Azure Virtual Desktop(AVD)은 무엇인가요?
코로나 이후 재택근무, 화상회의는 우리의 업무에서 익숙한 하나의 일상이 되었습니다. 이러한 원격근무 업무 환경은 다양한 장점과 함께 크나큰 단점도 야기했습니다. 각자의 공간에서 업무가 이루어지는 만큼 환경에 따라 사용성이 불편하거나, 데이터 접근성이 떨어지는 등 업무 중 불편을 겪는 상황들이 벌어지는 것입니다.
Azure Virtual Desktop은 ‘가상화(Virtualization)’ 작업을 통해 이러한 환경을 개선하고 개인이 회사 외부 공간에서도 회사 PC로 일할 때와 동일한 업무 환경을 구축할 수 있도록 합니다. 하지만 기업에서 언제나 중시하는 건 보안! 원격 환경을 구축하여 편리함을 잡았다고 해서 보안에 취약해져서는 안 되겠죠. Azure Virtual Desktop에서는 아래와 같은 다양한 방법을 통해 귀사의 보안을 극대화할 수 있습니다.
AVD 구축하며 우리 회사의 앱과 데이터를 보호하는 방법
보안을 강화하기 위해서는 아래의 다양한 사항에 대해서 숙지하고 이해하고 있어야 합니다.
1.사용자 ID보호
사용자 개인 인증 정보
사용자의 안전을 유지하기 위해, Azure Virtual Desktop에 대한 조건부 액세스 정책을 환경 설정하여 클라이언트가 Azure 다중 개인 인증 정보를 더 자주 요청하도록 할 수 있습니다.
조건부 액세스
Azure Virtual Desktop에 대한 조건부 액세스 정책을 활용하면 필요할 때 적절한 액세스 제어를 적용하여 조직의 보안을 유지하고, 필요하지 않을 때는 사용자에 대한 제약을 해소할 수 있습니다.
감사 로그 수집
사용자 ID 보안과 관련하여 감사 로그를 수집하고 검토하면 Azure Virtual Desktop과 관련된 관리자 활동뿐만 아니라 사용자에 대한 인사이트를 수집하고 얻을 수 있습니다.
2. 데이터 보호
FSLogix 프로필 컨테이너
대부분의 고객은 파일 공유를 활용하는 대신 Azure Files 또는 Azure NetApp Files에 FSLogix 프로필 컨테이너를 저장하는 것이 좋습니다.
Azure Disk Encryption
Azure Files를 프로필 컨테이너 솔루션으로 활용하면 SMB(서버 메시지 블록) ID 기반 인증이 지원됩니다. Azure NetApp Files를 활용하면 Azure Virtual Desktop에서 이용하는 모든 파일이 암호화됩니다.
3. 세션 호스트 및 애플리케이션 보안
Microsoft Defender for Endpoint
맬웨어 및 인텔리전트형 위협으로부터 엔드포인트를 보호하려면 Microsoft Defender for Endpoint(이전의 Microsoft Defender Advanced Threat Protection)를 환경 설정하는 것이 좋습니다.
Microsoft Endpoint Manager와 Microsoft Intune의 통합
Microsoft Intune을 사용하여 규정 준수에 대한 정책을 만들고 확인할 수 있으며, 이를 사용하여 Azure에서 실행되는 디바이스에 애플리케이션, 기능 및 설정을 배포할 수 있습니다.
Windows Defender Application Control
Windows Defender Application Control은 사용자가 실행할 수 있는 애플리케이션과 시스템 코어에서 실행되는 코드를 제한하여 기존의 백신이 방지하지 못하는 보안 위협 유형을 완화합니다.
AppLocker
AppLocker는 사용자가 승인되지 않은 소프트웨어를 실행하지 못하도록 하는 데 도움이 됩니다.
FSLogix Application Masking
Application Masking은 기준에 따라 애플리케이션, 폰트 및 기타 항목에 대한 액세스를 관리합니다.
화면 캡처 보호
화면 캡처 보호(미리 보기) 기능은 클라이언트 엔드포인트에서 중요한 정보가 캡처되지 않도록 합니다.
사용자 환경의 소프트웨어 패치
공급업체 패치 알림 통신을 따르고 적시에 패치를 적용합니다. 새로 배포된 컴퓨터를 가능한 한 안전하게 보호할 수 있도록 기본 이미지를 매월 패치하는 것이 좋습니다.
최대 비활성 / 연결 해제 시간 정책 및 화면 잠금
시간 제한을 사용하여 리소스 사용과 사용자 생산성의 균형을 맞추는 것이 좋습니다. 유휴 시간 동안 컴퓨터의 화면이 잠기도록 Azure Virtual Desktop을 환경 설정하고 잠금을 해제하려면 인증을 요구하여, 원치 않는 시스템 액세스를 방지할 수 있습니다.
디바이스 리디렉션 환경 설정하기
사용자는 Azure Virtual Desktop 세션에 다양한 (주변) 디바이스를 가져올 수 있습니다.
Windows 탐색기 액세스 제한
사용자가 서로의 세션 데이터에 액세스하거나 공유 VM에서 원치 않는 작업을 수행할 수 없도록 잠금 정책을 수행하는 것이 좋습니다.
Microsoft 365 앱 보안 관리
세션 호스트를 보호하는 것 외에도 내부에서 실행되는 애플리케이션을 보호하는 것도 중요합니다.
Azure Virtual Desktop의 5단계 연결 프로세스
4. 네트워크 액세스 보안
역방향 연결
Azure Virtual Desktop은 역방향 연결 전송을 이용하여 원격 세션을 설정하고 RDP 트래픽을 전송합니다.
NSG(네트워크 보안 그룹) 서비스 태그
NSG 서비스 태그를 활용하여 Azure Virtual Desktop 트래픽을 제한합니다.
애플리케이션 수준 보호를 위한 Azure Firewall
Azure Firewall은 이전에 설명한 대로 환경 설정을 단순화하기 위해 Azure Virtual Desktop FQDN 태그를 제공합니다. Azure Firewall을 통해 아웃바운드 Azure Virtual Desktop 플랫폼 트래픽을 허용합니다.
인터넷에 대한 호스트 풀 아웃바운드 액세스
허용되는 대상 목록(예: Microsoft 365 액세스)이 효과적으로 정의된 경우 Azure Firewall 애플리케이션 및 네트워크 규칙을 활용하여 필요한 액세스를 환경 설정할 수 있습니다.
Azure 보안 모범 사례
이 섹션에서는 Azure Security Center를 활용하여 보안을 제공하고, 보안 점수를 개선하고, Azure Virtual Desktop의 Azure 보안 기준을 활용하는 방법에 대한 일반적인 지침을 제공합니다.
Azure Security Center
Azure Security Center는 Azure Defender를 통합하여 보안 점수 및 위협 보호 기능을 통해 무료 보안 태세 관리 기능을 제공합니다.
Azure Virtual Desktop의 Azure 보안 기준
Azure Virtual Desktop의 Azure 보안 기준은 Azure Security Benchmark 버전 2.0의 지침을 Azure Virtual Desktop에 적용하는 역할을 합니다.
