SASE란 무엇인가요? SASE(보안 접속 서비스 엣지)는 Gartner에서 정의한 개념입니다.
네트워크 보안 기능은 새로운 것이 아니며 SD-WAN도 업계에서 새로운 것이 아닙니다.
SASE는 이러한 기능을 클라우드 서비스로 제공합니다.
간단히 말해, SASE는 SD-WAN과 네트워크 보안 기능을 결합하여 클라우드 서비스로 제공합니다.
SD-WAN 공급업체는 지리적으로 분산된 PoP 인프라를 통해 여러 위치에 여러 지사를 보유한 기업에 결정적이고 안정적인 연결을 제공합니다.
또한 SD-WAN 서비스는 VPN 기반 보안 원격 액세스를 제공하여 재택근무(WFH) 및 로밍 사용자를 기업 네트워크에 연결합니다.
대부분의 SD-WAN 서비스에는 방화벽 및 NAT와 같은 기본 보안 구성 요소도 포함되어 있습니다.
다양한 기업 자산을 보호하기 위한 차세대 방화벽, 멀웨어 방지, URL 필터링, 데이터 손실 방지 기능 등 위협 방지 기능을 SD-WAN과 결합하면 기업에게 다양한 이점을 제공합니다.
덜 복잡한 네트워크 인프라, 엔터프라이즈 사이트, 클라우드 서비스, SaaS 서비스, 분산된 인력, 엔터프라이즈 애플리케이션의 부하 증가에 따른 더 빠른 스케일아웃 등의 이점이 있습니다.
또한 엔터프라이즈 관리자는 정책 관리 및 가시성을 위한 단일 창을 볼 수 있습니다.
네트워킹 및 보안의 분산된 적용 지점은 사용자 및 애플리케이션이 어디에 있든 일관되고 결정적인 경험을 제공합니다. SASE는 무엇을 구성하나요? 아래 그림은 SASE의 통합 보기를 제공합니다.
SASE 서비스는 클라이언트 엔티티와 엔터프라이즈 애플리케이션/데이터 자산 사이에 위치합니다.
클라이언트는 사람 클라이언트, 기기, 프로그램 등이 될 수 있습니다.
클라이언트는 어디에나 있을 수 있습니다.
디지털 트랜스포메이션을 통해 엔터프라이즈 애플리케이션 및 데이터는 엔터프라이즈 온프레미스 위치와 콜로스에만 국한되지 않습니다.
기업들은 복원력, 이중화, 짧은 대기 시간, 규제 등의 이유로 여러 지역과 여러 클라우드에 애플리케이션을 배포하고 있습니다.
또한 여러 위치에 배포되는 SaaS 서비스를 사용하는 기업도 점점 더 많아지고 있습니다.
어디서나 클라이언트와 서비스를 이용할 수 있기 때문에 SASE 서비스도 분산된 서비스로 제공되지만 물론 공통의 관리 플레인을 사용합니다.
SASE의 주요 구성 요소는 다음과 같습니다: SD-WAN: SD-WAN은 중앙 관리가 가능한 여러 PoP를 통해 사무실과 데이터 센터 간에 안전하고 최적화되고 결정적이며 안정적인 연결을 제공합니다.
SD-WAN 서비스는 점점 더 스마트해지고 있습니다.
MPLS 대체와 관련된 기본 기능뿐만 아니라 사용자 및 애플리케이션 인식 라우팅/QoS, 지능형 라우팅을 통한 SaaS 가속, 중복 데이터에 대한 저지연 액세스를 위한 WAN 최적화 및 캐싱, NAT, 방화벽, VPN과 같은 기본 보안 서비스까지 제공합니다. 차세대 방화벽(NGFW): 모든 유형의 액세스를 위한 기본 보안 기술입니다.
일반적으로 NAT, 상태 저장 검사, IDS/IPS(침입 탐지 및 방지 시스템) 서비스를 제공합니다.
제로 트러스트 요구 사항을 해결하기 위해 SASE 아키텍처의 NGFW는 ID 인식 접속 기능을 지원해야 합니다. 제로 트러스트 네트워크 액세스(ZTNA): ZTNA 기능은 기업 애플리케이션 및 관련 데이터를 보호합니다.
SD-WAN 서비스에는 VPN 및 상태 저장 검사 방화벽을 통한 기본 ZTNA 기능이 있습니다.
이것만으로는 SASE 아키텍처에서 ZTNA라고 부르기에는 충분하지 않습니다.
ZTNA 기능에는 ID 인식 애플리케이션 접속, ‘최소 권한 접속’ 원칙을 해결하기 위한 사용자 역할 기반 세분화된 애플리케이션 접속, 클라우드 및 데이터센터 전반에서 애플리케이션의 여러 인스턴스에 대한 트래픽 엔지니어링, 중요 서비스에 대한 권한 접속 관리 등이 포함됩니다.
차별화된 ZTNA 프레임워크는 위협 보호와 데이터 유출 시도를 차단하기 위해 WAF(웹 애플리케이션 방화벽), API 보안, DLP(데이터 손실 방지) 및 멀웨어 방지 기능으로 강화되었습니다. CASB(클라우드 액세스 보안 브로커): CASB 기능은 정품 사용자만 허용된 리소스에 액세스할 수 있도록 하여 SaaS 서비스의 엔터프라이즈 데이터를 보호합니다.
더 중요한 것은 액세스하는 사용자와 리소스에 대한 가시성을 제공한다는 점입니다.
또한 CASB는 승인되지 않은 SaaS 사이트에 대한 액세스를 차단하는 데에도 도움이 됩니다.
CASB는 트래픽을 가로채기 때문에 섀도 IT 액세스를 식별하고 기업 계정과 개인 계정 간에 데이터 유출이 있는지 확인할 수 있습니다.
일부 SaaS 공급업체는 인라인 보안을 권장하지 않습니다.
이러한 SaaS 서비스에 대한 기업의 보안 요구 사항을 해결하기 위해 API 수준의 CASB가 SASE 솔루션에 포함될 것으로 예상됩니다. API 수준 CASB는 SaaS 제공업체 API와 함께 작동하여 권한을 자동화하고 콘텐츠에서 멀웨어 및 데이터(민감, PII) 유출을 검사합니다. 보안 웹 게이트웨이(SWG): SWG 기능은 인터넷에 액세스하는 동안 기업 클라이언트 자산을 보호합니다.
사용자가 멀웨어를 호스팅하는 악성 사이트와 비밀번호를 훔치는 소셜 엔지니어링 사이트를 방문하지 못하도록 차단합니다.
또한 사용자가 멀웨어 콘텐츠를 다운로드하거나 업로드하지 못하도록 차단합니다.
SWG는 URL 멀웨어 필터링 및 멀웨어 방지 기능을 포함하여 이를 수행합니다.
또한 신원 기반 URL 필터링 기능을 제공하여 사용자 그룹/역할에 따라 인터넷 서비스에 대한 차별화된 액세스를 제공합니다. 통합 SASE 기업이 SASE의 모든 혜택을 누리기 위해서는 다양한 보안 기능과 SD-WAN의 진정한 융합이 중요합니다.
SASE 솔루션은 SD-WAN 인프라에서 제공되는 여러 보안 기능의 느슨한 결합으로 시작되었습니다.
기업들은 하나의 공급업체가 SASE의 모든 기능을 제공한다고 생각하지만, 이러한 분리된 솔루션 접근 방식(“분리된 SASE”)에는 몇 가지 문제가 있습니다:
- 여러 개의 정책 구성 대시보드: 반복적인 구성과 가파른 학습 곡선으로 이어질 수 있으므로 구성 오류가 발생할 수 있습니다.
- 여러 통합 가시성 스택: 엔드투엔드 통합 가시성 및 상관관계가 부족하면 사고를 놓치고 사고 대응이 느려질 수 있습니다.
- 프록시 체인의 성능 문제: 트래픽을 전송하는 프록시가 여러 개 있으면 여러 번의 TCP/TLS 종료, 인증 및 여러 번의 홉이 발생할 수 있습니다.
이로 인해 지연 시간이 길어지고 처리량이 감소하여 사용자 경험에 영향을 미칠 수 있습니다. - 여러 PoP의 성능 문제: 다양한 PoP의 보안 기능 및 SD-WAN은 트래픽에 대한 PoP 호핑으로 이어질 수 있으며, PoP 호핑으로 인한 지연 시간 증가로 인해 사용자 경험 문제가 발생할 수 있습니다.
통합 SASE는 위의 문제를 해결하는 공급업체와 관련된 용어입니다.
통합 SASE는 다음을 지원합니다.
- 구성과 가시성 모두를 위한 진정한 단일 창 방식
- SD-WAN 기능 및 보안 기능 전반에 걸친 공통 네트워크/서비스/애플리케이션/사용자 개체.
- 주어진 트래픽 세션은 SD-WAN 기능 및 보안 기능을 위해 하나의 PoP만 통과합니다.
- TLS 트래픽은 한 번만 검사합니다.
- SD-WAN 및 보안 기능 전반에서 특정 세션에 대한 싱글 패스 아키텍처.
- SASE 자체의 공격 표면 감소
따라서 기업은 더 나은 사용자 경험, 비용 절감, 신뢰도 향상이라는 혜택을 누릴 수 있습니다.
또한 SASE 제공업체가 모든 보안 기능을 자체적으로 개발하지 못할 수도 있다는 점을 이해하는 것이 중요합니다.
일부 공급업체는 몇 가지 보안 기능에 특화되어 있기 때문에 기술 파트너십이 중요합니다.
파트너와의 긴밀한 기술 협력을 통해 종합적인 솔루션을 만들어 ‘통합 SASE’ 비전을 실현하는 것이 SASE 제공업체의 역할입니다. 유니버설 SASE SASE의 ‘엣지’ 부분은 SASE 제공업체의 PoP 위치 집합 또는 SASE의 다양한 보안 기능 제공업체의 여러 PoP/클라우드 집합입니다.
이는 분산형 아키텍처로, PoP가 전 세계에 분산되어 있고 각 PoP에 배포된 SASE 기능으로 인해 SASE가 분산되어 있다는 것을 의미합니다.
그렇긴 하지만 현재 SASE가 제공되는 방식은 모든 트래픽 세션을 잘 커버하지는 못합니다.
클라이언트 간에 WAN을 통해 인터넷 및 엔터프라이즈 리소스로 이동하는 트래픽 흐름은 잘 처리하지 못합니다.
이러한 트래픽 흐름을 생각해 보세요.
이러한 트래픽 흐름은 SASE 제공업체에서 잘 다루지 않습니다.
- 클라이언트 엔티티와 애플리케이션 서비스 엔티티가 모두 동일한 데이터 센터/VPC에 있는 경우의 트래픽 세션입니다.
- Kubernetes 클러스터 내의 마이크로서비스 간 트래픽 세션.
- 클라우드 공급자의 WAN 서비스를 통과하는 교차 VPC 트래픽 흐름.
- 5G 모바일 사용자 및 엣지 애플리케이션의 트래픽 세션.
네트워크 자동화 및 보안 적용은 다른 메커니즘에 의해 처리되거나 트래픽이 SASE PoP에 고정됩니다.
첫 번째 경우에는 균일성이 손실되고, 두 번째 경우에는 사용자 경험에 문제가 발생할 수 있습니다.
따라서 범용 SASE가 필요합니다.
SASE 서비스는 PoP 위치로만 제한되어서는 안 됩니다.
기업은 모든 트래픽 세션에 대해 균일한 방식으로 공통 네트워킹 및 보안 서비스를 기대할 것입니다.
유니버설 SASE는 클라우드 제공 관리 및 가시성 플랫폼을 통해 클라우드 네이티브 분산 데이터 플레인을 지원해야 합니다. 요약: SASE의 여정은 2019년에 시작되었습니다.
‘1세대’ SASE는 느슨하게 결합된 SD-WAN과 보안 기능으로 시작되었지만, 분산된 인력과 분산된 애플리케이션을 배포한 기업을 위한 진정한 제로 트러스트 아키텍처를 실현하기 위해 통합된 범용 SASE로 나아가는 여정이 시작되었습니다.
아리아카는 이 여정을 함께하고 있습니다. 자세한 내용을 알고 싶으시면 저희에게 문의하세요 추가 리소스 Dell’Oro 그룹 보고서: 통합 SASE: 단일 공급업체 SASE의 고려 사항
-
CTO 인사이트 블로그
아리아카 CTO 인사이트 블로그 시리즈는 네트워크, 보안 및 SASE 주제에 대한 사고 리더십을 제공합니다.
아리아카 제품 사양은 아리아카 데이터시트를 참조하세요.