SASE 아키텍처

보안 접근 서비스 엣지(SASE) (SASE) 아키텍처란 무엇인가요?

현대 기업은 네트워크 경계 내부보다 외부에 더 많은 사용자, 디바이스, 애플리케이션, 서비스 및 데이터를 보유하고 있을 가능성이 높습니다. 이는 기존의 경계 중심 보안 아키텍처가 더 이상 효과적이지 않다는 것을 의미합니다.

현대 기업의 요구 사항을 해결하기 위해 Gartner는 SASE 아키텍처를 정의했습니다. 이 아키텍처는 단일 솔루션에서 조직의 네트워킹 및 보안 요구 사항을 충족하도록 설계되었습니다.

• 최적화된 네트워크 라우팅: 분산된 사용자 및 서비스는 기업 WAN(Wide Area Network)의 토폴로지가 더욱 복잡해졌다는 것을 의미합니다. 높은 체감 품질(QoE)을 위해서는 소프트웨어 정의 정책을 사용하여 네트워크 트래픽에 대해 최적화된 동적 경로 선택이 필요합니다.
• 서비스형 보안(Security as a Service): 조직의 물리적 사이트에 중앙 집중화된 보안은 오프사이트 트래픽에 대한 네트워크 대기 시간을 증가시킵니다. 보안은 본사 네트워크 경계의 온사이트가 아닌 클라우드 엣지에 서비스형으로 배포되어야 합니다. 지리적으로 분산된 네트워크 아키텍처는 분산된 모바일 인력에게 클라우드 애플리케이션에 대한 더 나은 액세스를 제공합니다.
• 보안 액세스: 보안 서비스가 클라우드 서비스로 통합되고 제공됨에 따라 강력한 다단계 액세스 관리를 통한 제로 트러스트 원칙을 세션 전체에 적용할 수 있습니다. 효율성은 관리와 검사를 통합함으로써 달성됩니다. 암호 해독, 검사 및 암호화는 한 번 수행되어 대기 시간을 줄입니다.

네트워크 성능과 보안에 대한 요구 사항의 균형을 맞추려면 이러한 기능을 갖춘 네트워크 및 보안 아키텍처가 필요합니다. 아래 이미지에서 볼 수 있듯이 SASE는 다양한 네트워크 및 보안 기능을 통합합니다.

이 기능은 클라우드 호스팅 보안, 제로 트러스트 네트워크 액세스 원칙 및 네트워크 서비스의 세 가지 범주로 분류할 수 있습니다.

#1. 클라우드 기반 보안 구성 요소

보안이 네트워크 에지로 이동함에 따라 전통적으로 네트워크 경계에 배포된 보안 솔루션은 클라우드로 이전해야 합니다. SASE 아키텍처는 다음과 같은 핵심 보안 기능을 위한 클라우드 네이티브 옵션을 제공합니다.

• 서비스형 방화벽(FWaaS)에 추가합니다. 방화벽은 조직의 네트워크 보안 아키텍처의 기초입니다. SASE를 사용하면 방화벽을 클라우드 기반 서비스로 배포하여 네트워크 성능에 미치는 영향을 최소화하면서 보안을 제공할 수 있습니다.
• 보안 웹 게이트웨이(SWG)에 추가합니다. 현장 사용자와 원격 사용자 모두 웹 기반 위협으로부터 보호되어야 합니다. SWG는 기업 사이버 보안 정책을 시행하고 악성 인터넷 트래픽을 검사 및 필터링합니다.
• 클라우드 접근 보안 중개 서비스(CASB)에 추가합니다. CASB는 서비스형 소프트웨어(SaaS)) 보안 및 액세스 제어 솔루션입니다. 오피스365와 같은 클라우드 기반 애플리케이션에 대한 액세스를 모니터링하고 보호하는 데 도움이 됩니다.

#2. ZTNA 구성 요소

제로 트러스트 보안 정책은 네트워크에 대한 사용자의 권한과 액세스를 직무 역할에 필요한 최소한으로 제한하도록 설계되었습니다. 이렇게 하면 보안 사고의 가능성과 영향이 제한됩니다.

소프트웨어 정의 경계(SDP )라고도 하는 제로 트러스트 네트워크 액세스(ZTNA) 솔루션은 제로 트러스트 보안 모델을 적용합니다. 이 작업은 다음을 구현하여 수행됩니다.

• 강력한 인증: 제로 트러스트 아키텍처에서 액세스 및 권한은 조직 내 사용자의 역할과 디바이스 확인을 기반으로 합니다. ID 기반 보안에는 다중 인증(MFA) 및 장치 컴플라이언스 솔루션을 사용하여 보호되는 강력한 사용자 인증이 필요합니다.
• 권한 부여 및 액세스 제어: 사용자의 신원이 입증되면 ZTNA 솔루션은 향후 요청의 유효성을 결정해야 합니다. 이를 위해서는 요청을 RBAC(역할 기반 액세스 제어)와 비교하고 사례별로 액세스를 허용하거나 거부해야 합니다.
• 지속적인 세션 모니터링: 제로 트러스트 보안은 위험을 최소화하도록 설계되었으며, 이를 위해서는 지속적인 세션 모니터링이 필요합니다. 이러한 지속적인 모니터링을 통해 관찰된 동작에 따라 필요에 따라 위험 계산 및 신뢰 수준을 업데이트할 수 있습니다.

#3. 네트워크 서비스 구성 요소

SASE는 기업 WAN에 보안을 제공할 뿐만 아니라 분산된 조직의 네트워크 성능을 최적화하도록 설계되었습니다. 소프트웨어 정의 WAN(SD-WAN) 기능을 통합하고 모바일 및 임시 사용자를 보호함으로써 이를 달성합니다.

SD-WAN은 물리적 또는 클라우드에서 SD-WAN 어플라이언스의 네트워크로 배포됩니다. 기업 WAN을 통해 흐르는 모든 트래픽은 애플리케이션 및 비즈니스 의도에 따라 진입점에서 대상에 가장 가까운 SD-WAN 어플라이언스로 라우팅됩니다. SASE의 일부로 SD-WAN을 사용하면 다음과 같은 여러 가지 이점이 있습니다.

• 최적화된 경로 선택: 네트워크 중단, 대역폭 제한 및 정체는 모두 네트워크 대기 시간을 증가시킬 수 있습니다. SD-WAN은 성능 모니터링 및 지능형 경로 선택을 사용하여 네트워크 성능을 극대화합니다.
• 애플리케이션 기반 라우팅: 또한 원격 및 모바일 기업 사용자는 사무실에 없을 때 회사 리소스에 대한 보안 연결이 필요합니다. 또한 계약자는 관리되지 않는 디바이스에서 액세스해야 할 수 있습니다. Secure Remote Access 솔루션을 사용하면 클라이언트 및 클라이언트리스 디바이스 모두 SASE 네트워크에 안전하게 액세스할 수 있으며, SASE 네트워크에서 원하는 리소스에 안전하게 액세스할 수 있습니다.

SASE 아키텍처의 가치

기업 네트워크가 발전함에 따라 네트워크 및 보안 아키텍처도 함께 진화해야 합니다. SASE는 단일 솔루션에서 보안과 최적화된 네트워크 성능을 모두 제공하도록 설계되었습니다. SASE는 보안 및 네트워크 라우팅 기능을 네트워크 에지로 이전하여 높은 수준의 보안을 유지하면서 사용자 경험에 대한 보안의 영향을 최소화합니다.

Check Point’s Harmony SASE enables organizations to deploy network and security functionality that meets their needs. To learn more about how Harmony SASE works and see it in action, request a demo.