Microsoft 트래픽에 대한 Microsoft 글로벌 보안 액세스 배포 가이드

Microsoft Global Secure Access 네트워크, ID 및 엔드포인트 액세스 제어를 수렴하여 모든 위치, 디바이스 또는 ID에서 앱 또는 리소스에 안전하게 액세스할 수 있습니다. 회사 직원을 위한 액세스 정책 관리를 관리할 수 있도록 설정하고 조율합니다. 프라이빗 앱, SaaS(Software-as-a-Service) 앱 및 Microsoft 엔드포인트에 대한 사용자 액세스를 실시간으로 지속적으로 모니터링하고 조정할 수 있습니다. 지속적인 모니터링 및 조정을 통해 사용 권한 및 위험 수준 변경이 발생할 때 적절하게 대응할 수 있습니다.

Microsoft 트래픽 전달 프로필을 사용하면 사용자가 원격 위치에서 작업하는 경우에도 Microsoft 엔드포인트와 관련된 인터넷 트래픽을 제어하고 관리할 수 있습니다. 다음을 수행할 수 있습니다.

• 데이터 반출을 방지합니다.
• 토큰 도난 및 재생 공격의 위험을 줄입니다.
• 디바이스 원본 IP 주소와 활동 로그의 상관 관계를 지정하여 위협 헌팅 효율성을 개선합니다.
• 송신 IP 주소 목록 없이 액세스 정책 관리를 용이하게 합니다.

이 문서의 지침은 프로덕션 환경에서 Microsoft 트래픽 프로필을 테스트하고 배포하는 데 도움이 됩니다. Microsoft Global Secure Access 배포 가이드 소개 Global Secure Access 배포 프로젝트를 시작, 계획, 실행, 모니터링 및 닫는 방법에 대한 지침을 제공합니다.

키 사용 사례 식별 및 계획

Microsoft Entra Secure Access Essentials를 사용하도록 설정하기 전에 원하는 작업을 결정합니다. 사용 사례를 이해하여 배포할 기능을 결정합니다. 다음 표에서는 사용 사례에 따라 구성을 권장합니다.

사용 사례	권장 구성
사용자 및 그룹이 관리되는 디바이스를 사용하여 다른 테넌트에서 Microsoft 365 엔드포인트에 액세스하지 못하도록 합니다.	범용 테넌트 제한을 구성합니다.
사용자가 Microsoft 365 및 모든 엔터프라이즈 애플리케이션에 대한 토큰 도난/재생 위험을 줄이기 위해 Global Secure Access 보안 네트워크 터널에만 연결하고 인증해야 합니다.	조건부 액세스 정책에서 준수하는 네트워크 검사를 구성합니다.
위협 헌팅 성공 및 효율성을 최대화합니다.	원본 IP 복원(미리 보기) 구성 및 강화된 Microsoft 365 로그사용합니다.

사용 사례에 필요한 기능을 확인한 후 구현에 기능 배포를 포함합니다.

Microsoft 트래픽 프로필 테스트 및 배포

이 시점에서 전역 보안 액세스 배포 프로젝트의 시작 및 계획 단계를 완료했습니다. 누구를 위해 구현해야 하는지 이해합니다. 각 웨이브에서 사용하도록 설정할 사용자를 정의했습니다. 당신은 각 웨이브의 배포 일정을 가지고 있습니다. 라이선스 요구 사항을 충족했습니다. Microsoft 트래픽 프로필을 사용하도록 설정할 준비가 완료되었습니다.

1. 최종 사용자 통신을 만들어 기대치를 설정하고 에스컬레이션 경로를 제공합니다.
2. 사용자 디바이스에서 Global Secure Access 클라이언트를 제거하거나 트래픽 전달 프로필을 사용하지 않도록 설정하는 경우의 상황 및 절차를 정의하는 롤백 계획을 만듭니다.
3. 파일럿 사용자를 포함하는 Microsoft Entra 그룹 만듭니다.
4. 최종 사용자에게 메시지를 보냅니다.
5. Microsoft 트래픽 전달 프로필을 사용하도록 설정하고 이를 파일럿 그룹에 할당합니다.
6. 위협 탐지의 성공 및 효율성을 최대화하려는 경우 원본 IP 복원를 구성합니다.
7. 계획된 사용 사례인 경우 준수 네트워크 검사를 파일럿 그룹에 요구하는 조건부 액세스 정책을 만듭니다.
8. 계획된 사용 사례인 경우 범용 테넌트 제한을 구성합니다.
9. 파일럿 그룹이 테스트할 디바이스에 Windows 대한 Global Secure Access 클라이언트를 배포합니다.
10. 파일럿 사용자가 구성을 테스트하게 합니다.
11. 로그인 로그를 확인하여 파일럿 사용자가 글로벌 보안 액세스를 사용하여 Microsoft 엔드포인트에 연결하고 있는지 확인합니다.
12. 전역 보안 액세스 에이전트를 일시 중지한 후 SharePoint에 접근을 시도하여 규정 준수 네트워크 확인을 수행합니다.
13. 테넌트의 제한 사항을 확인하려면 다른 테넌트에 로그인해 보세요.
14. 전역 보안 액세스 에이전트가 실행 중일 때와 비활성화되었을 때를 비교하여 SharePoint Online에 성공적으로 연결한 경우의 로그인 기록에 있는 IP 주소를 비교함으로써 원본 IP 복원이 잘 이루어졌는지 확인합니다.

    메모

    이 확인을 위해 규격 네트워크 검사를 적용하는 조건부 액세스 정책을 사용하지 않도록 설정해야 합니다.

문제를 해결하도록 구성을 업데이트합니다. 테스트를 반복합니다. 필요한 경우 롤백 계획을 구현합니다. 필요한 경우 최종 사용자 통신 및 배포 계획의 변경 내용을 반복합니다.

파일럿을 완료한 후에는 프로덕션 배포의 각 사용자 웨이브를 계속 진행하는 반복 가능한 프로세스가 있습니다.

1. 웨이브 사용자들이 포함된 그룹을 식별하십시오.
2. 지원 팀에게 웨이브의 일정 및 포함된 사용자를 알리십시오.
3. 웨이브 엔드 유저 커뮤니케이션을 송신하세요.
4. 웨이브 그룹을 Microsoft 트래픽 전달 프로필에 할당합니다.
5. 웨이브의 사용자 디바이스에 전역 보안 액세스 클라이언트를 배포합니다.
6. 조건부 액세스 정책을 만들거나 업데이트하여 웨이브의 관련 그룹에 사용 사례 요구 사항을 적용합니다.
7. 필요에 따라 최종 사용자 통신 및 배포 계획의 변경 내용을 반복합니다.

다음 단계

• Microsoft Entra Suite 및 Microsoft의 통합 보안 운영 플랫폼 사용하여 제로 트러스트 보안 모델로의 전환을 가속화하는 방법을 알아봅니다.
• Microsoft 글로벌 보안 액세스 배포 가이드 소개
• Microsoft Entra Private Access를 위한 Microsoft 글로벌 보안 액세스 배포 가이드
• Microsoft Entra Internet Access에 대한 Microsoft 글로벌 보안 액세스 배포 가이드
• Azure Virtual Network Gateway를 사용하여 원격 네트워크 연결 시뮬레이션 - 전역 보안 액세스
• Azure vWAN을 사용하여 원격 네트워크 연결 시뮬레이션 - 전역 보안 액세스