서버 격리 정책 디자인

적용 대상

  • Windows 10
  • Windows Server 2016

서버 인증 정책 디자인에서는 승인된 NAG(네트워크 액세스 그룹)의 구성원으로 인증하는 사용자 및 장치에만 액세스를 허용하는 서버에 서버를 할당합니다.

이 디자인은 일반적으로 도메인 고리 정책 디자인 섹션에 설명된 바와 같이 구성된 네트워크에서 시작됩니다. 이 디자인에서는 추가 보안 요구 사항이 있는 서버의 영역이 생성됩니다. 이 영역은 서버에 대한 액세스를 권한이 부여된 그룹의 구성원으로만 제한할 수 있으며, 필요한 경우 이러한 서버의 모든 트래픽 암호화가 필요할 수 있습니다. 이는 서버당 또는 공통 보안 요구 사항을 공유하는 서버 그룹에 대해 수행될 수 있습니다.

도메인을 사용하지 않고도 서버 고리 디자인을 구현할 수 있습니다. 이렇게하려면 도메인 격리와 동일한 원칙을 사용하지만 Active Directory 도메인에 적용하는 대신 격리된 서버에 액세스할 수 있어야 하는 장치에만 적용합니다. GPO에는 격리된 서버와 통신할 때 인증이 필요한 연결 보안 및 방화벽 규칙이 포함되어 있습니다. 이 경우 격리된 서버에 액세스할 수 있는 사용자 및 장치를 결정하는 NAG도 GPO를 받는 장치를 결정하는 데 사용됩니다.

다음 그림에는 허용된 통신 경로를 표시하는 화살표가 있는 디자인이 나와 있습니다.

격리된 서버가 있는 격리된 도메인

이 디자인의 특징은 다음과 같습니다.

  • 격리된 도메인(영역 A) - 도메인 격리 정책 디자인 섹션에 설명된 격리된 도메인과 동일합니다. 격리된 도메인에 경계 영역이 포함되어 있는 경우 경계 영역의 장치는 서버 격리 영역의 장치와 상호 작용하는 방식으로 격리된 도메인의 다른 구성원과 마찬가지로 작동합니다.

  • 격리된 서버(영역 B) - 서버 격리 영역의 장치는 액세스 권한을 부여된 NAG(네트워크 액세스 그룹)의 구성원으로 인증하는 장치 및 선택적 사용자에 대한 액세스를 제한합니다.

  • 암호화 영역(영역 C) - 교환되는 데이터가 충분히 중요한 경우 영역의 연결 보안 규칙에 따라 네트워크 트래픽을 암호화해야 할 수도 있습니다. 암호화 영역은 대개 별도의 영역이 아닌 서버 분리 영역의 일부인 규칙으로 구현됩니다. 이 다이어그램은 개념을 개념의 하위 집합으로만 보여 주며,

서버 격리에 대한 지원을 추가하려면 인증 방법이 격리된 서버의 요구 사항과 호환되는지 확인합니다. 예를 들어 컴퓨터 계정에 대한 인증 외에도 NAG의 구성원인 사용자 계정에 권한을 설정하려면 연결 보안 규칙에서 사용자 인증과 컴퓨터 인증을 모두 사용하도록 설정해야 합니다.

중요

이 디자인은 도메인 차단 정책 디자인을 기초로 합니다.이 디자인은 기본 방화벽 정책 디자인을 기초로 합니다. 세 가지 디자인을 모두 배포할 계획인 경우 세 디자인 작업을 함께 수행한 다음 제시된 순서대로 배포합니다.

이 디자인은 Active Directory 포리스트의 일부인 장치에 적용할 수 있습니다. Active Directory는 연결 보안 규칙이 포함된 그룹 정책 개체의 중앙 집중식 관리 및 배포를 제공하는 데 필요합니다.

이 디자인에 대한 자세한 내용은

  • 이 디자인은 원치 않는 네트워크 트래픽으로부터 디바이스를 보호하고, 신뢰할 수 있는 장치로만 액세스를 제한하고, 지정된 사용자 또는 장치로만 액세스를 제한하고, 중요한 네트워크 리소스에 액세스할 때 암호화를 요구하는 구현 목표와 어우러진 것입니다.

  • 이 디자인에 대한 자세한 내용은 서버 고리 정책 디자인 예제를 참조합니다.

  • 디자인을 완료하기 전에 고급 보안이 있는 방화벽 Windows Defender 디자인에 설명된 정보를 수집합니다.

  • 이 디자인에 필요한 의사 결정을 내리는 데 도움이 되는 내용은 계획 서버 고리 영역 및 사용 영역의 계획 그룹 정책 배포를 참조합니다.

  • 서버 독립 실행형 정책 디자인을 배포하는 데 사용할 수 있는 작업 목록은 검사 목록: 독립 실행형 서버 독립 실행형 서버 독립 실행형 정책 디자인 구현을 참조하세요.

다음: 인증서 기반의 인증 정책 디자인