보안 액세스 서비스 에지(SASE)는 기존 네트워크 경계 내부와 외부의 네트워크 요소를 보호하는 제로 트러스트 아키텍처의 구성 요소입니다. 비즈니스의 디지털 혁신, 증가한 원격 작업, 그리고 애플리케이션을 실행하기 위한 클라우드 서비스 이용과 더불어 보안이 클라우드로 이동하고 있으며 SASE는 그러한 보안을 제공하고 있습니다.
한때 기업의 컴퓨터 네트워크는 해당 기업에 특화된 사무실 네트워크와 데이터 센터로 구성되었습니다. 직원은 사무실에 들어가서 컴퓨터에 접속하고 데이터 센터에서 실행 중인 애플리케이션에 액세스하곤 했습니다. 모든 회사 거래가 이러한 네트워크의 경계 내에서 발생했습니다.
네트워크 보안에 대한 전통적인 접근법은 네트워크 주변에 방화벽을 설정하는 것이었습니다. 일단 사용자가 방화벽 내부에 있으면 보안 프로토콜이 그 컴퓨터를 신뢰하고 네트워크상에서 사용자의 추가 활동을 확인하지 않습니다.
디지털 혁신은 직원들이 일하는 방식을 급격하게 바꿨습니다. 많은 직원이 사무실에서 애플리케이션에 액세스하거나 기업 데이터 센터의 보호 범위 밖에 있는 인터넷에서 원격으로 액세스합니다. 예를 들어 Salesforce에 액세스하는 직원은 부엌 식탁에 앉아 노트북에서 작업할 수도 있습니다. 애플리케이션은 인터넷에 상주할 수도 있고 직원이 회사 데이터 센터에 있는 애플리케이션에 원격으로 액세스할 수도 있습니다.
오늘날의 업무 환경에서 우리가 보호하곤 했던 네트워크 경계는 더 이상 존재하지 않습니다. 모든 곳에 액세스 지점이 있고 인터넷은 이제 정보 전달을 위한 수단이기 때문입니다. 이런 환경에서는 기업 환경으로 되돌아가는 게이트웨이, "에지"를 보호하는 것이 과제입니다.
분산된 환경에서 불충분한 경계 보안 프로토콜을 강화하기 위해 IT 팀은 결국 많은 벤더, 정책 및 콘솔을 통해 데이터를 보호하기 위해 노력하지만 완벽하게 성공하지는 못한 상태입니다. 새로운 솔루션인 SASE는 분산 액세스 환경을 위해 사이버 보안 복잡성을 줄이고 효과를 개선합니다.
SASE 모델
SASE는 네트워크(SD-WAN, VPN)와 보안(SWG, CASB, FWaaS, ZTNA) 기능을 결합한 기술 모음입니다. 전통적으로 이러한 기술은 격리된 포인트 솔루션으로 제공됩니다. SASE(또는 제로 트러스트 에지)는 단일 통합 클라우드 서비스에 결합됩니다.
SASE 모델은 조직이 분산된 사용자 및 장치를 위해 네트워크를 통합하고 보안을 강화하도록 지원합니다.
사용자 중심 네트워크와 네트워크 관리 보안 프로토콜을 발전시키려는 조직은 제로 트러스트 네트워크 액세스를 지원하기 위해 SASE 아키텍처를 채택합니다. 제로 트러스트 모델은 컴퓨터의 신뢰성이 입증될 때까지 절대 신뢰하지 않고, 항상 확인하며, 침해 가능성이 있다고 가정합니다. 인터넷은 모든 것을 연결하는 개방형 정보 플랫폼이기 때문에 본질적으로 신뢰할 수 있는 장치는 없습니다.
SASE는 제로 트러스트 아키텍처의 필수 요소입니다. 대부분의 SASE가 하나의 새로운 기술이 아닌 새로운 기술과 기존 기술의 조합입니다. SASE는 사용자, 장치 또는 에지 컴퓨팅 위치에 보안 제어를 제공합니다. 이전의 사이버 보안 프로토콜은 데이터 센터를 위해 방화벽 보호를 확립했지만 SASE는 디지털 ID, 실시간 컨텍스트 및 회사 정책을 토대로 인증합니다.
SASE의 중대한 구성 요소 세 가지가 있습니다.
SWG는 사용자가 인터넷에서 무엇에 액세스할 수 있고 무엇에 액세스할 수 없는지를 제어하고 관리합니다. 사용자가 의심스러운 웹사이트에 액세스하거나 뭔가를 다운로드하려고 하거나 도박 사이트 같은 금지된 대상에 액세스하려는 시도를 하는 경우 게이트웨이가 이를 차단합니다.
사이버 공격은 매우 정교해졌습니다. 우리가 철자가 틀린 단어와 어색한 표현으로 피싱 이메일을 인식하기 시작한 순간에 나쁜 행위자는 더 정교해졌습니다. 이제는 많이 알고 있는 사용자조차 어떤 이메일이 합법적이고 어떤 이메일이 해커에게서 온 것인지 구별하기가 거의 불가능해졌습니다
더 강력한 보호를 확립하기 위해 내부 사이버 보안 교육이 필수적이지만 사용자는 교육에서도 실수를 합니다. SWG는 네트워크를 드나드는 모든 트래픽을 확인하기 위해 보안 팀이 사용할 수 있는 또 다른 도구입니다. 위협이 있는 경우 보안 팀은 이를 완화하기 위해 SWG를 사용할 수 있습니다.
CASB는 SaaS 애플리케이션에 가시성을 되돌려줍니다. 사용자는 Salesforce, Office 365 또는 다른 앱과 연결되기 때문에 보안 팀은 사용자가 전송하고 있는 데이터가 무엇인지, OneDrive 또는 SharePoint에서 어떤 파일이 업로드되거나 다운로드되는지, 누가 그렇게 했는지, 언제 했는지 확인할 수 있습니다.
CASB는 현장 또는 클라우드에 위치해 있는 소프트웨어입니다. 사용자와 클라우드 서비스 사이에서 클라우드 액세스를 위한 보안 정책을 이용해서 중재하고 네트워크 상의 조치를 추적합니다.
CASB 보고의 출발점은 조직 내 각각의 사용자 그룹에 대한 옵션을 구성하는 것입니다. 어떤 그룹은 업로드할 권한은 있지만 다운로드할 권한은 없을 것입니다. 어떤 그룹은 문서를 편집할 것이고 또 다른 그룹은 문서를 보기만 할 수도 있습니다. 기업은 정책을 설정합니다.
또한 기업은 금지된 행위가 발생하는 경우 취해야 할 조치를 설정합니다. 보안 팀은 활동을 자동으로 차단하기 위한 프로토콜을 설정하거나, 발생하도록 허용하고 이벤트를 이벤트 뷰어에 보고할 수 있습니다.
ZTNA 게이트웨이는 SASE의 새로운 요소입니다. ZTNA는 인증된 사용자, 장치 및 애플리케이션 간 트래픽에 대한 액세스만 허용하는 보안 아키텍처입니다. 어떤 트래픽도 신뢰하지 않으며 모든 단말 장치는 그렇지 않다는 것이 입증될 때까지 악의적 의도가 있는 것으로 의심합니다. ZTNA는 사용자를 원격으로 인증하기 위해 VPN을 대체합니다.
VPN은 전통적으로 원격 사용자를 기업 네트워크에 연결하는 데 사용되는 기술 엔터프라이즈입니다. VPN은 몇 가지 문제가 있는데, 비용이 많이 들고 불안정한 연결을 설정하는 경우가 잦습니다. 뿐만 아니라, 효과적이지 못한 원격 연결은 생산성 손실로 인해 비용이 들게 하면서 작업자가 업무를 수행하는 데 어려움을 겪게 합니다.
VPN의 최대 문제는 소수의 보안 제어 기능을 갖춘 원격 액세스를 제공한다는 점입니다. 홈 네트워크에서 VPN을 통해 기업 네트워크에 액세스하는 사용자는 인증을 하고 네트워크의 프론트엔드 및 백엔드에 대한 완전한 액세스 권한을 갖습니다. 사용자는 애플리케이션의 프론트엔드에서 업무를 계속합니다. 멀웨어가 인터넷에서 컴퓨터로 가는 방법을 찾은 경우, 같은 애플리케이션의 백엔드로 가서 데이터 침해를 초래하며 모든 데이터를 차지할 수 있습니다.
ZTNA는 각각의 사용자, 장치 및 애플리케이션을 네트워크상에서 신뢰할 수 있는 것으로 개별적으로 인증하기 때문에 ZTNA는 네트워크 내부를 돌아다닐 수 있는 멀웨어의 능력을 무력화합니다.
VPN 취약점:
제로 트러스트로 나아가기
제로 트러스트를 향한 첫 단계는 조직이 아키텍처를 채택할 것을 약속하는 것입니다. 시간이 경과하면서 IT 팀과 보안 팀은 성숙도를 증가시키기 위해 서로 다른 제품 그룹의 기술을 점진적으로 구현할 수 있습니다.
출발점은 매일 조직에 영향을 주는 환경의 문제를 이해하는 것입니다. 예를 들어, 인터넷 액세스가 통제에서 벗어나 모든 사람이 무엇이든 액세스할 수 있고 사용자가 자신도 모르게 멀웨어를 다운로드하게 된다면, SWG가 바로 여러분의 첫 제로 트러스트 기술이 될 수 있습니다.
다음 단계는 직원이 어떤 SaaS 앱을 사용하는지 그리고 누가 무엇에 액세스할 수 있는지 결정하는 것이 될 수 있습니다. 승인된 활동에 대해 적절하게 액세스 권한을 부여하고 사용자가 정책 프레임워크에서 벗어나지 않게 보장할 수 있도록 보안 팀의 가시성을 높이는 것이 합리적입니다.
제로 트러스트의 핵심은 데이터를 보호하는 것입니다.
SASE 보안 매개변수가 마련되어 있는 경우에도 네트워크는 여전히 완전한 제로 트러스트가 아니며 이를 향해 나아가야 합니다. 제로 트러스트는 네트워크 보안을 증가시키기 위해 끊임없이 이어지는 여정이며 그 길을 계속 가는 경우 보안은 점차 더 나아질 것입니다.
노트북이나 서버 같은 물리적 자산 또는 사용자 계정이나 애플리케이션 같은 디지털 자산을 보호하는 것은 사이버 보안의 주된 목적이 아닙니다. 사이버 보안은 사용자 이름, 비밀번호, 독점 기업 데이터, 기밀 자료 및 결제 정보를 포함해서 사업 운영에 사용되는 데이터를 보호하는 것입니다.