[데이터넷] 클라우드는 보안에 취약하기도 하지만 보안을 강화할 수도 있다. 클라우드를 보안운영센터(SOC)로 만들어 전 세계에 흩어진 인력과 비즈니스 거점을 중앙통제 환경과 동일하게 관리할 수 있다. 현재 기업에서는 보안 통제를 강화하기 위해 사용자의 클라우드 통신을 중앙통제센터를 경유하도록 해 트래픽 낭비가 심하고 속도가 저하된다는 문제가 있다. 클라우드를 SOC로 만들면 사용자와 가까운 위치의 클라우드 리전에 접속하면서 중앙화된 통제가 가능하다.

클라우드 네이티브 아키텍처로 설계된 클라우드 보안 플랫폼은 이러한 이상을 구현하는데 최적의 모델을 제공한다. 사용자의 위치와 접속 환경에 상관없이 적용되며, 임시직이나 파트너사 직원, IoT 기기까지 일관된 보안 정책에 따라 통제될 수 있다. ID를 중심으로 정책을 적용하고 클라우드에서 통제해 ID 별로 세밀하게 정책을 제어하고 중앙에서 체계적으로 관리할 수 있다.

최근 주목받고 있는 제로 트러스트 보안 모델이나 시큐어 액세스 서비스 엣지(SASE)도 클라우드 플랫폼을 이용하는 것이 효과적이다. 데이터와 시스템에 접근하려는 사용자와 기기를 먼저 인증하고, 접근할 수 있는 애플리케이션으로만 접속할 수 있도록 하며, 필요한 보안 통제를 지속적으로 적용함으로써 중단없이 보안을 유지할 수 있다. ‘클라우드’라는 경계 없는 플랫폼을 이용하기 때문에 접속자와 기기의 대수에 관계 없이, 지역에 관계 없이 통제가 가능하며, 하드웨어와 대규모 시스템 구축 없이 사용할 수 있어 TCO도 낮출 수 있다.

분산된 비즈니스 효과적으로 관리·보호

클라우드 보안 플랫폼의 이점은 SASE에서 더 잘 드러난다. SASE는 글로벌 혹은 전국에 분산된 비즈니스 조직을 효과적으로 관리하면서 MPLS 전용선 비용을 낮추는 방안으로 제안됐다. 네트워크 장비업체를 중심으로 전개된 SD-WAN과 보안 기업들을 중심으로 전개된 클라우드 보안 서비스(SECaaS)의 결합이라고 이해해도 좋다.

SASE는 네트워크 시장 뿐 아니라 보안시장에서도 뜨거운 이슈다. 전통적인 방화벽 기업부터 클라우드 보안 기업까지 일제히 SASE 전략을 공개하면서 시장 공략에 나섰다. 지스케일러는 클라우드 플랫폼을 통해 제공하는 ‘ZIA’를 통해 SASE를 구현한다고 소개한다. 클라우드 네이티브 아키텍처의 지스케일러 플랫폼을 통해 네트워크 보안, 엔드포인트 보안, 데이터 보안, 보안 규제 준수 등 거의 대부분의 보안 및 네트워크 기능을 제공하는 ZIA는 사용자가 어디에 있든 상관없이 어디서나 일관된 네트워크 수준을 유지할 수 있으며, 보안 정책을 적용할 수 있게 한다.

이헌주 지스케일러코리아 지사장은 “물리적 네트워크 경계가 사라지는 클라우드에서는 보안 초점을 사용자에 맞춰야 한다. 중앙 데이터센터를 거치지 않고 사용자와 애플리케이션을 직접 연결해야 하며, 사용자의 역할과 권한, 애플리케이션·데이터의 중요성, 그리고 해당 지역의 컴플라이언스 등 여러 요소를 고려한 보안 정책이 자동으로 적용돼야 한다”며 “클라우드 네이티브 보안 플랫폼을 통해 이를 구현할 수 있으며, 지스케일러의 SASE 솔루션 ‘ZIA’가 최적의 대안”이라고 소개했다.

클라우드·구축형 결합한 SASE 제안

SASE는 케이토네트웍스가 가장 먼저 제안하고 나온 개념이며, 지난해 가트너와 함께 SASE 시장 분석보고서를 발표하면서 시장 개화 시기를 앞당겼다. 케이토네트웍스는 클라우드와 구축형 모델을 결합한 방법으로 SASE를 소개한다.

케이토네트웍스는 전 세계 보안 사설망 임대 서비스를 하는 통신기업으로, 통신망과 네트워크 기술, 보안 기술을 근본적으로 통합한 SASE 아키텍처를 제안한다. 전 세계 400개 이상 고객에 SASE 플랫폼을 제공하고 있으며, 매 분기 50개 이상 신규고객을 확보, 연평균 350% 성장을 기록하고 있다.

DNS 엣지로 SASE 구현

지난해 발표된 가트너 보고서에서는 SASE 핵심 원칙으로 ▲클라우드 호스티드 아키텍처를 통해 요구될 때 마다 규모에 맞게 서비스를 쉽게 배포할 수 있어야 함 ▲아이덴티티 중심 정책(Identity-driven policies)으로 네트워크 액세스와 보안이 개별 사용자 요구에 따라 커스터마이즈 될 수 있어야 함 ▲로컬에서 정책 검사·적용을 실행해 사용자에게 최대한 근접한 지점에서 애플리케이션과 서비스를 제공함으로써 지연을 최소화해야 함 등을 꼽았다.

그러면서 가트너는 SASE가 ▲SD-WAN ▲SWG ▲CASB ▲제로 트러스트 네트워크 액세스(ZTNA)를 통합하게 될 것이라고 전망했다. 이에 IT·보안 기업들이 서둘러 SASE와 관련된 기술기업을 인수하고, SASE 전략과 로드맵을 발표하는 등 시장 변화를 서둘러 쫓아가고 있다.

시스코의 경우 엄브렐라를 중심으로 한 보안 인터넷 게이트웨이(SIG)가 SASE를 구현할 수 있다고 소개한다. 클라우드 기반 엄브렐라 플랫폼에서 다중인증, 웹 프록시, DLP, CASB, 방화벽·IPS, 샌드박스, 엔드포인트·이메일 보안 등 시스코의 모든 보안 기술이 네이티브하게 통합되며 시스코 SDN 기술과 결합해 전국 혹은 전 세계로 효과적으로 배포할 수 있다.

인포블록스는 DNS를 ‘엣지’에 둔 SASE 전략을 소개한다. 모든 연결인 DNS를 통하게 돼 있으므로 DNS를 엣지로 삼아 보안 정책을 통제한다는 전략이다. NOS 기업 스냅라우트를 통해 획득한 SDN 기술을 적용하며, DNS 위협 인텔리전스와 보안 및 네트워크 관리 전문성을 결합하고 다양한 파트너 생태계를 통해 통합되는 인텔리전스와 공동 대응을 제공한다.

SDN·SD-WAN 결합한 SASE

하드웨어 중심 보안 기업들은 초기에 완벽하게 클라우드를 통해 제공되는 SASE에 긍정적이지 않았다. 클라우드에서만 보안 정책을 실행했을 때, 민감정보를 취급하는 업무에서는 클라우드 사용이 제한된다. 클라우드로 통신을 우회해야 하기 때문에 시간이 오래 걸린다는 단점도 있다. 로컬 엣지 장비에서 보안 정책을 실시하면 훨씬 빠르고 저렴한 비용으로, 해당 로컬 환경에 맞게 보안 정책을 운용할 수 있다.

포티넷이 이러한 주장을 해 온 대표 주자로, 포티넷의 시큐어 SD-WAN은 시장에서도 좋은 평가를 받으면서 빠른 성장을 해이뤄왔다. 강력한 하드웨어 성능과 고급 보안 기능을 합리적인 가격으로 제공하는 포티넷의 하드웨어 기술력이 SD-WAN 시장에서도 통한 것이다.

그러면서도 포티넷은 오팩을 인수하고 SASE 시장 진출을 선언했다. 오팩은 ZTNA 솔루션을 공그급하는 기업으로, 포티넷의 시큐어 SD-WAN과 기타 보안기능을 통합해 완벽한 SASE플랫폼을 제공한다고 설명했다.

주니퍼네트웍스는 네트워크와 보안, 그리고 SDN을 모두 갖고 있다는 점을 강조하며 SASE 시장의 강력한 경쟁력을 입증할 수 있다고 주장한다. SRX 시리즈 방화벽은 CPE 디바이스 ZTP 구축이 가능하며, 보안, 네트워킹, 애플리케이션 정책 원격 구성과 모니터링이 가능하다. 또한 AI 엔진을 결합시켜 LAN, WAN, 보안요소를 최적화하고 자동화해 사용자 경험을 향상시킨다.

주니퍼의 커넥티드 시큐리티가 SASE 플랫폼의 역할을 할 수 있으며, 네트워크가 위협을 식별하고 클라이언트에서 클라우드까지 네트워크 전반의 모든 연결 지점에서 정책을 확인하고 실행시킬 수 있다.

사만다 마드리드(Samantha Madrid) 주니퍼네트웍스 보안 사업 및 전략 부문 부사장은 “기초가 튼튼해야 전체가 튼튼하다. 주니퍼는 뛰어난 클라우드 제품, 사용자 경험에 주력하는 기술, 엔드 투 엔드 트래픽 검사 및 실시간 정책 실행을 위한 툴 세트 등 강력한 SASE 솔루션 제공에 필요한 우수한 제품을 보유하고 있다”며 “주니퍼는 차별화된 새로운 기능, 파트너십, 사용사례를 통해 이러한 요소들을 한층 강화하고 SASE 솔루션을 발전시켜 나갈 것이다. 그리고 이를 통해 주니퍼 네트워크 액세스 및 보안 고객에게 실질적인 가치를 제공할 것”이라고 강조했다.