SASE란 무엇입니까?
보안 액세스 서비스 에지(SASE)는 소프트웨어 정의 네트워킹을 네트워크 보안 기능과 번들로 묶어 단일 서비스 제공업체에서 제공하는 클라우드 기반 IT 모델입니다.글로벌 연구 및 자문 회사인 Gartner에서는 2019년에 "SASE"라는 용어를 만들었습니다.
SASE 접근 방식은 기업 네트워크에 액세스하는 사용자, 트래픽, 데이터에 대하여 더 나은 제어와 가시성을 제공합니다. 이는 전 세계에 분산된 최신 조직에 필수적인 기능입니다. SASE로 구축된 네트워크는 유연하고 확장 가능하며 전 세계에 분산된 직원과 사무실을 장소 및 장치와 관계없이 연결할 수 있습니다.
SASE에는 어떤 보안 기능이 포함되어 있을까요?
SASE는 소프트웨어 정의 광역 네트워킹(SD-WAN) 기능을 여러 네트워크 보안 기능과 결합하며, 이 모든 기능은 단일 클라우드 플랫폼에서 제공됩니다. 이러한 방식의 SASE를 통해 직원은 어디에서든 인증을 거쳐 내부 리소스에 안전하게 접속하고, 조직에서는 내부 네트워크를 거치는 트래픽과 데이터를 더욱 원활하게 관리할 수 있습니다.
SASE에는 4가지 핵심 보안 구성 요소가 포함됩니다.
- 보안 웹 게이트웨이(SWG): SWG를 이용하면 웹 트래픽으로부터 원치 않는 콘텐츠를 필터링하고 승인받지 않은 사용자 행동을 차단하며 기업의 보안 정책을 실행함으로써 사이버 위협 및 데이터 유출을 방지할 수 있습니다. SWG는 어디에나 배포할 수 있어 원격 인력을 보호하는 데 이상적입니다.
- 클라우드 액세스 보안 브로커(CASB): CASB는 섀도 IT(무단 기업 시스템) 공개, 액세스 제어 및 데이터 손실 방지(DLP)를 통한 기밀 데이터 보호, 데이터 개인 정보 보호 규정 준수 보장을 포함하여 클라우드 호스팅 서비스에 대한 여러 보안 기능을 수행합니다.
- Zero Trust Network Access (ZTNA): ZTNA platforms lock down internal resources from public view and help defend against potential data breaches by requiring real-time verification of every user and device to every protected application.
- Firewall-as-a-service (FWaaS): FWaaS refers to firewalls delivered from the cloud as a service. FWaaS protects cloud-based platforms, infrastructure, and applications from cyber attacks. Unlike traditional firewalls, FWaaS is not a physical appliance, but a set of security capabilities that includes URL filtering, intrusion prevention, and uniform policy management across all network traffic.
벤더 및 기업의 요구 사항에 따라 이러한 핵심 구성 요소는 웹 애플리케이션 및 API 보호(WAAP), 원격 브라우저 격리, Wi-Fi 핫스팟 보호 등의 추가 보안 서비스와 함께 번들로 제공될 수 있습니다.
SASE 프레임워크의 장점은 무엇입니까?
SASE는 기존의 데이터 센터 기반 네트워크 보안 모델에 비해 여러 가지 장점이 있습니다.
- ID 기반 Zero Trust 네트워크 액세스. SASE는 Zero Trust 보안 모델을 적극 활용하며, 이 모델에서는 사용자가 이미 사설 네트워크 경계 내에 있더라도, 사용자의 ID를 확인한 후에만 애플리케이션과 데이터에 대한 권한을 제공합니다. 액세스 정책을 수립할 때 SASE 접근법은 ID뿐만 아니라 사용자 위치, 하루 중 시간, 기업 보안 기준, 준수 정책, 위험/신뢰에 대한 지속적 평가 등의 요소도 고려합니다.
- 네트워크 인프라에 대한 공격 차단.SASE의 방화벽 및 CASB 구성 요소는 DDoS 공격 및 취약점 악용과 같은 외부 공격이 내부 리소스에 침투하여 손상시키는 것을 방지합니다.온프레미스 및 클라우드 기반 네트워크 모두 SASE 접근 방식으로 보호할 수 있습니다.
- 악의적인 활동을 방지합니다.URL, DNS 쿼리, 기타 발신 및 수신 네트워크 트래픽을 필터링함으로써, SASE는 기업 데이터에 대한 멀웨어 기반 공격, 데이터 유출, 기타 위협을 방지합니다.
- 간결한 실행 및 관리. SASE는 싱글 포인트 보안 솔루션을 하나의 클라우드 기반 서비스에 통합하므로, 이를 이용하는 기업은 상대할 벤더 수를 줄일 수 있으며, 물리적 인프라에서 구성을 진행하는 데 필요한 시간, 비용, 내부 리소스를 절감할 수 있습니다.
- 간소화된 정책 관리. 분리된 솔루션별로 여러 정책을 사용하는 대신, SASE를 통해 모든 위치, 사용자, 장치, 애플리케이션에 대한 액세스 정책을 하나의 포털에서 설정, 조정, 실행할 수 있습니다.
- 대기 시간이 최적화된 라우팅. SASE는 가능한 한 사용자와 가까운 곳에서 트래픽을 처리하는 글로벌 에지 네트워크에서 네트워크 트래픽을 라우팅하므로, 대기 시간이 감소합니다. 라우팅 최적화는 네트워크 정체 등의 요소를 바탕으로 가장 빠른 네트워크 경로를 결정하는 데 도움이 될 수 있습니다.
SASE는 기존 네트워킹과 어떻게 비교될까요?
기존 네트워크 모델에서는, 데이터와 애플리케이션이 중앙 데이터 센터에 상주합니다. 사용자, 지점, 애플리케이션이 이러한 자원에 액세스하기 위해서는, 일반적으로 안전한 임대 회선이나 VPN을 이용하는 현지화된 사설 네트워크나 보조 네트워크로부터 데이터 센터에 연결해야 합니다.
이 모델은 서비스형 소프트웨어(SaaS), 분산된 인력의 증가 등 클라우드 기반 서비스로 인해 도입된 복잡성을 처리하는 데 적합하지 않은 것으로 판명되었습니다. 애플리케이션과 데이터가 클라우드에서 호스팅되는 경우 중앙 집중식 데이터 센터를 통해 모든 트래픽을 다시 라우팅하는 것은 더 이상 실용적이지 않습니다.
이에 비해, SASE는 네트워크 컨트롤을 기업 데이터 센터가 아니라 클라우드 에지에 배치합니다. 별도 구성과 관리가 필요한 클라우드 서비스를 계층화하는 대신, SASE는 네트워크와 보안 서비스를 간소화하여 안전한 네트워크 에지를 만듭니다. 기업은 ID 기반 Zero Trust 액세스 정책을 에지 네트워크에서 실행하여 네트워크 경계를 모든 원격 사용자, 지사, 장치, 애플리케이션까지 확장할 수 있습니다.
조직에서 SASE를 구현하는 방법
많은 조직에서 SASE 구현에 대해 단편적인 접근 방식을 취하고 있습니다. 사실, 일부 조직에서는 알지 못하는 사이에 특정 SASE 요소를 이미 채택했을 수 있습니다. 조직에서 SASE 모델을 완전히 채택하기 위해 취할 수 있는 주요 조치는 다음과 같습니다.
- 원격 근무자 보호
- 지사를 클라우드 경계 안에 배치
- DDoS 방어를 에지로 이동시킴
- 자체 호스팅 애플리케이션을 클라우드로 마이그레이션
- 보안 장비를 통일된 클라우드 네이티브 정책 시행으로 대체
이러한 조치는 여기에서 다운로드할 수 있는 "SASE 시작하기" 백서에 자세히 설명되어 있습니다.
Cloudflare에서 SASE를 지원하는 방법
Cloudflare는 전 세계적으로 분산된 300개 이상의 도시에 있는 데이터 센터에 통합 네트워크 및 보안 서비스 플랫폼을 제공하도록 고유하게 설계되었으므로 기업에서 복잡한 포인트 솔루션 컬렉션을 구매하고 관리할 필요가 없습니다.
Cloudflare One은 원격 사용자, 사무실, 데이터 센터를 서로 안전하게 연결하고 필요한 리소스를 연결하는 SASE 플랫폼입니다.Cloudflare One을 시작하려면 Cloudflare One 제품 페이지를 참조하세요.또는 SASE의 핵심 기술인 ZTNA에 대해 자세히 알아보세요.