개요: Microsoft 365용 VPN 분할 터널링

  • 아티클

참고

이 문서는 원격 사용자를 위한 Microsoft 365 최적화를 다루는 문서 집합의 일부입니다.

기업에서는 전통적으로 VPN을 사용하여 사용자에 대한 보안 원격 환경을 지원했습니다. 핵심 워크로드는 온-프레미스에 남아 있지만 회사 네트워크의 데이터 센터를 통해 라우팅된 원격 클라이언트의 VPN은 원격 사용자가 회사 리소스에 액세스하는 기본 방법입니다. 이러한 연결을 보호하기 위해 기업은 VPN 경로를 따라 네트워크 보안 솔루션 계층을 구축합니다. 이 보안은 내부 인프라를 보호하고 트래픽을 VPN으로 다시 라우팅한 다음 온-프레미스 인터넷 경계를 통해 외부 웹 사이트의 모바일 검색을 보호하기 위해 구축되었습니다. VPN, 네트워크 경계 및 관련 보안 인프라는 일반적으로 대부분의 연결이 회사 네트워크 내에서 시작되고 대부분의 연결이 내부 네트워크 경계 내에 유지되는 정의된 트래픽 볼륨을 위해 용도로 빌드되고 확장되는 경우가 많습니다.

상당 기간, 동시적 원격 사용자의 규모가 적당하고 VPN을 통과하는 트래픽 양이 적은 경우에는원격 사용자 장치의 모든 연결이 온-프레미스 네트워크로 라우팅되는 VPN 모델(강제 터널링으로 알려짐)을 지속할 수 있었습니다. 일부 고객은 애플리케이션이 회사 경계 내에서 공용 SaaS 클라우드로 이동한 후에도 상태 쿼로 VPN 강제 터널링을 계속 사용했습니다.

분산 및 성능에 민감한 클라우드 애플리케이션에 연결하기 위해 강제 터널링된 VPN을 사용하는 것은 최적이 아니지만 보안 상태 유지 관리하기 위해 일부 기업에서는 부정적인 영향을 받아 들였습니다. 이 시나리오의 예제 다이어그램은 다음과 같습니다.

강제 터널 VPN 구성.

그림 1: 기존 강제 터널 VPN 솔루션.

이 문제는 수년 동안 증가해 왔으며 많은 고객이 네트워크 트래픽 패턴의 상당한 변화를 보고했습니다. 온-프레미스에 머물렀던 트래픽은 이제 외부 클라우드 엔드포인트에 연결됩니다. 많은 Microsoft 고객은 이전에 네트워크 트래픽의 약 80%가 일부 내부 원본(위 다이어그램의 점선으로 표시됨)에 있었다고 보고합니다. 2020년에는 주요 워크로드를 클라우드로 전환함에 따라 그 수가 약 20% 이하로 감소했습니다. 이러한 추세는 다른 기업에서 드문 일이 아닙니다. 시간이 지남에 따라 클라우드 여정이 진행됨에 따라 위의 모델은 점점 더 번거롭고 지속 불가능해지므로 organization 클라우드 우선 세계로 이동할 때 민첩하지 않게 됩니다.

전 세계 COVID-19 위기는 즉각적인 수정을 요구하기 위해 이 문제를 확대했습니다. 직원 안전을 보장해야 할 필요성은 기업 IT에 전례없는 요구를 생성하여 대규모로 회사 생산성을 지원해야 하며, 이는 위기 이후 시대에 여전히 사실입니다. Microsoft 365는 고객이 해당 수요를 충족할 수 있도록 잘 배치되어 있지만, 집에서 작업하는 사용자의 동시성이 높으면 많은 양의 Microsoft 365 트래픽이 생성되며, 강제 터널 VPN 및 온-프레미스 네트워크 경계를 통해 라우팅되는 경우 급속한 포화를 유발하고 VPN 인프라를 용량이 부족하게 실행합니다. 이 위기 이후 현실에서 VPN을 사용하여 Microsoft 365에 액세스하는 것은 더 이상 성능 장애뿐만 아니라 Microsoft 365에 영향을 미칠 뿐만 아니라 여전히 VPN에 의존해야 하는 중요한 비즈니스 운영에 영향을 미치는 하드 월입니다.

Microsoft는 고객 및 더 넓은 업계와 긴밀히 협력하여 자체 서비스 내에서 이러한 문제에 대한 효과적이고 현대적인 솔루션을 제공하고 업계 모범 사례에 맞게 조정해 왔습니다. Microsoft 365 서비스의 연결 원칙은 원격 사용자에게 효율적으로 작동하도록 설계되었으며 organization 보안을 유지하고 연결을 제어할 수 있도록 합니다. 이러한 솔루션은 제한된 작업으로 신속하게 구현할 수 있으며 위에서 설명한 문제에 상당한 긍정적인 영향을 미칠 수 있습니다.

원격 작업자 디바이스를 VPN을 통해 회사 네트워크 또는 클라우드 인프라에 연결하는 고객의 경우 Microsoft Teams, SharePoint OnlineExchange Online 주요 Microsoft 365 시나리오가 VPN 분할 터널 구성을 통해 라우팅되는 것이 좋습니다. 이는 COVID-19 위기와 같은 대규모 가정용 이벤트 중에 지속적인 직원 생산성을 촉진하기 위한 첫 번째 라인 전략으로 특히 중요합니다.

분할 터널 VPN 구성.

그림 2: 정의된 Microsoft 365 예외가 있는 VPN 분할 터널 솔루션이 서비스에 직접 전송됩니다. 다른 모든 트래픽은 대상에 관계없이 VPN 터널을 통과합니다.

이 방법의 핵심은 기업이 VPN 인프라 포화 위험을 완화하고 가능한 가장 짧은 기간 내에 Microsoft 365 성능을 크게 개선하는 간단한 방법을 제공하는 것입니다. VPN 터널을 우회하는 가장 중요한 대용량 Microsoft 365 트래픽을 허용하도록 VPN 클라이언트를 구성하면 다음과 같은 이점이 있습니다.

  • Microsoft 365 사용자 환경에 영향을 주는 엔터프라이즈 VPN 아키텍처에서 고객이 보고한 대부분의 성능 및 네트워크 용량 문제의 근본 원인을 즉시 완화합니다.

    권장 솔루션은 특히 Microsoft 365 URL 및 IP 주소 범위 항목에서 최적화로 분류된 Microsoft 365 서비스 엔드포인트를 대상으로 합니다. 이러한 엔드포인트에 대한 트래픽은 대기 시간 및 대역폭 제한에 매우 민감하며 VPN 터널을 우회할 수 있게 하면 최종 사용자 환경을 크게 개선하고 회사 네트워크 부하를 줄일 수 있습니다. 대역폭 또는 사용자 환경 공간의 대부분을 구성하지 않는 Microsoft 365 연결은 인터넷 바인딩된 트래픽의 나머지 부분과 함께 VPN 터널을 통해 계속 라우팅될 수 있습니다. 자세한 내용은 VPN 분할 터널 전략을 참조하세요.

  • 추가 인프라 또는 애플리케이션 요구 사항 없이 고객이 신속하게 구성, 테스트 및 구현할 수 있습니다.

    VPN 플랫폼 및 네트워크 아키텍처에 따라 구현에 몇 시간 정도 걸릴 수 있습니다. 자세한 내용은 VPN 분할 터널링 구현을 참조하세요.

  • 인터넷 트래픽을 포함하여 다른 연결이 라우팅되는 방식을 변경하지 않도록 하여 고객 VPN 구현의 보안 상태를 유지합니다.

    권장되는 구성은 VPN 트래픽 예외에 대한 최소 권한 원칙을 따르고, 고객이 사용자나 인프라를 추가적인 보안 위험에 노출하지 않으면서 분할 터널 VPN을 구현할 수 있게 하는 것입니다. Microsoft 365 엔드포인트로 직접 라우팅되는 네트워크 트래픽은 암호화되고 Office 클라이언트 애플리케이션 스택의 무결성에 대한 유효성을 검사하며 애플리케이션 및 네트워크 수준에서 강화된 Microsoft 365 서비스 전용 IP 주소로 범위가 지정됩니다. 자세한 내용은 보안 전문가와 IT가 오늘날의 고유한 원격 작업 시나리오에서 최신 보안 제어를 달성할 수 있는 다른 방법(Microsoft 보안팀 블로그)을 참조하세요.

  • 대부분의 엔터프라이즈 VPN 플랫폼에서 기본적으로 지원

    Microsoft는 상업용 VPN 솔루션을 생성하는 산업 파트너와 계속 협력하면서 위에 설명된 권장 사항과 맞는 솔루션을 위한 구성 템플릿과 목표 지침을 개발하도록 지원합니다. 자세한 내용은 공통 VPN 플랫폼 사용 방법 가이드를 참조하세요.

Microsoft는 Microsoft 365 서비스에 대해 문서화된 전용 IP 범위에 분할 터널 VPN 구성을 집중하는 것이 좋습니다. FQDN 또는 AppID 기반 분할 터널 구성은 특정 VPN 클라이언트 플랫폼에서 가능하지만 주요 Microsoft 365 시나리오를 완전히 다루지 못할 수 있으며 IP 기반 VPN 라우팅 규칙과 충돌할 수 있습니다. 이러한 이유로 Microsoft는 분할 터널 VPN을 구성하기 위해 Microsoft 365 FQDN을 사용하지 않는 것이 좋습니다. FQDN 구성을 사용하는 것은 .pac 파일을 사용자 지정하거나 프록시 무시를 구현하는 경우 등의 기타 관련 시나리오에서 유용할 수 있습니다.

전체 구현 지침은 Microsoft 365용 VPN 분할 터널링 구현을 참조하세요.

원격 작업자용 Microsoft 365를 구성하는 단계별 프로세스는 원격 작업을 위한 인프라 설정을 참조하세요.

VPN 분할 터널 전략

기존의 회사 네트워크는 대부분의 중요한 데이터, 서비스, 응용 프로그램이 온-프레미스에서 호스트되고, 대부분의 사용자가 그런 것처럼 내부 회사 네트워크에 직접 연결되는 클라우드 이전 환경에서 안전하게 작동하도록 디자인되어 있습니다. 따라서 네트워크 인프라는 이러한 요소를 기준으로 작성되어 있습니다. MPLS(Multiprotocol Label Switching) 네트워크를 통해 본사에 연결되어 있으며 원격 사용자는 온-프레미스 끝점과 인터넷에 액세스하기 위해 VPN을 통해 회사 네트워크에 연결해야 합니다. 이 모델에서 원격 사용자가 보낸 모든 트래픽은 회사 네트워크를 트래버스하며, 일반적인 송신 지점을 통해 클라우드 서비스로 라우팅됩니다.

강제 VPN 구성.

그림 2: 대상에 관계없이 모든 트래픽이 강제로 회사 네트워크로 다시 이동되는 경우 원격 사용자에 대한 일반적인 VPN 솔루션

조직에서 데이터 및 애플리케이션을 클라우드로 이동함에 따라 이 모델은 번거롭고, 비용이 많이 들고, 스케일링할 수 없게 되면서 효율성이 떨어지기 시작했으며, 이는 사용자의 네트워크 성능과 효율성에 크게 영향을 미치고 변화하는 요구에 적응하는 organization 기능을 제한하기 시작했습니다. 많은 Microsoft 고객이 몇 년 전에 네트워크 트래픽의 80%가 내부 대상으로 이동했지만 2020년에는 80% 이상의 트래픽이 외부 클라우드 기반 리소스에 연결되었다고 보고했습니다.

COVID-19 위기는 대부분의 조직에 대한 즉각적인 해결책을 요구하기 위해 이 문제를 악화시켰습니다. 많은 고객들은 강제 VPN 모델을 확장할 수 없거나 100%의 원격 작업 시나리오에 충분한 성능을 제공하지 못하며 이러한 위기가 불가피하다는 사실을 확인했습니다. 이러한 조직이 효율적으로 운영하려면 신속한 솔루션이 필요합니다.

Microsoft 365 서비스의 경우 Microsoft는 이 문제를 염두에 두고 서비스에 대한 연결 요구 사항을 설계했습니다. 여기서 집중적이고 엄격하게 제어되고 상대적으로 정적인 서비스 엔드포인트 집합을 매우 간단하고 빠르게 최적화하여 서비스에 액세스하는 사용자에게 고성능을 제공하고 VPN 인프라에 대한 부담을 줄여 여전히 필요한 트래픽에서 사용할 수 있습니다.

Microsoft 365는 Microsoft 365에 필요한 엔드포인트를 최적화, 허용기본값의 세 가지 범주로 분류합니다. 여기서는 최적화 끝점을 주로 다루며 이 끝점은 다음과 같은 특성을 갖습니다.

  • Microsoft 인프라에서 호스트되며 Microsoft에서 소유 및 관리하는 끝점
  • Exchange Online, SharePoint Online, 비즈니스용 Skype Online 및 Microsoft Teams와 같은 핵심 Microsoft 365 워크로드 전용입니다.
  • IP 제공
  • 낮은 변경률 및 적은 수로 유지될 것으로 예상됨(현재 IP 서브넷 20개)
  • 대용량 및/또는 대기 시간에 민감
  • 네트워크의 인라인 대신, 서비스에서 제공되는 필수 보안 요소가 제공될 수 있음
  • Microsoft 365 서비스에 대한 트래픽 볼륨의 약 70-80%를 차지합니다.

이 긴밀하게 범위가 지정된 엔드포인트 집합은 강제 VPN 터널에서 분할하여 사용자의 로컬 인터페이스를 통해 안전하고 직접 Microsoft 365 서비스로 보낼 수 있습니다. 이것을 분할 터널링이라고 합니다.

DLP, AV 보호, 인증 및 액세스 제어와 같은 보안 요소는 모두 서비스 내의 여러 계층에서 이러한 엔드포인트에 대해 훨씬 더 효율적으로 제공할 수 있습니다. 또한 트래픽 볼륨의 대부분을 VPN 솔루션에서 멀리 전환하므로 VPN 용량이 여전히 의존하는 중요 비즈니스용 트래픽에 대해 확보됩니다. 또한 이러한 운영 방식을 위해 오랫 동안 많은 비용을 들여서 업그레이드를 진행할 필요도 없어집니다.

분할 터널 VPN 구성 세부 정보입니다.

그림 3: 정의된 Microsoft 365 예외가 있는 VPN 분할 터널 솔루션이 서비스로 직접 전송되었습니다. 다른 모든 트래픽은 대상에 관계없이 회사 네트워크로 강제로 다시 전환됩니다.

보안 측면에서 Microsoft는 온-프레미스 보안 스택의 인라인 검사에서 제공하는 것과 비슷하거나 더 개선된 보안을 제공하는 데 사용할 수 있는 보안 기능 배열을 제공합니다. Microsoft 보안 팀의 블로그 게시물인 보안 전문가와 IT 부서가 오늘날의 고유 원격 작업 시나리오에서 최신 보안 제어를 달성하는 대체 방법에서는 사용 가능한 기능 요약을 제공하며, 이 문서에서 좀 더 자세한 지침을 찾을 수 있습니다. VPN에서 실행: Microsoft가 원격 인력을 연결 상태로 유지하는 방법에서 Microsoft에서 구현된 VPN 분할 터널링에 대해 자세히 알아볼 수 있습니다.

대부분의 경우 이러한 구현은 몇 시간 만에 달성할 수 있으며, 조직에서 최대 규모의 원격 작업으로 빠르게 전환할 때 직면하는 문제를 빠르게 해결할 수 있습니다. VPN 분할 터널 구현 지침은 Microsoft 365용 VPN 분할 터널링 구현을 참조하세요.

FAQ

Microsoft 보안 팀은 보안 전문가와 IT가 오늘날의 고유한 원격 작업 시나리오에서 최신 보안 제어를 달성할 수 있는 대체 방법을 게시했으며, 블로그 게시물에서는 보안 전문가와 IT가 오늘날의 고유한 원격 작업 시나리오에서 최신 보안 제어를 달성할 수 있는 주요 방법을 간략하게 설명합니다. 또한 다음은 이 주제에 대한 일반적인 고객 질문과 대답입니다.

사용자가 신뢰할 수 없고 데이터를 유출할 수 있는 다른 테넌트에 대한 사용자 액세스를 중지하려면 어떻게 해야 하나요?

해답은 테넌트 제한이라는 기능입니다. 인증 트래픽은 대용량 또는 특히 대기 시간을 구분하지 않으므로 VPN 솔루션을 통해 기능이 적용되는 온-프레미스 프록시로 보낼 수 있습니다. 신뢰할 수 있는 테넌트의 허용 목록은 여기에서 유지 관리되며 클라이언트가 신뢰할 수 없는 테넌트의 토큰을 가져오려고 하면 프록시는 요청을 거부합니다. 테넌트를 신뢰할 수 있는 경우 사용자에게 올바른 자격 증명과 권한이 있으면 토큰에 액세스할 수 있습니다.

따라서 사용자가 위의 최적화 표시된 엔드포인트에 TCP/UDP 연결을 만들 수 있지만, 해당 테넌트 액세스에 유효한 토큰이 없더라도 단순히 로그인하여 데이터에 액세스/이동할 수 없습니다.

이 모델은 개인 OneDrive 계정과 같은 소비자 서비스에 대한 액세스를 허용하나요?

아니요, Microsoft 365 엔드포인트는 소비자 서비스와 동일하지 않으므로(예: Onedrive.live.com) 분할 터널에서는 사용자가 소비자 서비스에 직접 액세스할 수 없습니다. 소비자 끝점으로의 트래픽은 계속 VPN 터널을 사용하며 기존 정책이 계속 적용됩니다.

트래픽이 더 이상 온-프레미스 솔루션을 통해 전달되지 않는 경우 DLP를 적용하고 중요한 데이터를 보호하려면 어떻게 해야 하나요?

중요한 정보의 우발적인 공개를 방지하기 위해 Microsoft 365에는 다양한 기본 제공 도구 세트가 있습니다. Teams 및 SharePoint의 기본 제공 DLP 기능을 사용하여 부적절하게 저장되거나 공유된 중요한 정보를 감지할 수 있습니다. 원격 작업 전략의 일부로 BYOD(Bring-Your-Own-Device) 정책이 포함된 경우 앱 기반 조건부 액세스를 사용하여 중요한 데이터가 사용자의 개인 디바이스에 다운로드되지 않도록 방지할 수 있습니다.

사용자가 직접 연결할 때 사용자 인증을 평가하고 제어하는 방법은 무엇인가요?

Q1에 나와있는 테넌트 제한 기능 외에도 조건부 액세스 정책을 적용하여 인증 요청의 위험을 동적으로 평가하고 적절하게 대응할 수 있습니다. Microsoft는 시간이 지남에 따라 제로 트러스트 모델을 구현할 것을 권장하며 Microsoft Entra 조건부 액세스 정책을 사용하여 모바일 및 클라우드 우선 환경에서 제어를 유지할 수 있습니다. 조건부 액세스 정책을 사용하면 다음과 같은 다양한 요인을 기반으로 인증 요청의 성공 여부를 실시간으로 결정할 수 있습니다.

  • 장치가 알려진/신뢰할 수 있는/도메인에 가입된 장치입니까?
  • IP – 알려진 회사 IP 주소에서 온 인증 요청입니까? 아니면 우리가 신뢰하지 않는 국가 / 지역에서?
  • 응용 프로그램 - 사용자에게 이 응용 프로그램을 사용할 권한이 있습니까?

그런 다음 이러한 정책을 기반으로 승인, MFA 트리거 또는 인증 차단과 같은 정책을 트리거할 수 있습니다.

바이러스 및 맬웨어를 방지하려면 어떻게 해야 하나요?

Microsoft 365는 이 문서에 설명된 서비스 자체의 다양한 계층에서 표시된 엔드포인트 최적화에 대한 보호를 제공합니다. 앞서 설명한 것처럼 프로토콜/트래픽을 완전히 이해하지 못할 수 있는 디바이스에 맞춰 작업하기보다는 서비스 자체에서 이러한 보안 요소를 제공하는 것이 훨씬 더 효율적입니다. 기본적으로 SharePoint Online은 파일 업로드에서 알려진 맬웨어 를 자동으로 검사합니다 .

위에 나열된 Exchange 엔드포인트의 경우 Microsoft 365에 대한 Exchange Online Protection 및 Microsoft Defender 서비스에 대한 트래픽의 보안을 제공하는 훌륭한 작업을 수행합니다.

직접 최적화 트래픽보다 더 많이 보낼 수 있나요?

최적화 표시된 끝점이 낮은 수준의 작업을 최대한 활용할 수 있으므로 여기에 우선 순위를 부여해야 합니다. 그러나 원하는 경우 서비스가 작동하고 필요한 경우 사용할 수 있는 엔드포인트에 대해 IP 주소를 제공하려면 표시된 엔드포인트 허용이 필요합니다.

또한 일반적인 웹 검색을 위한 중앙 보안, 제어 및 회사 정책 애플리케이션을 제공하는 보안 웹 게이트웨이 라는 클라우드 기반 프록시/보안 솔루션을 제공하는 다양한 공급업체가 있습니다. 이러한 솔루션은 사용자와 가까운 클라우드 기반 위치에서 보안 인터넷 액세스를 제공할 수 있도록 하여 고가용성, 성능 및 프로비저닝된 클라우드 우선 환경에서 잘 작동할 수 있습니다. 이렇게 하면 중앙 보안 제어를 허용하면서 일반적인 검색 트래픽을 위해 VPN/회사 네트워크를 통해 헤어핀이 필요하지 않습니다.

그러나 이러한 솔루션이 마련되어 있더라도 Microsoft는 Microsoft 365로 표시된 최적화 트래픽을 서비스로 직접 보내는 것이 좋습니다.

Azure Virtual Network 직접 액세스를 허용하는 방법에 대한 지침은 Azure VPN Gateway 지점 및 사이트 간의 원격 작업을 참조하세요.

포트 80이 필요한 이유는 무엇인가요? 트래픽이 보안되지 않은 상태로 전송되나요?

포트 80은 포트 443 세션으로의 리디렉션과 같은 용도로만 사용되며 고객 데이터는 포트 80을 통해 보내거나 액세스될 수 없습니다. 암호화 는 Microsoft 365의 전송 중 및 미사용 데이터에 대한 암호화를 간략하게 설명하고 트래픽 유형 은 SRTP를 사용하여 Teams 미디어 트래픽을 보호하는 방법을 간략하게 설명합니다.

이 조언은 Microsoft 365의 전 세계 instance 사용하여 중국의 사용자에게 적용됩니까?

아니요, 적용되지 않습니다. 위의 조언에 대한 한 가지 주의 사항은 Microsoft 365의 전 세계 instance 연결하는 PRC 사용자입니다. 이 지역은 국경 간 네트워크 혼잡이 자주 발생하기 때문에 직접 인터넷 송신 성능이 변할 수 있습니다. 지역의 대부분의 고객은 VPN을 사용하여 회사 네트워크로 트래픽을 가져오고 권한 있는 MPLS 회로를 활용하거나 최적화된 경로를 통해 국가/지역 외부 송신과 유사하게 작동합니다. 이는 중국 사용자를 위한 Microsoft 365 성능 최적화 문서에 자세히 설명되어 있습니다.

브라우저에서 실행되는 Teams에 분할 터널 구성이 작동하나요?

예, 주의 사항. 대부분의 Teams 기능은 Microsoft Teams용 클라이언트 가져오기에 나열된 브라우저에서 지원됩니다.

또한 Microsoft Edge 96 이상 에서는 Edge WebRtcRespectOsRoutingTableEnabled 정책을 사용하도록 설정하여 피어 투 피어 트래픽에 대한 VPN 분할 터널링을 지원합니다. 현재 다른 브라우저는 피어 투 피어 트래픽에 대한 VPN 분할 터널링을 지원하지 않을 수 있습니다.

Microsoft 365용 VPN 분할 터널링 구현

Microsoft 365에 대한 일반적인 VPN 분할 터널링 시나리오

VPN 분할 터널링을 위한 Teams 미디어 트래픽 보호

VPN 환경에서 스트림 및 라이브 이벤트에 대한 특별 고려 사항

중국 사용자를 위한 Microsoft 365 성능 최적화

Microsoft 365 네트워크 연결 원칙

Microsoft 365 네트워크 연결 평가

Microsoft 365 네트워크 및 성능 튜닝

보안 전문가와 IT가 오늘날의 고유한 원격 작업 시나리오에서 최신 보안 제어를 달성할 수 있는 다른 방법(Microsoft 보안팀 블로그)

Microsoft에서 VPN 성능 향상: Windows 10 VPN 프로필을 사용하여 자동 연결 허용

VPN에서 실행: Microsoft가 원격 인력을 연결 상태로 유지하는 방법

Microsoft 글로벌 네트워크