장님 여섯 명이 코끼리의 다른 부위를 만져보고 코끼리가 무엇인지 전혀 다른 인식에 도달한다는 고전적인 인도 우화를 들어보셨나요? 이 이야기를 통해 주관적인 경험만으로 한 주제에 대해 완전한 권위를 주장할 수 있는지 생각해 볼 수 있을까요?
이 이야기가 현재 SASE 환경에 어떻게 적용되는지 말씀드리기 전에 잠시 시간을 내어 존 고드프리 색스의 ‘장님과 코끼리’를 감상해 보겠습니다:
인도스탄의 여섯 남자였습니다,
많은 것을 배우기 위해,
코끼리를 보러 간 사람
(모두 시각 장애인이었지만요),
관찰을 통해 각각
그의 마음을 만족시킬 수 있습니다.
가트너에서 정의한 보안 액세스 서비스 엣지(SASE)는 지난 한 해 동안 보안 및 네트워킹 업계에서 화두가 되어 왔습니다. 그리고 그럴 만한 이유가 있습니다. 기업들은 제한된 리소스와 예산으로 네트워킹과 보안을 아우르는 광범위한 디지털 혁신 이니셔티브를 따라잡기 위해 양쪽 끝에서 촛불을 켜고 있습니다.
이미 SaaS 애플리케이션, 멀티 클라우드 환경, IoT, 빅데이터 이니셔티브를 수용하느라 업무가 과중했던 네트워크 팀은 이제 집과 다른 위치에서 이러한 비즈니스 애플리케이션에 액세스하려는 수많은 원격 사용자와 디바이스에 이러한 모든 서비스와 애플리케이션에 빠르고 안정적인 액세스를 제공해야 하는 과제를 안고 있습니다. 그들이 마지막으로 원했던 것은 더 복잡하고 트렌드를 따라잡는 것이었습니다. 하지만 어쩌면 이 모든 분주함이 SASE를 도입하기에 가장 좋은 시기일지도 모릅니다.
SASE 해독하기
‘왜’와 ‘어떻게’에 대해 알아보기 전에 먼저 SASE가 무엇인지 이해하는 것이 중요합니다. 가트너가 2019년에 도입한 엔터프라이즈 기술 아키텍처 및 카테고리입니다. Gartner에 따르면 SASE를 간단히 정의하면 네트워킹 및 보안 포인트 솔루션의 기능을 통합된 글로벌 클라우드 네이티브 서비스로 통합하는 것입니다. 이는 엔터프라이즈 네트워킹 및 보안의 아키텍처적 진화로, 디지털 비즈니스에 적응적이고 민첩한 서비스를 제공할 수 있도록 지원합니다.
전문 용어가 너무 많나요? 간단히 말해, 보안을 제공하기 위해 모든 지사 및 클라우드 기반 트래픽을 기업 데이터 센터를 통해 전송하는 원시적인 허브 앤 스포크 방식은 더 이상 유효하지 않습니다. 네트워킹과 보안을 분리된 두 개의 사일로로 보는 것도 마찬가지입니다. SASE는 클라우드를 통해 동일한 네트워킹 보안 스택을 제공함으로써 클라우드 네이티브 트래픽이 기업 네트워크에 영향을 미치지 않도록 하는 것을 목표로 합니다. 하지만 잠깐만요… 그렇게 쉬운 일이 아닙니다. 제가 코끼리 이야기로 이 블로그를 시작한 데에는 이유가 있습니다.
너무 많은 셰프가 케이크를 망칩니다.
“SASE란 무엇인가요?“라고 구글에 검색하면 10개의 다른 SASE 공급업체가 각자의 설명에 맞게 만든 10개의 다른 설명이 나올 가능성이 높습니다. SASE의 생소함이 혼란을 야기할 수 있지만, SASE의 진정한 의미를 이해하는 것이 중요합니다.
SASE는 단순히 네트워크와 보안의 융합이 아닙니다. SASE의 아이디어는 통합의 개념을 넘어 이러한 통합 솔루션이 어떻게 보이고, 느껴지고, 제공되어야 하는지에 대해 탐구합니다. SASE 청사진은 단일 관리형 서비스 제공업체의 클라우드 기반 서비스 모델에 중점을 두어야 합니다.
또한, SASE가 클라우드 제공 서비스로 일반화되어 있지만 더 나은 결과를 위해 클라우드 기반 솔루션을 물리적 솔루션으로 보완해야 하는 시나리오가 있을 수 있습니다. 예를 들어, 민감한 데이터를 처리할 때 데이터를 클라우드로 이동하여 검사하는 대신 엣지 보안이 필요한 경우입니다. 물리적 보안과 클라우드 제공 보안 기능의 통합은 엣지나 클라우드에 완전히 고립된 시스템에 보안을 아웃소싱하는 것이 아니라 네트워크 깊숙이 SASE의 역할을 뿌리내리게 합니다.
SASE 대 SD-WAN이 아닌 SASE와 SD-WAN인 이유
SASE 제품이 SD-WAN 기술의 후속 제품으로 과대 포장되고 있는 것은 재미있는 일입니다. 오히려 서로 보완적인 관계에 있습니다. SASE는 클라우드 보안과 포괄적인 WAN 기능을 통합하며, 적절한 비율로 혼합하면 트래픽 흐름과 사이버 보안 적응성에서 최고의 효율성을 제공합니다.
SASE는 로컬 인터넷 브레이크아웃을 통해 백홀된 아키텍처의 지연 시간을 완화하지만, 공용 인터넷의 예측 불가능성을 제거하는 데는 거의 도움이 되지 않습니다. 미션 크리티컬 애플리케이션이 YouTube 트래픽보다 우선순위를 확보하려면 어떻게 해야 할까요? 또한 데이터에 민감한 많은 비즈니스 애플리케이션이 조만간 클라우드로 이전하지 않기 때문에 브랜치와 DC 또는 브랜치와 브랜치 간 연결을 위해서는 여전히 엣지 컴퓨팅의 성능이 필요합니다. SD-WAN은 네트워크 기능의 핵심이며, SASE는 이를 보안 웹 게이트웨이(SWG), 제로 트러스트 네트워크 액세스(ZTNA), FWaaS, 클라우드 액세스 보안 브로커(CASB)와 같은 다른 보안 서비스와 핵심 기능으로 통합합니다. 이 두 가지를 결합하면 종합적인 WAN 연결 및 보안 솔루션을 만들 수 있습니다.
하지만 비용을 절약할 수 있나요?
조직은 일반적으로 여러 가지 침해에 민감한 네트워크 지점을 보호하기 위해 여러 포인트 제품에 의존합니다. 여기에는 애플리케이션 방화벽, VPN 어플라이언스 또는 다른 위치에 대한 기타 물리적 제품이 포함될 수 있습니다. 대부분 자체 정책, 프로토콜, 인터페이스 및 지원과 함께 제공됩니다. 최종 결과는? 관리가 복잡하고 운영 비용이 높은 분리형 솔루션.
SASE는 다양한 공급업체의 가상 및 물리적 어플라이언스를 통해 조립되는 이 분리된 모델을 없애는 옵션을 제공합니다. 대신 단일 핸드투쉐이크 모델을 제공하므로 기타 기기의 비용을 없애고 여러 통합 지점에서 발생할 수 있는 원치 않는 복잡성을 완화할 수 있습니다. 이는 또한 이를 운영하는 IT 직원의 수를 줄인다는 의미이기도 합니다. 결국 사용자들은 더 많은 비용을 절감할 수 있게 됩니다.
아리아카: SASE로 가는 길 닦기
기업에는 아키텍처 및/또는 규제 요구 사항에 맞는 선택권이 필요합니다. 아리아카의 보안 전략은 항상 선택의 폭을 넓히는 데 중점을 두고 있습니다.
ANAP 내의 액세스 방화벽인 Aryaka의 보안 액세스 서비스 에지(SASE)는 지점에서 ‘남북’ 제어 기능을 제공합니다. 아리아카 존은 정책 기반 액세스를 통한 사이트 세분화를 통해 ‘동서방향’ 보안을 LAN으로 확장합니다. 이 두 기능을 함께 사용하면 내부 및 DMZ의 LAN 트래픽에서 아리아카 및 인터넷으로 전송되는 WAN 트래픽을 세분화할 수 있습니다.
또한 아리아카의 솔루션은 고급 차세대 방화벽(NGFW) 기능을 아리아카의 ANAP 서비스 엣지 CPE에 VNF(가상 네트워크 기능)로 통합합니다. 아리아카는 동급 최고의 공급업체와 협력하여 특정 엔터프라이즈 아키텍처 및 규제 요건에 최적으로 맞춤화된 솔루션을 기업에 제공할 수 있습니다.
아리아카는 체크포인트 클라우드가드 커넥트와 통합되어 아리아카 PoP에 도착하는 모든 트래픽을 최적화하고 보호합니다. 세 번째 기능은 Zscaler, Palo Alto Networks, Symantec 등 Aryaka의 보안 파트너를 통해 보안을 클라우드로 확장하는 기능입니다. 예를 들어, 기업에서 Zscaler의 무료 클라우드 기반 서비스형 보안을 사용하면서 Aryaka가 트래픽을 적절히 라우팅할 수 있습니다. 또는 원격 근무자는 팔로알토의 Prisma Cloud Security Suite를 통해 인증 및 가속을 제공하는 Aryaka에 액세스할 수 있습니다.
결합 된 솔루션은 Aryaka의 완전 관리 형 클라우드 우선 WAN 기능과 Check Point의 보안 솔루션을 긴밀하게 통합합니다. 기업이 SASE와 같은 새로운 아키텍처 접근 방식을 채택할 수 있는 빌딩 블록을 제공하는 동시에 아리아카의 글로벌 서비스 거점(PoP)과 멀티 클라우드 네트워킹 기능을 통해 서비스 제공 공간을 활용할 수 있습니다. 그리고 이 모든 것이 서비스로 제공됩니다.
이와 동시에 아리아카 프라이빗 코어는 모든 기업에 분할된 연결을 제공하여 데이터를 암호화하고 DDoS 공격으로부터 보호합니다. 지사 내에서 기업은 Syslog 및 Netflow 로깅에 액세스할 수 있으며, 네트워크 수준에서는 MyAryaka 클라우드 포털이 서비스 구성, 모니터링 및 상태를 위한 단일 창을 제공합니다.
마지막으로 방 안의 코끼리에 대해 말씀드리겠습니다. SASE에 대해 DIY 또는 완전 관리형 접근 방식을 취해야 하나요? 최첨단 보안 솔루션을 구성하는 모든 요소를 구성, 운영 및 업데이트하는 데 필요한 모든 측면을 파악하는 것은 복잡한 작업이며 IT 팀에 부담을 줄 수 있다는 것은 잘 알려진 비밀이 아닙니다. 더 중요한 것은 SASE가 클라우드 패러다임을 따르기 때문에 OpEx 클라우드 소비 모델을 따르는 완전 관리형 서비스가 이 개념에 더 가깝게 부합하며 IT 지출을 종량제 모델로 전환하는 좋은 방법이라는 점입니다.
보안 아키텍처에 대한 자세한 내용은 보안 아키텍처 백서를 참조하세요.
가장 널리 퍼진 글로벌 WAN 트렌드에 대해 자세히 알고 싶으신가요? 웨비나에 등록하여 IT 및 네트워크 전문가들의 생각과 주요 관심 분야, 그리고 지난 1년간 우선순위가 어떻게 변화했는지 알아보세요.
