Azure Virtual Desktop에 대한 보안 권장 사항
Azure Virtual Desktop은 조직을 안전하게 유지하기 위한 다양한 보안 기능을 포함하는 관리형 가상 데스크톱 서비스입니다. Azure Virtual Desktop의 아키텍처는 사용자를 데스크톱 및 앱에 연결하는 서비스를 구성하는 많은 구성 요소로 구성됩니다.
Azure Virtual Desktop에는 인바운드 네트워크 포트를 열 필요가 없는 역방향 연결과 같은 많은 기본 제공 고급 보안 기능이 있으므로 어디에서나 원격 데스크톱에 액세스할 수 있는 위험을 줄일 수 있습니다. 또한 이 서비스는 다단계 인증 및 조건부 액세스와 같은 Azure의 다른 많은 보안 기능의 이점을 누릴 수 있습니다. 이 문서에서는 조직의 사용자 또는 외부 사용자에게 데스크톱 및 앱을 제공하는지 여부에 관계없이 Azure Virtual Desktop 배포를 안전하게 유지하기 위해 관리자로 수행할 수 있는 단계를 설명합니다.
공동 보안 책임
Azure Virtual Desktop 이전에는 원격 데스크톱 서비스 같은 온-프레미스 가상화 솔루션에서 게이트웨이, 브로커, 웹 액세스 등의 역할에 대한 액세스 권한을 사용자에게 부여해야 합니다. 이러한 역할은 완전히 중복되고 최대 용량을 처리할 수 있어야 했습니다. 관리자는 Windows Server 운영 체제의 일부로 이러한 역할을 설치하고 공용 연결에 액세스할 수 있는 특정 포트로 도메인에 조인되어야 했습니다. 배포를 안전하게 유지하기 위해 관리자는 인프라의 모든 것이 유지 관리되고 최신 상태로 유지되도록 해야 했습니다.
그러나 대부분의 클라우드 서비스에는 Microsoft와 고객 또는 파트너 간에 공유된 보안 책임 집합이 있습니다. Azure Virtual Desktop의 경우 대부분의 구성 요소는 Microsoft에서 관리되지만 세션 호스트와 일부 지원 서비스 및 구성 요소는 고객 관리 또는 파트너 관리입니다. Azure Virtual Desktop의 Microsoft 관리 구성 요소에 대한 자세한 내용은 Azure Virtual Desktop 서비스 아키텍처 및 복원력을 참조하세요.
일부 구성 요소는 사용자 환경에 대해 이미 보호되어 있지만 조직 또는 고객의 보안 요구 사항에 맞게 다른 영역을 직접 구성해야 합니다. Azure Virtual Desktop 배포에서 담당하는 보안 요구 사항은 다음과 같습니다.
| 구성 요소 | 책임 |
|---|---|
| ID | 고객 또는 파트너 |
| 사용자 디바이스(모바일 및 PC) | 고객 또는 파트너 |
| 앱 보안 | 고객 또는 파트너 |
| 세션 호스트 운영 체제 | 고객 또는 파트너 |
| 배포 구성 | 고객 또는 파트너 |
| 네트워크 제어 | 고객 또는 파트너 |
| 가상화 컨트롤 플레인 | Microsoft |
| 물리적 호스트 | Microsoft |
| 실제 네트워크 | Microsoft |
| 실제 데이터 센터 | Microsoft |
보안 경계
보안 경계는 보안 도메인의 코드와 데이터를 서로 다른 신뢰 수준으로 구분합니다. 예를 들어 일반적으로 커널 모드와 사용자 모드 간에 보안 경계가 있습니다. 대부분의 Microsoft 소프트웨어 및 서비스는 여러 보안 경계에 의존하여 디바이스의 네트워크, VM(가상 머신) 및 애플리케이션에서 디바이스를 격리합니다. 다음 표에서는 Windows에 대한 각 보안 경계와 전반적인 보안을 위해 수행하는 작업을 나열합니다.
| 보안 경계 | 설명 |
|---|---|
| 네트워크 경계 | 권한 없는 네트워크 엔드포인트는 고객의 디바이스에서 코드 및 데이터에 액세스하거나 변조할 수 없습니다. |
| 커널 경계 | 비관리 사용자 모드 프로세스는 커널 코드 및 데이터에 액세스하거나 변조할 수 없습니다. 관리자-커널은 보안 경계가 아닙니다. |
| 프로세스 경계 | 권한 없는 사용자 모드 프로세스는 다른 프로세스의 코드 및 데이터에 액세스하거나 변조할 수 없습니다. |
| AppContainer 샌드박스 경계 | AppContainer 기반 샌드박스 프로세스는 컨테이너 기능에 따라 샌드박스 외부에서 코드 및 데이터에 액세스하거나 변조할 수 없습니다. |
| 사용자 경계 | 사용자는 권한 없이 다른 사용자의 코드 및 데이터에 액세스하거나 변조할 수 없습니다. |
| 세션 경계 | 사용자 세션은 권한 없이 다른 사용자 세션에 액세스하거나 변조할 수 없습니다. |
| 웹 브라우저 경계 | 권한 없는 웹 사이트는 동일 원본 정책을 위반할 수 없으며, Microsoft Edge 웹 브라우저 샌드박스의 네이티브 코드 및 데이터에 액세스하거나 변조할 수도 없습니다. |
| 가상 머신 경계 | 권한 없는 Hyper-V 게스트 가상 머신은 다른 게스트 가상 머신의 코드 및 데이터에 액세스하거나 변조할 수 없습니다. 여기에는 Hyper-V 격리 컨테이너가 포함됩니다. |
| VSM(가상 보안 모드) 경계 | VSM 신뢰할 수 있는 프로세스 또는 Enclave 외부에서 실행되는 코드는 신뢰할 수 있는 프로세스 내에서 데이터 및 코드에 액세스하거나 변조할 수 없습니다. |
Azure Virtual Desktop 시나리오에 권장되는 보안 경계
또한 대/소문자별로 보안 경계에 대해 특정 선택을 해야 합니다. 예를 들어 조직의 사용자가 앱을 설치하기 위해 로컬 관리자 권한이 필요한 경우 공유 세션 호스트 대신 개인 데스크톱을 제공해야 합니다. 이러한 사용자는 세션 또는 NTFS 데이터 권한에 대한 보안 경계를 넘거나, 다중 세션 VM을 종료하거나, 서비스를 중단하거나 데이터 손실을 일으킬 수 있는 기타 작업을 수행할 수 있으므로 다중 세션 풀링된 시나리오에서는 사용자에게 로컬 관리자 권한을 부여하지 않는 것이 좋습니다.
관리자 권한이 필요하지 않은 앱이 있는 지식 근로자와 같은 동일한 조직의 사용자는 Windows 11 Enterprise 다중 세션과 같은 다중 세션 세션 호스트에 적합한 후보입니다. 이러한 세션 호스트는 여러 사용자가 사용자당 VM의 오버헤드 비용으로 단일 VM을 공유할 수 있기 때문에 조직의 비용을 절감합니다. FSLogix와 같은 사용자 프로필 관리 제품을 사용하면 서비스 중단을 알지 못한 상태로 호스트 풀의 모든 VM을 사용자에게 할당할 수 있습니다. 또한 이 기능을 사용하면 사용량이 적은 시간에 VM을 종료하는 등의 작업을 수행하여 비용을 최적화할 수 있습니다.
다른 조직의 사용자가 배포에 연결되어야 하는 경우 Active Directory 및 Microsoft Entra ID와 같은 ID 서비스에 대해 별도의 테넌트를 설치하는 것이 좋습니다. 또한 Azure Virtual Desktop 및 VM과 같은 Azure 리소스를 호스트하는 사용자를 위한 별도의 구독이 있는 것이 좋습니다.
대부분의 경우 다중 세션을 사용하는 것이 비용을 줄일 수 있는 허용 가능한 방법이지만, 권장 여부는 공유 다중 세션 인스턴스에 동시에 액세스하는 사용자 간의 신뢰 수준에 따라 달라집니다. 일반적으로 동일한 조직에 속한 사용자에게는 충분하고 합의된 트러스트 관계가 있습니다. 예를 들어 사람들이 협업하고 서로의 개인 정보에 액세스할 수 있는 부서나 작업 그룹은 신뢰 수준이 높은 조직입니다.
Windows는 보안 경계와 컨트롤을 사용하여 사용자 프로세스 및 데이터가 세션 간에 격리되도록 합니다. 단, Windows는 여전히 사용자가 작업 중인 인스턴스에 액세스할 수 있습니다.
다중 세션 배포는 조직의 내부 및 외부 사용자가 다른 사용자의 개인 정보에 권한 없는 액세스를 하지 못하도록 하기 위한 보안 경계를 더 추가하는 심층 전략의 보안을 활용합니다. 공개하지 않는 보안 취약성이나 아직 패치가 적용되지 않은 알려진 취약성 등 시스템 관리자의 구성 프로세스 오류로 인해 권한 없는 데이터 액세스가 발생합니다.
Microsoft는 서로 다른 회사나 경쟁 회사에서 일하는 사용자에게 동일한 다중 세션 환경에 대한 액세스 권한을 부여하는 것을 추천하지 않습니다. 이러한 시나리오에는 네트워크, 커널, 프로세스, 사용자 또는 세션과 같이 공격하거나 악용할 수 있는 몇 가지 보안 경계가 있습니다. 단일 보안 취약성으로 인해 권한 없는 데이터 및 자격 증명 도난, 개인 정보 유출, ID 도난 및 기타 문제가 발생할 수 있습니다. 가상화된 환경 공급자에게는 강력하고 다양한 보안 경계를 갖춘 잘 설계된 시스템을 제공하고 가능하면 추가 안전 기능을 제공할 책임이 있습니다.
이러한 잠재적 위협을 줄이려면 오류 증명 구성, 패치 관리 디자인 프로세스 및 정기적인 패치 배포 일정이 필요합니다. 심층 방어 원칙을 따르고 환경을 별도로 유지하는 것이 좋습니다.
다음 표에는 각 시나리오에 대한 권장 사항이 요약되어 있습니다.
| 신뢰 수준 시나리오 | 권장된 솔루션 |
|---|---|
| 표준 권한이 있는 한 조직의 사용자 | Windows Enterprise 다중 세션 OS를 사용합니다. |
| 사용자에게 관리 권한이 필요 | 개인 호스트 풀을 사용하고 각 사용자에게 자신의 세션 호스트를 할당합니다. |
| 여러 조직의 사용자 연결 | 별도의 Azure 테넌트 및 Azure 구독 |
Azure 보안 모범 사례
Azure Virtual Desktop은 Azure의 서비스입니다. Azure Virtual Desktop 배포의 안전을 최대화하려면 주변의 Azure 인프라 및 관리 평면도 보호해야 합니다. 인프라를 보호하려면 Azure Virtual Desktop에서 더 큰 Azure 에코시스템에 맞게 조정하는 방법을 고려합니다. Azure 에코시스템에 대한 자세한 내용은 Azure 보안 모범 사례 및 패턴을 참조하세요.
오늘날의 위협 환경은 보안 접근 방식을 염두에 두고 설계해야 합니다. 이상적으로는 데이터와 네트워크가 손상되거나 공격받지 못하도록 보호하기 위해 컴퓨터 네트워크 전체에 계층화된 일련의 보안 메커니즘 및 컨트롤을 빌드하는 것이 좋습니다. 이러한 유형의 보안 설계를 미국 CISA(사이버 보안 및 인프라 보안국)에서 심층 방어라고 부릅니다.
다음 섹션에는 Azure Virtual Desktop 배포를 보호하기 위한 권장 사항이 포함되어 있습니다.
클라우드용 Microsoft Defender 사용
클라우드용 Microsoft Defender의 향상된 보안 기능을 활성화하는 것이 좋습니다.
- 취약성을 관리합니다.
- PCI 보안 표준 위원회와 같은 일반적인 프레임워크의 준수를 평가합니다.
- 환경에 대한 전체 보안을 강화합니다.
자세한 내용은 향상된 보안 기능 사용을 참조하세요.
보안 점수 향상
보안 점수는 전체 보안을 향상시키기 위한 권장 사항 및 모범 사례 권장 사항을 제공합니다. 이러한 권장 사항은 가장 중요한 항목을 선택하는 데 도움이 되도록 우선 순위가 지정되며, 빠른 수정 옵션은 잠재적 취약성을 빠르게 해결하는 데 도움이 됩니다. 또한 이러한 권장 사항은 시간이 지남에 따라 업데이트되므로 환경 보안을 유지하는 가장 좋은 방법을 최신 상태로 유지할 수 있습니다. 자세한 내용은 클라우드용 Microsoft Defender에서 보안 점수 개선을 참조하세요.
다단계 인증 필요
Azure Virtual Desktop의 모든 사용자와 관리자에 대해 다단계 인증을 요구하면 전체 배포의 보안이 향상됩니다. 자세히 알아보려면 Azure Virtual Desktop에 대해 Microsoft Entra 다단계 인증 사용을 참조하세요.
조건부 액세스 사용
조건부 액세스를 사용하도록 설정하면 사용자에게 Azure Virtual Desktop 환경에 대한 액세스 권한을 부여하기 전에 위험을 관리할 수 있습니다. 액세스 권한을 부여할 사용자를 결정할 때 사용자, 해당 사용자가 로그인하는 방법 및 해당 사용자가 사용하는 디바이스도 고려하는 것이 좋습니다.
감사 로그 수집
감사 로그 수집을 사용하도록 설정하면 Azure Windows Virtual Desktop과 관련된 사용자 및 관리자 활동을 볼 수 있습니다. 키 감사 로그의 몇 가지 예는 다음과 같습니다.
RemoteApp 사용
배포 모델을 선택할 때 원격 사용자에게 전체 데스크톱에 대한 액세스 권한을 제공하거나 RemoteApp으로 게시할 때 애플리케이션만 선택할 수 있습니다. RemoteApp은 사용자가 가상 데스크톱에서 앱을 사용할 때 원활한 환경을 제공합니다. RemoteApp은 사용자가 애플리케이션에 노출된 원격 컴퓨터의 하위 집합으로만 작업할 수 있도록 하여 위험을 줄입니다.
Azure Monitor를 사용하여 사용량 모니터링
Azure Monitor를 사용하여 Azure Virtual Desktop 서비스의 사용량 및 가용성을 모니터링합니다. 서비스에 영향을 주는 이벤트가 있을 때마다 알림을 받을 수 있도록 Azure Virtual Desktop 서비스에 대한 서비스 상태 경고를 만드는 것이 좋습니다.
세션 호스트 암호화
관리 디스크 암호화 옵션으로 세션 호스트를 암호화하여 무단 액세스로부터 저장된 데이터를 보호합니다.
세션 호스트 보안 모범 사례
세션 호스트는 Azure 구독 및 가상 네트워크 내에서 실행되는 가상 머신입니다. Azure Virtual Desktop 배포의 전체 보안은 세션 호스트에 적용하는 보안 제어에 따라 달라집니다. 이 섹션에서는 세션 호스트를 안전하게 유지하기 위한 모범 사례에 대해 설명합니다.
엔드포인트 보호 사용
알려진 악성 소프트웨어로부터 배포를 보호하려면 모든 세션 호스트에서 엔드포인트 보호를 사용하도록 설정하는 것이 좋습니다. Windows Defender 바이러스 백신 또는 타사 프로그램을 사용할 수 있습니다. 자세한 내용은 VDI 환경에서 Windows Defender 바이러스 백신 배포 가이드를 참조하세요.
FSLogix와 같은 프로필 솔루션 또는 가상 하드 디스크 파일을 탑재하는 기타 솔루션의 경우 해당 파일 확장명을 제외하는 것이 좋습니다.
엔드포인트 검색 및 응답 제품 설치
고급 검색 및 응답 기능을 제공하려면 EDR(엔드포인트 검색 및 응답) 제품을 설치하는 것이 좋습니다. 클라우드용 Microsoft Defender를 사용하는 서버 운영 체제의 경우 EDR 제품을 설치하면 엔드포인트용 Microsoft Defender가 배포됩니다. 클라이언트 운영 체제의 경우 엔드포인트용 Microsoft Defender 또는 타사 제품을 해당 엔드포인트에 배포할 수 있습니다.
위협 및 취약성 관리 평가 사용
운영 체제 및 애플리케이션에 있는 소프트웨어 취약성을 식별하는 것은 환경을 안전하게 유지하는 데 매우 중요합니다. 클라우드용 Microsoft Defender는 엔드포인트용 Microsoft Defender의 위협 및 취약성 관리 솔루션을 통해 문제 지점을 식별하는 데 도움이 될 수 있습니다. 클라우드용 Microsoft Defender 및 엔드포인트용 Microsoft Defender를 사용하는 것이 좋지만 원하는 경우 타사 제품을 사용할 수도 있습니다.
사용자 환경에서 소프트웨어 취약성 패치
취약성이 식별되면 패치를 적용해야 합니다. 이는 실행되는 운영 체제, 그 내부에 배포된 애플리케이션 및 새 컴퓨터를 만드는 이미지를 포함하는 가상 환경에도 적용됩니다. 공급업체 패치 알림 통신에 따라 적시에 패치를 수행합니다. 새로 배포된 컴퓨터가 최대한 안전하게 유지하기 위해 매월 기본 이미지를 패치하는 것이 좋습니다.
최대 비활성 시간 및 연결 끊기 정책 설정
사용자가 비활성 상태일 때 로그아웃하면 리소스가 유지되고 권한 없는 사용자가 액세스할 수 없게 됩니다. 시간 제한에서 사용자 생산성과 리소스 사용량 간의 균형을 유지하는 것이 좋습니다. 상태 비저장 애플리케이션과 상호 작용하는 사용자의 경우 컴퓨터를 끄고 리소스를 유지하는 더 적극적인 정책을 고려합니다. 시뮬레이션 또는 CAD 렌더링과 같이 사용자가 유휴 상태일 때 계속 실행되는 장기 실행 애플리케이션의 연결을 끊으면 사용자의 작업이 중단되고 컴퓨터를 다시 시작해야 할 수도 있습니다.
유휴 세션에 대한 화면 잠금 설정
유휴 시간 동안 컴퓨터 화면을 잠그도록 Azure Virtual Desktop을 구성하고, 잠금을 해제하려면 인증을 요구하여 원치 않는 시스템 액세스를 방지할 수 있습니다.
계층화된 관리자 액세스 설정
사용자에게 가상 데스크톱에 대한 관리자 액세스 권한을 부여하지 않는 것이 좋습니다. 소프트웨어 패키지가 필요한 경우 Microsoft Intune과 같은 구성 관리 유틸리티를 통해 이를 제공하는 것이 좋습니다. 다중 세션 환경에서는 사용자가 소프트웨어를 직접 설치할 수 없도록 하는 것이 좋습니다.
액세스해야 하는 사용자 및 리소스에 대한 고려
세션 호스트를 기존 데스크톱 배포의 확장으로 간주합니다. 네트워크 조각화 및 필터링을 사용하는 것과 같이 환경의 다른 데스크톱에서와 동일한 방식으로 네트워크 리소스에 대한 액세스를 제어하는 것이 좋습니다. 기본적으로 세션 호스트는 인터넷의 모든 리소스에 연결할 수 있습니다. Azure Firewall, 네트워크 가상 어플라이언스 또는 프록시를 사용하는 등 트래픽을 제한할 수 있는 여러 가지 방법이 있습니다. 트래픽을 제한해야 하는 경우 Azure Virtual Desktop이 제대로 작동할 수 있도록 적절한 규칙을 추가해야 합니다.
Microsoft 365 앱 보안 관리
세션 호스트를 보호하는 것 외에도 세션 호스트 내에서 실행되는 애플리케이션을 보호하는 것도 중요합니다. Microsoft 365 앱은 세션 호스트에 배포되는 가장 일반적인 애플리케이션 중 일부입니다. Microsoft 365 배포 보안을 향상시키려면 보안 정책 관리자를 기업용 Microsoft 365 앱에 사용하는 것이 좋습니다. 이 도구는 추가 보안을 위해 배포에 적용할 수 있는 정책을 식별합니다. 또한 보안 정책 관리자는 보안 및 생산성에 미치는 영향에 기반한 정책을 권장합니다.
사용자 프로필 보안
사용자 프로필에는 중요한 정보가 포함될 수 있습니다. 사용자 프로필에 액세스할 수 있는 사용자와 액세스 방법을 제한해야 합니다. 특히 FSLogix 프로필 컨테이너를 사용하여 SMB 공유의 가상 하드 디스크 파일에 사용자 프로필을 저장하는 경우에는 더욱 그렇습니다. SMB 공유 공급자의 보안 권장 사항을 따라야 합니다. 예를 들어, Azure Files를 사용하여 가상 하드 디스크 파일을 저장하는 경우 프라이빗 엔드포인트를 사용하여 Azure Virtual Network 내에서만 해당 파일에 액세스할 수 있도록 할 수 있습니다.
세션 호스트에 대한 기타 보안 팁
운영 체제 기능을 제한하여 세션 호스트의 보안을 강화할 수 있습니다. 수행할 수 있는 몇 가지 작업은 다음과 같습니다.
드라이브, 프린터 및 USB 디바이스를 원격 데스크톱 세션에서 사용자의 로컬 디바이스로 리디렉션하도록 디바이스 리디렉션을 제어합니다. 보안 요구 사항을 평가하고 이러한 기능을 사용하지 않도록 설정해야 하는지 여부를 확인하는 것이 좋습니다.
로컬 및 원격 드라이브 매핑을 숨겨 Windows 탐색기 액세스를 제한합니다. 이렇게 하면 사용자가 시스템 구성 및 사용자에 대한 원치 않는 정보를 검색할 수 없도록 방지합니다.
RDP에서 사용자 환경의 세션 호스트에 직접 액세스하지 못하도록 방지합니다. 관리 또는 문제 해결을 위해 RDP에 직접 액세스해야 하는 경우 Just-In-Time 액세스를 사용하도록 설정하여 세션 호스트의 잠재적인 공격 노출 영역을 제한합니다.
로컬 및 원격 파일 시스템에 액세스할 때 사용자에게 제한된 권한을 부여합니다. 권한은 로컬 및 원격 파일 시스템에서 최소 권한으로 액세스 제어 목록을 사용하도록 하여 제한할 수 있습니다. 이렇게 하면 사용자는 필요한 항목에만 액세스할 수 있으며 중요한 리소스를 변경하거나 삭제할 수 없습니다.
원치 않는 소프트웨어가 세션 호스트에서 실행되지 않도록 방지합니다. 세션 호스트에서 추가 보안을 위해 AppLocker를 사용하도록 설정하여 허용하는 앱만 호스트에서 실행할 수 있도록 할 수 있습니다.
신뢰할 수 있는 시작
신뢰할 수 있는 시작은 루트킷, 부팅 키트 및 커널 수준 맬웨어와 같은 공격 벡터를 통해 "스택 맨 아래" 위협으로부터 보호하기 위한 향상된 보안 기능을 갖춘 2세대 Azure VM입니다. 다음은 Azure Virtual Desktop에서 지원되는 신뢰할 수 있는 시작의 향상된 보안 기능입니다. 신뢰할 수 있는 시작에 대한 자세한 내용은 Azure 가상 머신에 대한 신뢰할 수 있는 시작을 방문하세요.
신뢰할 수 있는 시작을 기본값으로 사용하도록 설정
신뢰할 수 있는 시작은 지속적인 고급 공격 기술로부터 보호합니다. 또한 이 기능을 사용하면 검증된 부트 로더, OS 커널 및 드라이버가 포함된 VM을 안전하게 배포할 수 있습니다. 신뢰할 수 있는 시작은 VM의 키, 인증서 및 비밀도 보호합니다. Azure Virtual Machines의 신뢰할 수 있는 시작에서 신뢰할 수 있는 시작에 대해 자세히 알아봅니다.
Azure Portal을 사용하여 세션 호스트를 추가하면 보안 형식이 자동으로 신뢰할 수 있는 가상 머신으로 변경됩니다. 이렇게 하면 VM이 Windows 11의 필수 요구 사항을 충족하는지 확인할 수 있습니다. 이러한 요구 사항에 대한 자세한 내용은 가상 머신 지원을 참조하세요.
Azure 기밀 컴퓨팅 가상 머신
Azure 기밀 컴퓨팅 가상 머신에 대한 Azure Virtual Desktop 지원은 사용자의 가상 데스크톱이 메모리에서 암호화되고 사용 중에 보호되며 하드웨어 신뢰할 수 있는 루트로 지원되도록 합니다. Azure Virtual Desktop용 Azure 기밀 컴퓨팅 VM은 지원되는 운영 체제와 호환됩니다. Azure Virtual Desktop을 사용하여 기밀 VM을 배포하면 사용자가 하드웨어 기반 격리를 사용하는 세션 호스트에서 Microsoft 365 및 기타 애플리케이션에 액세스할 수 있으므로 다른 가상 머신, 하이퍼바이저 및 호스트 OS와의 격리가 강화됩니다. 이러한 가상 데스크톱은 SEV-SNP(Secure Encrypted Virtualization Secure Nested Paging) 기술이 적용된 최신 3세대(Gen 3) AMD(Advanced Micro Devices) EPYC™ 프로세서로 구동됩니다. 메모리 암호화 키는 소프트웨어에서 읽을 수 없는 AMD CPU 내부의 전용 보안 프로세서에 의해 생성 및 보호됩니다. 자세한 내용은 Azure 기밀 컴퓨팅 개요를 참조하세요.
Azure Virtual Desktop에서 기밀 VM이 있는 세션 호스트로 사용하도록 지원되는 운영 체제는 다음과 같습니다.
- Windows 11 Enterprise, 버전 22H2
- Windows 11 Enterprise 다중 세션, 버전 22H2
- Windows Server 2022
- Windows Server 2019
호스트 풀을 만들거나호스트 풀에 세션 호스트를 추가할 때 기밀 VM을 사용하여 세션 호스트를 만들 수 있습니다.
OS 디스크 암호화
운영 체제 디스크 암호화는 디스크 암호화 키를 기밀 컴퓨팅 VM의 TPM(신뢰할 수 있는 플랫폼 모듈)에 바인딩하는 추가 암호화 계층입니다. 이 암호화를 통해 VM에서만 디스크 콘텐츠에 액세스할 수 있습니다. 무결성 모니터링을 사용하면 VM 부팅 무결성의 암호화 증명 및 확인을 수행할 수 있으며, 정의된 기준에 따라 증명이 실패하여 VM이 부팅되지 않은 경우 경고를 모니터링할 수 있습니다. 무결성 모니터링에 대한 자세한 내용은 클라우드용 Microsoft Defender 통합를 참조하세요. 호스트 풀을 만들거나호스트 풀에 세션 호스트를 추가할 때 기밀 VM을 사용하여 세션 호스트를 만들면 기밀 컴퓨팅 암호화를 사용하도록 설정할 수 있습니다.
보안 부팅
보안 부팅은 맬웨어 기반 루트킷 및 부팅 키트로부터 펌웨어를 보호하기 위해 플랫폼 펌웨어에서 지원하는 모드입니다. 이 모드에서는 서명된 운영 체제 및 드라이버만 부팅할 수 있습니다.
원격 증명을 사용하여 부팅 무결성 모니터링
원격 증명은 VM 상태를 확인하는 좋은 방법입니다. 원격 증명은 계획 부팅 레코드가 있고, 정품이며, vTPM(가상 신뢰할 수 있는 플랫폼 모듈)에서 시작되는지 확인합니다. 상태 확인은 플랫폼이 올바르게 시작되었다는 암호화 확신을 제공합니다.
vTPM
vTPM은 VM당 TPM의 가상 인스턴스가 있는 하드웨어 TPM(신뢰할 수 있는 플랫폼 모듈)의 가상화된 버전입니다. vTPM은 VM의 전체 부팅 체인(UEFI, OS, 시스템 및 드라이버)의 무결성 측정을 수행하여 원격 증명을 활성화합니다.
VM에서 원격 증명을 사용하려면 vTPM을 사용하도록 설정하는 것이 좋습니다. vTPM을 사용하도록 설정하면 미사용 데이터를 보호하기 위해 전체 볼륨 암호화를 제공하는 Azure Disk Encryption으로 BitLocker 기능을 사용할 수도 있습니다. vTPM을 사용하는 모든 기능은 특정 VM에 바인딩되는 비밀을 생성합니다. 풀링된 시나리오에서 사용자가 Azure Virtual Desktop 서비스에 연결하면 사용자를 호스트 풀의 모든 VM으로 리디렉션할 수 있습니다. 기능이 설계되는 방법에 따라 영향을 받을 수 있습니다.
참고 항목
BitLocker는 FSLogix 프로필 데이터를 저장하는 특정 디스크를 암호화하는 데 사용하면 안 됩니다.
가상화 기반 보안
VBS(가상화 기반 보안)는 하이퍼바이저를 사용하여 OS에 액세스할 수 없는 안전한 메모리 영역을 만들고 격리합니다. HVCI(Hypervisor-Protected Code Integrity) 및 Windows Defender Credential Guard는 모두 VBS를 사용하여 취약성으로부터 더 향상된 보호 기능을 제공합니다.
Hypervisor-Protected Code Integrity
HVCI는 VBS를 사용하여 악성 코드 또는 확인되지 않은 코드의 삽입 및 실행으로부터 Windows 커널 모드 프로세스를 보호하는 강력한 시스템 완화 기능입니다.
Windows Defender Credential Guard
Windows Defender Credential Guard 사용. Windows Defender Credential Guard는 VBS를 사용하여 권한 있는 시스템 소프트웨어만 액세스할 수 있도록 비밀을 격리하고 보호합니다. 이렇게 하면 이러한 비밀 및 자격 증명 도난 공격(예: Pass-the-Hash 공격)에 대한 무단 액세스를 방지합니다. 자세한 내용은 Credential Guard를 참조하세요.
Windows Defender 애플리케이션 제어
Windows Defender 애플리케이션 컨트롤을 사용하도록 설정합니다. Windows Defender 애플리케이션 제어는 맬웨어 및 기타 신뢰할 수 없는 소프트웨어로부터 디바이스를 보호하도록 설계되었습니다. 알고 있는 승인된 코드만 실행할 수 있도록 하여 악성코드가 실행되지 않도록 방지합니다. 자세한 내용은 Windows용 애플리케이션 제어를 참조하세요.
참고 항목
Windows Defender Access Control을 사용하는 경우 디바이스 수준의 정책만 대상으로 지정하는 것이 좋습니다. 개별 사용자를 대상으로 정책을 지정할 수 있지만 정책이 적용되면 디바이스의 모든 사용자에게 동일한 영향을 줍니다.
Windows 업데이트
Windows 업데이트의 업데이트를 통해 세션 호스트를 최신 상태로 유지합니다. Windows 업데이트는 디바이스를 최신 상태로 유지하는 안전한 방법을 제공합니다. 엔드투엔드 보호는 프로토콜 교환 조작을 방지하고 업데이트에 승인된 콘텐츠만 포함되도록 합니다. Windows 업데이트 대한 적절한 액세스 권한을 얻으려면 일부 보호된 환경에 대한 방화벽 및 프록시 규칙을 업데이트해야 할 수 있습니다. 자세한 내용은 Windows 업데이트 보안을 참조하세요.
원격 데스크톱 클라이언트 및 다른 OS 플랫폼의 업데이트
다른 OS 플랫폼의 Azure Virtual Desktop 서비스에 액세스하는 데 사용할 수 있는 원격 데스크톱 클라이언트에 대한 소프트웨어 업데이트는 해당 플랫폼의 보안 정책에 따라 보호됩니다. 모든 클라이언트 업데이트는 해당 플랫폼에서 직접 제공됩니다. 자세한 내용은 각 앱의 해당 저장소 페이지를 참조하세요.
다음 단계
- 다단계 인증 설정 방법을 알아봅니다.
- Azure Virtual Desktop 배포에 제로 트러스트 원칙을 적용합니다.