2022년 6월 1일
마이클 슈나이더 - 제품 관리 부문 선임 관리자, Skyhigh Security
"기능도 좋지만 결국 웹 및 클라우드 보안에 있어서 우리가 신경 쓰는 것은 아키텍처입니다." - 라고 말한 고객은 없었습니다.
사실 최신의 최고의 사이버 보안 기술을 구매할 때 아키텍처에 대해 이야기하는 것을 좋아하는 사람은 아무도 없으며, 대부분의 조직은 기존의 기존 아키텍처에 새로운 보안 도구와 기능을 계속 적용하는 데 만족해 왔습니다. 하지만 클라우드 마이그레이션과 유비쿼터스 모바일 액세스를 포함한 디지털 혁신 프로젝트에서 아키텍처의 균열이 드러났고, 최근 몇 달 동안 원격 액세스 수요가 폭발적으로 증가하면서 많은 기업이 댐이 터지는 것을 목격했습니다. 그 결과, 기업들은 디지털 혁신을 위해서는 그에 상응하는 네트워크 및 보안 아키텍처의 혁신이 필요하다는 사실을 깨닫고 있습니다.
보안 액세스 서비스 에지(SASE) 프레임워크는 네트워크와 보안 기술을 하나의 클라우드 제공 서비스로 통합하여 웹 및 클라우드 리소스에 대한 빠르고 안전하며 안정적이고 비용 효율적인 액세스를 보장함으로써 조직이 이러한 혁신을 달성할 수 있는 모델을 제공합니다. 이 블로그에서는 원격 사무실과 디지털 혁신을 위해 Skyhigh SSE가 지원하는 SD-WAN과 차세대 Secure Web Gateway 기능의 조합에 대해 집중적으로 설명합니다.
클라우드와 아키텍처 딜레마
과거에는 조직이 대부분 제한된 수의 위치에 집중되어 있었습니다. 애플리케이션과 데이터는 일반적으로 본사 또는 본사 근처에 있는 근거리 통신망의 중앙 데이터 센터 서버에서 호스팅되었습니다. 사용자는 일반적으로 사무실에서 근무했기 때문에 사무실에서도 동일한 네트워크에 있는 회사 리소스에 액세스했습니다. 이 네트워크를 둘러싸고 있는 보안 제어 경계를 통해 조직에 들어오고 나가는 모든 트래픽을 검사하여 신뢰할 수 있는 리소스는 안전하게 보호하고 악의적인 공격자는 차단할 수 있었습니다. 원격 사용자와 지사는 VPN, MPLS, 임대 회선과 같은 기술을 통해 이 중앙 네트워크에 논리적으로 연결되었기 때문에 안전한 네트워크 경계를 유지할 수 있었습니다.
이러한 접근 방식은 수년 동안 충분했지만 디지털 혁신으로 인해 큰 문제가 발생했습니다. 애플리케이션과 데이터 스토리지가 클라우드로 마이그레이션되어 더 이상 기업 네트워크에 상주하지 않게 되었습니다. 논리에 따르면 원격 사용자와 사무실이 기업 네트워크를 거치지 않고도 클라우드 리소스에 직접 액세스할 수 있는 것이 최적의 접근 방식입니다. 하지만 이렇게 하면 조직의 IT 보안 경계가 완전히 우회되어 보안 가시성 및 제어가 손실되고, 이는 용납할 수 없는 보안 및 규정 준수 위험으로 이어집니다.
모든 네트워크 및 보안 아키텍트는 큰 타협 없이 디지털 혁신을 실현하는 가장 좋은 방법은 무엇인가라는 동일한 딜레마에 직면해 있습니다. 조직은 일반적으로 새로운 기술을 수용하고 이를 통합하려는 의지에 따라 다음 네 가지 아키텍처 접근 방식 중 하나를 따릅니다.
여기에서는 이 네 가지 옵션에 대해 논의하고 보안, 속도, 지연 시간, 비용의 네 가지 요소를 기준으로 평가해 보겠습니다. 그 결과 웹 및 클라우드 리소스에 빠르고 안전하며 비용 효율적으로 액세스할 수 있는 방법은 단 하나뿐이라는 것을 알게 될 것입니다.
접근 방식 1: 현상 유지
보안 가시성과 제어를 잃을 수 있는 위험 때문에 많은 조직에서 '클라우드 직접 연결' 리설계는 허용하지 않고 있습니다. 따라서 고속 인터넷 링크를 통해 사용자를 클라우드 및 웹 리소스에 직접 연결할 수 있더라도 이 방식에서는 모든 트래픽이 느린 MPLS 링크를 통해 기업 네트워크로 다시 푸시된 다음 다시 하나의 통합된 인터넷 파이프를 통해 웹 및 클라우드 리소스에 액세스해야 합니다. 이론적으로는 보안 가시성과 제어를 유지할 수 있지만 막대한 비용이 발생합니다.
우선, 성능 저하로 인해 사용자 경험이 크게 저하됩니다. 혼잡한 회사 인터넷 연결뿐만 아니라 회사 사무실로 연결되는 느린 MPLS 링크로 인해 대역폭이 저하됩니다. 또한 추가 네트워크 홉과 네트워크 경합 증가로 인해 지연 시간이 길어지는데, 이는 최근 몇 달 동안 기업 네트워크를 통한 원격 트래픽 백홀링의 양이 원래의 설계 예상을 훨씬 뛰어넘어 폭발적으로 증가함에 따라 크게 증폭되었습니다. 이러한 요소는 네트워크 아키텍처에 단일 장애 지점을 도입함으로써 발생할 수 있는 서비스 중단의 잠재적 영향은 고려하지 않은 수치입니다.
이 방식은 성능 저하뿐만 아니라 재정적 비용도 눈에 띄게 높습니다. 지사와 기업 데이터 센터를 연결하는 여러 MPLS 회선은 공용 인터넷 연결보다 훨씬 더 비쌉니다. 또한 모든 사용자 트래픽의 라우팅을 수용하기 위해 조직은 중앙 네트워크 및 보안 경계 인프라 용량과 공유 인터넷 파이프의 대역폭에 대한 투자를 대폭 늘려야 합니다.
따라서 속도, 지연 시간, 비용 문제에 대한 장기적인 해답을 찾아야 합니다. 이러한 고려 사항으로 인해 많은 네트워크 설계자가 SD-WAN 구축을 진행하게 되었습니다.
접근 방식 2a: SD-WAN으로 클라우드에 직접 연결하기
클라우드 지원 아키텍처를 제공하는 첫 번째 단계는 모든 트래픽이 느린 MPLS 회선을 통해 중앙 네트워크로 라우팅된 후 다시 클라우드로 빠져나가도록 함으로써 발생하는 병목 현상을 제거하는 것입니다. SD-WAN 기술이 이러한 측면에서 도움이 될 수 있습니다. 지사 네트워크의 엣지에 SD-WAN 장비를 배포하면 빠르고 경제적인 인터넷 연결을 사용하여 트래픽을 웹 및 클라우드 리소스로 직접 라우팅하는 동시에 동일한 인터넷 연결을 사용하여 데이터 센터로 향하는 트래픽만 동적 VPN 터널을 통해 기업 네트워크로 직접 다시 전송하는 최적화된 트래픽 정책을 만들 수 있습니다. WAN 최적화 및 QoS는 물론 네트워크 에지에서 수행하기에 더 적합한 방화벽 필터링과 같은 다양한 기타 에지 네트워크 및 보안 기능을 통해 중앙 네트워크의 트래픽 부담을 최소화하면서 가장 빠르고 안정적인 사용자 경험을 제공합니다.
네트워크 설계자는 SD-WAN을 사용하면 기업 데이터 센터로 다시 연결되는 고가의 MPLS 링크를 제거하여 상당한 비용 절감 효과를 얻을 수 있습니다. 또한 사용자는 훨씬 느린 MPLS 회선의 대역폭에 제약을 받지 않습니다.
하지만 이 모델에는 큰 단점이 있습니다. SD-WAN 솔루션은 방화벽, DNS 보호, 데이터 난독화 등 각 원격 사이트에 배포할 수 있는 여러 가지 강력한 흐름 제어 기능을 제공하지만, 기업이 네트워크 경계 보안에 구축한 것과 같은 강력한 데이터 및 위협 보호 기능은 제공하지 않습니다. 따라서 설계자는 인터넷을 통한 모든 트래픽을 데이터 센터로 백홀해야 하며, 이는 궁극적으로 트래픽이 인터넷으로 바로 다시 나가야 하는 경우에도 마찬가지입니다! 따라서 이 연결의 속도와 비용 효율성은 이전 모델에 비해 크게 개선되었지만 트래픽을 계속 백홀해야 하기 때문에 지연과 혼잡 문제는 동일하게 발생합니다.
접근 2b: 스카이하이 Security Service Edge
따라서 조직이 보안 가시성과 제어를 유지하기 위해 트래픽 경로를 기업 데이터 센터로 다시 연결해야 하지만 사용자가 액세스하는 대부분의 리소스가 클라우드에 있는 경우, 클라우드에 보안 제어를 보다 직접적이고 안전한 트래픽 경로에 배치하는 것이 합리적이지 않을까요? 스카이하이 Security Service Edge.
Skyhigh Security의 차세대 보안 엣지( Secure Web Gateway )는 클라우드 네이티브의 99.999%의 안정성을 갖춘 초고속, 초규모 보안 엣지를 제공합니다. SWG, CASB, DLP, Remote Browser Isolation 기술을 융합한 Skyhigh SSE는 원격 사용자와 사무실이 가장 정교한 수준의 위협, 데이터, 클라우드 애플리케이션 보호는 물론 기존 온프레미스 보안 프레임워크에서 가능한 것을 뛰어넘는 고유한 사전 예방적 위험 관리 기능을 누릴 수 있도록 합니다.
고급 보안 기능 못지않게 중요한 것은 Skyhigh SSE가 빠르고 안정적이며 확장 가능한 기반 위에 구축되었다는 사실입니다. 글로벌 POP(Point of Presence) 네트워크와 고유한 피어링 관계 덕분에 Skyhigh SSE는 사용자가 필요로 하는 곳이면 어디든 대규모 보안 엣지를 확장할 수 있습니다. 2020년 봄에 트래픽이 240% 급증했음에도 불구하고 Skyhigh Security 은 99.999%의 가용성을 유지할 수 있었으며, SLA에 명시된 모든 지연 시간 요건을 충족했습니다. 조직은 가장 힘든 시기에도 Atlassian 인프라를 믿고 의지할 수 있으며 앞으로도 계속 그럴 수 있습니다.
지사 사이트에서 저렴한 공용 인터넷 연결에 가입하고 Skyhigh SSE에 연결하면 고객은 원하는 많은 혜택을 누릴 수 있습니다. 포괄적인 데이터, 위협, 클라우드 애플리케이션 보호 기능은 보안 요구 사항을 충족하는 것 이상입니다. 또한 웹 또는 클라우드로 향하는 대부분의 사용자 트래픽에 대해 인터넷 직접 연결을 통해 지연 시간이 짧은 빠른 액세스를 보장합니다.
그러나 Skyhigh SSE와 함께 SD-WAN을 구축하지 않으면 조직은 기존 데이터센터 애플리케이션 및 리소스에 대한 연결을 유지하기 위해 여전히 느리고 비싼 MPLS 링크를 사용해야 합니다. 따라서 고객은 비용 절감 효과를 실현할 수 없으며 데이터센터 리소스에 대한 연결 속도와 지연 시간 문제도 동일하게 겪게 됩니다. 바로 이 지점에서 마침내 이상적인 클라우드 보안 아키텍처에 도달하여 Skyhigh SSE와 SD-WAN을 결합했습니다.
접근 방식 3: Skyhigh Security SSE + SD-WAN = SASE
Skyhigh SSE와 SD-WAN을 완벽하게 통합된 솔루션으로 결합함으로써 조직은 SASE를 제공하고 클라우드 시대에 적합한 네트워크 보안 아키텍처를 구축할 수 있습니다. Skyhigh Security 고객은 업계 표준인 동적 IPSec 및 GRE 프로토콜을 활용하여 SD-WAN 연결에 대한 강력한 기본 지원을 통해 거의 모든 SD-WAN 솔루션과 Skyhigh SSE를 쉽게 융합할 수 있습니다. 이러한 통합을 통해 고객은 SD-WAN이 통합 네트워킹 기능을 제공하고 SSE가 보안 기능을 제공하는 등 모든 범위의 필수 SASE 기능을 활용할 수 있습니다. Skyhigh Security 는 채널 파트너가 시장의 주요 SD-WAN 공급업체와 공동 SD-WAN 클라우드 SWG 프로젝트를 성공적으로 제공하도록 지원하고 통합 파트너 프로그램을 통해 업계 리더들과 긴밀한 제휴를 구축해 왔습니다.
그렇다면 UCE-SD-WAN 결합 솔루션은 어떻게 네 가지 아키텍처 요구 사항을 충족할 수 있을까요? 보안은 Skyhigh Security의 위협, 데이터, 클라우드 애플리케이션 보호 기능과 SD-WAN이 제공하는 분산 방화벽 기능으로 명확하게 해결됩니다. SD-WAN은 단일 고속 인터넷 연결을 사용하여 트래픽을 클라우드 리소스로 직접 또는 기업 데이터 센터로 지능적이고 효율적으로 라우팅할 수 있습니다. 클라우드에서 직접 보안을 제공하는 Skyhigh SSE를 통해 SD-WAN은 과도한 지연 시간 없이 웹 및 클라우드 바운드 트래픽을 직접 전달할 수 있습니다. 값비싼 MPLS 회선을 제거하여 비용을 절감할 수 있으며, 대부분의 트래픽이 더 이상 기업 데이터센터를 통해 백홀될 필요가 없으므로 중앙 네트워크 대역폭과 인프라 용량을 줄여 추가적인 비용 절감을 달성할 수 있습니다.
지금 클라우드 지원 네트워크 보안 아키텍처 구축하기
디지털 트랜스포메이션은 차세대 기술 혁명을 의미하며, 클라우드로 전환하고 빠르고 안전하며 간편하고 안정적인 액세스를 통해 분산된 인력의 역량을 강화하는 조직의 능력이 새로운 시대의 성공 여부를 결정할 것입니다. SASE는 보안 가시성 및 제어, 성능, 복잡성, 비용 측면에서 타협하지 않는 클라우드 직접 연결 아키텍처를 달성할 수 있는 가장 좋은 방법입니다. Skyhigh SSE 솔루션과 SD-WAN을 원활하게 통합함으로써 조직은 그 어느 때보다 쉽게 원격 사무실에 SASE를 제공할 수 있습니다. 결과적으로 사용자는 생산성 향상, IT 담당자는 운영 효율성 향상, 기업은 통합 인프라 및 네트워크 트래픽 최적화를 통해 탁월한 비용 절감의 이점을 누릴 수 있습니다.
블로그로 돌아가기