네트워크 보안 배포 아키텍처는 다양한 기업 요구사항에 따라 정기적으로 진화합니다.
업계의 최근 동향 중 일부는 아래에 요약되어 있습니다:
- 서로 다른 여러 네트워크 보안 시스템과 관련된 비용 및 유지 관리 부담을 최소화합니다.
- 데이터센터 내, WAN 전반, Kubernetes 클러스터 내의 모든 네트워크를 포괄하는 ‘제로 트러스트 에브리웨어’ 의무를 구현합니다.
- 고성능(처리량, 지연 시간 감소, 지터 최소화)을 보장하여 사용자 경험을 향상하고 WebRTC와 같은 실시간 애플리케이션을 지원합니다.
- 분산된 인력의 요구 사항을 충족합니다.
- 원격 근무 인력의 수요를 충족합니다.
- 기업의 SaaS 서비스 채택 증가.
- 엔터프라이즈 애플리케이션에 대한 클라우드 의존도 증가.
- 멀티 클라우드 배포 수용.
- 엣지 및 포그 컴퓨팅의 잠재적 이점을 살펴보세요.
- 네트워크 및 보안 역할의 숙련된 인력을 교육하거나 확보하는 데 어려움이 있습니다.
- 분산된 사무실의 라스트 마일 인터넷 연결을 관리하는 데 필요한 리소스를 최소화합니다.
레거시 네트워크 및 보안 아키텍처
여러 사무실과 원격 근무 인력을 보유한 기업은 전통적으로 네트워킹 및 보안 인프라를 조달하고 유지 관리하는 데 상당한 리소스를 할당했습니다.
아래의 단순화된 그림은 이전에 채택된 일반적인 아키텍처를 보여줍니다. 
이 예는 전 세계 여러 지역에 두 개의 지사와 두 개의 본사가 있는 기업을 대상으로 합니다.
보안 어플라이언스에 대한 비용을 줄이고 관리 오버헤드를 완화하기 위해 모든 보안 적용은 본사에서 중앙 집중식으로 이루어집니다.
지사 및 원격 사용자의 트래픽은 의도한 목적지로 이동하기 전에 보안 시행을 위해 가까운 본사로 라우팅됩니다.
이러한 트래픽 터널링을 용이하게 하기 위해 일반적으로 지사에 ‘씬 CPE’ 장치를 배포합니다.
본사에는 터널을 종료하는 VPN 집중 장치, 익스플로잇 탐지 및 제거, 세분화된 접속 제어 구현, 멀웨어 차단, 피싱 공격 방지를 위한 여러 보안 장치가 장착되어 있습니다.
그러나 트래픽 흐름(그림에서 1로 표시된 흐름)에서 볼 수 있듯이 지사에서 인터넷 사이트로의 트래픽은 헤어핀 경로를 따릅니다.
이러한 라우팅은 지연 시간을 증가시켜 결과적으로 최적의 사용자 경험을 제공하지 못할 수 있으며, 특히 지사와 인근 본사가 상당한 거리에 위치한 경우 더욱 그렇습니다.
일부 기업에서는 전용 링크를 사용하여 처리량을 향상시키고 지터를 줄이려고 시도했지만 이러한 솔루션은 비용이 많이 들고 지연 문제를 적절히 해결하지 못했습니다.
게다가 각각 고유한 구성과 분석 대시보드를 갖춘 여러 네트워크 및 보안 장치를 관리하는 것은 어려운 과제입니다.
이러한 복잡성으로 인해 여러 인터페이스에 대한 교육을 받아야 하기 때문에 오류가 발생하기 쉬운 구성이 발생할 수 있습니다.
이러한 레거시 보안 아키텍처는 제로 트러스트 원칙을 간과하고 사용자 인증에 따른 사용자 기반 액세스 제어를 제공하기보다는 네트워크 세분화와 IP 주소에 더 의존하는 경우가 많았습니다.
당시에는 이러한 접근 방식이 효과적으로 작동했지만 원격 근무 시나리오의 증가와 NAT(네트워크 주소 변환)의 광범위한 사용으로 인해 IP 주소를 통한 사용자 식별이 점점 더 어려워졌습니다.
결과적으로 이러한 부담은 레거시 아키텍처의 한계를 드러내기 시작했습니다.
클라우드/POP 제공 보안
온프레미스 보안 인프라 유지, 원격 근무의 요구 수용, 트래픽 헤어피닝과 관련된 지연 시간 단축, 클라우드 및 SaaS 서비스 사용 증가와 관련된 문제에 대응하기 위해 클라우드 기반 보안 솔루션이 유망한 대안으로 부상하고 있습니다.
아래 그림과 같이 많은 기업이 이러한 문제를 해결하기 위해 이러한 클라우드 제공 보안 솔루션을 활용하기 시작했습니다. 
보안 서비스는 제공업체의 다양한 거점(POP)을 통해 배포됩니다.
기업은 사무실 배치와 원격 근무 인력의 집중도에 따라 POP 위치를 유연하게 선택할 수 있습니다.
모든 위치로 향하는 클라이언트 트래픽은 보안이 적용되는 가장 가까운 POP를 통해 라우팅됩니다.
이 라우팅은 사무실의 CPE 디바이스와 원격 사용자 디바이스의 VPN 클라이언트 소프트웨어를 사용하여 이루어지며, POP 위치의 근접성으로 인해 기존 보안 아키텍처와 관련된 지연 시간을 줄입니다.
초기에는 업계에서 여러 공급업체의 보안 서비스가 제공되었지만 최근에는 단일 공급업체의 통합 기술 기반 클라우드 보안 서비스로 전환되고 있습니다.
이러한 통합 서비스는 간소화된 보안 구성 및 가시성 관리를 제공하여 레거시 배포 아키텍처의 파편화된 보안 관리 문제를 해결합니다.
이 설정은 인터넷/SaaS 사이트로 향하는 트래픽에는 잘 작동하지만, 흐름 (4)와 (5)에서 볼 수 있듯이 두 통신 주체가 동일한 사이트, 데이터 센터 또는 Kubernetes 클러스터 내에 있는 경우 새로운 문제가 발생합니다.
흐름 (4)는 동일한 사이트 내의 엔터티 간의 트래픽이 가장 가까운 POP 위치로 터널링된 후 다시 라우팅되는 것을 보여줍니다.
이는 모든 트래픽 흐름에 보안 조치를 적용하여 제로 트러스트 요구 사항을 충족하기 위해 수행됩니다.
흐름 (5)는 제로 트러스트 요구 사항을 충족하기 위해 보안 처리를 위해 사이트에서 가장 가까운 POP로 라우팅된 후 동일한 Kubernetes 클러스터로 돌아오는 두 애플리케이션 서비스 간의 통신을 보여줍니다.
이 프로세스는 이러한 흐름의 지연 시간을 의도치 않게 증가시키며 트래픽을 불필요하게 추가 엔티티에 노출시킬 수 있습니다.
일부 기업에서는 다른 온프레미스 보안 어플라이언스를 배포하여 이러한 지연 시간을 피하지만, 이는 레거시 배포 아키텍처와 관련된 문제를 다시 불러일으킵니다.
POP 제공 보안의 또 다른 문제는 성능 격리와 관련이 있습니다.
이러한 공급업체는 여러 고객/테넌트에 서비스를 제공하기 때문에 노이즈가 많은 이웃과 관련된 성능 문제가 발생할 수 있습니다.
즉, 다른 회사의 트래픽 양이 회사의 트래픽 성능에 영향을 미칠 수 있습니다.
이는 여러 회사에서 발생하는 트래픽에 대해 동일한 실행 컨텍스트를 공유하기 때문입니다.
기업이 제로 트러스트 요구 사항을 충족하고, 통합 정책 관리를 제공하며, 성능 격리를 제공하고, 헤어 피닝으로 인한 불필요한 지연 시간을 완화하는 솔루션을 찾으면서 네트워크 보안 업계는 이러한 문제를 해결하기 위해 배포 아키텍처를 발전시켜 왔습니다.
Aryaka와 같은 기업이 제공하는 통합 보안 접속 서비스 에지(SASE)가 이러한 환경에서 중추적인 역할을 담당하고 있습니다.
하이브리드 및 분산 보안 서비스가 포함된 통합 SASE
이상적인 아키텍처는 이전 아키텍처에서 발견되는 관리 복잡성을 완화하고, 엄격한 제로 트러스트 요구 사항을 충족하며, 남북 및 동서 트래픽 흐름 모두에 대해 동일한 수준의 보안을 보장하고, 통합 정책 관리를 제공하고, 성능 격리를 제공하며, 헤어핀과 관련된 지연 문제를 피할 수 있는 아키텍처입니다.
Aryaka와 같은 회사의 통합 SASE는 위의 많은 요구 사항을 충족하는 아키텍처를 제공합니다.
아래 그림을 참조하세요. 
묘사된 아키텍처 내에서 네트워크 및 보안 적용은 POP/클라우드 위치를 넘어 동일한 서비스 제공업체가 제공하고 일관되게 관리하는 CPE 디바이스까지 확장됩니다.
이 전략은 이러한 CPE 디바이스의 유지 관리에 대한 고객의 우려를 덜어줍니다.
이러한 디바이스에 트래픽 과부하가 발생하는 경우에만 새로운 트래픽이 보안 적용을 위해 인근 POP 위치로 라우팅됩니다.
POP 위치로 리라우팅되는 트래픽의 양은 선택한 CPE 장치 모델에 따라 달라지므로 폴백 트래픽이 줄어듭니다.
원격 접속 사용자의 트래픽(6으로 표시됨)의 경우 이전 아키텍처와 유사한 경로를 따릅니다.
원격 사용자 디바이스에서 발생하는 트래픽은 의도한 목적지에 도달하기 전에 가장 가까운 POP 위치에서 네트워크 및 보안 처리를 거칩니다.
이 아키텍처 내의 흐름 (1)과 (2)는 POP 위치를 우회하여 클라우드 제공 설정에 존재하는 최소한의 지연 시간도 제거합니다.
또한 사이트 내에 포함된 플로우 (4)와 (5)는 지연 시간 오버헤드를 우회할 뿐만 아니라 공격 표면도 줄입니다.
이러한 로컬 보안 적용은 지연 시간 문제에 민감한 WebRTC와 같은 실시간 애플리케이션에 필수적입니다.
결정론적이고 지터가 적은 성능이 필요한 여러 사이트의 애플리케이션 서비스의 경우, 일부 SASE 제공업체는 가장 가까운 POP 위치를 통해 사이트 간 전용 연결을 제공합니다.
흐름 (3)은 결정적 지터를 달성하기 위해 인터넷 백본을 우회하여 전용 대역폭 및 링크의 이점을 활용하는 트래픽 흐름의 예시입니다.
모든 통합 SASE 서비스가 동일하지는 않다는 점에 유의해야 합니다.
일부 SASE 제공업체는 네트워크 최적화 및 보안을 위해 여전히 모든 사무실 트래픽을 가장 가까운 POP 위치로 리디렉션합니다.
여러 POP 위치로 지연 시간 오버헤드를 완화할 수는 있지만, 지연 시간 감소는 특히 잠재적인 저지연 애플리케이션 요구가 있을 것으로 예상되는 기업에게 유리합니다.
기업은 성능이나 사용자 경험의 저하 없이 사용자 편의성과 높은 수준의 보안을 우선시하는 솔루션을 찾을 가능성이 높습니다.
사무실 간 지터가 낮아야 한다는 점을 고려할 때 기업은 인터넷 백본을 우회하는 사무실 간 전용 가상 링크를 제공하는 공급업체를 고려해야 합니다.
엔터프라이즈의 또 다른 중요한 요소는 SASE-CPE 디바이스의 유지 관리 및 소프트웨어 업데이트를 관리하는 제공업체를 선택하는 것입니다.
레거시 모델에서는 기업이 업그레이드 및 교체에 대한 책임을 져야 했습니다.
이러한 문제를 방지하기 위해 기업은 CPE(고객사 장비) 디바이스 관리, 구성, 업그레이드, 문제 해결 및 가시성과 같은 작업을 포함하여 전체 SASE 인프라 수명 주기를 포괄하는 포괄적인 관리형 화이트 글러브 서비스를 제공하는 서비스 제공업체를 고려해야 합니다.
이러한 공급업체는 네트워크 및 보안의 모든 측면을 처리하는 원스톱 상점 역할을 하는 동시에 기업을 위한 공동 관리 또는 셀프 서비스 옵션도 제공합니다.
앞으로의 전망 – 범용적이고 통합된 SASE
기존 아키텍처 프레임워크인 ‘분산 보안을 갖춘 통합 SASE’는 이 문서에서 설명한 몇 가지 초기 요구 사항을 만족스럽게 충족하지만, 보안 무결성을 손상시키지 않으면서 애플리케이션 성능을 향상시킬 수 있는 추가 전략이 존재합니다.
향후에는 POP와 엣지를 넘어 보안 시행 및 트래픽 최적화가 더욱 발전할 것으로 예상됩니다.
이러한 새로운 아키텍처 접근 방식은 특히 성능의 지연 시간 측면을 개선하는 것을 목표로 하는 흐름 (5)와 (7)을 대상으로 할 것입니다. 
그림에서 볼 수 있듯이 보안과 최적화를 보편적으로 구현하는 개념, 특히 트래픽의 시작점에서 구현하면 최적의 성능을 얻을 수 있습니다.
주목해야 할 주요 트래픽 흐름은 (5)와 (7)로 표시되어 있습니다.
마이크로/미니 서비스 기반 애플리케이션 아키텍처의 보급이 애플리케이션 환경의 표준이 되고 있습니다.
이러한 미니 서비스는 쿠버네티스 클러스터 내에 배포하거나 데이터 센터 내의 클러스터 또는 여러 지리적 위치에 분산하여 배포할 수 있습니다.
통신 서비스가 동일한 Kubernetes 클러스터 내에 존재하는 시나리오에서는 트래픽이 클러스터 내에 유지되도록 하는 것이 유리하며, 이를 통해 Kubernetes 환경 내에서 직접 보안 및 최적화를 적용할 수 있습니다.
쿠버네티스는 미니 서비스를 호스팅하는 POD에 사이드카를 쉽게 추가할 수 있습니다.
향후 SASE 공급자는 이 기능을 활용하여 성능 저하 없이 제로 트러스트 요구 사항을 충족하면서 포괄적인 보안 및 최적화 기능을 제공할 것으로 예상됩니다.
단일 범용 SASE 공급업체를 선택하면 기업은 통신 서비스 배치에 관계없이 모든 보안 요구 사항에 대한 통합 관리 인터페이스를 사용할 수 있습니다.
그림의 흐름(5)은 사이드카(SC)를 통한 보안 적용을 보여줍니다.
서비스 메시 기술은 트래픽 관리를 위해 유사한 접근 방식을 사용하며, 사이드카는 쿠버네티스 세계에서 새로운 것이 아니라는 점에 유의하는 것이 중요합니다.
일부 서비스 메시 제공자는 WAAP와 같은 위협 보안을 사이드카에 통합하기 시작했습니다.
서비스가 인터넷 및 다른 SaaS 서비스와 통신할 수 있다는 점을 고려하면 포괄적인 보안 조치가 필수적입니다.
따라서 기업들이 포괄적이고 통합된 솔루션을 모색함에 따라 향후 서비스 메시와 SASE가 융합될 것으로 예상됩니다.
(7)로 표시된 트래픽은 많은 SASE 제공업체가 고려하고 있는 사항으로, VPN 클라이언트 기능뿐만 아니라 엔드포인트에서 직접 SASE 기능을 수행하는 것을 포함합니다.
엔드포인트로 SASE를 확장하면 POP 위치와 관련된 지연 문제를 우회하는 데 도움이 됩니다.
엔드포인트의 컴퓨팅 성능이 향상되고 악의적인 주체의 서비스 거부를 방지하는 향상된 제어 기능을 제공함에 따라 엔드포인트에 SASE 적용을 확장하는 것이 가능해졌습니다.
서비스 제공업체는 SASE 측면의 유지 관리 부담을 처리하지만, 기업은 엔드포인트에서 SASE를 구현할 때 새로운 문제가 발생하지 않도록 해야 할 수 있습니다.
따라서 기업은 특히 파워 유저를 위해 엔드포인트에 SASE를 유연하게 확장할 수 있는 방법을 모색합니다.
마무리 생각
이 문서에서는 레거시 시스템에서 최신 클라우드 제공 솔루션, 분산 적용이 가능한 통합 SASE, 향후 아키텍처 설계에 이르기까지 네트워크 및 보안의 진화 과정을 설명했습니다.
솔루션 제공의 다양성을 인식하는 것이 무엇보다 중요합니다.
기업은 서비스 제공업체에 대한 철저한 평가를 수행하여 보안과 성능을 모두 유지하는 일관된 관리 관행을 유지하면서 PoP 및 CPE 디바이스 전반의 분산 적용을 포괄하고 OS 및 소프트웨어 업그레이드를 포함하는 ‘서비스형’ 솔루션을 찾아야 합니다.
또한 기업은 단일 제공업체의 관리형(또는 공동 관리형) 서비스를 우선적으로 고려하는 것이 중요합니다.
이러한 서비스는 고급 기술 지원과 함께 인터넷 연결 솔루션을 제공할 뿐만 아니라 새로운 요구사항에 신속하게 적응하고 새로운 위협에 대처할 수 있어야 합니다.
다른 SASE 공급업체의 서비스로서의 서비스를 사용하는 매니지드 서비스 제공업체를 선택하면 향후 개선 사항이 복잡해질 수 있으며, 매니지드 서비스와 기술 제공업체 간의 협상이 장기화될 수 있습니다.
신속한 해결이 필수적인 상황에서 한 공급업체에서 포괄적인 매니지드 서비스를 제공하는 통합 SASE 솔루션은 기업에게 이상적인 선택이라고 생각합니다.
-
CTO 인사이트 블로그
아리아카 CTO 인사이트 블로그 시리즈는 네트워크, 보안 및 SASE 주제에 대한 사고 리더십을 제공합니다.
아리아카 제품 사양은 아리아카 데이터시트를 참조하세요.