[데일리 강의] AZ-140 — Azure Active Directory (Entra ID) 파헤치기
작성자: azure | 작성일: 2026년 07월 10일 | 조회: 0 | 좋아요: 0
Microsoft Azure Virtual Desktop Specialty (AZ-140)
보안 및 ID 핵심 이론 강의
Azure Virtual Desktop 환경을 위한 통합 보안 정책 및 접근 제어 구현
AZ-140 핵심: Azure AD, RBAC, Azure Policy를 활용한 AVD 보안 강화 전략
Azure Virtual Desktop (AVD) 환경은 사용자에게 유연한 원격 작업 환경을 제공하지만, 그만큼 강력한 보안과 접근 제어가 필수적입니다. 민감한 데이터와 애플리케이션에 대한 접근을 보호하고 규제 준수 요구사항을 충족하기 위해, AVD 인프라 전반에 걸쳐 통합된 보안 전략을 수립해야 합니다. 이 강의에서는 Azure Active Directory (Azure AD/Entra ID), 역할 기반 접근 제어 (RBAC), 그리고 Azure Policy를 활용하여 AVD 환경의 보안을 어떻게 강화할 수 있는지 심도 있게 다룹니다.
1 Azure Active Directory (Azure AD/Entra ID) 기반 ID 관리
Azure AD는 AVD의 모든 사용자 및 그룹 인증의 허브입니다. 조건부 접근 (Conditional Access) 정책을 통해 로그인 시 추가 보안 검사를 적용하고, 다단계 인증 (MFA)을 강제하여 무단 접근을 방지합니다. 또한, 그룹 기반 접근을 통해 효율적인 사용자 관리를 가능하게 하며, AVD 환경에서 사용자 ID의 중앙 집중식 관리를 제공합니다.
2 역할 기반 접근 제어 (RBAC)를 통한 AVD 리소스 권한 관리
RBAC는 AVD 호스트 풀 (Host Pool), 애플리케이션 그룹 (Application Group), 작업 영역 (Workspace) 등 Azure 리소스에 대한 접근 권한을 세밀하게 제어합니다. 관리자는 사용자 또는 그룹에 특정 역할을 할당하여 필요한 최소한의 권한만 부여하는 최소 권한 원칙 (Least Privilege Principle)을 구현할 수 있습니다. 이는 AVD 관리 작업의 보안을 강화하고 운영상의 실수를 줄이는 데 필수적입니다.
3 Azure Policy를 활용한 AVD 환경의 규제 준수 및 보안 거버넌스
Azure Policy는 조직의 보안 표준과 규제 준수 요구사항을 AVD 리소스에 자동으로 적용하고 강제하는 서비스입니다. 특정 VM 크기만 허용하거나, 특정 태그를 필수로 지정하고, 네트워크 보안 그룹 (NSG) 구성이 특정 규칙을 따르도록 강제하는 등 AVD 인프라 전반에 걸친 보안 거버넌스를 중앙에서 관리할 수 있습니다. 이는 AVD 배포의 일관성과 보안 표준 유지를 보장합니다.
한 금융 기업은 민감한 고객 데이터를 처리하는 직원들을 위해 Azure Virtual Desktop을 도입했습니다. 이 기업은 엄격한 규제 (예: 금융보안원 가이드라인)를 준수해야 하며, 데이터 유출 및 무단 접근을 철저히 방지해야 합니다.
**아키텍처 구성 및 모범 사례:**
1. **ID 및 접근 제어**: 모든 직원은 Azure AD (Entra ID)에 통합된 계정을 사용하며, 관리자 및 민감 데이터 접근이 필요한 사용자는 조건부 접근 정책에 따라 MFA (Multi-Factor Authentication)를 강제하고, 신뢰할 수 있는 디바이스에서만 AVD 세션에 접근하도록 정책을 구성합니다. AVD 관리자 역할은 'Desktop Virtualization Contributor' 및 'User Access Administrator'와 같은 최소 권한 역할로 세분화하여 할당하고, 일반 사용자에게는 'Desktop Virtualization User' 역할을 할당하여 할당된 애플리케이션 그룹 및 데스크톱에만 접근할 수 있도록 합니다.
2. **보안 거버넌스 및 규제 준수**: Azure Policy를 활용하여 AVD 세션 호스트 (Session Host) VM에는 특정 보안 확장 (예: Microsoft Defender for Endpoint)이 설치되도록 강제하고, 세션 호스트가 특정 가상 네트워크 (Virtual Network) 및 서브넷 (Subnet)에만 배포되도록 제한하는 정책을 설정합니다. 또한, 모든 AVD 리소스에 필수 태그를 부여하도록 강제하고, 네트워크 보안 그룹 (NSG)에 특정 인바운드/아웃바운드 규칙 (예: RDP 접근은 특정 관리 서브넷에서만 허용)이 존재하도록 감사 또는 강제하는 정책을 적용합니다.
3. **데이터 보호**: AVD 세션 호스트의 OS 및 데이터 디스크에 Azure Disk Encryption (ADE)을 적용하여 미사용 데이터를 암호화하며, 암호화 키는 Azure Key Vault에 안전하게 저장됩니다.
**모범 사례**: 최소 권한 원칙 (Least Privilege Principle)을 철저히 준수하고, 모든 접근 및 구성 변경 사항에 대한 감사 로그를 지속적으로 모니터링하여 이상 징후를 조기에 감지합니다. 정기적인 보안 검토를 통해 정책의 유효성을 확인하고 업데이트합니다.
**Azure AD 조건부 접근 (Conditional Access)과 RBAC의 차이점 및 상호 보완 관계**: 조건부 접근은 '인증' 단계에서 사용자 접근 조건을 결정하고, RBAC는 '인가' 단계에서 리소스에 대한 특정 작업을 허용/거부합니다. 두 서비스는 AVD 보안에 필수적이며 함께 사용될 때 강력한 보안 정책을 구현합니다.
**Azure Policy의 적용 범위 및 효과적인 활용 방안**: AVD 세션 호스트 VM, 디스크, 네트워크 구성 등 AVD 관련 모든 Azure 리소스에 정책을 적용할 수 있습니다. 특히 배포 시 보안 표준 강제, 명명 규칙, 태그 강제 등을 통해 거버넌스를 확립하는 데 중요합니다.
**최소 권한 원칙 (Least Privilege Principle)의 중요성**: AZ-140 시험에서는 관리자 권한 최소화 및 사용자 역할 세분화에 대한 질문이 자주 출제됩니다. AVD 환경에서 필요한 최소한의 권한만 부여하는 것이 보안의 핵심임을 기억하세요.
🏷️ 관련 Azure 서비스
📚 Azure 자격증 합격을 위한 데일리 이론 강의
매일 새로운 강의 노트가 업데이트됩니다 | 더 많은 자료 보기 →