SASE로 가는 길 닦기: 아리아카와 체크포인트

네트워크 보안에 관해서는 모두가 SASE (Secure Access Service Edge) 열차에 탑승하고 있습니다. 그럴 만한 이유도 있습니다: SASE의 아키텍처 모델은 모든 XaaS의 통합 네트워킹 및 보안 요구 사항을 지원하는 데 최적으로 적합합니다.

클라우드 우선 아키텍처 요구 사항을 충족하는 것은 가장 중요한 WAN 설계 패턴 중 하나이며 SD-WAN 도입의 핵심 동력이었습니다. 클라우드 아키텍처는 모든 트래픽을 본사 또는 프라이빗 DC로 다시 라우팅하는 기존의 WAN 설계 규칙을 따르지 않습니다. 1세대 SD-WAN 솔루션은 로컬 인터넷 브레이크아웃을 지원하여 유연성을 높일 수 있었지만, 이는 진정한 최적화를 제공하지 않는 매우 기본적이고 무딘 기능에 불과했습니다. 예측할 수 없는 성능이라는 단점이 있지만 비용 최적화 외에 다른 개선 사항을 보장하지 않고 기본 공용 인터넷 연결로 공을 넘깁니다.

또한 네트워크 설계자가 모든 위치에서 공용 인터넷으로 로컬 브레이크아웃 기능을 사용할 수 있게 되면 확장된 공격 표면을 고려하여 새로운 위협을 차단할 수 있는 보안 태세의 범위가 확대되어야 합니다. 하지만 이 문제를 해결하기 위한 아키텍처적 접근 방식이 따로 있습니다:

• 헤비 브랜치: 차세대 방화벽(NGFW)을 통해 브랜치 자체에 최첨단 보안을 제공합니다. “헤비 브랜치”는 엣지의 단일 어플라이언스에 이상적으로 통합된 고급 네트워킹 및 보안 기능을 제공하므로 기존의 “디바이스 스프롤”을 줄일 수 있습니다. 최적의 헤비 브랜치 구현을 위해서는 가상화 기술을 활용하여 고급 네트워킹과 NGFW 기능을 모두 VNF(가상 네트워크 기능)로 제공하는 통합 브랜치 CPE가 필요합니다.
• 헤비 클라우드: 이 모델은 많은 기업의 애플리케이션 트래픽이 클라우드로 이동하고 있다는 사실을 인정하므로 지점의 모든 트래픽을 클라우드 보안 서비스로 포워딩하는 것은 어떨까요? 이를 위해서는 지점에서 아주 기본적인 포워딩 정책만 설정하면 클라우드 보안 서비스에서 이를 처리합니다.

2019년 최근의 ONUG 설문조사에 따르면 네트워크 설계자의 65% 이상이 여전히 무거운 브랜치 보안 모델을 선호했지만, 약 30%가 클라우드 중심 보안 모델을 선호한다는 사실은 분명 변화가 일어나고 있음을 보여줍니다.

그러나 새로운 보안 아키텍처 과제를 이분법적으로 바라보면 기술 종교를 우선시하는 것은 많은 엔터프라이즈 아키텍트가 클라우드 우선 아키텍처를 구상하고 있지만 클라우드 전용 아키텍처로 마이그레이션한 기업은 극소수라는 사실을 놓치게 됩니다. 또한, 많은 기업이 퍼블릭 XaaS와 프라이빗 클라우드 요소를 결합한 하이브리드 클라우드 모델을 계속 사용할 것입니다. 따라서 네트워크 보안 아키텍처에도 하이브리드 접근 방식, 즉 일부 고급 브랜치 보안 요소와 여러 클라우드 내장 보안 요소를 혼합하는 혼합 접근 방식이 요구됩니다.

SASE 아키텍처 모델은 이를 위해서는 “헤비 클라우드”에서 제공되는 보안 서비스와 결합된 “라이트 브랜치” 보안 태세가 최적으로 필요하다는 결론을 내립니다. SASE는 고급 애플리케이션 인식 및 최적화와 같은 고급 네트워킹 기능 및 기타 다양한 기능을 필요로 합니다.

하지만 여기에 문제가 있습니다: SASE 개념을 도입한 사고 리더십 공장인 가트너조차도 앞으로 3~5년 정도는 SASE가 실제로 주류가 되지 않을 것이라고 인정하고 있습니다. AT&T Wireless가 1년 넘게 5G를 제공한다고 주장해 온 것처럼 많은 벤더가 현재 SASE를 제공한다고 주장하는 것은 피할 수 없는 소음입니다. 저는 20년 넘게 AT&T의 충성스러운 무선 고객이었지만, 현재 SASE 지원을 주장하는 SD-WAN 공급업체의 주장은 부정확합니다.

현실을 살펴보면 분명한 사실은 현재 기업의 보안 요구사항은 선택의 폭을 넓혀야 한다는 것입니다. 컴퓨팅 및 애플리케이션 제공에 혁명을 일으켰지만 여전히 네트워킹 업계에서 회피하고 있는 접근 방식인 X-as-a-Service 솔루션이 진정으로 기업이 쉽게 배포할 수 있는 통합되고 관리하기 쉬운 솔루션으로 부상함에 따라, 구상한 기술 스택을 적시에 SASE 대상 아키텍처로 원활하게 마이그레이션하면서 기존 요구 사항에 맞게 솔루션을 맞춤화하는 기능을 지금 바로 여기에서 유지할 수 있게 되었습니다.

기업에는 매우 특별한 아키텍처 및/또는 규제 요구 사항이 있기 때문에 선택의 폭이 필요합니다. 아리아카의 보안 전략은 항상 선택의 폭을 넓히는 데 중점을 두고 있습니다:

• 브랜치 중심 또는 클라우드 중심 아키텍처 모델 또는 이들의 사용자 지정 가능한 조합.
• 보안 업계 리더와의 동급 최강의 기술 파트너십.
• 모든 고급 기능을 Aryaka 도메인 전문가가 구성하고 유지 관리하므로 배포가 간편하고 기술 투자 대비 최고의 수익을 제공하는 관리형 모델(매우 인기 있는 옵션)을 제공하여 복잡한 네트워크 및 보안 솔루션을 XaaS 서비스처럼 쉽게 사용할 수 있습니다.

이제 가장 중요한 부분으로 넘어가겠습니다. 오늘 저희는 Check Point와의 기술 파트너십을 발표합니다. 이제 위에서 소개한 모든 보안 접근 방식을 위한 업계 최고의 솔루션인 Check Point CloudGuard 제품군을 갖추게 되었습니다:

• CloudGuard Edge는 Aryaka의 ANAP CPE에서 가상 네트워크 기능(VNF)으로 실행되는 지점 우선 보안 접근 방식을 지원하며, Aryaka의 고급 네트워킹 기능과 CloudGuard Edge의 선도적인 NGFW 기능을 결합합니다.
• CloudGuard Connect는 클라우드 중심 보안 배포 모델을 제공합니다. Aryaka의 ANAP CPE는 간단한 포워딩 정책을 통해 트래픽을 Check Point CloudGuard Connect 보안 클라우드로 전달합니다.

따라서 기업은 아리아카의 동급 최강의 클라우드 우선 네트워킹 기능과 필요에 가장 적합한 보안 아키텍처를 결합할 수 있습니다. 보도 자료에서 볼 수 있듯이 실제 고객들은 이 접근 방식을 지지하고 있습니다.

더 나아가, 이 접근 방식은 기업이 SASE 보안 아키텍처 패턴을 채택하기 시작함에 따라 여전히 널리 사용되는 지점 중심 보안 모델에서 향후 라이트 브랜치/헤비 클라우드 모델로 원활하게 마이그레이션할 수 있도록 지원합니다.

우리는 Check Point와 협력하여 기업이 WAN 인프라를 클라우드 우선으로 전환 할 때 필연적으로 필요한 네트워크 및 보안 기능에 대한 사용하기 쉬운 맞춤형 접근 방식을 기업에 제공하게되어 매우 기쁩니다.