SASE란 무엇입니까? | SASE(Secure Access Service Edge)

SASE의 일반적인 기술 구성 요소

SASE 플랫폼에는 일반적으로 다음과 같은 핵심 기술 구성 요소가 포함됩니다.

• 보안 액세스에 대한 Zero Trust 접근 방식을 가능하게 하는 주요 기술은 Zero Trust 네트워크 액세스(ZTNA)입니다. ZTNA는 리소스별로 ID, 장치 상태 등 세분화된 컨텍스트를 지속해서 확인하여 모든 위치의 모든 장치에서 모든 사용자와 애플리케이션 간에 간단하고 안전한 액세스를 제공합니다.
• 안전한 웹 게이트웨이(SWG)는 원치 않는 웹 트래픽 콘텐츠를 필터링하고 온라인에서 위험하거나 승인되지 않은 행동을 차단하여 위협을 방지하고 데이터를 보호합니다. SWG는 어디에서든 웹 트래픽을 필터링할 수 있으므로 하이브리드 근무 인력에 이상적입니다.
• 클라우드 및 SaaS 애플리케이션을 사용하면 데이터를 비공개로 안전하게 유지하기가 더 어려워집니다. 클라우드 액세스 보안 브로커(CASB)는 이 문제에 대한 솔루션 중 하나입니다. CASB는 조직의 클라우드 호스팅 서비스 및 애플리케이션에 대한 데이터 보안 제어(및 가시성)를 제공합니다. 또한, 데이터 유출 방지(DLP) 기술은 허가 없이 데이터가 도난되거나 파괴되는 것을 방지하기 위해 웹, SaaS, 개인 애플리케이션에서 중요한 데이터의 존재를 감지합니다. DLP 솔루션을 SWG와 함께 사용하면 전송 중인 데이터(예: 업로드 또는 다운로드된 파일, 채팅 메시지, 양식 작성)를 스캔할 수 있습니다. DLP 솔루션은 CASB와 결합하여 미사용 데이터를 스캔할 수 있습니다.
• SASE 아키텍처에서, 조직에서는 소프트웨어 정의 광역 네트워킹(SD-WAN) 또는 서비스형 WAN(WANaaS)을 채택하여 사무실, 소매점, 데이터 센터 등의 운영 조직을 장거리에 걸쳐 연결하고 확장합니다. SD- WAN과 WANaaS는 서로 다른 접근 방식을 사용합니다.
  • SD-WAN 기술은 기업 사이트의 소프트웨어와 중앙 집중식 컨트롤러를 사용하여 기존 WAN 아키텍처의 일부 한계를 극복하고 운영 및 트래픽 조정 결정을 간소화합니다.
  • WANaaS는 물리적 위치 내에 필요한 최소한의 하드웨어를 배포하고 저비용 인터넷 연결을 사용하여 가장 가까운 "서비스 에지" 위치에 도달하는 "라이트 브랜치, 헤비 클라우드(light branch, heavy cloud)" 접근 방식을 취함으로써 SD-WAN의 이점을 기반으로 합니다. 이를 통해 총 비용을 절감하고, 더욱 통합된 보안을 제공하며, 미들 마일 성능을 개선하고, 클라우드 인프라에 더 나은 서비스를 제공할 수 있습니다.
• 차세대 방화벽(NGFW)은 기존 방화벽보다 더 깊은 수준에서 데이터를 검사합니다. NGFW는 애플리케이션 인식 및 제어, 침입 방지, 위협 인텔리전스를 제공하여 정상적으로 보이는 트래픽에 숨어 있을 수 있는 위협을 식별하고 차단할 수 있습니다. 클라우드에 배포할 수 있는 NGFW를 클라우드 방화벽 또는 서비스형 방화벽(FWaaS)이라고 합니다.
• 원격 브라우저격리(RBI)는 기본적으로 실행되도록 신뢰할 수 있는 웹 사이트 코드가 없어야 한다고 가정하여 Zero Trust 원칙을 웹 브라우징에 적용합니다. RBI는 사용자의 로컬 장치가 아닌 클라우드에서 웹 페이지를 로드하고 관련 코드를 실행합니다. 이렇게 분리하면 맬웨어 다운로드가 방지되고 zero-day 브라우저 취약점의 위험이 최소화되며 다른 브라우저 매개 위협을 방어하는 데 도움이 됩니다. RBI는 또한 브라우저 기반 리소스에 데이터 보호 제어를 적용할 수 있으며, 이는 관리되지 않는 장치 액세스를 보호하는 데 유용합니다.
• 모든 서비스를 통합하는 중앙 집중식 관리를 통해 관리자는 정책을 정의하고 연결된 모든 서비스에 적용할 수 있습니다.

벤더의 역량에 따라 SASE 플랫폼에는 다음이 포함될 수도 있습니다.

• 클라우드 이메일 보안
• 응용 프로그램 계층 보안
• DNS 보안
• 지속적인 적응형 위험 점수
• 디지털 경험 모니터링(DEM)
• CDN(콘텐츠 전송 네트워크)
• 기타 고급 네트워크 기능

아래 다이어그램에는 SASE 플랫폼이 이러한 모든 기능을 통합하여 모든 비공개 애플리케이션, 서비스, 네트워크에 안전한 연결을 제공하고 인력의 인터넷 액세스 보안을 보장하는 방법이 나와 있습니다.

SASE 사용 사례 예시

SASE의 구현은 일반적으로 점진적으로(몇 달 또는 몇 년에 걸쳐) 이루어집니다. 구현 계획은 매우 다양하며 다음과 같은 고유한 요소에 따라 달라집니다.

• 조직의 장단기 성장 전략
• 사이버 공격의 위험이 큰 역할과 애플리케이션
• 개별 팀의 유연성 및 변화에 대한 개방성
• 마이그레이션의 잠재적인 속도, 복잡성, 비용

조직마다 상황이 다르므로 SASE 배포에 대한 '만능' 접근법은 없습니다. 그러나 SASE를 활성화하기 위한 사용 사례는 일반적으로 다음 5가지 IT 우선순위에 속합니다.

1. Zero Trust 채택

ZTNA를 시작으로 Zero Trust 원칙(더 폭넓은 SASE 여정의 원칙)을 적용하면 다음과 같은 사용 사례가 가능합니다.

• 위험한 VPN 및 기타 기존 하드웨어 기반 보안 대체
• 타사 및 BYOD 액세스 간소화
• 랜섬웨어 공격 완화
• SaaS 애플리케이션 및 클라우드 스토리지에서 데이터 노출 제한하기

2. 공격면 보호

SASE 아키텍처는 일관된 가시성과 네트워크 내외의 위협에 대한 보호 기능을 갖춘 '하이브리드 근무' 접근 방식을 지원합니다. 사용 사례의 예는 다음과 같습니다.

• 이메일, 소셜 미디어, 협업 애플리케이션, 기타 채널에 걸쳐 피싱 차단
• 원격 근무자를 위한 연결 보호하기
• 모든 클라우드 또는 인터넷 목적지에 대한 트래픽 보호 및 최적화하기
• 광역 네트워크(WAN)보안

3. 네트워크 최신화

조직에서는 레거시 기업 네트워크를 유지 관리하는 대신 분산형 클라우드 네이티브 SASE 서비스를 활용할 수 있습니다. 이를 통해 다음과 같은 사용 사례가 가능합니다.

• MPLS 및 기존 SD-WAN에 비해 분기 연결 간소화
• DMZ에서 클라우드로 보안 전환하기
• 근거리 통신망(LAN)에 대한 과도한 신뢰 타파
• IT 위험 감소 및 합병 및 인수(M&A)를 위한 연결성 가속화

4. 데이터 보호

생성형 AI와 섀도우 IT를 승인 없이 사용하면 중요한 데이터가 노출되거나 손상되거나 유출될 수 있으며, 그럴 경우 복구하는 데 많은 비용이 들 수 있습니다. 그러나 SASE 아키텍처를 이용하면 다음과 같은 사용 사례가 가능합니다.

• 데이터 보안 규제 준수 간소화
• 섀도우 IT 관리
• 생성형 AI 사용 보호
• 중요한 데이터 감지 및 제어

5. 애플리케이션 최신화

애플리케이션은 데이터 거버넌스 요구 사항을 계속 충족하면서도 늘어나는 데이터를 처리할 수 있는 확장성이 있어야 하고, 최종 사용자에게는 안전하고 복원력이 있으며 성능이 좋아야 합니다. SASE 아키텍처는 애플리케이션 최신화 프로세스의 여러 단계를 간소화하고 보호하는 데 도움이 될 수 있습니다. 예:

• 중요 인프라에 대한 권한 있는(개발자/IT) 액세스 보호
• 개발자 코드 유출 및 도난 방지하기
• DevOps 워크플로우 보호하기
• 클라우드 마이그레이션 중인 애플리케이션 보호

SASE와 다른 네트워킹 접근 방식의 비교

SASE와 기존 네트워킹의 비교

기존 네트워크 모델에서는 데이터와 애플리케이션이 코어 데이터 센터에 상주합니다. 사용자, 지사, 애플리케이션은 현지화된 사설 네트워크 또는 보조 네트워크(일반적으로 보안 임대 회선 또는 VPN을 통해 기본 네트워크에 연결됨) 내에서 데이터 센터에 연결됩니다. 조직에서 클라우드에서 SaaS 애플리케이션 및 데이터를 호스팅하는 경우 이 프로세스는 위험하고 비효율적일 수 있습니다.

기존의 네트워킹과는 달리 SASE는 네트워크 제어를 기업 데이터 센터가 아닌 클라우드 에지에 배치합니다. 별도의 구성과 관리가 필요한 서비스를 계층화하는 대신, SASE는 하나의 제어판을 사용하여 네트워크와 보안 서비스를 통합합니다. SASE는 에지 네트워크에서 ID 기반의 Zero Trust 보안 정책을 구현하여 조직에서 모든 원격 사용자, 지사, 장치, 애플리케이션으로 네트워크 액세스를 확장할 수 있도록 합니다.

SASE와 MPLS의 비교

다중 프로토콜 레이블 스위칭(MLPS)을 이용하면 미리 정해진 네트워크 경로를 따라 네트워킹 패킷이 전송됩니다. 이상적으로는, MPLS를 사용하면 패킷이 항상 동일한 경로를 따라갑니다. 이것이 MPLS가 일반적으로 신뢰할 수 있지만 유연하지 않은 것으로 간주되는 이유 중 한 가지입니다. 예를 들어, MPLS의 경우 보안 제어는 중앙 집중식 '브레이크아웃' 위치를 통해 시행됩니다. 모든 아웃바운드 및 인바운드 트래픽은 본사를 통해 라우팅됩니다. 따라서 트래픽을 백홀링해야만 보안 기능에 도달할 수 있습니다.

SASE는 MPLS의 전용 네트워크 경로 대신 저비용 인터넷 연결을 사용합니다. 따라서 더 저렴한 비용으로 네트워킹 효율성을 원하는 조직에 적합합니다. SASE 플랫폼은 유연한 애플리케이션 인식 지능형 라우팅, 통합 보안, 세분화된 네트워크 가시성을 제공합니다.

SASE와 보안 서비스 에지(SSE)는 어떻게 다를까요?

SASE는 사용자의 보안 액세스를 네트워크 아키텍처의 일부로 통합합니다. 하지만 모든 조직에서 IT, 네트워크 보안, 네트워킹 팀에 걸쳐 일관된 접근 방식을 이미 가지고 있는 것은 아닙니다. 이러한 조직에서는 웹, 클라우드 서비스, 비공개 애플리케이션에 대한 내부 사용자 액세스를 보호하는 데 중점을 둔 SASE 기능의 하위 집합인 보안 서비스 에지(SSE)를 우선적으로 사용할 수 있습니다.

SSE는 전체 SASE 배포를 위한 일반적인 디딤돌입니다. 지나치게 단순화한 것일 수도 있지만, 일부 조직에서는 SASE를 'SSE와 SD-WAN을 더한 것'으로 생각할 수 있습니다.

단일 벤더 SASE와 듀얼 벤더 SASE의 비교

SASE에서 듀얼 벤더 접근 방식은 ZTNA, SWG, CASB, SD-WAN/WANaaS 및 FWaaS에 대해 두 개 이상의 공급자를 갖는 것을 의미합니다. 하나는 보안을 위한 것이고 다른 하나는 네트워킹을 위한 것인 경우가 많습니다. 이를 통해 조직에서는 기술 스택을 사용자 지정하고 각 벤더의 강점을 활용할 수 있습니다. 이는 또한 조직에서 서로 다른 서비스를 조직하고 통합할 시간과 내부 리소스를 확보해야 함을 의미합니다.

조직에서는 대신 단일 벤더 SASE(SV-SASE)를 사용하는 것을 선택할 수도 있습니다. 그러면 서로 다른 보안 및 네트워킹 기술을 단일 클라우드 제공 플랫폼으로 결합하게 됩니다. SV-SASE는 포인트 제품을 통합하고, TCO를 절감하며, 적은 노력으로 일관된 정책을 시행하려는 조직에 적합합니다.

어떤 접근 방식을 사용하든 SASE 플랫폼은 네트워크 온램프(on-ramp), ID 관리, 엔드포인트 보안, 로그 스토리지, 기타 네트워크 보안 구성 요소를 위한 기존 도구를 보강하거나 통합할 수 있어야 합니다.

잠재적 SASE 벤더에게 문의할 사항

어떤 SASE 접근 방식을 선택하든 잠재적 벤더를 평가할 때는 다음 기준과 샘플 질문을 고려하세요.

위험 축소

• SaaS 제품군을 통한 모든 데이터 흐름과 통신이 모든 채널에 걸쳐 보호되나요?
• 어떤 사용자/장치 위험 점수 및 분석을 사용할 수 있나요?
• 네트워크 온램프(on-ramp) 때문에 우회되는 보안 기능이 있나요?
• 애플리케이션 트래픽이 단일 경로로 해독되고 검사되나요? 배포 시 주의 사항이 있나요?
• 위협 인텔리전스 피드를 아키텍처에 통합할 수 있나요?

네트워크 복원력

• 보안 및 네트워킹 기능이 기본적으로 통합되어 있나요?
• 각 연결 방법과 SASE 서비스는 어떤 순서로 상호 운용 가능한가요?
• 모든 데이터 센터 위치에서 모든 기능이 제공되나요?
• 가동 시간 및/또는 최종 사용자 대기 시간을 보장하나요?
• 중단 발생 시 서비스 연속성 보장을 위해 네트워크가 어떻게 설계되어 있나요?

미래를 대비한 아키텍처

• 클라우드 간을 전환할 경우 SASE 서비스/비용은 어떻게 되나요?
• 플랫폼이 개발자 친화적인가요? 향후 SASE 기능이 현재 애플리케이션에서 작동할까요?
• 기본적으로 제공되는 데이터 현지화 및 규제 준수 기능에는 어떤 것이 있을까요?
• 해당 플랫폼은 포스트 퀀텀 암호화와 같은 향후 인터넷 표준이나 보안 표준을 어떻게 고려하고 있나요?

Cloudflare에서 SASE를 지원하는 방법

Cloudflare의 SASE 플랫폼인 Cloudflare One은 엔터프라이즈 애플리케이션, 사용자, 장치, 네트워크를 보호합니다. Cloudflare One은 프로그래밍 가능한 클라우드 네이티브 서비스의 통합된 구성 가능한 플랫폼인 Cloudflare의 클라우드 연결성을 기반으로 구축되어 모든 네트워크(엔터프라이스 및 인터넷), 클라우드 환경, 애플리케이션, 사용자 간의 무제한 연결을 가능하게 합니다.

Cloudflare의 모든 서비스는 모든 네트워크 위치에서 실행되도록 설계되었으므로 모든 트래픽을 소스 근처에서 연결, 검사, 필터링하여 최고의 성능과 일관된 사용자 경험을 제공합니다. 대기 시간을 늘리는 백홀링이나 서비스 체인이 없습니다.

Cloudflare One은 또한 조직에서 보안 및 네트워크 최신화 사용 사례를 원하는 대로 채택할 수 있도록 구성 가능한 SASE 온램프(on-ramp) 및 서비스를 제공합니다. 예를 들어, 많은 Cloudflare 고객은 Zero Trust SSE 서비스로 시작하여 공격면을 줄이고, 피싱 또는 랜섬웨어를 차단하며, 내부망 이동을 방지하고, 데이터를 보호합니다. Cloudflare One을 점진적으로 채택함으로써 조직에서는 짜깁기된 장비 및 기타 포인트 솔루션에서 벗어나 하나로 통합된 제어판에 보안 및 네트워킹 기능을 통합할 수 있습니다. Cloudflare SASE 제공하는 방법을 자세히 알아보세요.