SASE란 무엇입니까? | SASE(Secure Access Service Edge)

SASE(Secure Access Service Edge)는 네트워킹과 보안 서비스를 결합하는 클라우드 기반 IT 모델을 의미합니다.

Share facebook icon linkedin icon twitter icon email icon

SASE

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • SASE(Secure Access Service Edge)를 정의합니다
  • SASE에 포함된 서비스를 알아보세요
  • SASE와 기존 네트워크 아키텍처의 차이점을 알아보세요
  • SASE 프레임워크 채택 시의 장점을 살펴보세요

SASE란 무엇입니까?

SASE(Secure Access Service Edge)는 클라우드 기반 보안 모델로서 소프트웨어 정의 네트워킹과 네트워크 보안 기능을 결합하며, 단일 서비스 공급자로부터 이를 제공합니다. ‘SASE’라는 용어는 글로벌 연구 및 자문 기업 Gartner가 2019년에 만들었습니다.

sase - secure access service edge

SASE는 클라우드 기반 인프라로서 기존 ‘허브 및 스포크’ 네트워크 인프라를 대체합니다. 기존 인프라는 여러 위치(스포크)의 사용자를 중앙 데이터 센터(허브)에 호스팅된 리소스와 연결하는 방식으로 작동합니다. 기존 네트워크 모델에서는, 데이터와 애플리케이션이 중앙 데이터 센터에 상주합니다. 사용자, 지점, 애플리케이션이 이러한 자원에 액세스하기 위해서는, 일반적으로 안전한 임대 회선이나 VPN을 이용하는 현지화된 사설 네트워크나 보조 네트워크로부터 데이터 센터에 연결해야 합니다.

원리는 간단하지만 허브 및 스포크 모델은 SaaS(Software-as-a-Service) 등의 클라우드 기반 서비스와 분산 인력의 증가에 따른 복잡성을 처리하는 데 적합하지 않습니다. 클라우드로 이동하는 애플리케이션, 작업 부하, 민감한 기업 데이터가 증가하면서, 기업은 네트워크 트래픽을 검사하고 안전한 사용자 액세스 정책을 관리하는 방법과 지점을 다시 생각해야만 했습니다. 대부분의 애플리케이션과 데이터가 클라우드에 호스팅된 경우, 중앙 데이터 센터를 통해 모든 트래픽의 경로를 재조정(또는 '트럼본')하는 것은 이제 실용적이지 않습니다. 이로써 불필요한 대기 시간이 발생할 수 있기 때문입니다. 한편, 대규모 원격 사용자 집단은 VPN을 통해 기업 네트워크에 연결할 때, 엄청난 대기 시간을 경험할 수도 있고, 안전하지 않은 연결을 통해 기업 자원에 액세스할 때 추가 보안 위험에 노출될 수도 있습니다.

이에 비해, SASE는 네트워크 컨트롤을 기업 데이터 센터가 아니라 클라우드 에지에 배치합니다. 별도 구성과 관리가 필요한 클라우드 서비스를 계층화하는 대신, SASE는 네트워크와 보안 서비스를 간소화하여 안전하고 원활한 네트워크 에지를 만듭니다. 기업은 ID 기반 제로 트러스트 액세스 정책을 에지 네트워크에서 실행하여 네트워크 경계를 모든 원격 사용자, 지점, 장치, 애플리케이션까지 확장할 수 있습니다. 이로써 레거시 VPN과 방화벽이 불필요해지고, 기업은 네트워크 보안 정책을 더욱 상세히 관리할 수 있게 됩니다. 이를 위해, SASE 프레임워크는 단일 글로벌 네트워크 위에 구축되어 통합 서비스를 최종 사용자에게 더 가까운 곳에서 제공합니다.

왜 SASE가 필요합니까?

기존 네트워크 아키텍처를 오프라인 은행이라고 상상해 봅시다. 이제 Bob이라는 사람이 계좌 잔고를 확인한 후 집세를 지불하려고 한다고 가정하겠습니다. 이렇게 하려면, 실제로 은행에 가서 은행원에게 신분을 확인해야 합니다. Bob은 매달 은행에 가서 이 과정을 반복해야 합니다. 이 과정은 시간과 노력이 많이 필요하며, 특히 집이 은행과 멀다면 더욱 어려울 것입니다.

이는 하드웨어 중심 네트워크 아키텍처와 비슷한 면이 있습니다. 하드웨어 중심 네트워크 아키텍처에서는 클라우드가 아니라 고정된 온프레미스 데이터 센터에서 보안 및 액세스 결정을 내리고 실행합니다. 클라우드 서비스를 기존 네트워크 아키텍처 모델에 추가하는 것은 은행에 전화를 걸어 계좌 잔고를 확인할 수 있는 옵션을 제공하는 것과 비슷합니다. 은행까지 직접 가는 것보다 약간 더 편리하지만, 이제는 완전히 다른 신원 확인 과정이 필요합니다(가령 신분증을 제시하는 대신, 전화 상에서 다른 기밀 정보를 제공하여 신원을 확인해야 할 것입니다). 은행은 고객의 계좌 정보를 보호하기 위해 이러한 절차를 관리해야 합니다.

허브 및 스포크 네트워크 모델

기존 허브 및 스포크 인프라는 클라우드 서비스를 염두에 두고 설계한 것이 아닙니다. 중앙 데이터 센터를 중심으로 구축된 안전한 네트워크 경계에 의존하므로, 이는 해당 경계 내에 대량의 기업 애플리케이션과 데이터가 상주할 때만 효과가 있습니다. 얼마 지나지 않아, IT팀은 다양한 보안 서비스와 액세스 정책을 관리하고 업데이트하는 데 어려움을 겪을 수 있습니다.

이에 비해, SASE는 Bob의 모바일 장치에 있는 은행 앱과 같습니다. 직접 은행으로 가서 계좌를 확인하거나 전화 통화에 시간을 많이 쓰는 대신, 전 세계 어디서나 디지털로 신원을 확인하고 즉시 계좌 잔고를 확인할 수 있습니다. 이는 Bob뿐만 아니라 전 세계 모든 곳에 있는 모든 은행 고객에게 적용됩니다.

허브 및 스포크 네트워크 모델

SASE를 이용하면, 주요 프로세스가 클라우드로 전환되어 네트워크 보안 서비스와 액세스 제어가 최종 사용자에게 가까운 곳으로 이동하며, 또한 이는 글로벌 네트워크에서 작동하므로 이 과정에서 발생하는 대기 시간이 최소화됩니다.

SASE에는 어떤 역량이 포함됩니까?

SASE는 SD-WAN(Software-Defined Wide Area Networking) 역량과 다양한 보안 기능으로 이루어져 있으며, 이 모든 것을 단일 클라우드 플랫폼에서 제공하고 관리합니다. SASE는 4대 핵심 보안 구성 요소를 포함합니다.

  1. SWG(Secure Web Gateway): 보안 인터넷 게이트웨이라고도 하는 SWG는 웹 트래픽에서 원치 않는 콘텐츠를 필터링하고, 비인가 사용자 행동을 차단하고, 기업 보안 정책을 실행하여 사이버 위협과 데이터 위반을 방지합니다. SWG는 어디에나 배포할 수 있어 원격 인력을 보호하는 데 이상적입니다.
  2. CASB(Cloud Access Security Broker): CASB는 클라우드에 호스팅된 서비스에 대해 여러 가지 보안 기능을 실행합니다. 여기에는 새도우 IT(비인가 기업 시스템)를 공개하고, 액세스 제어와 DLP(Data Loss Prevention)를 통해 기밀 데이터를 보호하며, 데이터 보호 규정 준수를 보장하는 등의 다양한 기능이 포함됩니다.
  3. ZTNA(Zero Trust Network Access): ZTNA 플랫폼은 내부 자원이 공개적으로 보이지 않도록 차단하고, 보호 대상 애플리케이션에 대해 모든 사용자를 실시간 확인하여 데이터 침해 가능성을 예방하는 데 도움이 됩니다.
  4. FWaaS(Firewall-as-a-Service): FWaaS는 서비스로 제공되는 클라우드에서 제공하는 방화벽입니다. FWaaS는 사이버 공격으로부터 클라우드 기반 플랫폼, 인프라, 애플리케이션을 보호합니다. FWaaS는 기존 방화벽과 달리 물리적인 장치가 아니라, URL 필터링, 침입 방지, 모든 네트워크 트래픽에 대한 균일한 정책 관리로 이루어진 보안 역량 집합입니다.

벤더와 기업 요건에 따라 이러한 핵심 구성 요소에 WAAP(Web Application and API Protection)와 원격 브라우저 고립부터 재귀 DNS, Wi-Fi 핫스팟 보호, 네트워크 난독 처리/분산, 에지 컴퓨팅 보호까지 추가 보안 서비스가 결합될 수 있습니다.

SASE 프레임워크의 장점은 무엇입니까?

SASE는 기존의 데이터 센터 기반 네트워크 보안 모델에 비해 여러 가지 장점이 있습니다.

  • 간결한 실행 및 관리. SASE는 싱글 포인트 보안 솔루션을 하나의 클라우드 기반 서비스에 통합하므로, 이를 이용하는 기업은 상대할 벤더 수를 줄일 수 있으며, 물리적 인프라에서 구성과 유지 보수를 진행하는 데 필요한 시간, 비용, 내부 리소스를 절감할 수 있습니다.
  • 간단한 정책 관리. 분리된 솔루션별로 별도의 정책을 사용하는 대신, SASE를 통해 모든 위치, 사용자, 장치, 애플리케이션에 대한 액세스 정책을 하나의 포털에서 설정, 모니터링, 조정, 실행할 수 있습니다.
  • ID 기반 제로 트러스트 네트워크 액세스. SASE는 제로 트러스트 보안 모델을 적극 활용하며, 이 모델에서는 사용자가 이미 사설 네트워크 경계 내에 있더라도, 사용자의 ID를 확인한 후에만 애플리케이션과 데이터에 대한 권한을 제공합니다. 액세스 정책을 수립할 때 SASE 접근법은 ID뿐만 아니라 사용자 위치, 하루 중 시간, 기업 보안 기준, 준수 정책, 위험/신뢰에 대한 지속적 평가 등의 요소도 고려합니다.
  • 대기 시간이 최적화된 라우팅. 대기 시간이 중요한 서비스(예: 화상 회의, 스트리밍, 온라인 게임 등)를 제공하는 기업의 경우, 대기 시간이 심각하게 증가하면 큰 문제입니다. SASE는 가능한 한 사용자와 가까운 곳에서 트래픽을 처리하는 글로벌 에지 네트워크에서 네트워크 트래픽을 라우팅하므로, 대기 시간이 감소합니다. 라우팅 최적화는 네트워크 정체 등의 요소를 바탕으로 가장 빠른 네트워크 경로를 결정하는 데 도움이 될 수 있습니다.

모든 SASE 실행이 같은 것은 아닙니다. ID 기반 액세스 정책, 네트워크 보안 서비스, 클라우드 중심 아키텍처 같은 핵심 특징은 동일하더라도, 조직의 필요에 따라 큰 차이가 있을 수 있습니다. 예를 들어, SASE 실행 시 멀티테넌트 아키텍처보다 싱글 테넌트 아키텍처를 채택하고, IoT(사물 인터넷) 및 에지 장치용 네트워크 액세스 제어를 통합하고, 추가 보안 역량을 제공하고, 최소 하드웨어/가상 장치를 사용하여 보안 솔루션을 제공할 수 있습니다.

Cloudflare는 SASE를 채택하는 데 어떤 도움을 줍니까?

Cloudflare의 SASE 모델은 Cloudflare for Infrastructure와 Cloudflare for Teams에 모두 적용되며, 이들은 모두 25백만 개 이상의 인터넷 자산을 통해 서비스를 제공하는 단일 글로벌 네트워크가 뒷받침합니다. Cloudflare는 독특한 구조를 갖추고 전 세계 200+ 개 도시에 분산된 통합 네트워크 및 보안 서비스 플랫폼을 제공하므로, 기업은 클라우드에서 복잡한 포인트 솔루션을 구매하고 관리하지 않아도 됩니다.

Cloudflare for Infrastructure는 Cloudflare의 다양한 통합 보안 및 성능 서비스를 포함하여, 모든 온프레미스, 하이브리드, 클라우드 환경의 신뢰성을 보호하고, 가속화하고, 보장합니다. Cloudflare for Infrastructure의 핵심은 Cloudflare Magic Transit으로서, 이는 네트워킹 인프라를 DDoS 위협과 네트워크 계층 공격으로부터 보호하고 Cloudflare WAF(웹 애플리케이션 방화벽)와 연계하여 취약성 악용을 차단합니다. 또한, Magic Transit은 Cloudflare의 글로벌 네트워크를 사용하여, 합법적인 네트워크 트래픽을 가속화하고 대기 시간과 처리량을 최적화합니다. Cloudflare Magic Transit에 대해 자세히 알아보세요.

Cloudflare for Teams는 두 가지 독특한 방식으로 기업 데이터를 보호합니다. 제로 트러스트 네트워크 액세스 솔루션인 Cloudflare Access와 맬웨어, 피싱 등의 위협을 방지하는 DNS 필터링 및 네트워크 보안 서비스인 Cloudflare Gateway를 사용합니다. Cloudflare Access를 이용하면, 레거시 VPN이 불필요해지고, 사용자의 위치에 관계없이 내부 애플리케이션에 대한 안전한 ID 기반 액세스가 가능해집니다. Cloudflare Gateway는 악의적인 콘텐츠를 필터링 및 차단하고, 손상된 장치를 파악하며, 브라우저 고립 기술을 통해 악의적인 코드가 사용자 장치에서 실행되지 못하게 차단하여 사용자와 기업 데이터를 보호합니다. Cloudflare for Teams에 대해 자세히 알아보세요.