Microsoft 글로벌 보안 액세스 배포 가이드 소개
Microsoft Global Secure Access 성공적인 SASE(Secure Access Service Edge) 전략의 핵심 구성 요소입니다. Microsoft Entra Internet Access, Microsoft Entra Private Access, Microsoft Traffic기능이 있습니다. Microsoft의 방대한 프라이빗 광역 네트워크와 조건부 액세스 정책에 대한 투자를 사용하여 네트워크 수준에서 회사 데이터를 보호하는 데 도움을 줍니다.
다음은 주요 글로벌 보안 액세스 배포 시나리오입니다.
- 기존 VPN 솔루션을 엔드포인트에서 애플리케이션으로의 보안 연결을 제공하는 ZTNA(제로 트러스트 네트워크 액세스) 접근 방식으로 바꿉니다.
- 온사이트 및 원격 직원의 Microsoft Traffic를 보호하고 모니터링합니다.
- 온사이트 및 원격 직원의 인터넷 트래픽을 보호하고 모니터링합니다.
이 배포 가이드는 Microsoft Global Secure Access를 계획하고 배포하는 데 도움이 됩니다. 라이선스 정보는 Global Secure Access 라이선스 개요 참조하세요. 대부분의 서비스는 일반 출시(GA) 상태이지만, 일부 서비스는 공개 미리보기 상태입니다.
개념 증명 수행
PoC(개념 증명)를 수행하여 선택한 솔루션이 필요한 기능과 연결을 제공하는지 확인합니다.
Microsoft Global Secure Access용 PoC에 배포하려는 기능에 따라 최대 7시간이 필요합니다.
- 사전 조건 설정: 1시간
- 초기 제품 구성: 20분
- 원격 네트워크 구성: 1~2시간
- Microsoft Traffic 프로필 배포 및 테스트: 1시간
- Microsoft Entra Internet Access 배포 및 테스트: 1시간
- Microsoft Entra Private Access 배포 및 테스트: 1시간
- PoC 닫기: 30분
글로벌 보안 액세스 프로젝트 시작
프로젝트 시작은 성공적인 프로젝트의 첫 번째 단계입니다. 프로젝트 시작 시 Microsoft Global Secure Access를 구현하기로 결정했습니다. 프로젝트 성공은 요구 사항을 이해하고, 성공 기준을 정의하고, 적절한 통신을 보장하는 데 달려 있습니다. 기대, 결과 및 책임을 관리해야 합니다.
비즈니스 요구 사항, 결과 및 성공 기준 식별
비즈니스 요구 사항, 결과 및 성공 기준을 식별하여 성공 조건으로 수행해야 하는 작업을 정확하게 명확히 합니다. 예를 들어:
- 이 프로젝트를 달성하는 데 필요한 주요 결과는 무엇인가요?
- VPN을 대체하려면 어떻게 해야 할까요?
- Microsoft 트래픽을 보호하려면 어떻게 해야 할까요?
- 인터넷 트래픽을 보호하려면 어떻게 해야 할까요?
기본 시나리오를 식별한 후 세부 정보를 자세히 살펴보세요.
- 사용자가 액세스해야 하는 애플리케이션은 무엇입니까?
- 액세스 제어가 필요한 웹 사이트는 무엇입니까?
- 필수 항목 및 선택 사항
이 단계에서는 범위 내 사용자, 디바이스 및 주요 애플리케이션을 설명하는 인벤토리를 만듭니다. VPN 교체의 경우 빠른 액세스부터 시작하여 사용자가 액세스해야 하는 프라이빗 애플리케이션을 식별하여 Microsoft Entra Private Access에서 정의할 수 있습니다.
일정 정의
예산 및 시간 제약 조건 내에서 원하는 결과를 달성하면 프로젝트가 성공합니다. 날짜, 분기 또는 연도별로 결과 목표를 식별합니다. 관련자와 협력하여 결과 목표를 정의하는 특정 마일스톤을 이해합니다. 각 목표에 대한 검토 요구 사항 및 성공 조건을 정의합니다. Microsoft Global Secure Access는 지속적인 개발 중이므로 기능 개발 단계에 요구 사항을 매핑합니다.
관련자 식별
ZTNA 프로젝트에서 역할을 하는 사용자의 이해 관계자, 역할, 책임을 식별하고 문서화합니다. 타이틀과 역할은 조직마다 다를 수 있습니다. 그러나 소유권 영역은 비슷합니다. 다음 표의 역할 및 책임을 고려하고 해당 관련자를 식별합니다. 이러한 테이블을 리더십, 이해 관계자 및 팀에 배포합니다.
| 역할 | 책임 |
|---|---|
| 스폰서 | 예산 및 자원을 승인 및/또는 할당할 권한이 있는 엔터프라이즈 선임 리더입니다. 관리자와 경영진을 연결합니다. 제품 및 기능 구현을 위한 기술 의사 결정자입니다. |
| 최종 사용자 | 서비스를 제공받는 사람들입니다. 파일럿 프로그램에 참여할 수 있습니다. |
| IT 지원 관리자 | 제안된 변경 지원 가능성에 대한 입력을 제공합니다. |
| ID 설계자 | 변경 내용이 ID 관리 인프라와 일치하는 방식을 정의합니다. 현재 환경을 이해합니다. |
| 애플리케이션 비즈니스 소유자 | 액세스 관리를 포함할 수 있는 영향을 받는 애플리케이션을 소유합니다. 사용자 환경에 대한 입력을 제공합니다. |
| 보안 소유자 | 변경 계획이 보안 요구 사항을 충족하는지 확인합니다. |
| 네트워크 관리자 | 네트워크 기능, 성능, 보안 및 접근성을 감독합니다. |
| 준수 관리자 | 기업, 산업 및 정부 요구 사항을 준수하도록 보장합니다. |
| 기술 프로그램 관리자 | 프로젝트를 감독하고, 요구 사항을 관리하고, 작업 스트림을 조정하며, 일정 및 예산을 준수합니다. 통신 계획 및 보고서를 용이하게 합니다. |
| SOC/CERT 팀 | 위협 헌팅 로그 및 보고서 요구 사항을 확인합니다. |
| 테넌트 관리자 | 프로젝트 전체에서 Microsoft Entra 테넌트 변경을 담당하는 IT 소유자 및 기술 리소스를 조정합니다. |
| 배포 팀 | 배포 및 구성 작업을 수행합니다. |
RACI 차트 만들기
RACI(책임, 권한, 자문, 정보 제공)는 역할 및 책임 정의를 의미합니다. 프로젝트 및 부서 간 프로젝트 및 프로세스의 경우 RACI 차트에서 역할 및 책임을 정의하고 명확히 합니다.
- 글로벌 보안 액세스 배포 가이드 RACI 템플릿을 시작점으로 다운로드합니다.
- 책임 있고, 책임지고, 협의되고, 정보에 입각한 역할 및 책임을 프로젝트 업무 흐름에 매핑합니다.
- RACI 차트를 관련자에게 배포하고 할당을 이해하도록 합니다.
통신 계획 만들기
커뮤니케이션 계획은 관련자와 적절하고 사전에 정기적으로 상호 작용하는 데 도움이 됩니다.
- 배포 계획 및 프로젝트 상태에 대한 관련 정보를 제공합니다.
- RACI 차트에서 각 관련자에 대한 통신의 목적과 빈도를 정의합니다.
- 통신을 만들고 배포하는 주체를 결정하고, 정보를 공유하는 메커니즘을 함께 정합니다. 예를 들어 통신 관리자는 최종 사용자가 전자 메일 및 지정된 웹 사이트에서 보류 중인 변경 내용과 현재 변경 내용을 최신 상태로 유지합니다.
- 사용자 환경의 변경 내용 및 사용자가 지원을 받을 수 있는 방법에 대한 정보를 포함합니다. 샘플 최종 사용자 통신 템플릿을 참조하세요.
- Microsoft Entra Private Access 최종 사용자 공지
- Microsoft Entra Internet Access 최종 사용자 공지
변경 제어 계획 만들기
프로젝트 팀이 정보 및 세부 정보를 수집하면 계획이 변경될 수 있습니다. 이해 관계자에게 설명하는 변경 제어 계획을 만듭니다.
- 변경 요청 프로세스 및 절차.
- 변경 영향을 이해하는 방법
- 검토 및 승인에 대한 책임.
- 변경에 더 많은 시간 또는 자금이 필요할 때 발생하는 작업입니다.
적절한 제어 계획을 통해 팀은 변경이 필요할 때 수행할 작업을 알 수 있습니다.
프로젝트 닫기 계획 만들기
모든 프로젝트 폐쇄에는 프로젝트 후 검토가 필요합니다. 프로젝트 수명 동안 올바른 데이터를 정기적으로 수집할 수 있도록 이 검토에 포함할 메트릭 및 정보를 식별합니다. 프로젝트 폐쇄 계획을 사용하면 학습된 단원 요약을 효율적으로 생성할 수 있습니다.
이해 관계자 합의 가져오기
프로젝트 시작 작업을 완료한 후 각 관련자와 협력하여 계획이 특정 요구 사항을 충족하는지 확인합니다. 합의 및 서면 승인을 문서화하는 공식 승인 프로세스로 오해와 놀라움을 방지합니다. 참조 설명서의 범위 및 세부 정보를 다루는 킥오프 모임을 개최합니다.
글로벌 보안 액세스 프로젝트 계획
자세한 프로젝트 일정 만들기
프로젝트 시작에서 식별한 중요 시점을 사용하여 자세한 프로젝트 일정을 만듭니다. 주요 이정표를 충족하도록 대체 계획을 사용하여 현실적인 기대치를 설정합니다.
- 개념 증명(PoC)
- 파일럿 테스트 날짜
- 시작 날짜
- 배달에 영향을 주는 날짜
- 종속성
프로젝트 일정에 다음 정보를 포함합니다.
날짜, 종속성 및 중요 경로를 사용하는 자세한 작업 분석 구조
- 예상 지원 부하에 따라 각 웨이브에서 잘라낼 최대 사용자 수
- 각 배포 단계의 시간 프레임(예: 매주 월요일에 한 단계씩 전환)
- 각 배포 웨이브의 특정 사용자 그룹(최대 수를 초과하지 않음)
- 사용자에게 필요한 앱(또는 빠른 액세스 사용)
각 작업에 할당된 팀 구성원
위험 관리 계획 만들기
날짜 및 예산에 영향을 미칠 수 있는 사태에 대비하기 위한 위험 관리 계획을 만듭니다.
- 반드시 충족해야 할 핵심 결과와 중요한 경로를 식별합니다.
- 작업 스트림의 위험을 이해하십시오
- 비상 상황이 발생할 때를 대비하여 백업 계획을 문서화하세요.
성능 성공 조건 정의
허용 가능한 성능 메트릭을 정의하여 객관적으로 테스트하고 배포가 성공하고 사용자 환경이 매개 변수 내에 있는지 확인합니다. 다음 메트릭을 포함하는 것이 좋습니다.
마이크로소프트 엔트라 프라이빗 액세스
정의된 매개 변수 내의 네트워크 성능이 있나요?
- Global Secure Access 대시보드 Microsoft Entra Private 및 Microsoft Entra Internet Access에서 획득하는 네트워크 트래픽의 시각화를 제공합니다. 디바이스, 사용자 및 테넌트 등 네트워크 구성에서 데이터를 컴파일합니다.
- Azure Monitor 로그에서 네트워크 모니터링
을 사용하여 네트워크 연결, ExpressRoute 회로 상태 및 클라우드 네트워크 트래픽을 모니터링하고 분석합니다.
파일럿 중에 대기 시간이 증가하는 것을 느꼈나요? 앱별 대기 시간 요구 사항이 있나요?
주요 애플리케이션에 대한 SSO(Single Sign-On)가 제대로 작동합니까?
사용자 만족도 및 사용자 동의 설문 조사를 실행하는 것이 좋습니다.
Microsoft 트래픽
정의된 매개 변수 내의 네트워크 성능이 있나요?
- Global Secure Access 대시보드 Microsoft Entra Private 및 Microsoft Entra Internet Access에서 획득하는 네트워크 트래픽의 시각화를 제공합니다. 디바이스, 사용자 및 테넌트 등 네트워크 구성에서 데이터를 컴파일합니다.
- Microsoft 365 네트워크 평가를 사용하여 네트워크 성능 메트릭의 집계를 엔터프라이즈 네트워크 경계 상태의 전반을 보여주는 스냅샷으로 변환합니다.
- Microsoft 365 네트워크 연결 테스트 사용하여 디바이스와 인터넷 간의 연결을 측정하고 여기에서 Microsoft 네트워크로 연결합니다.
파일럿 중에 대기 시간이 증가하는 것을 확인했나요?
사용자 만족도 설문 조사를 실행하는 것이 좋습니다.
사용자 동의 설문 조사를 실행하는 것이 좋습니다.
Microsoft Entra 인터넷 액세스
정의된 매개 변수 내의 네트워크 성능이 있나요?
- Azure Monitor 로그에서 네트워크 모니터링을 사용하여 클라우드의 네트워크 연결을 모니터링하고, ExpressRoute 회로의 상태를 확인하며, 네트워크 트래픽을 분석합니다.
- Ookla의 Speedtest를 이용하여 글로벌 광대역 속도 테스트을 수행하세요.
- 인터넷 속도 테스트 사용 - 네트워크 성능 측정 | Cloudflare.
트래픽 차단 및 필터링이 예상대로 작동하나요?
사용자 만족도 및 사용자 동의 설문 조사를 실행하는 것이 좋습니다.
롤백 시나리오를 위한 계획 수립
프로덕션 배포를 통해 작업하고 Microsoft의 Security Service Edge를 사용하는 사용자 수를 적극적으로 늘리면 최종 사용자에게 부정적인 영향을 주는 예기치 않은 시나리오 또는 테스트되지 않은 시나리오를 발견할 수 있습니다. 부정적인 영향에 대한 계획:
- 최종 사용자가 문제를 보고하는 프로세스를 정의합니다.
- 특정 사용자 또는 그룹에 대한 배포를 롤백하거나 트래픽 프로필을 사용하지 않도록 설정하는 절차를 정의합니다.
- 무엇이 잘못되었는지 평가하고, 수정 단계를 식별하고, 관련자와 통신하는 절차를 정의합니다.
- 프로덕션 배포가 사용자의 후속 웨이브로 이어지기 전에 새 구성을 테스트할 준비를 합니다.
프로젝트 계획 실행
사용 권한 가져오기
Global Secure Access와 상호 작용하는 관리자에게 올바른 역할이할당되어 있는지 확인하십시오.
IT 지원 팀 준비
질문 또는 연결 문제가 있는 경우 사용자가 지원을 받는 방법을 결정합니다. IT 지원 팀의 부담을 줄이기 위해 셀프 서비스 설명서를 개발합니다. IT 지원 팀이 배포 준비에 대한 교육을 받는지 확인합니다. 단계적 마이그레이션 일정, 영향을 받는 팀 및 범위 내 애플리케이션을 알 수 있도록 최종 사용자 통신에 포함합니다. 사용자 기반 또는 IT 지원 내에서 혼동을 방지하려면 사용자 지원 요청을 처리하고 에스컬레이션하는 프로세스를 설정합니다.
시험 배포를 수행하십시오
프로덕션 배포 범위의 사용자, 디바이스 및 애플리케이션을 고려할 때 작은 초기 테스트 그룹으로 시작합니다. 통신의 프로세스, 배포, 테스트 및 지원을 미세 조정하여 단계적 롤아웃 계획을 개선하십시오. 시작하기 전에 모든 필수 구성요소가 준비되어 있는지 검토하고 확인하십시오.
테넌트에서 디바이스 등록을 보장하십시오. Microsoft Entra 디바이스 배포를 계획하기 위한지침을 따르십시오. 조직에서 Intune을 사용하는 경우 Intune에서 장치 관리 및 보안에 대한 지침을 따르세요.
선택적 요구 사항에 대한 권장 사항
다음 표의 리소스는 각 선택적 요구 사항에 대한 자세한 계획 및 실행 작업을 제공합니다.
| 선택적 요구 사항 | 자원 |
|---|---|
| Microsoft Traffic에 대한 액세스를 보호합니다. | Microsoft 트래픽 배포 계획 |
| VPN을 제로 트러스트 솔루션으로 바꿔 온-프레미스 리소스를 Private Access 트래픽 프로필로 보호합니다. | Microsoft Entra Private Access 배포 계획 |
| Microsoft Entra Internet Access 트래픽 프로필을 사용하여 인터넷 트래픽을 보호합니다. | Microsoft Entra Internet Access 배포 계획 |
파일럿은 필요한 범위 내 디바이스 및 애플리케이션을 테스트할 수 있는 몇 명의 사용자(20명 미만)를 포함해야 합니다. 파일럿 사용자를 식별한 후 개별적으로 또는 그룹으로 트래픽 프로필에 할당합니다(권장). 트래픽 전달 프로필에 사용자 및 그룹을 할당하기에 대한 자세한 지침을 따르십시오.
식별된 범위 내 애플리케이션을 체계적으로 처리합니다. 사용자가 범위 내 디바이스에서 예상대로 연결할 수 있는지 확인합니다. 성능 성공 조건 메트릭을 관찰하고 문서화합니다. 통신 계획 및 프로세스를 테스트합니다. 필요에 따라 미세 조정하고 반복합니다.
파일럿이 완료되고 성공 기준을 충족하면 지원 팀이 다음 단계를 수행할 준비가 되었는지 확인합니다. 프로세스 및 통신을 완료합니다. 프로덕션 환경에 배포를 진행합니다.
프로덕션에 배포
모든 계획 및 테스트를 완료한 후 배포는 예상된 결과가 있는 반복 가능한 프로세스여야 합니다.
자세한 내용은 관련 지침을 참조하세요.
- Microsoft Traffic에 대한 Microsoft Global Secure Access 배포 가이드
- Microsoft Entra Internet Access에 대한 Microsoft Global Secure Access 배포 가이드
- Microsoft Entra Private Access 대한 Microsoft Global Secure Access 배포 가이드
모든 사용자를 Microsoft Global Secure Access로 잘라낼 때까지 웨이브 배포를 반복합니다. Microsoft Entra Private 액세스를 사용하는 경우 빠른 액세스를 사용하지 않도록 설정하고 전역 보안 액세스 애플리케이션을 통해 모든 트래픽을 전달합니다.
긴급 액세스 계획
전역 보안 액세스가 중단되면 사용자는 전역 보안 액세스 규격 네트워크 확인에서 보호하는 리소스에 액세스할 수 없습니다.
GsaBreakglassEnforcement
스크립트 엔터프라이즈 관리자는 사용 가능한 호환 네트워크 조건부 액세스 정책을 보고서 전용 모드로 전환할 수 있습니다. 이 스크립트를 사용하면 사용자가 전역 보안 액세스 없이 해당 리소스에 일시적으로 액세스할 수 있습니다.
전역 보안 액세스가 다시 시작되면 GsaBreakglassRecovery스크립트 사용하여 영향을 받는 모든 정책을 켭니다.
추가 고려 사항
- 트래픽 프로필에서 사용자를 할당 해제하려면 트래픽 전달 프로필에 사용자 및 그룹을 할당하기 지침을 따르십시오.
- Microsoft 트래픽을 활성화하고 관리하여 문제가 있는 트래픽 프로필을 비활성화하는 방법에 대한 지침을 따르십시오.
- 전역 보안 액세스 애플리케이션 사용하여 앱별 액세스를 구성하여 문제가 있는 앱 세그먼트 및 해당 조건부 액세스 정책에서 사용자 및 그룹의 할당을 취소하는 방법에 대한 지침을 따릅니다.
글로벌 보안 액세스 프로젝트 모니터링 및 제어
프로젝트를 모니터링하고 제어하여 위험을 관리하고 계획에서 편차가 필요할 수 있는 문제를 식별합니다. 프로젝트를 계속 추적하고 이해 관계자와 정확하고 시기 적절한 통신을 보장합니다. 항상 요구 사항을 정확하게, 정시 및 예산 내에서 완료합니다.
이 단계의 주요 목표는 다음과 같습니다.
- 진행률 모니터링. 작업이 예약된 대로 완료되었나요? 그렇지 않다면, 왜? 어떻게 다시 궤도에 복귀할 수 있을까요?
- 문제 발견 문제가 발생했나요(예: 계획되지 않은 리소스 가용성 또는 기타 예상치 못한 문제)? 필요한 변경에 변경 주문이 필요했나요?
- 효율성 모니터링. 정의된 프로세스에서 내재된 비효율성을 확인했나요? 모니터링에 비효율성이 표시되면 프로젝트 접근 방식을 미세 조정하려면 어떻게 해야 할까요?
- 통신 확인. 관련자가 커뮤니케이션 빈도와 세부 수준에 만족하시겠습니까? 그렇지 않은 경우 어떻게 조정합니까?
주간 일정 및 프로젝트 세부 정보 검토를 설정합니다. 중요한 이정표에 주의하세요. 모든 관련자에게 적절한 통신을 생성하고 프로젝트 폐쇄 보고서에 대한 데이터를 캡처합니다.
글로벌 보안 액세스 프로젝트 닫기
축하합니다! Microsoft Global Secure Access 배포를 완료했습니다. 마무리를 짓고 프로젝트를 종료합니다.
- 이해 관계자로부터 피드백을 수집하여 팀이 기대와 요구를 충족하는지 여부를 이해합니다.
- 프로젝트 시작 중에 정의된 대로 실행 단계 전체에서 수집한 데이터를 사용하여 필요한 클로즈아웃 자산을 개발합니다. 예를 들어 프로젝트 평가, 교훈, 사후 평가 보고서 프레젠테이션이 있습니다.
- 유사한 향후 프로젝트에 대한 참조를 위해 프로젝트 세부 정보를 보관합니다.
다음 단계
- Microsoft Entra Suite 및 Microsoft의 통합 보안 운영 플랫폼
사용하여 제로 트러스트 보안 모델로의 전환을 가속화하는 방법을 알아봅니다. - Microsoft Traffic에 대한 Microsoft Global Secure Access 배포 가이드
- Microsoft Entra Internet Access 대한 Microsoft 글로벌 보안 액세스 배포 가이드
- Microsoft Entra Private Access용 Microsoft 글로벌 보안 액세스 배포 가이드
- Azure Virtual Network Gateway를 사용하여 원격 네트워크 연결 시뮬레이션 - 전역 보안 액세스
- Azure vWAN을 사용하여 원격 네트워크 연결 시뮬레이션 - 전역 보안 액세스