보안 액세스 서비스 에지(SASE) 아키텍처는 하나의 클라우드 플랫폼에 보안과 네트워킹 서비스를 결합한 IT 모델입니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
관련 콘텐츠
인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!
글 링크 복사
보안 액세스 서비스 에지, 즉 SASE("sassy"라고 발음됨)는 네트워크 연결과 네트워크 보안 기능을 통합하여 이들 기능을 단일 클라우드 플랫폼 및/또는 중앙 집중식 정책 제어를 통해 제공하는 아키텍처 모델입니다.
조직에서 점점 더 많은 앱과 데이터를 클라우드로 마이그레이션함에 따라 기존의 "성과 해자" 방식으로는 네트워크 보안을 관리하는 것이 더욱 복잡하고 위험해졌습니다. 기존의 네트워킹 접근 방식과는 달리 SASE는 보안과 네트워킹을 하나의 클라우드 플랫폼과 하나의 제어판으로 통합하여 모든 사용자, 모든 앱에서 일관된 가시성, 제어, 경험을 제공합니다.
이러한 방식으로 SASE는 인터넷을 통해 실행되는 클라우드 서비스를 기반으로 새로운 통합 기업 네트워크를 생성하여 조직에서 여러 아키텍처 계층과 포인트 솔루션에서 벗어날 수 있도록 합니다.
기존 네트워크 모델에서는 데이터와 애플리케이션이 중앙 데이터 센터에 상주합니다. 사용자, 지점, 애플리케이션이 이러한 리소스에 액세스하기 위해서는 일반적으로 안전한 임대 회선이나 VPN을 이용하는 현지화된 사설 네트워크나 보조 네트워크로부터 데이터 센터에 연결해야 합니다.
하지만 이 모델은 새로운 클라우드 기반 서비스와 분산된 인력의 증가로 인한 복잡성을 처리하기에 적합하지 않습니다. 예를 들어 조직에서 클라우드에서 SaaS 애플리케이션과 데이터를 호스팅하는 경우 중앙 데이터 센터를 통해 모든 트래픽을 다시 라우팅하는 것은 비현실적입니다.
반면, SASE는 네트워크 제어를 기업 데이터 센터가 아닌 클라우드 에지에 배치합니다. 별도의 구성과 관리가 필요한 서비스를 계층화하는 대신, SASE는 하나의 제어판을 사용하여 네트워크와 보안 서비스를 통합합니다. SASE는 에지 네트워크에서 ID 기반의 Zero Trust 보안 정책을 구현하여 기업에서 모든 원격 사용자, 지사, 장치, 애플리케이션으로 네트워크 액세스를 확장할 수 있도록 합니다.
SASE 플랫폼은 하나의 인터페이스에서 관리되고 하나의 제어판에서 제공되는 다양한 보안 기능에 서비스형 네트워크(NaaS) 기능을 결합합니다.
이러한 서비스에는 다음이 포함됩니다.
이러한 서비스를 통합 아키텍처로 병합함으로써 SASE는 네트워크 인프라를 간소화합니다.
보안 액세스 서비스 에지에는 전통적으로 서로 다른 여러 서비스를 통합하는 작업이 포함되므로 조직에서는 한꺼번에 SASE 아키텍처로 전환하지 않고 점진적으로 전환할 수 있습니다. 조직에서는 우선순위가 가장 높은 사용 사례를 충족하는 구성 요소를 먼저 구현한 후 모든 네트워킹 및 보안 서비스를 단일 플랫폼으로 이전할 수 있습니다.
SASE 플랫폼에는 일반적으로 다음과 같은 기술 구성 요소가 포함됩니다.
벤더의 역량에 따라 위의 SASE 구성 요소는 아래에 자세히 설명된 클라우드 이메일 보안, 웹 애플리케이션 및 API 보호(WAAP), DNS 보안 및/또는 보안 서비스 에지(SSE) 기능과 함께 번들로 제공될 수도 있습니다.
SASE는 기존의 데이터 센터 기반 네트워크 보안 모델에 비해 여러 가지 장점이 있습니다.
Zero Trust 원칙을 통한 위험 감소: SASE는 사용자가 이미 사설 네트워크의 경계 안에 있더라도 신원이 확인될 때까지 앱 및 데이터에 대한 액세스 권한을 부여하지 않는 Zero Trust 보안 모델에 크게 의존합니다. 액세스 정책을 수립할 때 SASE 접근 방식은 엔터티의 신원뿐만 아니라 지리적 위치, 장치 상태, 기업 보안 표준, 위험/신뢰에 대한 지속적인 평가 등의 요소도 고려할 수 있습니다.
플랫폼 통합을 통한 비용 절감: SASE는 단일 포인트 보안 솔루션을 하나의 클라우드 기반 서비스로 통합하여 기업이 더 적은 수의 벤더와 상호 작용하고 이질적인 제품을 강제로 통합하는 데 드는 시간, 비용, 내부 리소스를 줄일 수 있도록 지원합니다.
운영 효율성 및 민첩성: 조직에서는 함께 작동하도록 설계되지 않은 여러 가지 포인트 솔루션을 사용하는 대신 SASE를 통해 단일 인터페이스에서 모든 위치, 사용자, 장치, 애플리케이션에 걸쳐 보안 정책을 설정, 조정, 적용할 수 있습니다. IT 팀에서는 문제를 보다 효과적으로 해결하고 간단한 문제 해결에 소요되는 시간을 줄일 수 있습니다.
하이브리드 근무를 위한 사용자 경험 개선: 네트워크 라우팅 최적화를 통해 네트워크 혼잡도 및 기타 요인에 따라 가장 빠른 네트워크 경로를 결정할 수 있습니다. SASE는 트래픽이 최대한 사용자와 가까운 곳에서 처리되는 전역 에지 네트워크를 통해 트래픽을 안전하게 라우팅하여 최종 사용자의 대기 시간을 단축합니다.
최신화된 보안 액세스를 위한 VPN 강화 또는 교체
SASE 아키텍처로 전환하는 일반적인 이유 중 하나는 리소스 액세스 및 연결성을 개선하기 위해서입니다. VPN을 통해서가 아니라 사용자와 최대한 가까운 전역 클라우드 네트워크를 통해서 네트워크 트래픽을 라우팅하고 처리하면 최종 사용자의 마찰을 줄이고 내부망 이동의 위험을 제거할 수 있습니다.
계약자(타사) 액세스 간소화
보안 액세스 서비스 에지는 내부 직원을 넘어 계약자, 파트너, 기타 임시직원, 독립 근로자와 같은 제3자까지 보안 액세스를 확장합니다. 리소스 기반 액세스를 통해 조직에서는 계약자의 과도한 프로비저닝 위험을 완화할 수 있습니다.
분산된 사무실과 원격 근무자를 위한 위협 방어
SASE를 통해 조직에서는 사용자의 위치와 관계없이 모든 사용자에게 일관된 IT 보안 정책을 적용할 수 있습니다. SASE는 모든 발신 및 수신 네트워크 트래픽을 필터링하고 검사함으로써 맬웨어 기반 공격, 멀티채널 피싱(여러 통신 채널에 걸친 공격), 내부자 위협, 데이터 유출 등의 위협을 방지할 수 있습니다.
규제 준수를 위한 데이터 보호
SASE는 모든 네트워크 요청에 대한 가시성을 제공하므로 조직에서는 각 요청의 데이터에 정책을 적용할 수 있습니다. 이러한 정책은 조직에서 중요한 데이터를 특정 방식으로 처리하도록 요구하는 데이터 개인정보 보호법을 준수하는 데 도움이 됩니다.
분기 연결 간소화
SASE 아키텍처는 다중 프로토콜 레이블 스위칭(MPLS) 회로와 짜깁기한 네트워크 장비를 보강하거나 대체하여 지사 간 트래픽을 보다 쉽게 라우팅하고 여러 위치에서 사이트 간 연결을 촉진하는 데 도움이 될 수 있습니다.
업계 분석 기관인 Gartner에서는 보안 접속 서비스 에지를 SD-WAN, SWG, CASB, NGFW, ZTNA가 포함되며, "실시간 컨텍스트, 보안, 규제 준수 정책과 결합하여 장치 또는 엔터티의 ID를 기반으로 Zero Trust 액세스를 가능하게 하는 것"이라고 정의합니다.
즉, SASE는 네트워크 아키텍처의 일부로 사용자의 보안 액세스를 통합합니다. (여기서 주목할 것은 업계 분석 기관 Forrester에서 SASE 모델을 "Zero Trust Edge"(ZTE)로 분류하고 있다는 점입니다.)
하지만 모든 조직에서 IT, 네트워크 보안, 네트워킹 팀에 걸쳐 일관된 접근 방식을 가지고 있는 것은 아닙니다. 따라서 주로 웹, 클라우드 서비스, 비공개 애플리케이션에 대한 액세스를 보호하는 데 중점을 둔 SASE 기능의 하위 집합인 보안 서비스 에지(SSE)를 우선적으로 사용할 수 있습니다.
또한 대부분의 SASE 플랫폼에는 앞서 언급한 핵심 기능이 포함되어 있지만, 일부 플랫폼에는 다음과 같은 추가 SSE 기능이 포함되어 있습니다.
SSE는 전체 SASE 배포를 위한 일반적인 발판입니다. 그러나 일부 조직(특히 SD-WAN 배포가 성숙한 조직)에서는 단일 SASE 벤더로 완전히 통합하는 것을 원하지 않을 수 있습니다. 이들 조직에서는 개별 SASE 구성 요소를 배포하여 즉각적인 사용 사례를 해결하고, 시간이 지남에 따라 플랫폼 통합 노력을 확대할 수 있습니다.
Cloudflare One은 기업 앱, 사용자, 장치, 네트워크를 보호하기 위한 Cloudflare의 SASE 플랫폼입니다. Cloudflare One은 프로그래밍 가능한 클라우드 네이티브 서비스의 통합된 구성 가능한 플랫폼인 Cloudflare의 클라우드 연결성을 기반으로 구축되어 모든 네트워크(기업 및 인터넷), 클라우드 환경, 앱, 사용자 간의 모든 연결을 가능하게 합니다.
Cloudflare One 서비스(SASE의 모든 측면 포함)는 모든 Cloudflare 네트워크 위치에서 실행되도록 설계되었으므로 모든 트래픽이 소스 가까이에서 연결, 검사, 필터링되어 최상의 성능과 일관된 사용자 경험을 제공합니다. Cloudflare One 및 기타 네트워크 보안 솔루션에 대하여 자세히 알아보세요.