유니버설 연속 액세스 평가(미리 보기)
CAE(유니버설 연속 액세스 평가)는 새 애플리케이션 리소스에 대한 연결이 설정될 때마다 GSA 에지에 대한 액세스의 유효성을 검사하도록 Microsoft Entra ID와 함께 작동하는 GSA(Global Secure Access)의 플랫폼 기능입니다. 유니버설 CAE는 GSA 액세스 토큰을 도난 및 재생으로부터 보호합니다. 유니버설 CAE는 Entra ID가 ID 변경 내용을 감지할 때마다 거의 실시간으로 네트워크 액세스를 해지하고 유효성을 다시 검사합니다. 기존 Entra ID CAE는 각 워크로드가 특수 라이브러리를 채택해야 하며 자사 애플리케이션으로만 제한됩니다. 유니버설 CAE는 애플리케이션이 CAE를 인식할 필요 없이 전역 보안 액세스로 액세스하는 모든 애플리케이션으로 CAE의 이점을 확장합니다.
유니버설 CAE의 이점
다음은 Entra ID가 ID 변경을 감지하고 거의 실시간으로 CAE를 트리거할 때 유니버설 CAE가 조직에 어떤 이점을 제공하는지에 대한 몇 가지 예입니다.
- 프라이빗 액세스 - 원격 데스크톱을 통한 사용자 세션, 파일 서버에 대한 액세스 및 프라이빗 액세스로 보호되는 모든 프라이빗 리소스에 대한 액세스가 중단되어 퇴사하는 직원 또는 악의적인 내부자 활동에 의한 데이터 반출 위험을 줄입니다.
- Internet Access - 비 Microsoft 파일 공유 서비스 및 회사 공동 작업 도구와 같이 회사 데이터를 보유할 수 있는 서비스를 포함하여 모든 인터넷 리소스에 대한 사용자의 액세스가 중단되어 퇴사한 직원의 데이터 반출 위험을 줄입니다.
- Microsoft Services - 많은 Microsoft 서비스 CAE를 기본적으로 사용하고 있지만, 그렇지 않은 애플리케이션도 있습니다. 유니버설 CAE를 사용하면 애플리케이션의 CAE 인식에 관계없이 Microsoft 애플리케이션에 대한 사용자의 액세스가 중단됩니다.
- 사용자가 GSA를 사용하여 서비스에 연결하도록 허용하기 전에 특정 네트워크에 있어야 하므로 초기 터널 인증 후에도 다른 네트워크로 이동하지 못하게 할 수 있습니다. 이 시나리오에서 사용자가 네트워크를 변경하면 GSA를 통한 네트워크 액세스가 다시 인증되고 위치 기반 조건부 액세스 정책이 다시 평가됩니다.
- 조건부 액세스로 구성된 선택적 엄격한 적용 모드는 GSA 액세스 토큰의 토큰 도난/재생으로부터 보호합니다. 인증 중에 사용된 원래 IP 주소와 다른 IP 주소에서 토큰 재생을 시도하면 네트워크 액세스가 차단됩니다.
작동 방식
글로벌 보안 액세스는 엔트라 ID 액세스 토큰을 사용하여 서비스 터널(Microsoft 트래픽, 인터넷 액세스 및 프라이빗 액세스 트래픽 전달 프로필)에 인증합니다. 액세스 토큰은 60분에서 90분 사이에 유효합니다. 액세스 토큰이 만료되기 전에 GSA 클라이언트는 Entra ID 새로 고침 토큰을 사용하여 새 액세스 토큰을 가져옵니다.
OAuth2 사양에 따라 액세스 토큰은 만료될 때까지 유효합니다. 예를 들어 사용자 계정을 사용하지 않도록 설정하면 Entra ID는 새로 고침 토큰을 즉시 무효화하지만 GSA 액세스 토큰이 만료되는 데 최대 90분이 걸립니다.
유니버설 CAE를 사용하면 사용자 ID에 대한 변경 내용이 거의 실시간으로 전역 보안 액세스에 전달됩니다. 액세스 토큰이 여전히 유효하더라도 Global Secure Access는 특수 클레임 챌린지를 최종 사용자에게 다시 보내 사용자가 다시 인증하도록 요구합니다. 사용자가 Entra ID 인증 챌린지를 완료할 수 없는 경우 GSA를 통한 네트워크 액세스가 차단됩니다. 유니버설 CAE는 Entra ID 계정 상태 변경과 사용자에게 재인증 요구 사이의 기간을 단축하여 퇴사한 직원의 데이터 반출 위험을 줄입니다.
유니버설 CAE 재인증 트리거하는 Microsoft Entra ID 신호
전역 보안 액세스는 다음 이벤트에 대해 거의 실시간으로 Entra ID에서 신호를 수신하도록 설정됩니다.
- 사용자 계정 삭제 또는 사용하지 않도록 설정
- 사용자 암호 변경 또는 재설정
- 사용자에 대해 다단계 인증을 사용하도록 설정합니다.
- 관리자가 사용자의 모든 새로 고침 토큰을 명시적으로 해지
- Microsoft Entra ID 보호로 높은 사용자 위험 검색
보안 이벤트를 받으면 Global Secure Access 클라이언트가 사용자에게 다시 인증하라는 메시지를 표시합니다. 다시 인증에 성공하면 전역 보안 액세스로 보호되는 리소스에 대한 사용자의 네트워크 연결이 복원됩니다.
엄격한 적용 모드
엄격한 적용 모드에서는 리소스 공급자가 검색한 IP 주소가 조건부 액세스 정책에서 허용되지 않는 경우 유니버설 CAE가 액세스를 즉시 중지합니다. 이 옵션은 CAE 위치 적용의 가장 높은 보안 형식이며 관리자는 네트워크 환경에서 인증 및 액세스 요청의 라우팅을 이해해야 합니다. 엄격한 적용을 사용하도록 설정하면 사용자가 조직에서 승인한 IP 주소 범위에서 GSA 서비스에 연결하는 경우에만 전역 보안 액세스 서비스에 액세스할 수 있습니다.
유니버설 CAE 사용 안 림
엔트라 ID 조건부 액세스를 사용하여 테넌트에서 CAE 동작을 제어할 수 있습니다. 기본적으로 CAE는 지원되는 모든 애플리케이션에 대해 설정됩니다. Entra ID 테넌트에서 CAE를 사용하지 않도록 설정할 수 있습니다. 그러면 전역 보안 액세스를 비롯한 모든 서비스에 대해 CAE가 비활성화됩니다. 테넌트에서 CAE를 사용하지 않도록 설정하려면 조건부 액세스 설명서의 단계를 수행합니다.
참고 항목
조건부 액세스에서 선택적 Strict Enforcement 모드를 사용하도록 설정하고 GSA 워크로드 ID에 적용하지 않는 한 유니버설 CAE는 기회적입니다. 기본적으로 지원되는 Global Secure Access 클라이언트는 Entra ID에서 CAE 액세스 토큰을 가져오려고 시도합니다. 엔트라 ID(예: 지원되지 않는 클라이언트 버전으로 인해)에서 CAE 토큰을 가져올 수 없는 경우 일반 액세스 토큰이 발급됩니다. 대체 동작을 사용하면 유니버설 CAE를 사용하지 않도록 설정할 필요가 없습니다.
알려진 제한 사항
이 기능에는 하나 이상의 알려진 제한 사항이 있습니다. 이 기능의 알려진 문제 및 제한 사항에 대한 자세한 내용은 전역 보안 액세스대한 알려진 제한 사항을 참조하세요.