소프트웨어 정의 경계란? | SDP와 VPN의 비교

소프트웨어 정의 경계(SDP)는 하드웨어가 아닌 소프트웨어를 기반으로 하는 네트워크 경계입니다. SDP는 Zero Trust 보안 접근 방식의 일부일 수 있습니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 소프트웨어 정의 경계(SDP)가 무엇인지 알아보세요.
  • SDP 작동 방식 살펴보기
  • VPN과 SDP의 비교

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

소프트웨어 정의 경계(SDP)란?

소프트웨어 정의 경계(SDP)는 인터넷에 연결된 인프라(서버, 라우터 등)를 숨기는 방법으로 사내 호스팅이든 클라우드 호스팅이든 외부 당사자와 공격자가 이를 볼 수 없습니다.SDP 접근 방식의 목표는 하드웨어 대신 소프트웨어를 기반으로 네트워크 경계를 설정하는 것입니다.SDP를 사용하는 회사는 본질적으로 서버 및 기타 인프라에 투명 망토를 두르고 있어 아무도 외부에서 이를 볼 수 없습니다. 그러나 승인된 사용자는 계속 인프라에 액세스할 수 있습니다.

소프트웨어 정의 경계

소프트웨어 정의 경계는 애플리케이션 계층이 아니라 네트워크 계층에서 회사 자산 주위에 가상 경계를 형성합니다.따라서 사용자 권한이 제한되지만 광범위한 네트워크 액세스를 허용하는 다른 액세스 기반 제어와 분리됩니다.또 다른 주요 차이점은 SDP에서 장치와 사용자 ID를 인증한다는 것입니다.Cloud Security Alliance는 처음으로 SDP 개념을 개발했습니다.

SDP는 어떻게 작동할까요?

SDP를 사용하면 권한이 부여되지 않는 한 서버에 연결하는 것은 기술적으로 불가능합니다. SDP는 1) 사용자 ID를 확인하고 2) 장치 상태를 평가한 후에만 사용자에 대한 액세스를 허용합니다.

사용자와 장치가 인증되면 SDP는 해당 장치와 액세스하려는 서버 간에 개별 네트워크 연결을 설정합니다.인증된 사용자는 더 큰 네트워크에 로그인하지 않고 다른 사람이 액세스할 수 없으며 사용자가 액세스를 승인한 서비스만 포함되는 자체 네트워크에 연결할 수 있습니다.

인터넷에 연결되어 있지만, 어떤 것과도 연결이 되어있지 않은 웹 서버를 상상해 보세요. 이 웹 서버는 요청을 수락하거나 응답을 하지 않습니다. 인터넷에 연결되어 있기는 하지만, 열린 포트가 없고 네트워크 액세스도 없습니다(벽 콘센트에 연결되어 있지만 전기가 흐르지 않도록 꺼져 있는 토스터나 램프와 비슷함). 이것이 소프트웨어 정의 경계 내부에 있는 서버의 기본 상태입니다.

SDP는 항상 잠겨 있는 현관문을 상상하면 더 이해하기 쉽습니다. 현관문 반대편에 있는 사람이 방문자가 누구이고 무엇을 하고 있는지 확인할 때까지는 아무도 현관문을 통해 들어오거나 내부를 들여다볼 수 없습니다. 방문자를 내부에 들이고 나면 집안에 있는 사람이 다시 현관문을 잠급니다.

사용자는 SDP를 통해 어떻게 액세스할까요?

사용자 ID 확인: 사용자 ID는 일반적으로 타사 ID 공급자(IdP)를 통해 확인됩니다.SDP는 SSO 솔루션과도 통합될 수 있습니다.사용자 인증에는 간단한 사용자 이름과 비밀번호의 조합이 포함될 수 있지만, 어떤 종류의 하드웨어 토큰으로 다단계 인증을 사용하는 것이 더 안전합니다.

장치 확인: 여기에는 사용자의 장치가 최신 소프트웨어를 실행하고 있는지 확인하고, 맬웨어 감염을 확인하며, 기타 보안 검사를 수행하는 작업이 포함됩니다.이론상 SDP는 허용되지 않는 장치의 차단 목록을 만들고 장치가 차단 목록에 없는지 확인할 수도 있습니다.

SDP 컨트롤러 승인: SDP "컨트롤러"는 연결을 허용해야 하는 장치와 서버를 결정하는 SDP의 논리적 구성 요소입니다.사용자와 장치가 인증되면 컨트롤러는 사용자와 장치에 대한 승인을 SDP 게이트웨이로 전달합니다.SDP 게이트웨이는 실제로 액세스가 허용되거나 거부되는 곳입니다.

보안 네트워크 연결 설정: SDP 게이트웨이는 사용자가 통과하도록 가상 "게이트"를 엽니다.게이트웨이의 한쪽에서는 사용자 장치와 보안 네트워크 연결을 설정하고 다른 쪽에서는 사용자가 액세스할 수 있는 서비스와 네트워크 연결을 설정합니다.다른 사용자나 서버는 이 연결을 공유하지 않습니다.이러한 보안 네트워크 연결은 일반적으로 상호 TLS를 사용하며 VPN을 사용할 수 있습니다.

사용자 액세스: 사용자는 이전에는 숨겨져있던 네트워크 리소스에 액세스할 수 있으며 평소와 같이 장치를 계속 사용할 수 있습니다.사용자는 자신과 액세스하는 서비스만 속한 암호화된 네트워크 내에서 작업합니다.

상호 TLS란?

Transport Layer Security(TLS)은 서버가 합법적인지, 즉 서버가 주장하는 주체가 맞는지 확인하는 암호화 및 인증 프로토콜입니다. Mutual TLS에서 확인 프로세스는 양쪽에서 이루어집니다. 클라이언트와 서버가 모두 확인됩니다. Mutual TLS에 대해 자세히 알아보세요.

VPN이란?

가상 사설망(VPN)은 암호화되지 않은 네트워크에서 실행되는 암호화된 네트워크입니다.장치와 서버 간에 암호화된 연결을 생성하여 마치 자체 사설 네트워크에 있는 것처럼 만듭니다.

전통적으로 VPN은 회사 인프라에 대한 액세스를 보호하고 관리하는 데 사용되었습니다. 경우에 따라 SDP가 VPN을 대체할 수 있습니다.

SDP와 VPN의 비교: 차이점은 무엇일까요?

SDP는 VPN을 자체 아키텍처에 통합하여 사용자 장치와 액세스해야 하는 서버 사이에 보안 네트워크 연결을 생성할 수 있습니다. 그러나 SDP는 VPN과 아주 다릅니다. 어떤 면에서는 더 안전합니다. VPN을 사용하면 연결된 모든 사용자가 전체 네트워크에 액세스할 수 있지만, SDP는 네트워크 연결을 공유하지 않습니다. SDP는 특히 내부 사용자가 여러 수준의 액세스를 필요로 하는 경우 VPN보다 더 관리하기 쉬울 수 있습니다.

VPN을 사용하여 여러 수준의 네트워크 액세스를 관리하려면 여러 VPN을 배포해야 합니다. Bob은 Acme Inc.에서 회계 분야에서 일하고 Carol은 영업 분야에서 일하며 Alice는 엔지니어링 분야에서 일한다고 가정해보겠습니다. 네트워크 수준에서 이들의 액세스를 관리하려면 1) 회계 데이터베이스에 대한 액세스를 제공하기 위한 회계 VPN, 2) 고객 데이터베이스를 위한 영업 VPN, 3) 코드베이스를 위한 엔지니어링 VPN의 세 가지 VPN 설정을 해야 합니다. 이는 IT에서 관리하기 어려울 뿐만 아니라 덜 안전합니다. 예를 들어 회계 VPN에 액세스할 수 있는 사람은 이제 누구나 Acme Inc.의 재무 정보에 액세스할 수 있습니다. Bob이 실수로 Carol에게 자신의 로그인 자격 증명을 제공하면 보안이 손상되고 IT 부서에서도 이를 인식하지 못할 수 있습니다.

이제 네 번째 사람인 Acme Inc.의 CFO인 David를 상상해 보세요. David는 회계 데이터베이스와 고객 데이터베이스에 모두 액세스할 수 있어야 합니다. David가 작업을 수행하려면 두 개의 개별 VPN에 로그인해야 할까요? 아니면 Acme의 IT 부서에서 회계 및 고객 데이터베이스 모두에 대한 액세스를 제공하는 새로운 VPN을 설정해야 할까요? 두 옵션 모두 관리하기 어렵고 두 번째 옵션은 높은 수준의 위험을 초래합니다. 두 데이터베이스에 대한 광범위한 액세스를 통해 이 새로운 VPN을 손상시키는 공격자는 이전보다 두 배 더 큰 피해를 줄 수 있습니다.

반면에 SDP는 훨씬 더 세분화되어 있습니다. 동일한 리소스에 액세스하는 모든 사람이 로그인하는 전체적인 VPN은 없습니다. 대신 각 사용자에 대해 별도의 네트워크 연결이 설정됩니다. 이는 마치 모든 사람이 자신의 개인 VPN을 가지고 있는 것과 같습니다. 또한 SDP에서 장치와 사용자를 확인하므로 공격자가 훔친 자격 증명만으로는 시스템에 침입하기가 훨씬 더 어렵습니다.

다른 몇 가지 주요 기능은 SDP와 VPN을 구분합니다. SDP는 위치 및 인프라에 구애받지 않습니다. SDP는 하드웨어 기반이 아니라 소프트웨어 기반이므로 어디에나 배포하여 온프레미스 인프라, 클라우드 인프라 또는 두 인프라 모두를 보호할 수 있습니다. SDP는 또한 멀티 클라우드하이브리드 클라우드 배포와 쉽게 통합할 수 있습니다. 마지막으로 SDP는 모든 위치에서 사용자를 연결할 수 있습니다. 회사의 물리적 네트워크 경계 내에 있어야 할 필요는 없습니다. 따라서 SDP는 회사 사무실 내에서 근무하지 않는 원격 팀을 관리하는 데 유용합니다.

SDP는 Zero Trust 보안과 어떤 관련이 있을까요?

이름에서 알 수 있듯이 Zero Trust 보안에는 신뢰가 없습니다. 기본적으로 신뢰할 수 있다고 간주되는 사용자, 장치, 네트워크가 없습니다. Zero Trust 보안은 네트워크 경계(또는 소프트웨어 정의 경계) 내부에 있든 외부에 있든 관계없이 내부 리소스에 액세스하려는 모든 사람과 장치에 대해 엄격한 ID 확인을 요구하는 보안 모델입니다.

SDP는 Zero Trust 보안을 구현하는 한 가지 방법입니다. 사용자와 장치는 연결하기 전에 모두 확인되어야 하며 필요한 최소 네트워크 액세스 권한만 주어집니다. 모든 장치는, 심지어 CEO의 노트북도, 사용 권한이 없는 리소스와 네트워크 연결을 형성할 수 없습니다.

Zero Trust 보안에 대해 자세히 알아보세요.