다음을 통해 공유

전역 보안 액세스(미리 보기) 웹 콘텐츠 필터링을 구성하는 방법

  • 아티클

웹 콘텐츠 필터링을 사용하면 웹 사이트 분류를 기반으로 조직에 대한 세부적인 인터넷 액세스 제어를 구현할 수 있습니다.

Microsoft Entra 인터넷 액세스의 첫 번째 SWG(보안 웹 게이트웨이) 기능에는 도메인 이름을 기반으로 한 웹 콘텐츠 필터링이 포함됩니다. Microsoft는 세분화된 필터링 정책을 Microsoft Entra ID 및 Microsoft Entra Conditional Access와 통합하여 사용자 인식, 컨텍스트 인식 및 관리하기 쉬운 필터링 정책을 제공합니다.

웹 필터링 기능은 현재 사용자 및 상황 인식 FQDN(정규화된 도메인 이름) 기반 웹 범주 필터링 및 FQDN 필터링으로 제한됩니다.

필수 조건

  • 전역 보안 액세스 기능과 상호 작용하는 관리자는 수행 중인 작업에 따라 다음 역할 중 하나 이상을 할당받아야 합니다.

  • 전역 보안 액세스 시작 가이드를 완료합니다.

  • 최종 사용자 디바이스에 전역 보안 액세스 클라이언트를 설치합니다.

  • 네트워크 트래픽을 터널하려면 HTTPS(보안 DNS)를 통해 DNS(도메인 이름 시스템)를 사용하지 않도록 설정해야 합니다. 트래픽 전달 프로필에서 FQDN(정규화된 도메인 이름)의 규칙을 사용합니다. 자세한 내용은 DoH를 지원하도록 DNS 클라이언트 구성을 참조하세요.

  • Chrome 및 Microsoft Edge에서 기본 제공 DNS 클라이언트를 사용하지 않도록 설정합니다.

  • IPv6 트래픽은 클라이언트에서 가져오지 않으므로 네트워크로 직접 전송됩니다. 모든 관련 트래픽을 터널로 연결하려면 네트워크 어댑터 속성을 IPv4 기본 설정으로 설정합니다.

  • UDP(사용자 데이터그램 프로토콜) 트래픽(즉, QUIC)은 인터넷 액세스의 현재 미리 보기에서 지원되지 않습니다. 대부분의 웹 사이트는 QUIC를 설정할 수 없는 경우TCP(Transmission Control Protocol)로 대체를 지원합니다. 향상된 사용자 환경을 위해 아웃바운드 UDP 443: @New-NetFirewallRule -DisplayName "Block QUIC" -Direction Outbound -Action Block -Protocol UDP -RemotePort 443(을)를 차단하는 Windows 방화벽 규칙을 배포할 수 있습니다.

  • 웹 콘텐츠 필터링 개념을 검토합니다. 자세한 내용은 웹 콘텐츠 필터링을 참조하세요.

대략적인 단계

웹 콘텐츠 필터링을 구성하는 데는 여러 단계가 있습니다. 조건부 액세스 정책을 구성해야 하는 위치를 기록해 둡니다.

  1. 인터넷 트래픽 전달을 사용하도록 설정합니다.
  2. 웹 콘텐츠 필터링 정책을 만듭니다.
  3. 보안 프로필을 만듭니다.
  4. 보안 프로필을 조건부 액세스 정책에 연결합니다.
  5. 트래픽 전달 프로필에 사용자 또는 그룹을 할당합니다.

인터넷 트래픽 전달 사용

첫 번째 단계는 인터넷 액세스 트래픽 전달 프로필을 사용하도록 설정하는 것입니다. 프로필과 프로필 사용 설정 방법에 대해 자세히 알아보려면 인터넷 액세스 트래픽 전달 프로필 관리 방법을 참조하세요.

웹 콘텐츠 필터링 정책 만들기

  1. 전역 보안 액세스>보안>웹 콘텐츠 필터링 정책으로 이동하기.
  2. Create policy(정책 만들기)를 선택합니다.
  3. 정책의 이름과 설명을 입력하고 다음을 선택합니다.
  4. 규칙 추가를 선택합니다.
  5. 이름을 입력하고 웹 범주 또는 유효한 FQDN을 선택한 다음 추가를 선택합니다.
    • 이 기능의 유효한 FQDN에는 별표 기호 *를 사용하는 와일드카드도 포함될 수 있습니다.
  6. 다음을 선택하여 정책을 검토한 후 정책 만들기를 선택합니다.

Important

웹 콘텐츠 필터링에 대한 변경 내용은 배포하는 데 최대 1시간이 걸릴 수 있습니다.

보안 프로필 만들기

보안 프로필은 필터링 정책을 그룹화한 것입니다. Microsoft Entra 조건부 액세스 정책을 사용하여 보안 프로필을 할당하거나 연결할 수 있습니다. 하나의 보안 프로필에는 여러 필터링 정책이 포함될 수 있습니다. 그리고 하나의 보안 프로필은 여러 조건부 액세스 정책과 연결될 수 있습니다.

이 단계에서는 필터링 정책을 그룹화하기 위한 보안 프로필을 만듭니다. 그런 다음 조건부 액세스 정책을 사용하여 보안 프로필을 할당하거나 연결하여 사용자 또는 상황을 인식하게 합니다.

참고 항목

Microsoft Entra 조건부 액세스 정책에 대해 자세히 알아보려면 조건부 액세스 정책 빌드를 참조하세요.

  1. 전역 보안 액세스>보안>보안 프로필을 찾아보세요.
  2. 프로필 만들기를 선택합니다.
  3. 정책의 이름과 설명을 입력하고 다음을 선택합니다.
  4. 정책 연결을 선택한 다음 기존 정책을 선택합니다.
  5. 이미 만든 웹 콘텐츠 필터링 정책을 선택하고 추가를 선택합니다.
  6. 보안 프로필 및 관련 정책을 검토하려면 다음을 선택합니다.
  7. 프로필 만들기를 선택합니다.
  8. 프로필 페이지를 새로 고침하고 새 프로필을 보려면 새로 고침을 선택합니다.

최종 사용자 또는 그룹에 대한 조건부 액세스 정책을 만들고 조건부 액세스 세션 컨트롤을 통해 보안 프로필을 제공합니다. 조건부 액세스는 인터넷 액세스 정책에 대한 사용자 및 컨텍스트 인식을 위한 배달 메커니즘입니다. 세션 제어에 대해 자세히 알아보려면 조건부 액세스: 세션을 참조하세요.

  1. ID>보호>조건부 액세스로 이동합니다.
  2. 새 정책 만들기를 선택합니다.
  3. 이름을 입력하고 사용자 또는 그룹을 할당합니다.
  4. 드롭다운 메뉴에서 대상 리소스전역 보안 액세스를 선택하여 정책 적용 대상을 설정합니다.
  5. 드롭다운 메뉴에서 인터넷 트래픽을 선택하여 이 정책이 적용되는 트래픽 프로필을 설정합니다.
  6. 세션>전역 보안 액세스 보안 프로필 사용을 선택하고 웹 필터링 프로필을 선택합니다.
  7. 선택을 선택합니다.
  8. 정책 사용 섹션에서 켜기가 선택되어 있는지 확인합니다.
  9. 만들기를 실행합니다.

인터넷 액세스 – 웹 콘텐츠 필터링

이 예제에서는 웹 콘텐츠 필터링 정책을 적용할 때 Microsoft Entra 인터넷 액세스 트래픽의 흐름을 보여 줍니다.

다음 흐름 다이어그램에서는 인터넷 리소스에 대한 액세스를 차단하거나 허용하는 웹 콘텐츠 필터링 정책을 보여 줍니다.

다이어그램은 인터넷 리소스에 대한 액세스를 차단하거나 허용하는 웹 콘텐츠 필터링 정책의 흐름을 보여 줍니다.

Step Description
1 글로벌 보안 액세스 클라이언트는 Microsoft의 Security Service Edge 솔루션에 연결을 시도합니다.
2 클라이언트는 인증 및 권한 부여를 위해 Microsoft Entra ID로 리디렉션됩니다.
3 사용자 및 디바이스가 인증합니다. 사용자에게 유효한 PRT(기본 새로 고침 토큰)가 있는 경우 인증이 원활하게 수행됩니다.
4 사용자 및 디바이스가 인증되면 조건부 액세스가 인터넷 액세스 CA 규칙과 일치하고 해당 보안 프로필을 토큰에 추가합니다. 적용 가능한 권한 부여 정책을 적용합니다.
5 Microsoft Entra ID는 유효성 검사를 위해 Microsoft Security Service Edge에 토큰을 제공합니다.
6 터널은 글로벌 보안 액세스 클라이언트와 Microsoft Security Service Edge 간에 설정됩니다.
7 트래픽이 획득되기 시작하고 인터넷 액세스 터널을 통해 터널됩니다.
8 Microsoft Security Service Edge는 우선 순위에 따라 액세스 토큰의 보안 정책을 평가합니다. 웹 콘텐츠 필터링 규칙에서 일치하면 웹 콘텐츠 필터링 정책 평가가 중지됩니다.
9 Microsoft Security Service Edge는 보안 정책을 적용합니다.
10 정책 = 차단으로 인해 HTTP 트래픽에 대한 오류가 발생하거나 HTTPS 트래픽에 대한 연결 재설정 예외가 발생합니다.
11 정책 = 대상에 대한 트래픽 전달 결과를 허용합니다.

참고 항목

액세스 토큰을 사용하는 보안 프로필 적용으로 인해 새 보안 프로필을 적용하는 데 최대 60-90분이 걸릴 수 있습니다. 사용자는 새 보안 프로필 ID가 있는 새 액세스 토큰을 클레임으로 받아야 적용됩니다. 기존 보안 프로필에 대한 변경 내용이 훨씬 더 빠르게 적용되기 시작합니다.

사용자 및 그룹 할당

인터넷 액세스 프로필의 범위를 특정 사용자 및 그룹으로 지정할 수 있습니다. 사용자 및 그룹 할당에 대해 자세히 알아보려면 트래픽 전달 프로필로 사용자 및 그룹을 할당하고 관리하는 방법을 참조하세요.

최종 사용자 정책 적용 확인

트래픽이 Microsoft의 Secure Service Edge에 도달하면 Microsoft Entra 인터넷 액세스 두 가지 방법으로 보안 제어를 수행합니다. 암호화되지 않은 HTTP 트래픽의 경우 URL(Uniform Resource Locator)을 사용합니다. TLS(전송 계층 보안)로 암호화된 HTTPS 트래픽의 경우 SNI(서버 이름 표시)를 사용합니다.

전역 보안 액세스 클라이언트가 설치된 Windows 디바이스를 사용합니다. 인터넷 트래픽 획득 프로필이 할당된 사용자로 로그인합니다. 웹 사이트 탐색이 예상대로 허용되거나 제한되는지 테스트합니다.

  1. 작업 관리자 트레이에서 Global Secure Access 클라이언트 아이콘을 마우스 오른쪽 단추로 클릭하고 고급 진단>전달 프로필을 엽니다. 인터넷 액세스 획득 규칙이 있는지 확인합니다. 또한 탐색하는 동안 사용자의 인터넷 트래픽에 대한 호스트 이름 획득 및 흐름이 획득되고 있는지 확인합니다.

  2. 허용된 사이트와 차단된 사이트로 이동하여 제대로 작동하는지 확인합니다. 전역 보안 액세스>모니터링>트래픽 로그로 이동하여 트래픽이 적절하게 차단되거나 허용되었는지 확인합니다.

모든 브라우저에 대한 현재 차단 환경에는 HTTP 트래픽에 대한 일반 텍스트 브라우저 오류와 HTTPS 트래픽에 대한 "연결 재설정" 브라우저 오류가 포함됩니다.

HTTP 트래픽에 대한 일반 텍스트 브라우저 오류를 보여 주는 스크린샷.

HTTPS 트래픽에 대한

참고 항목

웹 콘텐츠 필터링과 관련된 전역 보안 액세스 환경의 구성 변경 내용은 일반적으로 5분 이내에 적용됩니다. 웹 콘텐츠 필터링과 관련된 조건부 액세스의 구성 변경 내용은 약 1시간 내에 적용됩니다.

다음 단계