리케이션 보안 그룹을 호스트하는 세션에 대한 가상 머신을 격리합니다.

  • 스포크 VNet 리소스 그룹

    전용 리소스 그룹은 스포크 VNet 리소스와 조직의 네트워킹 전문가가 관리할 수 있는 네트워크 보안 그룹을 격리합니다.

이 문서의 내용

이 문서에서는 Azure Virtual Desktop 참조 아키텍처 전체에서 제로 트러스트 원칙을 적용하는 단계를 안내합니다.

단계 작업 적용된 제로 트러스트 원칙
1 제로 트러스트 사용하여 ID를 보호합니다. 명시적으로 확인
2 제로 트러스트 사용하여 엔드포인트를 보호합니다. 명시적으로 확인
3 Azure Virtual Desktop 스토리지 리소스에 제로 트러스트 원칙을 적용합니다. 명시적으로 확인
최소 권한 액세스 사용
위반 가정
4 허브 및 스포크 Azure Virtual Desktop VNet에 제로 트러스트 원칙을 적용합니다. 명시적으로 확인
최소 권한 액세스 사용
위반 가정
5 Azure Virtual Desktop 세션 호스트에 제로 트러스트 원칙을 적용합니다. 명시적으로 확인
최소 권한 액세스 사용
위반 가정
6 Azure Virtual Desktop에 보안, 거버넌스 및 규정 준수를 배포합니다. 위반 가정
7 Azure Virtual Desktop에 보안 관리 및 모니터링을 배포합니다. 위반 가정

1단계: 제로 트러스트 사용하여 ID 보호

Azure Virtual Desktop에서 사용되는 ID에 제로 트러스트 원칙을 적용하려면 다음을 수행합니다.

2단계: 제로 트러스트 사용하여 엔드포인트 보호

엔드포인트는 사용자가 Azure Virtual Desktop 환경 및 세션 호스트 가상 머신에 액세스하는 디바이스입니다. 엔드포인트 통합 개요지침을 사용하고 엔드포인트용 Microsoft Defender 및 Microsoft Endpoint Manager를 사용하여 엔드포인트가 보안 및 규정 준수 요구 사항을 준수하도록 합니다.

3단계: Azure Virtual Desktop 스토리지 리소스에 제로 트러스트 원칙 적용

Azure Virtual Desktop 배포에서 사용되는 스토리지 리소스에 대해 Azure의 Storage에 제로 트러스트 원칙 적용의 단계를 구현합니다. 다음 단계를 수행하면 다음을 수행할 수 있습니다.

  • 미사용, 전송 중 및 사용 중인 Azure Virtual Desktop 데이터를 보호합니다.
  • 최소 권한으로 사용자를 확인하고 스토리지 데이터에 대한 액세스를 제어합니다.
  • 스토리지 계정에 대한 프라이빗 엔드포인트를 구현합니다.
  • 네트워크 컨트롤을 사용하여 중요한 데이터를 논리적으로 분리합니다. 다른 호스트 풀에 대한 별도의 스토리지 계정 및 MSIX 앱 연결 파일 공유와 같은 기타 용도와 같은 경우와 같습니다.
  • 자동화된 위협 방지를 위해 Defender for Storage를 사용합니다.

참고 항목

일부 디자인 에서 Azure NetApp 파일 은 SMB 공유를 통해 Azure Virtual Desktop용 FSLogix 프로필에 대해 선택한 스토리지 서비스입니다. Azure NetApp Files는 위임된 서브넷 및 보안 벤치마크 포함하는 기본 제공 보안 기능을 제공합니다.

4단계: 허브 및 스포크 Azure Virtual Desktop VNet에 제로 트러스트 원칙 적용

허브 VNet은 여러 스포크 가상 네트워크에 대한 연결의 중심 지점입니다. 세션 호스트에서 아웃바운드 트래픽을 필터링하는 데 사용되는 허브 VNet에 대해 Azure의 허브 가상 네트워크에 제로 트러스트 원칙 적용의 단계를 구현합니다.

스포크 VNet은 Azure Virtual Desktop 워크로드를 격리하고 세션 호스트 가상 머신을 포함합니다. 세션 호스트/가상 머신을 포함하는 스포크 VNet에 대해 Azure의 스포크 가상 네트워크에 제로 트러스트 원칙 적용의 단계를 구현합니다.

각 서브넷에 대해 Azure Virtual Desktop에 필요한 URL을 사용하여 NSG를 사용하여 별도의 VNet에서 다른 호스트 풀을 격리합니다. 프라이빗 엔드포인트를 배포할 때 해당 역할에 따라 VNet의 적절한 서브넷에 배치합니다.

Azure Firewall 또는 NVA(네트워크 가상 어플라이언스) 방화벽을 사용하여 아웃바운드 트래픽 Azure Virtual Desktop 세션 호스트를 제어하고 제한할 수 있습니다. Azure Firewall에 대한 지침을 사용하여 세션 호스트를 보호합니다. 호스트 풀 서브넷에 연결된 UDR(사용자 정의 경로)사용하여 방화벽을 통해 트래픽을 강제로 실행합니다. 방화벽을 구성하는 데 필요한 Azure Virtual Desktop URL 의 전체 목록을 검토합니다. Azure Firewall은 이 구성을 간소화하기 위해 Azure Virtual Desktop FQDN 태그 를 제공합니다.

5단계: Azure Virtual Desktop 세션 호스트에 제로 트러스트 원칙 적용

세션 호스트는 스포크 VNet 내에서 실행되는 가상 머신입니다. 세션 호스트에 대해 생성되는 가상 머신에 대해 Azure의 가상 머신에 제로 트러스트 적용 원칙의 단계를 구현합니다.

AD DS(Active Directory 도메인 Services)에서 그룹 정책으로 관리되는 경우 호스트 풀에 OU(조직 구성 단위)가 있어야 합니다.

Microsoft Defender For Endpoint는 엔터프라이즈 네트워크가 고급 위협을 방지, 검색, 조사 및 대응하는 데 도움이 되도록 설계된 엔터프라이즈 엔드포인트 보안 플랫폼입니다. 세션 호스트에 엔드포인트용 Microsoft Defender 사용할 수 있습니다. 자세한 내용은 VDI(가상 데스크톱 인프라) 디바이스를 참조 하세요.

6단계: Azure Virtual Desktop에 보안, 거버넌스 및 규정 준수 배포

Azure Virtual Desktop 서비스를 사용하면 프라이빗 엔드포인트를 만들어 Azure Private Link를 사용하여 리소스에 비공개로 연결할 수 있습니다.

Azure Virtual Desktop에는 세션 호스트를 보호하기 위한 기본 제공 고급 보안 기능이 있습니다. 그러나 Azure Virtual Desktop 환경 및 세션 호스트의 보안 방어를 개선하려면 다음 문서를 참조하세요.

또한 Microsoft의 클라우드 채택 프레임워크 따라 Azure Virtual Desktop 랜딩 존의 보안, 거버넌스 및 규정 준수에 대한 주요 디자인 고려 사항 및 권장 사항을 참조하세요.

7단계: Azure Virtual Desktop에 보안 관리 및 모니터링 배포

관리 및 지속적인 모니터링은 Azure Virtual Desktop 환경이 악의적인 동작에 관여하지 않도록 하는 데 중요합니다. Azure Virtual Desktop Insights를 사용하여 데이터를 기록하고 진단 및 사용량 현황 데이터를 보고합니다.

다음 추가 문서를 참조하세요.

Azure Virtual Desktop 배포 보안

학습 Azure Virtual Desktop 배포 보호
Microsoft Azure Virtual Desktop 배포에서 애플리케이션 및 데이터를 안전하게 유지하는 데 도움이 되는 Microsoft 보안 기능에 대해 알아봅니다.

Azure를 사용하여 Azure Virtual Desktop 배포 보호

학습 Azure를 사용하여 Azure Virtual Desktop 배포 보호
Azure Firewall을 배포하고, Azure Firewall을 통해 모든 네트워크 트래픽을 라우팅하고, 규칙을 구성합니다. Azure Virtual Desktop 호스트 풀에서 서비스로의 아웃바운드 네트워크 트래픽은 Azure Firewall을 통해 라우팅됩니다.

Azure Virtual Desktop에 대한 액세스 및 보안 관리

학습 Azure Virtual Desktop에 대한 액세스 및 보안 관리
Azure Virtual Desktop에 대한 Azure 역할을 계획 및 구현하고 원격 연결에 대한 조건부 액세스 정책을 구현하는 방법을 알아봅니다. 이 학습 경로는 시험 AZ-140: Configuring and Operating Microsoft Azure Virtual Desktop과 연계됩니다.

사용자 ID 및 프로필을 위한 디자인

학습 사용자 ID 및 프로필 디자인
사용자는 온-프레미스와 클라우드에서 이러한 애플리케이션에 액세스해야 합니다. Windows 데스크톱용 원격 데스크톱 클라이언트를 사용하여 다른 Windows 디바이스에서 원격으로 Windows 앱 및 데스크톱에 액세스합니다.

Azure의 보안에 대한 자세한 내용은 Microsoft 카탈로그에서 다음 리소스를 참조하세요.
Azure의 보안

다음 단계

Azure에 제로 트러스트 원칙을 적용하려면 다음 추가 문서를 참조하세요.

기술 일러스트레이션

이 문서에 사용된 일러스트레이션을 다운로드할 수 있습니다. Visio 파일을 사용하여 이러한 일러스트레이션을 사용자 고유의 용도로 수정합니다.

PDF | Visio

추가 기술 일러스트레이션을 보려면 여기를 클릭하세요.

참조

이 문서에 언급된 다양한 서비스 및 기술에 대해 알아보려면 아래 링크를 참조하세요.