SASE 플랫폼으로 빠른 비즈니스 속도 지원
상태바
SASE 플랫폼으로 빠른 비즈니스 속도 지원
  • 데이터넷
  • 승인 2020.09.03 10:43
  • 댓글 0
이 기사를 공유합니다
클라우드 기반 네트워크·보안으로 글로벌 분산 환경 지원
즉시 배포·사용 가능한 SASE 플랫폼…유연한 확장 보장

[데이터넷] 현재 비즈니스는 ‘속도전’이라고 할 수 있다. 빠르게 변하는 시장에 맞추기 위해 신제품이 개발돼 고객에게 도달하는 시간을 최 소화해야 한다. 현재 IT 시스템은 이러한 요구를 만족시키지 못하며, 클라우드에 완전히 통합돼 새롭게 설계돼야 한다. 케이토네트웍스의 기술백서 ‘디지털 비즈니스를 위한 SASE’를 통해 비즈니스 속도전에서 이길 수 있는 새로운 네트워크·보안 방법 을 알아본다.<편집자>

디지털 비즈니스의 관건은 속도다. 신제품 개발 시 간, 제품의 시장 도달 시간, 사업환경 또는 경쟁구도의 변화에 대응하는 시간… 모두 속도와 관련 있다. 기술은 속도를 내는 수단이며, 이것을 가능케 하는 IT는 비즈니스 성공의 토대가 된다. 현대 IT 인프라는 자동화, 민첩성, 탄력성, 유연성이라는 특성을 갖고 있다. 클라우드 사용이 증가하면서 이러한 특성이 갖는 힘을 확인하고 있다.

네트워크와 보안은 ‘클라우드 중심 모바일 우선 비 즈니스’와 함께 가기 힘들다. 네트워크는 융통성이 없고 고정된 상태인데, 보안 위치, 클라우드 자원, 모바일 사용자로 구성된 다수의 도메인 때문에 심각하게 파 편화돼 있기 때문이다. 네트워크와 보안은 수십년 전 부터 단절된 상태가 지속돼 왔고, 그때 그때 발생하는 업무 요건에 짜깁기 방식으로 대응해왔기 때문에 사업 속도를 더디게 만들었다.

디지털 비즈니스를 목적으로 한다면 네트워크와 보 안은 IT 플랫폼에 포함돼야 한다. 가트너는 지난해 네 트워크와 보안을 단일 클라우드 기반 서비스로 융합 한 시큐어 액세스 서비스 엣지(SASE) 카테고리를 만들었다. SASE는 비즈니스의 미래를 위한 안전한 네트워크다.

자동차 부품으로 제트기 만들 수 없다

과거 IT 팀은 포인트 솔루션으로 새로 등장하는 비즈니스 이슈를 해결했다. 예를 들면 용량 제약을 해소 하기 위해 SD-WAN 박스를 추가하고, 인터넷 링크에 값비싼 MPLS 연결을 추가하는 식이었다. 또는 지점의 안전한 직접 인터넷 연결을 위해 방화벽을 설치했다. 이런 땜질식 처방으로 인해 포인트 솔루션이 통합되지 못하도록 했으며, 기술 사일로를 만들어 냈다.

IT의 임무는 모든 글로벌 비즈니스 자원에게 일정한 성능과 강력한 보안을 비용 효과적인 방식으로 제공하 는 것이다. 이것은 단순한 기능이 아니라, 아키텍처의 문제다. IT 사일로는 제거돼야 하며, 새로운 업무를 위 해 도입했던 짜깁기식 ‘포인트 솔루션 패치’도 없어져야 한다. IT 아키텍처는 사일로와 포인트 솔루션을 극 복하고 SASE 방식으로 진화해야 한다.

새로운 네트워크·보안 아키텍처

SASE는 가트너의 보안 분석전문가 닐 맥도널드(Neil McDonald)와 네트워크 분석전문가 조 스코루파(Joe Skorupa)가 내놓은 새로운 카테고리다. SASE는 기업 네트워크와 보안 아키텍처를 전환시키는 것이다. IT부서는 민첩하면서 디지털 비즈니스에 적용할 수 있는 총체적인 서비스를 제공할 수 있다. SASE 클라우드 서비스는 다음의 4가지 특징이 있다.

▲SASE 기본 개념
▲SASE 기본 개념
  • 신원 중심: SASE 네트워킹과 보안 정책의 토대. SASE의 핵심은 신원(Identity)이다. 모든 기업 자 원에는 신원이 있다. 사람, 애플리케이션, 서비스, 장치는 모두 신원을 갖고 있다. 자원의 실체를 판단하는 기준은 물리적 위치가 아니라 바로 신원이다.
    포괄적이면서 다이내믹한 상황 인식 개념인 신원으로 모든 플로우의 리스크와 네트워크 서비스 프로필을 파악할 수 있다. 인증 방식, 보안위협 검사, 데이터 접근 인증을 결합한 결과를 의미 있게 만들 수 있다. 신원 ‘파악불가’는 순수 네트워크 벤더들 의 특징이지만, 보안 업체에게는 ‘기본 판돈’이다. 보안과 네트워크가 융합되면, 접속하는 동안 신원을 중심으로 서비스 품질을 보장할 수 있고 리스크 기반 보안 통제기술을 적용할 수 있다.
  • 클라우드 네이티브 아키텍처: SASE는 클라우드에서 만들어진 서비스형 모델이라는 핵심 특성을 갖는다. 클라우드 네이티브의 아키텍처에는 탄력성, 적응성, 자가치료, 자가관리 등의 핵심 특성이 있다. SASE를 사용하려면 클라우드를 구성하는 클라우 드 가상 접속 포인트(PoP) 망이 구축돼야 한다.
    PoP 공급자 소프트웨어로 네트워크와 네트워크 보안을 서비스 형태로 공급한다. 그리고 컴퓨터 노드를 추가하면서 변화하는 트래픽 양에 적응하는 방식의 순조로운 확장이 가능해야 한다. PoP 소프트웨어는 IT의 개입 없이도 업그레이드를 통해 새로운 기능을 더할 수 있고 버그 수정도 할 수 있다. 또한 클라우드 아키텍처는 자동으로 장애가 발생한 노드와 PoP에서 정상 노드로 전환할 수 있는 자가치료 기능을 반드시 포함해야 한다.
    이러한 기능은 가상 어플라이언스를 클라우드에서 운영한다고 해서 가능한 것이 아니다. 어플라이 언스란 단일 고객(싱글 테넌트)을 위해 설계됐기 때문에 탄력성과 자가치료 기능을 가지기에는 클 라우드 조정 레이어가 충분하지 않다. 재래식 포인트 제품, 어플라언스 또는 클라우드 서비스를 엮는 방식은 서비스 품질과 성능에 영향을 줄 가능성이 크다.
  • 글로벌 분산 구조: SASE 클라우드는 글로벌 분산 클라우드 플랫폼으로 구현된다. 고객의 엣지가 어디에 있든 완전한 네트워크와 보안 기능이 제공되도록 설계됐다. SASE 공급자는 PoP을 전략적으 로 배치해 고객의 사업장, 클라우드 애플리케이션, 모바일 사용자 모두를 지원한다. 가트너에 따르면 SASE PoP는 AWS, 애저 등 퍼블릭 클라우드 서비스 공급자의 서비스 구역을 넘어 기업 엣지까지도 지연이 낮은 서비스를 제공해야 한다.
    글로벌 클라우드 플랫폼을 구축하려면 서비스 공급자는 PoP을 클라우드와 실제 데이터센터 모두에 신속하게 구축할 역량을 갖춰야 하고, WAN과 클라우드 접속을 지원할 수 있는 고가용성과 리던던 트 접속을 보장해야 하며, 엣지 전체에 엔드-투-엔 드 보안과 최적화 기술을 적용할 수 있어야 한다.
  • 엣지 전체: 실제 위치, 클라우드, 사용자, 엣지 컴퓨팅. 모든 기업 엣지를 똑같이 지원하는 것은 SASE만의 특징이다. 네트워크와 보안에 클라우드 우선 방식을 채택함으로써 네트워크 최적화, 보안 위협 방지 등 수많은 공통의 기능을 엣지에서 분리해 클라우드 안에 배치한다.
    예를 들면 기존 네트워크 보안 어플라이언스는 특 정 장소에 위치하기 때문에 클라우드 또는 모바일 엣지 서비스에는 적합하지 않다. SASE는 이런 문제를 해결한다.
    SASE에는 씬 엣지(thin-edge) 컴포넌트가 포함돼 있어 여러 엣지를 가장 가까운 SASE PoP과 연결한다. 엣지는 SASE 클라우드 서비스와 동시 작동해 PoP 장애 또는 접속 문제를 우회해 서비스가 지속 될 수 있도록 한다. 앞서 언급했던 SASE 클라우드 는 모든 PoP으로부터, 고객의 특정 컴포넌트에 대한 의존성 없이, 동일한 기능을 전달하도록 설계돼 있어 트래픽 전환이 단순한다.
    엣지 구현은 다양하게 할 수 있다. 물리적 장소는 SD-WAN 장치와 다수의 인터넷 링크를 사용해 대 역폭을 최대로 늘려주고 QoS를 확보하며 접속 장애 또는 품질 저하를 극복한다. 모바일 사용자는 엔터프라이즈급 보호를 받고 데이터센터와 클라우드 내 애플리케이션에 최적화된 접속을 할 수 있도록 VPN 클라이언트 또는 VPN 클라이언트 없이 웹 접근을 한다. 클라우드 데이터 센터는 SASE 클라우드에 다수의 터널을 통해 연결되며, 모든 트래픽은 원천 엣지와 상관없이 보안이 적용되며 최적화된다.

클라우드 네트워크·보안 통합 아키텍처

SASE 아키텍처에는 두 가지 핵심 구성요소가 있다. SASE 클라우드는 네크워크와 보안을 종합하는 기능을 한다. SASE 엣지 커넥터는 물리적 엣지, 클라우드, 장치 엣지에서 SASE 클라우드 프로세싱을 위해 트래픽을 이동시킨다. SASE는 모든 트래픽을 대상으로 최적화와 리치 컨텍스트 보안 검사기능을 적용하기 위해 싱글패스, 트래픽 처리 엔진을 사용한다.

SASE 모델을 스태킹 포인트 제품들과 비교하면, 스태킹 포인트 제품은 특정 요건의 트래픽을 분석하고 복호화 등 액션을 위한 오버헤드를 더하기 때문에, 타 네트워크와 타 보안 포인트 제품에서 생성된 상황 컨 텍스트 부족이 발생한다. SASE의 주요 기능은 다음과 같다.

  • 인증: 엣지 연결 즉시 다이내믹 리스크 평가를 토대 로 다단계 인증이 활성화된다.
  • 접속: 주요 응용프로그램과 서비스 접속은 응용프 로그램 인식 및 유저 인식 차세대 방화벽 정책으로 제어한다. 또한 제로 트러스트 네트워크 접속 모델 덕분에 사용자는 전체 네트워크에 접속할 필요없이 승인받은 응용프로그램에만 접속할 수 있다.
  • 우선순위 설정: VoIP와 가상 데스크톱 접속(VDI) 등 연결장애에 예민한 응용프로그램을 최적화할 수 있 도록 응용프로그램을 파악해 예민하고 중요도가 높은 트래픽에 우선순위를 부여한다.
  • 복호화: 패킷 검사를 세밀하게 할 수 있도록 암호 화된 트래픽은 일단 복호화를 거친 다음, 여러 위 협방지 엔진들이 해당 트래픽을 처리한다.
  • 보안위협 방지: 여러 보안 엔진은 위험한 접속을 탐지하기 위해 트래픽을 파싱한다. 악성 웹사이트를 찾아내는 보안 웹게이트웨이, 악성 파일 다운 로드를 막는 안티 멀웨어, 봇 활동을 시사하는 인바운드-아웃바운드 이상 연결을 끊는 IPS 등이 포함된다.
  • 데이터 손실 방지: SASE에서는 네트워크 플로우 중 민감한 데이터를 탐지할 수 있는 특정 데이터 손실 방지 규칙이 적용되며, 이러한 데이터의 유실을 방 지한다. 이와 유사하게 클라우드 접속 시큐리티 브로커(CASB)를 통해 클라우드 애플리케이션 접속 을 세밀하게 관리할 수 있다.

이외에도 SASE에는 수많은 기능이 포함돼 있다. SASE 아키텍처는 새로운 기능이 추가되어도 ‘싱글패스 트래픽 처리 엔진’을 신속히 확장할 수 있도록 설계 돼 있어, 네트워크의 미래 변화에 적응하며 지속적으로 사용할 수 있다. SASE 클라우드를 확장해 새로운 기 능을 어디든, 누구에게든 확대 적용할 수 있다.

SASE 클라우드 서비스를 새로운 보안 위협 또는 공 격 벡터에 적응시키는 작업은 중앙에서 실시하는데, 모든 고객사와 전체 엣지에 즉시 적용된다. 이때 IT 부서 에서 기능을 추가 설치하거나 활성화하는 수고를 하지 않아도 된다.

▲클라우드로 융합한 네트워킹과 보안
▲클라우드로 융합한 네트워킹과 보안

디지털 비즈니스 돕는 진정한 IT 기반

SASE는 모든 엣지를 네트워크 및 필요한 보안 기능 에 연결하는 종합 플랫폼이다. 다이내믹한 환경 속에서 현업을 지원하는 비용, 복잡성, 리스크를 낮출 수 있다. SASE 플랫폼의 장점은 다음과 같다.

  • 민첩성: IT는 SASE 아키텍처를 통해 최적화된 네 트워크 성능과 강력한 보안 기능을 모든 사업장, 응용 프로그램, 사용자에게 전달할 수 있다. 새로운 자원과 기능의 제공은 신속하고 간단한다. 딱 맞는 엣지 클라이언트를 설치하고 SASE 플랫폼에 플러 그인 하면 회사 정책 그대로 네트워크와 보안을 관리할 수 있다.
  • 협업: IT팀은 네트워크와 보안의 융합을 통해 단일 인터페이스로 모든 기능과 정책을 관리한다. 공통 용어를 쓰며 네트워크와 보안 이벤트를 깊숙이 들 여다 볼 수 있다. 여러 팀의 협업을 통해 가용성, 성능, 보안 요건이 모두 충족돼야 하는 현업의 서비스를 효과적으로 개선한다.
  • 효율성: SASE를 사용하는 IT팀은 온프레미스 인프라 관리의 부담에서 벗어날 수 있다. 물리적 토폴로지, 리던던시, 확장, 사이징, 업그레이드 업무가 확실하게 감소한다. IT는 이제 더 나은 서비스를 현업에 제공하는 한편, 귀중한 자원과 스킬을 통상적인 인프라 관리에 소모하지 않고 실질적인 현업 관련 문제에 집중할 수 있다.
  • 비용절감: 네트워크와 보안 스택이 단순화되고 여러 포인트 제품이 통합되면 벤더와 고객들은 인프라 운영에 드는 총비용의 절감을 경험할 수 있다.

SASE 마케팅 전쟁 시작

IT 기업들은 자사 SASE 플랫폼이 진정한 SASE 이상을 구현한다고 주장하며 마케팅 전쟁을 펼치고 있 다. 가트너는 일부 기존 벤더들이 기존 제품을 SASE로 포장해서 SASE와 유사한 솔루션을 제공하려 할 것 이라고 경고한 바 있다. 이러한 해당 기술은 클라우드 용으로 설계되지 않았기 때문에 서비스 품질과 공급에 리스크가 발생할 수 있다.

기대하는 결과를 낼 수 있는지 판단하기 위해서는 기반이 되는 SASE 아키텍처를 신중하게 살펴야 한다. 진정한 SASE인지 그럴듯하게 포장한 것인지 다음의 항목을 살펴보며 판단해보자.

  • 통신사업자와 대척점에 선 SASE:
    지난 10년간 통신사업자들은 고객의 복잡한 네트워크와 보안 스택을 관리해 줄 수 있다며, 자신들이 구매하고 설치하고 관리하는 다양한 포인트 솔루션들을 제시해왔다. 하지만 복잡성은 사라지지 않았고, 고객사는 제품과 관리인력을 위한 지출을 늘릴 수밖에 없었다. 또한 고객은 통신사업자에 전적으로 의존하게 됐고, IT 조직은 기어가는 듯한 속도로 업무를 해야 했다.
    SASE는 완전히 다르다. 레거시 어플라이언스, 가시성이 제한적이거나 전혀 없는 파편적 관리는 사라진다. SASE 클라우드는 확장성이 있고, 자가 서비스가 가능 하며, 민첩하고, 유연하다. 그러나 통신사 서비스는 전혀 그렇지 못하다.
  • 클라우드 내 가상머신은 여전히 어플라이언스 스택
    가상머신을 AWS, 애저 등 IaaS에서 인스턴스화하는 것은 적합하지만, SASE에서는 아니다. 온프레미스 어플라이언스를 ‘클라우드’로 옮기기는 하지만, 여전히 제각각인 포인트 솔루션이다. SASE가 가지는 온전한 클라우드 통합, 싱글패스 프로세싱, 글로벌 규모의 범 위, 탄력성을 제공하지는 못한다. 고객사는 벤더 수에 따라 여전히 여러 개의 관리 콘솔을 사용해야 한다.
  • 서비스 체이닝이라는 과대 포장
    멀티벤더 환경에서 서비스 체이닝은 SD-WAN, 라우터, 방화벽, WAN 옵티마이저 등 다수의 포인트 솔루션을 엮어주는 테크닉이다. 실제 어플라이언스를 얼마나 많이 사용하는지 또는 여러 가상머신을 호스팅하는 uCPE(댁내장치)의 사용 여부와 상관 없이, 솔루션은 제각기 움직이기 때문에 각각 사이징, 확장, 관리가 필요하다. 궁극적으로 SASE는 핵심 속성 중심의 융합을 제시한다. 서비스 체이닝은 융합이 아니라 여러 포인트 솔루션의 헐거운 묶음이라고 할 수 있다.
  • 불완전한 SASE
    서비스형 보안 벤더는 SWG, CASB를 갖고 다수의 보안 기능을 공급하기 위한 노력을 해왔다. 하지만 네트워크 플로우를 제어하면서 WAN 엣지를 원천적으로 지원하는 핵심 SASE 요소가 아직 부족하다.
    사무실, 클라우드 데이터센터, 사용자, 장치 등 모 든 엣지를 안정적으로, 안전하게 SASE 클라우드에 연결할 수 있는 기술이 처음부터 통합되지 않으면 SWG와 CASB는 또 다른 사일로가 된다. 이와 비슷하게 엣지 어플라이언스 벤더들은 글로벌 분산형 클라우드 네이티브 서비스를 제공하는 케이토네트웍스와 유사한 방식으로 클라우드 기능을 구축하는 프로젝트를 해야 한다.
▲케이토클라우드 개념도
▲케이토클라우드 개념도

바로 배포 가능한 간단한 SASE 플랫폼

WAN 전환 또는 어플라이언스 리프레시를 통해 즉시 SASE를 시작할 수 있다. SASE 플랫폼으로 일시에 마이그레이션 하지 않아도 된다. 보안 장비를 새로 구입하거나 MPLS 계약을 갱신할 때, M&A 통합 프로젝트를 시작할때 SASE로 단계별로 전환해도 된다. 마이그레이션이 진행되는 동안 SASE는 기존 네트워크·보안 솔루션이 종료될 시점까지 함께 사용될 수 있다.

케이토 클라우드에 구현된 SASE 아키텍처의 주요 속성은 다음과 같다.

  • 신원 중심 주의: 위치가 어디든 케이토 클라우드로 들어오는 신원 또는 자원을 자동으로 파악한다. 신원은 플로우와 함께 흐르고 사용되며, 다른 상황인지 요소들과 결합해 다단계 인증을 개시하며, 각 응용프로그램 접속 정책을 구동하며, 네트워크 서비스 품질을 결정하고, 플로우 의 데이터 리스크를 지속적으로 평가한다.
  • 클라우드 네이티브 트래픽 처리: 케이토 클라우드는 처음부터 클라우드 네이티브 서비스로 개발됐다. ‘싱글 패스 엔진’을 이용해 모든 트래픽을 패킷 단위부터 처리하며, 최적화와 보안 기 능을 적용한다. 목적 중심 어플라이언스 또는 가상 머신이 필요하지 않으며, 이로 인해 고객은 클라우드 공급자의 확장성, 자가 서비스 및 민첩성을 누릴 수 있다.
  • 엣지 지원: 물리적 장소, 모바일 사용자, 클라우드 데이터센터, 응용프로그램은 케이토 클라우드에 엣지 솔루션으로 접속한다. 물리적 장소는 엣지 SD-WAN 장치를 사용하며, 모바일 장치는 VPN 클라이언트 애플리케이션 또는 웹 브라우저를 사용하고, IPSec 터널은 클라우드 자원을 케이토 클라우드에 연결한다. 엣지가 어떤 형태이며 어디에 위치하든 가장 가까운 케이토 PoP에서 케이토의 네트워크와 보안 기능을 즉시 적용한다.
  • 글로벌 PoP 네트워크: 케이토 클라우드는 47개 이상의 PoP을 통해 전체 서비스를 제공한다. 케이토의 PoP은 티어 1 통신사업자들과 연결돼 있고, WAN과 클라우드 트래픽을 최적화 하는 글로벌 프라이빗 백본 네트워크를 구성한다. PoP 소프트웨어를 통해 세밀한 패킷 검사를 적용함 으로써 케이토 클라우드를 통과하는 트래픽을 다수의 보안 위협으로부터 보호한다. 이로써 성능저하 없이 지능형 보안을 제공한다.

케이토 클라우드는 고객사의 네트워크를 연결하고 안전하게 보호하며 관리하는 융합 플랫폼이다. 순차적으로 지점·지사, 클라우드 자원, 사용자에게 적용하고 기존 네트워크 서비스와 보안 포인트 솔루션을 대체할 수 있다.

Tag
#케이토네트웍스 #SASE #클라우드 네이티브 플랫폼 #네트워크 #보안
저작권자 © 데이터넷 무단전재 및 재배포 금지
데이터넷
데이터넷 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사