Always On VPN 정보

적용 대상: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10+

Always On VPN을 사용하면 다음 사항을 수행할 수 있습니다.

• Windows 운영 체제 및 타사 솔루션을 통합하여 고급 시나리오를 만듭니다. 지원되는 통합 목록은 지원되는 통합 을 참조하세요.

• 네트워크 보안을 유지 관리하여 트래픽 유형, 애플리케이션 및 인증 방법으로 연결을 제한합니다. Always On VPN 보안 기능 목록은 보안 기능 을 참조하세요.

• 사용자 및 디바이스 인증 연결에 대한 자동 트리거를 구성합니다. 자세한 내용은 연결 기능 을 참조하세요.

• 개별 애플리케이션까지 세분화된 수준에서 라우팅 정책을 만들어 네트워크를 제어합니다. 자세한 내용은 네트워킹 기능 을 참조하세요.

• 업계 표준 구성 템플릿으로 정의된 표준 XML 프로필(ProfileXML)을 사용하여 VPN 설정을 구성합니다. Windows PowerShell, Microsoft Endpoint Configuration Manager, Intune, Windows 구성 디자이너 또는 타사 MDM(모바일 디바이스 관리) 도구를 사용해 VPN 설정을 배포하고 관리할 수 있습니다.

지원되는 통합

Always On VPN은 도메인 조인, 비도메인 조인(작업 그룹) 또는Microsoft Entra ID–조인 디바이스를 지원하여 엔터프라이즈 및 BYOD 시나리오를 모두 허용합니다. Always On VPN은 모든 Windows 버전에서 사용할 수 있으며, 타사에서는 UWP VPN 플러그인 지원을 통하여 플랫폼 기능을 사용할 수 있습니다.

Always On VPN은 다음 플랫폼으로의 통합을 지원합니다.

• WIP(Windows Information Protection). WIP와 통합하면 네트워크 정책 적용에서 트래픽이 VPN을 통과하도록 허용되는지의 여부를 결정할 수 있습니다. 사용자 프로필이 활성 상태이고, WIP 정책이 적용되면 Always On VPN이 자동으로 트리거되어 연결됩니다. 또한 WIP 정책 및 애플리케이션 목록이 자동으로 적용되므로 WIP를 사용하는 경우, VPN 프로필에서 별도로 AppTriggerList 및 TrafficFilterList 규칙을 지정할 필요가 없습니다(고급 구성을 원하지 않는 한).

• 비즈니스용 Windows Hello. Always On VPN은 기본적으로 인증서 기반 인증 모드에서 비즈니스용 Windows Hello를 지원합니다. 네이티브 Windows Hello 지원은 컴퓨터의 로그인과 VPN에 대한 연결을 위한 원활한 Single Sign-On 환경을 제공합니다. VPN 연결에는 보조 인증(사용자 자격 증명)을 필요로 하지 않습니다.

• Microsoft Azure 조건부 액세스 플랫폼. Always On VPN 클라이언트는 Azure 조건부 액세스 플랫폼과 통합하여 MFA(다단계 인증), 디바이스 규정 준수 혹은 둘의 조합을 적용할 수 있습니다. 조건부 액세스 정책을 준수하는 경우, Microsoft Entra ID는 IPsec(IP 보안) 인증 인증서를 단기(기본적으로 60분) 발급합니다. 그런 다음 IPSec 인증서를 사용해 VPN 게이트웨이에 인증할 수 있습니다. 디바이스 규정 준수는 연결 준수 검사의 일부로 디바이스 상태 증명 상태를 포함할 수 있는 Configuration Manager, Intune 준수 정책을 사용합니다. 자세한 내용은 VPN 및 조건부 액세스 를 참조하세요.

• Microsoft Entra 다단계 인증 플랫폼. RADIUS(원격 인증 전화 접속 사용자 서비스) 서비스 및 Microsoft Entra 다단계 인증을 위한 NPS(네트워크 정책 서버) 확장과 결합된 경우, VPN 인증은 강력한 MFA를 사용할 수 있습니다.

• 타사 VPN 플러그 인. UWP(유니버설 Windows 플랫폼)를 사용하면 타사 VPN 공급자가 전체 범위의 Windows 디바이스에 관한 단일 애플리케이션을 만들 수 있습니다. UWP는 디바이스 간에 보장된 핵심 API 계층을 제공하여 커널 수준 드라이버 작성과 관련되어 있는 복잡성과 문제를 제거합니다. 현재 Pulse Secure, F5 Access, Check Point 캡슐 VPN, FortiClient, SonicWall Mobile Connect 및 GlobalProtect 용 Windows UWP VPN 플러그인이 있습니다.

보안 기능

Always On VPN은 VPN 게이트웨이에 도달할 때까지 인증 및 암호화가 필요한 터널 정책을 사용해 기업 리소스에 대한 연결을 제공합니다. 기본적으로 터널 세션은 IKEv2 게이트웨이 역할도 하는 VPN 게이트웨이에서 종료되어 엔드투에지 보안을 제공합니다.

표준 VPN 인증 옵션에 대한 자세한 내용은 VPN 인증 옵션 을 참조하세요.

Always On VPN은 다음의 보안 기능을 지원합니다.

• 업계 표준 IKEv2 VPN 프로토콜을 지원합니다. Always On VPN 클라이언트는 오늘날 가장 널리 사용되는 업계 표준 터널링 프로토콜 중 하나, IKEv2를 지원합니다. 이러한 호환성은 타사 VPN 게이트웨이와의 상호 운용성을 최대화합니다.

• 타사 IKEv2 VPN 게이트웨이와의 상호 운용성을 가집니다. Always On VPN 클라이언트는 타사 IKEv2 VPN Gateway의 상호 운용성을 지원합니다. 또한, Always On VPN 플랫폼 기능 및 이점을 희생하지 않고 사용자 지정 터널링 유형과 결합된 UWP VPN 플러그인을 사용하여 타사 VPN 게이트웨이와의 상호 운용성을 달성할 수 있습니다.

  참고 항목

  IKEv2를 사용하는 Always On VPN 및 디바이스 터널과의 구성 및 호환성에 관해서는 게이트웨이 또는 타사 백 엔드 어플라이언스 공급업체에 문의하세요.

• IKEv2에서 SSTP로 복귀합니다. VPN 프로필 내의 자동 터널, 프로토콜 유형을 사용하여 방화벽 또는 프록시 서버 뒤에 있는 클라이언트에 대한 대체를 구성할 수 있습니다.

  참고 항목

  사용자 터널은 SSTP 및 IKEv2를 지원하며, 디바이스 터널은 SSTP 대체를 지원하지 않고 IKEv2만 지원합니다.

• 컴퓨터 인증서 인증을 지원합니다. Always On VPN 플랫폼의 일부로 제공되어지는 IKEv2 프로토콜 유형은 특히 VPN 인증에 컴퓨터 또는 컴퓨터 인증서를 사용할 수 있도록 지원합니다.

  참고 항목

  디바이스 터널에 지원되는 프로토콜은 IKEv2가 유일하고 SSTP 폴백에 대한 지원 옵션은 없습니다. 자세한 내용은 Always On VPN 디바이스 터널 구성 을 참조하세요.

• 트래픽과 앱 필터. 트래픽 및 앱 방화벽 규칙을 사용하면, VPN 인터페이스에 연결할 수 있는 트래픽 및 앱을 결정하는 클라이언트 쪽 정책을 지정할 수 있습니다.

  두 가지 유형의 필터링 규칙을 이용할 수 있습니다.

  • 앱 기반의 규칙입니다. 앱 기반 방화벽 규칙은 지정된 애플리케이션 목록을 기반으로 하여 이러한 앱에서 발생하는 트래픽만 VPN 인터페이스를 통해 이동하도록 허용됩니다.

  • 트래픽 기반 규칙입니다. 트래픽 기반 방화벽 규칙은 포트, 주소 그리고 프로토콜과 같은 네트워크 요구 사항을 기반으로 합니다. 이러한 특정 조건과 일치하는 트래픽에 관해서만 이러한 규칙을 사용하여 VPN 인터페이스를 통해 이동하도록 허용됩니다.

  참고 항목

  이러한 규칙은 디바이스의 아웃바운드 트래픽에만 적용됩니다. 트래픽 필터를 사용하면 회사 네트워크에서 클라이언트로 향하는 인바운드 트래픽이 차단됩니다.

• VPN 조건부 액세스 조건부 액세스와 디바이스 준수를 위해서는 관리 디바이스가 표준을 충족해야 VPN에 연결할 수 있습니다. VPN 조건부 액세스를 사용하면 클라이언트 인증 인증서에 1.3.6.1.4.1.311.87 의 Microsoft Entra 조건부 액세스 OID가 포함된 디바이스에 대한 VPN 연결을 제한할 수 있습니다. NPS 서버에서 직접 VPN 연결을 제한하는 방법을 알아보려면 네트워크 정책 서버에서 VPN 조건부 액세스 구성 을 참조하세요. Microsoft Entra 조건부 액세스 를 사용하여 VPN 연결을 제한하는 방법을 알아보려면 Microsoft Entra ID를 사용하여 VPN 연결에 대한 조건부 액세스 를 참조하세요.

• 특정 사용자 및 디바이스에 관한 원격 액세스를 제한합니다. 보안 그룹을 사용해 VPN 액세스를 제어하는 등 RADIUS를 사용할 때 세분화된 권한 부여를 지원하도록 항상 켜져 있는 VPN을 구성할 수 있습니다.

• 사용자 로그인 이전에 액세스 가능한 관리 서버를 정의합니다. 디바이스 터널을 통하여 액세스할 수 있는 회사 네트워크의 관리 시스템을 제어하려면 트래픽 필터와 결합된 VPN 프로필의 디바이스 터널 기능(버전 1709 - IKEv2에만 사용 가능)을 사용합니다.

  참고 항목

  장치 터널 프로필에서 트래픽 필터를 켜면 장치 터널이 인바운드 트래픽(회사 네트워크에서 클라이언트로 향하는 트래픽)을 거부합니다.

• 앱별 VPN. 앱별 VPN은 앱 기반 트래픽 필터를 사용하는 것과 비슷하지만 VPN 클라이언트의 모든 애플리케이션과 다르게 VPN 연결이 특정 애플리케이션으로 제한되도록 애플리케이션 트리거를 앱 기반 트래픽 필터와 결합하는 것이 더 멀리 이동합니다. 이 기능은 앱이 시작될 때 자동으로 시작합니다.

• 사용자 지정된 IPsec 암호화 알고리즘. Always On VPN은 엄격한 정부 혹은 조직 보안 정책을 충족하기 위해 RSA 및 타원 곡선 암호화 기반 사용자 지정 암호화 알고리즘을 모두 사용하도록 지원합니다.

• 기본 EAP(확장할 수 있는 인증 프로토콜)를 지원합니다. Always On VPN 플랫폼은 기본적으로 EAP를 지원하여 인증 워크플로우의 일부로 다양한 Microsoft 및 타사 EAP 유형을 사용할 수 있습니다. EAP는 다음 인증 유형을 따라 보안 인증을 제공합니다.

  • 사용자 이름 및 암호
  • 스마트 카드(물리적 카드 및 가상 모두)
  • 사용자 인증서
  • 비즈니스용 Windows Hello
  • EAP RADIUS 통합을 통하여 MFA 지원

  애플리케이션 공급업체는 타사 UWP VPN 플러그 인 인증 방법을 제어하지만, 사용자 지정 자격 증명 유형 및 OTP 지원을 포함해 사용 가능한 옵션 배열이 있습니다.

• 비즈니스용 Windows Hello PC 및 모바일 디바이스에서 2단계 인증을 제공합니다. Windows 10에서 비즈니스용 Windows Hello 는 PC와 모바일 디바이스에서 암호 대신 강력한 2단계 인증을 제공합니다. 자세한 내용은 Windows 10에서 비즈니스용 Windows Hello 사용하여 원격 액세스 사용 설정 을 참조하세요.

• Azure 다단계 인증(MFA). Microsoft Entra 다단계 인증에는 Windows VPN 인증 메커니즘과 통합할 수 있는 클라우드와 온-프레미스 버전이 있습니다. 더 자세한 정보는 Azure Multi-Factor Authentication 서버와 RADIUS 인증 통합 을 참조하세요.

• TPM(신뢰할 수 있는 플랫폼 모듈) 키의 증명. TPM 증명 키가 있는 사용자 인증서는 TPM에서 제공하는 키의 내보내기 Non-Exportability, Anti-Hammering 및 격리를 통해 백업되는 더 높은 보안 보증을 제공합니다.

Windows 10의 TPM 키 증명 에 대한 자세한 내용은 TPM 키 증명을 참조하세요.

연결 기능

Always On VPN은 다음의 연결 기능을 지원합니다.

• 애플리케이션 자동 트리거. 애플리케이션 시작 혹은 네임스페이스 확인 요청에 따라 자동 트리거를 지원하도록 Always On VPN을 구성할 수 있습니다. 자동 트리거를 구성하는 방법에 대한 자세한 내용은 VPN 자동 트리거 프로필 옵션 을 참조 하세요.

• 이름 기반의 자동 트리거. Always On VPN을 사용하면, 특정 도메인 이름 쿼리가 VPN 연결을 트리거할 수 있도록 규칙을 정의할 수 있습니다. Windows 디바이스는 도메인에 가입된 컴퓨터와 비도메인 가입 컴퓨터에 대한 이름 기반 트리거를 지원합니다(이전에는 비도메인에 가입된 컴퓨터만 지원됨).

• 신뢰 가능한 네트워크 탐지. Always On VPN에는 사용자가 회사 경계 내에서 신뢰할 수 있는 네트워크에 연결된 경우, VPN 연결이 트리거되지 않도록 하기 위해 이 기능이 포함되어 있습니다. 이 기능을 앞에서 언급한 트리거 방법 중 하나와 결합해 원활한 "필요한 경우에만 연결" 사용자 환경을 제공할 수 있습니다.

• 디바이스 터널. Always On VPN은 디바이스 또는 컴퓨터에 관한 전용 VPN 프로필을 만드는 기능을 제공합니다. 사용자가 디바이스 또는 컴퓨터에 로그온한 후에만 연결하는 사용자 터널 과 달리 디바이스 터널 을 사용하면 사용자가 로그인하기 전에 VPN이 연결을 설정할 수 있습니다. 디바이스 터널과 사용자 터널은 VPN 프로필과 독립적으로 작동하고 동시에 연결할 수 있으며 다른 인증 방법 및 기타 VPN 구성 설정을 적절하게 사용할 수 있습니다. 관리 아웃을 사용해 DNS에서 클라이언트 IP 주소를 동적으로 등록하는 방법에 대한 정보를 포함하여 디바이스 터널을 구성하는 방법에 대한 자세한 내용은 Always On VPN 디바이스 터널 구성 을 참조하세요.

  참고 항목

  디바이스 터널은 Windows 10 Enterprise 혹은 Education 버전 1709 이상을 실행하는 도메인 가입 디바이스에서만 구성할 수 있습니다. 디바이스 터널의 타사 제어는 지원하지 않습니다.

• 연결 길잡이 Always On VPN은 네이티브 네트워크 연결 도우미와 완전히 통합되며 모든 네트워크 보기 인터페이스에서 연결 상태를 제공합니다. Windows 10 Creators Update(버전 1703)의 등장으로 이제 네트워크 플라이아웃(Windows 기본 제공 VPN 클라이언트용)을 통해서도 사용자 터널의 VPN 연결 상태와 VPN 연결 제어를 사용할 수 있습니다.

네트워킹 기능

Always On VPN은 다음의 네트워킹 기능을 지원합니다.

• IPv4 및 IPv6에 대한 이중 스택을 지원합니다. Always On VPN은 기본적으로 이중 스택 접근 방식에서 IPv4와 IPv6의 사용을 지원합니다. 다른 프로토콜에 대한 특정 종속성이 없으므로 향후 IPv6 네트워킹 요구 사항에 관한 지원과 결합된 최대 IPv4, IPv6 애플리케이션 호환성을 허용합니다.

• 애플리케이션별 라우팅 정책. 인터넷 및 인트라넷 트래픽 분리에 관한 글로벌 VPN 연결 라우팅 정책을 정의하는 것 외에도 애플리케이션별로 분할 터널 혹은 강제 터널 구성의 사용을 제어하는 라우팅 정책을 추가할 수 있습니다. 이 옵션을 사용하면 VPN 터널을 통하여 어떤 앱이 어떤 리소스와 상호 작용할 수 있는지 보다 세부적으로 제어할 수 있습니다.

• 제외 경로. Always On VPN은 라우팅 동작을 구체적으로 제어하는 제외 경로를 지정해 실제 네트워크 인터페이스를 통과하지 않고 VPN만 트래버스해야 하는 트래픽을 정의하는 기능을 지원합니다.

  참고 항목

  제외 경로는 LinkLocal과 같은 클라이언트와 동일한 서브넷 내의 트래픽에 관해 작동합니다. 제외 경로는 분할 터널 설정 내에서만 작동합니다.

• 다양한 도메인 및 포리스트 지원. Always On VPN 플랫폼은 VPN 클라이언트가 작동하기 위하여 도메인에 가입할 필요가 없기 때문에 AD DS(Active Directory 도메인 서비스) 포리스트 또는 도메인 토폴로지(또는 관련 기능, 스키마 수준)에 대한 종속성이 없습니다. 따라서 그룹 정책은 클라이언트 구성 중에 사용되지 않으므로 VPN 프로필 설정을 정의하는 종속성이 아닙니다. Active Directory 권한 부여 통합이 필요한 경우, EAP 인증 및 권한 부여 프로세스의 일부로 RADIUS를 통하여 이를 수행할 수 있습니다.

• 짧은 이름, FQDN(정규화된 도메인 이름) 및 DNS 접미사를 사용하여 회사 리소스 의 이름 확인 Always On VPN은 짧은 이름, FQDN 또는 전체 DNS 네임스페이스에 대한 회사 리소스 이름 확인을 포함하여 VPN 연결 및 IP 주소 할당 프로세스의 일부로 하나 이상의 DNS 접미사를 기본적으로 정의할 수 있습니다. Always On VPN은 네임스페이스별 해상도 세분성을 제공하기 위하여 이름 확인 정책 테이블을 사용할 수도 있습니다.

  참고 항목

  이름 확인 정책 테이블을 사용할 때 전역 접미사는 짧은 이름 확인을 방해하므로 사용하지 마시기 바랍니다.

고가용성 기능

다음 사항은 고가용성을 위한 추가 옵션입니다.

서버 복원력 및 부하 분산 고가용성이 필요하거나 많은 요청을 지원하는 환경에서는 NPS(네트워크 정책 서버) 간에 부하 분산 을 구성하고 원격 액세스 서버 클러스터링 을 사용하도록 설정하여 원격 액세스의 성능과 복원력을 높일 수 있습니다.

지리적 사이트의 복원력. IP 기반 지리적 위치의 경우, Windows Server에서 DNS와 함께 전역 Traffic Manager를 사용할 수 있습니다. 보다 강력한 지리적 부하 분산을 위해 Microsoft Azure Traffic Manager 와 같은 글로벌 서버 부하 분산 솔루션을 사용할 수 있습니다.

다음 단계

• VPN 서버로 원격 액세스 설치하기

• 자습서: Always On VPN 배포하기

• VPN 보안 기능: 이 토픽에서는 LockDown VPN, WIP(Windows Information Protection) 통합 및 트래픽 필터에 대한 VPN 보안 지침의 개요를 제공합니다.

• VPN 자동 트리거 프로필 옵션: 이 토픽에서는 앱 트리거, 이름 기반 트리거 및 Always On과 같은 VPN 자동 트리거 프로필 옵션에 관한 개요를 제공합니다.

• Always On VPN 문제 해결