위키백과를 인용하면, ‘관측 가능성’은 시스템의 상태를 출력으로부터 얼마나 잘 파악할 수 있는지를 측정하는 제어 이론에서 유래했습니다. 마찬가지로 소프트웨어에서 통합 가시성이란 메트릭, 로그, 추적, 프로파일링 등 획득한 원격 분석을 통해 시스템의 상태를 얼마나 잘 이해할 수 있는지를 의미합니다.

현재의 가시성 및 모니터링에는 행동 인텔리전스가 부족합니다.

기존 모니터링은 일반적으로 애플리케이션, 네트워크 및 엔드포인트와 관련된 성능, 상태, 사용자 경험, 보안 및 복원력에 관한 문제를 시각적으로 모니터링하고 식별하는 데 사용됩니다. 알림은 모니터링과 결합되어 이메일, SMS, 대시보드를 통해 중요한 이벤트를 즉시 알려줍니다. APM, NPM, SIEM에서 사용하는 이러한 기존 모니터링은 위험은 미리 알고 있지만 구체적인 발생 시기는 알 수 없는 ‘알려진 미지수’를 기반으로 작동합니다. 이러한 모니터링은 문제 해결이 간단하고 분명한, 엔티티 수가 제한된 단순한 시스템으로 충분합니다. 그러나 분산 애플리케이션, 멀티 클라우드 배포, 엣지 컴퓨팅, 수많은 파트너와의 협업 애플리케이션 등 여러 아키텍처가 등장하면서 엔터프라이즈 시스템은 더욱 복잡해졌습니다. 또한 이러한 아키텍처와 관련된 공격 표면이 확장됨에 따라 기존의 모니터링과 단순한 상관관계로는 부적절해졌습니다. ‘알려진 미지의 문제’를 해결하는 것만으로는 충분하지 않습니다. 통합 가시성 플랫폼은 이전에는 고려하지 않았던 예상치 못한 위험을 식별함으로써 한 단계 더 도약합니다. 이러한 플랫폼은 성능, 상태, 보안 및 동작에 대한 심층적인 가시성을 제공함으로써 ‘알려지지 않은 미지’를 처리하고 시스템을 더 빠르고 정확하게 문제 해결 및 디버깅할 수 있도록 설계되었습니다. 이 게시물에서는 SASE(Secure Access Service Edge) 네트워킹 및 보안 구성 요소에서 수집한 정보를 통해 최적으로 달성되는 통합 가시성에 중점을 둡니다. 특히, 사용자, 네트워크, 애플리케이션 엔터티 및 인터넷 액세스의 비정상적인 행동을 식별하기 위해 행동 이상과 관련된 통합 가시성 사용 사례를 살펴봅니다. 통합 가시성 플랫폼은 수신하는 입력 데이터의 품질에 크게 의존합니다. 이러한 맥락에서 SASE 솔루션이 로그, 메트릭 및 추적의 형태로 풍부한 데이터를 제공하는 방법과 통합 가시성 시스템이 이 데이터를 활용하여 다양한 사용 사례를 해결하는 방법에 대해 자세히 살펴봅니다. SASE 솔루션의 인사이트를 활용하면 통합 가시성 솔루션의 기능을 강화하여 모니터링, 선제적 위험 감지, 강력한 시스템 분석을 개선할 수 있습니다. SASE와 통합 가시성을 결합하면 최신 엔터프라이즈 시스템을 효과적으로 모니터링하고 보호할 수 있는 강력한 프레임워크가 제공됩니다.

SIEM, NPM, NDR, APM, XDR – 이상 징후 탐지가 제한적입니다.

오늘날의 환경에서는 각자의 기능에 능숙한 수많은 가시성 및 모니터링 도구를 사용할 수 있습니다. 그러나 행동 기반 이상 징후 탐지 및 제한된 이벤트 상관관계와 같은 특정 제한 사항이 있어 심층적인 가시성과 근본 원인 분석 기능을 제공하는 데는 한계가 있습니다. 이러한 도구는 궁극적으로 행동 분석/예측 분석과 심층적인 가시성을 포괄하여 성능, 보안 및 복원력 시스템의 요구 사항을 충족해야 한다는 것이 저희의 관점입니다. 이러한 도구의 완성도를 높이려면 사용자 및 엔티티 행동 분석(UEBA) 기능을 추가하는 것이 중요합니다. 또한, 성공적인 통합 가시성을 위해서는 상관관계 기능을 개선해야 한다고 굳게 믿고 있습니다. 더 나은 상관관계를 달성하려면 네트워크 디바이스, 보안 디바이스, ID 시스템, 애플리케이션 인프라에서 관련 데이터가 필요합니다. 하지만 로그 콘텐츠, 메트릭, 로그 스키마 및 형식이 다양하기 때문에 여러 공급업체의 디바이스와 시스템에서 이러한 정보를 일관되게 확보하는 것은 어려운 일입니다. 가장 큰 문제는 종합적인 분석에 필요한 정보가 일관되지 않고 누락된다는 점입니다. 단일 공급업체의 여러 네트워크 및 보안 기능을 일관된 아키텍처로 통합하는 Unified SASE는 상관관계 및 행동 분석과 관련된 이러한 도구의 부담을 덜어줄 수 있으며, 이에 대해서는 뒷부분에서 자세히 설명합니다. UEBA에 대해 자세히 알아보고 통합 SASE의 데이터 플레인에서 예상되는 로그 및 메트릭의 유형을 살펴보겠습니다.

사용자 및 엔티티 행동 분석

사이버 보안 업계에서는 ‘사용자 및 엔티티 행동 분석(UEBA)’이라는 용어를 만들었습니다. 조직 네트워크 내의 사용자(직원, 계약자, 파트너 등) 및 엔티티(디바이스, 애플리케이션, 네트워크 등)의 행동을 모니터링하고 분석하여 비정상적이거나 의심스러운 활동을 탐지하는 것을 말합니다. UEBA 솔루션은 일반적으로 고급 분석 및 머신러닝(AI/ML) 기술을 사용하여 각 사용자 및 엔티티에 대한 정상 동작의 기준을 설정합니다. 기준선이 설정되면 시스템은 이 기준선과 실시간 동작을 지속적으로 비교하여 잠재적인 보안 위협이나 비정상적인 활동을 나타낼 수 있는 편차 또는 이상 징후를 감지합니다. 또한 시간이 지남에 따라 기준선이 계속 변하기 때문에 기준선을 업데이트하고 그에 따른 지속적인 모델 학습이 필요하다는 점도 중요합니다. UEBA는 기존의 보안 조치로는 포착하지 못할 수 있는 비정상적인 패턴이나 행동을 식별하여 조직이 내부자 위협, 손상된 계정, 무단 액세스 및 기타 의심스러운 활동을 감지할 수 있도록 지원하는 것을 목표로 합니다. UEBA는 행동을 분석하여 잠재적인 보안 사고에 대한 추가적인 컨텍스트와 인사이트를 제공함으로써 보안 팀이 신속하고 효과적으로 대응할 수 있도록 지원합니다. UEBA는 사이버 보안의 맥락에서 정의되지만, 행동 이상 탐지는 사이버 보안에만 국한되지 않고 애플리케이션 및 네트워크와 같은 엔터티의 성능 측면에도 적용됩니다. 업계 일부에서는 서비스 메시 또는 SASE 기술을 통해 제로 트러스트 아키텍처(ZTA)를 실현하려면 UEBA를 제품에 포함해야만 완전하다고 말하는데, 저도 이에 동의합니다. UEBA에서는 이상 징후에 대해 설명하므로 먼저 ‘이상 징후 탐지’라는 용어와 다양한 이상 징후 유형, 이상 징후를 탐지하는 데 사용되는 기술을 이해해 보겠습니다.

사이버 보안을 위한 이상 징후 탐지

이상 징후 탐색이란 무엇인가요 ? 블로그 게시물에서 이상 징후 탐색에 대한 훌륭한 개요를 확인할 수 있습니다. 간단히 말해, 이상 징후 탐지는 데이터 세트 내에서 비정상적인 지점이나 패턴을 식별하는 것입니다. 사전 정의된 허용 오차 범위 내에서 설정된 기준선에서 벗어나는 모든 것은 이상 징후로 간주됩니다. 이상 징후는 양성일 수도 있고 우려할 만한 것일 수도 있지만, 사이버 보안 업계에서는 악의적인 이상 징후를 탐지하는 것이 가장 중요합니다. 비지도 이상 징후 탐지는 사전 지식에 의존하지 않고 이전에 보지 못했던 이벤트를 식별하는 데 도움이 되므로 사이버 보안에 특히 중요합니다. 즉, 이러한 비지도 접근 방식은 보안 위협의 맥락에서 ‘알려지지 않은 미지의 존재’를 탐지하는 데 필수적입니다. 이상 징후 탐지는 다양한 기법을 사용하여 접근할 수 있으며, 때로는 통계 도구를 활용하고 때로는 머신 러닝 알고리즘을 사용하기도 합니다. 이상 징후 탐지에 널리 사용되는 두 가지 유형의 머신 러닝 알고리즘이 있습니다:

  • 클러스터링: 클러스터링은 데이터 요소의 유사성 또는 거리에 따라 데이터 요소를 그룹화하는 기술입니다. 클러스터링에서 클러스터에 속하지 않거나 가장 가까운 클러스터 센터에서 상당히 멀리 떨어져 있는 데이터 포인트를 감지하여 이상 징후를 식별할 수 있습니다. 클러스터링 알고리즘의 예로는 K-평균이 있습니다.
  • 밀도 추정: 밀도 추정: 밀도 추정이란 데이터의 확률 분포를 추정하는 기법입니다. 밀도 추정을 사용하여 밀도가 낮거나 저밀도 영역에 있는 데이터 포인트를 찾아 이상 징후를 감지할 수 있습니다. 일반적인 밀도 추정 알고리즘에는 격리 포레스트, 커널 밀도 추정 등이 있습니다.

설명적 분석은 이미 많은 모니터링 시스템에서 지원하고 있으므로 여기서는 다루지 않겠습니다. 여기서 주요 초점은 예측 분석의 한 분야인 행동 분석입니다. 앞서 언급했듯이 이상 징후 탐지는 사이버 보안과 관련이 있으므로 여기서는 이상 징후 탐지에 대해 다룰 것입니다. 이상 징후 탐지의 몇 가지 예는 SASE 솔루션에서 기대되는 정보 유형, 특히 사용자 및 엔티티 행동 분석(UEBA)과 일반적으로 관찰 가능성을 이해하는 데 도움이 될 수 있습니다. 다음 섹션에서는 사이버 보안 및 네트워킹 업계에 필요한 이상 징후 탐지 기능을 제공합니다. 앞서 언급했듯이, 사전에 알려지지 않은 탐지 유형을 식별할 수 있는 다양한 기능을 갖춘 일반적인 이상 징후 탐지 시스템을 갖추는 것도 중요합니다. 알 수 없는 탐지 유형을 식별할 때 중요한 고려 사항은 입력 로그와 메트릭 데이터가 포괄적이어야 한다는 것입니다. 다음은 이상 징후 탐지의 몇 가지 예입니다:사용자 행동 이상 징후:

  • 일반적인 패턴과 다른 위치에서 인터넷, SaaS 및 엔터프라이즈 애플리케이션에 액세스하는 사용자.
  • 평소 사용 패턴에 비해 비정상적인 시간에 서비스에 액세스하는 사용자.
  • 사용자가 짧은 시간 내에 여러 위치에서 애플리케이션에 액세스하는 것은 믿기지 않는 일입니다.
  • 익명의 프록시를 통해 서비스에 액세스하는 사용자로 인해 보안 문제가 제기되고 있습니다.
  • 악의적인 활동과 관련이 있을 수 있는 의심스러운 IP 주소에서 서비스에 액세스하는 사용자.
  • 의심스러운 도메인 또는 URL에 액세스하는 사용자로, 잠재적인 보안 위협을 나타냅니다.
  • 파일 다운로드/업로드 시 비정상적인 행동을 보이는 사용자에 대한 주의가 필요합니다.
  • 애플리케이션, 인터넷 사이트 또는 SaaS 애플리케이션에 비정형적으로 액세스하는 사용자.

비정상적인 사용자 활동:

  • 사용자의 비정상적인 로그인 횟수로, 자격 증명이 손상되었거나 무단 액세스 시도가 있었음을 나타낼 수 있습니다.
  • 비정상적인 로그인 실패 횟수로 무차별 대입 공격 또는 인증 문제가 있을 수 있음을 시사합니다.
  • 추가 조사가 필요할 수 있는 다양한 애플리케이션 URI에 대한 비정상적인 액세스.
  • 특정 사용자 또는 전 세계 사용자의 원격 액세스 VPN 터널 수가 비정상적으로 많습니다.

애플리케이션 액세스 이상:

  • 익숙하지 않은 사용자의 애플리케이션 액세스로 인해 적법성 확인이 필요합니다.
  • 사용자가 애플리케이션 내의 다른 섹션이나 공간에 비정상적으로 액세스하는 경우.
  • 사용자의 비정상적인 데이터 다운로드/업로드, 데이터 유출 또는 무단 데이터 전송을 나타낼 수 있습니다.
  • 이전에 볼 수 없었던 위치에서 비정상적인 액세스가 발생하여 보안 문제가 발생할 수 있습니다.
  • 사용자 또는 특정 사용자가 예기치 않은 시간에 애플리케이션에 비정상적으로 액세스하는 경우 조사가 필요합니다.
  • 이전에는 볼 수 없었던 ISP의 비정상적인 액세스로 의심스러운 활동을 나타낼 수 있습니다.
  • 애플리케이션 리소스에 액세스하는 동안 비정상적인 HTTP 요청 헤더를 탐지합니다.
  • 애플리케이션 리소스에 액세스할 때 비정상적인 URI 길이를 감지합니다.
  • 악의적인 의도와 관련이 있을 수 있는 다른 사용자 에이전트의 비정상적인 사용.
  • HTTP 수준 트랜잭션의 비정상적인 지연 시간.

네트워크 이상: 인터넷은 네트워크 중 하나로 간주됩니다.

  • 특정 네트워크에 대한 수신 트래픽, 발신 트래픽 또는 이들의 합산 값의 이상 징후입니다.
  • 다양한 프로토콜 세트의 트래픽 양에 대한 이상 징후.
  • 네트워크의 리소스에 대한 연결 수에 이상이 있습니다.
  • 네트워크 내 리소스에 대한 트랜잭션 수의 이상 징후.
  • 연결별 트랜잭션 수의 이상 징후.
  • 네트워크의 리소스에 액세스하는 동안 지연 시간이 비정상적으로 길어집니다.
  • 네트워크 간 트래픽의 이상 징후.

위협 이상 징후:

  • 의심스러운 IP 주소에 대한 세션 수의 이상 징후로, 악의적인 단체와 통신하려는 잠재적 시도를 나타냅니다.
  • 의심스러운 도메인 이름에 대한 세션 수의 이상은 신뢰할 수 없거나 손상된 도메인과의 접촉을 의미할 수 있습니다.
  • 의심스러운 URL에 대한 세션 수의 이상 징후로 웹 트래픽의 잠재적 위협을 가리킵니다.
  • 멀웨어에 감염된 파일의 다운로드/업로드 횟수에서 이상 징후가 발생하여 잠재적인 사이버 공격을 강조합니다.
  • 승인되지 않거나 악의적인 SaaS 및 클라우드 서비스에 대한 세션 수의 이상 징후.
  • 거부된 세션 수의 이상 징후로, 보안 조치가 작동 중임을 나타낼 수 있습니다.
  • 거부된 거래 수에 이상 징후가 있어 보안 위협 또는 사기 행위 가능성을 시사합니다.

UEBA를 사용하는 옵저버빌리티 플랫폼은 위의 감지 기능을 제공하는 경향이 있습니다. 알려지지 않은 위험에 대해 일반 클러스터링 모델을 사용하여 모니터링해야 하는 새로운 이상 징후를 감지할 수 있습니다. 이 일반 모델은 여러 기능을 통합해야 합니다. 위에 나열된 대부분의 이상 징후를 정확하게 식별하기 위해서는 기준 데이터가 필요하므로, 통합 가시성 플랫폼에서 학습 모드를 활성화하는 것이 중요합니다. 때로는 학습이 동적으로 이루어질 수 있으므로 지난 X일간의 데이터를 기반으로 현재 날짜의 이상 징후를 확인하도록 구성할 수 있습니다. 여러 모델이 필요할 수 있으므로 통합 가시성 플랫폼은 확장 가능하고 여러 모델을 학습하고 수용하기 위해 부하를 처리할 수 있어야 합니다.

정확한 위협 인텔리전스

정확한 행동 위협 이상 징후 탐지는 위협 인텔리전스 제공업체의 최신 정보에 의존합니다. SASE 시스템은 트래픽 발생 시점에 초기 위협 탐지를 수행하지만, 그 시점에 수집된 위협 인텔리전스는 오래되었을 수 있습니다. 위협 인텔리전스 제공업체는 IP 주소, 도메인 이름, URL, 파일, SaaS 서비스의 평판 점수를 지속적으로 평가하고 최신 정보로 피드를 업데이트합니다. 그러나 이로 인해 실제 위협의 출현과 위협 인텔리전스 피드의 업데이트 사이에 시간 차이가 발생할 수 있습니다. 따라서 이러한 피드 업데이트 전에 발생하는 모든 연결 또는 트랜잭션은 데이터 플레인이 트래픽의 올바른 분류를 놓치게 할 수 있습니다. 이러한 문제를 해결하기 위해 UEBA 기반 통합 가시성 플랫폼은 이전 액세스를 지속적으로 선제적으로 검사하고 새로운 위협 인텔리전스로 데이터를 개선합니다. 이러한 플랫폼은 IT 위협 헌팅 팀에 인텔리전스의 변화를 알려주어 위협 헌터가 잠재적인 위협을 더 깊이 파헤칠 수 있도록 지원합니다.

로그, 메트릭, 추적을 정밀하게 집계하는 통합 SASE

설명, 예측, 진단, 처방 등 모든 분석의 포괄성과 정확성은 통합 가시성 플랫폼이 수신하는 로그의 품질에 크게 의존합니다. 바로 이 부분에서 통합 SASE 솔루션의 진가가 발휘됩니다. 기존의 통합 가시성 플랫폼은 방화벽 어플라이언스, UTM 어플라이언스, 애플리케이션, ID 서비스, 웹 애플리케이션 방화벽, IDS/IPS 시스템, DNS 보안 시스템 등과 같은 다양한 공급업체 시스템의 로그와 메트릭에 의존합니다. 그러나 여러 공급업체의 로그를 관리하는 데는 몇 가지 어려움이 있습니다:

  • 로그에 정보가 충분하지 않습니다.
  • 다양한 로그 형식/스키마.
  • 공급업체에 의한 로그 메시지 및 형식의 지속적인 변경.
  • 네트워킹/보안 디바이스의 로그를 특정 트래픽 세션, 사용자 또는 애플리케이션과 일관되게 연관시키는 데 어려움이 있습니다.
  • 중복 정보가 있는 로그가 많아 로그 폭탄과 로그 드롭이 발생할 수 있습니다.
  • 로그 상관관계와 대량의 로그 처리를 위해 과도한 컴퓨팅 성능이 필요합니다.

SASE 솔루션은 통합된 접근 방식을 통해 이러한 문제를 효과적으로 해결합니다. SASE는 여러 네트워크 및 네트워크 보안 기능을 단일 서비스로 결합하여 종합적인 솔루션으로 제공합니다. 하지만 SASE 솔루션은 다양한 방식으로 구축할 수 있으므로 주의가 필요합니다. 단일 공급업체 SASE 서비스는 한 공급업체의 결합 상품으로 제공되지만, 여러 구성 요소 공급업체의 개별 보안 및 네트워킹 구성 요소로 구성될 수 있습니다. 따라서 이러한 단일 공급업체 SASE 솔루션의 로그와 메트릭도 비슷한 문제에 직면할 수 있습니다. 반면, 통합 SASE 솔루션은 일반적으로 단일 패스 아키텍처와 런투완전 아키텍처의 원칙을 준수하는 통합된 포괄적인 데이터 플레인으로 제공됩니다. 즉, Unified SASE는 각 세션 또는 트랜잭션과 적용된 관련 보안 기능을 전체적으로 파악할 수 있습니다. 그 결과, 통합 SASE 솔루션은 각 파일, 트랜잭션 또는 세션에 대해 필요한 모든 정보를 포함하는 하나의 로그만 생성합니다. 예를 들어, 통합 SASE 액세스 로그에는 다음과 같은 포괄적인 세부 정보가 포함됩니다:

  • 5-튜플 정보(소스 IP, 대상 IP, 프로토콜, 소스 포트, 대상 포트)
  • 세션/트랜잭션의 시작 시간 및 종료 시간
  • TLS 연결의 경우 도메인 이름
  • HTTP 트랜잭션의 경우 호스트 헤더 값 및 URL 경로
  • 연결이 안전한지 여부(TLS)
  • HTTP 메서드(GET/POST/DELETE/PUT), URI 쿼리 매개변수, HTTP 요청 및 응답 헤더 및 값(주로 X-로 시작하는 헤더).
  • 파일 해시(하나의 HTTP 트랜잭션에 여러 개의 파일이 전송되는 경우 여러 개의 액세스 로그가 있을 수 있음)
  • 클라이언트에서 서버로 또는 그 반대로 전송된 바이트 수
  • 적용된 액세스 정책 및 보안 정책과 함께 사용자 클레임(권한자 이름, 그룹, 역할, 인증 서비스, 발급자), IP 평판 카테고리 및 점수, 도메인 카테고리 및 평판 점수, URI 카테고리 및 평판 점수, SaaS 서비스 카테고리 및 평판 점수, 취해진 조치 등 트래픽 세션의 정책 세부 정보 및 일치하는 값도 확인할 수 있습니다. 여러 보안 엔진이 모든 세션 또는 거래에 대한 액세스에 대한 동의를 제공한다는 점에 유의하세요. 이러한 보안 엔진에는 IP 평판 엔진, 도메인 평판 엔진, URL 평판 엔진, SaaS 평판 엔진, 액세스 제어 엔진, 맬웨어 방지 엔진, IDPS 엔진 등이 포함됩니다. 각 보안 엔진은 자체 정책 세트를 적용하고 결과에 따라 적절한 조치를 취합니다. 각각 정책 테이블과 트래픽 또는 트래픽 강화에서 일치하는 고유한 값 세트가 있는 다양한 엔진이 존재하므로 일치하는 정책 이름과 정책 일치로 이어진 매개변수를 기록해야 합니다.

액세스 로그는 통합 가시성 플랫폼에서 중요한 역할을 하며, 정확한 분석을 가능하게 합니다. 그러나 통합 가시성 플랫폼에서는 다른 로그도 마찬가지로 중요하며, ‘통합 SASE’ 솔루션은 이러한 로그를 기본으로 제공합니다. 이러한 로그는 플랫폼의 기능을 향상시켜 포괄적인 인사이트를 제공하는 데 중요한 역할을 합니다. 통합 SASE 솔루션에서 제공하는 필수 로그 중 일부는 다음과 같습니다:

  • ID 브로커 기능을 통해 사용자 로그인 및 로그아웃과 관련된 로그를 수집합니다.
  • 잠재적인 보안 위협을 모니터링하는 데 도움이 되는 사용자 로그인 실패와 관련된 로그입니다.
  • 사용자 로그인과 관련된 로그는 다음을 포함하여 포괄적인 사용자 클레임 정보로 보강됩니다:
    • 사용자 이메일 주소
    • 발급자(ID 공급자)
    • 사용자가 속한 여러 그룹 및 역할
    • 사용자를 인증한 인증 서비스
    • 다단계 인증(MFA) 적용 여부
    • 사용자가 로그인한 소스 IP
    • 사용자 애플리케이션에서 사용하는 인증 프로토콜
    • 사용자가 로그인한 위치

사용자 인증 관련 로그와 액세스 로그를 포함하면 행동 이상 징후를 효과적으로 식별할 수 있는 통합 가시성 플랫폼에 귀중한 정보를 제공할 수 있습니다. 또한 통합 SASE 솔루션은 멀웨어, 익스플로잇 또는 의심스러운 활동과 같은 위협이 감지될 때마다 로그를 제공합니다. 이러한 로그에는 위협 탐지 시점의 5중 정보(소스 IP, 대상 IP, 프로토콜, 소스 포트, 대상 포트), 날짜/시간, 알려진 사용자 클레임 정보가 포함됩니다. 이렇게 하면 위협이 관찰된 세션 또는 트랜잭션과 위협의 상관관계를 파악하여 사고 대응 및 완화에 도움이 됩니다. 여기서는 다루지 않지만, SASE 시스템 커널, 프로세스, 컨테이너 및 하드웨어와 관련된 다른 많은 로그가 진단 분석에 도움이 됩니다. Unified SASE 솔루션은 로그 생성 외에도 카운터, 게이지, 히스토그램 등 다양한 메트릭을 제공합니다. 이러한 메트릭은 SASE 아키텍처의 다양한 구성 요소에 대한 가시성을 제공함으로써 통계적 이상 징후를 식별하고 문제를 해결하는 데 매우 유용합니다. 전반적으로 액세스 로그, 인증 관련 로그, 위협 로그, 진단 로그 등 다양한 유형의 로그와 통합 SASE가 제공하는 다양한 유형의 메트릭은 통합 가시성 플랫폼이 설명 및 진단 분석뿐만 아니라 행동/예측 분석도 제공할 수 있도록 도와줍니다.

통합 SASE와 통합 가시성이 결합되어 있습니다.

지금까지 설명한 바와 같이, Unified SASE는 내보낸 풍부한 데이터 세트를 통해 다양한 분석 도구를 사용할 수 있다는 점이 특징입니다. 또한 앞서 설명한 대로 통합 SASE 솔루션에는 다양한 분석, 특히 행동 분석을 포함하는 포괄적인 통합 가시성 플랫폼이 포함될 것입니다. 초기 단계의 통합 가시성 플랫폼은 주로 SASE 솔루션에 국한되어 있었고, 엔드투엔드 가시성은 종종 Splunk, Datadog, Elastic, New Relic의 가시성 서비스 및 엔드투엔드 위협 XDR 플랫폼에 의존하는 경우가 많았습니다. 본질적으로 Unified SASE는 자체 통합 가시성 플랫폼을 통합하는 동시에 다양한 외부 통합 가시성 도구에 고품질 로그와 메트릭을 제공합니다.

통합 SASE는 통합 가시성 기능을 강화하는 데 핵심적인 역할을 합니다.

기존의 모니터링 및 가시성 도구는 분산된 인력, 멀티 클라우드/엣지 애플리케이션 배포, 여러 SaaS 서비스의 광범위한 사용, 계속 확장되는 위협 환경, 마이크로서비스 기반 애플리케이션 아키텍처로 특징지어지는 복잡한 엔터프라이즈 환경에서는 부족합니다. 다양한 네트워킹, 보안 및 애플리케이션 소스의 로그와 메트릭에 의존하면 이러한 도구가 실행 가능한 인사이트와 효율적인 상관관계 및 근본 원인 분석 기능을 제공하는 데 방해가 되는 경우가 많습니다. 이 시대의 요구는 “관찰 가능성”입니다. 많은 기존 분석 공급업체가 UEBA 및 관련 이상 징후 탐지 기능과 같은 통합 가시성 기능으로 제품을 보강하기 시작했습니다. 그러나 이러한 분석 도구의 효과는 수신하는 로그와 메트릭의 품질에 따라 크게 달라집니다. 통합 SASE는 행동 분석을 포함한 모든 유형의 분석을 위한 포괄적이고 고품질의 로그를 생성하는 것과 관련된 문제를 극복할 수 있는 잠재력을 가지고 있습니다. 통합 접근 방식과 포괄적인 데이터 내보내기를 제공하는 Unified SASE는 조직의 가시성 기능을 크게 향상시켜 선제적 위협 탐지, 정밀한 분석, 더 나은 의사 결정을 촉진할 수 있습니다. 여러 분석 도구와 통합 가시성 기능을 Unified SASE에 통합하면 최신 엔터프라이즈 환경의 복잡성을 해결하고 사이버 보안 방어를 강화할 수 있는 강력한 솔루션이 제공됩니다.

  • CTO 인사이트 블로그

    아리아카 CTO 인사이트 블로그 시리즈는 네트워크, 보안 및 SASE 주제에 대한 사고 리더십을 제공합니다.
    아리아카 제품 사양은 아리아카 데이터시트를 참조하세요.