SASE 아키텍처란? | 보안 액세스 서비스 에지

이러한 방식으로 SASE는 인터넷을 통해 실행되는 클라우드 서비스를 기반으로 새로운 통합 기업 네트워크를 생성하여 조직에서 여러 아키텍처 계층과 포인트 솔루션에서 벗어날 수 있도록 합니다.

하지만 이 모델은 새로운 클라우드 기반 서비스와 분산된 인력의 증가로 인한 복잡성을 처리하기에 적합하지 않습니다. 예를 들어 조직에서 클라우드에서 SaaS 애플리케이션과 데이터를 호스팅하는 경우 중앙 데이터 센터를 통해 모든 트래픽을 다시 라우팅하는 것은 비현실적입니다.

반면, SASE는 네트워크 제어를 기업 데이터 센터가 아닌 클라우드 에지에 배치합니다. 별도의 구성과 관리가 필요한 서비스를 계층화하는 대신, SASE는 하나의 제어판을 사용하여 네트워크와 보안 서비스를 통합합니다. SASE는 에지 네트워크에서 ID 기반의 Zero Trust 보안 정책을 구현하여 기업에서 모든 원격 사용자, 지사, 장치, 애플리케이션으로 네트워크 액세스를 확장할 수 있도록 합니다.

이러한 서비스에는 다음이 포함됩니다.

• 다양한 네트워크를 단일 기업 네트워크로 연결하기 위한 소프트웨어 정의 광역 네트워크(SD-WAN) 또는 서비스형 네트워크(WANaaS) 등 연결을 간소화하는 네트워크 서비스
• 네트워크에 드나드는 트래픽에 적용되어 사용자 및 장치 액세스를 보호하고, 위협을 방어하며, 중요한 데이터를 보호하는 보안 서비스
• 네트워크 모니터링, 로깅 등 플랫폼 전반의 기능을 제공하는 운영 서비스
• 모든 컨텍스트 속성과 보안 규칙을 뒷받침한 다음, 연결된 모든 서비스에 걸쳐 해당 정책을 적용하는 정책 엔진

이러한 서비스를 통합 아키텍처로 병합함으로써 SASE는 네트워크 인프라를 간소화합니다.

SASE 플랫폼의 기술 구성 요소는?

보안 액세스 서비스 에지에는 전통적으로 서로 다른 여러 서비스를 통합하는 작업이 포함되므로 조직에서는 한꺼번에 SASE 아키텍처로 전환하지 않고 점진적으로 전환할 수 있습니다. 조직에서는 우선순위가 가장 높은 사용 사례를 충족하는 구성 요소를 먼저 구현한 후 모든 네트워킹 및 보안 서비스를 단일 플랫폼으로 이전할 수 있습니다.

SASE 플랫폼에는 일반적으로 다음과 같은 기술 구성 요소가 포함됩니다.

• Zero Trust 네트워크 액세스(ZTNA): Zero Trust 보안 모델은 위협이 네트워크 내부와 외부에 모두 존재한다고 가정하므로 사람, 앱, 장치가 회사 네트워크의 리소스에 액세스하려고 할 때마다 엄격한 컨텍스트 확인이 필요합니다. Zero Trust 네트워크 액세스(ZTNA)는 Zero Trust 접근 방식을 가능하게 하는 기술로, 사용자와 해당 사용자가 필요로 하는 리소스 간에 일대일 연결을 설정하고 이러한 연결을 주기적으로 재확인하며 다시 만들어야 합니다.
• 보안 웹 게이트웨이(SWG): SWG는 원치 않는 웹 트래픽 콘텐츠를 필터링하고 온라인에서 위험하거나 승인되지 않은 사용자 행동을 차단하여 사이버 위협을 방지하고 데이터를 보호합니다. SWG는 어디에든 배포할 수 있으므로 하이브리드 근무 보안에 이상적입니다.
• 클라우드 액세스 보안 브로커(CASB): 클라우드 및 SaaS 앱을 사용하면 데이터를 비공개로 안전하게 유지하기가 더 어려워집니다. CASB는 이러한 문제에 대한 해결책 중 하나로, 조직의 클라우드 호스팅 서비스 및 애플리케이션에 대한 데이터 보안 제어 및 가시성을 제공합니다.
• 소프트웨어 정의 WAN(SD-WAN) 또는 WANaaS: SASE 아키텍처의 경우 조직에서는 SD-WAN 또는 서비스형 WAN(WANaaS)을 채택하여 사무실, 소매점, 데이터센터 등 원거리에 걸쳐 있는 운영 조직을 연결하고 확장합니다. SD-WAN과 WANaaS는 서로 다른 접근 방식을 사용합니다.
  • SD-WAN 기술은 기업 사이트의 소프트웨어와 중앙 집중식 컨트롤러를 사용하여 기존 WAN 아키텍처의 일부 한계를 극복하고 운영 및 트래픽 조정 결정을 간소화합니다.
  • WANaaS는 물리적 위치 내에 필요한 최소한의 하드웨어를 배포하고 저비용 인터넷 연결을 사용하여 가장 가까운 "서비스 에지" 위치에 도달하는 "라이트 브랜치, 헤비 클라우드(light branch, heavy cloud)" 접근 방식을 취함으로써 SD-WAN의 이점을 기반으로 합니다. 이를 통해 총 비용을 절감하고, 더욱 통합된 보안을 제공하며, 미들 마일 성능을 개선하고, 클라우드 인프라에 더 나은 서비스를 제공할 수 있습니다.
• 차세대 방화벽(NGFW) NGFW는 기존 방화벽보다 더 깊은 수준에서 데이터를 검사합니다. 예를 들어, NGFW는 애플리케이션 인식 및 제어, 침입 방지, 위협 인텔리전스를 제공하여 정상적으로 보이는 트래픽에 숨어 있을 수 있는 위협을 식별하고 차단할 수 있습니다. 클라우드에 배포할 수 있는 NGFW를 클라우드 방화벽 또는 서비스형 방화벽(FWaaS)이라고 합니다.

벤더의 역량에 따라 위의 SASE 구성 요소는 아래에 자세히 설명된 클라우드 이메일 보안, 웹 애플리케이션 및 API 보호(WAAP), DNS 보안 및/또는 보안 서비스 에지(SSE) 기능과 함께 번들로 제공될 수도 있습니다.

SASE의 주요 이점은?

SASE는 기존의 데이터 센터 기반 네트워크 보안 모델에 비해 여러 가지 장점이 있습니다.

Zero Trust 원칙을 통한 위험 감소: SASE는 사용자가 이미 사설 네트워크의 경계 안에 있더라도 신원이 확인될 때까지 앱 및 데이터에 대한 액세스 권한을 부여하지 않는 Zero Trust 보안 모델에 크게 의존합니다. 액세스 정책을 수립할 때 SASE 접근 방식은 엔터티의 신원뿐만 아니라 지리적 위치, 장치 상태, 기업 보안 표준, 위험/신뢰에 대한 지속적인 평가 등의 요소도 고려할 수 있습니다.

플랫폼 통합을 통한 비용 절감: SASE는 단일 포인트 보안 솔루션을 하나의 클라우드 기반 서비스로 통합하여 기업이 더 적은 수의 벤더와 상호 작용하고 이질적인 제품을 강제로 통합하는 데 드는 시간, 비용, 내부 리소스를 줄일 수 있도록 지원합니다.

운영 효율성 및 민첩성: 조직에서는 함께 작동하도록 설계되지 않은 여러 가지 포인트 솔루션을 사용하는 대신 SASE를 통해 단일 인터페이스에서 모든 위치, 사용자, 장치, 애플리케이션에 걸쳐 보안 정책을 설정, 조정, 적용할 수 있습니다. IT 팀에서는 문제를 보다 효과적으로 해결하고 간단한 문제 해결에 소요되는 시간을 줄일 수 있습니다.

하이브리드 근무를 위한 사용자 경험 개선: 네트워크 라우팅 최적화를 통해 네트워크 혼잡도 및 기타 요인에 따라 가장 빠른 네트워크 경로를 결정할 수 있습니다. SASE는 트래픽이 최대한 사용자와 가까운 곳에서 처리되는 전역 에지 네트워크를 통해 트래픽을 안전하게 라우팅하여 최종 사용자의 대기 시간을 단축합니다.

일반적인 SASE 사용 사례는?

최신화된 보안 액세스를 위한 VPN 강화 또는 교체

SASE 아키텍처로 전환하는 일반적인 이유 중 하나는 리소스 액세스 및 연결성을 개선하기 위해서입니다. VPN을 통해서가 아니라 사용자와 최대한 가까운 전역 클라우드 네트워크를 통해서 네트워크 트래픽을 라우팅하고 처리하면 최종 사용자의 마찰을 줄이고 내부망 이동의 위험을 제거할 수 있습니다.

계약자(타사) 액세스 간소화

보안 액세스 서비스 에지는 내부 직원을 넘어 계약자, 파트너, 기타 임시직원, 독립 근로자와 같은 제3자까지 보안 액세스를 확장합니다. 리소스 기반 액세스를 통해 조직에서는 계약자의 과도한 프로비저닝 위험을 완화할 수 있습니다.

분산된 사무실과 원격 근무자를 위한 위협 방어

SASE를 통해 조직에서는 사용자의 위치와 관계없이 모든 사용자에게 일관된 IT 보안 정책을 적용할 수 있습니다. SASE는 모든 발신 및 수신 네트워크 트래픽을 필터링하고 검사함으로써 맬웨어 기반 공격, 멀티채널 피싱(여러 통신 채널에 걸친 공격), 내부자 위협, 데이터 유출 등의 위협을 방지할 수 있습니다.

규제 준수를 위한 데이터 보호

SASE는 모든 네트워크 요청에 대한 가시성을 제공하므로 조직에서는 각 요청의 데이터에 정책을 적용할 수 있습니다. 이러한 정책은 조직에서 중요한 데이터를 특정 방식으로 처리하도록 요구하는 데이터 개인정보 보호법을 준수하는 데 도움이 됩니다.

분기 연결 간소화

SASE 아키텍처는 다중 프로토콜 레이블 스위칭(MPLS) 회로와 짜깁기한 네트워크 장비를 보강하거나 대체하여 지사 간 트래픽을 보다 쉽게 라우팅하고 여러 위치에서 사이트 간 연결을 촉진하는 데 도움이 될 수 있습니다.

SASE와 보안 서비스 에지(SSE)는 어떻게 다를까요?

업계 분석 기관인 Gartner에서는 보안 접속 서비스 에지를 SD-WAN, SWG, CASB, NGFW, ZTNA가 포함되며, "실시간 컨텍스트, 보안, 규제 준수 정책과 결합하여 장치 또는 엔터티의 ID를 기반으로 Zero Trust 액세스를 가능하게 하는 것"이라고 정의합니다.

즉, SASE는 네트워크 아키텍처의 일부로 사용자의 보안 액세스를 통합합니다. (여기서 주목할 것은 업계 분석 기관 Forrester에서 SASE 모델을 "Zero Trust Edge"(ZTE)로 분류하고 있다는 점입니다.)

하지만 모든 조직에서 IT, 네트워크 보안, 네트워킹 팀에 걸쳐 일관된 접근 방식을 가지고 있는 것은 아닙니다. 따라서 주로 웹, 클라우드 서비스, 비공개 애플리케이션에 대한 액세스를 보호하는 데 중점을 둔 SASE 기능의 하위 집합인 보안 서비스 에지(SSE)를 우선적으로 사용할 수 있습니다.

또한 대부분의 SASE 플랫폼에는 앞서 언급한 핵심 기능이 포함되어 있지만, 일부 플랫폼에는 다음과 같은 추가 SSE 기능이 포함되어 있습니다.

• 원격 브라우저 격리(RBI): RBI는 웹 사이트 코드(예: HTML, CSS, JavaScript)가 기본적으로 실행되도록 신뢰해서는 안 된다고 가정하여 웹 브라우징에 Zero Trust 원칙을 적용합니다. RBI는 사용자의 로컬 장치에서 벗어나 클라우드에서 웹 페이지를 로드하고 관련 코드를 실행합니다. 이러한 분리는 맬웨어 다운로드를 방지하고 브라우저 취약성의 위험을 최소화하며 zero-day 브라우저 취약성을 최소화하고 기타 브라우저로 인한 위협을 방어하는 데 도움이 됩니다.
• 데이터 손실 방지(DLP): DLP 기술은 데이터가 무단으로 도난당하거나 파기되는 것을 방지하기 위해 웹, SaaS, 비공개 애플리케이션에서 중요한 데이터의 존재를 감지합니다. DLP 솔루션은 SWG와 결합하여 전송 중인 데이터를 스캔할 수 있고, CASB와 결합하여 미사용 데이터를 스캔할 수 있습니다.
• 디지털 경험 모니터링(DEM): DEM은 웹 사이트 트래픽 및 앱 성능에 대한 사용자 행동과 경험을 모니터링하는 도구입니다. DEM은 조직에서 네트워크 문제, 성능 저하, 앱 중단과 관련된 실시간 데이터를 캡처하는 데 도움이 됩니다. 이를 통해 네트워크 문제를 정확히 파악하고 연결 이상 현상의 근본 원인을 파악할 수 있습니다

SSE는 전체 SASE 배포를 위한 일반적인 발판입니다. 그러나 일부 조직(특히 SD-WAN 배포가 성숙한 조직)에서는 단일 SASE 벤더로 완전히 통합하는 것을 원하지 않을 수 있습니다. 이들 조직에서는 개별 SASE 구성 요소를 배포하여 즉각적인 사용 사례를 해결하고, 시간이 지남에 따라 플랫폼 통합 노력을 확대할 수 있습니다.

Cloudflare에서 SASE를 지원하는 방법

Cloudflare One은 기업 앱, 사용자, 장치, 네트워크를 보호하기 위한 Cloudflare의 SASE 플랫폼입니다. Cloudflare One은 프로그래밍 가능한 클라우드 네이티브 서비스의 통합된 구성 가능한 플랫폼인 Cloudflare의 클라우드 연결성을 기반으로 구축되어 모든 네트워크(기업 및 인터넷), 클라우드 환경, 앱, 사용자 간의 모든 연결을 가능하게 합니다.

Cloudflare One 서비스(SASE의 모든 측면 포함)는 모든 Cloudflare 네트워크 위치에서 실행되도록 설계되었으므로 모든 트래픽이 소스 가까이에서 연결, 검사, 필터링되어 최상의 성능과 일관된 사용자 경험을 제공합니다. Cloudflare One에 대하여 자세히 알아보세요.