다음을 통해 공유


Microsoft 365 네트워크 연결 원칙

이 문서는 Microsoft 365 Enterprise와 Office 365 Enterprise에 모두 적용됩니다.

Microsoft 365 네트워크 연결을 위한 네트워크 계획을 시작하기 전에 Microsoft 365 트래픽을 안전하게 관리하고 최상의 성능을 얻기 위한 연결 원칙을 이해하는 것이 중요합니다. 이 문서는 Microsoft 365 네트워크 연결을 안전하게 최적화하기 위한 최신 지침을 이해하는 데 도움이 됩니다.

기존의 엔터프라이즈 네트워크는 주로 강력한 경계 보안으로 사용자에게 회사 운영 데이터 센터에서 호스팅되는 응용 프로그램 및 데이터에 액세스를 제공하도록 설계되었습니다. 기존 모델은 사용자가 회사 네트워크 경계 내부, 지사의 WAN 링크 또는 VPN 연결을 통해 응용 프로그램 및 데이터에 액세스하는 것으로 가정합니다.

Microsoft 365와 같은 SaaS 응용 프로그램을 채택하면 일부 서비스와 데이터의 조합이 네트워크 경계 외부로 이동합니다. 최적화를 하지 않으면 사용자와 SaaS 응용 프로그램 간의 트래픽에는 패킷 검사, 네트워크 헤어핀, 지리적으로 먼 엔드포인트에 의도하지 않은 연결 및 기타 요인으로 생긴 대기 시간이 발생합니다. 주요 최적화 지침을 이해하고 구현하면 최상의 Microsoft 365 성능과 안정성을 보장할 수 있습니다.

이 문서에서는 다음에 대해 알아봅니다.

Microsoft 365 아키텍처

Microsoft 365는 다양한 마이크로 서비스 및 애플리케이션 세트를 통해 생산성 및 공동 작업 시나리오를 제공하는 분산 SaaS(Software-as-a-Service) 클라우드입니다. 예를 들어 Exchange Online, SharePoint Online, Microsoft Teams, Exchange Online Protection, 브라우저의 Office 등이 있습니다. 특정 Microsoft 365 애플리케이션은 고객 네트워크에 적용되고 클라우드에 연결될 때 고유한 기능을 가질 수 있지만 모두 몇 가지 주요 보안 주체, 목표 및 아키텍처 패턴을 공유합니다. 이러한 연결 원칙 및 아키텍처 패턴은 다른 많은 SaaS 클라우드에 일반적입니다. 동시에 Microsoft Azure와 같은 Platform-as-a-Service 및 Infrastructure-as-a-Service 클라우드의 일반적인 배포 모델과 다릅니다.

Microsoft 365의 가장 중요한 아키텍처 기능 중 하나는(네트워크 설계자가 종종 놓치거나 잘못 해석하는 경우) 사용자가 연결하는 방식의 맥락에서 진정한 글로벌 분산 서비스라는 것입니다. 대상 Microsoft 365 테넌트 위치는 고객 데이터가 클라우드 내에 저장되는 위치의 지역성을 이해하는 데 중요합니다. 그러나 Microsoft 365의 사용자 환경에는 데이터가 포함된 디스크에 직접 연결하는 작업이 포함되지 않습니다. Microsoft 365(성능, 안정성 및 기타 중요한 품질 특성 포함)에 대한 사용자 환경에는 전 세계 많은 Microsoft 위치에서 확장된 고도로 분산된 서비스 Front Door를 통한 연결이 포함됩니다. 대부분의 경우 고객 네트워크가 사용자 요청을 가장 가까운 Microsoft 365 서비스 진입점으로 라우팅할 수 있도록 하여 최상의 사용자 환경을 구현합니다. 중앙 위치 또는 지역의 송신 지점을 통해 Microsoft 365에 연결하는 것보다 더 좋습니다.

대부분의 고객의 경우 Microsoft 365 사용자는 여러 위치에 분산되어 있습니다. 최상의 결과를 얻으려면 이 문서에 설명된 원칙을 스케일 아웃(스케일 업이 아님) 관점에서 살펴봐야 합니다. 또한 Microsoft 365 테넌트 지리적 위치가 아닌 Microsoft 글로벌 네트워크에서 가장 가까운 위치에 대한 연결을 최적화하는 데 중점을 두는 데 중점을 두는 한편 기본적으로 이는 Microsoft 365 테넌트 데이터가 특정 지리적 위치에 저장될 수 있지만 해당 테넌트용 Microsoft 365 환경이 분산된 상태로 유지됨을 의미합니다. 테넌트가 있는 모든 최종 사용자 위치에 매우 가까운(네트워크) 근접에 있을 수 있습니다.

Microsoft 365 연결 원칙

Microsoft는 최적의 Microsoft 365 연결과 성능을 실현하기 위해 다음 원칙을 권장합니다. 이 Microsoft 365 연결 원칙을 사용하여 트래픽을 관리하고 Microsoft 365에 연결할 때 최상의 성능을 얻을 수 있습니다.

네트워크 설계의 주요 목표는 대기 시간이 짧은 마이크로소프트의 모든 데이터 센터와 전 세계에 퍼져 있는 클라우드 응용 프로그램 진입점을 상호 연결하는 Microsoft의 공개 네트워크 백본인 Microsoft 글로벌 네트워크로 네트워크의 왕복 시간(RTT)을 줄여 대기 시간을 최소화하는 것이어야 합니다. Microsoft가 빠르고 안정적인 글로벌 네트워크를 구축하는 방법에서 Microsoft 글로벌 네트워크에 대해 자세히 알아볼 수 있습니다.

Microsoft 365 트래픽 식별 및 차별화하기

Microsoft 365 트래픽 식별하기

Microsoft 365 네트워크 트래픽을 식별하는 것이 일반적인 인터넷 바운드 네트워크 트래픽을 구분할 수 있는 첫 번째 단계입니다. Microsoft 365 연결은 네트워크 경로 최적화, 방화벽 규칙, 브라우저 프록시 설정과 같은 접근 방식의 조합을 구현하여 최적화할 수 있습니다. 또한 특정 엔드포인트에 대한 네트워크 검사 디바이스를 우회하는 것도 유용합니다.

Microsoft 365 최적화 방법에 대한 자세한 내용은 Microsoft 365 서비스에 대한 연결 최적화 섹션을 참조하세요 .

이제 Microsoft는 모든 Microsoft 365 엔드포인트를 웹 서비스로 게시하며 이 데이터를 사용하는 가장 좋은 방법에 대한 지침을 제공합니다. Microsoft 365 엔드포인트를 가져오고 사용하는 방법에 대한 자세한 내용은 Office 365 URL 및 IP 주소 범위 문서를 참조하세요.

네트워크 연결을 로컬로 송신하기

송신 네트워크 연결은 로컬로 연결됩니다.

로컬 DNS와 인터넷 송신은 연결 대기 시간을 줄이고 사용자 연결이 Microsoft 365 서비스에 가장 가까운 진입점에서 이루어지도록 하는 데 매우 중요합니다. 복잡한 네트워크 토폴로지에서 로컬 DNS와 로컬 인터넷 송신을 함께 구현하는 것이 중요합니다. Microsoft 365에서 가장 가까운 진입점으로 클라이언트 연결을 라우팅하는 방법에 대한 자세한 내용은 클라이언트 연결 문서를 참조하세요.

Microsoft 365와 같은 클라우드 서비스의 출현 이전에는 네트워크 아키텍처의 설계 요소로 최종 사용자 인터넷 연결이 비교적 간단했습니다. 인터넷 서비스와 웹 사이트가 전 세계에 분산되어 있는 경우 회사 송신 지점과 지정된 대상 엔드포인트 사이의 대기 시간은 대체로 지리적 거리의 함수입니다.

기존 네트워크 아키텍처에서는 모든 아웃바운드 인터넷 연결이 회사 네트워크를 통과하고 중앙 위치에서 나갑니다. Microsoft의 클라우드 제공이 발전함에 따라 분산 인터넷 연결 네트워크 아키텍처는 대기 시간에 민감한 클라우드 서비스를 지원하는 데 중요해졌습니다. Microsoft 글로벌 네트워크는 들어오는 클라우드 서비스 연결을 가장 가까운 진입점에 라우팅하는 글로벌 진입점의 동적 패브릭인 분산 서비스 Front Door 인프라를 사용하여 대기 시간 요구 사항을 수용하도록 설계되었습니다. 이는 고객과 클라우드 사이의 경로를 효과적으로 단축하여 Microsoft 클라우드 고객의 "마지막 마일"의 길이를 줄이기 위한 것입니다.

엔터프라이즈 WAN은 대개 하나 이상의 프록시 서버를 통해 인터넷에 송신하기 전에 중앙에 있는 회사 본사로 네트워크 트래픽을 백홀하도록 설계되었습니다. 다음 다이어그램에서는 이러한 네트워크 토폴로지를 보여 줍니다.

기존 엔터프라이즈 네트워크 모델

Microsoft 365는 전 세계 프런트 엔드 서버를 포함하는 Microsoft Global Network에서 실행되기 때문에 사용자의 위치에 가까운 프런트 엔드 서버가 있는 경우가 많습니다. 로컬 인터넷 송신을 제공하고 Microsoft 365 엔드포인트에 대한 로컬 이름 확인을 제공하도록 내부 DNS 서버를 구성하여 Microsoft 365로 향하는 네트워크 트래픽을 사용자에게 최대한 가까운 Microsoft 365 프런트 엔드 서버에 연결할 수 있습니다. 다음 다이어그램은 기본 사무실, 지점 및 원격 위치에서 연결하는 사용자가 가장 가까운 Microsoft 365 진입점으로 가는 가장 짧은 경로를 따를 수 있도록 하는 네트워크 토폴로지의 예를 보여 줍니다.

지역 송신 지점이 있는 WAN 네트워크 모델

이러한 방식으로 Microsoft 365 진입점으로의 네트워크 경로를 줄이면 Microsoft 365의 연결 성능과 최종 사용자 환경이 향상될 수 있습니다. 또한 향후 네트워크 아키텍처 변경이 Microsoft 365 성능 및 안정성에 미치는 영향을 줄이는 데 도움이 될 수 있습니다.

또한, 응답하는 DNS 서버가 멀리 있거나 사용량이 많은 경우 DNS 요청으로 대기 시간이 발생할 수 있습니다. 분기 위치에 로컬 DNS 서버를 프로비전하고 DNS 레코드를 적절하게 캐시하도록 구성되어 있는지 확인하여 이름 확인 대기 시간을 최소화할 수 있습니다.

지역 송신은 Microsoft 365에서 잘 작동할 수 있지만 최적의 연결 모델은 회사 네트워크 또는 집, 호텔, 커피숍 및 공항과 같은 원격 위치에 관계없이 항상 사용자의 위치에 네트워크 송신을 제공하는 것입니다. 이 로컬 직접 송신 모델은 다음 다이어그램에 표시됩니다.

로컬 송신 네트워크 아키텍처

Microsoft 365를 채택한 기업에서는 Microsoft 365에 대한 사용자 연결이 가장 가까운 Microsoft 글로벌 네트워크 진입점으로 가능한 가장 짧은 경로를 사용하도록 하여 Microsoft 글로벌 네트워크의 분산 서비스 Front Door 아키텍처를 활용할 수 있습니다. 로컬 송신 네트워크 아키텍처는 사용자 위치와 상관없이 Microsoft 365 트래픽을 가장 가까운 송신으로 라우팅할 수 있게 해 줍니다.

기존 모델에 비해 로컬 송신 아키텍처의 이점은 다음과 같습니다.

  • 경로 길이를 최적화하여 최적의 Microsoft 365 성능을 제공합니다. 최종 사용자 연결은 분산 서비스 Front Door 인프라에 의해 가장 가까운 Microsoft 365 진입점으로 동적으로 라우팅됩니다.
  • 로컬 송신을 허용하여 회사 네트워크 인프라에 대한 부하를 줄입니다.
  • 클라이언트 엔드포인트 보안 및 클라우드 보안 기능을 사용하여 양쪽 끝의 연결을 보호합니다.

네트워크 헤어핀 방지하기

헤어핀 방지하기

일반적으로 사용자와 가장 가까운 Microsoft 365 엔드포인트 간의 가장 짧고 직접적인 경로는 최상의 성능을 제공합니다. 네트워크 헤어핀은 특정 대상을 향한 WAN 또는 VPN 트래픽이 다른 중간 위치(예: 보안 스택, 클라우드 액세스 브로커, 클라우드 기반 웹 게이트웨이)로 향하는 경우 대기 시간이나 지리적으로 먼 엔드포인트로의 잠재적인 리디렉션을 도입하며 발생합니다. 네트워크 헤어핀은 라우팅/피어링 비효율성 또는 최적이 아닙니다(원격) DNS 조회로 인해 발생합니다.

로컬 송신 사례에서도 Microsoft 365 연결에 네트워크 헤어핀이 적용되지 않도록 하려면 사용자 위치에 인터넷 송신을 제공하는 데 사용되는 ISP가 해당 위치에 가까운 Microsoft Global Network와 직접 피어링 관계가 있는지 여부를 검사. 신뢰할 수 있는 Microsoft 365 트래픽을 직접 보내도록 송신 라우팅을 구성할 수도 있습니다. 이는 인터넷 바인딩된 트래픽을 처리하는 타사 클라우드 또는 클라우드 기반 네트워크 보안 공급업체를 통해 프록시 또는 터널링하는 것과는 반대입니다. Microsoft 365 엔드포인트의 로컬 DNS 이름 확인은 직접 라우팅 외에도 사용자 연결에 가장 가까운 Microsoft 365 진입점이 사용되고 있는지 확인하는 데 도움이 됩니다.

Microsoft 365 트래픽에 클라우드 기반 네트워크 또는 보안 서비스를 사용하는 경우 헤어핀의 결과가 평가되고 Microsoft 365 성능에 미치는 영향을 이해해야 합니다. 이 작업은 지점 수 및 Microsoft 글로벌 네트워크 피어링 지점과 관련하여 트래픽이 전달되는 서비스 공급자 위치의 수와 위치, ISP 및 Microsoft와 서비스 공급자의 네트워크 피어링 관계의 품질, 서비스 공급자 인프라에서 백홀링의 성능 효과를 검사하여 수행할 수 있습니다.

Microsoft 365 진입점이 많은 분산 위치와 최종 사용자와의 근접성으로 인해 공급자 네트워크가 최적의 Microsoft 365 피어링을 위해 구성되지 않은 경우 Microsoft 365 트래픽을 타사 네트워크 또는 보안 공급자로 라우팅하면 Microsoft 365 연결에 부정적인 영향을 미칠 수 있습니다.

프록시 우회, 트래픽 검사 장치 및 중복되는 보안 기술 평가하기

프록시 우회, 트래픽 검사 장치 및 중복되는 보안 기술

기업 고객은 Microsoft 365 바운드 트래픽에 대한 네트워크 보안과 위험을 줄이는 방법을 검토하고, Microsoft 365 보안 기능을 사용하여 Microsoft 365 네트워크 트래픽에 대해 침범하며 성능에 영향을 주는 고가의 네트워크 보안 기술에 대한 의존도를 줄여야 합니다.

대부분의 엔터프라이즈 네트워크는 프록시, TLS 검사, 패킷 검사 및 데이터 손실 방지 시스템과 같은 기술을 사용하여 인터넷 트래픽에 대한 네트워크 보안을 적용합니다. 이러한 기술은 일반적인 인터넷 요청에 대한 중요한 위험을 완화하지만, Microsoft 365 엔드포인트에 적용되는 경우 성능, 확장성 및 최종 사용자 환경의 질을 크게 저하시킬 수 있습니다.

Office 365 엔드포인트 웹 서비스

Microsoft 365 관리자는 스크립트나 REST 호출을 사용하여 Office 365 엔드포인트 웹 서비스에서 엔드포인트의 구조화된 목록을 사용하고 경계 방화벽 및 기타 네트워크 장치의 구성을 업데이트할 수 있습니다. 이렇게 하면 Microsoft 365에 바인딩된 트래픽이 식별되고 적절하게 처리되며 일반 인터넷 웹 사이트에 바인딩된 네트워크 트래픽과 다르게 관리됩니다. Office 365 엔드포인트 웹 서비스를 사용하는 방법에 대한 자세한 내용은 Office 365 URL 및 IP 주소 범위 문서를 참조하세요.

PAC(프록시 자동 구성) 스크립트

Microsoft 365 관리자는 WPAD나 GPO를 통해 사용자 컴퓨터에 제공할 수 있는 PAC(프록시 자동 구성) 스크립트를 만들 수 있습니다. PAC 스크립트를 사용하여 WAN 또는 VPN 사용자의 Microsoft 365 요청에 대한 프록시를 우회하는 데 사용할 수 있어 Microsoft 365 트래픽이 회사 네트워크를 통과하는 대신 다이렉트 인터넷 연결을 사용할 수 있습니다.

Microsoft 365 보안 기능

Microsoft는 데이터 센터 보안, 운영 보안 및 Microsoft 365 서버와 해당 서버가 나타내는 네트워크 엔드포인트에 대한 위험 줄이기에 대해 투명합니다. Microsoft 365 기본 제공 보안 기능은 Microsoft Purview 데이터 손실 방지, 바이러스 백신, 다단계 인증, 고객 Lockbox, Office 365용 Defender, Microsoft 365 위협 인텔리전스, Microsoft 365 보안 점수와 같은 네트워크 보안 위험을 줄이는 데 사용할 수 있습니다. Exchange Online Protection 및 네트워크 DDOS 보안.

Microsoft 데이터 센터 및 글로벌 네트워크 보안에 대한 자세한 내용은 Microsoft 보안 센터를 참조하세요.

Microsoft 365 서비스에 대한 연결 최적화

Microsoft 365 서비스는 동적, 상호 의존적이고 긴밀하게 통합된 제품, 애플리케이션 및 서비스의 컬렉션입니다. Microsoft 365 서비스에 대한 연결을 구성하고 최적화하는 경우 네트워크 수준에서 허용 목록을 구현하기 위해 몇 가지 Microsoft 365 시나리오와 특정 엔드포인트(도메인)를 연결하는 것은 불가능합니다. Microsoft는 사용자에게 연결 및 서비스 인시던트가 발생하기 때문에 선택적 허용 목록을 지원하지 않습니다. 따라서 네트워크 관리자는 항상 정기적으로 게시 및 업데이트되는 필수 네트워크 엔드포인트(도메인)의 전체 집합에 네트워크 허용 목록 및 일반적인 네트워크 최적화에 대한 Microsoft 365 지침을 적용해야 합니다. 고객 피드백에 대한 응답으로 Microsoft 365 네트워크 엔드포인트를 간소화하는 동안 네트워크 관리자는 현재 기존 엔드포인트 집합에서 다음과 같은 핵심 패턴을 알고 있어야 합니다.

  • 가능한 경우 게시된 도메인 엔드포인트에는 고객에 대한 네트워크 구성 노력을 크게 낮추기 위한 와일드카드가 포함됩니다.
    • Microsoft 365는 고객에게 네트워크 구성을 간소화하고 이 도메인에 대한 네트워크 최적화를 현재 및 미래의 여러 Microsoft 365 서비스에 자동으로 누적하는 방법을 제공하는 도메인 통합 이니셔티브(cloud.microsoft)를 발표했습니다.
    • 보안 격리 및 특정 기능을 위해 cloud.microsoft 루트 도메인을 단독으로 사용합니다. 이를 통해 고객 네트워크 및 보안 팀은 Microsoft 365 도메인을 신뢰하는 동시에 해당 엔드포인트에 대한 연결을 개선하고 불필요한 네트워크 보안 처리를 방지할 수 있습니다.
    • 특정 엔드포인트 정의는 해당 도메인에 해당하는 고유한 IP 접두사를 지정합니다. 이 기능은 복잡한 네트워크 구조를 가진 고객을 지원하므로 IP 접두사 세부 정보를 활용하여 정확한 네트워크 최적화를 적용할 수 있습니다.

다음 네트워크 구성은 모든 "필수" Microsoft 365 네트워크 엔드포인트(도메인) 및 범주에 권장됩니다.

  • 사용자 연결이 통과하는 네트워크 디바이스 및 서비스에서 Microsoft 365 네트워크 엔드포인트를 명시적으로 허용(예: 프록시, 방화벽, DNS, 클라우드 기반 네트워크 보안 솔루션 등)
    • TLS 암호 해독, 트래픽 차단, 심층 패킷 검사, 네트워크 패킷 및 콘텐츠 필터링에서 Microsoft 365 도메인을 무시합니다. 고객이 신뢰할 수 없는/관리되지 않는 애플리케이션의 컨텍스트에서 이러한 네트워크 기술을 사용하는 많은 결과는 기본적으로 Microsoft 365 보안 기능을 통해 달성할 수 있습니다.
    • 직접 인터넷 액세스는 WAN(광역 네트워크) 백홀링에 대한 의존도를 줄이고, 네트워크 헤어핀을 피하고, 사용자와 Microsoft 네트워크에 직접 로컬로 보다 효율적인 인터넷 송신을 사용하도록 설정하여 Microsoft 365 도메인에 우선 순위를 두어야 합니다.
    • 가장 최적의 Microsoft 365 Front Door를 통해 연결이 제공되도록 DNS 이름 확인이 네트워크 송신과 가까운지 확인합니다.
    • 네트워크 경로를 따라 Microsoft 365 연결의 우선 순위를 지정하여 Microsoft 365 환경에 대한 용량 및 서비스 품질을 보장합니다.
    • 프록시 및 VPN 서비스와 같은 트래픽 중간 디바이스를 우회합니다.

복잡한 네트워크 토폴로지, 사용자 지정 라우팅, IP 기반 프록시 바이패스 및 분할 터널 VPN과 같은 네트워크 최적화를 구현하는 고객은 도메인 외에 IP 접두사 정보가 필요할 수 있습니다. 이러한 고객 시나리오를 용이하게 하기 위해 Microsoft 365 네트워크 엔드포인트는 범주로 그룹화되어 이러한 추가 네트워크 최적화의 구성을 우선 순위 지정하고 용이하게 합니다. "최적화""허용" 범주로 분류된 네트워크 엔드포인트는 트래픽 볼륨이 많고 네트워크 대기 시간 및 성능에 민감하며 고객은 먼저 해당 항목에 대한 연결을 최적화하려고 할 수 있습니다. "최적화""허용" 범주 아래의 네트워크 엔드포인트에는 도메인과 함께 나열된 IP 주소가 있습니다. "기본" 범주로 분류된 네트워크 엔드포인트는 본질적으로 더 동적이며 IP 주소는 시간이 지남에 따라 변경되므로 IP 주소와 연결된 IP 주소가 없습니다.

추가 네트워크 고려 사항

Microsoft 365에 대한 연결을 최적화할 때 특정 네트워크 구성은 Microsoft 365 가용성, 상호 운용성, 성능 및 사용자 환경에 부정적인 영향을 미칠 수 있습니다. Microsoft는 서비스에서 다음 네트워크 시나리오를 테스트하지 않았으며 연결 문제를 일으키는 것으로 알려져 있습니다.

  • 고객 프록시 또는 다른 유형의 네트워크 디바이스 또는 서비스를 사용하여 M365 도메인에 대한 TLS 종료 또는 심층 패킷 검사
    • 중간 네트워크 인프라 또는 서비스에 의해 특정 프로토콜 또는 QUIC, WebSocket 등의 프로토콜 버전을 차단합니다.
    • 클라이언트 애플리케이션과 Microsoft 365 서비스 간에 사용되는 프로토콜(예: UDP --> TCP, TLS1.3 --> TLS1.2 --> TLS1.1)의 강제 다운그레이드 또는 장애 조치(failover).
    • 프록시 인증과 같은 자체 인증을 적용하는 네트워크 인프라를 통한 연결 라우팅

고객은 이러한 네트워크 기술을 Microsoft 365 도메인으로 향하는 트래픽에 사용하지 말고 Microsoft 365 연결에 대해 이를 우회하는 것이 좋습니다.

M365 네트워크 엔드포인트 목록을 정기적으로 다운로드하고 적용하도록 자동화된 시스템을 설정하는 것이 좋습니다. 자세한 내용은 Microsoft 365 IP 주소 및 URL에 대한 변경 관리를 참조하세요.

엔드포인트 보안과 네트워크 경계 보안 비교

기존 네트워크 보안의 목표는 침입과 악의적인 악용으로부터 회사 네트워크 경계를 강화하는 것입니다. 조직에서 Microsoft 365를 채택함에 따라 일부 네트워크 서비스와 데이터가 클라우드로 부분적으로 또는 완전히 마이그레이션됩니다. 네트워크 아키텍처에 대한 근본적인 변화에 대해서 이 프로세스에서는 다음과 같은 새로운 요인을 고려하여 네트워크 보안을 재평가해야 합니다.

  • 클라우드 서비스가 채택하면 네트워크 서비스와 데이터가 온-프레미스 데이터 센터와 클라우드에 분산되며 경계 보안은 더 이상 자체적으로 적합하지 않습니다.
  • 원격 사용자는 집, 호텔, 커피숍과 같은 제어되지 않는 위치에서 온-프레미스 데이터 센터와 클라우드 모두에서 회사 리소스에 연결할 수 있습니다.
  • 목적에 맞게 구축된 보안 기능은 점점 더 클라우드 서비스에 구축되고 있으며 기존 보안 시스템을 보완하거나 대체할 수 있습니다.

Microsoft는 광범위한 Microsoft 365 보안 기능을 제공하며, Microsoft 365의 데이터 및 네트워크 보안을 보장하는 데 도움이 되는 보안 모범 사례를 활용하기 위한 규정 지침을 제공합니다. 권장되는 모범 사례는 다음과 같습니다.

  • MFA(다단계 인증) 사용 MFA는 사용자가 암호를 올바르게 입력한 후 스마트폰에서 전화 통화, 문자 메시지 또는 앱 알림을 승인하도록 요구하여 강력한 암호 전략에 추가 보호 계층을 추가합니다.

  • Microsoft Cloud App용 Defender 사용 비정상 활동을 추적하여 조치를 할 수 있는 정책을 구성합니다. 관리자가 대량의 데이터 다운로드, 여러 번의 로그인 시도 실패 또는 알 수 없거나 위험한 IP 주소에서의 연결과 같은 비정상적이거나 위험한 사용자 활동을 검토할 수 있도록 Microsoft Defender for Cloud Apps 사용하여 경고를 설정합니다.

  • DLP(데이터 손실 방지) 구성 DLP를 사용하면 중요한 데이터를 식별하고 사용자가 데이터를 실수로 또는 고의로 공유하는 것을 방지하는 정책을 만들 수 있습니다. DLP는 Exchange Online, SharePoint Online 및 OneDrive를 포함하여 Microsoft 365 전반에서 작동하므로 사용자가 워크플로를 중단하지 않고도 규정을 준수할 수 있습니다.

  • Customer Lockbox 사용 Microsoft 365 관리자는 Customer Lockbox를 사용하여 Microsoft 기술 지원 엔지니어가 도움말 세션 동안 사용자의 데이터에 액세스하는 방법을 제어할 수 있습니다. 엔지니어가 문제를 해결하기 위해 사용자 데이터에 대한 액세스 권한을 요구하는 경우 Customer Lockbox를 사용하여 액세스 요청을 승인하거나 거부할 수 있습니다.

  • 보안 점수 사용 위험을 더 줄이기 위해 수행할 수 있는 작업을 권장하는 보안 분석 도구입니다. 보안 점수는 Microsoft 365 설정 및 활동을 확인하고 Microsoft에서 설정한 기준과 비교합니다. 모범 보안 사례에 얼마나 부합하는지에 따라 점수를 얻습니다.

보안 강화에 대한 전체적인 접근 방식에는 다음 사항을 고려해야 합니다.

  • 클라우드 기반 및 Office 클라이언트 보안 기능을 적용하여 경계 보안에서 엔드포인트 보안으로 중점을 두도록 전환합니다.
    • 보안 경계를 데이터 센터로 축소합니다.
    • 사무실이나 원격 위치 내부의 사용자 장치에 대해 동등한 신뢰를 사용합니다.
    • 데이터 위치 및 사용자 위치 보안에 중점을 둡니다.
    • 관리되는 사용자 컴퓨터는 엔드포인트 보안에 대한 신뢰가 더 높습니다.
  • 경계에만 집중하는 것이 아니라 모든 정보 보안을 전체적으로 관리합니다.
    • 신뢰할 수 있는 트래픽이 보안 장치를 우회하도록 허용하고 관리되지 않는 장치를 게스트 Wi-Fi 네트워크로 분리하여 경계 네트워크 보안을 재정의합니다.
    • 회사 WAN 에지의 네트워크 보안 요구 사항을 줄입니다.
    • 방화벽과 같은 일부 네트워크 경계 보안 장치는 여전히 필요하지만 부하는 감소되었습니다.
    • Microsoft 365 트래픽의 로컬 송신을 보장합니다.
  • 개선 사항은 증분 최적화 섹션에 설명된 대로 단계적으로 처리될 수 있습니다. 일부 최적화 기술은 네트워크 아키텍처에 따라 더 나은 비용/혜택 비율을 제공할 수 있으며 organization 가장 적합한 최적화를 선택해야 합니다.

Microsoft 365 보안 및 규정 준수에 대한 자세한 내용은 Microsoft 365 보안Microsoft Purview 문서를 참조하세요.

증분 최적화

이 문서의 앞부분에서 SaaS에 이상적인 네트워크 연결 모델을 나타내었지만, 역사적으로 복잡한 네트워크 아키텍처를 가진 많은 대규모 조직에서는 이러한 모든 변경 내용을 직접 적용하는 것이 실용적이지 않습니다. 이 섹션에서는 Microsoft 365 성능 및 안정성을 개선하는 데 도움이 될 수 있는 많은 증분 변경에 대해 설명합니다.

Microsoft 365 트래픽을 최적화하는 데 사용할 방법은 네트워크 토폴로지 및 구현한 네트워크 디바이스에 따라 달라집니다. 많은 위치와 복잡한 네트워크 보안 사례가 있는 대기업은 Microsoft 365 연결 원칙 섹션에 나열된 원칙의 대부분 또는 전부를 포함하는 전략을 개발해야 하지만 소규모 조직은 하나 또는 두 개만 고려해야 할 수 있습니다.

각 방법을 연속적으로 적용하며 최적화를 증분 프로세스로 접근할 수 있습니다. 다음 표에서는 가장 많은 수의 사용자에 대한 대기 시간 및 안정성에 미치는 영향 순서대로 주요 최적화 방법을 나열합니다.

최적화 방법 설명 영향
로컬 DNS 확인과 인터넷 송신 각 위치에서 로컬 DNS 서버를 프로비전하고 Microsoft 365 연결이 사용자의 위치에 최대한 가깝게 인터넷으로 나가도록 합니다. 대기 시간 최소화
가장 가까운 Microsoft 365 진입점에 대한 안정적인 연결 개선
지역 송신 지점 추가 회사 네트워크에 여러 위치가 있지만 송신 지점이 하나만 있는 경우, 지역 송신 지점을 추가하여 사용자가 가장 가까운 Microsoft 365 진입점에 연결할 수 있도록 합니다. 대기 시간 최소화
가장 가까운 Microsoft 365 진입점에 대한 안정적인 연결 개선
프록시 및 검사 장치 우회 송신 지점에 Microsoft 365 요청을 직접 보내는 PAC 파일로 브라우저를 구성합니다.
검사하지 않고 Microsoft 365 트래픽을 허용하도록 에지 라우터 및 방화벽을 구성합니다.
대기 시간 최소화
네트워크 장치에서 부하 절감
VPN 사용자에 대한 직접 연결 사용 VPN 사용자의 경우 분할 터널링을 구현하여 Microsoft 365 연결을 VPN 터널이 아니라 사용자의 네트워크에서 직접 연결하도록 합니다. 대기 시간 최소화
가장 가까운 Microsoft 365 진입점에 대한 안정적인 연결 개선
기존 WAN에서 SD-WAN으로 마이그레이션 SD-WAN (Software Defined Wide Area Networks)은 VM(가상 머신)을 사용한 컴퓨팅 리소스 가상화와 유사한 방식으로 기존 WAN 라우터를 가상 어플라이언스로 대체하여 WAN 관리를 간소화하고 성능을 개선합니다. WAN 트래픽 성능 및 관리 효율성 개선
네트워크 장치에서 부하 절감

Microsoft 365 네트워크 연결 개요

Office 365 엔드포인트 관리

Office 365 URL 및 IP 주소 범위

Office 365 IP 주소 및 URL 웹 서비스

Microsoft 365 네트워크 연결 평가

Microsoft 365의 네트워크 계획 및 성능 조정

초기 계획 및 성능 기록을 사용하여 Office 365 성능 조정

Office 365 성능 문제 해결 계획

콘텐츠 배달 네트워크

Microsoft 365 연결 테스트

Microsoft가 빠르고 안정적인 글로벌 네트워크를 구축하는 방법

Office 365 네트워킹 블로그