최근 몇 년간 VDI(가상 데스크톱 인프라) 구현은 그 어느 때보다 보편화되었습니다. 일부 예측과 달리 VDI가 전체 데스크톱 시장을 대체하지는 않았지만, 다양한 운영상의 이점으로 인해 점점 더 많은 기업이 VDI 환경을 도입하고 있습니다. 가트너에 따르면,대기업의 VDI 도입률이 높으며, VDI 기술에 투자할 계획이 없는 기업은 15%에 불과합니다.
VDI 사용 현황 (전 세계, IT 정규직 50명 이상)
대기업의 VDI 도입과 관련해 몇몇 업종이 두드러집니다. 임상 업무의 이동성 및 전자 의료 기록 의존성으로 인해 의료 산업이 그 하나입니다. 또 다른 예로 금융 서비스 부문은 VDI를 적극적으로 사용해 온 역사를 가지고 있습니다.p> 교육 및 공공 부문에서도 수요가 높게 나타나고 있습니다. 학교들은 학생 실습실을 위한 VDI 솔루션을 필요로 하지만, 교육 분야에서 VDI 도입 확대의 주요 장애물은 여전히 비용 문제입니다. VDI 환경에서도 데이터에 영향을 미치는 일반적인 위험 요소는 여전히 존재합니다: 랜섬웨어, 사회공학 공격, 드라이브 바이 다운로드, 네트워크 스니핑, 취약점 악용, 내부자 위협, 권한 상승, 악성코드 등입니다. 일부에서는 VDI가 작업 완료 후 인스턴스를 종료할 수 있다는 점에서 더 안전한 옵션이라고 주장하지만, 전체 보안 상태는 가장 취약한 부분만큼만 강합니다. 그리고 여러 이유로 VDI 배포는 정확히 그런 취약점을 보입니다: 가상 데스크톱 인프라(VDI) 세계에는 지속적(persistent)과 비지속적(non-persistent)이라는 두 가지 기본 접근 방식이 있습니다. 지속적 VDI는 가상 세션을 의미하지만, 사용자는 파일을 저장하고 설정을 변경하며 자유롭게 맞춤 설정할 수 있는 데스크톱을 보유합니다. 백그라운드에서는 각 데스크톱이 별도의 디스크 이미지에서 실행됩니다. 이러한 유형의 데스크톱은 개인화를 허용하지만, 아래에서 설명하는 비지속적 데스크톱보다 더 많은 저장 공간과 백업이 필요합니다. 매일 로그인하는 사용자들은 이 방식을 훨씬 선호하지만, 저장 공간 비용 절감, 패치 적용 용이성, 자산 가시성 등 VDI의 일부 이점이 감소됩니다. 많은 VDI 지지자들은 비지속적 데스크톱이 지속적 VDI보다 관리가 용이하기 때문에 채택해야 할 방향이라고 주장합니다. 비지속적 방식에서는 단일 디스크 이미지가 다수의 사용자 간에 공유됩니다. 각 사용자가 로그인할 때 공유된 마스터 데스크톱의 복제본을 제공받으며, 해당 복제본은 애플리케이션 가상화(Microsoft App-V, VMware ThinApp 등) 등) 또는 사용자 환경 가상화(AppSense, RES 등)를 통해 필요에 따라 사용자 환경이 맞춤 설정됩니다. 이 접근 방식은 패치 관리 프로그램의 100% 성공률 보장 등 많은 이점이 있지만, 지속성 부족으로 인해 사용자가 파일을 로컬에 저장하거나 바탕 화면 배경 변경, 새 애플리케이션 설치 등 다른 작업을 수행할 수 없어 불편할 수 있습니다. 많은 경우 기업들은 하이브리드 모드를 선택합니다: 비지속적 이미지를 실행하되 특정 애플리케이션에 대한 전용 스토리지를 허용하는 방식입니다. 세션이 클라우드에 상주하는 DaaS(Desktop-as-a-Service)도 주목받는 추세입니다. 이때 제3자가 배포 환경의 가상 데스크톱 인프라 백엔드를 호스팅합니다. 거대 벤더들이 DaaS를 제공하는 데 관심이 증가하는 것을 확인할 수 있습니다(Microsoft Azure, Amazon WorkSpace). 온프레미스 VDI의 다른 전통적인 접근 방식으로는 Citrix의 XenDesktop/XenApp 제품군과 VMware의 HorizonView 뷰 제품군이 있습니다. 선택한 구현 방식과 무관하게 다음 요소들은 반드시 고려되어야 합니다: 보안, 관리 용이성 및 성능 요구 사항을 해결하기 위해, 보안 소프트웨어는 VDI 배포 전에 다음 기준을 충족해야 합니다: 앞서 언급한 바와 같이, "비지속적”과 같은 일부 VDI 시나리오는 개별 세션을 종료하고 항상 기본 이미지에서 시작합니다. 업데이트에 의존하는 제품은 사용자가 로그인할 때마다 업데이트를 강제하기 때문에 "AV 폭풍"을 일으킵니다. 보안을 위해 업데이트에 의존하는 제품은 새 세션이 계속해서 시작되고 업데이트를 시도하는 문제를 극복해야 합니다. 세션이 종료되면 이 악순환이 반복되어 대역폭과 자원을 소모하며 생산성에 영향을 미칩니다. 이러한 이유로 VDI 환경에서 보안 제품 배포는 전통적으로 매우 고통스러운 과정이었습니다. 관리 용이성은 또 다른 핵심 요소입니다. VDI 환경에서는 장치 명명 규칙을 보장하거나 표준화할 수 없습니다. 대부분의 VDI 벤더는 명명 규칙 설정을 허용하지만, 새 세션이 생성될 때마다 이름이 반복되는 경우가 많습니다. 따라서 장치 이름을 기반으로 사용자와 콘솔 매개변수를 식별하는 AV 제품은 충돌을 경험하게 되며, 이는 불필요한 운영 부담과 최종 사용자 영향으로 이어집니다. 또 다른 중요한 기준은 자동화된 폐기 기능입니다. 종료된 세션을 폐기하지 않고 VDI를 관리하는 AV 제품은 수많은 "유령 장치"를 생성하여 운영 현황을 왜곡시키고 대규모 환경에서 자산을 효과적으로 관리할 수 없게 만듭니다. VDI 설정을 배포할 때 가장 원치 않는 것은 모든 인스턴스에 악성 코드를 포함시키는 것입니다. 골든 이미지가 완벽하지 않다면 상당한 위험을 감수하는 것입니다. 디스크에 저장된 악성코드를 '감지'하거나 단순히 파일 실행만 확인하는 제품만으로는 이 공격 표면에 대응하기에 충분하지 않아 VDI 환경이 취약해집니다. 일부 벤더는 기능이 제한적이긴 하지만 VDI 전용 에이전트를 제공합니다. 이로 인해 VDI 환경은 노출된 공격 표면이 됩니다. 안티바이러스 공급업체의 편의성 외에는 VDI 커버리지를 제한할 이유가 없습니다. 타협하지 않고 완전한 보호, 가시성 및 대응 기능을 제공할 수 있는 공급업체를 찾으십시오. VDI 엔드포인트는 SOC 분석가가 위협 사냥을 수행할 수 있는 표면이기도 해야 합니다. 의심스러운 활동이 식별되면 실제 감염 경로를 찾기 위해 의심스러운 활동의 근원을 파악해야 하기 때문입니다.& 두 가지 일반적인 라이선스 모델이 있습니다: 당연히 동시 사용 라이선스 모델을 선택하세요. 비용을 절감할 수 있습니다. VDI의 한 가지 장점은 하드웨어 및 운영 비용의 절감입니다. 물리적 장치와 마찬가지로 리소스 할당이 필요한 AV 솔루션을 선택하게 되면 VDI 사용의 핵심 가치를 놓치게 됩니다. VDI 성능에 영향을 미치는 또 다른 요소는 는 기본 이미지에 설치해야 하는 애플리케이션의 수입니다. 컴퓨터 성능과 최종 사용자 경험/생산성이 AV 실행으로 인해 저하되지 않도록 가볍고 견고한 엔드포인트 보호 솔루션을 선택하십시오. 여러 에이전트를 사용하는 솔루션은 자원 소모가 더 많으므로 피하십시오. SentinelOne 자율 에이전트는 위의 모든 기준을 충족하고 뛰어넘습니다. 씬 클라이언트, 계층형 애플리케이션 및 기타 VDI 시나리오를 포함한 데스크톱 가상화에 대한 증가하는 수요를 보호하는 효율적인 솔루션입니다. 업데이트가 필요하지 않으며 시그니처나 기타 레거시 안티바이러스 요구사항에 의존하지 않습니다. SentinelOne은 기능이나 보호 수준을 저하시키지 않고 다음과 같은 모든 일반적인 VDI 시나리오를 기본적으로 지원합니다: SentinelOne은 다음 가상화 공급자를 지원합니다: VDI 보안은 엔드포인트 보안, 네트워크 세분화, 데이터 암호화 및 접근 제어와 결합됩니다. 다양한 접근 방식이 존재하지만, 가장 효과적인 방법은 귀사의 인프라에 적합한 옵션을 선택하는 것입니다. VDI 보안은 많은 이점을 제공하지만, 가장 큰 장점은 조직의 미래 대비를 가능하게 한다는 점입니다. 센티넬원은 VDI 보안 여정을 간소화하고 이 점에서 귀중한 파트너가 될 수 있습니다. 지금 바로 저희 솔루션을 체험해 보시고 조직에 어떻게 도움이 되는지 확인해 보십시오.
VDI 보안의 필요성
VDI 접근 방식
지속적 VDI
비지속적 VDI
기타 동향
VDI 보안을 위한 6가지 핵심 고려 사항
1. 업데이트에만 의존하지 마십시오
2. 관리 용이성 확보 및 중복 항목 방지
3. 기본 이미지 스캔이 필요합니다
4. 동등한 보호 및 기능 요구
5. 진정한 비용 계산하기
6. 성능 영향이 중요합니다
SentinelOne을 선택해야 하는 이유
[1] 가트너, 시장 동향: VDI 수요는 증가하고 있지만 모두가 성공하지는 않을 것, 마이클 워릴로우와 네이선 힐, 2017년 4월, https://www.gartner.com/document/code/325320
결론
VDI 보안 FAQ
가상 데스크톱 인프라(VDI)는 로컬 머신 대신 원격 서버에서 데스크톱 환경을 실행할 수 있게 합니다. 사용자는 네트워크를 통해 연결하여 어디서나 완전한 Windows 또는 Linux 데스크톱에 액세스할 수 있습니다.
VDI는 데스크톱 관리를 중앙 집중화하므로 보안 패치와 구성은 서버에 저장됩니다. 익숙한 작업 공간과 상호작용하지만 데이터는 데이터 센터를 벗어나지 않아 엔드포인트 장치의 노출 위험을 줄입니다.
VDI 보안이 중요한 이유는 데스크톱이 중앙 집중식 서버에서 실행되어 고가치 공격 대상이 되기 때문입니다. 공격자가 VDI 호스트를 침해하면 한 번에 다수의 사용자 환경에 접근할 수 있습니다. 적절한 보안은 세션 간 악성코드 확산을 방지하고 기업 데이터가 보안되지 않은 엔드포인트로 복사되는 것을 막습니다.
강력한 VDI 방어 체계는 데이터 처리 정책 준수를 보장하고 원격 근무자를 보호하여 전체 인프라를 안전하게 유지합니다.
먼저, VDI 게이트웨이에 대한 모든 연결에 다중 인증을 적용하십시오. 관리 인터페이스가 사용자에게 노출되지 않도록 네트워크를 분할하십시오. 하이퍼바이저, 연결 브로커 및 게스트 이미지를 패치로 최신 상태로 유지하십시오. 가상 데스크톱 내에서 최소 권한 사용자 권한을 적용하십시오.
엔드포인트 보안 에이전트를 사용하고 세션 활동을 모니터링하여 이상 징후를 감지하십시오. 중요한 이미지를 정기적으로 백업하고 복원 절차를 테스트하여 필요 시 신속한 복구를 보장하십시오.
가상 사설망(VPN)은 장치와 네트워크 사이에 암호화된 터널을 생성하여 로컬 액세스를 확장하지만 데이터는 엔드포인트에 남깁니다. VDI는 데이터를 로컬에 저장하지 않고 안전한 서버에서 전체 데스크톱을 제공합니다.
VPN은 트래픽을 보호하고, VDI는 데이터 위치를 보호합니다. VPN에서는 엔드포인트가 여전히 애플리케이션을 실행하지만, VDI에서는 애플리케이션이 서버에서 실행되어 잠재적으로 손상될 수 있는 사용자 장치로부터 격리됩니다.
VDI는 실행과 저장을 중앙화하므로 민감한 파일이 사용자 기기에 저장되지 않습니다. 서버 수준에서 스냅샷과 사용자 권한을 제어하여 무단 변경을 제한합니다. 엔드포인트가 감염되더라도 위협은 해당 세션 내에서만 제한됩니다.
이미지를 즉시 롤백하여 악성 코드를 제거할 수 있습니다. 중앙 집중식 로깅을 통해 사용자 작업에 대한 완벽한 가시성을 확보하여 보안 사건을 신속하게 탐지하고 대응할 수 있습니다.
VDI용 보안 도구에는 가상 데스크톱에 설치된 엔드포인트 탐지 및 대응(EDR) 에이전트, 네트워크 세분화 방화벽, 마이크로 세분화 플랫폼이 포함됩니다. 신원 및 접근 관리(IAM) 솔루션은 안전한 로그인 제어를 추가합니다.
클라우드 호스팅 VDI의 경우 클라우드 액세스 보안 브로커(CASB)와 침입 탐지 시스템(IDS)도 사용해야 합니다. 중요한 이미지를 보호하기 위한 백업 및 재해 복구 솔루션도 필요합니다. 취약점 스캐너는 장치에 패치를 적용하는 데도 도움이 됩니다.
위험 요소로는 공격자가 악용할 수 있는 잘못 구성된 브로커 서버나 노출된 관리 포트가 있습니다. 패치가 적용되지 않은 오래된 데스크톱 이미지는 취약점을 노출시킵니다. 공유 하이퍼바이저는 격리 실패 시 '노이즈 이웃(Noisy Neighbor)' 공격으로 이어질 수 있습니다. 취약한 인증은 권한 없는 사용자의 접근을 허용합니다. 부적절한 모니터링은 측면 이동을 감추게 됩니다.
마지막으로, 불충분한 백업 테스트는 침해 후 신속한 복구를 불가능하게 하여 가동 중단 시간과 잠재적 데이터 손실을 연장시킵니다.
세분화된 접근 제어부터 시작하고 강력한 다중 요소 인증을 적용하세요. 관리 네트워크와 사용자 네트워크를 분리하세요. 하이퍼바이저와 데스크톱 이미지의 패치 작업을 자동화하십시오. 각 가상 데스크톱 내에 EDR(엔드포인트 탐지 및 대응) 및 지속적인 모니터링을 배포하십시오. 모든 트래픽에 암호화된 스토리지와 안전한 프로토콜을 사용하십시오.
골든 이미지를 정기적으로 백업하고 테스트하십시오. 피싱 위험에 대해 사용자를 교육하고, 데이터 유출을 방지하기 위해 로컬 USB 또는 클립보드 접근을 제한하십시오.
