Microsoft Entra 애플리케이션 프록시를 사용하여 원격 사용자용 온-프레미스 앱 게시

  • 아티클

Microsoft Entra 애플리케이션 프록시는 온-프레미스 웹 애플리케이션에 대한 보안 원격 액세스를 제공합니다. Microsoft Entra ID에 대한 Single Sign-On 후 사용자는 외부 URL 또는 내부 애플리케이션 포털을 통해 클라우드 및 온-프레미스 애플리케이션에 모두 액세스할 수 있습니다. 예를 들어 애플리케이션 프록시는 원격 데스크톱, SharePoint, Teams, Tableau, Qlik 및 LOB(기간 업무) 애플리케이션에 원격 액세스 및 Single Sign-On을 제공할 수 있습니다.

Microsoft Entra 애플리케이션 프록시:

  • 간편한 사용. 사용자는 Microsoft Entra ID와 통합된 Microsoft 365 및 기타 SaaS 앱에 액세스하는 것과 동일한 방식으로 온-프레미스 애플리케이션에 액세스할 수 있습니다. 애플리케이션 프록시를 사용하도록 애플리케이션을 변경하거나 업데이트할 필요가 없습니다.

  • 보안. 온-프레미스 애플리케이션은 Azure의 권한 부여 컨트롤 및 보안 분석을 사용할 수 있습니다. 예를 들어 온-프레미스 애플리케이션은 조건부 액세스 및 2단계 인증을 사용할 수 있습니다. 애플리케이션 프록시는 방화벽을 통해 인바운드 연결을 열 필요가 없습니다.

  • 비용 효율성. 온-프레미스 솔루션을 사용하려면 일반적으로 DMZ(완역 영역), 에지 서버 또는 기타 복잡한 인프라를 설치하고 기본 합니다. 애플리케이션 프록시는 클라우드에서 실행되므로 사용하기 쉽습니다. 애플리케이션 프록시를 사용하려면 네트워크 인프라를 변경하거나 온-프레미스 환경에 더 많은 어플라이언스 설치할 필요가 없습니다.

Microsoft Entra ID가 이미 있다면, 이것을 제어 평면으로 활용하여 온-프레미스 애플리케이션에 원활하고 안전하게 액세스하도록 지원할 수 있습니다.

포괄적이진 않지만 아래 목록은 하이브리드 공존 시나리오에서 애플리케이션 프록시를 사용하는 예제를 보여 줍니다.

  • DMZ 없이 간소화된 방식으로 온-프레미스 웹앱을 외부에 게시
  • 클라우드 및 온-프레미스의 디바이스, 리소스 및 앱에 SSO(Single Sign-On) 지원
  • 클라우드 및 온-프레미스의 앱에 다단계 인증 지원
  • Microsoft Cloud의 보안으로 클라우드 기능을 신속하게 활용
  • 사용자 계정 관리 중앙 집중화
  • ID 및 보안 제어 중앙 집중화
  • 그룹 멤버 자격을 기반으로 애플리케이션에 대한 사용자 액세스 권한을 자동으로 추가 또는 제거

이 문서에서는 Microsoft Entra ID 및 애플리케이션 프록시가 원격 사용자에게 SSO(Single Sign-On) 환경을 제공하는 방법을 설명합니다. VPN이나 이중 홈 서버 및 방화벽 규칙 없이 사용자가 온-프레미스 앱에 안전하게 연결합니다. 이 문서를 통해 애플리케이션 프록시가 클라우드의 기능 및 보안 이점을 온-프레미스 웹 애플리케이션에 제공하는 방법을 이해할 수 있습니다. 또한 아키텍처 및 가능한 토폴로지에 대한 설명도 참고할 수 있습니다.

애플리케이션 프록시에는 클라우드에서 실행되는 애플리케이션 프록시 서비스와 온-프레미스 서버에서 실행되는 프라이빗 네트워크 커넥터가 모두 포함됩니다. Microsoft Entra ID, 애플리케이션 프록시 서비스 및 프라이빗 네트워크 커넥터는 함께 작동하여 Microsoft Entra ID에서 웹 애플리케이션으로 사용자 로그온 토큰을 안전하게 전달합니다.

애플리케이션 프록시는 다음과 같이 작동합니다.

  • 인증을 위해 Windows 통합 인증을 사용하는 웹 애플리케이션
  • 폼 기반 또는 헤더 기반 액세스를 사용하는 웹 애플리케이션
  • 여러 디바이스에서 다양한 애플리케이션을 표시하려는 웹 API
  • 원격 데스크톱 게이트웨이 뒤에서 호스트되는 애플리케이션
  • MSAL(Microsoft Authentication Library)과 통합되는 리치 클라이언트 앱

애플리케이션 프록시는 Single Sign-On을 지원합니다. 지원되는 방법에 대한 자세한 내용은 Single Sign-On 방법 선택을 참조하세요.

과거의 원격 액세스

이전에는 원격 사용자의 액세스를 지원하면서 내부 리소스를 공격자로부터 보호하는 컨트롤 플레인이 모두 DMZ 또는 경계 네트워크에 있었습니다. 하지만 외부 클라이언트가 기업 리소스에 액세스하는 데 사용하는 DMZ에 배포된 VPN 및 역방향 프록시 솔루션이 클라우드 환경에는 적합하지 않습니다. 일반적으로 다음과 같은 단점이 있습니다.

  • 하드웨어 비용
  • 보안 유지(패치 적용, 포트 모니터링 등)
  • 에지에서 사용자 인증
  • 경계 네트워크의 웹 서버에 대한 사용자 인증
  • VPN 클라이언트 소프트웨어 배포 및 구성을 통해 원격 사용자를 위한 VPN 액세스를 유지 관리합니다. 또한 외부 공격에 취약할 수 있는 DMZ에서 도메인 가입 서버를 유지 관리합니다.

최신 클라우드 우선 환경에서 Microsoft Entra ID는 네트워크에 접속할 수 있는 대상을 제어하는 데 가장 적합합니다. Microsoft Entra 애플리케이션 프록시는 SaaS 애플리케이션 및 ID 공급자와 같은 최신 인증 및 클라우드 기반 기술과 통합됩니다. 이러한 통합으로 인해 사용자가 어디에서나 앱에 액세스할 수 있습니다. 애플리케이션 프록시는 오늘날의 디지털 작업 공간에 더 적합할 뿐만 아니라 VPN 및 역방향 프록시 솔루션보다 더 안전하며 구현하기가 더 쉽습니다. 원격 사용자는 Microsoft Entra ID와 통합된 Microsoft 및 기타 SaaS 앱에 액세스하는 것과 동일한 방식으로 온-프레미스 애플리케이션에 액세스할 수 있습니다. 애플리케이션 프록시를 사용하도록 애플리케이션을 변경하거나 업데이트할 필요가 없습니다. 또한 애플리케이션 프록시는 방화벽을 통해 인바운드 연결을 열 필요가 없습니다. 애플리케이션 프록시를 사용하면 간단히 설정하고 잊어버리기만 하면 됩니다.

원격 액세스의 미래

현재 디지털 작업 공간에서는 사용자가 여러 디바이스와 앱을 사용하여 어디서나 작업할 수 있습니다. 유일한 상수는 사용자 ID입니다. 따라서 현재 보안 네트워크의 첫 번째 단계는 Microsoft Entra ID 관리 기능을 보안 제어 평면으로 사용하는 것입니다. ID를 컨트롤 평면으로 사용하는 모델은 일반적으로 다음과 같은 구성 요소로 이루어집니다.

  • 사용자 및 사용자 관련 정보를 추적하는 ID 공급자.
  • 회사 리소스에 액세스할 수 있는 디바이스 목록을 유지 관리하는 디바이스 디렉터리. 이 디렉터리에는 해당 디바이스 정보(예 : 디바이스 유형, 무결성 등)가 포함됩니다.
  • 보안 관리자가 설정한 정책을 사용자와 디바이스가 준수하는지 확인하는 정책 평가 서비스.
  • 조직 리소스에 대한 액세스를 허용하거나 거부할 수 있는 기능.

애플리케이션 프록시를 사용하면 Microsoft Entra ID는 온-프레미스 및 클라우드에 게시된 웹앱에 액세스해야 하는 사용자를 추적합니다. 이러한 앱에 대한 중앙 관리 지점을 제공합니다. 필수는 아니지만 Microsoft Entra 조건부 액세스를 사용하는 것이 좋습니다. 사용자가 인증하고 액세스 권한을 얻는 조건을 정의하면 적합한 사람만 애플리케이션에 액세스하도록 할 수 있습니다.

참고 항목

Microsoft Entra 애플리케이션 프록시는 내부 리소스에 대한 액세스가 필요한 로밍(또는 원격) 사용자를 위한 VPN 또는 역방향 프록시를 대체하기 위한 것임을 이해하는 것이 중요합니다. 회사 네트워크의 내부 사용자를 위한 것은 아닙니다. 애플리케이션 프록시를 불필요하게 사용하는 내부 사용자는 예기치 않은 바람직하지 않은 성능 문제가 발생할 수 있습니다.

Microsoft Entra ID 및 사용자의 모든 앱

애플리케이션 프록시 작동 방식 개요

다이어그램은 Microsoft Entra ID와 애플리케이션 프록시가 함께 작동하여 온-프레미스 애플리케이션에 Single Sign-On을 제공하는 방법을 보여 줍니다.

Microsoft Entra 애플리케이션 프록시의 다이어그램

  1. 사용자는 엔드포인트를 통해 애플리케이션에 액세스한 후 Microsoft Entra 로그인 페이지로 이동됩니다.
  2. Microsoft Entra ID는 성공적으로 로그인한 후 사용자의 클라이언트 디바이스에 토큰을 보냅니다.
  3. 클라이언트는 애플리케이션 프록시 서비스에 토큰을 보냅니다. 서비스는 토큰에서 UPN(사용자 계정 이름) 및 SPN(보안 주체 이름)을 검색합니다. 그런 다음 애플리케이션 프록시는 커넥터에 요청을 보냅니다.
  4. 커넥터는 사용자를 대신하여 필요한 SSO(Single Sign-On) 인증을 수행합니다.
  5. 커넥터는 온-프레미스 애플리케이션에 요청을 보냅니다.
  6. 응답은 커넥터 및 애플리케이션 프록시 서비스를 통해 사용자에게 전송됩니다.

참고 항목

대부분의 Microsoft Entra 하이브리드 에이전트와 마찬가지로 프라이빗 네트워크 커넥터는 방화벽을 통해 인바운드 연결을 열 필요가 없습니다. 3단계의 사용자 트래픽은 애플리케이션 프록시 서비스(Microsoft Entra ID)에서 종료됩니다. 프라이빗 네트워크 커넥터(온-프레미스)는 나머지 통신을 담당합니다.

구성 요소 설명
엔드포인트 엔드포인트는 URL 또는 최종 사용자 포털입니다. 사용자는 외부 URL에 액세스하여 네트워크 외부에서 애플리케이션에 연결할 수 있습니다. 네트워크 내 사용자는 URL 또는 최종 사용자 포털을 통해 애플리케이션에 액세스할 수 있습니다. 사용자가 이러한 엔드포인트 중 하나로 이동하면 Microsoft Entra ID로 인증한 다음 커넥터를 통해 온-프레미스 애플리케이션으로 라우팅됩니다.
Microsoft Entra ID Microsoft Entra ID는 클라우드에 저장된 테넌트 디렉터리를 사용하여 인증을 수행합니다.
애플리케이션 프록시 서비스 이 애플리케이션 프록시 서비스는 Microsoft Entra ID의 일부로 클라우드에서 실행됩니다. 사용자로부터 프라이빗 네트워크 커넥터로 로그온 토큰을 전달합니다. 애플리케이션 프록시는 요청에서 액세스 가능한 헤더를 전달하고 해당 프로토콜에 따라 헤더를 클라이언트 IP 주소로 설정합니다. 들어오는 프록시 요청에 이미 헤더가 있는 경우 헤더의 값인 쉼표로 구분된 목록의 끝에 클라이언트 IP 주소가 추가됩니다.
프라이빗 네트워크 커넥터 커넥터는 네트워크 내부의 Windows Server에서 실행되는 간단한 에이전트입니다. 커넥터는 클라우드의 애플리케이션 프록시 서비스와 온-프레미스 애플리케이션 간의 통신을 관리합니다. 커넥터는 아웃바운드 연결만 사용하므로 인터넷 연결 네트워크에서 인바운드 포트를 열 필요가 없습니다. 커넥터는 상태를 저장하지 않으며 필요에 따라 클라우드에서 정보를 가져옵니다. 커넥터의 부하를 분산하고 인증하는 방법과 같은 커넥터에 대한 자세한 내용은 Microsoft Entra 프라이빗 네트워크 커넥터 이해(Understand Microsoft Entra Private Network Connector)를 참조 하세요.
AD(Active Directory) Active Directory는 온-프레미스에서 실행되어 도메인 계정에 대한 인증을 수행합니다. Single Sign-On이 구성되면 커넥터는 AD와 통신하여 필요한 추가 인증을 수행합니다.
온-프레미스 애플리케이션 마지막으로, 사용자는 온-프레미스 애플리케이션에 액세스할 수 있습니다.

애플리케이션 프록시는 Microsoft Entra 관리 센터에서 구성하는 Microsoft Entra 서비스입니다. 이것을 사용하면 조직의 내부 애플리케이션 서버 URL에 연결하는 외부 공용 HTTP/HTTPS URL 엔드포인트를 Azure Cloud에 게시할 수 있습니다. 이러한 온-프레미스 웹앱은 Microsoft Entra ID와 통합되어 Single Sign-On을 지원할 수 있습니다. 이렇게 하면 최종 사용자가 Microsoft 365 및 기타 SaaS 앱에 액세스하는 것과 같은 방식으로 온-프레미스 웹앱에 액세스할 수 있습니다.

이 기능의 구성 요소에는 클라우드에서 실행되는 애플리케이션 프록시 서비스, 온-프레미스 서버에서 실행되는 경량 에이전트인 프라이빗 네트워크 커넥터, ID 공급자인 Microsoft Entra ID가 포함됩니다. 세 가지 구성 요소가 함께 작동하여 온-프레미스 웹 애플리케이션에 액세스할 수 있는 Single Sign-On 환경을 사용자에게 제공합니다.

외부 사용자는 로그인한 후 표시 URL 또는 데스크톱이나 iOS/MAC 디바이스에서 내 앱을 사용하여 온-프레미스 웹 애플리케이션에 액세스할 수 있습니다. 예를 들어 애플리케이션 프록시는 원격 데스크톱, SharePoint 사이트, Tableau, Qlik, 웹용 Outlook 및 LOB(기간 업무) 애플리케이션에 원격 액세스 및 Single Sign-On을 제공할 수 있습니다.

Microsoft Entra 애플리케이션 프록시 아키텍처

인증

애플리케이션에 Single Sign-On을 구성하는 방법은 여러 가지이며 선택하는 방법은 애플리케이션에서 사용되는 인증에 따라 달라집니다. 애플리케이션 프록시는 다음과 같은 유형의 애플리케이션을 지원합니다.

  • 웹 애플리케이션
  • 여러 디바이스에서 다양한 애플리케이션을 표시하려는 웹 API
  • 원격 데스크톱 게이트웨이 뒤에서 호스트되는 애플리케이션
  • MSAL(Microsoft Authentication Library)과 통합되는 리치 클라이언트 앱

애플리케이션 프록시는 다음 네이티브 인증 프로토콜을 사용하는 앱에서 작동합니다.

  • IWA(Windows 통합 인증). IWA의 경우 프라이빗 네트워크 커넥터는 Kerberos KCD(제한 위임)를 사용하여 Kerberos 애플리케이션에 사용자를 인증합니다.

또한 애플리케이션 프록시는 타사 통합 또는 특정 구성 시나리오에서 다음 인증 프로토콜을 지원합니다.

  • 헤더 기반 인증. 이 로그온 메서드 PingAccess라는 타사 인증 서비스를 사용하며 애플리케이션에서 헤더를 사용하여 인증할 때 사용됩니다. 이 시나리오에서는 PingAccess가 인증을 처리합니다.
  • 폼 또는 암호 기반 인증. 이 인증 메서드를 사용하는 경우 사용자는 애플리케이션에 처음 액세스할 때 사용자 이름 및 암호를 사용하여 애플리케이션에 로그온합니다. 처음 로그인한 후 Microsoft Entra ID는 애플리케이션에 사용자 이름과 암호를 제공합니다. 이 시나리오에서는 Microsoft Entra ID가 인증을 처리합니다.
  • SAML 인증. SAML 기반 Single Sign-On은 SAML 2.0 또는 WS-Federation 프로토콜을 사용하는 애플리케이션에 지원됩니다. SAML Single Sign-On을 사용하는 Microsoft Entra는 사용자의 Microsoft Entra 계정을 사용하여 애플리케이션에 인증합니다.

지원되는 방법에 대한 자세한 내용은 Single Sign-On 방법 선택을 참조하세요.

보안 이점

애플리케이션 프록시 및 Microsoft Entra ID에서 제공하는 원격 액세스 솔루션은 다음을 포함하여 고객이 활용할 수 있는 몇 가지 보안 이점을 지원합니다.

  • 인증된 액세스. 애플리케이션 프록시는 인증된 연결만 네트워크에 도달하도록 사전 인증을 사용하여 애플리케이션을 게시하는 데 가장 적합합니다. 사전 인증으로 게시된 애플리케이션에 대한 유효한 토큰 없이는 애플리케이션 프록시 서비스를 통해 온-프레미스 환경으로 트래픽을 전달할 수 없습니다. 사전 인증은 본질적으로 인증된 ID만 백 엔드 애플리케이션에 액세스할 수 있기 때문에 상당한 수의 표적 공격이 차단됩니다.

  • 조건부 액세스 네트워크 연결이 설정되기 전에 보다 풍부한 정책 제어를 적용할 수 있습니다. 조건부 액세스를 사용하면 백 엔드 애플리케이션에 액세스할 수 있는 트래픽에 대한 제한을 정의할 수 있습니다. 위치, 인증 강도 및 사용자 위험 프로필을 기반으로 로그인을 제한하는 정책을 만듭니다. 조건부 액세스가 발전함에 따라 Microsoft Defender for Cloud Apps와의 통합과 같은 추가 보안을 제공하기 위해 더 많은 제어가 추가되고 있습니다. Defender for Cloud Apps 통합을 사용하면, 조건부 액세스를 활용하여 실시간 모니터링을 위한 온-프레미스 애플리케이션을 구성하고 조건부 액세스 정책을 기반으로 실시간으로 세션을 모니터링하고 제어할 수 있습니다.

  • 트래픽 종료. 백 엔드 애플리케이션에 대한 모든 트래픽은 백 엔드 서버로 세션이 다시 설정되는 동안 클라우드의 애플리케이션 프록시 서비스에서 종료됩니다. 이러한 연결 전략은 백 엔드 서버가 HTTP 트래픽에 직접 노출되지 않는다는 것을 의미합니다. 방화벽이 공격을 받지 않기 때문에 DoS(서비스 거부) 표적 공격에 대해 더 잘 보호됩니다.

  • 모든 액세스가 아웃바운드임. 프라이빗 네트워크 커넥터는 포트 80 및 443을 통해 클라우드의 애플리케이션 프록시 서비스에 대한 아웃바운드 연결만 사용합니다. 인바운드 연결이 없으면 DMZ의 구성 요소나 들어오는 연결에 대해 방화벽 포트를 열 필요가 없습니다. 모든 연결은 아웃바운드이며 보안 채널을 통해 이루어집니다.

  • 보안 분석 및 ML(기계 학습) 기반 인텔리전스. 애플리케이션 프록시는 Microsoft Entra ID의 일부이므로 Microsoft Entra ID Protection을 활용할 수 있습니다(프리미엄 P2 라이선스 필요). Microsoft Entra ID Protection은 Microsoft 보안 대응 센터 및 Microsoft의 Digital Crimes Unit의 데이터 피드와 기계 학습 보안 인텔리전스를 결합하여 손상된 계정을 사전에 식별합니다. Identity Protection은 고위험 로그인으로부터 실시간 보호를 제공합니다. 감염된 디바이스의 액세스, 익명의 네트워크를 통한 액세스, 변칙적이고 가능성이 적은 위치에서 액세스 등을 고려하여 세션의 위험 프로필을 늘립니다. 이러한 위험 프로필은 실시간 보호에 사용됩니다. 이러한 많은 보고서 및 이벤트는 SIEM 시스템과 통합을 위해 API를 통해 이미 제공됩니다.

  • 서비스로 제공되는 원격 액세스. 원격 액세스가 가능하도록 온-프레미스 서버를 유지 관리하고 패치를 적용하는 데 신경을 쓸 필요가 없습니다. 애플리케이션 프록시는 Microsoft가 소유하고 있는 인터넷 확장 서비스이므로 항상 최신 보안 패치 및 업그레이드를 받습니다. 패치가 적용되지 않은 소프트웨어는 여전히 다수의 공격 대상입니다. 미국 국토안보부에 따르면 표적 공격의 85%를 예방할 수 있습니다. 이 서비스 모델을 사용하면 더 이상 에지 서버를 관리할 필요가 없고 급하게 패치를 적용할 필요가 없기 때문에 부담을 덜 수 있습니다.

  • Intune 통합. Intune을 사용하면 회사 트래픽이 개인 트래픽과 별도로 라우팅됩니다. 애플리케이션 프록시는 회사 트래픽이 인증되도록 합니다. 애플리케이션 프록시와 Intune Managed Browser 기능을 함께 사용하여 원격 사용자가 iOS 및 Android 디바이스에서 내부 웹 사이트에 안전하게 액세스할 수 있습니다.

클라우드로 이전을 위한 로드맵

애플리케이션 프록시 구현의 또 다른 주요 이점은 Microsoft Entra ID를 온-프레미스 환경으로 확장하는 것입니다. 실제로 애플리케이션 프록시를 구현하는 것은 조직 및 앱을 클라우드로 이동하는 핵심 단계입니다. 온-프레미스 인증에서 벗어나 클라우드로 이동하면 온-프레미스 사용 공간이 줄어들고 Microsoft Entra ID 관리 기능을 제어 평면으로 사용할 수 있습니다. 기존 애플리케이션을 최소한으로 업데이트하거나 업데이트하지 않고, Single Sign-On, 다단계 인증 및 중앙 관리와 같은 클라우드 기능에 액세스할 수 있습니다. 애플리케이션 프록시에 필요한 구성 요소를 설치하는 것은 원격 액세스 프레임워크를 설정하는 간단한 프로세스입니다. 클라우드로 이동하면 최신 Microsoft Entra 기능, 업데이트 및 고가용성 및 재해 복구와 같은 기능에 액세스할 수 있습니다.

앱을 Microsoft Entra ID로 마이그레이션하는 방법에 대한 자세한 내용은 애플리케이션을 Microsoft Entra ID로 마이그레이션을 참조하세요.

아키텍처

다음 다이어그램은 일반적으로 Microsoft Entra 인증 서비스와 애플리케이션 프록시가 함께 작동하여 사용자에게 온-프레미스 애플리케이션에 Single Sign-On을 제공하는 방법을 보여 줍니다.

Microsoft Entra 애플리케이션 프록시 인증 흐름

  1. 사용자가 엔드포인트를 통해 애플리케이션에 액세스하면 사용자는 Microsoft Entra 로그인 페이지로 리디렉션됩니다. 조건부 액세스 정책을 구성한 경우에는, 이 때 특정 조건을 검사하여 조직의 보안 요구 사항을 준수하는지 확인됩니다.
  2. 로그인에 성공하면 Microsoft Entra ID가 사용자의 클라이언트 디바이스에 토큰을 보냅니다.
  3. 클라이언트는 토큰을 애플리케이션 프록시 서비스로 전송합니다. 이 서비스는 토큰에서 UPN(사용자 계정 이름) 및 SPN(보안 주체 이름)을 검색합니다.
  4. 애플리케이션 프록시는 애플리케이션 프록시 커넥터에 의해 선택되는 요청을 전달합니다.
  5. 커넥터는 사용자 대신 필요한 추가 인증을 수행하며(인증 메서드에 따라 선택 사항임), 애플리케이션 서버의 내부 엔드포인트를 요청하고 온-프레미스 애플리케이션에 요청을 전송합니다.
  6. 애플리케이션 서버의 응답은 커넥터를 통해 애플리케이션 프록시 서비스로 전송됩니다.
  7. 응답은 애플리케이션 프록시 서비스에서 사용자에게 전송됩니다.
구성 요소 설명
엔드포인트 엔드포인트는 URL 또는 사용자 포털입니다. 사용자는 외부 URL에 액세스하여 네트워크 외부에서 애플리케이션에 연결할 수 있습니다. 네트워크 내 사용자는 URL 또는 사용자 포털을 통해 애플리케이션에 액세스할 수 있습니다. 사용자가 이러한 엔드포인트 중 하나로 이동하면 Microsoft Entra ID로 인증한 다음 커넥터를 통해 온-프레미스 애플리케이션으로 라우팅됩니다.
Microsoft Entra ID Microsoft Entra ID는 클라우드에 저장된 테넌트 디렉터리를 사용하여 인증을 수행합니다.
애플리케이션 프록시 서비스 이 애플리케이션 프록시 서비스는 Microsoft Entra ID의 일부로 클라우드에서 실행됩니다. 사용자로부터 프라이빗 네트워크 커넥터로 로그온 토큰을 전달합니다. 애플리케이션 프록시는 요청에서 액세스 가능한 헤더를 전달하고 해당 프로토콜에 따라 헤더를 클라이언트 IP 주소로 설정합니다. 프록시에 들어오는 요청에 이미 헤더가 있는 경우 헤더의 값인 쉼표로 구분된 목록의 끝에 클라이언트 IP 주소가 추가됩니다.
프라이빗 네트워크 커넥터 커넥터는 네트워크 내부의 Windows Server에서 실행되는 간단한 에이전트입니다. 커넥터는 클라우드의 애플리케이션 프록시 서비스와 온-프레미스 애플리케이션 간의 통신을 관리합니다. 커넥터가 아웃바운드 연결만 사용하므로 인바운드 포트를 열거나 DMZ에 아무 것도 배치할 필요가 없습니다. 커넥터는 상태를 저장하지 않으며 필요에 따라 클라우드에서 정보를 가져옵니다. 커넥터의 부하를 분산하고 인증하는 방법과 같은 커넥터에 대한 자세한 내용은 Microsoft Entra 프라이빗 네트워크 커넥터 이해(Understand Microsoft Entra Private Network Connector)를 참조 하세요.
AD(Active Directory) Active Directory는 온-프레미스에서 실행되어 도메인 계정에 대한 인증을 수행합니다. Single Sign-On이 구성되면 커넥터가 AD와 통신하여 필요한 추가 인증을 수행합니다.
온-프레미스 애플리케이션 마지막으로, 사용자는 온-프레미스 애플리케이션에 액세스할 수 있습니다.

Microsoft Entra 애플리케이션 프록시는 클라우드 기반 애플리케이션 프록시 서비스와 온-프레미스 커넥터로 구성됩니다. 커넥터는 애플리케이션 프록시 서비스의 요청을 수신 대기하고 내부 애플리케이션에 대한 연결을 처리합니다. 모든 통신은 TLS를 통해 발생하며 항상 애플리케이션 프록시 서비스에 대한 커넥터에서 발생합니다. 즉, 통신은 아웃바운드만 있습니다. 커넥터는 클라이언트 인증서를 사용하여 모든 호출에 대해 애플리케이션 프록시 서비스에 인증합니다. 이러한 연결 보안에 대한 유일한 예외는 클라이언트 인증서가 설정되는 초기 설정 단계입니다. 자세한 내용은 내부적으로 애플리케이션 프록시 참조하세요.

프라이빗 네트워크 커넥터

프라이빗 네트워크 커넥터 는 클라우드의 애플리케이션 프록시 서비스에 대한 아웃바운드 연결을 용이하게 하는 온-프레미스에 배포된 경량 에이전트입니다. 커넥터는 백 엔드 애플리케이션에 대한 액세스 권한이 있는 Windows Server에 설치해야 합니다. 사용자는 아래 그림과 같이 커넥터를 통해 트래픽을 앱으로 라우팅하는 애플리케이션 프록시 클라우드 서비스에 연결합니다.

Microsoft Entra 애플리케이션 프록시 네트워크 연결

커넥터와 애플리케이션 프록시 서비스 간의 설정 및 등록은 다음과 같이 수행됩니다.

  1. IT 관리자는 아웃바운드 트래픽에 포트 80 및 443을 열고 커넥터, 애플리케이션 프록시 서비스 및 Microsoft Entra ID에 필요한 여러 URL에 대한 액세스를 허용합니다.
  2. 관리자는 Microsoft Entra 관리 센터에 로그인하고 실행 파일을 실행하여 온-프레미스 Windows 서버에 커넥터를 설치합니다.
  3. 커넥터가 애플리케이션 프록시 서비스를 "수신 대기"하기 시작합니다.
  4. 관리자가 온-프레미스 애플리케이션을 Microsoft Entra ID에 추가하고 사용자가 앱에 연결하는 데 필요한 URL과 같은 설정을 구성합니다.

자세한 내용은 Microsoft Entra 애플리케이션 프록시 배포 계획을 참조하세요.

중복성 및 확장성을 위해 항상 여러 커넥터를 배포하는 것이 좋습니다. 커넥터는 서비스와 함께 모든 고가용성 작업을 처리하며, 동적으로 추가 또는 제거될 수 있습니다. 새 요청이 수신될 때마다 사용할 수 있는 커넥터 중 하나로 라우팅됩니다. 커넥터가 실행 중인 경우 서비스에 연결됨에 따라 활성 상태가 유지됩니다. 일시적으로 사용할 수 없는 커넥터는 트래픽에 응답하지 않습니다. 사용되지 않는 커넥터는 비활성으로 태그가 지정되고 10일 동안 비활성 상태이면 제거됩니다.

커넥터는 또한 서버를 풀링하여 최신 버전의 커넥터가 있는지 찾습니다. 수동 업데이트를 수행할 수 있지만 프라이빗 네트워크 커넥터 Updater 서비스가 실행되는 한 커넥터가 자동으로 업데이트됩니다. 다중 커넥터가 있는 테넌트의 경우 자동 업데이트는 각 그룹에서 한 번에 하나의 커넥터를 대상으로 하여 사용자 환경의 가동 중지 시간을 방지합니다.

참고 항목

RSS 피드를 구독하여 업데이트가 릴리스되었을 때 알림을 받도록 애플리케이션 프록시 버전 기록 페이지를 모니터링할 수 있습니다.

각 프라이빗 네트워크 커넥터는 커넥터 그룹에 할당됩니다. 동일한 커넥터 그룹의 커넥터는 고가용성 및 부하 분산을 위한 단일 장치로 작동합니다. 새 그룹을 만들고 Microsoft Entra 관리 센터에서 커넥터를 할당한 다음 특정 커넥터를 할당하여 특정 애플리케이션을 제공할 수 있습니다. 고 가용성을 위해 각 커넥터 그룹에 커넥터를 둘 이상 설치하는 것이 좋습니다.

커넥터 그룹은 다음 시나리오를 지원해야 하는 경우 유용합니다.

  • 지리적 앱 게시
  • 애플리케이션 분할/격리
  • 클라우드 또는 온-프레미스에서 실행되는 웹앱 게시

커넥터를 설치할 위치를 선택하고 네트워크를 최적화하는 방법에 대한 자세한 내용은 Microsoft Entra 애플리케이션 프록시를 사용할 때 네트워크 토폴로지 고려 사항을 참조하세요.

기타 사용 사례

이 시점까지 모든 클라우드 및 온-프레미스 앱에 Single Sign-On을 사용하도록 설정하면서 애플리케이션 프록시를 사용하여 온-프레미스 앱을 외부에 게시하는 데 집중했습니다. 그러나 멘션 가치가 있는 애플리케이션 프록시에 대한 다른 사용 사례가 있습니다. 다음이 포함됩니다.

  • REST API를 안전하게 게시. 온-프레미스에서 실행되거나 클라우드의 가상 머신에서 호스트되는 비즈니스 논리 또는 API가 있는 경우 애플리케이션 프록시는 API 액세스를 위한 퍼블릭 엔드포인트를 제공합니다. API 엔드포인트에 액세스할 수 있으면 수신 포트 없이도 인증 및 권한 부여를 제어할 수 있습니다. Microsoft Entra ID P1 또는 P2 기능을 통해 Intune을 사용한 데스크톱, iOS, MAC 및 Android 디바이스에 대한 다단계 인증 및 디바이스 기반 조건부 액세스와 같은 추가 보안 기능이 제공됩니다. 자세한 내용은 네이티브 클라이언트 애플리케이션이 프록시 애플리케이션과 상호 작용하도록 설정하는 방법Microsoft Entra ID 및 API Management에서 OAuth 2.0을 사용하여 API 보호를 참조하세요.
  • RDS(원격 데스크톱 서비스). 표준 RDS 배포에는 열린 인바운드 연결이 필요합니다. 그러나 애플리케이션 프록시를 사용하는 RDS 배포에는 커넥터 서비스를 실행하는 서버에서 영구 아웃바운드 연결이 있습니다. 이렇게 하면 원격 데스크톱 서비스를 통해 온-프레미스 애플리케이션을 게시하여 사용자에게 더 많은 애플리케이션을 제공할 수 있습니다. 또한 RDS에 대한 조건부 액세스 제어 및 2단계 인증 세트가 제한적으로 제공되어 배포의 공격 표면을 줄일 수 있습니다.
  • WebSocket을 사용하여 연결하는 애플리케이션 게시. Qlik Sense 지원은 공개 미리 보기 상태이며 앞으로 다른 앱으로도 확장될 예정입니다.
  • 네이티브 클라이언트 앱이 프록시 애플리케이션과 상호 작용할 수 있도록 설정. Microsoft Entra 애플리케이션 프록시를 사용하여 웹앱을 게시할 수 있지만, MSAL(Microsoft 인증 라이브러리)로 구성된 네이티브 클라이언트 애플리케이션을 게시하는 데 사용할 수도 있습니다. 네이티브 클라이언트 애플리케이션은 디바이스에 설치되는 반면 웹앱은 브라우저를 통해 액세스되므로 웹앱과 다릅니다.

결론

작업 방식과 사용하는 도구는 급속하게 변화하고 있습니다. 자신의 디바이스를 직장에 가져오는 직원이 늘어나고 SaaS(Software-as-a-Service) 애플리케이션 사용이 증가함에 따라 조직이 데이터를 관리하고 보호하는 방법도 발전해야 합니다. 더 이상 자체 경계 내에서만 회사가 운영되지 않기 때문에, 경계를 둘러싸고 있는 보호벽으로는 회사를 보호할 수 없습니다. 데이터는 온-프레미스 및 클라우드 환경 모두에서 그 어느 때보다 다양한 위치로 이동합니다. 이러한 혁신으로 인해 사용자의 생산성과 협업 능력을 향상시킬 수 있지만 중요한 데이터를 보호하기는 더욱 어려워지고 있습니다.

현재 Microsoft Entra ID를 사용하여 하이브리드 공존 시나리오에서 사용자를 관리하고 있든, 클라우드로 이전하는 데 관심을 두기 시작한 상태이든 상관없이, Microsoft Entra 애플리케이션 프록시를 구현하면 원격 액세스가 서비스로 제공되어 온-프레미스 사용 공간의 크기를 줄일 수 있습니다.

조직은 다음과 같은 이점을 활용하기 위해 오늘 애플리케이션 프록시를 활용하기 시작해야 합니다.

  • 기존 VPN 또는 기타 온-프레미스 웹 게시 솔루션 및 DMZ 방식 유지 관리와 관련된 오버헤드 없이, 온-프레미스 앱을 외부에 게시할 수 있습니다.
  • Microsoft 365나 기타 SaaS 앱 및 온-프레미스 애플리케이션을 비롯한 모든 앱에 Single Sign-On이 가능합니다.
  • Microsoft Entra가 Microsoft 365 원격 분석을 활용하여 무단 액세스를 방지하는 클라우드 규모의 보안이 제공됩니다.
  • Intune 통합을 통해 기업의 트래픽이 인증되도록 보장합니다.
  • 사용자 계정 관리가 중앙 집중화됩니다.
  • 자동 업데이트를 통해 최신 보안 패치가 적용되도록 합니다.
  • 최신 SAML Single Sign-On 지원 및 보다 세분화된 애플리케이션 쿠키 관리 등, 새로 릴리스되는 기능을 활용할 수 있습니다.

다음 단계