통합을 선택하다 SASE 공급자: 실행 격리 요소

패킷 수준 보안 기술을 위한 공유 프로세스

상태 저장 검사 방화벽, IPSEC, 로드 밸런싱과 같은 패킷 수준의 네트워킹 및 보안 기술은 각 패킷에 필요한 CPU 주기 수 측면에서 더 낮은 컴퓨팅 요구 사항을 적용합니다. 또한 패킷당 처리가 매우 일관적이어서 성능 예측이 단순화됩니다.

오늘날의 환경에서 보안 기능(예: FWaaS)은 이러한 기능을 배포하는 서비스 제공업체에 의해 서비스로 제공됩니다. Cloud/접속 지점(PoPs). 여러 테넌트를 수용하기 위해 기본 보안 기술 구현에서는 VRF(Virtual Routing and Forwarding) 테넌시 모델을 활용합니다. 이 모델에서는 여러 테넌트의 트래픽이 동일한 보안 장치 또는 컨테이너/프로세스를 통과하여 테넌트 간의 IP 주소 중복과 관련된 문제를 효과적으로 해결합니다. 테넌트 트래픽은 터널 인터페이스나 기타 메커니즘을 통해 식별되며, 테넌트별 보안 정책과 같이 각 테넌트에 맞춰진 특정 구성이 그에 따라 적용됩니다.

잠재적인 "시끄러운 이웃" 문제를 완화하기 위해 테넌트별로 수신 시 패킷 속도 제한이 적용됩니다. 이 전략은 각 개별 테넌트의 보안 성능이 잠재적으로 문제가 있는 다른 테넌트의 활동에 영향을 받지 않도록 보장합니다. 일관된 패킷당 처리를 고려할 때 속도 제한은 모든 테넌트에 대해 공평한 처리 처리를 보장하는 데 효과적인 것으로 입증되었습니다.

조직의 또 다른 중요한 우려 사항은 악의적인 공격에 의해 공유 프로세스 또는 컨테이너 내의 취약점을 악용하여 민감한 데이터가 유출될 가능성이 있다는 것입니다.cio우리는 다른 세입자로부터 패킷을 받습니다. 보안 서비스 제공업체가 자주 제시하는 한 가지 주장은 패킷별 처리가 간단하여 취약점 및 그에 따른 악용 가능성이 줄어든다는 것입니다. 패킷 수준 보안 기술이 더 간단하다는 것은 사실이며 이 주장에는 어느 정도 타당성이 있습니다.

앞서 언급한 두 가지 과제, 즉 "시끄러운 이웃" 문제와 "공유 리소스 취약성"은 공유 프로세스를 활용하는 패킷 수준 보안 기술에 심각한 문제를 일으키지 않을 수 있습니다. 그러나 우리는 이러한 과제가 더 뚜렷하고 실질적일 수 있다고 믿습니다. SASE (Secure Access Service Edge) 또는 SSE(Secure Service Edge) 보안 기술입니다.

구별 SASE/패킷 수준 보안 기술 및 과제의 SSE 보안

SASE/SSE(Secure Access Service Edge/Secure Service Edge) 보안 기술은 기존의 패킷 수준 보안을 뛰어넘어 다음과 같은 포괄적인 기능 제품군을 제공합니다.

• 포괄적인 보안 기능: SASE/SSE는 다음을 포함한 광범위한 보안 기능을 포함합니다. IDPS(침입 감지 및 예방), DNS 보안, SWG(보안 웹 게이트웨이), ZTNA(제로 트러스트 네트워크 액세스), CASB (Cloud IP/로 보안 브로커에 액세스)URL/Domain/파일 평판 방화벽, URI, 요청 헤더, 응답 헤더, 안티맬웨어, DLP(데이터 누출 방지)와 같은 심층적인 트래픽 수준 속성을 사용한 액세스 제어. 제로 트러스트 네트워킹(ZTN) SASE/SSE는 기본이며 사용자 인증 및 권한 부여 시에만 액세스를 보장하고 ID 및 장치 컨텍스트를 고려하면서 애플리케이션 리소스를 세부적으로 제어합니다.
• 심층 콘텐츠 검사: 핵심 SASE/SSE 보안은 심층적인 콘텐츠 검사에 달려 있습니다. 클라이언트 연결을 관리하고, 서버 연결을 시작하고, 스트림을 해독하고, 트래픽에서 관련 데이터를 추출하고, 보안 기능을 수행하고, 악성 코드 전송을 방지하는 프록시를 활용합니다.cio우리 콘텐츠.

이제 다음과 같은 실행 차이점을 살펴보겠습니다. SASE/SSE 및 패킷 수준 보안 기술:

• 패킷별 처리에서 세션 기반 처리로 전환: 문맥에서 SASE/SSE, 보안 실행은 더 이상 패킷별 수준에서 작동하지 않고 오히려 트래픽 세션 스트림 수준에서 작동합니다. 패킷별 기술과 달리 사용되는 컴퓨팅 주기 수에는 가변성이 있습니다. SASE다음과 같은 이유로 테넌트 전반의 /SSE 보안 처리:
  • 트래픽 스트림에 적용되는 보안 기능은 테넌트마다 다를 수 있습니다.
  • 유사한 보안 기능이 적용되더라도 교환되는 데이터의 특성상 더 집중적인 처리가 필요할 수 있습니다. 예를 들어, 다양한 파일 형식에서 텍스트를 추출하고, 전송된 파일의 압축을 풀고, 파일 컬렉션의 압축을 해제하는 등의 작업을 수행해야 하는 안티맬웨어 및 DLP와 관련된 시나리오를 생각해 보세요. 일부 테넌트는 압축된 파일을 전송하여 광범위한 처리를 수행하고 다른 테넌트의 처리량 및 대기 시간에 영향을 미칠 수 있습니다. 감염으로 인해 또는 중요한 이벤트 중 높은 비즈니스 트래픽으로 인해 특정 임차인이 생성하는 소음은 다른 임차인의 트래픽 성능에 영향을 미칠 수 있습니다.
• 복잡한 보안 처리: SASE/SSE 보안 처리는 본질적으로 복잡하며 종종 타사 및 오픈 소스 구성 요소를 포함한 다양한 라이브러리를 통합합니다. 여기에는 OIDC(OpenID Connect) 클라이언트, Kerberos 클라이언트, 인증을 위한 SAMLv2 클라이언트, 시행을 위한 복잡한 정책 엔진, 위협 인텔리전스 공급자의 SDK, 데이터 추출, JSON/XML 디코딩, base64 디코딩, 데이터 압축 해제 엔진 및 텍스트 추출과 같은 기능이 포함됩니다. Anti-Malware 및 DLP와 같은 데이터 수준 보안을 위해 Tika와 같은 오픈 소스 프로젝트를 통해. 이러한 복잡성으로 인해 잠재적인 악용에 대한 공격 표면이 증가합니다. 하지만 SASE/SSE 제공업체는 취약성을 신속하게 해결하는 데 우선순위를 두고 있으므로 악용과 해결 사이에 시간 차이가 있을 수 있습니다. 여러 테넌트에 대해 공유 프로세스를 사용하는 경우 공격자는 잠재적으로 취약성을 악용하고 의도한 테넌트뿐만 아니라 해당 실행 컨텍스트를 공유하는 모든 테넌트의 데이터에서 중요한 정보에 액세스할 수 있습니다.
• 자신만의 보안 기능을 가져오세요: DaVinci에는 SASE/SSE 서비스는 기본적으로 포괄적인 보안 기능을 제공하며 Lua 모듈 또는 WebAssembly(WASM) 모듈을 사용하여 사용자 정의 보안 기능을 도입할 수 있는 유연성도 조직에 제공합니다. 그러나 이러한 경우 공유 프로세스는 주의 깊게 관리하지 않으면 잠재적으로 다른 테넌트로부터 데이터가 유출될 수 있으므로 심각한 문제를 야기합니다. 공유 프로세스를 사용하면 이러한 문제를 해결하는 것이 더욱 복잡해지며 이러한 제어를 우회할 수 있는 방법이 항상 있을 수 있습니다.

요약하자면, SASE/SSE 보안은 패킷 수준 보안을 뛰어넘는 포괄적인 보안 프레임워크를 제공하지만 가변적인 컴퓨팅 사용, 복잡한 처리 및 공유 리소스와 관련된 복잡성과 문제를 야기합니다. 이러한 환경에서 강력한 보안을 유지하는 것은 성능 문제와 데이터 침해 및 개인정보 침해로부터 보호하는 데 중요합니다.

찾으라 SASE/실행 격리를 제공하는 SSE 솔루션

조직은 의심할 여지없이 그 근거를 중요하게 생각합니다. SASE/SSE 제공업체는 여러 테넌트를 위해 공유 프로세스를 사용합니다. 이 접근 방식은 테넌트 간의 컴퓨팅 리소스를 효율적으로 활용하여 지속 가능성과 비용 효율성에 기여합니다. 서비스 제공업체는 이러한 비용 절감 효과를 고객에게 전달할 수 있습니다.

그러나 특정 산업 분야에서는 멀티 테넌시 아키텍처 및 공유 프로세스와 관련된 보안 위험을 받아들이는 것을 꺼려합니다. 일부 조직에서는 앞으로 더 위험을 회피하는 접근 방식이 필요할 것으로 예상할 수 있습니다. 그러한 경우 조직은 다음을 추구해야 합니다. SASE/공유 프로세스와 전용 프로세스/컨테이너 모두에 대한 옵션을 제공하여 유연성을 제공하는 SSE 서비스입니다.

트래픽 처리를 위한 전용 프로세스/컨테이너가 있는 전용 실행 컨텍스트는 이전 섹션에 설명된 문제를 효과적으로 해결할 수 있습니다.

• 성능 격리: 방해가 되는 "시끄러운 테넌트"에 대한 걱정 없이 결정적인 성능을 달성하는 것이 가능해졌습니다. 전용 실행 컨텍스트를 사용하면 전용 컴퓨팅 리소스를 개별 테넌트에 할당하는 것이 비교적 간단합니다. 컴퓨팅 노드의 모든 리소스를 사용하여 잡음이 많은 이웃의 리소스 상한을 구성할 수도 있습니다.
• 보안 격리: 전용 실행 컨텍스트는 모든 악성 코드를 보장합니다.cio악용하려는 의도 또는 내부자 위협 SASE한 테넌트의 /SSE 서비스는 전용 실행 컨텍스트를 선택한 테넌트에 대한 데이터 유출로 이어지지 않습니다.
• 걱정 없는 '자신만의 보안 기능 가져오기': 전용 실행 컨텍스트는 의심의 여지 없이 Lua 스크립트/WASM 모듈이 전용 프로세스 내에서 독점적으로 실행되도록 보장합니다. 결과적으로 모든 처리 또는 데이터 유출 문제는 사용자 지정 보안 기능을 제공하는 테넌트에게만 국한되어 서비스 공급자가 전용 프로세스에 대해서만 이 기능을 활성화하는 경우 이와 관련하여 다른 테넌트가 안심할 수 있습니다.

미래 요구 사항 예측: 기밀 컴퓨팅의 중요성

앞으로 일부 조직에서는 기밀 컴퓨팅의 중요성이 점점 더 커지고 있음을 인식하고 있습니다. 이러한 인식은 특히 TLS 검사와 비밀 및 비밀번호를 포함한 수많은 민감한 데이터의 관리와 관련이 있습니다. SASE/SSE 서비스. 반복되는 우려는 서비스 제공업체 직원을 포함하여 서버 인프라에 액세스하는 인력이 프로세스 및 컨테이너의 메모리에 무단으로 액세스할 수 있다는 가능성에 관한 것입니다. 또한 서버 운영 체제를 악용하는 공격자라도 잠재적으로 이러한 컨테이너와 프로세스의 메모리를 침해할 수 있습니다. 이러한 우려는 여러 PoS(Points of Presence)에서 서비스를 사용할 수 있는 상황에서 더욱 두드러집니다(POPs) 다양한 수준의 법적 정의 및 구현이 있는 여러 국가에 걸쳐 있습니다.

Intel Trust Domain Extensions(TDx)가 탑재된 최신 프로세서는 신뢰할 수 있는 실행을 위한 고급 기능을 제공합니다. 이러한 기술은 TDx 하드웨어에 의해 안전하게 암호화된 메모리 콘텐츠를 유지하므로 인프라 관리자나 높은 권한을 가진 공격자도 메모리 콘텐츠를 해독할 수 없도록 하는 데 중요한 역할을 합니다.

SASE전용 실행 컨텍스트를 제공하는 /SSE 공급자는 다른 공급자에 비해 이 필수 기밀 기능을 제공하는 데 더 나은 위치에 있습니다. 따라서 조직에서는 공유 프로세스와 전용 실행 컨텍스트의 유연성을 모두 제공하는 공급자를 고려하는 것이 좋습니다. 이러한 유연성은 위험 완화 전략을 미래에 대비하고 진화하는 환경에서 최고 수준의 데이터 보안을 보장하는 데 도움이 될 것입니다.

• CTO 인사이트 블로그

  　 Aryaka CTO Insights 블로그 시리즈는 네트워크, 보안 및 보안에 대한 사고 리더십을 제공합니다. SASE 주제. 을 위한 Aryaka 제품 사양 참조 Aryaka 데이터시트.