2020.07.29

SASE를 각 기업의 요구와 현실에 맞게 조정하는 방법

Zeus Kerravala | Network World
SASE(Secure Access Service Edge) 모델 도입을 고려하는 기업은 미래의 요구와 레거시 네트워크의 현실에 맞게 구현할 수 있는 다양한 방법이 있음을 알아야 한다. 
 
ⓒ Getty Images Bank

SASE 용어를 만든 가트너가 정의한대로, SASE는 보안을 네트워크의 일부로 구축하고 클라우드 서비스로 제공해야 하지만, 모든 기업이 직면한 상황에 맞지 않을 수 있다. 

각 기업의 요구에 따라 SASE를 매니지드 서비스 패키지로 사용하거나, 클라우드에서 관리되는 프라이빗 보안 인프라를 포함하는 아키텍처로 사용하는 것이 더 합리적일 수 있다. 방법은 다르지만 똑같은 목표를 달성할 수 있다. 


SASE 이해하기 

SASE는 WAN(Wide Area Network)의 완전한 변환을 위한 다음 단계다. 현재 WAN 아키텍처는 40년간 대부분 그대로 유지돼 왔다. SD-WAN은 큰 도약이었고 네트워크를 더 효율적으로 만들었지만 탈바꿈시키지는 않았다. 그러나 SASE는 클라우드와 모빌리티, 코로나19로 촉발된 재택근무의 확산과 같은 현재 추세에 맞게 네트워크를 최적화한다. 

SD-WAN의 한 가지 문제는 새로운 보안 문제가 발생한다는 것이다. 예를 들어, SD-WAN을 사용하면 지점에서 분할 터널(split tunnel)을 간단하게 구성할 수 있어 직원이 회사 WAN을 통해 데이터센터로 이동하는 대신 클라우드에 직접 액세스할 수 있다. 이를 통해 사용자 경험이 향상되고 네트워크를 더 효율적으로 사용할 수 있지만, 보안상 심각한 허점이 생긴다. 

한 가지 해결법은 모든 지점에 방화벽을 설치하는 것이지만, 비용이 많이 들고 수십 또는 수백 개의 방화벽을 동기화하는 것이 불가능하지는 않지만 매우 어렵기 때문에 운영상 골칫거리가 생긴다. 

SASE는 보안 기능을 네트워크에 통합해 네트워크 서비스로 만들어 문제를 해결한다. 클라우드를 통해 보안 및 네트워크를 관리하므로 관리자는 한번에 변경해 모든 지점에 동시에 배포할 수 있다. 

보안과 네트워킹을 통합하는 것은 WAN을 발전시킬 뿐만 아니라 완전히 바꾼다. 기존 WAN, SD-WAN을 포함하며, 지사와 본사 위치를 연결하고 보호한다. SASE를 통해 기업은 재택근무자와 IoT 엔드포인트 등 연결해야 하는 모든 것을 연결할 수 있다. 

SASE 도입을 고려하는 기업은 다양한 방법이 있음을 이해해야 한다. 이에 몇 가지 방법을 소개한다. 

- 클라우드 전용 SASE
가트너의 정의에 따르면, 클라우드 전용(Cloud-native) SASE는 클라우드를 통해 모든 네트워크와 보안 서비스를 제공하는 것이다. 유일한 온프레미스 인프라는 클라우드 노드로 직접 연결하는 가정용 공유기와 비슷한 경량 하드웨어다. 

최근 일부 SASE 공급업체는 컴퓨터나 IoT 엔드포인트를 클라우드에 직접 연결할 수 있는 소프트웨어 클라이언트를 출시해 추가 하드웨어가 필요없다. 

이 방법의 장점은 단 하나의 장치를 쓸만큼 작은 위치에 엔터프라이즈급 보안 및 네트워크 서비스를 제공할 수 있다는 것이다. 단점은 대규모 위치의 경우 SASE는 모든 보안 검사가 클라우드에서 수행되기 때문에 대량의 네트워크 트래픽이 발생한다는 것이다. 클라우드 전용 SASE는 소규모 지점이 많은 분산된 기업에 가장 적합하다. 보험회사와 소매업체가 좋은 예다. 

- 클라우드 매니지드 온프레미스 SASE
전 세계가 클라우드에 열광했을지 몰라도, 온프레미스 인프라의 역할은 여전히 남아있다. 클라우드에서 SASE를 관리해도, 각 위치에 자체 라우터, 방화벽, UTM(Unified Threat Management) 등의 보안 어플라이언스를 갖고 있을 것이다. 이들을 클라우드로 관리하는 것은 클라우드 전용 SASE의 사용 용이성을 제공하기 때문에 비즈니스 성공에 매우 중요하다. 
 
가장 큰 장점은 모든 보안 검사를 로컬에서 수행해 대규모 사이트의 성능이 향상된다는 것이다. 반면, 각 위치에 하드웨어를 공급하는 비용은 큰 단점이다. 

온프레미스 SASE의 또 다른 장점은 어느 정도 투자 비용을 보호한다는 것이다. 기업이 온프레미스 인프라를 구매한지 얼마 지나지 않았다면, 아직 이를 버릴 준비가 되지 않았을 것이다. 클라우드 매니지드 방식으로 전환하면 기업은 비교적 최근에 장만한 라우터와 방화벽 등의 장치를 계속 사용할 수 있다. 

클라우드 매니지드 온프레미스 SASE는 한 사업장에 수백, 수천 명의 직원이 있는 기업에 적합하다. 대표적인 예가 제조업체와 의료기관이다. 또한 자체적으로 관리하는 모델을 선호하는 기업도 이 방식을 선택해야 한다. 

- 매니지드 SASE
SASE는 많은 이점이 있지만 WAN은 더 복잡해진다. 네트워크 엔지니어는 분할 터널을 사용할 위치, 사무실 간 메시 수준, 보안 프로비저닝 방법, 사용자 프로필 생성 등의 요인을 고려해야 한다. 레거시 WAN은 비효율적이지만 고려 사항은 더 적다. 

SASE를 사용하면 기업이 네트워크로 훨씬 많은 작업을 수행할 수 있지만, 많은 기업이 해결할 수 없을 정도로 복잡성을 증가시킨다. 하지만 매니지드 SASE는 모범 사례 경험이 풍부한 서드파티가 네트워크를 구성하고 운영하는 장점이 있다. 단점은 기업 스스로 통제할 수 없다는 것이다.

그러나 최근 매니지드 서비스 업체는 코매니지드(co-managed) 서비스를 제공해 기업이 편리한 작업을 수행하고 다른 기능을 MSP에 오프로드할 수 있는 추세다. 기업은 SASE로 빠르게 전환하려 하지만 위험이 높은 기업은 매니지드 서비스를 면밀히 검토해야 한다. 


하이브리드는 선택

궁극적으로, 대부분의 대기업은 클라우드 전용과 온프레미스 SASE 조합을 사용하는 하이브리드 방식을 채택할 가능성이 높다. 예를 들어 여러 국가에 각각 한두 개의 사무소가 있고, 각 위치당 수백 명의 직원이 있는 글로벌 법률회사를 생각해보자. 이 회사는 실제 사무소에 온프레미스 인프라를 사용하지만 재택 근무자는 클라우드 전용 서비스로 연결할 수 있다. 또 다른 대표적인 예는 제조업체로, 대규모 시설에 로컬 인프라를 사용하고 자율주행 차량은 클라우드 서비스로 연결할 수 있다. 


SASE 채택 전략

SASE로 가는 지름길은 현재 인프라를 장비 공급업체의 클라우드 관리 도구로 관리하도록 전환하는 것이다. 이런 선택은 현재는 기업 고객이 사용하지 않더라도, 지난 수년 내에 만들어진 제품은 제공할 것이다. 이런 도구를 사용하면 정책 및 구성 매개 변수를 기존 WAN에서 SASE로 쉽게 이식할 수 있다.

클라우드 전용 접근방식을 고려중이라면, 공급업체가 클라우드 매니지드 온프레미스 인프라를 제공하는지 확인해야 한다. 회사 위치의 수가 늘어날수록 중요해진다. 

배포 시 기업에 여러 소규모 사업장이 있으면 클라우드 접근방식이 좋다. 시간이 지남에 따라 하나 이상의 위치에서 네트워크 오버헤드로 문제가 발생하는 지점까지 오면, 기업은 클라우드 매니지드 온프레미스 모델로 전환할 수 있다. 중단 없이 전환이 이뤄지도록 공급업체가 전환 계획을 제공하는 것이 이상적이다. 

보안 역시 중요한 고려사항이다. 일부 소규모 SASE 공급업체는 자체 보안 스택이 있지만, 기업 고객은 유명 보안 제품을 사용해야 안심하는 경우도 있다. 많은 SD-WAN 공급업체가 상위 보안업체와 제휴해 SASE 기능을 완성하므로 구매를 고려하는 기업은 원하는 보안 공급업체와 협력할 수 있도록 어떤 보안 공급업체가 관여하는지 파악해야 한다. 

기업은 선택한 SASE 공급업체가 가시성과 분석 기능을 제공하는 풍부한 대시보드를 제공하는지 확인해야 한다. 가트너가 정의한 SASE에는 포함되지 않았지만, 필요하다. 네트워크는 그 상태를 유지하는 것이 아니라 기업처럼 진화해야 한다. 이를 위해서는 네트워크 트래픽 패턴, 사용자 밀도, 보안 정책 등에 대한 엔드투엔드 가시성이 필요하다. 그래야 기업이 필요할 때 정보를 얻고 변경할 수 있다. 

매니지드 서비스를 사용하더라도, MSP는 환경에 대한 가시성을 제공해야 한다. 볼 수 없는 것을 관리하거나 보호할 수 없는 것은 당연하다. 그리고 SASE를 이용한다면, 모든 것을 볼 수 있어야 한다. editor@itworld.co.kr 


2020.07.29

SASE를 각 기업의 요구와 현실에 맞게 조정하는 방법

Zeus Kerravala | Network World
SASE(Secure Access Service Edge) 모델 도입을 고려하는 기업은 미래의 요구와 레거시 네트워크의 현실에 맞게 구현할 수 있는 다양한 방법이 있음을 알아야 한다. 
 
ⓒ Getty Images Bank

SASE 용어를 만든 가트너가 정의한대로, SASE는 보안을 네트워크의 일부로 구축하고 클라우드 서비스로 제공해야 하지만, 모든 기업이 직면한 상황에 맞지 않을 수 있다. 

각 기업의 요구에 따라 SASE를 매니지드 서비스 패키지로 사용하거나, 클라우드에서 관리되는 프라이빗 보안 인프라를 포함하는 아키텍처로 사용하는 것이 더 합리적일 수 있다. 방법은 다르지만 똑같은 목표를 달성할 수 있다. 


SASE 이해하기 

SASE는 WAN(Wide Area Network)의 완전한 변환을 위한 다음 단계다. 현재 WAN 아키텍처는 40년간 대부분 그대로 유지돼 왔다. SD-WAN은 큰 도약이었고 네트워크를 더 효율적으로 만들었지만 탈바꿈시키지는 않았다. 그러나 SASE는 클라우드와 모빌리티, 코로나19로 촉발된 재택근무의 확산과 같은 현재 추세에 맞게 네트워크를 최적화한다. 

SD-WAN의 한 가지 문제는 새로운 보안 문제가 발생한다는 것이다. 예를 들어, SD-WAN을 사용하면 지점에서 분할 터널(split tunnel)을 간단하게 구성할 수 있어 직원이 회사 WAN을 통해 데이터센터로 이동하는 대신 클라우드에 직접 액세스할 수 있다. 이를 통해 사용자 경험이 향상되고 네트워크를 더 효율적으로 사용할 수 있지만, 보안상 심각한 허점이 생긴다. 

한 가지 해결법은 모든 지점에 방화벽을 설치하는 것이지만, 비용이 많이 들고 수십 또는 수백 개의 방화벽을 동기화하는 것이 불가능하지는 않지만 매우 어렵기 때문에 운영상 골칫거리가 생긴다. 

SASE는 보안 기능을 네트워크에 통합해 네트워크 서비스로 만들어 문제를 해결한다. 클라우드를 통해 보안 및 네트워크를 관리하므로 관리자는 한번에 변경해 모든 지점에 동시에 배포할 수 있다. 

보안과 네트워킹을 통합하는 것은 WAN을 발전시킬 뿐만 아니라 완전히 바꾼다. 기존 WAN, SD-WAN을 포함하며, 지사와 본사 위치를 연결하고 보호한다. SASE를 통해 기업은 재택근무자와 IoT 엔드포인트 등 연결해야 하는 모든 것을 연결할 수 있다. 

SASE 도입을 고려하는 기업은 다양한 방법이 있음을 이해해야 한다. 이에 몇 가지 방법을 소개한다. 

- 클라우드 전용 SASE
가트너의 정의에 따르면, 클라우드 전용(Cloud-native) SASE는 클라우드를 통해 모든 네트워크와 보안 서비스를 제공하는 것이다. 유일한 온프레미스 인프라는 클라우드 노드로 직접 연결하는 가정용 공유기와 비슷한 경량 하드웨어다. 

최근 일부 SASE 공급업체는 컴퓨터나 IoT 엔드포인트를 클라우드에 직접 연결할 수 있는 소프트웨어 클라이언트를 출시해 추가 하드웨어가 필요없다. 

이 방법의 장점은 단 하나의 장치를 쓸만큼 작은 위치에 엔터프라이즈급 보안 및 네트워크 서비스를 제공할 수 있다는 것이다. 단점은 대규모 위치의 경우 SASE는 모든 보안 검사가 클라우드에서 수행되기 때문에 대량의 네트워크 트래픽이 발생한다는 것이다. 클라우드 전용 SASE는 소규모 지점이 많은 분산된 기업에 가장 적합하다. 보험회사와 소매업체가 좋은 예다. 

- 클라우드 매니지드 온프레미스 SASE
전 세계가 클라우드에 열광했을지 몰라도, 온프레미스 인프라의 역할은 여전히 남아있다. 클라우드에서 SASE를 관리해도, 각 위치에 자체 라우터, 방화벽, UTM(Unified Threat Management) 등의 보안 어플라이언스를 갖고 있을 것이다. 이들을 클라우드로 관리하는 것은 클라우드 전용 SASE의 사용 용이성을 제공하기 때문에 비즈니스 성공에 매우 중요하다. 
 
가장 큰 장점은 모든 보안 검사를 로컬에서 수행해 대규모 사이트의 성능이 향상된다는 것이다. 반면, 각 위치에 하드웨어를 공급하는 비용은 큰 단점이다. 

온프레미스 SASE의 또 다른 장점은 어느 정도 투자 비용을 보호한다는 것이다. 기업이 온프레미스 인프라를 구매한지 얼마 지나지 않았다면, 아직 이를 버릴 준비가 되지 않았을 것이다. 클라우드 매니지드 방식으로 전환하면 기업은 비교적 최근에 장만한 라우터와 방화벽 등의 장치를 계속 사용할 수 있다. 

클라우드 매니지드 온프레미스 SASE는 한 사업장에 수백, 수천 명의 직원이 있는 기업에 적합하다. 대표적인 예가 제조업체와 의료기관이다. 또한 자체적으로 관리하는 모델을 선호하는 기업도 이 방식을 선택해야 한다. 

- 매니지드 SASE
SASE는 많은 이점이 있지만 WAN은 더 복잡해진다. 네트워크 엔지니어는 분할 터널을 사용할 위치, 사무실 간 메시 수준, 보안 프로비저닝 방법, 사용자 프로필 생성 등의 요인을 고려해야 한다. 레거시 WAN은 비효율적이지만 고려 사항은 더 적다. 

SASE를 사용하면 기업이 네트워크로 훨씬 많은 작업을 수행할 수 있지만, 많은 기업이 해결할 수 없을 정도로 복잡성을 증가시킨다. 하지만 매니지드 SASE는 모범 사례 경험이 풍부한 서드파티가 네트워크를 구성하고 운영하는 장점이 있다. 단점은 기업 스스로 통제할 수 없다는 것이다.

그러나 최근 매니지드 서비스 업체는 코매니지드(co-managed) 서비스를 제공해 기업이 편리한 작업을 수행하고 다른 기능을 MSP에 오프로드할 수 있는 추세다. 기업은 SASE로 빠르게 전환하려 하지만 위험이 높은 기업은 매니지드 서비스를 면밀히 검토해야 한다. 


하이브리드는 선택

궁극적으로, 대부분의 대기업은 클라우드 전용과 온프레미스 SASE 조합을 사용하는 하이브리드 방식을 채택할 가능성이 높다. 예를 들어 여러 국가에 각각 한두 개의 사무소가 있고, 각 위치당 수백 명의 직원이 있는 글로벌 법률회사를 생각해보자. 이 회사는 실제 사무소에 온프레미스 인프라를 사용하지만 재택 근무자는 클라우드 전용 서비스로 연결할 수 있다. 또 다른 대표적인 예는 제조업체로, 대규모 시설에 로컬 인프라를 사용하고 자율주행 차량은 클라우드 서비스로 연결할 수 있다. 


SASE 채택 전략

SASE로 가는 지름길은 현재 인프라를 장비 공급업체의 클라우드 관리 도구로 관리하도록 전환하는 것이다. 이런 선택은 현재는 기업 고객이 사용하지 않더라도, 지난 수년 내에 만들어진 제품은 제공할 것이다. 이런 도구를 사용하면 정책 및 구성 매개 변수를 기존 WAN에서 SASE로 쉽게 이식할 수 있다.

클라우드 전용 접근방식을 고려중이라면, 공급업체가 클라우드 매니지드 온프레미스 인프라를 제공하는지 확인해야 한다. 회사 위치의 수가 늘어날수록 중요해진다. 

배포 시 기업에 여러 소규모 사업장이 있으면 클라우드 접근방식이 좋다. 시간이 지남에 따라 하나 이상의 위치에서 네트워크 오버헤드로 문제가 발생하는 지점까지 오면, 기업은 클라우드 매니지드 온프레미스 모델로 전환할 수 있다. 중단 없이 전환이 이뤄지도록 공급업체가 전환 계획을 제공하는 것이 이상적이다. 

보안 역시 중요한 고려사항이다. 일부 소규모 SASE 공급업체는 자체 보안 스택이 있지만, 기업 고객은 유명 보안 제품을 사용해야 안심하는 경우도 있다. 많은 SD-WAN 공급업체가 상위 보안업체와 제휴해 SASE 기능을 완성하므로 구매를 고려하는 기업은 원하는 보안 공급업체와 협력할 수 있도록 어떤 보안 공급업체가 관여하는지 파악해야 한다. 

기업은 선택한 SASE 공급업체가 가시성과 분석 기능을 제공하는 풍부한 대시보드를 제공하는지 확인해야 한다. 가트너가 정의한 SASE에는 포함되지 않았지만, 필요하다. 네트워크는 그 상태를 유지하는 것이 아니라 기업처럼 진화해야 한다. 이를 위해서는 네트워크 트래픽 패턴, 사용자 밀도, 보안 정책 등에 대한 엔드투엔드 가시성이 필요하다. 그래야 기업이 필요할 때 정보를 얻고 변경할 수 있다. 

매니지드 서비스를 사용하더라도, MSP는 환경에 대한 가시성을 제공해야 한다. 볼 수 없는 것을 관리하거나 보호할 수 없는 것은 당연하다. 그리고 SASE를 이용한다면, 모든 것을 볼 수 있어야 한다. editor@itworld.co.kr 


X