지난주에는 엔터프라이즈급 SLA를 통해 지사에 인터넷 연결을 제공하는 혁신적인 접근 방식인 Aryaka HybridWAN에 대해 블로그에 소개한 바 있습니다. 물론 인터넷에 지점을 개설하는 순간부터 보안은 주요 관심사입니다.
SD-WAN의 보안과 관련해서는 업계에서 두 가지 일반적인 접근 방식이 있다는 것을 쉽게 알 수 있습니다:
- 통합 솔루션 자세란 “내 SD-WAN은 내 통합 보안 솔루션과 통합되어 제공되므로 다른 누구로부터도 보안을 제공받을 필요가 없으므로 내 SD-WAN을 사용해야 한다”는 의미입니다. 여러분의 니즈에 꼭 맞습니다.”
이러한 자세는 SD-WAN 업계에 널리 퍼져 있지만, 이는 종속 전략을 의미하며 기업의 특정 보안 선호도와 요구사항에 맞지 않을 수 있습니다. - 개방형 솔루션 자세란 “SD-WAN 기업으로서 대부분의 기업이 특정 요구사항에 맞는 다계층 보안 접근 방식을 맞춤화해야 한다는 점을 잘 알고 있으므로 기본적인 보안 기능을 제공하되, 개방형 자세를 유지하고 여러 주요 보안 기업과 협력하여 고객이 진정한 맞춤형 보안 솔루션을 구축할 수 있도록 할 것”이라는 의미입니다.
아리아카는 개방형 보안 솔루션 태세를 확고히 지지하는 SD-WAN 기업입니다.
그 이유는 무엇일까요?
무엇보다도 고객을 최우선으로 생각하는 기업이기 때문입니다.
2019 WAN 현황 보고서에서는 SD-WAN을 배포하는 모든 기업이 보안을 가장 중요하게 생각하지만, 대부분의 기업은 선택의 폭이 넓어야 한다는 사실을 확고히 확인했습니다.
엔터프라이즈 아키텍처 문제부터 규제 요구사항에 이르기까지 다양한 이유로 인해 단일 보안 솔루션이 기업의 모든 요구사항을 충족하는 경우는 드뭅니다.
여러 업계 분석가들도 보안에 대한 다층적 접근 방식의 필요성을 거듭 강조하고 있습니다.
보안에 대한 아리아카의 접근 방식은 개방적이고 간단합니다: 첫째, 보안의 기초적인 측면이 있습니다.
브랜치에는 기본적인 스테이트풀 방화벽과 정책 기반 세분화가 필요합니다.
저희는 이 두 가지 기능을 브랜치 장치인 ANAP(Aryaka 네트워크 액세스 포인트)에 통합했습니다.
이 기능을 Aryaka Zones라고 부르며, ANAP에 무료 기본 기능으로 포함되어 있습니다.
Zones는 기본적인 액세스 보안을 위한 상태 저장 방화벽을 제공하여 지점을 외부 세계와 분리합니다.
또한 Zones에서는 정책에 따라 트래픽을 내부적으로 엄격하게 세분화하는데, 이는 일반적으로 공용 인터넷(게스트 WiFi, 소비자 앱 등), 클라우드 보안, DMZ, 기업 트래픽의 엄격한 분리를 의미합니다.
아리아카의 정책은 한 지점에서 최대 32개의 영역을 유연하게 수용할 수 있습니다.
동서 세분화뿐만 아니라 지점 내 또는 지점 간 세그먼트 간 제한적이고 안전한 통신을 시행하는 데에도 Aryaka Zones를 활용할 수 있습니다. 둘째, Aryaka는 선택의 폭과 손쉬운 통합을 제공하기 위해 Zscaler, Palo Alto Networks, Symantec 등의 클라우드 보안 리더와 협력합니다.
다시 아키텍처 지원으로 돌아가 보겠습니다: VLAN 기반 세분화도 훌륭하지만 VRF(가상 라우팅 및 포워딩)라고 하는 레이어 3에서의 세분화가 필요한 애플리케이션 사례가 많이 있습니다.
VRF를 사용한 레이어 3 세분화의 대표적인 사용 사례는 멀티 테넌시입니다.
이 기능은 ANAP에도 포함되어 있기 때문에 저희도 이 기능을 제공한다고 말씀드려도 놀라지 않으실 것입니다.
아키텍처적으로 다계층 세분화를 구현하고 중요한 정책 프레임워크를 지원하면 마이크로 세분화 아키텍처를 지원하는 것입니다.
하지만 잘 들어보세요: Aryaka는 보안에 대한 제로 트러스트 접근 방식을 지원하는 마이크로 세분화 솔루션의 전체 스택을 제공하지는 않습니다.
당사는 L2 및 L3에서 아키텍처 지원 기능을 제공합니다.
L2/3의 기본 마이크로 세분화 기능을 중요한 프레임워크에 연결하여 소위 제로 트러스트 태세를 제공하는 더 높은 수준의 업계 사실상의 표준 ID 및 정책 프레임워크가 있습니다.
마이크로 세분화와 제로 트러스트는 떼려야 뗄 수 없는 관계로, 한 가지를 이야기하자마자 업계 전문가들이 다른 하나에 대해 물어볼 것입니다.
그렇다면 제로 트러스트란 무엇일까요?
요즘 많은 것들이 그렇듯이 업계 표준이 없기 때문에 간단하게 설명해드리겠습니다: 제로 트러스트 신원이 확인되지 않는 한 어떤 것도, 누구도 기업 내로 들어오지 못하도록 하고, 액세스가 허용되면 정책을 통해 네트워크의 일부 선택된 마이크로 세그먼트에 매핑하는 보안 태세입니다.
제로 트러스트는 IP 네트워크가 가능하게 한 보편적 연결이라는 전제에 대한 반작용이라고 할 수 있습니다.
IP의 보편적 연결 스택은 산업 혁명을 가능하게 했지만, 그 보편적 연결성은 문제가 되었습니다.
그 결과, 우리는 보편적 연결성을 무력화하기 시작했습니다.
방화벽이 우선이었습니다.
침입 탐지가 그 뒤를 이었습니다.
통합 위협 관리는 그 다음 단계였습니다.
하지만 생각해 보면 이 모든 것은 수동적인 방어 태세입니다.
제로 트러스트는 기업 보안 아키텍처에서 파괴적이고 공세적인 움직임을 나타냅니다.
제로 트러스트 아키텍처에 대해 한 가지 더 말씀드리자면, 스택에 관련된 모든 기술 공급업체의 매우 개방적인 접근 방식이 필요하며 단일 공급업체가 모든 기업 도메인과 모든 기술 스택 계층을 커버할 수는 없습니다.
단일 사내 보안 솔루션을 옹호하는 SD-WAN 공급업체는 엔터프라이즈 보안이 나아갈 방향을 놓치고 있는 것이 분명합니다.
요약하자면 다계층 보안에 대한 아리아카의 개방형 접근 방식은 기업이 선호하는 선택권을 제공하며, 새로운 제로 트러스트 보안 태세가 기본으로 필요로 하는 것을 제공합니다.