분산 업무 위한 네트워크·보안 통합 플랫폼 필수
상태바
분산 업무 위한 네트워크·보안 통합 플랫폼 필수
  • 데이터넷
  • 승인 2020.10.05 10:00
  • 댓글 0
이 기사를 공유합니다

SECaaS·SASE 모델로 재택·원격·분산 환경 보호
고성능 프록시 기술로 성능 저하 없이 WFA 지원
<김동한 모니터랩 연구개발본부 수석연구원>

[데이터넷] 비대면 업무 환경을 보호하는 방법으로 클라우드로 제공되는 보안 서비스(SECaaS)가 부상하고 있다. 또한 최근에는 글로벌 분산환경에서 네트워크를 효율적으로 운영하면서 각 환경별 로 최적화되고 일관된 보안을 구현하기 위한 시큐어 액세스 서비스 엣지(SASE)가 떠오르고 있다. 더불어 클라우드로 확대된 보안 경계를 위한 제로 트러스트 네트워크 액세스(ZTNA) 구현의 일환으로 소프트웨어 정의 경계(SDP)에 대한 관심도 높아지고 있다.

사용자 위치 관계 없이 보안 접속 지원

SASE는 2019년 가트너가 ▲SD-WAN, 캐리어, WAN 최적화, CDN, 밴드위스 애그리게이터 등 네트워크 기술과 ▲네트워크 보안, CASB, 클라우드 보안 이메일 게이트웨이(SEG), 제로 트러스트 네트워크 액세스(ZTNA)·VPN, 웹·API 보안 서비스, 방화벽 서비스, DNS, 원격 브라우저 격리(RBI) 등 보안 기술을 통합한 새로운 개념을 정의한 것이다. 이 기능을 클라우드 기반 서비스로 통합하고, 동적 보안 액세스를 지원하도록 한다.

클라우드 환경에서는 보안 액세스가 필요한 사용자, 장치, 네트 워크 기능은 어디에나 있을 수 있으므로, 보안 액세스 서비스 또한 어디에나 있을 수 있어야 한다. 누구나 모든 것에 접속할 수 있어야 한다는 뜻은 아니다. SASE는 사용자의 위치나 네트워크에 관계 없이 보안 접속을 지원한다. 동적으로 생성된 엣지를 이용해 비용과 복잡성을 감소시키며, 네트워크 성능 향상과 지연 감소, 보안 제고 등의 이점을 제공한다. 그러면서 동시에 중앙 집중형으로 모 든 엣지의 보안 정책을 통합 관리할 수 있다.

SASE를 활용하면 사용자, 장치, 애플리케이션이 어디에 위치하든 기업에 보안 액세스를 적용할 수 있다. 원격 근무 사용자가 늘어나면서 SaaS 애플리케이션 도입이 급격히 증가하고, 데이터 가 데이터센터, 지점 사무실, 하이브리드·멀티 클라우드 환경 사이를 빠르게 이동하고 있어 특히 중요한 장점으로 부각되고 있다.

SASE의 장점을 정리하면 다음과 같다.

  • 복잡성과 비용 감소: 네트워크와 보안 액세스 서비스를 통합하면 어플라이언스 종류와 제조 업체 수를 줄일 수 있다. 또한 최종 사용자 또는 지점의 장치에 설치해야 하는 에이전트 수도 줄어든다. 하드웨어 배송, 설치, 업그레이드와 관련된 물류 문제를 방지하고 클라우드에서 운영해 운영 복잡성과 비용을 줄일 수 있다.
  • 새로운 디지털 비즈니스 시나리오: SASE 서비스를 통해 파트너와 계약자가 기업의 애플리케 이션, 서비스, API 및 데이터에 안전하게 액세스 할 수 있다.
  • 성능 및 서비스 지연 개선: 전 세계에 구축된 POP을 통해 서비스 지연에 최적화된 라우 팅을 제공할 수 있다. 이는 공동 작업, 비디오, VoIP 및 웹 회의와 같이 지연에 민감한 앱에 특히 중요한 부분이다.
  • 사용자 경험 개선: 보안 액세스 서비스 에이전트는 사용자 상호 작용 없이 보 안 정책을 자동으로 적용해 사용자의 위치, 액세스 대상 및 위치에 관계 없이 사용자에게 일관된 액세스 경험을 제공한다.
  • 향상된 보안: 콘텐츠 검사(민감한 데이터 및 멀웨어 식별)를 통해 모든 액세스 세션을 검사하고 동일한 정책 세트를 적용할 수 있고 모든 트래픽에 대한 완전한 가시성과 보 안을 제공할 수 있으며, 모든 위치에서 사용자를 보호할 수 있다. 지속적 위협 방어(ATP)에서 차세대 방화벽까지 모든 엣지에 보안 서비스를 제공하면서도 제로 트러스트 네트워크 액세스를 보장해 네트워크 안팎에서 자산을 보호한다.
  • 낮은 운영 오버헤드: 지속적으로 위협이 진화하고 있어 새로운 검사 메커니즘이 필요하다. SASE가 제공하는 클라우드 보안 서비스를 사용하면 새로운 위협과 정책을 쉽게 적용할 수 있다. 새로운 하드웨 어나 소프트웨어를 배포할 필요 없이 새로운 기능을 빠르게 채택할 수 있다.
  • ZTNA 활성화: 제로 트러스트 네트워킹 접근 방식의 원칙 중 하나인 장치의 IP 주소나 물리적 위치가 아니라 사용자, 장치 및 애플리케이션의 아이덴티티를 기반으로 네트워크 액세스를 허용한다.
  • 네트워크·네트워크 보안 효율성 향상: 인프라를 설정하는 일상적인 작업 대신 비즈니스와 애플리케이션 액세스 요구사항을 이해하고 이를 SASE 기능에 매핑하는 데 더 집중할 수 있다.
  • 중앙 집중식 정책과 로컬 실행: 사용자와 가까운 로컬에서 정책 검사·적용을 실행해 사용자에게 최대한 근접한 지점에서 애플리케이션과 서비스를 제공함으로써 서비스 지연을 최소화함과 동시에 정책의 중앙 집 중식 관리가 가능하다.

SASE, 네트워크·보안 통합 플랫폼

SASE는 네트워크와 보안 기술로 구성되기 때문에 제대로 작동하려면 연결성, 네트워크, 보안 요소를 비롯한 모든 구성 요소가 하나의 통합된 시스템으로 상호 운용돼야 한다.

SASE 주요 구성요소는 다음과 같다.

  • SD-WAN: SASE는 동적 경로 선택, 자체 복구 기능, 고성능 애플리케이션 지원, 일관적인 사용자 경험을 포함한 지능적 WAN 네트워크 기능이 필요하다. 이를 구현하는 SD-WAN이 SASE의 핵심이라고 볼 수 있다.
  • FWaaS: FWaaS는 방화벽을 클라우드 기반 서비스로 제공하기 위한 배포 방법으로, 차세대 방화벽과 동일한 기능을 갖는다. 클라우드에서 구현돼 조직의 지점마다 보안 하드웨어를 설치하거나 유지 관리할 필요가 없어 비용 절감의 이점을 누릴 수 있다.
  • 위협 방어: 랜섬웨어 공격이 매일 발생하는 등 위협의 정교함과 규모가 증가하고 있다. 공격자들로부터 조직의 데이터와 직원을 보호하기 위해서는 멀웨어 방지와 침입 방지, SSL 가시성, 파일 차단에 이르기까지 다양한 위협 방지 솔루션이 필요하다. SASE에서 는 이러한 모든 위협 방지 솔루션이 하나의 클라우드 플랫폼에 통합·제공돼 네트워크와 클라우드 환경에서의 모든 위협과 취약성에 대한 관리·감독을 단순화할 수 있다. 최신 위협 인텔리전스를 활용해 알 수 없는 다양한 위협으로부터 지속적으로 조직의 데이터와 직원을 보호해야 한다.
  • SWG: SWG를 사용하면 직원과 장치가 악성 웹 사이트에 액세스하지 못하도록 보호할 수 있다. SASE에서 SWG는 클라우드로 이동해 전체 네트워크에 대한 완전한 가시성과 제어를 위해 통합 플랫폼을 통해 클라우드에서 보호를 제공하고, 조직이 웹에 대한 액세스를 제어하고 악성 웹 사이트로부터 사용자를 보호하는 보안 정책을 시행할 수 있다.
  • DLP: DLP는 민감한 데이터를 보호하고 데이터가 손실, 도난 또는 오용되지 않도록 한다. SASE에서 DLP는 위치에 관계없이 미사용, 이동 중, 사용 중인 민감한 데이터에 동일한 정책이 일관되게 적용된다.
  • CASB: CASB를 활용하면 SaaS 애플리케이션 사용에 대한 가시성을 확보하고, 민감한 데이터가 있는 위치를 이해하고, 사용자 액세스에 대한 회사 정책을 시행하고, 해커로부터 데이터를 보호할 수 있다. SASE에서 CASB는 사용자의 위치에 관계없 이 어떤 SaaS 앱이 사용되고 있으며 데이터가 어디로 가는지 이해하는 데 도움이 된다.
  • ZTNA: ZTNA를 사용하려면 클라우드에 연결하려는 사용자가 필요한 애플리케이션에 액세스하기 전에 게이트웨이를 통해 인증해야 한다. 이를 통해 IT 관리자는 사용자를 식별하고 액세스를 제한하 고 데이터 손실을 최소화하는 정책을 생성할 수 있다.
    SASE는 ZTNA 핵심 원칙을 기반으로 SASE 솔루션 내의 다른 모든 서비스에 적용해 연결 위치에 관계없이 사용자, 장치 및 애플리케이션을 식별함으로써 정책 생성 및 관리가 간소화된다.
    ZTNA의 주된 역할은 애플리케이션 및 사용자를 인증하는 것이다. 다중요소인증(MFA)과 결합된 지능적 컨텍스트, 역할 기반 ID는 네트워크 안팎에서 사용자와 기기의 안전한 액세스를 보장하는 데 필수다. 또한 외부에서 들어오는 모든 인 바운드 포트를 차단하고, 필요한 사람에게 필요한 애플리케 이션만 접근을 허용해 보안을 강화할 수 있다.
▲모니터랩 ‘AISASE’ 아키텍처
▲모니터랩 ‘AISASE’ 아키텍처

인증 후 연결하는 SDP

ZTNA의 구현 방식 중 SDP는 미 국방성 글로벌 인포메이션 그리드(GIG) 프로그램을 통해 개발한 것을 클라우드 보안 연합(CSA)에서 이전받아 상용화 한 것이다. 전통적인 VPN이 연결 후 인증(Connect, then authenticate)인데 반해 SDP는 인증 후 연결(Authenticate, then connect)이어서 인증 이전에는 서비스의 DNS 정보나 IP 주소를 전혀 알 수 없어 공격이나 해킹 등에 비교적 안전하다.

SDP 컨트롤러, IH(Initiating Host), AH(Accepting Host) 들이 서로 통신할 때 SPA(Single Packet Authorization) 프로토콜을 사용한다. SPA는 RFC 4226(HOTP)에 기반하고 있 으며, AH의 경우 신규 세션으로부터 수신한 첫 번째 패킷이 SPA가 아닌 경우 해당 세션을 공격으로 판단할 수 있는 이점 이 있고, 또 TLS DoS 공격도 완화시킬 수 있다.

고성능 프록시 기반 ‘AISASE’

모니터랩의 SASE 플랫폼 ‘AISASE’는 ‘아이온클라우드 시큐리티센터’와 ‘아이온클라우드 시큐리티 엣지’로 구분된다. 시큐리티 센터에는 서비스 게이트웨이, 시큐리티 매니저, 마스터 DB 등이 있다. 리전별로 구축된 시큐리티 엣지에는 네트워크 기능과 여러 보안 서비스들이 멀티테넌시 아키텍처를 기반으로 동작하게 된다.

시큐리티 센터는 엣지들이 사용자에게 보안 서비스를 제공하기 위해 필요한 정보(계정, 도메인 등) 및 정책, 사용 통계 및 로그, 이벤트 등이 저장돼 있고 이를 관리하고 모니터링할 수 있는 통합 콘솔을 웹으로 제공한다.

시큐리티 엣지는 실제 사용자에게 제공할 보안 서비스와 네트워크 기능이 제공된다. 가상 사설 네트워크를 통해 서로 연결해 글로벌 프라이빗 백본을 구성하게 되면 SD-WAN 기능을 제공함과 동시에 리전 간 페일 오버·페일 백을 지원할 수 있다. 현재 보안 서비스는 서버 사이드 보안 서비스인 웹방화벽과 웹 멀웨어 탐지, 클라이언트 사이드 보안 서비스인 보안 웹 게이트웨이가 AISASE 플랫폼과 모니터랩의 고성능 프록시 기술을 접목시키면 다양한 보안 서비스들(VPN, ZTNA, DLP 등)을 클라우드를 통해 제공 할 수 있게 될 것이다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.