네트워크 액세스 보안
앞서 설명했듯이 Azure Virtual Desktop은 공유 서비스 제품입니다. Microsoft는 고객을 대신하여 서비스의 일부를 관리하고 클라이언트와 세션 호스트를 연결하기 위한 보안 끝점을 제공합니다.
Azure Virtual Desktop에서는 RDP(원격 데스크톱 프로토콜)를 사용하여 네트워크 연결을 통해 원격 표시 및 입력 기능을 제공합니다. Azure Virtual Desktop의 연결 데이터 흐름은 가장 가까운 Azure 데이터 센터에 대한 DNS 조회로 시작됩니다.
- Microsoft Entra ID 인증되면 토큰이 원격 데스크톱 서비스 클라이언트로 반환됩니다.
- 게이트웨이에서 연결 브로커로 토큰을 확인합니다.
- 브로커가 Azure SQL 데이터베이스에서 사용자에게 할당된 리소스에 대해 쿼리합니다.
- 게이트웨이와 브로커는 연결된 클라이언트의 세션 호스트를 선택합니다.
- 세션 호스트는 Azure Virtual Desktop 게이트웨이를 사용하여 클라이언트에 대한 역방향 연결을 만듭니다.
열려 있는 인바운드 포트가 없습니다. 이 버전에서 게이트웨이는 지능형 역방향 프록시 역할을 합니다. 게이트웨이는 클라이언트에 도달하는 픽셀만으로 모든 세션 연결을 관리합니다. 다음 이미지는 Azure에서 실행되는 Azure Virtual Desktop에 대한 5단계 연결 프로세스를 보여줍니다.
NSG 서비스 태그로 Azure Virtual Desktop 트래픽 제한
서비스 태그를 통해 Azure VM에 대한 보안이 간소화됩니다. Azure Virtual Network는 Azure Virtual Desktop 배포에 사용되기 때문에 서비스 태그를 사용하여 Azure 서비스로만으로 네트워크 액세스를 쉽게 제한할 수 있습니다. NSG(네트워크 보안 그룹) 규칙에서 서비스 태그를 사용하여 전역 또는 Azure 지역별로 특정 Azure 서비스에 트래픽을 허용하거나 거부할 수 있습니다.
NSG
NSG는 Azure 리소스로 들어오거나 나가는 네트워크 트래픽 흐름을 부여하거나 거부하는 보안 규칙 컬렉션입니다. 각 규칙은 이름, 우선 순위, 원본 또는 대상, 프로토콜, 방향, 포트 범위 및 작업과 같은 속성을 지정할 수 있습니다. NSG는 계층 3 및 계층 4 네트워크 보안 서비스입니다.
서비스 태그
서비스 태그는 Azure 서비스의 IP 주소 접두사 그룹을 나타냅니다. 네트워크 보안 규칙에 대한 빈번한 업데이트의 복잡성을 최소화하는 데 도움이 됩니다. Microsoft는 서비스 태그가 포함된 주소를 관리하고 주소가 변경되면 서비스 태그를 자동으로 업데이트합니다. Azure 관리자는 자체 서비스 태그를 만들거나 태그 내에 포함된 IP 주소를 지정할 수 없습니다.
NSG 규칙 내의 서비스 태그를 사용하여 전역 또는 지역적으로 Azure Virtual Desktop 서비스로의 네트워크 트래픽을 세밀하게 조정합니다. 네트워크 규칙의 대상 필드에서 Azure Firewall을 사용할 수 있습니다. 특정 IP 주소 대신 사용할 수 있습니다.
응용 프로그램 수준 보호를 위한 Azure Firewall
Azure Virtual Desktop 호스트 풀에 있는 VM에는 가상 네트워크 보안 제어가 적용됩니다. 제대로 작동하려면 Azure Virtual Desktop 서비스에 대한 아웃바운드 인터넷 액세스가 필요합니다. 또한 사용자를 위해 아웃바운드 인터넷 액세스가 필요할 수 있습니다. Azure Firewall을 사용하여 환경을 잠그고 아웃바운드 트래픽을 필터링할 수 있습니다.
제대로 작동하려면 Azure Virtual Desktop 호스트에서 FQDNs(정식 도메인 이름)에 액세스해야 합니다. Azure Firewall은 이 구성을 간소화하기 위해 Azure Virtual Desktop FQDN 태그를 제공합니다.
아웃바운드 트래픽을 허용하고 방화벽 규칙을 구성하는 단계는 이 모듈에서 다루지 않습니다. 이 모듈의 요약에는 추가 정보에 대한 링크가 포함되어 있습니다.