SASE, SD-WAN 그리고 SSE

COVID-19 팬데믹이 시작된 이후 기업의 IT 직원들은 클라우드 및 네트워크, 보안 인프라를 업데이트하여 새로운 하이브리드 업무 환경에 적응할 수 있도록 노력해 왔습니다.
많은 기업이 클라우드를 우선하는 디지털 혁신 계획을 지원하기 위해 SD-WAN, SASE 및 현재 SSE(Security Service Edge) 등 알파벳 S로 시작하는 기술들을 검증하고 있습니다.

SD-WAN vs SASE vs SSE

2015년에 혁신적으로 등장한 네트워크 기술인 SD-WAN은 이미 많은 기업들이 WAN을 현대화하는데 사용하고 있습니다. Aruba의 EdgeConnect Enterprise SD-WAN 엣지 플랫폼과 같은 고급 SD-WAN 플랫폼은 네트워크의 복잡성을 줄이고 애플리케이션 성능을 개선하여 클라우드와 데이터센터에 있는 사용자와 애플리케이션간의 연결을 보다 효율적으로 만들어줍니다.

SASE(Secure Access Service Edge)는 2019년 Gartner에서 만든 용어로, 단일의 클라우드형 모델로 WAN과 네트우크의 보안 기능을 융합하기 위한 프레임워크입니다. 이 SASE는 요즘 기업들이 요구하는 디지털 트랜스포메이션을 위해 필요한 요소 중 하나입니다.

세번째는 SSE(Security Service Edge)입니다. Gartner에서 2022년 2월에 SWG(Secure Web Gateway) 및 CASB(Cloud Access Security Broker), ZTNA(Zero Trust Network Access)를 포함한 모든 보안 서비스를 통합한 SASE의 보안 구성요소입니다. 이는 웹이나 클라우드 서비스, 개별 애플리케이션으로의 접근을 보호합니다.
SSE는 아래 그림과 같이 데이터에 대한 보호와 위협에 대한 보호 모두를 제공합니다.

SASE Pillars

이 그림을 통해, 우리는 SASE가 단순히 디지털 트랜스포메이션의 청사진으로 포괄적인 보안이나 네트워크 프레임워크로 받아들이고 있지는 않은가 돌아봐야 할 것입니다.

안전한 네트워크 연결을 제공하기 위한 두 가지 요구사항

기업의 IT 책임자의 요구사항은 모든 비즈니스 애플리케이션에 연결하기 위해 모든 장치와 위치에 대해서 “안전한” 네트워크 연결을 제공하는 것입니다. 여기에는 두 가지 주요한 요구사항이 있습니다.

  1. 멀티 클라우드 환경 및 데이터센터와 SaaS(Software-as-a-Service) 환경으로 분산된 애플리케이션에 대해 어떻게 안전하게 접근하도록 합니까?
  2. 엔드포인트에 에이전트를 실행할 수 없는 IoT 장치가 점점 늘어나고 있는데 어떻게 보호합니까?

물론, Zscaler나 Netscope, CheckPoint와 같은 클라우드 보안 공급업체가 제공하는 SSE 기능을 EdgeConnect와 같은 SD-WAN 플랫폼과 API나 오케스트레이터 내의 서비스 통합으로 클라우드나 데이터센터, 여러 지점 오피스 환경에 안전한 연결을 보장할 수 있습니다. 이것으로 첫 번째 요구사항을 충족할 수 있죠.

두 번째 요구사항의 경우에는, IoT장치가 많이 설치된 환경에서는 IoT장치에 SSE ZTNA 에이전트를 설치하는 것은 거의 비현실적이거나 불가능에 가깝습니다. IoT 장치는 잠재적인 보안 위협이나 침해를 야기할 수 있는 주요 취약점입니다. 수백개가 넘는 제조사의 IoT 장치를 배포하게 된다면, 결국 그 중에 하나가 보안 취약점이 발생하여 침해사고를 일으키게 됩니다.

Aruba의 ClearPass나 최근 릴리즈된 Aruba Central NetConductor와 같은 ID기반이 역할 접근 제어 솔루션을 사용하면, 마이크로 세그멘테이션(Micro-Segmentation)이나 보안 정책들을 Aruba의 전체 제품 스택으로 확장할 수 있게 됩니다. 그래서 고급 SD-WAN 솔루션까지 통합하여 사용자와 IoT 장치의 트래픽을 자동으로 분리할 수 있게 됩니다.

따라서 SSE 솔루션과 고급 SD-WAN 솔루션은 보안 액세스 및 IoT 연결 모두에 대한 보안 및 네트워크 요구사항을 해결할 뿐만 아니라 기업의 SASE 혁신을 돕게 됩니다.

단일 벤더 vs 멀티 벤더?

기업이 결정해야 할 또 다른 중요한 것은 SASE에 대해 멀티 벤더 환경으로 할 것인지 단일 벤더의 플랫폼을 사용할 것인가입니다.

실제로 최근 Gartner 보고서인 “SD-WAN 프로젝트를 SASE 이니셔티브에 맞추는 방법(1)“에서는 다음과 같이 권장합니다.

단일 제조사의 SASE 솔루션을 선택하는 것은 동급 최고의 솔루션을 제공하는 업체가 부족하고, SASE의 모든 기능적인 영역에서 만족할 만한 기능조차 제공하지 않는다는 점에서 많은 기업들이 어려움을 겪고 있다.

 Gartner, How to Align SD-WAN Projects With SASE Initiatives, Published 18 April 2022

조직에 가장 적합한 SD-WAN 제조사를 평가한 후에, 가장 선호하는 SD-WAN과 운영상 통합할 수 있는 SSE에 대해 사용 가능한 옵션을 평가하세요. 특히나 콘솔이나 API 수준에서 통합 여부를 평가하세요.

 Gartner, How to Align SD-WAN Projects With SASE Initiatives, Published 18 April 2022

멀티 벤더 환경으로 이루어진 동급 최고의 SSE와 SD-WAN은 기업이 비즈니스 요구사항에 따라 SASE 마이그레이션을 위해 가능한 최고의 기술을 선택할 수 있는 유연성을 제공할 수 있게 됩니다.
예를 들어, 기업은 다른 클라우드 보안 공급업체를 사용하는 또 다른 기업이나 비즈니스를 인수 합병할 수 있습니다. 이럴 경우에, 기존의 SD-WAN 플랫폼을 두 가지의 보안 공급업체(벤더)와 어떻게 통합할 것인가요?
만약 SD-WAN 플랫폼이 API나 오케스트레이터 내에서 서비스 통합, 자동화를 지원하여 SD-WAN과 클라우드 보안을 원활하게 통합하면 어떨까요?

Aruba의 EdgeConnect Enterprise는 Zscaler, Netscope, CheckPoint, McAfee, iBoss, PaloAlto Networks Prisma Accecss 등 주요 네트워크 클라우드 보안 제조사와 연계/연동으로 검증된 동급 최고(Best-of-Breed)의 SD-WAN 플랫폼입니다.

이를 통해 기업은 동급 최고의 기술을 손상시키지 않으면서 클라우드 제공의 보안 옵션의 유연성까지 추가로 가져가면서 SASE 프레임워크를 구성 및 배포, 개발할 수 있게 됩니다. 단일 제조사가 모든 구성요소를 공급하게 되어 안전한 클라우드 우선 디지털 트랜스포메이션을 위해 해당 제조사에 의존할 수밖에 없는 위험이 생깁니다.

하지만 SASE에 멀티 벤더의 유연성을 가진 접근방식을 사용하면 이러한 위험을 완화할 수 있게 됩니다.