Enterprises have moved away from traditional hub-and-spoke architectures where network security was focused on safeguarding the network perimeter—the boundary between the trusted internal network and the untrusted external network.
In today’s landscape, enterprise users and workloads are highly distributed due to a surge in cloud adoption, SaaS usage, and a hybrid workforce model.
Enterprises must also cope with an increasing number of sophisticated cyberattacks.
Threat actors are constantly finding innovative ways to exploit enterprise IT infrastructure and compromise its data and digital assets.
In this dynamic and distributed environment, it is important to ensure that both remote and branch users experience peak application performance and have secure access to applications, data, and the internet.
To address these networking and security needs, enterprises must rely on multiple-point solutions that increase operational complexity, present management challenges, and raise costs.
Enterprises are looking to transition from conventional product-centric solutions to a cohesive as-a-service model.

싱글 패스 아키텍처를 갖춘 아리아카 통합 SASE

Aryaka Unified SASE combines networking and security into an as-a-service (‘all-in-one’) solution that helps enterprises modernize their infrastructure.
This solution allows an enterprise to configure, manage, and observe its network, security, applications, and users, all through a single management console without having to rely on disaggregated single-point solutions for each function independently.
A defining feature of the Aryaka Unified SASE solution is its single-pass architecture that allows enterprises to perform comprehensive inspections and processing, while examining a given data packet only once.
This approach reduces the attack surface and minimizes latency that would otherwise result from processing individual functions separately.
Aryaka has built an integrated architecture that offers a hybrid deployment solution to meet the needs of the enterprise for both on-premises and remote users.
Security enforcement for workloads and users takes place directly at the edge appliance: either at the Aryaka Network Access Point (ANAP) for site users or at the Aryaka PoP for remote users.
Additionally, enterprises can benefit from our integrated lifecycle management support and managed services that offer a personalized experience for deployments and issue resolution 24/7.
Aryaka plans to incorporate additional capabilities and features in the future, all seamlessly integrated into our single-pass architecture.

사용 사례

The Aryaka SmartSecure NGFW-SWG (Next Generation Firewall- Secure Web Gateway) strategy is to allow enterprises to replace traditional multi-vendor networking and security services with a unified platform from a single vendor.
The primary focus is described in the following two distinct use cases:

1. 타사 온프레미스 방화벽을 아리아카 차세대 방화벽으로 교체합니다.

The first use case is replacing an enterprise’s existing on-premises firewall from a third-party security vendor with our natively built Aryaka solution.
To accomplish this, Aryaka has built a dedicated security stack on top of our Software Defined Wide Area Network (SD-WAN) architecture that applies a common framework to a series of security policy engines.
Many vendors must tunnel traffic to PoPs for security inspections.
Aryaka can inspect traffic on the ANAP itself for on-premises users.
Policy engines perform Next Generation Firewall and Secure Web Gateway (NGFW-SWG) security inspections, ensuring traffic is only sent to its intended destination when required.
Both inbound and outbound traffic undergoes thorough examination for both pre-SSL and post-SSL data flows for the connections initiated from the LAN interface.
In this use case, internet breakout occurs at the ANAP.

2. 클라우드 네이티브 보안 웹 게이트웨이 공급업체 교체

The second use case is replacing an enterprise’s cloud-based Secure Internet Access (SIA) or Secure Web Gateway (SWG) vendors with Aryaka’s natively built security stack on both PoPs and ANAPs.
The Aryaka NGFW-SWG protects web-based and SaaS application users from internet-borne threats.
Using our PoP-centric cloud service delivery, Aryaka offers comprehensive security directly from the PoP to remote users who access enterprise resources and cloud applications using the Aryaka VPNaaS client.
This ensures secure connectivity for direct connections from headquarters and branch offices that do not have an ANAP within a cloud-as-a-service model.
In these scenarios, internet breakout occurs at the PoP.
The ANAP and the PoP both host identical security stacks to secure enterprise users and workloads from modern internet-borne threats.
This ensures a consistent user experience whether the user is on-premises or remote.
User licenses are used to provide NGFW-SWG security services to private access users.
The following graphic depicts distributed policy enforcement on Aryaka PoPs and ANAPs.
Security scanning occurs at the service edges to protect both on-premises and remote users. img


주요 특징

  • 클라우드 네이티브 통합 플랫폼
  • 싱글 패스 아키텍처
  • 안전한 브랜치 및 원격 액세스
  • 안전한 인터넷 액세스
  • 안전한 클라우드 액세스
  • 분산 정책 적용
  • 운영 간소화
  • 통합 관리 및 통합 가시성
  • 연중무휴 24시간 라이프사이클 관리 지원 서비스

주요 차별화 요소

싱글 패스 아키텍처

The Aryaka single-pass architecture processes network and security policies in a single pass, without the need for a packet to go through multiple security processing stages that can introduce latency and increase processing requirements.
We process a packet once and only perform one TLS inspection across the entire packet flow.
Our management interface—MyAryaka— provides dashboards, analytics, observability, management, and monitoring for all networking and security services.
Telemetry is collected in near-real time from all security engines and provides insights into security incidents, threat management, and performance.
Using our intuitive interface, enterprises have the flexibility to self-manage security policies and create access controls without having to switch between multiple management consoles.
Our unified control plane combines networking and security capabilities to provide consistent policy enforcement on the ANAP, the PoP, or both.
This protects the enterprise’s users wherever they are.
The distributed data plane allows for policy enforcement at the nearest PoP and at the ANAP edge, allowing security enforcement to happen closer to the source.
For enterprises with site users behind an ANAP, network, security and application processing are performed at the ANAP itself.
For private access users and enterprise sites without an ANAP, traffic is processed at one of our 40+ globally distributed hyperscale PoPs that reach 95% of the world’s business population across six continents (including China).

다중 테이블 정책 관리

The conventional approach to policy management places all security policies into one complex table.
This approach leads to confusing and error-prone configurations, a degraded user experience, cumbersome policy management, and complicated troubleshooting that increases the risk of security breaches.
Our modular, multi-table approach to policy management includes multiple security engines, each with distinct security functions such as threat protection, reputation services, and application- and user-based access controls.
Each security function has its own set of policy configurations, match criteria, and policy actions.
With our approach, enterprises can benefit from ease of maintenance, operational simplicity, and the flexibility to create granular policies for pre-TLS, pre-SSL, and post-SSL traffic.

아리아카 스마트보안 서비스

아리아카 스마트시큐어 차세대 방화벽 – 보안 웹 게이트웨이(NGFW-SWG)

아리아카 스마트시큐어 안티 멀웨어 애드온

아리아카 스마트시큐어 침입 방지 시스템(IPS) 애드온

1. 아리아카 스마트시큐어 NGFW-SWG

The NGFW-SWG is an integral component of the Aryaka SASE solution.
It is a natively built, easy to use, managed solution that combines NextGen Firewall and Secure Web Gateway security services into a single unified service.
The primary objective of the Aryaka SmartSecure NGFW-SWG is to protect users from internet-born threats and evolving cyber threats.
It achieves this by intercepting user traffic and applying various security controls to network traffic.
The Aryaka SmartSecure NGFW-SWG performs deep packet inspection (DPI) that thoroughly examines the actual content of the data payload for inbound and outbound traffic associated with connections originating from LAN interface.

2. 아리아카 스마트시큐어 안티 멀웨어 애드온

The optional Aryaka SmartSecure Anti-Malware service provides an additional layer of defense that enhances enterprise security by detecting known malware, viruses, and file-based threats for inbound and outbound traffic.
The Anti-Malware security engine performs DPI to evaluate network traffic against a database of known malware signatures and patterns.
If a match is found, the event is logged for further forensic analysis.

3. 아리아카 스마트시큐어 침입 방지 시스템(IPS) 애드온

옵션으로 제공되는 아리아카 스마트시큐어 IPS 서비스에는 WAN 인터페이스의 인바운드 트래픽과 LAN 인터페이스의 아웃바운드 트래픽을 검사하는 보안 엔진이 포함되어 있습니다.
이 암호화 및 비암호화 트래픽은 사용자 트래픽을 가로채고 데이터 패킷에 다양한 IPS 정책을 적용하는 시그니처 기반 탐지 메커니즘을 사용하여 악의적인 침입 활동을 지속적으로 모니터링합니다.
지점과 원격 사용자 모두 트로이 목마, 웜, 셸코드 익스플로잇, 애드웨어 등을 포함한 53개 범주에 걸쳐 잠재적인 침입을 보호하고 모니터링합니다.

기능 목록

지점 및 비공개 액세스 사용자는 사이트 및 사용자 라이선스를 통해 모든 Aryaka SmartSecure 기능을 사용할 수 있습니다. 아리아카 스마트시큐어 CASB, 아리아카 스마트시큐어 안티멀웨어, 아리아카 스마트시큐어 IPS는 두 지역에서 애드온 서비스로 제공됩니다: 중국 본토와 나머지 지역(ROW)입니다. 기업은 필요에 따라 둘 중 하나 또는 두 가지 옵션을 모두 선택할 수 있습니다. 아리아카는 보안 서비스가 발전함에 따라 추가 기능을 제공할 계획입니다.

아리아카 스마트시큐어
NGFW-SWG

아리아카 스마트시큐어 안티 멀웨어
애드온

아리아카 스마트시큐어 침입
예방 시스템 애드온

아리아카 스마트시큐어 NGFW-SWG, 안티멀웨어 애드온 및 IPS 애드온

기능 설명
1. 아리아카 스마트시큐어 NGFW-SWG
도메인 평판 7억 5천만 개 이상의 도메인에 대한 평판 점수를 사용하여 악성 도메인으로 부터 사용자를 보호합니다.
HTTP 트래픽의 경우 HTTP 헤더에서 도메인 이름을 추출합니다.
HTTPS 트래픽의 경우 SSL/TLS 핸드셰이크 중 “서버 안녕하세요” 메시지에서 도메인 이름을 추출합니다.
URL 평판 320억 개 이상의 URL에 대한 평판 점수를 사용하여 사용자가 악성 URL에 액세스하지 못하도록 보호합니다.
IP 평판 43억 개 이상의 IP(모든 IPv4 및 사용 중인 IPv6 포함)에 대한 IP 평판 판정(양호 또는 불량)을 사용하여 사용자가 악성 IP에 액세스하지 못하도록 제한합니다.
카테고리 기반 필터링 중요한 웹 카테고리를 그룹화하고 이러한 사전 정의된 카테고리에 따라 트래픽을 허용하거나 거부하는 정책을 적용하여 정책 관리를 간소화합니다.
애플리케이션 기반 접속 제어(기본 CASB) 아리아카의 인라인 CASB는 심층 패킷 검사(DPI)를 사용하여 네트워크 트래픽과 애플리케이션을 식별하고 분류한 다음, 검색된 승인된 애플리케이션과 승인되지 않은 애플리케이션에 접속 제어를 적용합니다.
DNS 필터링 도메인 및 IP 평판 점수를 기반으로 특정 웹사이트에 대한 액세스를 허용하거나 거부하기 위해 DNS 쿼리 및 응답을 검사합니다.
DNS 프로토콜이 아닌 메시지가 포트 53에 도착하면 패킷은 자동으로 삭제됩니다.
웹 액세스 제어 HTTP 및 HTTPS 트래픽 모두에 대한 HTTP 헤더와의 일치를 포함하여 SSL 이후 트래픽에 대한 액세스 제어 기능을 제공합니다.
HTTP 헤더는 보안 정책에서 참조할 수 있는 재사용 가능한 자산으로 저장할 수 있습니다.
네트워크 액세스 제어 SSL 이전 트래픽에 대한 액세스 제어 기능을 제공합니다.
트래픽을 허용, 거부 또는 모든 후속 처리 엔진으로 건너뛰도록 허용할 수 있습니다.
ID 및 액세스 관리(사용자 기반 액세스 제어) 기업에서 타사 IdP(ID 공급자)에 연결하거나 Aryaka를 IdP로 사용할 수 있습니다.
지원되는 IdP는 Enterprise LDAP, 온-프레미스 AD, Okta, Azure AD 및 Aryaka DB입니다.
Azure AD 및 Okta는 SAML 및 OIDC 인증 표준을 기반으로 합니다.
IdP는 인증 및 권한 부여를 위해 사용자를 캡티브 포털로 리디렉션합니다.
권한이 없는 사용자는 사용자 지정 차단 페이지로 리디렉션됩니다.

기능 설명
2. 아리아카 스마트시큐어 안티 멀웨어 애드온
멀웨어 보호 모든 유형의 알려진 멀웨어를 탐지하고 온프레미스 및 클라우드 엣지에서 멀웨어를 삭제하여 추가적인 방어 계층을 제공하고 대역폭을 확보합니다.
아리아카는 최신 위협 인텔리전스로 엣지를 지속적으로 업데이트하여 새로운 위협의 배포를 효과적으로 차단합니다.
파일 기반 위협 보호 파일 콘텐츠를 스캔하고 콘텐츠가 다운로드 중이거나 네트워크에서 전송되는 동안 파일 평판을 기반으로 바이트 단위로 동적으로 결정합니다.
업계 표준 MD5 파일 해시는 파일 이름, 플랫폼, 암호화에 관계없이 파일을 고유하게 식별하는 지문으로 사용됩니다.
고속 파일 처리로 최종 사용자 경험에 영향을 주지 않습니다.
안티바이러스(AV) 보호 위협 인텔리전스 데이터베이스에서 자동으로 업데이트되는 침해 지표(IOC) 및 서명을 참조하여 바이러스 감염을 방지합니다.

기능 설명
3. 아리아카 스마트시큐어 침입 방지 시스템 애드온
서명 기반 탐지 시그니처 기반 탐지를 사용하여 WAN 및 LAN 인터페이스의 암호화 및 비암호화 트래픽에 대한 악의적인 침입 활동을 지속적으로 검사합니다.
잠재적인 위협이 디지털 자산에 해를 끼치기 전에 차단됩니다.
패킷 이상 탐지 서명을 기반으로 예상 표준에서 벗어난 프로토콜을 식별한 다음 시스템 관리자에게 알림을 보내 문제 해결을 수행하도록 합니다.
공통 취약점 노출(CVE) 보호 알려진 취약점 및 익스플로잇을 완화하여 기업의 공격 표면을 줄입니다.
명령 및 제어(봇넷) 보호 내부 자산을 보호하기 위해 C2 서버와의 통신 및 봇넷 활동을 탐지하고 차단합니다.
DoS 및 DDoS 보호 시그니처 기반 탐지 및 속도 제한 메커니즘을 사용하여 DoS 및 DDoS 공격으로부터 기업 네트워크 자산을 보호하여 다운타임을 방지합니다.


기능 설명
4. 아리아카 스마트시큐어 NGFW-SWG, 안티멀웨어 애드온 및 IPS 애드온
SSL/TLS 검사 및 복호화 개인 식별 정보(PII)의 민감도에 따라 패킷을 선택적으로 해독하는 옵션과 함께 동적 인증서 생성을 사용하여 암호화 및 비암호화 트래픽에서 공격을 탐지합니다.
암호화된 트래픽의 이상 징후를 더 잘 탐지하기 위해 TLS 검사를 사용하여 패킷을 해독합니다.
그런 다음 검사가 완료되면 패킷이 다시 암호화됩니다.
중앙 집중식 관리 분산된 네트워크 및 클라우드 리소스 전반에서 SD-WAN 및 보안 정책을 일관되게 정의할 수 있습니다.
실시간 위협 인사이트 Aryaka 통합 콘솔을 사용하여 보안 이벤트와 위협 인사이트에 대한 가시성 및 관찰 기능을 제공합니다.
보안 보고서 및 분석 구성 가능한 기간 동안 기업의 위협 환경에 대한 종합적인 요약 보고서와 그래프를 제공합니다.
알림 신속한 사고 대응을 위해 관리자에게 보안 이벤트에 대해 알립니다.
로깅 디버깅을 위해 이벤트에 대한 유용한 정보가 포함된 보안 로그를 생성하고 업데이트합니다.
셀프 서비스 기업이 MyAryaka 사용자 인터페이스에서 보안 정책을 구성하고 자체 관리할 수 있는 유연성을 제공합니다.

*아리아카 보안 서비스는 더 많은 서비스를 포함하여 계속 발전할 예정입니다.

라이선스

NGFW-SWG, 안티멀웨어 및 IPS 서비스에는 사이트 라이선스와 사용자 라이선스의 두 가지 유형의 라이선스가 있어 다양한 배포 요구 사항을 충족할 수 있습니다.
사이트 라이선스는 특정 위치에서 NGFW-SWG, 안티멀웨어 및 IPS 서비스를 활성화하는 데 사용됩니다.
사용자 라이선스는 원격 사용자에 대한 NGFW-SWG, 안티멀웨어 및 IPS 서비스를 활성화하는 데 사용됩니다.

보안 서비스 전제 조건 구독 시 자격
NGFW-SWG* 아리아카 SD-WAN 또는 아리아카 스마트시큐어-프라이빗 액세스 FWaaS 및 NGFW-SWG 보안 기능
맬웨어 방지 애드온 아리아카 SD-WAN 또는 아리아카 스마트시큐어-프라이빗 액세스 및 NGFW-SWG FWaaS, NGFW-SWG 및 안티멀웨어 애드온 보안 기능
IPS 애드온 아리아카 SD-WAN 또는 아리아카 스마트시큐어-프라이빗 액세스 및 NGFW-SWG FWaaS, NGFW-SWG, 안티멀웨어, IPS 애드온 보안 기능

*NGFW-SWG 사이트 라이선스는 사이트 라이선스와 동일한 티어(XS, S, M, M+, L, XL 및 BYO)로 제공됩니다.

주요 비즈니스 성과 및 혜택


글로벌, 확장성, 유연성

언제 어디서나 모든 사용자를 위한 포괄적인 보안을 받으세요.
40개 이상의 PoP를 보유한 Aryaka는 기업의 성장과 수요 변화를 수용하고 고유한 운영 요구 사항에 맞게 조정할 수 있습니다.


단일 공급업체를 통한 엔드투엔드 연결성

아리아카의 서비스형 솔루션으로 네트워킹 및 보안 서비스에 대한 단일 연락 창구를 유지하세요.


어디서나 일관된 보호

네트워킹과 보안을 공통 보안 정책 프레임워크에 통합하여 온프레미스 및 원격 근무자 모두에게 일관된 보안을 제공하세요.


운영 간소화

멀티벤더 네트워크 및 보안 솔루션을 배포하고 유지 관리하는 데 필요한 복잡성, 오버헤드, 교육이 줄어든 Aryaka의 통합 관리 콘솔인 MyAryaka를 만나보세요.


탁월한 사용자 경험

전송 중이거나 미사용 중인 데이터를 보호하면서 애플리케이션에 빠르고 원활하게 액세스할 수 있습니다.


총소유비용(TCO) 절감

복잡하고 끊임없이 변화하는 위협 환경에서 멀티포인트 하드웨어 및 소프트웨어 솔루션의 크기 조정, 구매, 설치, 업그레이드, 패치, 관리에 대한 부담을 없애 비용을 절감하세요.


아리아카 소개

아리아카는 성능, 민첩성, 단순성, 보안을 타협 없이 제공하도록 설계 및 구축된 유일한 SASE 솔루션인 서비스형 통합 SASE를 최초로 제공한 선도 기업입니다.
아리아카는 고객의 고유한 SASE 여정에 맞춰 고객이 네트워킹 및 보안 환경을 원활하게 현대화, 최적화, 혁신할 수 있도록 지원합니다.
아리아카의 유연한 제공 옵션을 통해 기업은 구현 및 관리를 위해 선호하는 접근 방식을 선택할 수 있습니다.
포춘 100대 기업을 포함한 수백 개의 글로벌 기업이 클라우드 기반 소프트웨어 정의 네트워킹 및 보안 서비스를 위해 Aryaka를 이용하고 있습니다. 아리아카에 대한 자세한 내용은 www.aryaka.com 에서 확인하세요.