다음을 통해 공유

Microsoft Entra Private Access에 대한 Microsoft 글로벌 보안 액세스 배포 가이드

  • 아티클

Microsoft Global Secure Access 네트워크, ID 및 엔드포인트 액세스 제어를 수렴하여 모든 위치, 디바이스 또는 ID에서 앱 또는 리소스에 안전하게 액세스할 수 있습니다. 회사 직원을 위한 액세스 정책 관리를 활성화하고 조정합니다. 프라이빗 앱, SaaS(Software-as-a-Service) 앱 및 Microsoft 엔드포인트에 대한 사용자 액세스를 실시간으로 지속적으로 모니터링하고 조정할 수 있습니다. 지속적인 모니터링 및 조정을 통해 사용 권한 및 위험 수준 변경이 발생할 때 적절하게 대응할 수 있습니다.

Microsoft Entra Private Access를 사용하면 회사 VPN을 바꿀 수 있습니다. 엔터프라이즈 사용자에게 조건부 액세스 정책을 사용하여 제어하는 회사 애플리케이션에 대한 매크로 및 마이크로 세그먼트 액세스를 제공합니다. 다음을 수행할 수 있습니다.

  • 모든 포트 및 프로토콜을 사용하여 프라이빗 애플리케이션에 대한 제로 트러스트 지점 간 액세스를 제공합니다. 이 방법을 사용하면 악의적인 행위자가 회사 네트워크에서 횡적 이동 또는 포트 검색을 수행할 수 없습니다.
  • 사용자가 프라이빗 애플리케이션에 연결할 때 다단계 인증이 필요합니다.
  • Microsoft의 방대한 글로벌 프라이빗 광역 네트워크를 통해 데이터를 터널로 연결하여 보안 네트워크 통신을 극대화합니다.

이 문서의 지침은 배포 실행 단계에 들어갈 때 프로덕션 환경에서 Microsoft Entra Private Access를 테스트하고 배포하는 데 도움이 됩니다. Microsoft Global Secure Access 배포 가이드 소개 Global Secure Access 배포 프로젝트를 시작, 계획, 실행, 모니터링 및 닫는 방법에 대한 지침을 제공합니다.

키 사용 사례 식별 및 계획

VPN 교체는 Microsoft Entra Private Access의 기본 시나리오입니다. 이 시나리오 내에서 배포에 대한 다른 사용 사례가 있을 수 있습니다. 예를 들어 다음을 수행해야 할 수 있습니다.

  • 조건부 액세스 정책을 적용하여 개인 애플리케이션에 연결하기 전에 사용자 및 그룹을 제어합니다.
  • 모든 프라이빗 앱에 연결하기 위한 요구 사항으로 다단계 인증을 구성합니다.
  • TCP(Transmission Control Protocol) 및 UDP(사용자 데이터그램 프로토콜) -based 애플리케이션에 대해 시간이 지남에 따라 제로 트러스트에 접근하는 단계적 배포를 사용하도록 설정합니다.
  • FQDN(정규화된 도메인 이름)을 사용하여 IP 주소 범위가 겹치거나 중복되는 가상 네트워크에 연결하여 임시 환경에 대한 액세스를 구성합니다.
  • PIM(Privileged Identify Management)을 사용하여 권한 있는 액세스에 대한 대상 구분을 구성합니다.

사용 사례에 필요한 기능을 이해한 후에는 사용자 및 그룹을 이러한 기능과 연결하는 인벤토리를 만듭니다. 빠른 액세스 기능을 사용하여 처음에 VPN 기능을 복제하여 연결을 테스트하고 VPN을 제거할 계획입니다. 그런 다음 Application Discovery를 사용하여 사용자가 연결하는 애플리케이션 세그먼트를 식별하여 특정 IP 주소, FQDN 및 포트에 대한 연결을 보호할 수 있습니다.

Microsoft Entra Private Access 테스트 및 배포

이 시점에서 SASE(Secure Access Service Edge) 배포 프로젝트의 시작 및 계획 단계를 완료했습니다. 누구를 위해 구현해야 하는지 이해합니다. 각 웨이브에서 활성화할 사용자들을 정의했습니다. 당신은 각 웨이브의 배포 일정을 가지고 있습니다. 라이선스 요구 사항을 충족했습니다. Microsoft Entra Private Access를 사용하도록 설정할 준비가 완료되었습니다.

  1. 최종 사용자 통신을 만들어 기대치를 설정하고 에스컬레이션 경로를 제공합니다.
  2. 사용자 디바이스에서 Global Secure Access 클라이언트를 제거하거나 트래픽 전달 프로필을 사용하지 않도록 설정하는 경우의 상황 및 절차를 정의하는 롤백 계획을 만듭니다.
  3. 파일럿 사용자를 포함한 Microsoft Entra 그룹을 만드세요.
  4. Microsoft Entra Private Access 트래픽 전달 프로필 사용하도록 설정하고 파일럿 그룹을 할당합니다. 트래픽 전달 프로필에 사용자 및 그룹을 할당합니다.
  5. 커넥터로 작동하도록 애플리케이션에 대한 가시적인 액세스 권한이 있는 서버 또는 가상 머신을 프로비전하여 사용자를 위한 애플리케이션에 아웃바운드 연결을 제공합니다. 허용되는 성능을 위해 부하 분산 시나리오 및 용량 요구 사항을 고려합니다. 각 커넥터 컴퓨터에서 Microsoft Entra Private Access에 대한 커넥터를 구성합니다.
  6. 엔터프라이즈 애플리케이션의 인벤토리가 있는 경우 Global Secure Access 애플리케이션을 사용하여 앱별 액세스를 구성합니다. 그렇지 않은 경우 전역 보안 액세스대한 빠른 액세스를 구성합니다.
  7. 파일럿 그룹에 기대치를 전달합니다.
  8. 파일럿 그룹이 테스트할 디바이스에 Windows 대한 Global Secure Access 클라이언트를 배포합니다.
  9. 이러한 사용자가 귀하의 게시된 Global Secure Access 기업용 애플리케이션에 연결할 때 파일럿 그룹에 적용할 보안 요구 사항에 따라 조건부 액세스 정책을 만드세요.
  10. 파일럿 사용자에게 구성을 테스트하도록 하세요.
  11. 필요한 경우 구성을 업데이트하고 다시 테스트합니다. 필요한 경우 롤백 계획을 시작합니다.
  12. 필요에 따라 최종 사용자 통신 및 배포 계획의 변경 내용을 반복합니다.

앱별 액세스 구성

Microsoft Entra Private Access 배포의 가치를 최대화하려면 빠른 액세스에서 앱별 액세스로 전환해야 합니다. Application Discovery 기능을 사용하여 사용자가 액세스하는 앱 세그먼트에서 Global Secure Access 애플리케이션을 빠르게 만들 수 있습니다. Global Secure Access Enterprise 애플리케이션 사용하여 수동으로 만들 수도 있고, PowerShell 사용하여 만들기를 자동화할 수도 있습니다.

  1. 애플리케이션을 만들고 빠른 액세스에 할당된 모든 사용자(권장) 또는 특정 애플리케이션에 액세스해야 하는 모든 사용자로 범위를 지정합니다.
  2. 애플리케이션에 하나 이상의 앱 세그먼트를 추가합니다. 모든 앱 세그먼트를 동시에 추가할 필요는 없습니다. 각 세그먼트에 대한 트래픽 흐름의 유효성을 검사할 수 있도록 천천히 추가하는 것이 좋습니다.
  3. 이러한 앱 세그먼트에 대한 트래픽은 더 이상 빠른 액세스에 표시되지 않습니다. 빠른 액세스를 사용하여 전역 보안 액세스 애플리케이션으로 구성해야 하는 앱 세그먼트를 식별합니다.
  4. 빠른 액세스에 앱 세그먼트가 표시되지 않을 때까지 전역 보안 액세스 애플리케이션을 계속 만듭니다.
  5. 빠른 액세스를 사용하지 않도록 설정합니다.

파일럿 프로그램이 완료되면 반복 가능한 프로세스를 마련해야 하며, 실제 환경 배포에서 각 사용자 그룹에 대해 어떻게 진행할지 이해해야 합니다.

  1. 사용자의 물결이 포함된 그룹을 식별합니다.
  2. 예약된 웨이브 및 포함된 사용자를 지원 팀에 알립니다.
  3. 계획되고 준비된 최종 사용자 통신을 보냅니다.
  4. Microsoft Entra Private Access 트래픽 전달 프로필에 그룹을 할당합니다.
  5. 웨이브 사용자의 디바이스에 전역 보안 액세스 클라이언트를 배포합니다.
  6. 필요한 경우 더 많은 프라이빗 네트워크 커넥터를 배포하고 더 많은 글로벌 보안 액세스 엔터프라이즈 애플리케이션을 만듭니다.
  7. 필요한 경우 이러한 애플리케이션에 연결할 때 웨이브의 사용자에게 적용할 조건부 액세스 정책을 만듭니다.
  8. 구성을 업데이트합니다. 다시 테스트하여 문제를 해결합니다. 필요한 경우 롤백 계획을 시작합니다.
  9. 필요에 따라 최종 사용자 통신 및 배포 계획의 변경 내용을 반복합니다.

다음 단계