점프 서버 사용

  • 5분

Contoso에 대해 작성된 보안 보고서에서는 PAW 사용 외에도 점프 서버 구현을 권장합니다. PAW 사용 방법을 결정한 후 점프 서버가 Contoso IT에 어떻게 도움이 될지 점프 서버에 대한 좀 더 조사해 보기로 결정했습니다.

점프 서버란?

점프 서버는 내부 네트워크와 경계 네트워크 사이처럼 다른 보안 영역에서 디바이스에 액세스하고 디바이스를 관리하는 데 사용되는 강화된 서버입니다. 점프 서버는 단일 지점과 관리 지점으로 작동할 수 있습니다.

중간 규모 조직의 경우 점프 서버는 물리적 보안을 구현하기가 더욱 까다로운 위치에서 보안을 강화할 수 있는 수단을 제공할 수 있습니다. 데이터 센터가 없는 지점을 예로 들 수 있습니다. 대기업의 경우 관리자가 데이터 센터에 있는 점프 서버를 배포할 수 있는데, 해당 점프 서버는 서버 및 도메인 컨트롤러에 대한 액세스 권한을 세밀하게 제어할 수 있습니다.

일반적으로 점프 서버에는 중요한 데이터가 없지만 사용자 자격 증명이 메모리에 저장되며 악의적인 해커가 이와 같은 자격 증명을 공격 목표로 삼을 수 있습니다. 따라서 점프 서버를 강화해야 합니다.

일반적으로 점프 서버에는 PAW를 사용하여 액세스해 안전한 액세스를 보장합니다.

이 서버는 다음과 같은 하드웨어 및 소프트웨어 기반 보안 기능을 모두 지원하는 전용 하드웨어에서 실행됩니다.

  • Windows Defender Credential Guard - 메모리에서 도메인 자격 증명을 암호화합니다.
  • Windows Defender Remote Credential Guard - 원격 자격 증명이 점프 서버로 전송되지 않도록 하고, 대신 Kerberos 버전 5 Single Sign-On 티켓을 사용합니다.
  • Windows Defender Device Guard:
    • HVCI(하이퍼바이저 적용 코드 무결성)를 사용하여 커널 모드 구성 요소를 코드 무결성 정책과 함께 적용하도록 가상화 기반 보안을 사용합니다.
    • 구성 코드 무결성을 사용하여 관리자가 사용자 지정 코드 무결성 정책을 만들고 신뢰할 수 있는 소프트웨어를 지정할 수 있습니다.

PAW 사용 여부에 상관없이 점프 서버를 사용하여 논리적 보안 영역을 만들 수 있습니다. 보안 영역 내 컴퓨터는 보안 및 연결 구성이 유사합니다. GPO를 사용하여 도메인 환경 내에서 해당 설정을 구성할 수 있습니다.

관리자는 RDP(원격 데스크톱 프로토콜)와 스마트 카드를 사용하여 점프 서버에 연결해 관리 작업을 수행할 수 있습니다.

점프 서버 구현

다음 그림은 일반적인 점프 서버 및 PAW 배포를 보여 줍니다. 관리자는 스마트 카드를 사용하여 표준 계정으로 표준 워크스테이션에 인증합니다. 사용자는 표준 앱에 액세스하여 일상적인 사무실 생산성 작업을 수행할 수 있습니다. 또한 관리자는 관리 계정을 가지고 있으며 스마트 카드를 사용하여 자신의 관리 PAW에 대해 인증합니다. 그런 다음 해당 개체에 대한 관리 권한이 있는 구성된 관리 점프 서버에 연결됩니다.

위에서 설명한 시나리오를 보여 주는 그림

점프 서버를 구현할 때 다음과 같은 몇 가지 중요한 고려 사항이 있습니다.

  • 원격 데스크톱 게이트웨이. 관리자가 RDP를 사용하여 대상 서버에 직접 연결해야 하는 경우 원격 데스크톱 게이트웨이를 구현합니다. 따라서 점프 서버와 (관리에 점프 서버가 사용되는) 대상 서버에 대한 연결 제한 사항을 구현할 수 있습니다.
  • Hyper-V. 점프 서버에서 각 관리자마다 VM을 구현하는 것이 좋습니다. 각 VM은 관리 작업의 특정 작업이나 하위 세트를 허용하도록 구성할 수 있습니다. 따라서 점프 서버에 Hyper-V를 설치해야 합니다.

관리 작업이 완료된 후 VM을 종료할 수 있습니다. 사용하지 않을 때 VM을 종료하면 공격 경로를 줄일 수 있습니다.

  • 서버 기능. 점프 서버를 구현하려면 서버 컴퓨터에서 다음 기능을 지원해야 합니다.

    • UEFI 보안 부팅
    • 가상화 지원
    • 서명된 커널 모드 드라이버

  • 원격 관리 도구 서버는 항상 원격 관리 도구를 사용하여 관리해야 합니다. 관리자의 VM(또는 Hyper-V를 구현하지 않는 경우 실제 점프 서버)에 Windows Admin Center와 RSAT(원격 서버 관리 도구)를 설치합니다.

    주의

    또한 범용 컴퓨터에서 원격 관리 도구를 사용하면 안 됩니다.

  • RDP 연결. 관리자가 관리 작업을 수행할 때 RDP를 사용하여 VM에 연결하도록 합니다.