다음을 통해 공유

개념 증명을 위한 Microsoft의 Security Service Edge 솔루션 배포 가이드 소개

  • 아티클

이 PoC(개념 증명) 배포 가이드는 Microsoft Entra 인터넷 액세스, Microsoft Traffic용 Microsoft Entra 인터넷 액세스, Microsoft Entra 개인 액세스를 갖춘 Microsoft의 SSE(Security Service Edge) 솔루션을 배포하는 데 도움이 됩니다.

개요

Microsoft의 ID 중심 Security Service Edge 솔루션은 네트워크, ID, 엔드포인트 액세스 제어를 수렴하여 모든 위치, 디바이스, ID에서 모든 앱이나 리소스에 대한 액세스를 보호할 수 있습니다. 직원, 비즈니스 파트너, 디지털 워크로드에 대한 액세스 정책 관리를 사용하도록 설정하고 오케스트레이션합니다. 프라이빗 앱, SaaS 앱, Microsoft 엔드포인트에 대한 사용 권한이나 위험 수준이 변경되는 경우 실시간으로 사용자 액세스를 지속적으로 모니터링하고 조정할 수 있습니다.

비즈니스 가치

하이브리드 인력과 최신 인력이 지속적으로 증가하면서 보안을 구현하는 새로운 방법을 인식하고 채택하는 것이 중요합니다. 기존의 회사 네트워크가 복잡하고 어려움을 겪는 경우 보안 위험이 높아지고 사용자 환경이 열악해집니다. 레거시 접근 방식은 다음과 같은 주요 과제를 제시합니다.

  • 일관되지 않고 비효율적인 보안 제어
  • 사일로 솔루션 및 정책의 보안 격차
  • 운영 복잡성 및 비용 증가
  • 제한된 리소스 및 기술력

Microsoft의 Security Service Edge 솔루션은 디지털 통신의 모든 단계를 보호하는 데 도움이 됩니다. Microsoft의 방대한 글로벌 네트워크를 활용하여 대기 시간을 최소화하고 앱과 리소스에 빠르고 원활하게 액세스하여 직원 생산성을 향상합니다.

제로 트러스트 원칙을 기반으로 구축된 이 배포하기 쉬운 SSE 솔루션은 포괄적인 클라우드 제공 보안 서비스인 ZTNA(제로 트러스트 네트워크 액세스), SWG(보안 웹 게이트웨이), CASB(클라우드 액세스 보안 브로커), Microsoft 보안 에코시스템 전반의 심층 통합을 통해 위협으로부터 보호합니다. 통합 ID 및 네트워크 액세스 제어를 사용하면 한 곳에서 세분화된 액세스 정책을 쉽게 관리하여 방어의 격차를 없애고 운영 복잡성을 줄일 수 있습니다.

통합 제로 트러스트 아키텍처 및 정책 엔진은 디렉터리, SSO(Single Sign-On), 페더레이션, RBAC(역할 기반 액세스 제어), 프록시에 대한 액세스 제어, 기술 관리를 간소화합니다. 데이터에 대한 액세스를 적용하려면 클라우드, 온-프레미스, IoT(사물 인터넷), OT(운영 기술)에서 ID, 데이터, 네트워크 및 인프라, 앱과 같은 회사 리소스에 중앙 집중식 정책을 일관되게 적용합니다.

  • 통합 적응형 액세스 제어를 적용합니다. Microsoft Entra 조건부 액세스CAE(지속적인 액세스 평가)를 애플리케이션, 리소스, 기타 네트워크 대상으로 확장하여 방어의 격차를 제거하고 액세스를 엔드 투 엔드로 보호합니다.
  • 네트워크 액세스 보안 간소화. 포괄적이고 간단하게 배포할 수 있는 클라우드 제공 보안 서비스를 사용하여 위협으로부터 위험을 최소화하고 기존의 독립 실행형 네트워크 보안 도구의 복잡성과 비용 부담에서 벗어납니다.
  • 어디서나 뛰어난 사용자 환경을 제공하고 하이브리드 작업 생산성을 향상합니다. 사용자에게 가장 가까운 PoP(지점)를 사용하여 전역적으로 분산된 보안 네트워크 에지를 통해 빠르고 원활하게 액세스할 수 있습니다. 온-프레미스, 클라우드, 그 사이의 모든 위치에서 앱과 리소스에 대한 트래픽 라우팅을 최적화하기 위한 추가 홉을 제거합니다.
  • 통합 패브릭. 수렴형 ID 및 네트워크 액세스 제어는 모든 앱과 리소스에 대한 액세스를 안전하게 컨트롤합니다.

Microsoft의 Security Service Edge 솔루션 기능

Microsoft Entra 인터넷 액세스를 사용하면 인터넷 위협, 악의적인 네트워크 트래픽 및 안전하지 않거나 비준수 콘텐츠로부터 조직을 보호하면서 모든 인터넷, SaaS, Microsoft 앱과 리소스에 대한 액세스를 보호할 수 있습니다. Microsoft Entra 인터넷 액세스는 보안 격차를 해소하고 사이버 위협 위험을 최소화하기 위해 단일 정책으로 액세스 제어를 통합합니다. 기존 네트워크 보안을 간소화하고 현대화하여 사용자, 앱, 리소스를 보호합니다. 고급 기능에는 유니버설 액세스 제어, 유니버설 테넌트 제한, 토큰 보호, 웹 콘텐츠 필터링, 클라우드 방화벽, 위협 방지, TLS(전송 계층 보안) 검사가 포함됩니다.

Microsoft Entra 인터넷 액세스Microsoft Traffic용은 적응형 액세스, 강력한 데이터 반출 제어 및 토큰 도난 방지 기능을 갖추고 있습니다. 중복 터널을 통한 복원력은 세계에서 가장 널리 채택된 생산성 앱인 Microsoft 서비스에 동급 최고의 보안과 세분화된 가시성을 제공합니다. ​유연한 배포 옵션(Microsoft의 전체 SSE 솔루션 또는 다른 SSE 솔루션과 함께 배포)을 사용하여 조직에 가장 적합한 것을 선택합니다. 예를 들어 Microsoft Traffic용 Microsoft Entra 인터넷 액세스를 배포하여 다른 리소스에 대한 기존 SSE 솔루션을 유지하면서 Microsoft 앱에 대한 고유한 보안, 가시성, 최적화된 액세스를 얻을 수 있습니다. Microsoft Traffic용 Microsoft Entra 인터넷 액세스는 보안을 강화하고 제로 트러스트 아키텍처와 최종 사용자 환경을 개선하는 시나리오를 제공합니다.

  • 테넌트 제한 v2를 배포하고 조건부 액세스를 사용하여 규정 준수 네트워크 위치를 적용하여 데이터 유출을 방지합니다(샘플 PoC 시나리오 참조: 데이터 유출로부터 보호 참조).
  • 원본 송신 IP에서 원본 IP 주소를 복원하여 보안 로그를 강화하고, 조건부 액세스에서 구성된 명명된 위치와의 호환성을 유지하며, ID Protection 위치 관련 위험 검색을 유지합니다(샘플 PoC 시나리오: 원본 IP 주소 복원 참조).

Microsoft Entra 개인 액세스를 사용하면 ZTNA를 사용하는 어디서나 사용자를 위해 프라이빗 앱과 리소스에 대한 액세스를 보호할 수 있습니다. ​제로 트러스트 원칙을 기반으로 하는 Microsoft Entra 개인 액세스는 레거시 VPN(가상 사설망)의 위험과 운영 복잡성을 제거하면서 사용자 생산성을 향상합니다. 암묵적 신뢰 및 횡적 이동의 위험을 최소화하기 위해 레거시 VPN을 ZTNA로 바꿉니다. 모든 디바이스 및 네트워크의 원격 사용자를 온-프레미스, 클라우드 간, 그 사이에 있는 프라이빗 앱에 빠르고 안전하게 연결합니다. 자동 앱 검색, 간편한 온보딩, 앱별 적응형 액세스 제어, 세분화된 앱 세분화, 지능형 로컬 액세스를 사용하여 과도한 액세스를 제거하고 횡적 위협 이동을 차단합니다.

개념 증명 프로젝트 준비

기술 프로젝트의 성공은 기대치, 결과, 책임 관리에 따라 달라집니다. 이 섹션의 지침에 따라 PoC(개념 증명) 프로젝트에서 최상의 결과를 확인합니다.

관련자 식별

배포 계획을 시작할 때 주요 관련자를 포함합니다. 관련자, 역할, 책임을 식별하고 문서화합니다. 직위 및 역할은 조직마다 다를 수 있지만 소유권 영역은 비슷합니다.

역할 책임
스폰서 예산 및 리소스를 승인 및/또는 할당할 권한이 있는 엔터프라이즈 선임 리더입니다. 관리자와 경영진 간의 연결. 제품 및 기능 구현을 위한 기술 의사 결정자입니다.
최종 사용자 서비스를 구현한 사용자입니다. 사용자는 파일럿 프로그램에 참여할 수 있습니다.
IT 지원 관리자 제안된 변경 지원 가능성에 대한 입력을 제공합니다.
ID 설계자 변경 내용이 ID 관리 인프라에 맞게 조정되는 방법을 정의합니다. 현재 환경을 이해합니다.
애플리케이션 비즈니스 소유자 액세스 관리를 포함할 수 있는 영향을 받는 애플리케이션을 소유합니다. 사용자 환경에 대한 입력을 제공합니다.
보안 소유자 변경 플랜이 보안 요구 사항을 충족하는지 확인합니다.
준수 관리자 회사, 산업, 정부 요구 사항을 준수하는지 확인합니다.
기술 프로그램 관리자 프로젝트를 감독하고 요구 사항을 관리하고 작업 스트림을 조정하며 일정 및 예산을 준수합니다. 통신 플랜과 보고를 원활하게 합니다.
테넌트 관리자 Microsoft Entra 테넌트 담당 IT 소유자 및 기술 리소스는 모든 단계에서 변경됩니다.

RACI 차트 만들기

RACI는 실무 담당자, 의사 결정권자, 업무 수행 조언자, 결과 통보 대상자라는 주요 역할을 의미하는 약어입니다. 개인 프로젝트, 부서 간 프로젝트, 부서별 프로젝트 및 프로세스를 관리할 때 RACI 차트는 역할과 책임을 명확하게 정의합니다.

통신 계획

보류 중인 변경 내용과 현재 변경 내용에 대해 사전에 사용자와 정기적으로 커뮤니케이션합니다. 환경이 변경되는 방법과 시기에 대해 알려 줍니다. 지원 담당자 연락처를 제공합니다. RACI 차트에 따라 팀과 리더십 내에서 내부 커뮤니케이션 및 기대치를 관리합니다.

타임라인 설정

현실적인 기대치를 설정하고 다음과 같은 주요 마일스톤을 충족하기 위한 대체 계획 수립 지원:

  • PoC(개념 증명)
  • 파일럿 날짜
  • 시작 날짜
  • 제공에 영향을 주는 날짜
  • 종속성

이 가이드의 개념 증명을 사용하려면 약 6시간이 소요됩니다. 자세한 내용은 해당 섹션에 연결되는 단계를 통해 계획합니다.

  • 필수 조건 구성: 1시간
  • 초기 제품 구성: 20분
  • 원격 네트워크 구성: 1~2시간
  • Microsoft Traffic용 Microsoft Entra 인터넷 액세스 배포 및 테스트: 1시간
  • Microsoft Entra 개인 액세스 배포 및 테스트: 1시간
  • PoC 닫기: 30분
  • Microsoft와 피드백 공유: 30분

사용 권한 가져오기

전역 보안 액세스 기능과 상호 작용하는 관리자는 전역 보안 액세스 관리자 및 애플리케이션 관리자 역할이 필요합니다.

유니버설 테넌트 제한을 사용하려면 명명된 위치를 만들고 상호 작용할 수 있는 조건부 액세스 관리자 또는 보안 관리자 역할이 필요합니다. 일부 기능에는 다른 역할이 필요할 수도 있습니다.

필수 구성 요소 구성

Microsoft의 Security Service Edge를 성공적으로 배포하고 테스트하려면 다음 필수 구성 요소를 구성합니다.

  1. Microsoft Entra ID P1 라이선스가 있는 Microsoft Entra 테넌트입니다. 라이선스를 구입하거나 평가판 라이선스를 얻을 수 있습니다.
    1. 전역 보안 액세스 관리자 및 애플리케이션 관리자 역할이 있는 사용자 한 명이 Microsoft의 Security Service Edge 기능을 구성합니다.
    2. 테넌트에서 클라이언트 테스트 사용자로 작동하는 사용자 또는 그룹이 하나 이상 있습니다.
    3. 허용됨이라는 Microsoft 365 그룹과 차단됨이라는 다른 그룹이 있습니다. 두 그룹 모두 테스트 사용자를 포함합니다.
    4. 테넌트 제한을 테스트하기 위해 외국 테넌트에서 테스트 사용자 한 명입니다.
  2. 다음 구성을 사용하는 Windows 클라이언트 디바이스 한 개:
    1. Windows 10/11 64 비트 버전.
    2. Microsoft Entra 조인 또는 하이브리드 조인.
    3. 인터넷에 연결되어 있고 corpnet 액세스 또는 VPN이 없습니다.
  3. 클라이언트 디바이스에 전역 보안 액세스 클라이언트를 다운로드하여 설치합니다. Windows용 전역 보안 액세스 클라이언트 문서는 필수 구성 요소 및 설치를 이해하는 데 도움이 됩니다.
  4. Microsoft Entra 개인 액세스를 테스트하려면 다음 구성을 사용하여 애플리케이션 서버로 작동하는 하나의 Windows 서버를 사용합니다.
    1. Windows Server 2012 R2 이상
    2. 애플리케이션 서버에서 호스트하는 하나의 테스트 애플리케이션입니다. 이 가이드에서는 RDP(원격 데스크톱 프로토콜)과 파일 공유에 대한 액세스를 예로 사용합니다.
  5. 다음 구성을 사용하여 커넥터 서버로 작동하는 하나의 Windows 서버인 Microsoft Entra 개인 액세스를 테스트합니다.
    1. Windows Server 2012 R2 이상
    2. Microsoft Entra 서비스에 대한 네트워크 연결.
    3. 포트 80 및 443은 아웃바운드 트래픽에 개방됩니다.
    4. 필요한 URL에 대한 액세스를 허용합니다.
  6. 커넥터 서버와 애플리케이션 서버 간의 연결을 설정합니다. 애플리케이션 서버에서 테스트 애플리케이션에 액세스할 수 있는지 확인합니다(예: RDP 연결 및 파일 공유 액세스 성공).

다음 다이어그램에서는 Microsoft Entra 개인 액세스를 배포하고 테스트하기 위한 최소 아키텍처 요구 사항을 보여 줍니다.

Microsoft Entra 테넌트에 필요한 최소 아키텍처 구성 요소를 보여 주는 다이어그램.

초기 제품 구성

이 섹션의 단계에 따라 Microsoft Entra 관리 센터를 통해 SSE를 구성하고 Windows 10/11 클라이언트 디바이스에 전역 보안 액세스 클라이언트를 설치합니다.

Microsoft Entra 관리 센터를 통해 Microsoft SSE 구성

Microsoft Entra 관리 센터를 통해 Microsoft SSE를 활성화하고 이 PoC에 대한 요구 사항인 초기 구성을 만듭니다.

  1. 전역 보안 액세스 관리자 역할이 할당된 ID를 사용하여 Microsoft Entra 관리 센터를 엽니다.

  2. 전역 보안 액세스>시작>테넌트에서 전역 보안 액세스 활성화로 이동합니다. 활성화를 선택하여 테넌트에서 SSE 기능을 사용하도록 설정합니다.

    Microsoft의 Security Service Edge 솔루션에 대한 초기 활성화 페이지를 보여 주는 다이어그램.

  3. 전역 보안 액세스>연결>트래픽 전달로 이동합니다. Microsoft 프로필, 프라이빗 액세스 프로필, 인터넷 액세스 프로필을 켭니다. 트래픽 전달을 사용하면 Microsoft의 Security Service Edge 솔루션 서비스를 통해 터널링할 네트워크 트래픽 유형을 구성할 수 있습니다. 트래픽 전달 프로필을 설정하여 트래픽 유형을 관리합니다. Microsoft Traffic 프로필은 Microsoft Traffic용 Microsoft Entra 인터넷 액세스용입니다. 프라이빗 액세스 프로필은 Microsoft Entra 개인 액세스용이며 인터넷 액세스 프로필은 Microsoft Entra 인터넷 액세스용입니다. Microsoft의 Security Service Edge 솔루션은 전역 보안 액세스 클라이언트가 설치된 클라이언트 디바이스에서만 트래픽을 캡처합니다.

    참고 항목

    인터넷 액세스 전달 프로필을 사용하도록 설정하는 경우 Microsoft Traffic의 최적 라우팅을 위해 Microsoft Traffic 전달 프로필도 사용하도록 설정해야 합니다.

    Microsoft Traffic 및 프라이빗 액세스 프로필을 사용하도록 설정하는 방법을 보여 주는 다이어그램.

  4. 원본 IP 복원을 사용하려면 전역 보안 액세스>연결>설정>세션 관리>적응형 액세스로 이동하여 조건부 액세스에서 전역 보안 액세스 신호 사용을 켭니다. 이 개념 증명의 일부로 구성할 조건부 액세스 정책에는 원본 IP 복원이 필요합니다.

    Microsoft의 Security Service Edge 솔루션에 조건부 액세스 정책을 사용하도록 설정하는 방법을 보여 주는 다이어그램.

Windows 10/11 클라이언트 디바이스에 전역 보안 액세스 클라이언트 설치

Microsoft Traffic용 Microsoft Entra 인터넷 액세스 및 Microsoft Entra 개인 액세스는 Windows 디바이스에서 전역 보안 액세스 클라이언트를 사용합니다. 이 클라이언트는 네트워크 트래픽을 수집하여 Microsoft의 Security Service Edge 솔루션으로 전달합니다.

  1. Windows 디바이스가 Microsoft Entra 조인 또는 하이브리드 조인되어 있는지 확인합니다.

  2. 로컬 관리자 권한이 있는 Microsoft Entra 사용자 역할을 사용하여 Windows 디바이스에 로그인합니다.

  3. 전역 보안 액세스 관리자 역할이 할당된 ID를 사용하여 Microsoft Entra 관리 센터를 엽니다.

  4. 전역 보안 액세스>연결>클라이언트 다운로드로 이동합니다. 클라이언트 다운로드를 선택하고 설치를 완료합니다.

    전역 보안 액세스 클라이언트 소프트웨어를 다운로드할 위치를 보여 주는 다이어그램.

  5. 창 작업 표시줄에서 전역 보안 액세스 클라이언트는 먼저 연결이 끊어진 것으로 표시됩니다. 몇 초 후에 자격 증명을 묻는 메시지가 표시됩니다. 테스트 사용자의 자격 증명을 입력합니다.

  6. 창 작업 표시줄에서 전역 보안 액세스 클라이언트 아이콘을 마우스로 가리키고 연결된 상태를 확인합니다.

  7. 창 작업 표시줄에서 전역 보안 액세스 클라이언트를 마우스 오른쪽 단추로 클릭합니다.

  8. 고급 진단을 선택하여 전역 보안 액세스 클라이언트 연결 진단을 봅니다. 상태 검사를 클릭하고 모든 검사에 상태가 표시되는지 확인합니다.

다음 단계