- SASE 설명
- SASE의 작동 원리
- SASE의 구성요소
- SASE를 고려해야 하는 이유
- 단일 벤더 또는 멀티 벤더 SASE
- 단일 벤더 SASE 플랫폼이란?
- SASE의 이점
SASE 설명
사용자들이 모든 위치에서 연결하고 클라우드의 민감 데이터를 액세스하는 상황에서 SASE는 애플리케이션 트래픽을 데이터 센터로 백홀링하지 않으므로 더 안전하고 유연한 연결 방식을 지원합니다. 그 대신 SASE는 지능적으로 트래픽을 클라우드로 조정하고 클라우드에서 바로 고급 보안 검사를 수행합니다.
SASE는 원격 사용자가 증가하고 기업에서는 계속해서 클라우드로 애플리케이션을 마이그레이션하는 상황에서 애플리케이션 성능 향상 및 네트워크 보안 강화에 대한 요구를 해결할 수 있습니다.
SASE의 작동 원리
SASE는 지점에 구축된 고급 SD-WAN 엣지와 포괄적인 클라우드 제공 보안 서비스(SSE)가 결합된 것입니다.
기존에는 지점의 모든 애플리케이션 트래픽이 프라이빗 MPLS 서비스에서 보안 검사 및 검증을 위해 기업의 데이터 센터로 이동했습니다. 이 아키텍처는 애플리케이션이 기업의 데이터 센터에서만 호스팅되는 경우에 적합했습니다. 애플리케이션과 서비스가 클라우드로 마이그레이션하는 오늘날 기존의 네트워크 아키텍처로는 부족합니다. 인터넷의 트래픽이 최종 목적지에 도달하기 전에 데이터 센터와 기업의 방화벽을 통과해야 하기 때문에 애플리케이션 성능과 사용자 체감 만족도가 하락합니다.
클라우드 애플리케이션에 바로 연결하는 원격 근무자의 수가 증가하는 가운데 기존의 경계선 기반 보안은 충분하지 않습니다. 기업은 SASE를 통해 WAN 및 보안 아키텍처를 전환하여 이용하는 장치나 위치와 상관없이 멀티 클라우드 환경에서 직접적으로 안전하게 애플리케이션 및 서비스를 이용할 수 있습니다.
SASE의 구성요소
SASE의 주요 구성요소는 고급 SD-WAN과 포괄적인 클라우드 제공 보안(SSE, 보안 서비스 엣지)입니다.
SASE를 완전히 활용하기 위해 필요한 고급 SD-WAN 기능은 다음과 같습니다.
- SSE 솔루션과 원활하게 통합되어 일관된 통합 SASE 아키텍처를 구성합니다.
- 보안 정책을 바탕으로 SSE로 향하는 트래픽의 세밀한 조정을 위한 첫 번째 패킷 애플리케이션을 식별합니다.
- SD-WAN 경로 다양성을 활용하고 가장 가까운 SSE PoP(Points of Presence)를 자동으로 선택하여 최상의 경로를 선택합니다.
- 터널 본딩으로 여러 링크를 결합하고 자동화된 장애 조치를 지원합니다.
- WAN 최적화 및 FEC(전달 오류 수정)를 통해 WAN의 지연 효과를 극복하고 패킷 손실 및 지터가 자주 발생하는 인터넷 및 무선 링크의 영향을 완화합니다.
- 멀티 클라우드 네트워킹으로 퍼블릭 클라우드와 프라이빗 클라우드와의 엔드 투 엔드 연결을 제공합니다.
- 내장형 방화벽을 통해 IDS/IPS, DDoS 보호, 역할 기반 세분화와 같은 고급 보안 기능을 기반으로 지점의 지능형 위협 보호 기능을 제공합니다.
- 제로 터치 프로비저닝으로 구성과 정책을 자동으로 구축하고 변경 사항을 원활하게 구현합니다.
SASE를 완전히 활용하기 위해 필요한 주요 SSE 기능은 다음과 같습니다.
- ZTNA(제로 트러스트 네트워크 액세스): 기본적으로 어떠한 사용자도 신뢰할 수 없다고 가정하며 최소 권한 액세스를 지원합니다. 원격 사용자에게는 보안 액세스를 제공합니다.
- CASB(클라우드 액세스 보안 브로커): 보안 정책을 적용하여 클라우드 애플리케이션의 민감 데이터를 보호합니다.
- SWG(보안 웹 게이트웨이): URL 필터링, 악성 코드 탐지 등의 기술을 사용하여 웹 기반 위협으로부터 조직을 보호합니다.
- FWaaS(서비스형 방화벽): 클라우드에서 방화벽 기능을 제공하여 여러 소스의 트래픽을 분석합니다.
- 그 밖에 DLP(데이터 손실 방지), RBI(원격 브라우저 격리), 샌드박싱 등의 보안 서비스가 있습니다.
SASE를 고려해야 하는 이유
- SASE로 하이브리드 작업 보안
직원들이 어디에서나 다양한 장치에서 연결하므로 ZTNA는 사용자와 장치에 대한 일관된 정책 시행과 액세스 제어를 보장합니다. 최소 권한 액세스를 지원하고 기본적으로 어떤 사용자도 신뢰되지 않도록 보장합니다. 기업 네트워크에 액세스할 수 있는 광대한 권한을 부여하는 VPN과 달리 ZTNA는 사용자의 액세스를 제한하고 해당 사용자에게 승인된 특정 애플리케이션 또는 마이크로세그먼트에만 액세스할 수 있게 합니다. - SASE로 사용자를 웹 기반 위협으로부터 보호
랜섬웨어 및 피싱과 같은 웹 기반 위협으로부터 조직을 보호하기 위해 SWG는 URL 필터링, 악성 코드 탐지, 웹 액세스 제어를 통해 트래픽을 모니터링 및 검사하며, 성인 콘텐츠, 도박 플랫폼, 상당한 위험을 초래하는 것으로 알려진 사이트 등 특정 범주의 웹사이트에 대한 접근을 제한하는 정책을 수립합니다. - SASE로 SaaS 애플리케이션의 민감 데이터 보호 지원
SaaS 애플리케이션, 즉 허가된 애플리케이션이나 허가되지 않은 애플리케이션에 호스팅되는 민감한 데이터가 증가하고 있습니다. CASB(클라우드 접근 보안 브로커)는 클라우드 애플리케이션에서 민감한 데이터를 식별 및 탐지하고, 사용자 활동을 모니터링하고, 섀도 IT를 발견하고, 데이터 손실을 방지하는 데 중요한 역할을 합니다. - SASE로 클라우드 우선 조직의 네트워크 고도화 지원
기존 아키텍처에서는 종종 MPLS 링크를 사용하여 지점과 본사를 연결합니다. 이 아키텍처에서는 보안 검사를 수행하기 위해 클라우드 트래픽을 데이터 센터로 백홀해야 하므로 지연 시간이 늘어나고 결과적으로 애플리케이션 성능에 영향을 미칩니다. SD-WAN을 사용하는 조직은 지점에서 직접 클라우드로 트래픽을 지능적으로 유도하고, 지점과 본사를 연결하는 강력하고 유연한 방식을 구현할 수 있습니다. - 비즈니스 중심의 보안 SD-WAN으로 강화된 SASE가 IoT 보안 제공
일반적으로 IoT 장치에 기본 보안 기능이 포함되며 ZTNA 에이전트는 포함되지 않습니다. 보안 SD-WAN 솔루션은 차세대 방화벽 기능을 통합하여 SASE의 정의 이상을 지원할 수 있습니다. ID 및 액세스 제어를 바탕으로 제로 트러스트 네트워크 세분화를 구현하여 사용자와 IoT 장치가 비즈니스에서 맡은 역할에 따른 네트워크 목적지에만 도달할 수 있도록 보장합니다.
단일 벤더 또는 멀티 벤더 SASE
네트워킹과 보안은 서로 긴밀하게 연결되어 있지만 두 개는 다르고 각각 매우 복잡한 전문 분야입니다. 보안은 끊임없이 변화하는 사이버 보안 위험으로부터 보호하기 위해 빠르게 진화하는 반면에 WAN은 빠르고 강력하고 유연한 연결의 제공이 중요합니다. SASE 아키텍처의 진정한 효과는 고급 WAN 엣지 기능과 클라우드에서 제공되는 포괄적인 SSE 보안 서비스와 결합할 때 실현됩니다.
단일 벤더 솔루션 또는 멀티 벤더 솔루션 중 선택은 기존 보안 및 WAN 요건에 따라 달라질 수 있습니다. 단일 벤더 SASE 플랫폼에서 SSE와 SD-WAN을 긴밀하게 통합하면 보다 빠른 배포, 중앙 집중식 관리, 일관된 보안 정책, 변화하는 위협 환경에 원활하게 적응할 수 있는 능력 등 여러 이점을 얻을 수 있습니다. 보안 서비스를 선택하여 SASE를 도입하거나 기존 보안 에코시스템과 통합하려는 조직의 경우 멀티 벤더 접근 방식이 권장됩니다. 이러한 멀티 벤더 환경에서는 배포 시간을 최소화하고 관리 복잡성을 줄이기 위해 타사 SSE 솔루션과의 오케스트레이션을 자동화하는 SD-WAN을 선택해야 합니다.
단일 벤더 SASE 플랫폼이란?
단일 공급업체의 SASE 플랫폼은 여러 보안 구성요소를 관리하는 데 따르는 복잡성을 간소화합니다. 이 통합 아키텍처는 배포를 간소화할 뿐만 아니라 통합된 보안 정책, 중앙 집중식 관리, 일관된 제로 트러스트 액세스를 보장합니다. 주요 기능:
- 클라우드 네이티브 아키텍처 및 확장성
단일 벤더 SASE 플랫폼은 클라우드 네이티브 아키텍처로 설계되어 클라우드 컴퓨팅의 확장성과 민첩성을 활용합니다. 이 아키텍처를 통해 조직은 트래픽 수요에 따라 리소스를 동적으로 할당하고 더 효율적이고 적응 가능한 네트워크를 구축할 수 있습니다. - 글로벌 네트워크
단일 공급업체의 SASE 플랫폼은 지리적으로 분산된 PoP(Point of Presence)를 통해 글로벌 네트워크를 제공하므로 사용자 위치와 관계없이 일관된 성능과 짧은 지연 시간을 보장합니다. 이를 통해 여러 공급업체의 SASE 방식에서 필요한 여러 PoP의 필요성을 없애고 이러한 PoP의 관리를 간소화합니다. - 통합 정책 관리
단일 공급업체의 SASE 플랫폼은 단일 인터페이스에서 모든 보안 정책을 관리하여 운영을 간소화하고, 복잡성을 줄이며, 조직이 일관된 정책을 효과적으로 배포하고 시행할 수 있도록 지원합니다. - 중앙 집중화된 UI, 포괄적인 대시보드
단일 공급업체의 SASE 플랫폼은 IT 팀에 중앙 집중식 사용자 인터페이스에서 모든 네트워크 및 보안 작업을 관리할 수 있는 기능을 제공하며, 네트워크 트래픽, 보안 이벤트, 정책 시행에 대한 가시성이 향상됩니다. 이 솔루션은 보고 기능을 개선하여 조직이 규제 요건 및 업계 표준을 준수한다는 것을 입증할 수단을 제공합니다. - 결합된 SASE 기능
단일 공급업체의 SASE 플랫폼을 사용하면 조직에서 여러 SASE 기능을 쉽게 결합하여 보안 태세를 강화하고 한 번에 트래픽을 검사할 수 있습니다. SSL 검사는 한 번만 수행되므로 성능이 향상되고 복잡성이 줄어듭니다. 게다가 SWG와 CASB를 DLP와 결합하면 조직에서 사용자 활동을 보다 효과적으로 모니터링하여 중요한 데이터가 유출되는 것을 방지하고 웹 접근에 대한 보다 세부적인 제어를 적용할 수 있습니다. - AIOPS
단일 공급업체의 SASE 솔루션은 연결된 사용자 및 장치에 대한 가시성을 개선하고 적응형 액세스 제어를 지원하는 AI 기능을 포함합니다. 또한 일반적인 문제 해결 활동을 자동화하고 일반적인 네트워크 문제를 진단하는 동시에, 미래의 위협과 성능 문제를 예상하기 위한 예측 분석을 제공합니다.
SASE의 이점
SASE는 또 다른 최신 유행어가 아닙니다. 기업은 SASE 아키텍처를 통해 중요한 비즈니스 이점을 얻을 수 있습니다.
- 향상된 보안
조직이 클라우드 우선 모델을 도입할 경우 SASE는 네트워크 전반에서 일관된 보안 정책 적용을 지원하며 클라우드에서 보안 검사를 제공합니다. 또한 원격 액세스뿐 아니라 기업 데이터를 악의적인 활동으로부터 보호합니다. - 비즈니스 생산성 및 고객 만족도 개선
조직은 SASE 아키텍처를 구현하고 고급 SD-WAN 기능을 바탕으로 네트워크 인프라를 간소화할 수 있습니다. SD-WAN이 기존 라우터 기반 네트워크의 복잡성과 경직성을 제거하며, 디지털 트랜스포메이션에서 필요한 유연성과 애플리케이션 성능 및 안정성을 대폭 개선해 줍니다. - 제로 트러스트 보안 모델
SASE는 리소스에 대한 액세스 권한을 부여하기 전에 사용자 아이덴티티를 지속적으로 검증하도록 요구하는 제로 트러스트 보안 모델을 채택합니다. 제로 트러스트는 오늘날 위협 환경에서 특히 중요한데, 기존 보안 모델로는 정교한 사이버 위협으로부터 자신을 보호하기에 더 이상 충분하지 않기 때문입니다.
