아리아카 존 및 파트너 솔루션을 통한 소프트웨어 정의 브랜치 보호

지난주에는 엔터프라이즈급 SLA를 통해 지사에 인터넷 연결을 제공하는 혁신적인 접근 방식인 Aryaka HybridWAN에 대해 블로그에 소개한 바 있습니다. 물론 인터넷에 지점을 개설하는 순간부터 보안은 주요 관심사입니다.

SD-WAN의 보안과 관련해서는 업계에서 두 가지 일반적인 접근 방식이 있다는 것을 쉽게 알 수 있습니다:

• 통합 솔루션 자세란, “내 통합 보안 솔루션과 함께 제공되므로 다른 누구로부터도 보안을 제공받지 않아도 되므로 내 SD-WAN을 사용해야 한다”는 의미입니다. 여러분의 요구에 꼭 맞는 솔루션입니다.” 이러한 태도는 SD-WAN 업계에서 꽤 널리 퍼져 있지만, 이는 분명 종속 전략을 의미하며 기업의 특정 보안 선호도와 요구사항에 해로울 수 있습니다.
• 개방형 솔루션 자세란 “SD-WAN 기업으로서 대부분의 기업이 특정 요구사항에 맞는 다계층 보안 접근 방식을 맞춤화해야 한다는 점을 잘 알고 있으므로 기본적인 보안 기능을 제공하되, 개방형 자세를 유지하고 여러 주요 보안 기업과 협력하여 고객이 진정한 맞춤형 보안 솔루션을 구축할 수 있도록 할 것”이라는 의미입니다.

아리아카는 개방형 보안 솔루션 태세를 확고히 지지하는 SD-WAN 기업입니다. 그 이유는 무엇일까요? 무엇보다도 저희는 고객을 최우선으로 생각하는 회사입니다. 2019 WAN 현황 보고서에서는 SD-WAN을 배포하는 모든 기업이 보안을 가장 중요하게 생각하지만, 대다수의 기업은 선택의 폭을 넓혀야 한다는 사실을 확인했습니다. 기업 아키텍처 문제부터 규제 요구 사항까지 다양한 이유로 인해 단일 보안 솔루션이 기업의 모든 요구 사항을 충족하는 경우는 드뭅니다. 여러 업계 분석가들도 보안에 대한 다층적 접근 방식의 필요성을 거듭 강조하고 있습니다.

보안에 대한 아리아카의 접근 방식은 개방적이고 간단합니다:

첫째, 보안의 기본 측면이 있습니다. 브랜치에는 기본적인 상태 저장 방화벽이 필요하며 정책 기반 세분화가 필요합니다. 저희는 이 두 기능을 브랜치 디바이스인 ANAP(아리아카 네트워크 액세스 포인트)에 통합했습니다. 저희는 이 기능을 아리아카 존이라고 부르며, ANAP에 무료 기본 기능으로 포함하고 있습니다. Zones는 기본적인 액세스 보안을 위한 상태 저장 방화벽을 제공하여 지점을 외부 세계와 분리합니다. 또한, 존에서는 정책에 따라 트래픽을 내부적으로 엄격하게 세분화하여 공용 인터넷(게스트 WiFi, 소비자 앱 등), 클라우드 보안, DMZ, 기업 트래픽을 엄격하게 분리하는 것이 일반적입니다. 저희 정책은 한 지점에서 최대 32개의 구역을 수용할 수 있도록 유연하게 적용되고 있습니다. 동서 세분화뿐만 아니라 지점 내 또는 지점 간 세그먼트 간 제한적이고 안전한 통신을 시행하는 데에도 Aryaka Zones를 활용할 수 있습니다.

둘째, Aryaka는 선택의 폭과 손쉬운 통합을 제공하기 위해 Zscaler, Palo Alto Networks, Symantec 등의 클라우드 보안 리더와 파트너십을 맺고 있습니다.

하지만 다시 아키텍처 지원으로 돌아가 보겠습니다: VLAN 기반 세분화도 훌륭하지만 VRF(가상 라우팅 및 포워딩)라고 하는 레이어 3에서의 세분화가 필요한 애플리케이션 사례가 많이 있습니다. VRF를 사용한 레이어 3 세분화의 대표적인 사용 사례는 멀티테넌시입니다. 이 기능은 ANAP에도 포함되어 있으므로 이제 이 기능을 제공한다고 해도 놀라지 않으실 것입니다.

구조적으로 다계층 세분화를 구현하고 중요한 정책 프레임워크를 지원하면 마이크로 세분화 아키텍처를 지원하게 됩니다. 하지만 제 말을 들어보세요: 아리아카는 보안에 대한 제로 트러스트 접근 방식을 지원하는 마이크로 세분화 솔루션의 전체 스택을 제공하지 않습니다. L2 및 L3에서 아키텍처 지원을 제공합니다. L2/3의 기본 마이크로 세분화 기능을 중요한 프레임워크에 연결하여 소위 제로 트러스트 태세를 제공하기 위한 더 높은 수준의 업계 사실상의 표준 ID 및 정책 프레임워크가 있습니다.

마이크로 세분화와 제로 트러스트는 떼려야 뗄 수 없는 관계로, 하나를 이야기하자마자 업계 전문가들이 다른 하나에 대해 물어볼 것입니다. 그렇다면 제로 트러스트란 무엇일까요? 요즘 많은 것들이 그렇듯이 업계 표준이 없으므로 간단하게 설명하겠습니다: 제로 트러스트 신원이 확인되지 않는 한 어떤 것도, 누구도 기업 내로 들어오도록 허용하지 않는 보안 태세이며, 액세스 권한이 부여되면 정책을 통해 네트워크의 일부 선택된 마이크로 세그먼트에 매핑됩니다.

제로 트러스트는 IP 네트워크가 가능하게 한 보편적 연결이라는 전제에 대한 반작용이라고 할 수 있습니다. IP의 보편적인 연결 스택은 산업 혁명을 가능하게 했지만, 그 보편적인 연결성이 부담으로 작용하기도 했습니다. 그 결과, 우리는 보편적인 연결성에 도전하기 시작했습니다. 방화벽이 우선입니다. 침입 탐지가 이어졌습니다. 다음 단계는 통합 위협 관리였습니다. 하지만 생각해보면 이는 모두 수동적인 방어 자세입니다. 제로 트러스트는 기업 보안 아키텍처에서 파괴적이고 공격적인 움직임을 나타냅니다.

제로 트러스트 아키텍처에 대해 한 가지 더 말씀드리자면, 스택에 관련된 모든 기술 공급업체의 매우 개방적인 접근 방식이 필요하며 단일 공급업체가 모든 엔터프라이즈 도메인과 모든 기술 스택 계층을 커버할 수는 없다는 점입니다. 단일 사내 보안 솔루션을 옹호하는 SD-WAN 공급업체는 엔터프라이즈 보안이 나아갈 방향을 놓치고 있는 것이 분명합니다.

요약하자면: 다계층 보안에 대한 아리아카의 개방형 접근 방식은 기업이 선호하고 새로운 제로 트러스트 보안 태세가 기본으로 필요로 하는 선택권을 제공합니다.