세션 호스트 및 응용 프로그램 보안
고객은 여러 조치를 취하고 다양한 도구를 사용하여 Azure Virtual Desktop 배포 작업을 보호할 수 있습니다. 다음 표에는 Azure Virtual Desktop 배포를 보호하기 위해 테스트된 몇 가지 제안 사항이 나열되어 있습니다.
| 모범 사례 | 결과 |
|---|---|
| 클라우드 CSPM(보안 상태 관리) 기능을 위해 클라우드용 Microsoft Defender 활성화 | 보안 점수의 CSPM 기능을 사용하여 전반적인 보안을 향상시킵니다. |
| 다단계 인증 필요 | 사용자 인증을 강화합니다. |
| 조건부 액세스 사용 | 사용자에게 액세스 권한을 부여하기 전에 위험을 관리합니다. |
| 감사 로그 수집 | 사용자 및 관리자 활동을 검토합니다. |
| RemoteApp 사용 | 사용자가 노출된 원격 컴퓨터의 하위 집합으로만 작업할 수 있도록 하여 위험을 줄입니다. |
| Azure Monitor를 사용하여 사용 현황 모니터링 | Azure Virtual Desktop 서비스에 대한 알림을 받으려면 서비스 상태 알림을 만듭니다. |
| 끝점 보호 사용 | 알려진 맬웨어로부터 배포를 보호합니다. |
| EDR(끝점 검색 및 응답) 제품 설치 | EDR을 사용하여 고급 검색 및 응답 기능을 제공합니다. |
| 위협 및 취약성 관리 평가 사용 | 서버 운영 체제의 취약성 평가를 통해 문제 지점을 식별하는 데 도움이 됩니다. |
| 사용자 환경에서 소프트웨어 취약성 해결 | 온-프레미스 또는 가상 환경에서 취약성이 식별되면 이를 해결해야 합니다. |
| 최대 비활성 시간 및 연결 끊기 정책 설정 | 사용자가 비활성일 때 로그아웃하여 리소스를 보존하고 무단 액세스를 방지합니다. |
| 유휴 세션에 대해 설정 화면 잠금 | Azure Virtual Desktop을 구성하여 유휴 시간 동안 컴퓨터의 화면을 잠그고 잠금을 해제하기 위해 인증을 요구하여 원치 않는 시스템 액세스를 방지합니다. |
| 사용자에게 가상 데스크톱에 대한 관리자 액세스 권한 부여 안 함 | Configuration Manager를 사용하여 소프트웨어 패키지를 관리합니다. |
| 어떤 사용자가 어떤 리소스에 액세스해야 하는지 고려 | 인터넷 리소스로 호스트 연결을 제한합니다. |
| 운영 체제 기능 제한 | 세션 호스트의 보안을 강화합니다. |
| Azure Virtual Desktop 호스트 풀에서 RDP 속성 아래의 장치 리디렉션 제한 | 데이터 유출을 방지합니다. |
끝점용 Microsoft Defender 정책을 사용하여 끝점 보호 사용
회사의 끝점을 보호하기 위해 끝점용 Microsoft Defender를 구성하는 것이 좋습니다. 이전에는 엔드포인트용 Microsoft Defender라고 알려졌습니다. 끝점용 Microsoft Defender는 일반적으로 온-프레미스에서 사용했지만 VDI(가상 데스크톱 인프라) 환경에서도 사용할 수 있습니다.
Azure Virtual Desktop VM에 엔드포인트용 Microsoft Defender를 배포하기 위해 클라우드용 Microsoft Defender에 VM을 등록합니다. 클라우드용 Defender는 표준 제품의 일부로 라이선스를 제공합니다.
자동 프로비저닝도 사용해야 합니다. 클라우드용 Defender의 자동 프로비전 설정에는 지원되는 각 확장 유형에 대한 토글이 있습니다. 확장의 자동 프로비저닝을 사용하면 적절한 DeployIfNotExists 정책을 할당하여 확장이 해당 유형의 모든 기존 및 향후 리소스에 확장이 프로비저닝되도록 합니다.
참고
Log Analytics 에이전트의 자동 프로비저닝을 사용합니다. Log Analytics 에이전트에 대해 자동 프로비저닝을 켠 경우 클라우드용 Defender는 지원되는 모든 Azure VM 및 새로 만들어진 모든 VM에 에이전트를 배포합니다.
Microsoft Intune과 Microsoft Endpoint Manager 통합
Microsoft 365에는 Microsoft Endpoint Manager 관리 센터와 Microsoft Endpoint Configuration Manager에 대한 지원이 포함되어 있습니다.
Microsoft Intune을 사용하여 규정 준수를 만들고 확인할 수 있습니다. 또한 Azure를 사용하는 장치에 앱, 기능 및 설정을 배포하는 데 사용할 수 있습니다.
Microsoft Intune은 인증 및 권한 부여를 위해 Microsoft Entra ID와 통합됩니다. 또한 데이터 보호를 위해 Azure Information Protection과 통합됩니다. Microsoft 365 제품군과 함께 Microsoft Intune을 사용할 수 있습니다.
다음 표에서는 Microsoft Intune의 주요 기능에 대해 설명합니다.
| 기능 | 설명 |
|---|---|
| 장치 관리 | Microsoft Intune의 사용자 소유 및 조직 소유의 등록된 장치에는 조직의 보안 정책과 일치하도록 구성한 정책을 통해 규칙 및 설정을 수신합니다. |
| 앱 관리 | Microsoft Intune의 모바일 응용 프로그램 관리는 조직 소유의 장치 및 개인 장치에서 앱 관리를 가져올 수 있습니다. |
| 규정 준수 및 조건부 액세스 | Intune은 Microsoft Entra ID와 통합되어 광범위한 액세스 제어 시나리오 집합을 사용하도록 설정합니다. |
응용 프로그램 제어는 모든 응용 프로그램을 신뢰할 수 있다고 가정하는 응용 프로그램 신뢰 모델에서 이동합니다. 새 모델은 응용 프로그램이 실행되기 전에 신뢰를 얻을 것을 요구합니다. Windows 10에는 응용 프로그램 제어를 위한 두 가지 기술인 Windows Defender 응용 프로그램 제어 및 AppLocker가 포함되어 있습니다.
Windows Defender 응용 프로그램 제어
Windows 10에 Windows Defender 응용 프로그램 제어가 도입되었습니다. 조직에서는 이 기능을 사용하여 Windows 10 클라이언트에서 실행할 수 있는 드라이버와 응용 프로그램을 제어할 수 있습니다.
처음에 Windows 10에서 Windows Defender 응용 프로그램 제어는 구성 가능한 코드 무결성으로 알려지기도 했습니다. 구성 가능한 코드 무결성은 Windows 10을 실행하는 것 외에는 특정 하드웨어 또는 소프트웨어 요구 사항이 없습니다. 또한 현재는 없어진 Device Guard가 포함된 기능 중 하나였습니다.
AppLocker
전체 응용 프로그램 제어 전략의 일부로 AppLocker를 사용하는 것이 좋습니다. 미리 정의된 응용 프로그램을 시스템에서 실행할 수 있습니다.
AppLocker 제어 정책 제한 규칙은 다음을 기반으로 합니다.
- 디지털 서명과 같은 파일 특성
- 제품 이름
- 파일 이름
- 파일 버전
기본 규칙은 많은 스크립트, Windows Installer 패키지 및 실행 파일을 차단합니다.
AppLocker에는 Windows가 제대로 작동하기 위해 필요한 파일이 AppLocker 규칙 컬렉션에 허용되도록 각 규칙 컬렉션에 대한 기본 규칙이 포함되어 있습니다. 또한 기본 규칙을 사용하면 로컬 관리자 그룹의 구성원이 모든 Windows Installer 파일을 실행할 수 있습니다. 기본 규칙은 다음과 같습니다.
- “모든” 사용자 그룹의 구성원이 디지털 서명된 Windows Installer 파일을 실행하도록 허용합니다.
- “모든” 그룹의 구성원이 Windows\Installer 폴더에 있는 모든 Windows Installer 파일을 실행하도록 허용합니다.
- 로컬 관리자 그룹의 구성원이 모든 스크립트를 실행하도록 허용합니다.
AppLocker 규칙 컬렉션은 허용된 파일 목록으로 작동합니다. 규칙 컬렉션에 나열된 파일만 실행할 수 있습니다. 이 구성을 사용하면 AppLocker 규칙이 적용될 때 어떤 일이 발생할지 쉽게 알아낼 수 있습니다. AppLocker는 기본적으로 허용 목록으로 작동하기 때문에 파일 실행을 명시적으로 허용하거나 거부하는 규칙이 없는 경우 AppLocker의 기본 거부 작업이 파일을 차단합니다.