극대화 SASE 성능: '대규모' 분산 시행의 중요한 역할


네트워크 보안 배포 아키텍처는 다양한 기업에 의해 주도되는 정기적인 발전을 거칩니다.erp상승 요구 사항. 업계의 최근 동향 중 일부는 다음과 같습니다.

  • d와 관련된 비용 및 유지 관리 부담 최소화isp다양한 네트워크 보안 시스템.
  • 데이터 센터 내 모든 네트워크를 포괄하는 '어디서나 제로 트러스트' 의무 구현 WANs 및 Kubernetes 클러스터 내에서.
  • 사용자 경험을 향상하고 WebRTC와 같은 실시간 애플리케이션을 지원하기 위해 고성능(처리량, 대기 시간 감소, 지터 최소화)을 보장합니다.
  • 분산된 인력의 요구 사항을 충족합니다.
  • 다음의 요구사항을 충족합니다. 원격 인력.
  • 채택 증가 SaaS 엔트 별 서비스erp상승합니다.
  • 의존도 증가 Cloud 엔트를 위해erp상승 응용 프로그램.
  • 멀티 수용Cloud 배포.
  • Edge 및 Fog 컴퓨팅의 잠재적 이점을 탐색합니다.
  • 네트워크 및 보안 역할에 대한 숙련된 인력을 교육하거나 확보하는 데 어려움이 있습니다.
  • 분산된 사무실의 라스트 마일 인터넷 연결을 관리하는 데 필요한 리소스를 최소화합니다.

레거시 네트워크 및 보안 아키텍처

엔트erp여러 사무실과 원격 인력이 네트워킹 및 보안 인프라를 조달하고 유지하기 위해 전통적으로 상당한 리소스를 할당하면서 증가하고 있습니다. 아래의 단순화된 그림은 이전에 채택된 일반적인 아키텍처를 보여줍니다.

레거시 보안 배포

이 예에는 ent가 포함되어 있습니다.erp세계 각지에 걸쳐 두 개의 지점과 두 개의 본사를 두고 있습니다. 보안 어플라이언스에 대한 비용을 줄이고 관리 오버헤드를 완화하기 위한 노력의 일환으로 모든 보안 시행은 본사에 집중되어 있습니다. 지사 및 원격 사용자의 트래픽은 보안 강화를 위해 인근 본사로 라우팅된 후 의도한 목적지로 이동합니다. '얇은 CPE' 장치는 일반적으로 이러한 트래픽 터널링을 용이하게 하기 위해 지점에 배포됩니다.

주요 사무실에는 다음과 같은 시설이 갖추어져 있습니다. VPN 터널을 종료하기 위한 집중 장치, 익스플로잇 탐지 및 제거, 세분화된 액세스 제어 구현, 맬웨어 차단 및 피싱 공격 방지를 위한 여러 보안 장치.

그러나 트래픽 흐름(그림에서 1로 표시된 흐름)에서 볼 수 있듯이 지점에서 인터넷 사이트로의 트래픽은 헤어핀 경로를 따릅니다. 이 라우팅으로 인해 대기 시간이 길어지고 결과적으로 최적이 아닌 사용자 경험이 발생할 수 있습니다. 특히 지점과 인근 본사가 상당히 멀리 떨어져 있는 경우 더욱 그렇습니다. 일부 엔트erpRise는 전용 링크를 사용하여 처리량을 향상하고 지터를 줄이려고 시도했지만 이러한 솔루션은 비용이 많이 들고 대기 시간 문제를 적절하게 해결하지 못했습니다.

더욱이 각각 고유한 구성과 분석 대시보드를 갖춘 여러 네트워크 및 보안 장치를 관리하는 것은 어려운 일입니다. 이러한 복잡성으로 인해 직원이 여러 인터페이스에 대해 교육을 받아야 하므로 오류가 발생하기 쉬운 구성이 발생할 수 있습니다.

이러한 레거시 보안 아키텍처는 사용자 인증에 따라 사용자 기반 액세스 제어를 제공하는 대신 네트워크 분할 및 IP 주소에 더 많이 의존하여 제로 트러스트 원칙을 간과하는 경우가 많았습니다. 당시에는 이 접근 방식이 효과적으로 작동했지만 원격 작업 시나리오의 증가와 NAT(Network Address Tran)의 광범위한 사용이 증가했습니다.slation)으로 인해 IP 주소를 통한 사용자 식별이 점점 더 어려워졌습니다. 결과적으로 이러한 변형은 레거시 아키텍처의 한계를 드러내기 시작했습니다.

Cloud/POP 제공 보안

온프레미스 보안 인프라 유지 관리, 원격 작업 요구 사항 수용, 트래픽 헤어피닝과 관련된 대기 시간 단축, cloud 및 SaaS 서비스, cloud기반의 보안 솔루션이 유망한 대안으로 떠오르고 있습니다. 많은 엔트erp이를 활용한 상승이 시작되었습니다. cloud-아래 그림과 같이 이러한 문제를 해결하기 위한 보안 솔루션을 제공했습니다.

전통팝/Cloud 제공되는 보안 배포(서비스로)

보안 서비스는 다양한 PoP(Point of Presence)를 통해 배포됩니다.POPs) 공급자가 제공합니다. 엔트erp상승한 기업은 사무실 위치와 원격 인력의 집중도를 기준으로 POP 위치를 유연하게 선택할 수 있습니다. 모든 위치로 향하는 클라이언트 트래픽은 보안 적용이 적용되는 가장 가까운 POP를 통해 라우팅됩니다. 이 라우팅은 다음을 사용하여 촉진됩니다. CPE 사무실의 장치 및 VPN 원격 사용자 장치의 클라이언트 소프트웨어를 사용하여 POP 위치의 근접성으로 인해 레거시 보안 아키텍처와 관련된 대기 시간을 줄입니다.

처음에는 업계에서 여러 공급업체의 보안 서비스를 보았지만 단일 공급업체의 통합 기술 기반으로 전환했습니다. cloud 보안 서비스. 이러한 통합 서비스는 간소화된 보안 구성 및 관찰 가능성 관리를 제공하여 레거시 배포 아키텍처의 단편적인 보안 관리 문제를 해결합니다.

이 설정은 인터넷/SaaS 사이트의 경우 흐름 (4)와 (5)에서 볼 수 있듯이 두 통신 엔터티가 모두 동일한 사이트, 데이터 센터 또는 Kubernetes 클러스터 내에 있는 경우 새로운 문제가 발생합니다. 흐름 (4)는 가장 가까운 POP 위치로 터널링된 다음 다시 라우팅되는 동일한 사이트 내의 엔터티 간의 트래픽을 보여줍니다. 이는 제로 트러스트 요구 사항을 충족하면서 모든 트래픽 흐름에 보안 조치를 시행하기 위해 수행됩니다. 흐름 (5)는 제로 트러스트 요구 사항을 충족하기 위해 동일한 Kubernetes 클러스터로 돌아오기 전에 보안 처리를 위해 사이트에서 가장 가까운 POP로 라우팅되는 두 애플리케이션 서비스 간의 통신을 보여줍니다. 이 프로세스는 실수로 이러한 흐름에 대한 대기 시간을 늘리고 불필요하게 추가 엔터티에 트래픽을 노출할 수 있습니다.

썸엔트erp다양한 온프레미스 보안 어플라이언스를 배포하여 이러한 대기 시간을 방지하지만 이로 인해 레거시 배포 아키텍처와 관련된 문제가 다시 발생합니다.

POP 제공 보안의 또 다른 과제는 성능 격리와 관련이 있습니다. 이러한 공급자는 여러 고객/임차인에게 서비스를 제공하므로 시끄러운 이웃과 관련된 성능 문제가 발생하는 경우가 있습니다. 즉, 다른 회사의 트래픽 양이 귀하 회사의 트래픽 성능에 영향을 미칠 수 있습니다. 이는 여러 회사에서 들어오는 트래픽에 대해 동일한 실행 컨텍스트를 공유하기 때문입니다.

Ent로erp제로 트러스트 요구 사항을 충족하고, 통합 정책 관리를 제공하고, 성능 격리를 제공하고, 헤어핀으로 인한 불필요한 대기 시간을 완화하는 솔루션을 모색하고 있습니다. 네트워크 보안 업계에서는 이러한 문제를 해결하기 위해 배포 아키텍처를 발전시켜 왔습니다. 통합 보안 액세스 서비스 에지(SASE), 다음과 같은 회사에서 제공 Aryaka, 이 환경에서 중추적인 역할을 하기 위해 등장했습니다.

통합 인증 SASE 하이브리드 및 분산 보안 서비스로

이상적인 아키텍처는 이전 아키텍처에서 발견된 관리 복잡성을 완화하고, 엄격한 제로 트러스트 요구 사항을 충족하며, 북-남 및 동-서 트래픽 흐름에 대해 동일한 수준의 보안을 보장하고, 통합 정책 관리를 제공하고, 성능 격리를 제공하며, 헤어핀과 관련된 대기 시간 문제를 우회합니다.

통합 인증 SASE 같은 회사에서 Aryaka 위의 많은 요구 사항을 충족하는 아키텍처를 제공합니다. 아래 그림을 참조하십시오.

하이브리드 및 분산 시행을 통한 보안 배포 - 통합 SASE

설명된 아키텍처 내에서 네트워크 및 보안 적용은 POP/를 넘어 확장됩니다.Cloud 포괄할 위치 CPE 모든 장치는 동일한 서비스 공급자가 제공하고 균일하게 관리합니다. 이 전략은 이러한 유지 관리에 대한 고객의 우려를 완화합니다. CPE 장치.

이러한 장치에 트래픽 과부하가 발생한 경우에만 보안 시행을 위해 새 트래픽이 근처 POP 위치로 전달됩니다. POP 위치로 다시 라우팅되는 트래픽의 양은 선택한 위치에 따라 다릅니다. CPE 장치 모델을 사용하여 대체 트래픽을 줄입니다.

원격 액세스 사용자(6으로 표시)의 트래픽은 이전 아키텍처와 유사한 경로를 따릅니다. 원격 사용자 장치의 트래픽은 의도한 대상에 도달하기 전에 가장 가까운 POP 위치에서 네트워크 및 보안 처리를 거칩니다.

이 아키텍처 내의 흐름 (1)과 (2)는 POP 위치를 우회하여 POP 위치에 존재하는 최소한의 대기 시간도 제거합니다. cloud-제공된 설정.

또한 사이트 내에 포함된 흐름 (4)와 (5)는 대기 시간 오버헤드를 피할 뿐만 아니라 공격 표면도 줄입니다. 이러한 로컬 보안 적용은 대기 시간 문제에 민감한 WebRTC와 같은 실시간 애플리케이션에 필수적입니다.

결정적이며 지터가 낮은 성능이 필요한 다양한 사이트의 애플리케이션 서비스의 경우 일부 SASE 공급자는 가장 가까운 POP 위치를 통해 사이트 간 전용 연결을 제공합니다. 흐름 (3)은 결정적 지터를 달성하기 위해 인터넷 백본을 우회하여 전용 대역폭과 링크의 이점을 활용하는 트래픽 흐름을 예시합니다.

모든 것이 통일된 것은 아니라는 점에 유의하는 것이 중요합니다. SASE 제공 사항은 동일합니다. 일부 SASE 공급자는 네트워크 최적화 및 보안을 위해 여전히 모든 사무실 트래픽을 가장 가까운 POP 위치로 리디렉션합니다. 여러 POP 위치에서 대기 시간 오버헤드를 완화할 수 있지만 대기 시간을 줄이는 것은 기업에 유리한 것으로 입증되었습니다.erp특히 잠재적인 저지연 애플리케이션 요구가 예상될 때 더욱 그렇습니다. 엔트erp성능이나 사용자 경험을 저하시키지 않으면서 사용자 친화성과 고급 보안을 우선시하는 솔루션을 모색하게 될 것입니다. 사무실 전반에 걸쳐 낮은 지터가 필요하다는 점을 고려하여 Ent는erp증가하려면 인터넷 백본을 우회하는 사무실 간 전용 가상 링크를 제공하는 공급자를 고려해야 합니다.

Ent의 또 다른 중요한 요소erpRises는 유지 관리 및 소프트웨어 업데이트를 관리하는 공급자를 선택하고 있습니다. SASE-CPE 장치. 레거시 모델에서는 Enterp상승은 업그레이드 및 교체에 대한 책임을졌습니다. 이러한 우려를 피하기 위해 Ent는erp상승하는 기업은 전체를 포괄하는 포괄적인 관리형 화이트 글러브 서비스를 제공하는 서비스 제공업체를 고려해야 합니다. SASE 고객 구내 장비(CPE) 장치 관리, 구성, 업그레이드, 문제 해결 및 관찰 가능성. 이러한 공급자는 네트워크 및 보안의 모든 측면을 처리하는 동시에 기업을 위한 공동 관리 또는 셀프 서비스 옵션을 제공하는 원스톱 상점 역할을 합니다.erp상승합니다.

미래를 내다보며 – 보편적이고 통합된 SASE

기존 아키텍처 프레임워크인 'Unified SASE 분산 보안'을 사용하면 기사에 자세히 설명된 몇 가지 초기 요구 사항을 만족스럽게 충족하지만 보안 무결성을 손상시키지 않고 애플리케이션 성능을 향상시키기 위한 추가 전략이 존재합니다. 미래를 내다보면서 우리는 보안 적용 및 트래픽 최적화 분야의 발전을 기대합니다. POPs 그리고 사무실의 가장자리. 이러한 새로운 아키텍처 접근 방식은 특히 성능의 대기 시간 측면을 개선하는 것을 목표로 하는 흐름 (5)와 (7)을 대상으로 합니다.

통합 및 보편적 SASE - 대규모 분산 집행

그림에서 볼 수 있듯이 보안과 최적화를 보편적으로 구현하는 개념, 특히 트래픽 원본에서 최적의 성능을 얻을 수 있습니다.

주목해야 할 주요 트래픽 흐름은 (5)와 (7)에 나와 있습니다.

마이크로/미니 서비스 기반 애플리케이션 아키텍처의 보급은 애플리케이션 환경에서 표준이 되고 있습니다. 이러한 미니 서비스는 Kubernetes 클러스터 내에 배포되거나 데이터 센터 내 클러스터 전체에 분산되거나 다양한 지리적 위치에 걸쳐 배포될 수 있습니다. 동일한 Kubernetes 클러스터 내에 통신 서비스가 존재하는 시나리오에서는 트래픽이 클러스터 내에 유지되도록 보장하여 Kubernetes 환경 내에서 직접 보안 및 최적화를 적용할 수 있도록 하는 것이 유리합니다. Kubernetes는 미니 서비스를 호스팅하는 POD에 사이드카를 추가하는 것을 용이하게 합니다. 우리는 예상한다 SASE 공급자는 향후 이 기능을 활용하여 포괄적인 보안 및 최적화 기능을 제공하고 성능 저하 없이 제로 트러스트 요구 사항을 충족할 것입니다.

단일 범용 선택 SASE 공급자가 ent를 부여함erp통신 서비스의 배치에 관계없이 모든 보안 요구 사항에 맞는 통합 관리 인터페이스를 제공합니다. 그림의 흐름 (5)는 사이드카(SC)를 통한 보안 적용을 보여줍니다. Kubernetes 세계에서는 사이드카가 새로운 것이 아니라는 점을 기억하는 것이 중요합니다. 서비스 메시 기술은 트래픽 관리에 유사한 접근 방식을 사용합니다. 일부 서비스 메시 제공업체는 WAAP와 같은 위협 보안을 사이드카에 통합하기 시작했습니다. 서비스가 인터넷 및 기타 통신과 통신할 수 있다는 점을 고려 SaaS 서비스를 제공하려면 포괄적인 보안 조치가 필수적입니다. 결과적으로 서비스 메시와 서비스 메시의 융합이 있을 것으로 예상됩니다. SASE 앞으로도 ent처럼erp상승은 포괄적이고 통일된 솔루션을 추구합니다.

(7)에 표시된 트래픽은 많은 고려 사항입니다. SASE 제공업체는 탐색 중입니다. VPN 클라이언트 기능뿐만 아니라 성능도 향상됩니다. SASE 엔드포인트에서 직접 작동합니다. 확장 SASE 엔드포인트에 연결하면 POP 위치와 관련된 대기 시간 문제를 우회하는 데 도움이 됩니다. 엔드포인트의 컴퓨팅 성능이 향상되고 말리로 인한 서비스 거부를 방지하기 위해 향상된 제어 기능을 제공함에 따라cio우리 엔터티를 확장하는 것이 가능해졌습니다. SASE 엔드포인트에 적용합니다.

서비스 제공업체가 유지 관리 부담을 처리하는 동안 SASE 사이드, 엔트erp상승이 여전히 구현되도록 보장해야 할 수도 있습니다 SASE 엔드포인트에서는 새로운 문제가 발생하지 않습니다. 그러므로 엔터erp상승은 이를 가능하게 하는 유연성을 추구합니다. SASE 고급 사용자를 위해 특별히 엔드포인트로 확장되었습니다.

생각을 폐쇄

이 기사에서는 레거시 시스템에서 최신 시스템으로의 과정을 도표화하면서 네트워크 및 보안의 진화를 설명했습니다. cloud-제공된 솔루션, 통합 SASE 분산 시행 및 미래의 아키텍처 설계를 통해

솔루션 제공의 차이를 인식하는 것이 가장 중요합니다. 엔트erp상승은 서비스 제공업체에 대한 철저한 평가를 수행하여 분산 집행을 포괄하는 '서비스형' 솔루션을 찾아야 합니다. PoPs 및 CPE OS 및 소프트웨어 업그레이드를 포괄하는 동시에 보안과 성능을 모두 유지하는 일관된 관리 방식을 유지합니다.

또한 엔터티에게는 매우 중요합니다.erp단일 제공업체의 관리형(또는 공동 관리형) 서비스에 우선순위를 두는 추세입니다. 이러한 서비스는 고급 기술 지원이 포함된 인터넷 연결 솔루션을 제공할 뿐만 아니라 새로운 요구 사항에 신속하게 적응하고 새로운 위협을 해결해야 합니다. 다른 서비스를 서비스로 사용하는 관리형 서비스 제공업체 선택 SASE 공급업체는 향후 개선 과정에서 문제를 야기할 수 있으며 관리형 서비스와 기술 제공업체 간의 협상이 길어질 수 있습니다. 신속한 해결이 절실히 필요하다는 점을 감안할 때, 저는 통합이 SASE 하나의 공급자가 제공하는 포괄적인 관리형 서비스를 제공하는 솔루션은 기업을 위한 이상적인 선택입니다.erp상승합니다.

  • CTO 인사이트 블로그

    XNUMXD덴탈의 Aryaka CTO Insights 블로그 시리즈는 네트워크, 보안 및 보안에 대한 사고 리더십을 제공합니다. SASE 주제. 을 위한 Aryaka 제품 사양 참조 Aryaka 데이터시트.

저자,

Srini Addepalli
Srini Addepalli 25년 이상의 경력을 가진 보안 및 에지 컴퓨팅 전문가입니다. Srini 네트워킹 및 보안 기술 분야에서 다수의 특허를 보유하고 있습니다. 그는 BITS, Pilani에서 전기 및 전자 공학 학사(우등) 학위를 취득했습니다. India.