Microsoft Entra Internet Access에 대한 Microsoft 글로벌 보안 액세스 배포 가이드

Microsoft Global Secure Access 네트워크, ID 및 엔드포인트 액세스 제어를 수렴하여 모든 위치, 디바이스 또는 ID에서 앱 또는 리소스에 안전하게 액세스할 수 있습니다. 회사 직원을 위한 액세스 정책 관리를 가능하게 하고 조정합니다. 프라이빗 앱, SaaS(Software-as-a-Service) 앱 및 Microsoft 엔드포인트에 대한 사용자 액세스를 실시간으로 지속적으로 모니터링하고 조정할 수 있습니다. 이 솔루션은 사용 권한 및 위험 수준 변경이 발생할 때 적절하게 대응하는 데 도움이 됩니다.

Microsoft Entra Internet Access를 사용하면 로컬 또는 원격으로 작업할 때 관리되는 디바이스를 사용하는 엔터프라이즈 사용자의 인터넷 액세스를 제어하고 관리할 수 있습니다. 이를 통해 다음을 수행할 수 있습니다:

• 악의적인 인터넷 트래픽 및 맬웨어 감염으로부터 엔터프라이즈 사용자 및 관리 디바이스를 보호합니다.
• 사용자가 웹 범주 또는 정규화된 도메인 이름에 따라 사이트에 액세스하지 못하도록 합니다.
• 보고서에 대한 인터넷 사용 현황 데이터를 수집하고 조사를 지원합니다.

이 문서의 지침은 프로덕션 환경에서 Microsoft Entra Internet Access를 테스트하고 배포하는 데 도움이 됩니다. Microsoft Global Secure Access 배포 가이드 소개 Global Secure Access 배포 프로젝트를 시작, 계획, 실행, 모니터링 및 닫는 방법에 대한 지침을 제공합니다.

키 사용 사례 식별 및 계획

Microsoft Entra Internet Access를 사용하도록 설정하기 전에 원하는 작업을 계획합니다. 배포할 기능을 결정하려면 다음과 같은 사용 사례를 이해합니다.

• 서비스를 통해 라우팅되는 모든 인터넷 액세스 트래픽에 적용되는 기준 정책을 정의합니다.
• 특정 사용자 및 그룹이 관리되는 디바이스를 사용하여 범주별 웹 사이트(예: 주류 및 담배 또는 소셜 미디어)에 액세스하지 못하도록 합니다. Microsoft Entra Internet Access는 선택할 수 있는 60개 이상의 범주를 제공합니다.
• 사용자와 그룹이 관리되는 디바이스를 사용하여 특정 FQDN(정규화된 도메인 이름)에 액세스하지 못하도록 합니다.
• 사용자 그룹이 웹 필터링 규칙에 의해 차단될 사이트에 액세스할 수 있도록 재정의 정책을 구성합니다.
• Microsoft Entra Internet Access의 기능을 Global Secure Access 클라이언트를 실행하지 않는 디바이스를 포함하여 전체 네트워크로 확장하십시오.
  • 원격 vWAN(가상 광역 네트워크) 사용하여 원격 네트워크 연결을 시뮬레이션합니다.
  • Azure VNG(가상 네트워크 게이트웨이) 사용하여 원격 네트워크 연결 시뮬레이션

사용 사례에 필요한 기능을 이해한 후에는 사용자 및 그룹을 이러한 기능과 연결하는 인벤토리를 만듭니다. 차단하거나 어떤 웹 범주 및 FQDN에 대한 액세스를 허용할 사용자 및 그룹을 이해합니다. 각 사용자 그룹에 대한 규칙 우선 순위를 포함합니다.

Microsoft Entra Internet Access 테스트 및 배포

이 시점에서 SASE(Secure Access Services Edge) 배포 프로젝트의 시작 및 계획 단계를 완료했습니다. 누구를 위해 구현해야 하는지 이해합니다. 각 단계(웨이브)에서 활성화할 사용자를 정의했습니다. 각 웨이브의 배포 일정이 있습니다. 라이선스 요구 사항을 충족했습니다. Microsoft Entra Internet Access를 사용하도록 설정할 준비가 완료되었습니다.

1. 전역 보안 액세스 의필수 구성 요소를 완료하십시오.
2. 파일럿 사용자들을 포함할 Microsoft Entra 그룹을 만드세요.
3. Microsoft Entra 인터넷 액세스 및 Microsoft 트래픽 전달 프로필을 사용하도록 설정합니다. 각 프로필에 파일럿 그룹을 할당합니다.

1. 최종 사용자 통신을 만들어 기대치를 설정하고 에스컬레이션 경로를 제공합니다.

2. 사용자 디바이스에서 Global Secure Access 클라이언트를 제거하거나 트래픽 전달 프로필을 사용하지 않도록 설정하는 경우의 상황 및 절차를 정의하는 롤백 계획을 만듭니다.

3. 최종 사용자 통신을 보냅니다.

4. 파일럿 그룹이 테스트할 디바이스에 Windows 대한 Global Secure Access 클라이언트를 배포합니다.

5. 원격 네트워크를 구성할 때 범위에 해당하면 vWAN이나 VNG 를 사용하세요.

6. 계획 중에 정의한 사용 사례에 따라 범주 또는 FQDN을 허용하거나 차단하도록 웹 콘텐츠 필터링 정책을 구성합니다.

   • 범주별 차단: 미리 정의된 관리되는 여러 범주 중 하나를 차단하는 규칙 정의
   • FQDN별 차단: 지정한 FQDN을 차단하는 규칙 정의
   • 재정의: 지정한 웹 범주 또는 FQDN을 허용하는 규칙 정의

7. 계획에 따라 웹 콘텐츠 필터링 정책을 그룹화하고 우선 순위를 지정하기 위해 보안 프로필을 만듭니다.

   • 기준 프로필: 기준 프로필 기능을 사용하여 기본적으로 모든 사용자에게 적용되는 웹 콘텐츠 필터링 정책을 그룹화합니다.
   • 보안 프로필: 보안 프로필을 만들어 사용자의 하위 집합에 적용되는 웹 콘텐츠 필터링 정책을 그룹화합니다.

8. 조건부 액세스 정책 만들고 연결하여 파일럿 그룹에 보안 프로필을 적용합니다. 기본 기준 프로필에는 조건부 액세스 정책이 필요하지 않습니다.

9. 파일럿 사용자에게 구성을 테스트해 보도록 하세요.

10. 전역 보안 액세스 트래픽 로그에서활동을 확인합니다.

11. 구성을 업데이트하여 문제를 해결하고 테스트를 반복합니다. 필요한 경우 롤백 계획을 사용합니다.

12. 필요에 따라 최종 사용자 통신 및 배포 계획의 변경 내용을 반복합니다.

파일럿이 완료되면 프로덕션 배포에서 각 사용자 웨이브를 진행하는 방법을 이해하는 반복 가능한 프로세스가 있습니다.

1. 사용자의 물결이 포함된 그룹을 식별합니다.
2. 예약된 웨이브 및 포함된 사용자를 지원 팀에 알립니다.
3. 계획에 따라 준비된 최종 사용자 통신을 보냅니다.
4. Microsoft Entra Internet Access 트래픽 전달 프로필에 그룹을 할당합니다.
5. 이 웨이브의 사용자가 소유한 디바이스에 전역 보안 액세스 클라이언트를 배포합니다.
6. 필요한 경우 계획에서 정의한 사용 사례에 따라 범주 또는 FQDN을 허용하거나 차단하도록 더 많은 웹 콘텐츠 필터링 정책을 만들고 구성합니다.
7. 필요한 경우 계획에 따라 웹 콘텐츠 필터링 정책을 그룹화하고 우선 순위를 지정하는 더 많은 보안 프로필을 만듭니다.
8. 조건부 액세스 정책을 만들어 이 웨이브의 관련 그룹에 새 보안 프로필을 적용하거나 기존 보안 프로필에 대한 기존 조건부 액세스 정책에 새 사용자 그룹을 추가합니다.
9. 구성을 업데이트합니다. 문제를 해결하려면 다시 테스트합니다. 필요한 경우 롤백 계획을 시작하십시오.
10. 필요에 따라 최종 사용자 통신 및 배포 계획의 변경 내용을 반복합니다.

다음 단계

• Microsoft Entra Suite 및 Microsoft의 통합 보안 운영 플랫폼 사용하여 제로 트러스트 보안 모델로의 전환을 가속화하는 방법을 알아봅니다.
• Microsoft 글로벌 보안 액세스 배포 가이드 소개
• Microsoft Entra Private Access를 위한 Microsoft 글로벌 보안 액세스 배포 가이드
• Microsoft Traffic에 대한 Microsoft Global Secure Access 배포 가이드
• Azure Virtual Network Gateway를 사용하여 원격 네트워크 연결 시뮬레이션 - 전역 보안 액세스
• Azure vWAN을 사용하여 원격 네트워크 연결 시뮬레이션 - 전역 보안 액세스