Microsoft Entra의 전역 보안 액세스 설명

  • 9분

이제 Microsoft Entra는 Microsoft 전역 보안 액세스라는 명칭 아래에 새로운 제품 집합을 제공합니다. 전역 보안 액세스는 Microsoft Entra 인터넷 액세스와 Microsoft Entra 개인 액세스 모두에 사용되는 통합 용어입니다.

Microsoft Entra 인터넷 액세스는 Microsoft 서비스를 비롯한 SaaS(Software as a Service) 애플리케이션과 공용 인터넷 앱에 대한 액세스를 보호하는 동시에 인터넷 위협으로부터 사용자, 디바이스 및 데이터를 보호합니다.

Microsoft Entra 개인 액세스는 사무실에서든 원격 작업에서든 사용자에게 회사의 비공개 리소스에 대한 보안 액세스를 제공합니다.

Microsoft Entra 인터넷 액세스와 Microsoft Entra 개인 액세스는 제로 트러스트 네트워크, ID 및 엔드포인트 액세스 제어를 통합하여 모든 위치, 디바이스 또는 ID에서 모든 앱 또는 리소스에 대한 액세스를 보호할 수 있는 솔루션을 제공합니다. 이 유형의 솔루션은 SSE(보안 서비스 에지)라는 새로운 네트워크 보안 범주를 대표합니다.

SSE는 다음과 같은 보안 문제를 해결하는 데 도움이 됩니다.

  • 손상된 VPN 터널을 통해 횡적 이동의 위험을 줄여야 하는 필요성.
  • 인터넷 기반 자산에 대해 경계를 설정해야 하는 필요성.
  • 원격 사무실 위치(예: 지사)에서 서비스를 개선해야 하는 필요성.

Microsoft의 보안 서비스 에지 솔루션인 전역 보안 액세스는 프라이빗 클라우드 또는 온-프레미스 인프라에서 실행되는 인터넷 기반 리소스 및 리소스에 대한 고급 보호를 제공하여 보안 문제를 해결하는 데 도움을 줍니다.

이 솔루션은 조직이 최종 사용자 컴퓨팅 디바이스에서 네트워크 트래픽을 제어할 수 있게 하는 전역 보안 액세스 클라이언트를 사용합니다. 조직은 Microsoft Entra 인터넷 액세스 및 Microsoft Entra 개인 액세스를 통해 특정 트래픽 프로필을 라우팅할 수 있습니다. 이 방식으로 트래픽을 라우팅하면 ID, 디바이스, 위치 및 애플리케이션에서 조건부 액세스 정책과 실시간으로 평가되는 위험을 긴밀하게 통합하여 모든 앱과 리소스를 더욱 효과적으로 보호할 수 있습니다.

전역 보안 액세스를 구성하는 구성 요소를 보여주는 스크린샷.

Microsoft Entra 개인 액세스

VPN 솔루션은 회사 네트워크 액세스를 제어하는 기본 방법으로 자주 사용됩니다. 개인 네트워크 연결이 설정되면 네트워크로 들어가는 문이 잠금 해제되며, 게다가 사용자와 디바이스에 과도한 권한이 부여되는 경우가 흔합니다. 그 결과 조직의 공격 표면이 많이 증가합니다.

Microsoft Entra 개인 액세스를 배포하면 횡적 공격 이동을 차단하고, 과도한 액세스 권한을 줄이고, 레거시 VPN을 대체할 수 있습니다. 이 서비스는 사무실에서든 원격 작업에서든 사용자에게 회사의 비공개 리소스에 대한 보안 액세스를 제공합니다.

개념적으로 개인 액세스가 작동하는 방식은 보호하려는 프라이빗 리소스 집합에 이를 위한 컨테이너 역할을 하는 새 엔터프라이즈 애플리케이션을 설정하는 것입니다. 새 애플리케이션에는 개인 액세스 서비스와 사용자가 액세스하려는 리소스 간에 브로커 역할을 하는 네트워크 커넥터가 있습니다. 다양한 프라이빗 리소스에 액세스하는 데 필요한 요구 사항은 기업에 따라 분명 다릅니다. 따라서 Microsoft Entra 개인 액세스는 서비스를 통해 액세스할 개인 리소스를 설정하는 두 가지 방법을 제공합니다.

  • 즐겨찾기 - 앞에서 설명한 대로 개인 액세스는 보호하려는 프라이빗 리소스의 컨테이너 역할을 하는 새 엔터프라이즈 애플리케이션을 만드는 방식으로 작동합니다. 즐겨찾기를 사용할 때는 "컨테이너" 또는 즐겨찾기 애플리케이션라고 부르는 엔터프라이즈 애플리케이션에 추가할 프라이빗 리소스를 결정합니다. 즐겨찾기 애플리케이션에 추가하는 프라이빗 리소스는 FQDN, IP 주소, IP 또는 주소 범위 및 리소스에 액세스하는 데 사용하는 포트에 의해 정의됩니다. 이 정보를 즐겨찾기 애플리케이션 세그먼트라고 합니다. 즐겨찾기 애플리케이션에는 많은 애플리케이션 세그먼트를 추가할 수 있습니다. 그런 다음 조건부 액세스 정책을 즐겨찾기 애플리케이션에 연결할 수 있습니다.

    즐겨찾기의 구성 요소를 보여 주는 Microsoft Entra 개인 액세스의 다이어그램.

  • 전역 보안 액세스 앱 - 앱별 액세스라고도 하는 전역 보안 액세스 앱은 더 세분된 접근 방식을 제공합니다. 전역 보안 액세스 앱에서는 여러 "컨테이너" 또는 엔터프라이즈 애플리케이션을 만들 수 있습니다. 이러한 새로운 엔터프라이즈 앱 각각에 대해 프라이빗 리소스의 속성을 정의하고, 사용자 및 그룹을 할당하고, 특정 조건부 액세스 정책을 할당합니다. 예를 들어 보호해야 하는 프라이빗 리소스 그룹이 있는 경우, 이들 리소스에 액세스하는 방법이나 특정 시간 프레임에 따라 서로 다른 액세스 정책을 설정하려 할 수 있습니다.

    앱별 액세스라고도 하는 전역 보안 액세스 앱의 구성 요소를 보여주는 Microsoft Entra 개인 액세스의 다이어그램.

Microsoft Entra 인터넷 액세스

SWG(보안 웹 게이트웨이)는 인터넷 트래픽을 필터링하고 보안 정책을 적용하여 웹 기반 위협으로부터 사용자를 보호하는 사이버 보안 솔루션입니다.

Microsoft Entra 인터넷 액세스는 Microsoft 서비스와 기타 인터넷 트래픽을 비롯하여 SaaS(Software as a Service) 애플리케이션에 대한 ID 중심 SWG(보안 웹 게이트웨이) 솔루션을 제공합니다. 트래픽 로그를 통해 동급 최고의 보안 제어 및 가시성을 통해 인터넷의 광범위한 위협 환경에서 사용자, 디바이스 및 데이터를 보호합니다.

몇 가지 주요 기능은 다음과 같습니다.

  • 조건부 액세스 정책을 사용하여 리소스에 대한 액세스에 규격 네트워크 검사를 통해 사용자 ID 또는 토큰 도난 방지.
    • 호환 네트워크 적용은 인증 평면 및 데이터 평면에서 이루어집니다. 인증 평면 적용은 사용자 인증 시 Microsoft Entra ID에 의해 수행됩니다. 데이터 평면 적용은 CAE(지속적인 액세스 권한 평가)를 지원하는 서비스에서 작동합니다.
    • CAE(지속적인 액세스 평가)는 앱과 Microsoft Entra가 지속적으로 통신하여 사용자 액세스가 최신 상태이고 안전한지 확인하는 보안 기능입니다. 사용자 위치 등이 변경되거나 보안 문제가 발생하는 경우 시스템은 거의 실시간으로 액세스를 신속하게 조정하거나 차단하여 정책이 항상 적용되게 할 수 있습니다.
  • 익명 액세스를 포함하여 다른 테넌트나 개인 계정으로의 데이터 반출을 방지하기 위한 테넌트 제한.
  • 인터넷 액세스 트래픽 전달 프로필 정책은 액세스할 수 있는 인터넷 사이트를 제어하여 원격 작업자가 제어 가능한 안전한 방식으로 인터넷에 연결할 수 있도록 합니다.
  • 콘텐츠 범주 및 도메인 이름에 따라 웹 사이트에 대한 액세스를 규제하는 웹 콘텐츠 필터링.
  • 기타 등등

전역 보안 액세스 대시보드

전역 보안 액세스에는 Microsoft Entra 개인 액세스와 Microsoft Entra 인터넷 액세스 서비스에서 획득한 네트워크 트래픽을 시각화하는 대시보드가 포함됩니다. 대시보드는 디바이스, 사용자 및 테넌트를 비롯한 네트워크 구성의 데이터를 여러 위젯으로 컴파일합니다. 이러한 위젯은 네트워크 구성을 모니터링하고 개선하는 데 사용할 수 있는 정보를 제공합니다. 사용 가능한 몇 가지 위젯은 다음과 같습니다.

  • 전역 보안 액세스 스냅샷
  • 경고 및 알림(미리 보기)
  • 사용 프로파일링(미리 보기)
  • 테넌트 간 액세스
  • 웹 범주 필터링
  • 디바이스 상태

전역 보안 액세스 스냅샷

전역 보안 액세스 스냅샷 위젯은 서비스를 사용하는 사용자 및 디바이스의 수와 서비스를 통해 보호된 애플리케이션 수에 대한 요약을 제공합니다. 이 위젯은 기본적으로 모든 유형의 트래픽을 표시하지만, 필터를 변경하여 인터넷 액세스, 개인 액세스 또는 Microsoft 트래픽을 표시할 수 있습니다.

전역 보안 액세스 스냅샷 위젯의 스크린샷.

사용 프로파일링(미리 보기)

사용량 프로파일링 위젯은 선택한 기간 및 범주별로 인터넷 액세스, 개인 액세스 또는 Microsoft 365에 대한 사용량 패턴을 표시합니다.

사용량 프로파일링 위젯의 스크린샷.

경고 및 알림(미리 보기)

경고 및 알림 위젯은 네트워크에서 일어나는 일을 보여주며 네트워크 데이터에 의해 식별된 의심스러운 활동이나 추세를 파악하는 데 도움을 줍니다.

이 위젯은 다음과 같은 경고를 제공합니다.

  • 비정상 원격 네트워크: 비정상 원격 네트워크에는 하나 이상의 디바이스 연결이 끊어졌습니다.
  • 외부 테넌트 활동 증가: 외부 테넌트에 액세스하는 사용자 수가 증가했습니다.
  • 토큰 및 디바이스 불일치: 원래 토큰은 다른 디바이스에서 사용됩니다.
  • 웹 콘텐츠 차단: 웹 사이트에 대한 액세스가 차단되었습니다.

대시보드 경고 알림 위젯의 스크린샷.

테넌트 간 액세스 전역 보안 액세스는 다른 테넌트에 액세스하는 사용자와 디바이스의 수를 표시합니다. 이 위젯은 다음 정보를 표시합니다.

  • 로그인: 지난 24시간 동안 Microsoft Entra ID를 통해 Microsoft 서비스에 로그인한 수입니다. 이 위젯은 테넌트의 활동에 대한 정보를 제공합니다.
  • 총 고유 테넌트: 지난 24시간 동안 표시된 고유 테넌트 ID 수입니다.
  • 표시되지 않은 테넌트: 지난 24시간에는 동안 표시되었지만 지난 7일 동안은 표시되지 않았던 고유 테넌트 ID 수입니다.
  • 사용자: 지난 24시간 동안 다른 테넌트에 로그인한 고유 사용자 수입니다.
  • 디바이스: 지난 24시간 동안 다른 테넌트에 로그인한 고유 디바이스 수입니다.

테넌트 간 액세스 위젯의 스크린샷.

웹 범주 필터링

웹 범주 필터링 위젯은 서비스에서 차단하거나 허용한 웹 콘텐츠의 상위 범주를 표시합니다. 이러한 범주를 사용하여 차단할 사이트 또는 사이트 범주를 결정할 수 있습니다.

디바이스 상태 디바이스 상태 위젯은 배포한 활성 및 비활성 디바이스를 표시합니다.

디바이스 상태 위젯의 스크린샷.