SASE는 네트워킹 및 네트워크 보안 기능을 단일 클라우드 서비스로 결합하는 네트워크 보안 접근법입니다. SASE와 기존 네트워크 보안의 주된 차이점은 SASE의 경우 보안 정책을 적용하기 위해 모든 트래픽을 데이터 센터로 다시 라우팅하는 대신 사용자와 엔드포인트가 연결되는 네트워크 엣지에 더 가깝게 보안 기능과 기타 서비스를 제공한다는 것입니다.

SASE 모델은 네트워크 보안을 강화하고, 네트워크 성능 관리를 간소화하고, 전반적인 사용자 경험을 향상할 수 있는 잠재력이 큽니다.

디지털 혁신을 추구하고 클라우드 환경, 엣지 컴퓨팅, 재택 근무 또는 하이브리드 업무 수행 모델을 도입하는 조직이 증가하면서, 기존의 네트워크 경계 외부에서 업무를 수행하는 사용자와 IT 리소스도 증가할 것입니다. SASE를 통해 조직은 위치에 상관없이 사용자와 이러한 리소스를 낮은 레이턴시로 직접적으로 안전하게 연결할 수 있습니다. SASE는 비교적 최근 기술이지만(업계 분석 기관인 Gartner는 이 용어를 2019년에 정의했음) 많은 보안 전문가들은 SASE가 네트워크 보안의 미래를 대변한다고 생각합니다.

SASE는 SD-WAN(software-defined wide area networking) 및 SSE(secure service edge)라는 두 가지 핵심 기술을 결합 또는 통합한 것입니다. 이 기술들이 각각 하는 일을 먼저 이해하면 SASE의 작동 원리를 이해하기 더 쉽습니다.

SD-WAN

SD-WAN은 서버가 가상화되는 것과 매우 유사한 방식으로 가상화된 광역 네트워크입니다. SD-WAN은 기반 하드웨어에서 네트워크 기능(연결, 스위치, 라우터, 게이트웨이)을 분리하여 소프트웨어의 제어에 따라 분리 및 집계되고 트래픽에 적용될 수 있는 네트워킹 용량과 네트워크 보안 기능의 풀을 만듭니다.

기존 광역 네트워크(WAN)는 보통 임대 라인을 사용하는 값비싼 사설 전용 네트워크 연결을 통해 기업 지점의 사용자를 중앙 기업 데이터 센터의 애플리케이션에 연결합니다. 각 지점에 설치된 라우터는 가장 중요한 애플리케이션을 위해 최적의 성능을 구현하도록 트래픽을 제어하고 우선 순위를 지정했습니다. 패킷 검사 및 데이터 암호화와 같은 보안 기능은 중앙 데이터 센터에서 적용되었습니다.

SD-WAN은 원래 더 저렴하고 확장 가능한 인터넷 인프라에서 WAN 기능을 복제하기 위해 개발되었습니다. 그러나 인터넷 보안의 신뢰성에 대한 확신이 생기기도 전에 클라우드 서비스를 도입하기 시작하는 기업들이 늘어나면서 SD-WAN에 대한 수요가 가속화되었습니다. WAN 보안 모델은 과제에 직면했습니다. 인터넷으로 가는 계속 증가하는 트래픽을 기업 데이터 센터를 통해 라우팅한 결과 많은 비용을 초래하는 병목 현상이 발생하여 네트워크 성능과 사용자 경험이 모두 저하되었습니다.

SD-WAN은 트래픽을 보안 지점으로 강제로 라우팅하는 대신 연결 지점에서 트래픽에 보안을 적용하여 이러한 병목 현상을 해결합니다. 이 덕분에 사용자와 필요한 대상(SaaS(software-as-a-service) 앱, 클라우드 리소스 또는 공용 인터넷 서비스

) 사이에 안전하고 최적화된 직접 연결을 설정할 수 있습니다.

SSE

SSE 역시 Gartner가 만든 용어이며, “SASE의 보안을 구성하는 반쪽”입니다. Gartner는 세 가지 주요 클라우드 네이티브 보안 기술이 결합된 것으로 SSE를 설명합니다.

보안 웹 게이트웨이(SWG). SWG는 양방향 인터넷 트래픽 경찰 역할을 수행합니다. SWG는 트래픽 필터링 및 도메인 이름 시스템(DNS) 쿼리 검사와 같은 기술을 사용하여 악의적 트래픽이 네트워크 리소스에 도달하지 못하도록 방지함으로써 멀웨어, 랜섬웨어 및 기타 사이버 위협을 찾아내고 차단합니다. 그리고 SWG는 권한 있는 사용자가 의심스러운 웹사이트에 접속하지 못하도록 차단합니다. 사용자와 엔드포인트는 인터넷에 직접 연결되는 대신 SWG에 연결됩니다. SWG를 통해 이들은 승인된 리소스(예: 온프레미스 데이터 센터, 비즈니스 애플리케이션, 클라우드 애플리케이션 및 서비스)에만 액세스할 수 있습니다.

클라우드 액세스 보안 브로커(CASB). CASB는 사용자 그리고 클라우드 애플리케이션과 리소스 사이에 위치합니다. CASB는 사용자의 연결 위치 또는 연결 방식에 상관없이 사용자가 클라우드에 액세스할 때 암호화, 액세스 제어, 멀웨어 탐지와 같은 회사의 보안 정책을 적용합니다. 이때 엔드포인트 디바이스에 소프트웨어를 설치하지 않으므로 CASB는 BYOD(bring your own device) 및 기타 업무 환경 혁신 사용 사례에 적합합니다. 그리고 기타 CASB는 사용자가 알려지지 않은 클라우드 자산에 접속할 때 보안 정책을 적용할 수 있습니다다.

제로 트러스트 네트워크 액세스(ZTNA). 네트워크 액세스에 대한 제로 트러스트 접근법은 모든 사용자와 개체가 네트워크 외부에 있건, 이미 내부에 있건, 이들을 신뢰하지 않고 지속적으로 검증하는 것을 말합니다. 검증된 사용자와 개체에게는 작업 완료에 필요한 최소 권한 액세스가 부여됩니다. 컨텍스트가 변경되면 모든 사용자와 개체는 재검증을 받아야 하며, 모든 데이터 상호작용은 연결 세션이 종료될 때까지 패킷별로 인증을 받습니다.

ZTNA는 그 자체로 보안 제품은 아니지만, IAM(identity and access management), MFA(multi-factor authentication), UEBA(user and entity behavior analytics)와 같은 다양한 기술과 다양한 위협 탐지 및 대응 솔루션을 사용하는 네트워크 보안 접근법입니다.

개별 공급업체의 SASE 플랫폼에는 FWaaS(firewall as a service), DLP(data loss prevention), NAC(network access control), EPP(endpoint protection platform)와 같은 기타 위협 방지 및 보안 기능이 포함될 수 있습니다.

SD-WAN과 SSE의 결합

SASE 솔루션은 SD-WAN을 사용하여 연결이 이루어지는 네트워크 엣지에서 또는 그 근처에서 사용자, 디바이스, 기타 엔드포인트에 SSE 보안 서비스를 제공합니다.

구체적으로 설명하면, SASE 아키텍처는 검사 및 암호화를 위해 모든 트래픽을 중앙 데이터 센터로 돌려보내는 대신, 최종 사용자 또는 엔드포인트 가까이에 위치한 분산된 PoP(points of presence)로 트래픽을 보냅니다. (PoP는 SASE 서비스 제공업체가 소유하거나 타사 공급업체의 데이터 센터에 위치합니다.) PoP가 클라우드가 제공하는 SSE 서비스를 사용하여 트래픽에 보안을 적용한 다음 사용자 또는 엔드포인트가 퍼블릭 및 프라이빗 클라우드, SaaS(software-as-a-service) 애플리케이션, 공용 인터넷 또는 기타 리소스에 연결됩니다.

SASE는 보안 팀, IT 직원, 최종 사용자, 조직 전체에 중요한 비즈니스 이점을 제공합니다.

비용 절감—구체적으로 말하면, 자본 비용의 감소. SASE는 기본적으로 SaaS 방식 솔루션입니다. 고객은 SASE 설정 및 제어를 위한 소프트웨어에 대한 액세스를 구입하며, 이 소프트웨어의 기반이 되는 클라우드 서비스 제공업체의 하드웨어가 제공하는 모든 이점을 누립니다. SASE 고객은 보안을 위해 지점 라우터의 트래픽을 온프레미스 데이터 센터 하드웨어로 라우팅하는 대신 가장 가까운 인터넷 연결을 이용하여 트래픽을 클라우드로 라우팅합니다.

기업들은 또한 퍼블릭 클라우드와 조직의 온프레미스 인프라 전반에서 제공되는 하이브리드 솔루션으로 SASE를 소비할 수 있습니다. 이럴 경우 물리적 네트워킹 하드웨어, 보안 어플라이언스, 데이터 센터를 가상화된 클라우드 네이티브 하드웨어,어플라이언스, 데이터 센터와 통합하게 됩니다.

간소화된 관리 및 운영. SASE 프레임워크는 사용자뿐만 아니라 IoT(internet of things) 디바이스, API, 컨테이너화된 마이크로서비스 또는 서버리스 애플리케이션, 그리고 심지어 필요에 따라 스핀업되는 가상 머신(VM)까지 네트워크에 접속하거나 접속을 시도하는 것이 무엇이든 보안을 적용하는 일관적인 단일 솔루션을 제공합니다. 또한, SASE를 사용하면 각 연결 지점에서 라우터, 방화벽 등 보안 지점 솔루션 스택을 관리할 필요가 없습니다. 대신, IT 팀이나 보안 팀은 네트워크 상의 모든 연결과 리소스에 보안을 적용하기 위한 하나의 중심적 정책을 만들 수 있으며, 단일 제어 지점에서 모든 것을 관리할 수 있습니다.

더 강력한 사이버 보안. 제대로 구현된 SASE는 여러 수준에서 보안을 향상할 수 있습니다. 관리가 간소화되면 오류 또는 잘못된 구성의 가능성을 줄여 보안을 강화할 수 있습니다. SASE는 원격 사용자로 인한 트래픽에 보안을 적용하기 위해 획일적이고 일괄적으로 권한을 허용하는 VPN(virtual private network) 액세스를 애플리케이션, 디렉토리, 데이터 세트, 워크로드에 대한 세분화된 아이덴터티 및 컨텍스트 기반 액세스 제어를 제공하는 ZTNA로 대체합니다. 

더 일관적이고 향상된 사용자 경험. SASE를 사용하면 사용자는 온사이트, 지점 또는 집, 또는 이동 중 등 어떤 환경에서 업무를 수행하든, 클라우드 또는 온프레미스에 호스팅된 애플리케이션과 리소스에 접속할 때 동일한 방식으로 네트워크에 접속합니다. SD-WAN 서비스는 가장 가까운 PoP로 트래픽을 자동으로 라우팅하며, 보안 정책을 적용한 후 연결을 최적화하여 최상의 성능을 구현합니다.

SASE는 중앙 데이터 센터 기반 애플리케이션 제공 모델을 벗어나 진화하고 있는 모든 조직에 이점을 제공합니다. 그러나 현재 SASE의 도입을 촉진하는 몇 가지 구체적인 사용 사례가 있습니다.

VPN 병목 현상 없이 하이브리드 업무 환경의 보안 유지. VPN은 거의 20년 동안 원격 또는 모바일 사용자의 보안을 지켜주는 주된 수단이었습니다. 그러나 VPN은 쉽게 또는 저비용으로 확장할 수 없습니다. 많은 조직이 COVID-19 팬데믹 때문에 전면적으로 원격 근무 방식을 도입하면서 이러한 교훈을 어렵게 얻었습니다. 이와 대조적으로, SASE는 동적으로 확장 가능하므로 특히 원격 근무자와 진화하는 업무 환경 전반의 보안 요구 사항을 지원할 수 있습니다.

하이브리드 클라우드 도입 및 클라우드 마이그레이션. 하이브리드 클라우드는 퍼블릭 클라우드, 프라이빗 클라우드 및 온프레미스 인프라를 유연한 단일 컴퓨팅 환경으로 통합합니다. 이 환경에서는 상황 변화에 따라 워크로드가 인프라 사이를 자유롭게 이동합니다. WAN 보안 솔루션은 이러한 워크로드 이동성을 지원하도록 설계되지 않았습니다. 그러나 기반 인프라에서 보안 기능을 추상화하는 SASE는 트래픽이 어디로 이동하든 보안을 유지합니다. 또한, SASE는 어느 속도로든 클라우드로 워크로드를 마이그레이션할 수 있는 유연성을 제공합니다.

엣지 컴퓨팅 및 IoT/OT 디바이스의 확산. 엣지 컴퓨팅은 애플리케이션과 컴퓨팅 리소스를 중앙집중화된 데이터 센터에서 벗어나 휴대폰, IoT 또는 운영 기술(OT) 디바이스 및 데이터 서버와 같은 데이터 소스에 가까운 위치로 가져가는 분산 컴퓨팅 모델입니다. 이러한 근접성 덕분에 애플리케이션 응답 시간이 향상되고 더 빨리 통찰을 얻을 수 있습니다. 이러한 이점은 특히 대량의 스트리밍 데이터를 실시간으로 처리하는 인공 지능(AI) 및 머신 러닝 애플리케이션에 유용합니다.

이러한 애플리케이션을 지원하기 위해 조직 또는 솔루션 공급업체들은 수천 개의 IoT 센서 또는 OT 디바이스를 배포했지만, 많은 경우 보안을 거의 또는 전혀 구성하지 않았습니다. 이 때문에 이와 같은 디바이스는 중요한 데이터 소스에 접근하기 위해 디바이스를 강탈하거나, 운영을 중단시키거나, DDoS(distributed denial of service) 공격을 감행할 수 있는 해커의 주요 표적이 됩니다. SASE는 이러한 디바이스가 네트워크에 연결될 때 보안 정책을 적용할 수 있으며, 중앙 대시보드를 통해 연결된 모든 디바이스에 대한 관리 가시성을 제공합니다.