Microsoft Defender for Cloud Apps 조건부 액세스 앱 제어를 사용하여 앱 보호

참고

  • Microsoft Cloud App Security 이름이 바뀌었습니다. 이제 Microsoft Defender for Cloud Apps 호출되었습니다. 앞으로 몇 주 안에 여기와 관련 페이지에서 스크린샷과 지침을 업데이트할 예정입니다. 변경에 대한 자세한 내용은 이 공지 사항을 참조하세요. Microsoft 보안 서비스의 최근 이름 바꾸기에 대한 자세한 내용은 Microsoft Ignite 보안 블로그를 참조하세요.

  • Microsoft Defender for Cloud Apps 이제 Microsoft 365 Defender 일부입니다. Microsoft 365 Defender 포털을 사용하면 보안 관리자가 한 위치에서 보안 작업을 수행할 수 있습니다. 이렇게 하면 워크플로가 간소화되고 다른 Microsoft 365 Defender 서비스의 기능이 추가됩니다. Microsoft 365 Defender Microsoft ID, 데이터, 디바이스, 앱 및 인프라 전반에서 보안을 모니터링하고 관리하는 가정이 될 것입니다. 이러한 변경에 대한 자세한 내용은 Microsoft 365 Defender Microsoft Defender for Cloud Apps 참조하세요.

오늘날의 작업 공간에서는 사실 이후에 클라우드 환경에서 무슨 일이 일어나고 있는지 아는 것만으로는 충분하지 않은 경우가 많습니다. 직원이 의도적으로 또는 실수로 데이터와 조직을 위험에 노출하기 전에 실시간으로 위반 및 누출을 방지하고자 합니다. 조직의 사용자가 클라우드 앱에서 사용할 수 있는 서비스와 도구를 최대한 활용하고 자신의 디바이스를 작동하도록 하는 것이 중요합니다. 동시에 데이터 누수 및 데이터 절도로부터 실시간으로 조직을 보호할 수 있는 도구가 필요합니다. Microsoft Defender for Cloud Apps IdP(ID 공급자)와 통합되어 액세스 및 세션 제어를 통해 이러한 기능을 제공합니다. idP로 Azure Active Directory(Azure AD)를 사용하는 경우 이러한 컨트롤이 통합되고 간소화되어 Azure AD 조건부 액세스 도구를 기반으로 하는 보다 간단하고 맞춤화된 배포가 가능합니다.

참고

  • 유효한 클라우드용 Defender 앱 라이선스 외에도 클라우드용 Defender 앱 조건부 액세스 앱 제어를 사용하려면 Azure Active Directory P1 라이선스 또는 IdP 솔루션에 필요한 라이선스가 필요합니다.

작동 방법

조건부 액세스 앱 제어는 역방향 프록시 아키텍처를 사용하고 IdP와 통합됩니다. Azure AD 조건부 액세스와 통합할 때 몇 번의 클릭만으로 조건부 액세스 앱 컨트롤과 작동하도록 앱을 구성할 수 있으므로 조건부 액세스의 모든 조건에 따라 조직의 앱에 대한 액세스 및 세션 제어를 쉽고 선택적으로 적용할 수 있습니다. 조건은 조건부 액세스 정책이 적용되는 사용자 (사용자 또는 사용자 그룹) 및 대상 (클라우드 앱) 및 위치 (위치 및 네트워크)를 정의합니다. 조건을 결정한 후에는 액세스 및 세션 컨트롤을 적용하여 조건부 액세스 앱 제어를 사용하여 데이터를 보호할 수 있는 클라우드용 Defender 앱으로 사용자를 라우팅할 수 있습니다.

조건부 액세스 앱 제어를 통해 사용자는 액세스 및 세션 정책에 따라 실시간으로 앱 액세스 및 세션을 모니터링하고 제어할 수 있습니다. 액세스 및 세션 정책은 Defender for Cloud Apps 포털 내에서 필터를 더욱 세분화하고 사용자에 대해 수행할 작업을 설정하는 데 사용됩니다. 액세스 및 세션 정책을 사용하면 다음을 수행할 수 있습니다.

  • 데이터 반출 방지: 관리되지 않는 디바이스와 같이 중요한 문서의 다운로드, 잘라내기, 복사 및 인쇄를 차단할 수 있습니다.

  • 인증 컨텍스트 필요: 세션에서 중요한 작업이 발생할 때 Azure AD 조건부 액세스 정책을 재평가할 수 있습니다. 예를 들어 기밀 파일을 다운로드할 때 다단계 인증이 필요합니다.

  • 다운로드 시 보호: 중요한 문서의 다운로드를 차단하는 대신 Microsoft Purview Information Protection 통합할 때 문서에 레이블을 지정하고 암호화하도록 요구할 수 있습니다. 이 작업을 수행하면 문서가 보호되고 잠재적으로 위험한 세션에서 사용자 액세스가 제한됩니다.

  • 레이블이 지정되지 않은 파일 업로드 방지: 중요한 파일을 업로드, 배포 및 다른 사용자가 사용하려면 중요한 파일에 조직의 정책에 의해 정의된 레이블이 있는지 확인해야 합니다. 사용자가 콘텐츠를 분류할 때까지 중요한 콘텐츠가 포함되고 레이블이 지정되지 않은 파일이 업로드되지 않도록 할 수 있습니다.

  • 잠재적인 맬웨어 차단: 잠재적으로 악성 파일의 업로드를 차단하여 맬웨어로부터 환경을 보호할 수 있습니다. 업로드되거나 다운로드된 모든 파일은 Microsoft 위협 인텔리전스에 대해 스캔하고 즉시 차단할 수 있습니다.

  • 사용자 세션의 규정 준수 모니터링: 위험한 사용자는 앱에 로그인할 때 모니터링되고 해당 작업은 세션 내에서 기록됩니다. 사용자 동작을 조사하고 분석하여 나중에 세션 정책을 적용해야 하는 위치와 조건을 이해할 수 있습니다.

  • 액세스 차단: 여러 위험 요소에 따라 특정 앱 및 사용자에 대한 액세스를 세분화하여 차단할 수 있습니다. 예를 들어 디바이스 관리의 형태로 클라이언트 인증서를 사용하는 경우 차단할 수 있습니다.

  • 사용자 지정 활동 차단: 일부 앱에는 위험을 수반하는 고유한 시나리오가 있습니다(예: Microsoft Teams 또는 Slack과 같은 앱에서 중요한 콘텐츠가 포함된 메시지 보내기). 이 종류의 시나리오에서는 메시지에서 중요한 콘텐츠를 검사하고 실시간으로 메시지를 차단할 수 있습니다.

세션 제어 작동 방식

조건부 액세스 앱 제어를 사용하여 세션 정책을 만들면 사용자를 앱이 아니라 역방향 프록시를 통해 리디렉션하여 사용자 세션을 제어할 수 있습니다. 그 때부터 사용자 요청 및 응답은 앱에 직접 연결하지 않고 클라우드용 Defender 앱을 통과합니다.

세션이 프록시로 보호되면 모든 관련 URL 및 쿠키가 클라우드용 Defender 앱으로 대체됩니다. 예를 들어 앱이 도메인이 끝나는 myapp.com링크가 있는 페이지를 반환하는 경우 링크의 도메인에 다음과 같이 *.mcas.ms접미사가 추가됩니다.

앱 URL 대체된 URL
myapp.com myapp.com.mcas.ms

이 메서드는 관리되지 않는 디바이스 또는 파트너 사용자의 세션을 모니터링하거나 제어할 때 적합하도록 디바이스에 아무것도 설치할 필요가 없습니다.

참고

  • 당사의 기술은 동급 최고의 특허를 받은 추론을 사용하여 대상 앱에서 사용자가 수행하는 활동을 식별하고 제어합니다. 추론은 보안을 최적화하고 유용성과 균형을 유지하도록 설계되었습니다. 일부 드문 시나리오에서는 서버 쪽에서 활동을 차단하여 앱을 사용할 수 없게 만들 때 클라이언트 쪽에서만 이러한 활동을 보호하므로 악의적인 내부자가 악용할 가능성이 있습니다.
  • 클라우드용 Defender 앱은 전 세계의 Azure Data Centers를 활용하여 지리적 위치를 통해 최적화된 성능을 제공합니다. 즉 사용자의 세션이 트래픽 패턴 및 해당 위치에 따라 특정 영역 외부에 호스팅될 수 있습니다. 그러나 개인 정보를 보호하기 위해 이러한 데이터 센터에는 세션 데이터가 저장되지 않습니다.
  • 프록시 서버는 미사용 데이터를 저장하지 않습니다. 콘텐츠를 캐싱할 때 RFC 7234(HTTP 캐싱) 에 규정된 요구 사항을 따르고 공용 콘텐츠만 캐시합니다.

관리 디바이스 식별

조건부 액세스 앱 제어를 사용하면 디바이스 관리 여부를 고려한 정책을 만들 수 있습니다. 디바이스의 상태를 식별하기 위해 다음을 확인하도록 액세스 및 세션 정책을 구성할 수 있습니다.

  • Microsoft Intune 규격 디바이스 [Azure AD만 사용 가능]
  • 하이브리드 Azure AD 조인 디바이스 [Azure AD에서만 사용 가능]
  • 신뢰할 수 있는 체인에 클라이언트 인증서 존재 여부

Intune 준수 및 하이브리드 Azure AD 조인된 디바이스

Azure AD 조건부 액세스를 사용하면 Intune 규격 및 하이브리드 Azure AD 조인된 디바이스 정보를 클라우드용 Defender 앱에 직접 전달할 수 있습니다. 여기서 디바이스 상태를 필터로 사용하는 액세스 정책 또는 세션 정책을 개발할 수 있습니다. 자세한 내용은 Azure Active Directory 디바이스 관리 소개를 참조하세요.

참고

일부 브라우저에는 확장 설치와 같은 추가 구성이 필요할 수 있습니다. 자세한 내용은 조건부 액세스 브라우저 지원을 참조하세요.

클라이언트 인증서 인증 디바이스

디바이스 식별 메커니즘에서는 클라이언트 인증서를 사용하여 관련 디바이스에서 인증을 요청할 수 있습니다. 조직에 이미 배포된 기존 클라이언트 인증서를 사용하거나 관리 디바이스에 새 클라이언트 인증서를 배포할 수 있습니다. 클라이언트 인증서가 컴퓨터 저장소가 아닌 사용자 저장소에 설치되어 있는지 확인합니다. 그런 다음, 해당 인증서의 존재를 사용하여 액세스 및 세션 정책을 설정합니다.

SSL 클라이언트 인증서는 트러스트 체인을 통해 확인됩니다. PEM 인증서 형식으로 서식이 지정된 X.509 루트 또는 CA(중간 인증 기관)를 업로드할 수 있습니다. 이러한 인증서에는 CA의 공개 키가 포함되어야 합니다. 이 키는 세션 중에 제시된 클라이언트 인증서에 서명하는 데 사용됩니다.

인증서가 업로드되고 관련 정책이 구성되면 해당 세션이 조건부 액세스 앱 제어를 트래버스할 때 클라우드용 Defender 앱 엔드포인트는 브라우저에 SSL 클라이언트 인증서를 표시하도록 요청합니다. 브라우저는 프라이빗 키와 함께 설치된 SSL 클라이언트 인증서를 제공합니다. 인증서와 프라이빗 키의 이 조합은 PKCS #12 파일 형식(일반적으로 .p12 또는 .pfx)을 사용하여 수행됩니다.

클라이언트 인증서 검사가 수행되면 클라우드용 Defender 앱은 다음 조건을 확인합니다.

  1. 선택한 클라이언트 인증서가 유효하며 올바른 루트 또는 중간 CA 아래에 있습니다.
  2. 인증서가 해지되지 않습니다(CRL을 사용하는 경우).

참고

대부분의 주요 브라우저는 클라이언트 인증서 확인 수행을 지원합니다. 그러나 모바일 및 데스크톱 앱은 종종 이 검사를 지원하지 않을 수 있는 기본 제공 브라우저를 활용하므로 이러한 앱에 대한 인증에 영향을 줍니다.

클라이언트 인증서를 통해 디바이스 관리를 활용하는 정책을 구성하려면 다음을 수행합니다.

  1. 클라우드용 Defender 앱의 메뉴 모음에서 설정 코그 settings icon. 를 선택하고 설정 선택합니다.

  2. 디바이스 식별 탭을 선택합니다.

  3. 필요한 만큼 루트 또는 중간 인증서를 업로드.

    이 작동 방식을 테스트하려면 다음과 같이 샘플 루트 CA 및 클라이언트 인증서를 사용할 수 있습니다.

    1. 샘플 루트 CA클라이언트 인증서를 다운로드합니다.
    2. 루트 CA를 클라우드용 Defender 앱에 업로드.
    3. 관련 디바이스에 클라이언트 인증서(password=Microsoft)를 설치합니다.

인증서가 업로드되면 디바이스 태그유효한 클라이언트 인증서를 기반으로 액세스 및 세션 정책을 만들 수 있습니다.

지원되는 앱 및 클라이언트

세션 및 액세스 제어는 SAML 2.0 인증 프로토콜을 사용하거나 Azure AD 사용하는 경우 Open ID 커넥트 인증 프로토콜을 사용하여 대화형 Single Sign-On에 적용할 수 있습니다. 또한 앱이 Azure AD 사용하여 구성된 경우 Azure AD 앱 프록시로 구성된 온-프레미스에서 호스트되는 앱에도 이러한 컨트롤을 적용할 수 있습니다. 또한 액세스 제어를 네이티브 모바일 및 데스크톱 클라이언트 앱에 적용할 수 있습니다.

클라우드용 Defender 앱은 클라우드 앱 카탈로그에서 사용할 수 있는 정보를 사용하여 앱을 식별합니다. 일부 조직과 사용자는 플러그 인을 추가하여 앱을 사용자 지정합니다. 그러나 세션 컨트롤이 이러한 플러그 인에서 올바르게 작동하려면 연결된 사용자 지정 도메인을 카탈로그의 해당 앱에 추가해야 합니다.

참고

Authenticator 앱은 네이티브 클라이언트 앱 로그인 흐름 중에서 비대화형 로그인 흐름을 사용하며 액세스 제어와 함께 사용할 수 없습니다.

액세스 제어

클라우드 앱에 대한 세션 컨트롤을 사용하여 세션 내 활동을 제어하도록 선택하는 많은 조직에서는 액세스 제어를 적용하여 동일한 네이티브 모바일 및 데스크톱 클라이언트 앱 집합을 차단하여 앱에 대한 포괄적인 보안을 제공합니다.

클라이언트 앱 필터를 모바일 및 데스크톱으로 설정하여 액세스 정책을 사용하여 네이티브 모바일 및 데스크톱클라이언트 앱에 대한 액세스를 차단할 수 있습니다. 일부 네이티브 클라이언트 앱은 개별적으로 인식할 수 있는 반면, 앱 제품군의 일부인 다른 앱은 최상위 앱으로만 식별할 수 있습니다. 예를 들어 SharePoint Online과 같은 앱은 Office 365 앱에 적용된 액세스 정책을 만들어야만 인식할 수 있습니다.

참고

클라이언트 앱 필터가 모바일 및 데스크톱으로 특별히 설정되지 않는 한 결과 액세스 정책은 브라우저 세션에만 적용됩니다. 그 이유는 이 필터를 사용하는 부산물일 수 있는 사용자 세션을 실수로 프록시하지 않도록 하기 위해서입니다. 대부분의 주요 브라우저는 클라이언트 인증서 검사 수행을 지원하지만 일부 모바일 및 데스크톱 앱은 이 검사를 지원하지 않을 수 있는 기본 제공 브라우저를 사용합니다. 따라서 이 필터를 사용하면 이러한 앱에 대한 인증에 영향을 줄 수 있습니다.

세션 컨트롤

세션 컨트롤은 모든 운영 체제의 모든 주요 플랫폼에서 모든 브라우저에서 작동하도록 빌드되지만 Microsoft Edge(최신), Google Chrome(최신), Mozilla Firefox(최신) 또는 Apple Safari(최신)를 지원합니다. 모바일 및 데스크톱 앱에 대한 액세스도 차단하거나 허용할 수 있습니다.

참고

  • 클라우드용 Defender 앱은 TLS(전송 계층 보안) 프로토콜 1.2+를 사용하여 동급 최고의 암호화를 제공합니다. TLS 1.2+를 지원하지 않는 네이티브 클라이언트 앱 및 브라우저는 세션 제어를 사용하여 구성할 때 액세스할 수 없습니다. 그러나 TLS 1.1 이하를 사용하는 SaaS 앱은 클라우드용 Defender 앱으로 구성된 경우 TLS 1.2+를 사용하는 것으로 브라우저에 표시됩니다.
  • 세션 컨트롤을 portal.office.com 적용하려면 Microsoft 365 관리 센터 온보딩해야 합니다. 앱 온보딩에 대한 자세한 내용은 모든 앱에 대한 조건부 액세스 앱 제어 온보딩 및 배포를 참조하세요.

미리 온보딩된 앱

앞에서 언급한 인증 프로토콜을 사용하여 구성된 모든 웹앱은 액세스 및 세션 제어를 사용하도록 온보딩할 수 있습니다. 또한 다음 앱은 Azure Access Directory에 대한 액세스 및 세션 제어를 모두 사용하여 이미 온보딩되었습니다.

참고

원하는 애플리케이션을 액세스 및 세션 컨트롤로 라우팅하고 첫 번째 로그인을 수행해야 합니다.

  • AWS
  • Box
  • Concur
  • CornerStone on Demand
  • DocuSign
  • Dropbox
  • egnyte
  • GitHub
  • Google Workspace
  • HighQ
  • JIRA/Confluence
  • LinkedIn Learning
  • Microsoft Azure DevOps(Visual Studio Team Services)
  • Microsoft Azure Portal
  • Microsoft Dynamics 365 CRM
  • Microsoft Exchange Online
  • 비즈니스용 Microsoft OneDrive
  • Microsoft Power BI
  • Microsoft SharePoint Online
  • Microsoft Teams
  • Microsoft Yammer
  • Salesforce
  • ServiceNow
  • Slack
  • Tableau
  • Workday
  • Workiva
  • 메타의 작업 공간

미리 온보딩되는 특정 앱에 관심이 있는 경우 앱에 대한 세부 정보를 보내주세요. 온보딩에 관심이 있는 사용 사례를 보내야 합니다.

알려진 제한 사항

  • 포함된 세션 토큰을 사용하여 프록시를 바이패스할 수 있습니다.
    애플리케이션 자체가 링크 내에 토큰을 포함하는 경우 프록시를 바이패스할 수 있습니다. 최종 사용자는 이 경우 링크를 복사하고 리소스에 직접 액세스할 수 있습니다.

  • 개발자 도구를 사용하여 복사/잘라내기 정책을 무시할 수 있습니다.
    브라우저 개발자 도구를 사용하여 정의된 복사/잘라내기 정책을 무시할 수 있습니다. 예를 들어 콘텐츠의 복사본이 Microsoft Word 못하게 하는 정책에서는 개발자 도구를 사용하여 콘텐츠를 보고, 해당 위치에서 콘텐츠를 복사한 다음, 프록시를 우회할 수 있습니다.

  • 매개 변수 변경으로 프록시를 무시할 수 있습니다.
    매개 변수를 수정하여 정의된 세션 정책을 무시할 수 있습니다. 예를 들어 URL 매개 변수를 변경하고 프록시를 우회하고 중요한 파일을 다운로드할 수 있는 방식으로 서비스를 오도할 수 있습니다.

  • 브라우저 플러그 인 제한 사항
    현재 조건부 액세스 앱 제어 세션 제한 적용 솔루션은 기본 애플리케이션 코드를 일부 수정해야 하므로 네이티브 애플리케이션을 지원하지 않습니다. 네이티브 앱과 유사한 브라우저 확장은 브라우저에 미리 설치되므로 필요에 따라 코드를 수정할 수 없으며 프록시 솔루션을 통해 토큰이 리디렉션되면 중단됩니다. 관리자는 정책을 적용할 수 없는 경우 기본 시스템 동작을 정의하고 액세스를 허용하거나 완전히 차단하는 중에서 선택할 수 있습니다.

  • 컨텍스트 손실
    다음 애플리케이션에서는 링크로 이동하면 링크의 전체 경로가 손실되고 일반적으로 사용자가 앱의 홈페이지에 도착하는 시나리오가 발견되었습니다.

    • ArcGIS
    • GitHub
    • Microsoft Dynamics 365 CRM
    • Microsoft Power Automate
    • Microsoft Power Apps
    • Microsoft Power BI
    • Microsoft Yammer
    • 메타의 작업 공간
  • 검사 정책은 최대 5MB, 100만 문자의 파일에 유효합니다.

    콘텐츠 검사에 따라 파일 업로드 또는 다운로드를 차단하는 세션 정책이 적용되면 5MB보다 작고 100만 자 미만의 파일에 대해 검사가 수행됩니다.

    예를 들어 관리자는 다음 세션 정책 중 하나를 정의할 수 있습니다.

    • SSN(사회 보장 번호)이 포함된 파일에 대한 파일 업로드 차단
    • PHI(보호된 상태 정보)를 포함하는 파일에 대한 파일 다운로드 차단( 이러한 경우 5MB 또는 1백만 자보다 큰 파일은 검색되지 않으며 데이터를 스캔할 수 없는 경우에도 Always 적용의 정책 설정에 따라 처리됩니다.

    몇 가지 예제는 다음과 같습니다.

    • TXT 파일, 1MB 크기 및 1백만 문자:
    • TXT 파일, 2MB 크기 및 2백만 문자: 검색되지 않습니다.
    • 이미지와 텍스트, 4MB 크기 및 400K 문자로 구성된 Word 파일이 검색됩니다.
    • 이미지와 텍스트, 4MB 크기 및 2백만 문자로 구성된 Word 파일은 검색되지 않습니다.

    파일 크기 임계값은 최대 50MB(최대 5MB)까지 구성할 수 있습니다. 이러한 방식으로 최대 100만자로 구성된 텍스트 개체와 텍스트가 아닌 개체가 모두 포함된 파일을 검색할 수 있습니다.

    제한의 이유는 중요한 정보를 검색하기 위해 더 많은 양의 데이터를 스캔해야 하기 때문입니다. 이러한 경우 제한된 수의 사용자로 정책을 테스트한 다음 전체 조직으로 확장하는 것이 Microsoft의 권장 사항입니다.

다음 단계

앱을 온보딩하는 방법에 대한 지침은 아래의 적절한 문서를 참조하세요.

문제가 발생하는 경우 지원받을 수 있습니다. 제품 문제에 대해 도움이나 지원을 받으려면 지원 티켓을 여세요.