Windows 365 위해 네트워크를 계획하기 전에 사용자가 클라우드 PC에 안전하고 안정적이며 고성능으로 액세스할 수 있도록 하는 연결 원칙을 이해해야 합니다. 이 문서는 이 중요한 트래픽을 안전하게 최적화하기 위한 최신 지침을 이해하는 데 도움이 됩니다.
기존 엔터프라이즈 네트워크는 주로 회사 운영 데이터 센터에서 호스트되는 애플리케이션 및 데이터에 대한 액세스를 제공하도록 설계되었습니다. 이러한 네트워크는 신뢰할 수 없는 외부로부터 보호하기 위해 방화벽, 침입 감지 시스템 및 트래픽 검사 도구를 포함하는 경계 보안을 사용합니다. 이 기존 모델은 사용자가 회사 네트워크 내에서 직접 또는 VPN(가상 사설망) 연결을 통해 원격으로 애플리케이션 및 데이터에 액세스한다고 가정합니다. 이 아키텍처는 중앙 집중식 제어 및 보호에 최적화되어 있지만 클라우드 기반 서비스에 액세스할 때 대기 시간과 복잡성이 발생할 수 있습니다.
Windows 365 클라우드 PC에 대한 완전한 SaaS 기반 환경을 제공하여 조직이 전 세계 사용자에게 안전하고 안정적이며 고성능 데스크톱 환경을 제공할 수 있도록 할 수 있습니다. 따라서 전역적으로 원활한 연결을 가능하게 하기 위해 제공되는 인프라에 대한 연결은 최종 사용자에게 가능한 가장 높은 성능과 품질을 보장하기 위해 특별한 최적화가 필요합니다.
Windows 365 아키텍처
Windows 365 지리적으로 분산된 SaaS(Software as a Service) 서비스입니다. 클라우드 PC는 사용자 및 조직의 요구 사항을 충족하기 위해 여러 글로벌 지역에 배포할 수 있습니다.
사용자와 클라우드 PC 간의 연결은 제공된 지침에 따라 설계되어야 합니다. 이 방법은 대상 위치에 대한 디자인을 기반으로 하는 대신 사용자와 클라우드 PC 모두에 가장 가까운 Microsoft의 글로벌 네트워크 및 서비스 에지 인프라를 사용하여 성능을 최적화하는 데 도움이 됩니다.
Microsoft는 데이터 센터와 인터넷 에지 간의 고가용성, 높은 대역폭 및 짧은 대기 시간 연결을 제공하는 가장 큰 글로벌 네트워크 중 하나를 운영합니다. 185개 글로벌 POP(네트워크 지점)가 늘어나고 있는 이 인프라는 사용자에게 가까운 연결을 제공합니다.
Windows 365 TCP(전송 제어 프로토콜) 기반 RDP(원격 데스크톱 프로토콜) 연결 및 UDP(사용자 데이터그램 프로토콜) 연결에 대한 TURN 릴레이를 위한 게이트웨이 서비스를 포함하여 전역적으로 분산된 서비스 진입점을 사용합니다. 이러한 진입점은 최적의 연결을 보장하기 위해 어디에 있든 사용자에게 가까이 배치됩니다.
클라우드 PC는 사용자가 연결되면 Microsoft의 백본 네트워크에 직접 액세스하여 이러한 서비스 프런트 도어에 연결할 수 있습니다. 올바르게 라우팅된 경우 Microsoft 호스팅 엔드포인트로의 트래픽이 클라우드 PC에서 인터넷에 연결되지 않습니다.
세 가지 요소를 모두 올바르게 사용하면 사용자가 어디에 있든 관계없이 사용자와 클라우드 PC 간의 빠르고 안정적인 연결을 보장할 수 있습니다.
이해할 연결 요소
Windows 365 연결 요구 사항은 다음 세 가지 범주로 그룹화할 수 있습니다.
a. RDP 연결
RDP 트래픽은 최종 사용자와 해당 클라우드 PC 간의 핵심 연결을 형성합니다. 물리적 디바이스와 클라우드 PC 모두에서 동일한 아웃바운드 엔드포인트를 사용합니다. 이 트래픽을 최적화하는 것은 안정적이고 고성능 연결을 보장하는 데 필수적입니다.
b. 클라우드 쪽 서비스 연결
이 트래픽은 클라우드 PC를 프로비전하고 서비스를 운영하는 데 필수적입니다. 대부분의 엔드포인트는 Microsoft의 백본에서 호스트되므로 트래픽을 직접 라우팅하면 성능과 안정성이 향상됩니다. 또한 트래픽이 공용 인터넷을 트래버스하지 않으므로 최고 수준의 보안을 제공합니다.
c. 물리적 클라이언트 연결
여기에 설명된 RDP 연결 외에도 다른 모든 물리적 클라이언트 쪽 엔드포인트 요구 사항은 일반 웹 트래픽으로 처리되고 organization 표준 사례에 따라 관리할 수 있습니다.
Windows 365 연결 원칙
최적의 연결 및 성능을 달성하기 위해 다음 원칙을 권장합니다. Windows 365 네트워크 디자인의 주요 목표는 네트워크 간 RTT(왕복 시간)를 Microsoft 글로벌 네트워크로 줄여 대기 시간을 최소화하는 것입니다. 이 네트워크 백본은 Microsoft의 모든 데이터 센터를 상호 연결하고 사용자와 가까운 데이터 센터 위치와 네트워크 에지 간에 짧은 대기 시간을 제공합니다. 클라우드 PC에서 연결할 때 최상의 성능과 안정성을 위해 다음 최적화를 적용합니다.
1. 클라우드 PC를 사용자에게 최대한 가깝게 배포
클라우드 PC를 최종 사용자의 위치에 최대한 가깝게 배치하면 대기 시간을 최소화할 수 있습니다. Microsoft는 전 세계 여러 Azure 지역에서 배포 옵션을 제공합니다. 사용자에게 가장 가까운 지역을 선택하면 사용자와 클라우드 PC 간의 대기 시간이 줄어들어 최상의 성능을 제공합니다.
경우에 따라 규정 준수 요구 사항 또는 애플리케이션 데이터 대기 시간 제약 조건으로 인해 로컬 클라우드 PC 배포가 불가능할 수 있습니다. 로컬 배포가 불가능한 경우 네트워크 수준 최적화는 더 먼 거리에서 성능을 유지하는 데 더 중요합니다.
클라우드 PC가 배포되는 위치에 관계없이 다음 네트워크 원칙에 따라 최대 성능과 안정성을 보장합니다.
2. Windows 365 트래픽 식별 및 구분
Windows 365 네트워크 트래픽을 식별하는 것은 해당 트래픽을 적절한 경우 일반 인터넷 바인딩된 네트워크 트래픽과 구별할 수 있는 첫 번째 단계입니다. Windows 365 연결은 다음과 같은 방법의 조합을 구현하여 최적화할 수 있습니다.
네트워크 경로 최적화
VPN/SWG(Secure Web Gateway) 바이패스
방화벽 규칙
브라우저 프록시 설정.
특정 엔드포인트에 대한 네트워크 검사 디바이스를 우회합니다.
서비스에 필요한 엔드포인트의 세부 정보는 다음 세 가지 범주 중 하나로 요약할 수 있습니다.
a. RDP – 클라우드 및 물리적 디바이스 쪽에서 동일한 요구 사항
b. 클라우드 쪽 서비스 연결
c. 물리적 클라이언트 연결 요구 사항
영역 아래의 트래픽(a) 및 (b)에는 특별한 최적화가 필요하지만 (c) 아래의 트래픽은 그렇지 않습니다. 이러한 범주 내의 엔드포인트 분석은 제공된 링크 내에서 찾을 수 있습니다. 이러한 엔드포인트의 세부 정보는 네트워크 요구 사항 설명서에서 찾을 수 있습니다.
3. 로컬로 송신 네트워크 연결
권장 엔드포인트의 경우 트래픽을 로컬로 직접 송신해야 합니다.
클라우드 PC 쪽의 경우 VPN 터널, 보안 웹 게이트웨이, 프록시 또는 온-프레미스 송신을 방지하기 위해 VNet에서 직접 트래픽을 Azure 네트워크로 라우팅해야 합니다.
물리적 클라이언트 디바이스의 경우 키 서비스 트래픽이 가능한 한 사용자와 가깝게 종료되도록 합니다(예: ). 먼저 중앙 사이트로 다시 보내는 대신 로컬 SD-WAN 송신 또는 가정용 ISP(인터넷 서비스 공급자)를 통해 전송합니다.
다이어그램 1: 로컬 중단을 사용한 RDP 최적화
이 이미지는 다음을 보여 줍니다.
- 첸나이의 RDP 트래픽을 로컬로 송신하면 트래픽이 첸나이 피어링 위치에서 Microsoft의 글로벌 네트워크로 들어갑니다.
- 로컬 서비스 프런트 도어(원격 데스크톱 게이트웨이 및 TURN 릴레이)는 사용자와 가까운 연결을 유지하여 대기 시간을 최소화합니다.
- 서비스 정문에서 미국 중부의 클라우드 PC까지의 장거리 백홀 요소는 전적으로 Microsoft 네트워크에서 실행되어 중복 링크가 있는 최적화된 높은 대역폭의 짧은 대기 시간 경로를 제공합니다.
- 이 디자인은 가능한 가장 낮은 대기 시간, 고성능, 연결 끊김 위험 감소 및 뛰어난 사용자 환경을 제공하여 대부분의 경로에 대한 공용 인터넷을 방지합니다.
- 올바르게 구성된 경우 클라우드 PC에서 서비스 정문으로의 RDP 트래픽은 전적으로 Microsoft의 네트워크에 유지되며 공용 인터넷을 트래버스하지 않습니다.
트래픽이 Microsoft의 글로벌 네트워크에 빠르게 들어오도록 사용자 근처의 로컬 인터넷 중단을 사용합니다. 이 방법을 사용하면 주변 Microsoft 진입점이 연결을 최적화하고 호스팅 위치에 관계없이 클라우드 PC에 안정적으로 액세스할 수 있습니다.
이 인프라에는 다음이 포함됩니다.
인터넷 에지에서 185점 이상의 현재 상태
사용자를 Microsoft Cloud에 연결하는 165,000마일 이상의 광섬유 및 해저 케이블 연결
40개 이상의 Azure 지역에서 TCP 기반 RDP용 RDP 게이트웨이
40개 이상의 Azure 지역에서 UDP 기반 RDP에 대한 TURN 릴레이
로컬 인터넷 중단은 사용자를 위치 근처의 Windows 365 인프라에 연결합니다. 여기에서 클라우드 PC로의 모든 트래픽은 Microsoft의 안전하고 고속이며 대기 시간이 짧은 글로벌 네트워크를 통해 이동합니다.
4. 프록시, VPN, 보안 웹 게이트웨이 및 트래픽 검사 디바이스 무시를 평가합니다.
엔터프라이즈 고객은 Windows 365 트래픽에 대한 보안 제어를 검토하고 주요 서비스 트래픽에 대한 직접 경로를 허용해야 합니다. 이렇게 하면 성능 및 안정성을 저하시킬 수 있는 비용이 많이 들고 방해가 되는 보안 도구에 대한 의존도가 줄어듭니다. 대부분의 엔터프라이즈 네트워크는 프록시, TLS(전송 계층 보안) 검사, 패킷 검사 및 데이터 손실 방지 시스템과 같은 기술을 사용하여 인터넷 트래픽에 대한 네트워크 보안을 적용합니다. 이러한 기술은 일반 인터넷 요청에 대한 중요한 위험 완화를 제공하지만 특정 Windows 365 엔드포인트에 적용할 때 성능, 확장성 및 최종 사용자 환경의 품질을 크게 줄일 수 있습니다. 강조 표시된 모든 Windows 365 엔드포인트에 대해 다음 네트워크 최적화를 권장합니다.
RDP 트래픽의 경우:
클라우드 PC 쪽 과 물리적 디바이스 쪽 모두에서 TLS 암호 해독, 가로채기, 심층 패킷 검사 및 네트워크 패킷 & 콘텐츠 필터링에서 트래픽을 바이패스합니다. 이 트래픽 검사는 지원되지 않으며 아무런 혜택도 제공하지 않습니다.
Azure 내에서 UDR(사용자 정의 경로)을 사용하여 RDP 트래픽을 인터넷으로 직접 보내 방화벽과 같은 검사 디바이스를 방지합니다. 예를 들어 방화벽 경로를 피하면서 NAT 게이트웨이로 바로 보냅니다. 자세한 예제는 Windows 365 Azure Firewall 설명서를 참조하세요.
클라우드 PC와 물리적 디바이스 모두에 구성된 VPN, SWG(Secure Web Gateway) 및 프록시 터널에서 RDP 트래픽을 제외합니다.
Teams 미디어 트래픽에 대해 수행되는 것과 동일한 방식으로 트래픽이 실제 클라이언트 쪽에서 인터넷에 도달할 수 있는 직접 경로를 제공합니다.
Microsoft의 인근 서비스 인프라 및 글로벌 네트워크를 사용할 수 있도록 중앙 또는 원격 송신에 백하울링하는 대신 물리적 클라이언트 RDP 트래픽에 대한 로컬 인터넷 중단을 제공합니다.
클라우드 쪽 서비스 연결 요구 사항:
기본 경로가 트래픽을 온-프레미스에 백홀링하는 대신 Azure 송신 지점(예: Azure Firewall)으로 전송하는지 확인합니다.
성능 및 안정성 문제를 방지하기 위해 TLS 암호 해독, 가로채기, 심층 패킷 검사 및 콘텐츠 필터링에서 Windows 365 트래픽을 제외합니다. 필터링이 필요한 경우 Azure Firewall 통해 직접 허용합니다.
Windows 365 트래픽에 대한 VPN, SWG(Secure Web Gateway) 및 프록시 구성을 무시합니다.
물리적 클라이언트 연결의 경우
디바이스에 구성된 VPN, SWG(Secure Web Gateway) 및 프록시 터널에서 RDP 트래픽을 제외합니다.
대기 시간을 최소화하고 안정성을 개선하기 위해 모든 RDP 트래픽에 대한 직접 로컬 인터넷 중단을 제공합니다.
세션 중단을 방지하기 위해 RDP 트래픽의 송신 경로에서 TLS 검사를 사용하지 않도록 설정합니다.
organization 일반 외부 연결 모델에 따라 다른 모든 엔드포인트를 표준 웹 트래픽으로 처리합니다.
Windows 365 보안 고려 사항
Windows 365 연결에 대한 최적화를 구현하는 경우 다음 사항에 유의하세요.
대부분의 필수 엔드포인트는 서비스 전용입니다. Windows 365 서비스를 운영하기 위해 존재하며 사용자 생성 데이터를 전달하지 않습니다.
RDP(원격 데스크톱 프로토콜) 트래픽은 예외입니다. 클립보드 리디렉션과 같은 데이터는 이 트래픽 내에서 전달되지만 해당 경로는 물리적 디바이스와 클라우드 PC 간의 연결로 격리됩니다.
검사 또는 최적화되지 않은 라우팅은 성능에 해를 끼칠 수 있습니다. 심층 패킷 검사, TLS 가로채기 또는 백홀링과 같은 기술은 대기 시간을 도입하고 안정성을 줄이는 경우가 많습니다.
TLS 검사는 이러한 엔드포인트에 대한 이점을 제공하지 않습니다. 엔드포인트는 보안 통신에 이미 TLS를 사용하고 있으며 데이터는 서비스와 관련이 있습니다.
RDP 트래픽은 이중 암호화됩니다. 기존 인라인 검사 도구는 암호를 해독할 수 없습니다.
대용량 트래픽은 보안 어플라이언스를 오버로드할 수 있습니다. 이 시나리오가 발생하면 동일한 인프라를 공유하는 다른 중요한 서비스가 중단될 수 있습니다.
대부분의 엔드포인트는 Microsoft의 인프라 내에서 호스트됩니다.
Azure 백본으로 로컬 송신이 가장 효율적이고 안전한 경로입니다. 클라우드 PC에서 트래픽은 퍼블릭 인터넷을 트래버스하지 않고 Microsoft의 글로벌 네트워크에 유지됩니다.
대부분의 트래픽은 이미 TLS 암호화되어 전송 중 기밀성을 보호합니다.
TCP 포트 80의 트래픽은 프라이빗 데이터를 전달하지 않습니다. Azure 패브릭 통신 및 CRL(인증서 해지 목록) 검사와 같은 특정 함수에 필요합니다.
모든 예외는 명확하게 문서화되어 있습니다. 이러한 조건을 충족하지 않는 트래픽은 Windows 365 엔드포인트 요구 사항에서 식별되며 표준 인터넷 경로를 따를 수 있습니다.
배포 간소화
Windows 365 네트워크 연결에 대한 두 가지 옵션을 제공합니다. 올바른 옵션을 선택하면 복잡성, 비용 및 위험을 크게 줄일 수 있습니다.
ANC(네트워크 연결) Azure: ANC를 사용하면 기본 연결을 관리합니다. 이러한 요구 사항을 구현하려면 네트워킹, 방화벽 규칙, UDR, ExpressRoute 및 NSG(네트워크 보안 그룹)와 지속적인 유지 관리를 구성하는 데 몇 주 또는 몇 달의 작업이 필요한 경우가 많습니다. 이는 많은 조직이 멀리 이동하는 기존 회사 네트워크 확장을 반영합니다.
Microsoft Hosted Network: Microsoft Hosted Network 옵션을 사용하면 네트워킹 오버헤드를 최소화하면서 신속한 배포를 수행할 수 있습니다. Microsoft는 최적의 연결을 보장하기 위해 환경을 설계, 유지 관리 및 보호합니다. 주요 작업은 주요 트래픽이 VPN 또는 SWG 터널을 우회하도록 하는 것입니다. 일반적으로 구성이 빠릅니다. 이 모델은 제로 트러스트 원칙에 부합하며 최신 SWG 및 프라이빗 액세스 솔루션과 잘 작동합니다.
많은 조직에서 이미 원격 직원에게 비슷한 접근 방식을 사용하고 있으며, 최신 엔드포인트 관리 및 제로 트러스트 통해 관리되는 랩톱을 제공합니다. Microsoft Hosted Network는 클라우드 PC에 동일한 개념을 적용하여 아웃바운드 연결만 만드는 보안 홈 디바이스처럼 취급합니다. 이 디자인은 프로젝트 타임라인을 단축하고 유연성을 높이며 지속적인 관리를 간소화합니다.
Windows 365 배포 옵션 설명서에서 이 디자인 선택에 대해 자세히 알아보세요.