GSA. (2) Internet Access Profile

이전 글

2026.05.23 - [Microsoft 365/Entra] - GSA. (1) Microsoft Traffic & Tenant Restriction

 

 

이번에는 Internet Access Profile에 대해서 다루겠습니다.

 

Internet Access Profile은 Entra Internet Access, Entra Suite 라이선스가 필요합니다.

대략적인 아키텍처는 다음과 같습니다.

 

해당 내용은 AI가 생성하였습니다. 세부적으로 들어가고, 이후에 업데이트 진행상황에 따라서 수정이 필요합니다. 큰 틀을 이해하는 용도로만 사용되는 설명자료라고 보시면 될 것 같습니다.

 

1. Internet Access Profile

사용자의 인터넷 트래픽이 Global Secure Access를 통과하게 되면 웹 사이트 접근 제어, TLS Inspection, 파일 업로드 및 다운로드 제어, AI 서비스 모니터링 등의 기능을 적용할 수 있습니다.

 

이번 포스팅에서는 제가 테스트하여 확인 내용을 중심으로 구성하는 방법에 대해 다루겠습니다.

 

이전 Microsoft Traffic만 활성화 한 상태는 GSA Client에서 아래와 같이 표시됩니다.

이 상태에서 Internet Access 기능을 사용하려면 Profile 먼저 활성화를 진행해야 합니다.

(Entra Suite이나 Entra Internet Access 라이선스 필요)

 

Connect > Traffic forwarding > Internet access profile 활성화

 

 

MS Traffic Profile과 마찬가지로 전체 사용자 or 일부 사용자를 지정하여 활성화를 진행합니다.

 

 

반영이 완료되면, GSA Client상에서 아래와 같이 Internet이 활성화됩니다.

 

 

2. Security Profile 생성

Internet Access는 개별 정책을 사용자에게 직접 할당하는 구조라기보다, Security Profile을 통해 여러 보안 정책을 하나로 묶어 사용자에게 적용하는 구조에 가깝습니다.

따라서 실제 설정 시에는 정책(Web Filtering, TLS Inspection 등)을 먼저 생성한 뒤, Security Profile에 연결하여 사용자에게 할당하는 순서로 진행하게 됩니다.

 

Secure > Security profiles > Create profile

 

 

Profile 이름 지정 > 우선순위 지정 > Next

 

 

연결할 정책을 지정하라고 표시됩니다. 우선 Next 후 생성을 진행합니다.

 

 

Profile 생성 확인

 

 

3. Web content filtering policies

카테고리나 FQDN 등으로 인터넷 사이트 접속을 Block하는 정책입니다.

 

Web content filtering policies > Go to Web Filtering Policy (V2)

(최근에 V2로 업데이트 된 것을 알 수 있습니다.)

 

 

Create policy

 

 

정책 이름 지정 > Next

 

 

Default Action > Allow > Next

 

참고로 Block은 기본적으로는 전부 차단하고 허용할 FQDN, 카테고리만 열어주는 화이트 리스트 방식이고, Allow는 기본은 허용하고, Block 처리하는 Black 리스트 방식입니다.

 

Create

 

 

정책을 선택하거나 Edit 메뉴로 이동

 

 

Rules > Add rule

 

 

다양한 설정을 제공합니다. 우선 카테고리를 AI로 지정 > Action을 Block으로 지정 > Next

 

 

이전에 생성한 Security profile 선택

 

 

Link policies > Link a policy > Existing Web Filtering Policy (V2)

 

 

생성한 정책을 선택 > Add

 

 

프로필에 정책이 연결된 것을 확인합니다.

 

 

3. Conditional Access 정책 생성

GSA Internet Access는 조건부 액세스에 프로필을 연결하여 동작 하는 방식입니다.

 

Conditional Access > Policies > New policy

 

 

적용대상을 지정합니다.

 

 

Target resources > All internet resources with Global Secure Access

 

 

Condition > Device platform > Windows

 

 

Session > Use Global Secure Access > security profile > 생성한 프로필 선택 > 정책 생성

 

 

추가로 Settings > Session management > Custom Block Page 를 활성화하면, 이 기능이 지원되는 페이지는 차단 메시지를 표시할 수 있습니다.

 

 

정책이 적용되면 아래와 같이 AI 사이트들이 차단됩니다.

 

 

4. TLS Inspection

TLS Inspection은 암호화된 HTTPS 트래픽의 ‘겉면’만 보는 것이 아니라, 정책 적용이 필요한 경우 내부 요청과 콘텐츠를 확인할 수 있게 해주는 기능입니다. Content, Prompt 정책은 사전에 TLS Inspection이 설정되어 있어야 합니다.

 

 

여기서는 사설 인증서 바인딩이라는 개념이 필요하며, 저는 AD CS를 사용하여 사설인증서를 발급 및 배포하는 방식으로 진행합니다. 전체 배포와 관련된 부분은 추후 Client 파트를 한번에 다룰 예정입니다.

 

TLS inspection policies > TLS inspection settings > Create certificate

 

 

생성할 인증서 정보를 입력합니다.

 

 

CSR 파일이 자동으로 다운로드 됩니다.

 

 

AD CS 서버에서 Request a certificate

 

 

Advanced certificate request

 

 

CSR파일을 메모장으로 실행한 뒤, 내용을 전체 복사합니다.

 

 

Request 내용을 붙여 넣기 > Template 을 Subordinate Certification Authority > Submit

 

 

Base 64 encoded > 각각의 인증서 다운로드

 

 

다음과 같이 cer, p7b 파일을 확인할 수 있습니다.

 

 

Upload certificate를 클릭하면

 

 

아래와 같이 2가지 타입의 pem 파일을 업로드해야 합니다.

 

 

우선 certnew.cer > certificate.pem 으로 이름을 변경합니다.

 

 

이 파일을 Certificate에 업로드합니다.

 

 

P7b 파일을 우클릭 > Open

 

 

각각의 인증서 경로로 이동 > 우클릭 > All Tasks > Export

 

 

Base-64 encoded X.509 (.CER) > Next

 

 

저는 C:\cert\root.cer 저장했습니다.

 

 

Finish

 

 

아래의 인증서도 동일하게 내보내기 합니다.

 

 

이번 파일이름은 intermediate.cer로 진행합니다.

 

 

내보낸 위치에서 명령프롬프트를 이용하여 다음 명령어를 진행합니다.

copy /b intermediate.cer + root.cer chain.pem

 

 

생성된 chain.pem 파일을 Chain에 업로드합니다.

Upload signed certificate

 

 

Enable

 

 

TLS inspection policies > Create Policy

 

 

정책 이름 입력 > Next

(참고로 Default action이 Inspect라는 것은 예외처리 이외에는 모든 사이트에 대해서 검사한다는 것을 의미합니다.)

 

 

Rule을 추가하지 않고 Next

 

 

Submit

 

 

완성된 Rule을 보면 Default로 권장하는 Bypass 사이트들이 설정됩니다. 이 외의 사이트들은 검사가 이루어집니다.

 

 

Endpoint에는 Root.cer 을 설치해야 합니다.

Endpoint에서 root.cer 우클릭 > Install Certificate

 

 

Local Machine > Next

 

 

Place all certificates in the following store > Browse

 

 

Trusted Root Certification Authorities > 설치 과정을 완료합니다.

 

 

기존 Security Profile에서 Link policies > + Link a policy > Existing TLS inspection policies

 

 

Add

 

 

이 후의 테스트를 위해서 AI 웹 필터링은 disabled 처리합니다.

 

 

브라우저에서 인증서 정보를 확인하면,

 

 

GSA에서 발급한 인증서로 TLS 검사가 이루어지는 것을 알 수 있습니다.

 

 

 

그런데, Edge에서 몇 개의 사이트는 검사가 되지 않는 것을 확인됩니다.

 

 

edge://flags/ URL을 입력 > QUIC를 Disabled 설정으로 변경합니다.

 

 

아래와 같이 적용되는 것을 알 수 있습니다.

 

 

GSA사용에 필요한 설정 중 하나로 diagnostics에서 체크되는 것을 확인할 수 있습니다.

 

 

5. Content policies

TLS inspection policy가 활성화되었다면, Content policy도 사용할 수 있습니다.

 

Content policies > Create policy

 

 

정책 이름 지정 > Next

 

 

Add rule

 

 

Rule 이름 지정 > Settings > Action > Block

(참고로 Scan with Purview는 Purview에서 MIP와 같은 상세 조건에 대한 검사가 가능합니다. 이 부분은 별도로 포스팅하겠습니다.)

 

 

다음과 같이 지정 후 Add

 

 

Next

 

 

Create

 

 

Security Profile에서 content policy를 연결합니다.

 

 

Add

 

 

AI 사이트에서 업로드가 차단되는 것을 확인할 수 있습니다.

 

 

사이트나 앱별로 세부적인 설정은 필요할 것으로 보입니다.

(일부 AI앱이나 사이트에서는 감지 안 되는 것으로 확인됩니다.)

 

6. Prompt Policy

AI의 악성 프롬프트를 차단하거나, 프롬프트를 모니터링 하는 정책입니다.

 

Prompt policies > Create policy

 

 

정책 이름 지정

 

 

Add rule

 

 

Action - Block, Prompt logging - Always

 

 

Conversation scheme

 

 

Select all predefined schemes > Add

 

 

Next

 

 

Create

 

 

기존 Security Profile에 prompt policy를 연결합니다.

 

 

Add

 

 

아래와 같이 테스트

 

 

Internet Access Profile과 관련된 기본 기능들을 살펴봤습니다.

아직은 신규로 들어와서 부족한 부분도 있지만, M365와 연계하여 동작한다는 부분이 큰 장점이라 할 수 있겠습니다.