Office 365 연결을 위한 ExpressRoute 관리

Office 365용 ExpressRoute는 모든 트래픽이 인터넷으로 나가지 않더라도 여러 Office 365 서비스에 도달할 수 있는 대안적 라우팅 경로를 제공합니다. Office 365에 대한 인터넷 연결은 여전히 필요하지만, Microsoft에서 BGP를 통해 조직의 네트워크로 알리는 구체적인 경로는 네트워크에 다른 구성이 존재하지 않는 한 직접 ExpressRoute 노선을 최우선으로 설정합니다. 이 경로를 관리하기 위해 구성해야 하는 주요 3가지 영역은 접두사 필터링, 보안 및 규정 준수입니다.

참고: Microsoft은 Azure ExpressRoute에 대해 Microsoft 피어링 라우팅 도메인을 검토하는 방법을 변경했습니다. 2017년 7월 31일부터 모든 Azure ExpressRoute 고객은 Azure 관리 콘솔에서 또는 PowerShell을 통해 바로 Microsoft 피어링을 사용하도록 설정할 수 있습니다. Microsoft 피어링을 사용하도록 설정한 후 모든 고객은 경로 필터를 만들어 Dynamics 365 고객 관계 응용 프로그램(이전 명칭: CRM Online)에 대한 BGP 경로 광고를 받을 수 있습니다. Office 365용 Azure ExpressRoute가 필요한 고객은 Office 365용 경로 필터를 만들기 전에 Microsoft에서 검토를 받아야 합니다. Office 365 ExpressRoute 사용에 대한 검토를 요청하는 방법을 알아보려면 Microsoft 계정 팀에 문의하세요. 권한이 없는 구독 사용자가 Office 365용 경로 필터 만들기를 시도하면 오류 메시지가 표시됩니다.

접두사 필터링

고객은 Microsoft에서 알리는 모든 BGP 경로를 수락하는 것이 좋습니다. 제공된 경로는 면밀하게 검토 및 검증되어 추가적인 정밀 검토가 필요 없습니다. ExpressRoute는 고객 측의 인바운드 경로 필터링 없이 기본적으로 IP 접두사 소유권, 무결성 및 확장성과 같은 권장 제어를 제공합니다.

ExpressRoute 공용 피어링에서 경로 소유권을 추가로 검증해야 하는 경우, Microsoft의 공용 IP 범위를 나타내는 모든 IPv4 및 IPv6 접두사의 목록과 대조하여 알려진 경로를 확인할 수 있습니다. 이러한 범위는 전체 Microsoft 주소 공간을 포함하고 매우 드물게 변경되므로 기준으로 삼아 필터링할 수 있는 믿을 만한 범위 집합을 제공합니다. 또한 Microsoft가 아닌 회사에서 소유하는 경로가 자사 환경에 유입되는 것을 우려하는 고객에게 추가적인 보호를 제공합니다. 변경 사항이 있는 경우 변경은 매월 1일에 수행되며, 파일이 업데이트될 때마다 페이지의 세부 정보 섹션에 표기되는 버전 번호가 변경됩니다.

접두사 필터링 목록을 생성할 때 Office 365 URL 및 IP 주소 범위를 사용하지 않아야 하는 여러 가지 이유가 있습니다. 이러한 이유는 다음과 같습니다.

  • Office 365 IP 접두사는 자주 변경됩니다.

  • Office 365 URL 및 IP 주소 범위는 라우팅이 아닌 방화벽 허용 목록 및 프록시 인프라 관리를 위해 설계되었습니다.

  • Office 365 URL 및 IP 주소 범위에는 고객의 ExpressRoute 연결 범위에 해당될 수 있는 다른 Microsoft 서비스가 포함되지 않습니다.

옵션

복잡성

컨트롤 변경

모든 Microsoft 경로 수락

낮음: 고객은 모든 경로가 올바르게 소유되었는지 확인하기 위해 Microsoft 컨트롤에 의존합니다.

없음

Microsoft 소유의 슈퍼넷 필터링

중간: 고객은 Microsoft 소유의 경로만 허용하기 위해 요약된 접두사 필터링 목록을 구현합니다.

고객은 드물게 수행되는 업데이트가 경로 필터링에 반영되도록 해야 합니다.

Office 365 IP 범위 필터링

경고: 권장되지 않음

높음: 고객은 정의된 Office 365 IP 접두사를 기준으로 경로를 필터링합니다.

고객은 매월 발생하는 업데이트를 위해 강력한 변경 관리 프로세스를 구현해야 합니다.

주의: 이 솔루션을 사용하기 위해서는 지속적인 변경이 필요합니다. 변경 내용이 제때 구현되지 않으면 서비스 중단이 발생할 수 있습니다.

Azure ExpressRoute를 사용하여 Office 365에 연결할 때는 Office 365 끝점이 배포된 네트워크를 나타내는 특정 IP 서브넷의 BGP 광고를 기반으로 합니다. Office 365의 전역적인 특성과 Office 365를 구성하는 서비스 수로 인해 고객이 종종 네트워크에서 수락하는 광고를 관리해야 합니다. 환경에 알려지는 접두사의 개수가 염려되는 경우에는 BGP 커뮤니티 기능을 사용하여 특정 Office 365 서비스 집합에 대한 알림은 필터링할 수 있습니다. 이 기능은 현재 미리 보기 단계에 있습니다.

Microsoft에서 제공하는 BGP 경로 알림을 관리하는 방식과 관계없이 인터넷 회선을 통해서만 Office 365에 연결하는 경우와 비교했을 때 특별히 Office 365 서비스에 더 많이 노출되지는 않습니다. Microsoft는 고객이 Office 365에 연결하기 위해 사용하는 회선 유형과 관계없이 동일한 보안, 규정 준수 및 성능 수준을 유지합니다.

보안

Microsoft는 고객이 Office 365 서비스와의 연결을 포함하여 ExpressRoute 공용 및 Microsoft 피어링과의 연결을 위한 자체 네트워크와 보안 경계 제어를 유지할 것을 권장합니다. 보안 제어는 고객 네트워크에서 Microsoft 네트워크로 아웃바운드되는 네트워크 요청과 Microsoft 네트워크에서 고객 네트워크로 인바운드되는 네트워크 요청 모두에 대해 구현되어야 합니다.

고객 네트워크에서 Microsoft 네트워크로 아웃바운드

컴퓨터가 Office 365에 연결할 때는 연결이 인터넷을 통한 것이든 ExpressRoute 회선을 통한 것이든 관계없이 동일한 일련의 끝점에 연결됩니다. Microsoft는 고객이 사용하는 회선이 무엇이든 관계없이 일반적인 인터넷 대상보다 Office 365 서비스를 더욱 신뢰할 수 있는 것으로 취급하도록 권장합니다. 고객의 아웃바운드 보안 제어는 노출을 줄이고 지속적인 유지 관리를 최소화하기 위해 포트와 프로토콜에 집중해야 합니다. 필수 포트 정보는 Office 365 끝점 참조 문서에서 확인할 수 있습니다.

추가적인 제어를 위해 프록시 인프라 내에서 FQDN 수준 필터링을 사용하여 인터넷 또는 Office 365로 향하는 네트워크 요청 중 일부 또는 전부를 제한하거나 조사할 수 있습니다. 더 많은 기능이 릴리스되고 Office 365 제품이 발전함에 따라 FQDN 목록을 유지 관리하기 위해서는 더 강력한 변경 관리가 필요하고 게시된 Office 365 끝점의 변경 내용을 추적해야 합니다.

경고: Microsoft는 Office 365로의 아웃바운드 보안을 관리할 때 IP 접두사에만 의존하지 않는 것을 권장합니다.

옵션

복잡성

컨트롤 변경

제한 사항 없음

낮음: 고객이 Micosoft로의 아웃바운드 액세스를 제한하지 않습니다.

없음

포트 제한

낮음: 고객이 예상되는 포트에 의한 Microsoft로의 아웃바운드 액세스를 제한합니다.

드물게 발생합니다.

FQDN 제한 사항

높음: 고객이 게시된 FQDN을 기준으로 하여 Office 365로의 아웃바운드 액세스를 제한합니다.

매월 변경됩니다.

Microsoft 네트워크에서 고객 네트워크로 인바운드

Microsoft에서 사용자 네트워크로 연결을 시작해야 하는 몇 가지 선택적 시나리오가 있습니다.

Microsoft는 복잡성을 줄이기 위해 ExpressRoute 회선 대신 인터넷 회선을 통해 이러한 연결을 수락하는 것을 권장합니다. 규정 준수 또는 성능 요구 사항에 의해 이러한 인바운드 연결을 ExpressRoute 회선을 통해 수락해야 하는 경우, 방화벽이나 역방향 프록시를 사용하여 수락된 연결을 조사하는 것이 좋습니다. Office 365 끝점을 사용하여 올바른 FQDN과 IP 접두사를 확인할 수 있습니다.

규정 준수

Microsoft는 당사의 규정 준수 제어를 위해 고객이 사용하는 라우팅 경로에 의존하지 않습니다. 당사의 규정 준수 제어는 사용자가 Office 365 서비스에 연결할 때 ExpressRoute를 사용하는지 인터넷 회선을 사용하는지 여부에 관계없이 변경되지 않습니다. 사용자는 다양한 Office 365용 규정 준수 및 보안 인증 수준을 검토하여 조직의 요구 사항에 부응하는 최상의 옵션을 찾아내야 합니다.

다음의 간단한 링크를 사용할 수 있습니다. https://aka.ms/manageexpressroute365

관련 항목

콘텐츠 배달 네트워크
Office 365 URL 및 IP 주소 범위
Office 365 끝점 관리
Office 365 교육용 Azure ExpressRoute

Office 기술 확장
교육 살펴보기
새로운 기능 우선 가져오기
Office Insider 참여

이 정보가 유용한가요?

의견 주셔서 감사합니다!

피드백을 주셔서 감사합니다. Office 지원 에이전트와 연락하는 것이 도움이 될 것 같습니다.

×