전기전자/정보통신

Nikkei Network_2022.12 특집 요약 (p20-31)

클라우드 시대의 시큐리티 기반
‘SASE'를 해설한다

클라우드 활용이나 텔레워크 증가를 배경으로 'SASE(Secure Access Service Edge)'라는 서비스에 주목하는 기업이 늘고 있다. 보안 및 네트워크에 관련된 복수의 기능을 통합한 서비스다. SASE는 어떤 서비스일까? 주요 기능의 동작 구조, 유저 측의 구현 방법 등을 알기 쉽게 해설한다.

Part 1. 요구하는 역할
거점이나 단말기를 종합적으로 보호하는 '제로 트러스트'에서도 활약

‘SASE’에 대한 관심이 높아지고 있다. 하지만 SASE의 개념은 광범위하기 때문에 알기 어렵다. SASE의 정의는 ‘이용 기업에서 인터넷의 입구가 되는 ‘엣지’에서 동작하며, 다양한 기술을 조합해 안전한 통신을 실현하는 아키텍처나 서비스’이다. 미국의 글로벌 IT 리서치 기업인 가트너가 19년에 제창했다.

-- 텔레워크 환경이 중요 과제로 --
가트너 재팬의 조사에 따르면, 22년 4월 시점에서 약 30%의 일본 기업이 어떤 형태로든 SASE를 이용하고 있다고 응답했다. 가트너 리서치&어드바이저리부문의 이케다(池田) 부사장은 “클라우드 서비스의 보급 등으로 기업의 네트워크 환경이 변화하면서 새로운 구조가 필요하게 되었다”라고 말한다.

기업 네트워크 환경의 변화는 주로 두 가지다. 하나는 텔레워크의 급증이다. 첫 계기는 2020년 이후의 코로나19 사태다. 종업원의 출근이 제한되면서 많은 기업이 급히 텔레워크 환경을 정비해야 했다.

급조된 텔레워크 환경에서는 문제가 속출했다. 종업원이 VPN(Virtual Private Network)을 경유해 일제히 액세스하기 때문에 거점 측의 VPN 장치가 정체되는 ‘VPN 정체’가 발생. 텔레워크 환경을 재검토해야 한다는 분위기가 조성되었다.

또한 최근에는 출근과 재택근무를 결합한 ‘하이브리드 근무’를 도입하는 기업이 늘고 있다. 장소에 상관없이 온프레미스(On-premise)나 클라우드 서비스 상의 업무 시스템에 안전하게 접속할 수 있는 환경을 요구하게 되었다.

-- 클라우드의 데이터도 보호가 필요 --
두 번째 변화는 클라우드 서비스의 이용 상황을 파악하는 요구가 증가했다는 것이다. 중요한 업무 시스템을 클라우드 서비스를 사용해 가동시키거나 기밀 데이터를 클라우드 서비스에 보관하는 경우가 많아졌다. “기밀 데이터가 유출되지 않았는지 등을 파악하기 위해 클라우드 서비스와의 통신을 가시화하려는 기업이 증가하고 있다”(IIJ글로벌솔루션즈 비즈니스개발본부 추마(中馬) 부장).

이러한 환경 변화에 대응하기 위한 종합적인 보안을 실현하는 서비스가 SASE인 셈이다. 따라서 SASE에는 광범위한 역할이 요구된다.

구체적으로는 재택근무 사원이 업무 시스템에 안전하게 접속할 수 있는 환경 구축이나 외부의 사이버 공격 차단, 위험한 웹사이트에 대한 접속 차단 등의 기능이 필요하다. 최적의 통신 경로를 설정하거나 자사의 업무 시스템을 거래처도 사용할 수 있도록 하는 기능도 요구된다.

-- 다양한 기술을 조합해서 실현 --
SASE는 이러한 역할을 실현하기 위해 보안이나 네트워크의 다양한 기술을 활용한다. 가트너가 예시한 기술을 살펴보자.

보안 분야에서는 수상한 웹사이트에 대한 접속이나 위험한 파일의 다운로드를 방지하는 SWG(Secure Web Gateway), 클라우드 서비스의 이용 상황을 가시화하는 CASB(Cloud Access Security Broker), 이용자나 단말의 상태를 매번 확인해 액세스를 제어하는 ZTNA(Zero Trust Network Access) 등을 들 수 있다.

이 외에 애플리케이션층의 통신을 해석해 패킷 필터링보다 상세하게 제어하는 방화벽인 NGFW(Next Generation FireWall)나, 웹 열람 시의 안전성을 높이는 리모트 브라우저 분리 등도 SASE의 일부가 된다.

한편, 네트워크 분야 기술에서는 WAN의 구성을 동적으로 변경하는 SD-WAN(Software Defined-WAN)이나 웹 액세스를 고속화하는 CDN(Content Delivery Network), WAN에 의한 통신 전송 효율을 높이는 WAN 최적화(WAN 경유의 데이터 전송의 처리량이나 효율을 높이는 기법의 총칭) 등의 기술을 예로 든다.

다만 벤더 업체들이 'SASE'라고 명명해 제공하는 서비스는 가트너가 예시한 기술을 모두 갖추고 있는 것은 아니다. SWG와 CASB, ZTNA 등 보안 기능에 특화된 서비스도 'SASE'라고 부르는 경우가 있다.

이러한 실태를 바탕으로 가트너는 SWG와 CAB, ZTNA에 특화된 보안 클라우드 서비스를 'SSE(Security Service Edge)'라고 21년에 명명했다. ‘SASE를 구성하는 핵심 기술’이라는 평가를 받고 있다.

-- '제로 트러스트'의 일부를 담당 --
앞에서 말한 바와 같이 SASE는 ZTNA를 포함한다. 이 때문에 ‘모든 통신을 신뢰할 수 없는’ 것으로 보고 항상 액세스를 정밀 조사해 적절히 인증하는 개념인 ‘제로 트러스트 시큐리티’의 일부를 담당하는 시스템으로 주목하는 기업도 있다.

제로 트러스트의 개념을 실현하기 위해서는 크게 4가지 요소가 요구된다. ‘인증/인가’ ‘네트워크 시큐리티’ ‘로그 수집/분석’ ‘엔드 포인트 시큐리티’이다. SASE는 네트워크 시큐리티 기능을 담당하며, 다른 요소 기술과 연계해 시큐리티를 보호한다.

예를 들면 인증/인가 기능을 담당하는 IDaaS(IDentity as a Service)와 연계해 IDaaS가 설정한 액세스 제어 룰에 따라 SASE 측에서 이용자의 단말 통신을 제어한다.

마찬가지로 단말기에 내장한 EDR(Endpoint Detection and Response)이나 로그를 집약/분석하는 SIEM(Security Information and Event Management)과도 연계한다. EDR이나 SIEM이 위험한 통신을 검출했을 때, 그러한 정보를 바탕으로 SASE가 통신을 자동적으로 차단할 수 있게 된다.

Part 2. 3개의 중핵 기술의 동작
위험한 사이트나 멀웨어를 차단, 상태에 따라 동적으로 제어

SASE를 구성하는 다양한 기술 중 핵심은 SWG, CASB, ZTNA이다. 세 가지 기술의 역할과 동작을 살펴보자.

Part 3. 도입 시의 과제
특기 분야가 유형에 따라 다르다, 액세스 제어 설정에 주의

통합형 서비스인 SASE에는 다양한 벤더가 참여하고 있다. SWG와 CASB 등 보안 클라우드 서비스를 제공하는 사업자 외에 네트워크 기기와 CDN이 주력인 벤더도 있다.

 -- 끝 --

Copyright © 2020 [Nikkei Network] / Nikkei Business Publications, Inc. All rights reserved.