SASE('새시'로 발음)는 광역 네트워킹 및 네트워크 보안 기능을 하나의 통합된 클라우드 제공 네트워크 보안 서비스로 결합하는 네트워크 보안 접근 방식입니다.
SASE와 기존 네트워크 보안의 주요 차이점은 SASE가 보안 정책을 적용하기 위해 모든 트래픽을 데이터 센터로 다시 라우팅하는 대신, 네트워크 엣지에서 사용자와 엔드포인트가 연결되는 위치와 더 가까운 곳에서 보안 기능 및 기타 서비스를 제공한다는 것입니다.
SASE 모델은 네트워크 보안을 강화하고 네트워크 성능 관리를 간소화하며 전반적인 사용자 경험을 개선하는 데 큰 잠재력을 제공합니다.
점점 더 많은 조직이 디지털 혁신을 추구하고 클라우드 환경, 엣지 컴퓨팅, 재택근무 또는 하이브리드 근무 모델을 채택함에 따라 점점 더 많은 사용자와 IT 리소스가 기존 네트워크 경계를 벗어날 것입니다. SASE를 통해 조직은 사용자의 위치와 관계없이 사용자와 리소스 간에 직접적이고 안전하며 대기 시간이 짧은 연결을 제공할 수 있습니다. 업계 분석 기관인 Gartner에서 2019년에 이 용어를 정의한 것을 고려하면 SASE는 비교적 새로운 기술이지만, 많은 보안 전문가는 SASE가 네트워크 보안의 미래를 대표하는 기술이라고 생각합니다.
SASE는 소프트웨어 정의 광역 네트워킹(SD-WAN)과 보안 서비스 에지(SSE)라는 두 가지 핵심 기술의 결합 또는 융합입니다. 먼저 이러한 각 기술이 무엇을 하는지 이해하면 SASE의 작동 방식을 더 쉽게 이해할 수 있습니다.
SD-WAN
SD-WAN은 서버가 가상화되는 것과 거의 동일한 방식으로 가상화된 광역 네트워크입니다. 기본 하드웨어(연결, 스위치, 라우터, 게이트웨이)에서 네트워크 기능을 분리하여 소프트웨어 제어하에 있는 트래픽에 분할, 집계 및 적용할 수 있는 네트워킹 용량 및 네트워크 보안 기능 풀을 생성합니다.
기존의 광역 네트워크(WAN)는 일반적으로 비용이 많이 드는 전용 사설 임대 회선 네트워크 연결을 통해 기업 지사의 사용자를 중앙 기업 데이터 센터의 애플리케이션에 연결하도록 설계되었습니다. 각 지사에 설치된 라우터는 가장 중요한 애플리케이션의 최적의 성능을 보장하기 위해 트래픽을 제어하고 우선순위를 지정했습니다. 패킷 검사 및 데이터 암호화와 같은 보안 기능은 중앙 데이터 센터에 적용되었습니다.
SD-WAN은 원래 조직이 더 저렴하고 확장성이 뛰어난 인터넷 인프라에 WAN 기능을 복제할 수 있도록 개발되었습니다. 그러나 인터넷 보안을 신뢰할 준비가 되기 전에 클라우드 서비스를 도입하는 기업이 점점 더 많아지면서 SD-WAN에 대한 수요가 가속화되었습니다. WAN 보안 모델에는 문제가 발생했습니다. 기업 데이터 센터를 통해 인터넷으로 향하는 트래픽을 라우팅하면 비용이 많이 드는 병목 현상이 발생하고 네트워크 성능과 사용자 경험이 모두 저하되었습니다.
SD-WAN은 트래픽을 강제로 보안으로 라우팅하는 대신, 연결 지점의 트래픽에 보안을 적용할 수 있도록 하여 이러한 병목 현상을 제거합니다. 이를 통해 조직은 사용자와 SaaS(서비스형 소프트웨어) 앱, 클라우드 리소스, 공용 인터넷 서비스 등 필요한 모든 것 간에 직접적이고 안전하며 최적화된 연결을 구축할 수 있습니다.
SSE
Gartner에서 만든 또 다른 용어인 SSE는 'SASE의 절반 보안'입니다. Gartner는 SSE를 세 가지 주요 클라우드 네이티브 보안 기술의 융합으로 정의합니다.
보안 웹 게이트웨이(SWG). SWG는 양방향 인터넷 교통 경찰입니다. 트래픽 필터링 및 도메인 이름 시스템(DNS) 쿼리 검사와 같은 기술을 사용하여 악성 트래픽이 네트워크 리소스에 도달하는 것을 방지하여 멀웨어, 랜섬웨어 및 기타 사이버 위협을 식별하고 차단합니다. 또한, 인증된 사용자가 의심스러운 웹 사이트에 연결하는 것을 방지합니다. 사용자와 엔드포인트가 인터넷에 직접 연결하는 대신, SWG에 연결하며 이를 통해 승인된 리소스에만 액세스할 수 있습니다(예: 온프레미스 데이터 센터, 비즈니스 애플리케이션, 클라우드 애플리케이션 및 서비스).
CASB(클라우드 액세스 보안 브로커). CASB는 사용자와 클라우드 애플리케이션 및 리소스 사이에 위치합니다. CASB는 사용자가 클라우드에 액세스할 때 사용자가 어디에 어떻게 연결하는지와 관계없이 암호화, 액세스 제어, 멀웨어 탐지 등의 회사 보안 정책을 적용하며, 엔드포인트 디바이스에 소프트웨어를 설치하지 않고도 이를 수행할 수 있으므로 BYOD(Bring Your Own Device) 및 기타 직원 혁신 사용 사례 보안에 이상적입니다. 또한, 다른 CASB는 사용자가 알 수 없는 클라우드 자산에 연결할 때 보안 정책을 적용할 수도 있습니다.
제로 트러스트 네트워크 액세스(ZTNA). 네트워크 액세스에 대한 제로 트러스트 접근 방식은 네트워크 외부에 있든 이미 네트워크 내부에 있든 관계없이 모든 사용자와 엔티티를 절대 신뢰하지 않고 지속적으로 검증하는 접근 방식입니다. 검증이 완료된 사용자 및 엔티티에는 작업을 완료하는 데 필요한 최소한의 액세스 권한만 부여됩니다. 모든 사용자와 엔티티는 컨텍스트가 변경될 때마다 재검증을 해야 하며, 모든 데이터 상호 작용은 연결 세션이 종료될 때까지 패킷 단위로 인증됩니다.
ZTNA는 보안 제품 자체가 아니라 ID 및 액세스 관리(IAM), 다단계 인증(MFA), 사용자 및 엔티티 행동 분석(UEBA) 및 다양한 위협 감지 및 대응 솔루션을 비롯한 다양한 기술을 사용하여 구현된 네트워크 보안 접근 방식입니다.
개별 공급업체의 SASE 플랫폼에는 서비스형 방화벽(FWaaS), 데이터 유실 방지(DLP), 네트워크 액세스 제어(NAC), 엔드포인트 보호 플랫폼(EPP) 등 다른 위협 방지 및 보안 기능이 포함될 수 있습니다.
모든 것을 하나로 통합하기
SASE 솔루션은 SD-WAN을 사용하여 네트워크 엣지에서 연결 위치에 있거나 연결 위치에 가까운 사용자, 디바이스 및 기타 엔드포인트에 SSE 보안 서비스를 제공합니다.
특히, SASE 아키텍처는 검사 및 암호화를 위해 모든 트래픽을 중앙 데이터 센터로 다시 보내는 대신 최종 사용자 또는 엔드포인트와 가까운 분산 접속점(PoP)으로 트래픽을 보냅니다. (PoP는 SASE 서비스 제공업체가 소유하거나 타사 공급업체의 데이터 센터에 구축됩니다.) PoP는 클라우드 제공 SSE 서비스를 사용하여 트래픽을 보호한 다음, 사용자 또는 엔드포인트를 퍼블릭 및 프라이빗 클라우드, 서비스형 소프트웨어(SaaS) 애플리케이션, 퍼블릭 인터넷 또는 기타 리소스에 연결합니다.
SASE는 보안팀, IT 직원, 최종 사용자, 조직 전체에 중요한 비즈니스 이점을 제공합니다.
비용 절감, 특히 자본 비용 절감SASE는 본질적으로 SaaS 보안 솔루션으로, 고객은 SASE를 설정 및 제어하기 위한 소프트웨어에 대한 액세스 권한을 구매하고 SASE가 제공되는 클라우드 서비스 제공업체의 하드웨어를 최대한 활용할 수 있습니다. SASE 고객은 보안을 위해 지사 라우터에서 온프레미스 데이터 센터 하드웨어로 트래픽을 라우팅하는 대신, 트래픽을 가장 가까운 인터넷 연결의 클라우드로 라우팅합니다.
또한, 기업은 SASE를 퍼블릭 클라우드와 조직의 온프레미스 인프라 모두에서 제공되는 하이브리드 솔루션으로 사용하여 물리적 네트워킹 하드웨어, 보안 어플라이언스 및 데이터 센터를 가상화된 클라우드 네이티브 인프라와 통합할 수 있습니다.
간소화된 관리 및 운영. SASE 프레임워크는 일관적인 단일 솔루션을 제공하여, 사용자뿐만 아니라 사물인터넷(IoT) 디바이스, API, 컨테이너화된 마이크로서비스 또는 서버리스 애플리케이션, 심지어 온디맨드 방식으로 가동되는 가상 머신(VM) 등 네트워크에 연결하거나 연결을 시도하는 모든 것을 보호합니다. 또한, 각 연결 지점에서 라우터, 방화벽 등의 보안 지점 솔루션 스택을 관리할 필요가 없습니다. 그 대신, IT 또는 보안팀은 네트워크의 모든 연결과 리소스를 보호하기 위한 단일 중앙 정책을 수립할 수 있으며 단일 제어 지점에서 모든 것을 관리할 수 있습니다.
사이버 보안 강화. SASE를 올바르게 구현하면 다양한 수준에서 보안을 개선할 수 있습니다. 관리가 간소화되면 오류나 구성 오류의 가능성이 줄어들어 보안이 강화됩니다. SASE는 원격 사용자의 트래픽을 보호하기 위해 가상 사설망(VPN) 액세스에 대한 일괄적이고 획일적인 권한 부여를 ZTNA의 애플리케이션, 디렉토리, 데이터 세트, 워크로드에 대한 세부적이고 ID 및 컨텍스트 기반의 액세스 제어로 대체합니다.
더 뛰어나고 일관적인 사용자 경험. 사용자는 SASE를 통해 현장, 지사, 재택, 이동 등 어디에서 작업하든 관계없이, 클라우드 또는 온프레미스에서 호스팅되는 애플리케이션 및 리소스에 연결하든 관계없이 동일한 방식으로 네트워크에 연결할 수 있습니다. SD-WAN 서비스는 트래픽을 가장 가까운 PoP로 자동 라우팅하고, 보안 정책이 적용되면 연결을 최적화하여 최상의 성능을 제공합니다.
SASE는 애플리케이션 제공의 중앙 데이터센터 모델에서 벗어나는 모든 조직에 이점을 제공합니다. 그러나 오늘날 몇 가지 특정 사용 사례로 인해 이 기술이 채택되고 있습니다.
VPN 병목 현상 없이 하이브리드 인력. VPN은 거의 20년 동안 원격 또는 모바일 사용자를 보호하는 주요 수단이었습니다. 그러나 VPN은 쉽게 또는 저렴하게 확장되지 않으며, 많은 조직이 COVID-19 팬데믹으로 인해 인력이 완전히 원격으로 전환되었을 때 힘든 경험을 통해 알게 되었습니다. 반면, SASE는 특히 원격 작업자의 보안 요구 사항과 일반적으로 변화하는 인력을 지원하기 위해 동적으로 확장할 수 있습니다.
하이브리드 클라우드 도입 및 클라우드 마이그레이션. 하이브리드 클라우드는 퍼블릭 클라우드, 프라이빗 클라우드, 온프레미스 인프라를 유연한 단일 컴퓨팅 환경으로 결합하여 상황 변화에 따라 인프라 간에 워크로드를 자유롭게 이동할 수 있도록 합니다. WAN 보안 솔루션은 이러한 종류의 워크로드 이동성을 위해 설계되지 않았지만, 기본 인프라에서 보안 기능을 추상화하는 SASE는 트래픽이 이동하는 모든 곳에서 트래픽을 보호합니다. 또한, 조직에 적절한 속도에 따라 워크로드를 클라우드로 마이그레이션할 수 있는 유연성을 제공합니다.
엣지 컴퓨팅 및 IoT/OT 디바이스 확산. 엣지 컴퓨팅은 애플리케이션과 컴퓨팅 리소스를 중앙 집중식 데이터 센터에서 벗어나 휴대폰, IoT 또는 운영 기술(OT) 디바이스 및 데이터 서버와 같은 데이터 소스에 더 가깝게 배치하는 분산 컴퓨팅 모델입니다. 이러한 근접성으로 인해 특히 방대한 양의 스트리밍 데이터를 실시간으로 처리하는 인공 지능(AI) 및 머신 러닝 애플리케이션의 경우 애플리케이션 응답 시간이 향상되고 인사이트가 빨라집니다.
이러한 애플리케이션을 지원하기 위해 조직이나 솔루션 공급업체는 수천 개의 IoT 센서 또는 OT 디바이스를 배포했으며, 이들 중 다수는 보안이 거의 또는 전혀 구성되어 있지 않은 상태입니다. 이로 인해 이러한 디바이스는 해커의 주요 표적이 되며, 해커는 이와 같은 디바이스를 탈취하여 민감한 데이터 소스에 액세스하거나 운영을 방해하거나 분산 서비스 거부(DDoS) 공격을 할 수 있습니다. SASE는 이러한 디바이스가 네트워크에 연결될 때 보안 정책을 적용하고 중앙 대시보드에서 연결된 모든 디바이스에 대한 관리 가시성을 제공할 수 있습니다.
