SASE란 무엇인가요? SASE 개념과 용도

목차

목차

목차

보기모두 보기

숨기기

SASE란 무엇인가요?

SASE(‘싸씨’라고 읽습니다)는 통합 광역 네트워크(WAN)와 서비스형 보안 엣지(SSE) 기술을 통합하여 단일 클라우드 서비스로 제공되는 클라우드 기반 네트워크 아키텍처입니다. 도대체 이게 무슨 말이냐고요? 쉽게 설명하자면, SASE의 기본 역할은 사용자가 위치나 디바이스에 관계없이 다양한 애플리케이션에 원활하게 액세스할 수 있도록 하는 동시에 내장된 보안 기술로 연결을 보호하는 것입니다.

SASE의 보안 기능에는 일반적으로 보안 웹 게이트웨이(SWG), 제로 트러스트 네트워크 액세스(ZTNA), 클라우드 액세스 보안 브로커(CASB), 서비스형 방화벽(FWaaS)이 포함됩니다.

네트워킹 기술의 새로운 카테고리를 대표하는 SASE 개념은 글로벌 리서치 및 컨설팅 회사인 Gartner에 의해 2019년에 도입되었습니다. SASE 기술의 주요 경쟁력은 네트워킹과 보안 도구가 모두 단일 플랫폼에서 제공된다는 점입니다. 이를 통해 사용자에 대한 네트워크 액세스를 간소화하고 필요한 아웃소싱 IT 서비스 및 지원 횟수를 줄여 시스템 및 애플리케이션 성능을 향상시킬 수 있습니다.

SASE의 목표는 무엇인가요?

SASE는 소프트웨어 정의 광역 네트워킹(SD-WAN) 기능을 제공하여 조직이 사용자와 위치의 네트워크 성능과 안정성을 개선할 수 있도록 지원합니다.

SASE는 어떻게 작동하나요?

SASE는 엣지를 사용자와 더 가깝게 만드는 방식으로 작동합니다. 네트워크의 맥락에서 엣지(edge)란 데이터 또는 트래픽이 시작되거나 사용되는 곳입니다. 일반적으로 네트워크 트래픽은 기업이 운영하는 특정 데이터 센터를 통해 라우팅됩니다.

하지만 SASE 모델은 전 세계에 분산된 여러 데이터 센터를 PoP(Point of Presence)라고 부릅니다. 전 세계에 여러 데이터 센터를 보유하면 사용자가 어디에 있든 필요한 애플리케이션과 리소스에 액세스할 수 있습니다. PoP는 사용자와 가장 가까운 위치에서 회사의 IT 정책을 구현하기 때문에 데이터 트래픽 처리 시 지연 시간이 짧고 리소스에 대한 원활한 액세스를 보장합니다. PoP를 사용함으로써 SASE는 지사, 원격 근무자, 모바일 사용자, 사물인터넷(IoT) 기기 등 모든 유형의 엣지를 지원할 수 있습니다.

보안 기술은 SASE의 클라우드 네트워크에 기본으로 제공되므로 사용자와 디바이스에 더 가까운 보안 엣지를 제공합니다. 제로-트러스트 아키텍처 덕분에 SASE의 클라우드 네트워크는 사용자 신원을 기반으로 리소스에 대한 액세스를 제공하고 실시간 연결 중에 위험을 지속적으로 평가합니다. 즉, 사용자의 행동, 위치 또는 연결에 사용된 IoT 디바이스가 의심스러운 경우, 시스템은 재인증을 요청하거나 리소스에 대한 사용자의 액세스를 제한할 수 있습니다.

SASE 사용 사례

SASE는 중앙 데이터 센터 기반 애플리케이션 제공 모델을 벗어난 모든 조직의 관리 시스템에 큰 도움이 됩니다. 현재 SASE의 도입을 촉진하는 몇 가지 구체적인 사용 사례를 설명하겠습니다.

1. VPN 서버 병목 현상 없이 원격 근무 환경 보안 유지.

VPN 서비스는 인프라가 필요하므로 확장 비용이 비교적 많이 들어갑니다. 또한 한 서버에 많은 사용자가 접속할 경우 속도가 느려지기도 하지요. 이와 대조적으로, SASE는 동적으로 확장 가능하므로 특히 원격 근무자와 진화하는 업무 환경 전반의 보안 요구 사항을 지원할 수 있습니다.

2. 하이브리드 클라우드 및 클라우드 마이그레이션.

하이브리드 클라우드는 퍼블릭 클라우드, 프라이빗 클라우드 및 온프레미스 인프라를 단일 컴퓨팅 환경으로 통합합니다. 따라서 상황 변화에 따라 워크로드가 인프라 사이를 비교적 자유롭게 이동할 수 있습니다. WAN 보안 솔루션은 이러한 워크로드 이동성을 지원하도록 설계되지 않은 반면, 기반 인프라 자체에서 보안 기능을 추상화하는 SASE는 트래픽이 어디로 이동하든 보안을 유지합니다.

3. 엣지 컴퓨팅 및 사물인터넷 디바이스에 활용.

엣지 컴퓨팅이란 중앙집중화된 데이터 센터에서 벗어나 애플리케이션과 컴퓨팅 리소스를 휴대폰, IoT 또는 운영 기술(OT) 장치 및 데이터 서버와 같은 데이터 소스에 가까운 위치로 가져가는 분산 컴퓨팅 모델입니다. 이러한 근접성 덕분에 애플리케이션 응답 시간이 빨라집니다. 이러한 속도는 특히 대량의 데이터를 실시간으로 처리하는 인공 지능(AI) 및 머신 러닝 애플리케이션에 유용합니다.

IoT 센서나 OT 장치는 많은 경우 장치에 내부적으로 보안 기능을 갖추고 있지 않습니다. 이러한 보안 취약점 때문에 해커의 주요 표적이 되어 공격자가 중요한 데이터 소스에 접근하기 위해 디바이스를 강탈하거나, 운영을 중단시키거나, DDoS 공격을 감행할 수 있습니다. SASE는 이러한 디바이스가 네트워크에 연결될 때 보안 정책을 적용할 수 있으며, 중앙 대시보드를 통해 연결된 모든 디바이스에 대한 관리 가시성을 제공합니다.

SASE 모델의 구성 요소

클라우드 서비스인 SASE는 여러 네트워크 및 보안 기능을 결합하여 기업의 리소스에 손쉽게 연결할 수 있도록 지원합니다. 하지만 IT 회사마다 구축한 SASE 모델은 기본 제공 구성 요소가 다를 수 있다는 점에 유의하세요. 다양한 SASE 버전에 기본으로 제공되는 가장 일반적인 기능을 살펴보겠습니다.

1. 소프트웨어 정의 광역 네트워크(SD-WAN)

SD-WAN은 물리적(언더레이) 네트워크에 구축된 가상(오버레이) 네트워크입니다. 인터넷 트래픽을 라우팅하고 IT 서비스를 데이터 센터 및 원격 지점과 연결하기 위한 최적의 경로를 결정합니다. SD-WAN의 아키텍처 덕분에 지연 시간을 최소화하면서 앱과 서비스를 시작하고 클라우드 연결성을 개선할 수 있습니다.

2. 보안 웹 게이트웨이(SWG)

SWG는 사용자가 시작한 인터넷 트래픽을 검사하고 악성 웹사이트와 멀웨어가 내부 네트워크에 침입하는 것을 방지하여 사이버 위협으로부터 직원과 기업을 보호하는 데 도움을 줍니다. 동시에 SWG는 무단 사용자 행동과 안전하지 않은 인터넷 트래픽을 차단하여 회사의 보안 정책을 시행합니다.

3. 클라우드 액세스 보안 브로커(CASB)

CASB는 기업이 클라우드 서비스를 도입한 후에도 회사의 보안과 규정 준수가 손상되지 않고 그대로 유지되도록 하기 위해 사용하는 도구입니다. 이러한 목적을 달성하기 위해 CASB는 멀웨어 감염, 데이터 유출, 섀도 IT의 침입을 탐지하고 방지합니다.

4. 서비스형 방화벽(FWaaS)

FWaaS는 온프레미스 하드웨어 방화벽을 대체하거나 다른 보안 계층을 추가할 수 있는 클라우드 기반 방화벽입니다. FWaaS는 클라우드 환경으로 이동하는 네트워크 트래픽을 보호합니다. 물리적 방화벽과 마찬가지로 FWaaS는 URL을 필터링하고 IPS(침입 방지 시스템)를 사용하여 네트워크에 대한 액세스를 제어하고 DNS(도메인 이름 시스템)를 보호합니다.

5. 제로 트러스트 네트워크 액세스(ZTNA)

ZTNA는 내부 리소스를 외부 네트워크와 분리하고 무단 액세스를 차단하는 기능입니다. 제로 트러스트 모델을 기반으로 구축된 이 기능은 네트워크 내부에서 액세스 요청이 오더라도 네트워크에서 회사의 리소스에 액세스하려는 모든 사람과 디바이스에 대해 인증을 요구합니다. ZTNA를 사용하면 원격 사용자는 네트워크에 배치되지 않고도 필요한 리소스에 연결할 수 있으므로 잠재적인 위협으로부터 더 넓은 네트워크에 액세스할 수 없습니다.

6. 중앙 집중식 관리

SASE는 위에서 언급한 네트워킹 및 보안 기능을 하나의 통합 클라우드 플랫폼으로 통합하여 조직이 리소스 관리 및 정책을 간소화할 수 있도록 지원합니다. 이러한 접근 방식을 통해 기업은 네트워크에 대한 가시성을 높이고 다양한 문제를 보다 직접적인 방식으로 해결할 수 있습니다.

SASE의 중요성

네트워크는 원격 엔드포인트를 연결하고 원활한 워크플로를 실행할 수 있을 만큼 충분히 발전했지만 보안 및 네트워크 트래픽 모니터링 도구는 여전히 클라우드 기반 네트워킹의 새로운 모델에 적응해야 합니다. SASE가 획기적인 도구인 이유는 사용자나 데이터 소스가 원격에 있는 경우에도 보안 서비스를 사용자 및 사용자가 액세스하는 데이터에 더 가까이 제공할 수 있기 때문입니다. SASE를 사용하면 모든 네트워크 엔드포인트가 온프레미스 인프라의 일부인 것처럼 동일한 방식으로 보호되고 관리됩니다. 이는 조직이 클라우드 기반 업무 환경으로 전환하여 경쟁력을 잃지 않도록 도와주는 중요한 개선 사항입니다.

SASE는 클라우드 서비스를 사용하여 안전한 네트워크 엣지를 구축함으로써 기업이 내부 네트워크와 해외 지점을 효율적이고 비용 효율적으로 확장할 수 있도록 지원합니다. 이렇게 하면 온프레미스 및 원격 근무자 모두에게 원활한 워크플로우가 보장됩니다.

SASE의 주요 이점

SASE의 주요 경쟁 우위는 클라우드 네트워크의 동일한 보안 및 네트워킹 프레임 내에서 모든 엔드포인트를 관리할 수 있다는 점입니다. 많은 업계에서 애플리케이션과 데이터를 클라우드에서 호스팅하는 방향으로 꾸준히 이동하고 있기 때문에 중앙 집중식 데이터 센터는 그 매력과 효용성을 잃고 있습니다.

네트워크와 보안 기능을 결합한 도구로서 SASE가 가져올 수 있는 이점을 살펴보세요.

• 복잡성 감소 및 중앙 집중화 강화 – SASE는 보안 및 네트워킹 서비스를 하나의 클라우드 네이티브 플랫폼으로 통합하여 물리적 데이터 센터에 의존하는 기업에서 일반적으로 활용해야 하는 개별 IT 솔루션의 수를 줄여줍니다.
• 사용자를 위한 원활한 액세스 – 기업은 SASE를 사용하여 직원들이 회사 구내에서 근무하든 원격으로 근무하든 관계없이 회사 리소스에 안전하게 액세스할 수 있도록 보장할 수 있습니다.
• 안전한 원격 액세스 – 보안 서비스는 SASE의 아키텍처에서 중요한 역할을 하며, 여러 보안 도구를 사용자에게 더 가깝게 제공합니다. SWG, CASB, FWaaS와 같은 솔루션은 PoP를 통해 실행되는 네트워크를 효율적으로 보호합니다.
• 제로 트러스트 아키텍처 – SASE는 사용자가 회사 네트워크 내부에서 회사의 리소스에 접속하려고 할 때에도 사용자의 신원을 확인합니다. 제로 트러스트 보안 모델은 사용자의 위치, 연결 시도 시간, 회사의 보안 정책과 같은 요소를 고려합니다.
• 확장성 및 유연성 – SASE를 사용하면 기업의 성장에 따라 네트워크 및 보안에 대한 요구 사항을 늘릴 수 있습니다. SASE는 클라우드에서 실행되므로 네트워크 인프라는 보안이나 성능 저하 없이 변화하는 수요에 쉽게 대응할 수 있습니다.

SASE는 VPN을 대체할 수 있을까?

SASE는 원격 액세스 및 네트워크 보안에 대한 보다 현대적이고 포괄적인 접근 방식을 제공하지만, 모든 경우에서 VPN을 완전히 대체하지는 않습니다. 따라서 네트워크 액세스에 대한 보다 세분화된 제어가 필요하거나 특정 규정 준수 요구 사항이 있는 조직에서는 여전히 VPN이 더 좋은 옵션일 수 있습니다.

SASE가 SD-WAN보다 낫다고 볼 수 있을까?

SASE 자체가 SD-WAN(software-defined wide area networking) 및 SSE(secure service edge)라는 두 가지 핵심 기술을 결합 또는 통합한 것입니다. 따라서 SD-WAN에 없는 기능을 보완한 것이기 때문에 더 발전된 형태의 모델이라고 볼 수 있습니다. SD-WAN은 트래픽 기능을 케이스별로 한 번에 하나씩 처리하는 반면, SASE는 트래픽을 전반적으로 검사하고 전체적인 솔루션을 제공합니다. SD-WAN의 보안 기능은 부차적인 기능인 반면, SASE는 보안 중심의 접근 방식과 네트워크 최적화를 결합합니다.

SASE의 한계

SASE는 기업에서 사용하기에 상당히 최근에 개발된 구조로, 실제 구현에 장애가 될 수 있습니다. SASE의 주요 목적은 네트워킹 서비스와 함께 최상위 수준의 보안을 제공하는 것입니다. 그러나 현재 SASE를 개발하는 제공업체는 네트워킹 또는 보안 분야 출신으로 해당 분야에 대한 전문성이 부족할 수 있습니다. 따라서 일부 기능은 잠재력을 최대한 발휘하지 못하거나 효율성이 부족할 수 있습니다.

SASE는 보안 네트워크 운영의 복잡성을 줄일 수 있지만, 그 자체로 개발하기에는 복잡한 아키텍처입니다. SASE는 아직 개발 초기 단계이므로 제공업체가 기능을 원활하게 통합하지 못하여 서로 관련이 없는 서비스 클러스터로 작동하지 않을 수 있습니다.

또한 SASE 서비스를 제공하는 제공업체는 클라우드 에지를 통해 멀리 떨어진 엔드포인트를 연결할 수 있도록 광범위한 글로벌 네트워크를 보유해야 합니다. 그러나 제공업체가 네트워크를 확장하지 못하면 가장 가까운 팝에서 멀리 떨어진 위치에서 SASE의 성능이 고르지 않고 느려질 수 있습니다.

SASE와 SSE 비교

SASE는 보안과 네트워킹 서비스를 통합하는 클라우드 아키텍처인 반면, 보안 서비스 에지(SSE)는 네트워크 보안 기능에만 초점을 맞춘 아키텍처의 일부로 FWAAS, SWG, ZTNA, CASB가 있습니다. SSE는 사이버 위협으로부터 SASE의 네트워크를 보호하고, 필요한 사용자 인증 절차를 적용하며, 리소스에 액세스할 때 회사 정책을 시행하기 위해 만들어졌습니다.

결론

이 글에서 SASE 개념과 활용 사례 및 한계점 등을 살펴보았습니다. 현대 비즈니스 환경에서 워크로드가 물리적 데이터 센터에서 클라우드 서비스로 이동함에 따라 기업 네트워크가 아닌 클라우드에 민감한 데이터를 보관하는 기업이 늘고 있습니다. SD-WAN과 다양한 보안 기능을 동일한 플랫폼에 통합한 SASE를 통해 기업은 물리적 위치에 관계없이 직원들이 리소스에 안전하고 원활하게 액세스할 수 있도록 지원할 수 있습니다. 또한 SASE를 사용하면 조직은 내부 리소스와 이에 대한 액세스를 더 효과적으로 제어할 수 있습니다. 또한 클라우드 기반 네트워크는 비즈니스의 원활한 확장이 가능하므로 성능이나 보안에 대한 위험 없이 수요를 늘릴 수 있습니다.