다음을 통해 공유

보안 및 거버넌스

이 문서에서는 Microsoft의 클라우드 채택 프레임워크에 따라 Azure Virtual Desktop 랜딩 존의 보안, 거버넌스 및 규정 준수에 대한 주요 디자인 고려 사항 및 권장 사항을 제공합니다.

다음 섹션을 검토하여 Azure Virtual Desktop 랜딩 존에 대한 권장 보안 제어 및 거버넌스를 찾습니다.

아이덴티티

  • 다단계 인증 또는 다른 다단계 인증 도구가 필요한 Microsoft Entra 조건부 액세스 정책을 설정하여 Azure Virtual Desktop에 대한 사용자 액세스를 보호합니다. 사용자의 위치, 디바이스 및 로그인 동작을 고려하고 액세스 패턴에 따라 필요에 따라 추가 컨트롤을 추가합니다. Azure Virtual Desktop에 대한 Azure 다단계 인증을 사용하도록 설정하는 방법에 대한 자세한 내용은 Azure Virtual Desktop에 대한 Azure 다단계 인증 사용을 참조하세요.

  • 관리, 운영 및 엔지니어링 역할을 Azure RBAC 역할에 정의하는 데 필요한 최소 권한을 할당합니다. Azure Virtual Desktop 랜딩 존 내에서 높은 권한 역할에 대한 액세스를 제한하려면 PIM(Privileged Identity Management)과의 통합을 고려하세요. 각 특정 관리 영역을 담당하는 팀에 대한 지식을 유지 관리하면 Azure RBAC(역할 기반 액세스 제어) 역할 및 구성을 결정하는 데 도움이 됩니다.

  • Azure Virtual Desktop에 대한 자동화 및 서비스에 Azure 관리 ID 또는 서비스 주체 인증서 자격 증명을 사용하세요. Azure Virtual Desktop 랜딩 존으로 제한된 자동화 계정 및 범위에 최소 권한을 할당합니다. Azure 관리 ID와 함께 Azure Key Vault를 사용하면 런타임 환경(예: Azure Function)이 키 자격 증명 모음에서 자동화 자격 증명을 검색할 수 있습니다.

  • Microsoft Entra ID 및 Azure Virtual Desktop 랜딩 존에 대한 사용자 및 관리자 활동 로깅을 수집해야 합니다. SIEM(보안 정보 및 이벤트 관리) 도구를 사용하여 이러한 로그를 모니터링합니다. 다음과 같은 다양한 원본에서 로그를 수집할 수 있습니다.

  • Azure Virtual Desktop 애플리케이션 그룹에 대한 액세스를 할당할 때 개별 사용자 대신 Microsoft Entra 그룹을 사용합니다. 기존 사용자 프로비저닝 및 프로비저닝 해제 프로세스를 다시 사용할 수 있도록 조직 내의 비즈니스 기능에 매핑되는 기존 보안 그룹을 사용하는 것이 좋습니다.

네트워킹

  • Azure Virtual Desktop 랜딩 존에 전용 가상 네트워크를 프로비전하거나 다시 사용합니다. 세션 호스트의 규모를 수용하도록 IP 주소 공간을 계획합니다. 호스트 풀당 최소 및 최대 세션 호스트 수에 따라 기준 서브넷 크기를 설정합니다. 비즈니스 단위 요구 사항을 호스트 풀에 매핑합니다.

  • NSG(네트워크 보안 그룹) 및/또는 Azure Firewall (또는 타사 방화벽 어플라이언스)을 사용하여 마이크로 구분을 설정합니다. Azure Virtual Network 서비스 태그 및 ASG(애플리케이션 서비스 그룹)를 사용하여 네트워크 보안 그룹 또는 Azure Virtual Desktop 리소스에 대해 구성된 Azure Firewall에서 네트워크 액세스 제어를 정의합니다. 필요한 URL에 대한 세션 호스트의 나가는 액세스가 프록시(세션 호스트 내에서 사용되는 경우) 및 Azure Firewall(또는 타사 방화벽 어플라이언스)에 의해 무시되는지 확인합니다.

  • 애플리케이션 및 엔터프라이즈 세분화 전략에 따라 보안 그룹 규칙 또는 Azure Firewall(또는 타사 방화벽 어플라이언스)을 통해 세션 호스트와 내부 리소스 간의 트래픽을 대규모로 제한합니다.

  • Azure Firewall(또는 타사 방화벽 어플라이언스)에 대한 Azure DDoS 표준 보호를 사용하도록 설정하여 Azure Virtual Desktop 랜딩 존을 보호합니다.

  • 세션 호스트에서 아웃바운드 인터넷 액세스에 프록시를 사용하는 경우:

    • Azure Virtual Desktop 세션 호스트 및 클라이언트와 동일한 지역에서 프록시 서버를 구성합니다(클라우드 프록시 공급자를 사용하는 경우).
    • TLS 검사를 사용하지 마세요. Azure Virtual Desktop에서 트래픽은 기본적으로 전송 중에 암호화됩니다 .
    • 사용자 인증이 필요한 프록시 구성을 방지합니다. 세션 호스트의 Azure Virtual Desktop 구성 요소는 운영 체제의 컨텍스트에서 실행되므로 인증이 필요한 프록시 서버를 지원하지 않습니다. 세션 호스트에서 호스트 수준 프록시를 구성하려면 시스템 차원의 프록시를 사용하도록 설정해야 합니다.

  • 최종 사용자가 Azure Virtual Desktop 클라이언트 URL에 액세스할 수 있는지 확인합니다. 사용자의 디바이스에서 프록시 에이전트/구성을 사용하는 경우 Azure Virtual Desktop 클라이언트 URL도 바이패스해야 합니다.

  • 세션 호스트의 관리 및 문제 해결을 위해 Just-In-Time 액세스를 사용합니다. 세션 호스트에 대한 직접 RDP 액세스 권한을 부여하지 않습니다. AVD 세션 호스트는 역방향 연결 전송을 사용하여 원격 세션을 설정합니다.

  • 클라우드용 Microsoft Defender의 적응형 네트워크 강화 기능을 사용하여 외부 네트워크 트래픽 규칙을 참조하여 포트 및 원본 IP를 제한하는 네트워크 보안 그룹 구성을 찾습니다.

  • Azure Monitor 또는 파트너 모니터링 솔루션을 사용하여 Azure Firewall(또는 타사 방화벽 어플라이언스) 로그를 수집합니다. 또한 Microsoft Sentinel 또는 유사한 서비스를 사용하여 SIEM으로 로그를 모니터링해야 합니다.

  • FSLogix 프로필 컨테이너에 사용되는 Azure 파일에만 프라이빗 엔드포인트를 사용합니다.

  • 역방향 연결 전송을 보완하도록 RDP Shortpath를 구성합니다.

세션 호스트

Azure Virtual Desktop 세션 호스트 보안에 대한 모범 사례에 대한 자세한 내용은 세션 호스트 보안 모범 사례를 참조하세요.

Azure VM 보안에 대한 자세한 모범 사례 목록은 Azure의 가상 머신에 대한 보안 권장 사항을 참조하세요.

데이터 보호

  • Microsoft Azure는 미사용 데이터를 암호화하여 기본 스토리지에 액세스하는 시도와 같은 '대역 외' 공격으로부터 보호합니다. 이 암호화는 공격자가 데이터를 쉽게 읽거나 수정할 수 없도록 하는 데 도움이 됩니다. 미사용 데이터에 대해 두 계층의 암호화를 사용하도록 설정하는 Microsoft의 접근 방식은 다음과 같습니다.

    • 고객 관리형 키를 사용한 디스크 암호화 사용자는 디스크 암호화를 위한 고유한 키를 제공합니다. 키 자격 증명 모음에 자신의 키를 가져오거나(BYOK - Bring Your Own Key라고도 함) Azure Key Vault에서 새 키를 생성하여 원하는 리소스(세션 호스트 디스크 포함)를 암호화할 수 있습니다.
    • 플랫폼 관리형 키를 사용하는 인프라 암호화. 기본적으로 디스크는 플랫폼 관리형 암호화 키를 통해 미사용 시 자동으로 암호화됩니다.
    • VM 호스트에서 암호화(VM 이 할당된 Azure 서버). 각 가상 머신의 임시 디스크 및 OS/데이터 디스크 캐시 데이터는 VM 호스트에 저장됩니다. VM 호스트에서 암호화를 사용하도록 설정하면 해당 데이터는 미사용 시 암호화되고 스토리지 서비스로 암호화되어 유지됩니다.

  • 중요한 정보가 조직의 기술 시스템에 의해 안전하게 저장, 처리 및 전송되도록 하는 Microsoft Purview Information Protection 또는 타사 솔루션과 같은 정보 보호 솔루션을 배포합니다.

  • 엔터프라이즈용 Microsoft 365 앱용 보안 정책 관리자를 사용하여 Office 배포 보안을 개선합니다. 이 도구는 더 많은 보안을 위해 배포에 적용할 수 있는 정책을 식별하고 보안 및 생산성에 미치는 영향에 따라 정책을 권장합니다.

  • 온-프레미스 AD DS(Active Directory Domain Services) 및 Microsoft Entra Domain Services를 통해 FSLogix 사용자 프로필에 사용되는 Azure Files에 대한 ID 기반 인증을 구성합니다. 권한 있는 사용자가 Azure Files에 액세스할 수 있도록 NTFS 권한을 구성합니다.

원가 관리

  • Azure Tags를 사용하여 Azure Virtual Desktop 리소스 만들기, 관리 및 배포 비용을 구성합니다. Azure Virtual Desktop의 관련 컴퓨팅 비용을 식별하려면 모든 호스트 풀 및 가상 머신에 태그를 지정합니다. Azure Files 또는 Azure NetApp Files 리소스에 태그를 지정하여 FSLogix 사용자 프로필 컨테이너, 사용자 지정 OS 이미지 및 MSIX 앱 연결(사용되는 경우)과 관련된 스토리지 비용을 추적합니다.

  • 모든 Azure Virtual Desktop 리소스에서 설정할 최소 제안된 태그 를 정의합니다. 배포 중 또는 프로비전 후 Azure 태그를 설정할 수 있습니다. Azure Policy 기본 제공 정의를 사용하여 태그 지정 규칙을 적용하는 것이 좋습니다.

  • Microsoft Cost Management에서 예산을 설정 하여 Azure 사용 비용을 사전에 관리합니다. 만든 예산 임계값을 초과하면 알림이 트리거됩니다.

  • Azure Virtual Desktop 랜딩 존에 대한 Azure 사용량 및 지출을 모니터링하는 Cost Management 경고를 만듭니다.

  • 최종 사용자가 필요할 때만 VM을 켤 수 있도록 하여 비용을 절감하도록 연결 시 VM 시작 기능을 구성합니다.

  • Azure Automation 또는 자동 크기 조정 기능(미리 보기)을 통해 풀링된 세션 호스트에 대한 크기 조정 솔루션 배포

리소스 일관성

  • Azure Virtual Desktop 개인 세션 호스트용 Intune을 사용하여 기존 구성을 적용하거나 새 구성을 만들고 규정 준수 정책 및 조건부 액세스를 사용하여 VM을 보호합니다. Intune 관리는 동일한 가상 머신의 Azure Virtual Desktop 관리에 의존하거나 영향을 주지 않습니다.

  • Intune을 사용한 다중 세션 세션 호스트 관리를 사용하면 공유 Windows 10 또는 Windows 11 클라이언트 디바이스를 관리할 수 있는 것처럼 Intune 관리 센터에서 Windows 10 또는 Windows 11 Enterprise 다중 세션 원격 데스크톱을 관리할 수 있습니다. 이러한 VM(가상 머신)을 관리할 때 디바이스를 대상으로 하는 디바이스 기반 구성 또는 사용자를 대상으로 하는 사용자 기반 구성을 모두 사용할 수 있습니다.

  • Azure Policy 컴퓨터 구성을 사용하여 세션 호스트의 운영 체제 강화를 감사하고 구성합니다. Windows 운영 체제 보안을 위한 시작점으로 Windows 보안 기준을 사용합니다.

  • Azure Policy 기본 제공 정의를 사용하여 작업 영역, 애플리케이션 그룹 및 호스트 풀과 같은 Azure Virtual Desktop 리소스에 대한 진단 설정을 구성합니다.

Azure Virtual Desktop에 대한 보안 모범 사례를 환경 내 보안의 시작점으로 검토합니다.

컴플라이언스

거의 모든 조직은 다양한 정부 또는 업계 규제 정책을 준수해야 합니다. 규정 준수 팀과 함께 이러한 정책을 검토하고 특정 Azure Virtual Desktop 랜딩 존에 대한 올바른 컨트롤을 구현합니다. 예를 들어 조직이 프레임워크를 따르는 경우 PCI DSS(결제 카드 산업 데이터 보안 표준) 또는 HIPAA(Health Insurance Portability and Accountability Act)와 같은 특정 정책에 대한 제어를 고려해야 합니다.

  • 필요한 경우 Microsoft Defender for Cloud를 사용하여 Azure Virtual Desktop 랜딩 존에 추가 규정 준수 표준을 적용합니다. 클라우드용 Microsoft Defender는 규정 준수 대시보드를 통해 규정 준수 요구 사항을 충족하기 위한 프로세스를 간소화 하는 데 도움이 됩니다. 기본 제공 또는 사용자 지정된 호환성 표준을 대시보드에 추가할 수 있습니다. 추가할 수 있는 이미 기본 제공 규제 표준은 다음과 같습니다.

    • PCI-DSS v3.2.1:2018
    • SOC TSP
    • NIST SP 800-53 R4
    • NIST SP 800 171 R2
    • 영국 공식 및 영국 NHS
    • 캐나다 연방 PBMM
    • Azure CIS 1.1.0
    • HIPAA/HITRUST
    • SWIFT CSP CSCF 버전 2020
    • ISO 27001:2013
    • 뉴질랜드 ISM 제한된 상태
    • CMMC 수준 3
    • Azure CIS 1.3.0
    • NIST SP 800-53 R5
    • FedRAMP H
    • FedRAMP M

  • 조직이 데이터 상주 요구 사항에 구속된 경우 Azure Virtual Desktop 리소스(작업 영역, 애플리케이션 그룹 및 호스트 풀)의 배포를 다음 지리적 위치로 제한하는 것이 좋습니다.

    • 미국
    • 유럽
    • 영국
    • 캐나다

    이러한 지역으로 배포를 제한하면 사용자 기반을 수용하기 위해 세션 호스트를 전 세계에 배포할 수 있으므로 Azure Virtual Desktop 메타데이터가 Azure Virtual Desktop 리소스 지리 지역에 저장되도록 할 수 있습니다.

  • Intune 및 Microsoft Endpoint Configuration Manager와 같은 그룹 정책 및 디바이스 관리 도구를 사용하여 세션 호스트에 대한 철저한 보안 및 규정 준수 사례를 유지합니다.

  • Microsoft Defender for Cloud에서 경고자동화된 응답을 구성하여 Azure Virtual Desktop 랜딩 존의 전반적인 규정 준수를 보장합니다.

  • Microsoft 보안 점수를 검토하여 다음 제품에 대한 전반적인 조직 보안 상태를 측정합니다.

    • Microsoft 365(Exchange Online 포함)
    • Microsoft Entra ID (마이크로소프트 엔트라 ID)
    • 엔드포인트용 Microsoft Defender
    • Microsoft Defender for Identity
    • 클라우드용 Defender 앱
    • Microsoft 팀

  • Microsoft Defender for Cloud Secure Score를 검토하여 Azure Virtual Landing Zones의 전반적인 보안 규정 준수를 개선합니다.

다음 단계

Azure Virtual Desktop 엔터프라이즈 규모 시나리오에 대한 플랫폼 자동화 및 DevOps에 대해 알아봅니다.

플랫폼 자동화 및 DevOps