Office 365 연결을 위한 ExpressRoute 관리
Office 365 ExpressRoute는 인터넷으로 송신하는 모든 트래픽 없이도 많은 Office 365 서비스에 연결할 수 있는 대체 라우팅 경로를 제공합니다. Office 365 대한 인터넷 연결은 여전히 필요하지만 Microsoft가 BGP를 통해 네트워크에 보급하는 특정 경로는 네트워크에 다른 구성이 없는 한 직접 ExpressRoute 회로를 선호합니다. 이 라우팅을 관리하도록 구성하려는 세 가지 공통 영역에는 접두사 필터링, 보안 및 규정 준수가 포함됩니다.
참고
Microsoft는 Azure ExpressRoute에 대해 Microsoft 피어링 라우팅 도메인을 검토하는 방법을 변경했습니다. 2017년 7월 31일부터 모든 Azure ExpressRoute 고객은 Azure 관리 콘솔에서 직접 또는 PowerShell을 통해 Microsoft 피어링을 사용하도록 설정할 수 있습니다. Microsoft 피어링을 사용하도록 설정한 후 모든 고객은 Dynamics 365 Customer Engagement 애플리케이션(이전의 CRM Online)에 대한 BGP 경로 광고를 수신하는 경로 필터를 만들 수 있습니다. Office 365 Azure ExpressRoute가 필요한 고객은 microsoft에서 검토를 받아야 Office 365 대한 경로 필터를 만들 수 있습니다. ExpressRoute를 Office 365 사용하도록 설정하기 위한 검토를 요청하는 방법에 대해 알아보려면 Microsoft 계정 팀에 문의하세요. Office 365 대한 경로 필터를 만들려고 하는 권한이 없는 구독에 오류 메시지가 표시됩니다.
접두사 필터링
Microsoft는 고객이 Microsoft에서 보급된 모든 BGP 경로를 수락하는 것이 좋습니다. 제공된 경로는 엄격한 검토 및 유효성 검사 프로세스를 거쳐 추가된 조사에 대한 혜택을 제거합니다. ExpressRoute는 기본적으로 고객 쪽에서 인바운드 경로 필터링 없이 IP 접두사 소유권, 무결성 및 크기 조정과 같은 권장 컨트롤을 제공합니다.
ExpressRoute 공용 피어링에서 경로 소유권에 대한 추가 유효성 검사가 필요한 경우 Microsoft의 공용 IP 범위를 나타내는 모든 IPv4 및 IPv6 IP 접두사 목록에 대해 보급된 경로를 확인할 수 있습니다. 이러한 범위는 전체 Microsoft 주소 공간을 커버하고 자주 변경되지 않으며, 필터링할 수 있는 신뢰할 수 있는 범위 집합을 제공하여 Microsoft 소유가 아닌 경로가 환경으로 유출되는 것을 우려하는 고객에게 추가적인 보호를 제공합니다. 변경 내용이 있는 경우 월 1일에 변경되며, 페이지 세부 정보 섹션의 버전 번호는 파일이 업데이트될 때마다 변경됩니다.
접두사 필터 목록을 생성하기 위해 Office 365 URL 및 IP 주소 범위를 사용하지 않도록 하는 데는 여러 가지 이유가 있습니다. 다음을 포함합니다.
Office 365 IP 접두사는 자주 변경됩니다.
Office 365 URL 및 IP 주소 범위는 라우팅이 아닌 방화벽 허용 목록 및 프록시 인프라를 관리하도록 설계되었습니다.
Office 365 URL 및 IP 주소 범위는 ExpressRoute 연결 범위에 있을 수 있는 다른 Microsoft 서비스 다루지 않습니다.
| 옵션 | 복잡성 | 변경 컨트롤 |
|---|---|---|
| 모든 Microsoft 경로 허용 |
낮은: 고객은 Microsoft 컨트롤을 사용하여 모든 경로가 제대로 소유되도록 합니다. |
없음 |
| Microsoft 소유 슈퍼넷 필터링 |
매체: 고객은 Microsoft 소유 경로만 허용하도록 요약된 접두사 필터 목록을 구현합니다. |
고객은 드문 업데이트가 경로 필터에 반영되도록 해야 합니다. |
| Office 365 IP 범위 필터링 [!CAUTION] Not-Recommended |
높은: 고객은 정의된 Office 365 IP 접두사에 따라 경로를 필터링합니다. |
고객은 월별 업데이트에 대한 강력한 변경 관리 프로세스를 구현해야 합니다. [!CAUTION] 이 솔루션에는 상당한 진행 중인 변경이 필요합니다. 시간에 구현되지 않은 변경으로 인해 서비스 중단이 발생할 수 있습니다. |
Azure ExpressRoute를 사용하여 Office 365 연결은 Office 365 엔드포인트가 배포되는 네트워크를 나타내는 특정 IP 서브넷의 BGP 광고를 기반으로 합니다. Office 365 글로벌 특성과 Office 365 구성하는 서비스 수로 인해 고객은 네트워크에서 수락하는 광고를 관리해야 하는 경우가 많습니다. 사용자 환경에 보급된 접두사 수에 관심이 있는 경우 BGP 커뮤니티 기능을 사용하여 특정 Office 365 서비스 세트로 광고를 필터링할 수 있습니다. 이 기능은 현재 미리 보기로 제공됩니다.
Microsoft에서 제공되는 BGP 경로 광고를 관리하는 방법에 관계없이 인터넷 회로를 통해서만 Office 365 연결하는 것과 비교할 때 Office 365 서비스에 대한 특별한 노출은 없습니다. Microsoft는 고객이 Office 365 연결하는 데 사용하는 회로 유형에 관계없이 동일한 보안, 규정 준수 및 성능 수준을 유지 관리합니다.
보안
Microsoft는 ExpressRoute 공용 및 Microsoft 피어링 간 연결에 대한 고유한 네트워크 및 보안 경계 컨트롤을 유지 관리하는 것이 좋습니다. 여기에는 Office 365 서비스 간 연결이 포함됩니다. 네트워크에서 Microsoft 네트워크로 아웃바운드로 이동하고 Microsoft 네트워크에서 네트워크로 인바운드하는 네트워크 요청에 대한 보안 제어가 있어야 합니다.
고객에서 Microsoft로 아웃바운드
컴퓨터가 Office 365 연결하면 인터넷 또는 ExpressRoute 회로를 통해 연결되었는지 여부에 관계없이 동일한 엔드포인트 집합에 연결됩니다. 사용 중인 회로에 관계없이 Office 365 서비스를 일반 인터넷 대상보다 신뢰할 수 있는 서비스로 취급하는 것이 좋습니다. 아웃바운드 보안 컨트롤은 포트 및 프로토콜에 집중하여 노출을 줄이고 지속적인 유지 관리를 최소화해야 합니다. 필요한 포트 정보는 Office 365 엔드포인트 참조 문서에서 사용할 수 있습니다.
추가된 컨트롤의 경우 프록시 인프라 내에서 FQDN 수준 필터링을 사용하여 인터넷 또는 Office 365 대상으로 하는 일부 또는 모든 네트워크 요청을 제한하거나 검사할 수 있습니다. 기능이 릴리스되고 Office 365 제품이 발전함에 따라 FQDN 목록을 유지 관리하려면 게시된 Office 365 엔드포인트에 대한 보다 강력한 변경 관리 및 변경 내용 추적이 필요합니다.
주의
Microsoft는 Office 365 아웃바운드 보안을 관리하기 위해 IP 접두사에만 의존하지 않는 것이 좋습니다.
| 옵션 | 복잡성 | 변경 컨트롤 |
|---|---|---|
| 제한 없음 |
낮은: 고객은 Microsoft에 무제한 아웃바운드 액세스를 허용합니다. |
없음 |
| 포트 제한 |
낮은: 고객은 예상 포트를 통해 Microsoft에 대한 아웃바운드 액세스를 제한합니다. |
드문. |
| FQDN 제한 사항 |
높은: 고객은 게시된 FQDN에 따라 Office 365 대한 아웃바운드 액세스를 제한합니다. |
월별 변경 내용입니다. |
Microsoft에서 고객으로 인바운드
Microsoft가 네트워크에 대한 연결을 시작해야 하는 몇 가지 선택적 시나리오가 있습니다.
로그인에 대한 암호 유효성 검사 중 ADFS입니다.
Exchange Online 테넌트에서 온-프레미스 호스트로 메일을 전송합니다.
SharePoint 온라인 메일은 SharePoint Online에서 온-프레미스 호스트로 전송됩니다.
복잡성을 줄이기 위해 ExpressRoute 회로 대신 인터넷 회로를 통해 이러한 연결을 허용하는 것이 좋습니다. 규정 준수 또는 성능 요구 사항에 따라 ExpressRoute 회로를 통해 이러한 인바운드 연결을 수락해야 하는 경우 방화벽 또는 역방향 프록시를 사용하여 허용된 연결의 범위를 지정하는 것이 좋습니다. Office 365 엔드포인트를 사용하여 올바른 FQDN 및 IP 접두사 파악할 수 있습니다.
규정 준수
Microsoft는 규정 준수 제어에 사용하는 라우팅 경로에 의존하지 않습니다. ExpressRoute 또는 인터넷 회로를 통해 Office 365 서비스에 연결하든 관계없이 규정 준수 컨트롤은 변경되지 않습니다. Office 365 다양한 규정 준수 및 보안 인증 수준을 검토하여 조직의 요구 사항을 충족하는 데 가장 적합한 옵션을 파악해야 합니다.
다음의 간단한 링크를 사용할 수 있습니다. https://aka.ms/manageexpressroute365