기존 네트워크 보안 방식의 한계
방화벽 기반의 단순 트래픽 차단과 인터넷 통신은 장비 성능을 낮출 뿐만 아니라 대역폭을 낭비하며 정책 적용이 확일적일 수 밖에 없다.
보안 정책이 일관적이지 않아 복잡하고 위협으로부터 정보자산을 보호하기 어렵다.
기존의 VPN은 내부로의 접속 경로만 제공할 뿐 사용자 기반의 높은 수준의 보안정책이나 클라우드 환경에는 대응하지 못함.
현대에 어디에서나 쉽게 접근할 수 있는 애플리케이션, 개인정보에 새로운 보안 정책과 접근제어가 필요함
SASE란?
(Secure Access Service Edge) -> ("sassy"라고 발음됨)
=> SD-WAN + SSE (Security Service Edge) = SWG + CASB + ZTNA/VPN + FWaaS + etc.
네트워킹과 보안을 하나의 클라우드 플랫폼과 하나의 제어판으로 통합하여 모든 사용자, 모든 앱에서 일관된 가시성/제어/경험을 제공.
기존 On-Prem 기반의 모델은 여러 서비스와 데이터를 호스팅 할 때 중앙 데이터 센터를 통해서 모든 트래픽이 다시 라우팅되는 것이 힘드므로, 네트워크 제어를 기업 데이터 센터가 아닌 Cloud Edge에 배치하는 SASE 모델이 필요했다.
Gartner에 처음 소개 됨. SASE는 크게 SD-WAN과 SSE라는 두 가지 주요 세그먼트로 구성되어있다.
SSE란?
(Security Service Edge)
웹, 클라우드 서비스 및 개인 애플리케이션에 대한 엑세스를 보호하고, 액세스 제어, 위협 보호, 데이터 보안, 보안 모니터링, 네트워크 기반 및 API 기반 통합을 통해 수행되는 허용 가능한 사용 제어 등의 기능을 함. SSE는 주로 클라우드 기반 서비스로 제공되며 사내 또는 에이전트 기반 구성 요소를 포함.
SSE 서비스에는 아래의 기술들이 포함됨
CASB (Cloud Access Security Broker)
기업에게 민감한 자산을 클라우드로 이전할 때 사용자와 클라우드 서비스 제공업체 사이의 중개자 역할을 함. 데이터 가시성과 기존 온프레미스 환경에서 보안 정책을 확장하여 특정 콘텐츠에 대한 새로운 정책을 생성하는데 도움을 줌.
또한 SaaS 애플리케이션을 스캔하는 API 기반 보안 프로세스 역할을 함.
SWG (Secure Web Gateway)
웹 기반의 위협으로부터 승인되지 않은 트래픽을 필터링하여 차단함
ZTNA (Zero Trust Network Access)
모든 장치에서 클라우드와 기업 IDC에서 호스팅되는 프라이빗 애플리케이션에 안전한 제로트러스트 엑세스를 제공하기 위해 적응형, 상황인식 정책을 시행.
DLP (Data Loss Prevention)
컨텐츠 기반 민감 데이터 보호 솔루션
RBI (Remote Browser Isloation)
격리된 클라우드 환경에서의 웹에 숨어있을 수 있는 멀웨어나 악성코드로부터 보호함
서비스형 방화벽 (FWaaS)
클라우드기반 차세대방화벽 솔루션 (NGFW)
SD-WAN이란?
(Software_Defined Wide-Area Network)
쉽게 말해 Application별 최적경로를 제공하는 서비스다.
Edge란 내부망(LAN)과 외부망(MPLS, Internet, Cloud)을 연결해주는 역할을 하는 WAN Router 디바이스를 뜻함. 즉 외부로 나가는 네트워크의 말단에 위치한 라우터다.
기존의 라우터 구조는 Control Plane과 Data Plane을 함께 가지고 있다.
Control Plane (제어부) : 패킷 경로 설정, 관리 및 제어 (Routing 기능)
Data Plane (전송부) : 패킷 송수신 (Forwarding 기능)
이처럼 하나의 라우터 안에서 패킷 처리와 오버헤드가 큰 라우팅 테이블 처리까지 모두 하기에는 많은 자원이 소모된다.
그래서 이를 따로 분리하여 하나만 담당하게 하여 리소르를 효율적으로 관리할 수 있게 하는 기술이 SDN(Software-defined network)이다.
기존과는 다르게 두 Plane을 분리하여 각각의 기능을 담당하게 해 성능이 높아졌다. 별도 서버로 분리된 제어부에서는 경로 계산을 모두 담당하며, 다른 라우터들과 장비들은 데이터 전송 기능에만 집중하게 된다. 그래서 인프라 비용측면으로 봤을 때 각 장비들의 스펙들이 각 기능에 최적화되기 때문에 효율적이다.
제어부에 있는 SDN Controller가 핵심인데, 여러 네트워크 장비와 통신할 수 있도록 API를 제공 및 추가할 수 있다. 또 여러 기능의 애플리케이션을 개발하고 다른 운영 도구와도 통신할 수 있게 API가 갖춰지기 때문에 확작성도 크기 때문에 하나의 네트워크를 여러 서비스에 동시에 각각의 서비스 전용으로 제공할 수 있게 된다.
SASE 플랫폼을 통한 VPN 통신으로 더 많은 보안 기능들을 사용할 수 있으며, 에지 라우터들이 최적화되어 기존의 VPN보다 Latency가 줄어들게 된다.
Reference
Netmanias
https://wakaranaiyo.tistory.com/334
https://www.zenarmor.com/docs/network-security-tutorials/sase-vs-vpn
https://velog.io/@seyeop03/Chapter-9-%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC-%EA%B3%84%EC%B8%B5
'네트워크,클라우드' 카테고리의 다른 글
| ISMS 인증기준 AWS 클라우드 보안관리 아키텍처 (0) | 2024.11.18 |
|---|---|
| Snort & PCRE (1) | 2024.10.13 |
| AWS Compute & Container & Severless & Storage (2) | 2024.10.13 |
| IXIA 계측기 활용법 (CC/CPS/Throughput) (1) | 2024.05.14 |
| DHCP 기본 동작 과정과 Proxy Agent (0) | 2024.05.14 |
IT/보안
