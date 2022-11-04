SASE는 소프트웨어 정의 광역 네트워킹(SD-WAN)과 보안 서비스 에지(SSE)라는 두 가지 핵심 기술의 결합 또는 융합입니다. 먼저 이러한 각 기술이 무엇을 하는지 이해하면 SASE의 작동 방식을 더 쉽게 이해할 수 있습니다.

SD-WAN

SD-WAN은 서버가 가상화되는 것과 거의 동일한 방식으로 가상화된 광역 네트워크입니다. 기본 하드웨어(연결, 스위치, 라우터, 게이트웨이)에서 네트워크 기능을 분리하여 소프트웨어 제어하에 있는 트래픽에 분할, 집계 및 적용할 수 있는 네트워킹 용량 및 네트워크 보안 기능 풀을 생성합니다.

기존의 광역 네트워크(WAN)는 일반적으로 비용이 많이 드는 전용 사설 임대 회선 네트워크 연결을 통해 기업 지사의 사용자를 중앙 기업 데이터 센터의 애플리케이션에 연결하도록 설계되었습니다. 각 지사에 설치된 라우터는 가장 중요한 애플리케이션의 최적의 성능을 보장하기 위해 트래픽을 제어하고 우선순위를 지정했습니다. 패킷 검사 및 데이터 암호화와 같은 보안 기능은 중앙 데이터 센터에 적용되었습니다.

SD-WAN은 원래 조직이 더 저렴하고 확장성이 뛰어난 인터넷 인프라에 WAN 기능을 복제할 수 있도록 개발되었습니다. 그러나 인터넷 보안을 신뢰할 준비가 되기 전에 클라우드 서비스를 도입하는 기업이 점점 더 많아지면서 SD-WAN에 대한 수요가 가속화되었습니다. WAN 보안 모델에는 문제가 발생했습니다. 기업 데이터 센터를 통해 인터넷으로 향하는 트래픽을 라우팅하면 비용이 많이 드는 병목 현상이 발생하고 네트워크 성능과 사용자 경험이 모두 저하되었습니다.

SD-WAN은 트래픽을 강제로 보안으로 라우팅하는 대신, 연결 지점의 트래픽에 보안을 적용할 수 있도록 하여 이러한 병목 현상을 제거합니다. 이를 통해 조직은 사용자와 SaaS(서비스형 소프트웨어) 앱, 클라우드 리소스, 공용 인터넷 서비스 등 필요한 모든 것 간에 직접적이고 안전하며 최적화된 연결을 구축할 수 있습니다.

SSE

Gartner에서 만든 또 다른 용어인 SSE는 'SASE의 절반 보안'입니다. Gartner는 SSE를 세 가지 주요 클라우드 네이티브 보안 기술의 융합으로 정의합니다.

보안 웹 게이트웨이(SWG). SWG는 양방향 인터넷 교통 경찰입니다. 트래픽 필터링 및 도메인 이름 시스템(DNS) 쿼리 검사와 같은 기술을 사용하여 악성 트래픽이 네트워크 리소스에 도달하는 것을 방지하여 멀웨어, 랜섬웨어 및 기타 사이버 위협을 식별하고 차단합니다. 또한, 인증된 사용자가 의심스러운 웹 사이트에 연결하는 것을 방지합니다. 사용자와 엔드포인트가 인터넷에 직접 연결하는 대신, SWG에 연결하며 이를 통해 승인된 리소스에만 액세스할 수 있습니다(예: 온프레미스 데이터 센터, 비즈니스 애플리케이션, 클라우드 애플리케이션 및 서비스).

CASB(클라우드 액세스 보안 브로커). CASB는 사용자와 클라우드 애플리케이션 및 리소스 사이에 위치합니다. CASB는 사용자가 클라우드에 액세스할 때 사용자가 어디에 어떻게 연결하는지와 관계없이 암호화, 액세스 제어, 멀웨어 탐지 등의 회사 보안 정책을 적용하며, 엔드포인트 디바이스에 소프트웨어를 설치하지 않고도 이를 수행할 수 있으므로 BYOD(Bring Your Own Device) 및 기타 직원 혁신 사용 사례 보안에 이상적입니다. 또한, 다른 CASB는 사용자가 알 수 없는 클라우드 자산에 연결할 때 보안 정책을 적용할 수도 있습니다.

제로 트러스트 네트워크 액세스(ZTNA). 네트워크 액세스에 대한 제로 트러스트 접근 방식은 네트워크 외부에 있든 이미 네트워크 내부에 있든 관계없이 모든 사용자와 엔티티를 절대 신뢰하지 않고 지속적으로 검증하는 접근 방식입니다. 검증이 완료된 사용자 및 엔티티에는 작업을 완료하는 데 필요한 최소한의 액세스 권한만 부여됩니다. 모든 사용자와 엔티티는 컨텍스트가 변경될 때마다 재검증을 해야 하며, 모든 데이터 상호 작용은 연결 세션이 종료될 때까지 패킷 단위로 인증됩니다.

ZTNA는 보안 제품 자체가 아니라 ID 및 액세스 관리(IAM), 다단계 인증(MFA), 사용자 및 엔티티 행동 분석(UEBA) 및 다양한 위협 감지 및 대응 솔루션을 비롯한 다양한 기술을 사용하여 구현된 네트워크 보안 접근 방식입니다.

개별 공급업체의 SASE 플랫폼에는 서비스형 방화벽(FWaaS), 데이터 유실 방지(DLP), 네트워크 액세스 제어(NAC), 엔드포인트 보호 플랫폼(EPP) 등 다른 위협 방지 및 보안 기능이 포함될 수 있습니다.

모든 것을 하나로 통합하기

SASE 솔루션은 SD-WAN을 사용하여 네트워크 엣지에서 연결 위치에 있거나 연결 위치에 가까운 사용자, 디바이스 및 기타 엔드포인트에 SSE 보안 서비스를 제공합니다.

특히, SASE 아키텍처는 검사 및 암호화를 위해 모든 트래픽을 중앙 데이터 센터로 다시 보내는 대신 최종 사용자 또는 엔드포인트와 가까운 분산 접속점(PoP)으로 트래픽을 보냅니다. (PoP는 SASE 서비스 제공업체가 소유하거나 타사 공급업체의 데이터 센터에 구축됩니다.) PoP는 클라우드 제공 SSE 서비스를 사용하여 트래픽을 보호한 다음, 사용자 또는 엔드포인트를 퍼블릭 및 프라이빗 클라우드, 서비스형 소프트웨어(SaaS) 애플리케이션, 퍼블릭 인터넷 또는 기타 리소스에 연결합니다.