네트워크 보안을 위한 새로운 프레임워크
분산된 첨단 네트워크와의 연결 유지
인터넷은 방대하고 분산된 네트워크로 설계되었습니다. 이로 인해 인터넷에는 기본적으로 탄력성이 있으며 컴퓨터, 서버 및 기타 장치가 필요에 따라 데이터를 연결하고 라우팅할 수 있도록 합니다. 단일 장치(또는 장치 그룹)가 실패하거나 인터넷 연결이 끊기는 것은 일반적으로 나머지 네트워크가 작동하는 방식에 미미한 영향을 미칩니다.
기본적인 탄력성에도 �불구하고 인터넷은 빠르거나 사용 가능한 연결을 보장하는 방식으로 설계되지 않았습니다. 또한 보안을 위한 프레임워크가 없으므로 데이터 스누핑, 악의적인 활동, 기타 사이버 공격으로부터 장치를 보호하지 못합니다.
따라서 기존 네트워크 인프라는 복잡한 하드웨어 방화벽 구성, DDoS 장비 및 기타 보안 장치('해자')를 통해 외부 위협으로부터 보호할 수 있는 중앙화된 온프레미스 데이터 센터('성')에 응용 프로그램과 데이터를 보관하는 '성과 해자' 모델을 모방했습니다. 권한이 부여된 사용자는 해자 위에 걸쳐 놓은 도개교 역할을 하는 VPN을 통해 성에 액세스했습니다.
성과 해자 접근법을 통해 조직은 기본적인 수준으로 자신의 네트워크를 보호할 수 있었지만 완벽과는 거리가 멀었습니다. 극복해야 하는 문제가 몇 가지 있었습니다.
복잡한 구성 및 유지 관리: 온프레미스 보안 장비를 구성하고 새롭게 나타나는 위협에 대항하기 위해 계속해서 업데이트하는 비용이 높았습니다. 또한 보안 팀은 공격자가 기존 시스템의 취약점을 공격하는 새로운 방식을 따라잡아야 했습니다.
성능 타협: 사설 네트워크에 원격으로 연결해야 하는 직원은 지리적으로 멀리 있는 서버와 과부하로 인해 느린 성능을 경험했음에도 보통 VPN을 사용했습니다.
보안 취약점: 네트워크 경계를 침범한 모든 사람은 어떠한 규제도 없이 기업 리소스에 액세스할 수 있었습니다. 이로 인해 내부 및 외부 데이터 유출 위협을 방지하기가 어려워졌습니다.
많은 기업의 경우 레거시 네트워크 인프라를 단순화하고 강화해야 했습니다. 하지만 이는 벅찬 작업과 디지털 변환 으로 인해 더욱 어려워졌습니다.
더 많은 유연성과 더 많은 문제를 가져온 클라우드
기술 환경의 변화로 인해 네트워크 보안은 점점 더 어려운 작업이 되었습니다. SaaS 및 공용 클라우드 공급자는 조직이 응용 프로그램과 데이터를 온프레미스 데이터 센터로부터 이동할 수 있도록 했습니다. 또한 스마트폰과 기타 모바일 장치를 통해 직원은 점점 더 먼 위치에서 네트워크와 연결할 수 있었습니다.
클라우드 기반 서비스 채택은 이전 어느 때보다 조직에 더 많은 유연성과 민첩성을 제공하여 온프레미스 데이터 센터의 탈중앙화를 도왔습니다. 하지만 이로 인해 중요한 기업 리소스가 더 이상 하나의 '성'에 보관되지 않고 여러 위치에 분산되어 보관되므로 통합 보안 경계를 구축하는 것이 어려워졌습니다.
이러한 하이브리드 환경을 안전하게 만드는 것은 예상했던 것보다 더 어려웠습니다. 조직은 온프레미스 및 클라우드 기반 응용 프로그램과 데이터를 위해 개별 보안 솔루션을 사용해야 했습니다. 동시에 직원이 안전하고 간편하게 모든 위치에서 네트워크 리소스에 액세스할 수 있도록 해야 했습니다.
따라서 조직은 대부분 원활한 통합을 위해 설계되지 않은 단일 보안 솔루션을 복잡하게 짜집기하고 이를 유지해야 했습니다. 이로 인해 보안 팀은 추가적인 문제를 마주했습니다.
내부 리소스 소모: 하이브리드 환경을 보호하는 것은 보안 팀에게 보통 힘들고 시간이 오래 걸리는 일입니다. 온프레미스 장비는 클라우드 기반 응용 프로그램과 서비스를 보호할 수 없기에 기업에는 모든 내부 도구 및 리소스를 보호하기 위해 추가 비용, 시간, 노동이 들어가는 개별 보안 시스템이 필요합니다.
여러 벤더: 클라우드 기반 네트워크 보안에는 클라우드 방화벽, 안전한 웹 게이트웨이(SWG), 클라우드 액세스 보안 브로커(CASB) 등 유동적인 부분이 많이 있습니다. 따라서 모든 보안 서비스를 제공하는 하나의 벤더를 찾는 것은 매우 어려울 수 있습니다. 대부분의 기업은 하이브리드 환경을 보호하기 위해 여러 벤더로부터 서비스를 조달해야 합니다. 이러한 과정에는 추가적인 비용이 들며 업무가 복잡해집니다.
보안 취약점: 여러 보안 공급자를 이용�하면 보안 취약점을 남기지 않고 네트워크의 모든 부분을 완벽하게 보호하는 것이 어려울 수 있습니다. 특히 네트워크 보안 인프라를 모니터링하고 유지할 수 있는 '하나의 창'이 없으므로 그렇습니다. 또한 원격 근무의 특성상 직원이 기업 네트워크에 연결하려면 보통 개인 장치를 사용해야 합니다. 이로 인해 추가적인 보안 위험이 발생할 수 있습니다.
한때 기업 네트워크의 구성, 보호, 유지를 비교적 간단하게 할 수 있도록 해주었던 성과 해자 모델은 더 이상 오늘날의 분산된 하이브리드 및 클라우드 기반 환경과 호환되지 않습니다. 이러한 변화는 이미 시작되었지만, 2020년에 이러한 프로세스가 가속화되었습니다. 이전에 비해 직원은 더욱 분산되어 있고 원격으로 근무하며, 다양한 개인 장치로 기업 리소스에 액세스하는 데 익숙해졌습니다. 회사들은 성안이 아닌 인터넷상에서 존재하는 직원, 서버, 응용 프로그램을 수용할 필요성이 있음을 점점 더 인식하고 있습니다.
네트워크 보안을 위한 새로운 프레임워크
오래된 네트워크 보안 모델이 진화하는 위협과 더 복잡해진 현대 네트워크 아키텍처에 뒤처지면서, 조직은 새로운 클라우드 기반 보안 모델인 안전한 액세스 서비스 에지, 즉 'SASE'로 전환하기 시작했습니다.
Gartner가 처음으로 2019년에 만든 용어인 SASE 는 소프트웨어로 정의된 광역 네트워킹을 안전한 웹 게이트웨이(SWG), 클라우드 액세스 보안 브로커(CASB), 클라우드 방화벽(FWaaS), Zero Trust 네트워크 액세스 정책(ZTNA)을 포함한 핵심 네트워크 보안 서비스와 결합합니다. 또한 네트워크 에지에서 이들을 제공합니다.
SASE는 비효율적인 하드웨어 장비에 의존하거나 개별 표준의 보안 솔루션들을 짜집기하는 방식 대신에, 네트워크 보안에 대한 능률적인 접근법을 제시합니다. SASE는 인터넷 에지에서의 복잡한 백홀링을 없애 조직이 한 번에 트래픽을 라우팅하고 검사하고 보호할 수 있게 합니다. SASE는 모든 응용 프로그램의 모든 사용자를 지속적으로 인증해야 한다는 Zero Trust 보안의 개념을 더욱 발전시켰습니다. SASE에 Zero Trust 액세스 정책 및 네트워크 수준의 위협 방어를 결합하면 SASE는 레거시 VPN, 하드웨어 방화벽, DDoS 방어 장비에 대한 필요를 없애 조직이 네트워크 보안 서비스를 통합하고 조직의 네트워크 보안 구성에 대한 가시성과 제어를 향상할 수 있도록 합니다.
실제로 SASE 구현은 벤더마다 그리고 조직마다 달라질 수 있습니다. 하지만 대부분의 SASE 솔루션은 온프레미스 및 하이브리드 네트워크 보안 구성과 비교했을 때 다음과 같은 몇 가지 핵심적인 공통 이점이 있습니다.
벤더 통합: 여러 벤더와 포인트 솔루션 간에 이동하는 대��신 조직은 단일 SASA 공급자로부터 포괄적인 네트워크 보호를 받을 수 있습니다. 따라서 불필요한 비용과 복잡한 서비스 간 구성을 없앨 수 있습니다.
통합 보안 경계: 이러한 서비스를 최종 사용자와 지리적으로 가까운 서버와 장치의 전역 네트워크인 네트워크 에지에서 제공하여, SASE는 회사가 응용 프로그램, 데이터, 사용자를 전 세계 모든 위치에서 보호할 수 있도록 합니다.
더 나은 가시성: SASE를 이용하게 되면 네트워킹과 네트워크 보안 서비스를 통합하고 이를 단일의 클라우드 기반 플랫폼에서 제공함으로써 서비스 간의 보안 간극을 없앨 수 있고 IT 및 보안 팀은 네트워크 활동에 대한 가시성을 높일 수 있으며 클라우드로의 마이그레이션이 단순해집니다.
SASE는 네트워크 보안을 독립된 네트워크 및 보안 서비스를 단일 클라우드 기반 플랫폼에서 병합하고 서비스로 제공할 수 있도록 새로운 차원으로 끌어올리겠다고 약속합니다.
이 접근법이 올바르게 구현되면 기업은 보안이나 성능을 유지하며 자체 네트워크를 글로벌하게 분산시켜 일관된 연결 상태를 유지할 수 있게 됩니다.
Cloudflare에서는 오늘날 기업의 필요를 충족하기 위해 Cloudflare One 을 선보였습니다. 이는 장비와 WAN 기술의 짜집기를 하나의 사용자 인터페이스를 통해 보안, 성능 및 �제어를 제공하는 단일 네트워크로 대체하는 포괄적인 클라우드 기반 서비스로서의 네트워크 솔루션입니다. 네트워크는 모든 응용 프로그램의 공통 분모이므로 Cloudflare One은 네트워크에 제어 수단을 구축하여 응용 프로그램이 신규인지 레거시인지, 온프레미스에서 실행되는지 클라우드에서 실행되는지, 자체 인프라에서 제공되는지 아니면 멀티 테넌트 SaaS 공급자가 전달하는지와 관계없이 지속적인 정책을 보장합니다. Cloudflare는 방대한 글로벌한 입지를 통해 트래픽을 보호하고, 라우팅하고, 최적화된 백본을 통해 필터링합니다. 이러한 백본은 실시간 인터넷 인텔리전스를 사용하여 최근의 위협으로부터 보호하고, 인터넷 환경이 나쁜 곳이나 중단된 곳을 우회해 라우팅합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
성과 해자(castle-and-moat) 보안 접근법과 관련된 장애물
클라우드로부터 초래되는 복잡성
SASE에 대한 주요 장점
SASE의 약속
관련 자료
이 주제에 관해 자세히 알아보세요.
네트워크 보안을 위한 최신 프레임워크인 SASE에 대해 자세히 알아보려면 귀사의 네트워크 인프라를 보호하고 단순화하는 방법을 설명하는 가이드를 다운로드하세요.