클라우드 시대의 구세주‘SASE’의 기초를 설명!「SASE」란?

2022/04/20　(갱신일：2022/04/20)

원격 근무 증가에 따라 기업에서 클라우드 이용이 활발해지고 있는 가운데 ‘SASE’라는 새로운 개념이 주목을 받고 있습니다.

클라우드 도입을 추진하고 있는 기업의 IT 담당자 중에는
‘임직원들로부터 “네트워크 통신이 느려서 화상회의 시스템 화면이 안 움직인다!”는 문의가 많구나.’
‘사외에서 사내 시스템으로 접속하는 일이 늘고 있는데 당사의 보안대책은 정말 괜찮은걸까.’
라는 고민을 가지고 있는 분이 많지 않을까요?

SASE는 그런 IT 담당자의 「구세주」가 될지도 모릅니다.
이번에는 SASE란 무엇인지? 도입 시의 장점 및 포인트까지 설명합니다.

SASE는 「Secure Access Service Edge」의 약어로 한마디로 지금까지 별도로 구축했던 네트워크 기능과 보안 기능을 일체화시켜 하나의 클라우드 베이스로 제공하는 새로운　아키텍처(구성)입니다.

2019년에 미국의 리서치 회사 가트너사가 발행한 리포트‘The Future of Network Security Is in the Cloud (※ 주 전체 영문)’에서 언급되어 기업의 클라우드 이용 추진에 필수적인 개념으로 주목받아 왔습니다.

１-１、SASE의 구조~구성 솔루션 예~

서두에서 언급했듯이 SASE는 여러 네트워크 기능과 보안 기능을 통합하여 하나의 플랫폼에서 제공합니다.

SASE의 구성요소 모두를 파악하는 것은 어려우므로, 이번에는 구성요소 중에서도 주요 4가지 기능으로 간추려서 소개하겠습니다.

1. 【네트워크 기능】SD-WAN (Software-Defined WAN)
   
   SD-WAN 이란 소프트웨어로 네트워크를 일원 관리하고 통신 경로를 제어하는 기술입니다. 네트워크의 부하 분산이 가능하기 때문에 지연을 막을 수 있다는 장점이 있습니다
2. 【보안 기능】CASB(Cloud Access Security Broker)
   
   CASB는 여러 개의 SaaS (※) 애플리케이션의 보안을 단일 관리 시스템으로 관리하는 방식입니다.
   
   「가시화·분석」 「컨트롤」 「데이터 보호」 「위협 방어」의 4가지 기능으로 구성되어 있으며 섀도우 IT(※)의 문제를 해결하는 수단으로서 주목받고 있습니다.
   
   ※ SaaS: Software as a Service: 클라우드 상에서 필요한 기능을 필요한 만큼 서비스로서 이용할 수 있는 소프트웨어의 제공 형태.
   ※섀도우 IT : 기업의 조직 내에서 이용되는 정보 시스템이나 그 구성요소(기기나 소프트웨어 등) 가운데 임직원이나 각 업무 부문의 판단으로 도입·사용되어 경영 부문이나 시스템 관리 부문에 의한 파악이나 관리가 미치지 않는 것.
3. 【보안 기능】SWG(Secure Web Gateway)
   
   SWG란 URL 필터링(※), 애플리케이션 필터(※), 안티 바이러스(※), 샌드 박스(※) 등 여러 보안 기능을 클라우드 상에서 제공하는 서비스입니다.
   
   CASB가 SaaS의 보안을 대상으로 하고 있는 반면 SWG는 웹사이트 보안을 대상으로 하고 있습니다.
   
   ※ URL 필터링: 부적절한 URL에 대한 액세스를 필터링하는 구조.
   ※ 애플리케이션 필터: 사전에 설정한 룰에 의해서 유저의 애플리케이션 액세스를 제어하는 구조.
   ※ 안티바이러스: 컴퓨터 바이러스나 멀웨어에 대한 대책을 의미한다. 바이러스 백신 소프트웨어나 바이러스의 감염이나 확대를 막기 위한 사고방식이나 리터러시도 포함해 안티 바이러스로 불린다.
   ※ 샌드박스: 격리된 영역에서 프로그램을 실행해, 문제가 발생할 시에도 다른 프로그램에 영향을 미치지 않도록 하는 구조.
4. 【보안 기능】ZTNA(Zero Trust Network Access)
   
   ZTNA란, 제로 트러스트(※)의 생각에 근거한 네트워크 액세스 환경을 제공하는 서비스입니다.
   
   사용자가 원격 액세스할 때 사용하고 있는 네트워크, 디바이스를 모두 클라우드 상에서 검증하고 사전에 정의한 정보를 근거로 하여 액세스를 허용합니다.

１-２、SASE가 주목받게 된 배경

SASE에 대해 자세하게 설명하기 전에 ‘기존 구성’에 대해 간단히 설명해보겠습니다.

기존 구성에서는 데이터 센터를 중심으로 VPN(※) 등을 이용해 사내 네트워크를 경유하여 Web이나 클라우드 서비스에 통신하는 형태가 일반적이고 사내 프록시 서버(※)나 방화벽(※)에 의한 방어로 외부의 위협에 대한 보안 대책을 실시하고 있었습니다.

※ VPN :‘ Virtual Private Network ’의 약칭. 인터넷상에서 이용자 전용의 가상 프라이빗 네트워크를 구축하는 것으로 보안상의 안전성을 보장하고 통신을 실시하는 기술.
※프록시 서버: 인터넷에 직접 접속할 수 없는 컴퓨터 대신 인터넷에 접속해 웹사이트 액세스 등을 하는 서버. 네트워크 안의 인터넷 출입구를 프록시 서버 경유로 한정함으로써 외부로부터의 부정 액세스를 방지하거나 업무와 관계없는 웹사이트로의 액세스를 제한할 수 있다.
※ 방화벽: 네트워크 통신에 있어서 통신 허가 여부를 판단하여 허가 또는 거부하는 구조.

그러나 기존 구성은 급격한 원격 근무나 클라우드 서비스의 보급이 진행되고 있는 현대에 있어서 적절한 구성 환경이라고는 할 수 없게 됐습니다.

네트워크 지연 문제나 운용 관리 면에서의 비용 증가로 이어지는 경우가 많기 때문입니다.

당신의 회사에서도 Google workspace, Microsoft 365, Slack이나 Zoom 등 다양한 클라우드 서비스를 활용하고 있다고 생각합니다.
그때 아래와 같은 과제에 골머리를 썩이지 않으셨나요.

1. 고민 1,‘네트워크 지연이 빈번하여 임직원들이 쾌적하게 이용하지 못하고 있다!’
   
   클라우드 서비스나 원격 근무 증가로 인해 화상회의를 이용할 기회도 증가해 통신량이 증가하고 있습니다.
   
   기존의 데이터 센터를 중심으로 한 네트워크 설계에서는 대량의 데이터 이용을 가정하여 설계되지 않은 경우가 많아 네트워크 지연이 발생하기 쉽습니다.
   
   업무 효율화를 위해 클라우드 서비스를 도입했음에도 불구하고 네트워크 지연이 발생하여 임직원에게 스트레스를 준다면 도입을 안하느니만 못한 결과를 가져오게 됩니다.
   
   따라서 클라우드 서비스를 본격적으로 활용하기 위해 네트워크의 속도 등 품질 개선은 시급히 해결해야 할 과제라고 할 수 있습니다.
2. 고민 2,‘원격 근무 급증으로 인해 섀도우 IT 파악/제어가 되지 않아 보안이 불안…’
   
   원격근무의 증가로 자택 등 사외에서 사내 시스템으로의 액세스가 증가했습니다.
   사외에서 사내 시스템에 접속할 때는 VPN을 도입하여 데이터 센터 경유로 사내 시스템에 액세스 시키는 형태가 기존의 일반적인 구성이었습니다.
   
   그러나 ‘고민 1’이기도 한 것처럼 데이터 센터 경유로 클라우드를 이용하면 네트워크 지연이 많이 발생하고 VPN도 대량의 네트워크가 한꺼번에 접속되면 과부하가 되기 때문에 네트워크 지연에 더욱 박차를 가합니다.
   
   그리고 네트워크 지연이 많이 발생하면 결과적으로 섀도우 IT가 증가합니다.
   
   업무상 네트워크 지연을 견딜 수 없는 임직원이 자택의 인터넷으로 액세스, 회사 미 승인자도 포함해 클라우드 서비스에 접속해서‘쾌적하게 일하자’는 발상에 이르게 되기 때문입니다.
   
   그 대책으로서 관리자 측에서는 섀도우 IT를 즉시 감지해 제어할 수 있는 구조를 만들어야 합니다. 섀도우 IT는 회사 정보를 개인용 클라우드 서비스 등에 유출할 위험이 있기 때문입니다.
   
   이러한 원격근무 시대이기 때문에 일어나는 새로운 보안 대책의 검토가 필요하다고 할 수 있습니다.
3. 고민 3,‘네트워크/보안 시스템의 운용이 번거로워져 관리 비용이 증가하고 있다…’
   
   네트워크, 보안에 있어서는 다양한 서비스가 제공되고 있습니다만 다양한 벤더의 서비스를 도입한 결과 시스템별로 다른 운용 매뉴얼이 존재하거나 운용 업무가 특정 임직원만 파악하고 있는 것이 과제로 남아 있습니다.
   
   이러한 상황은 인적 비용의 증가뿐만 아니라 보안 리스크를 증대시킬 가능성도 있습니다. 여러 시스템을 동시에 이용하는 환경에서는 시스템마다 보안 규칙이 통일되기 어렵고 외부로부터의 멀웨어(※) 침입 경로를 만들어 버릴 수도 있기 때문입니다.
   
   ※ 멀웨어: 부정하고 유해한 동작을 할 의도로 작성된 악의 있는 소프트웨어나 악질적인 코드의 총칭.
   
   위와 같은 고민을 하면서도 많은 기업들은 기존의 데이터 센터 중심의 IT 인프라 구성으로 클라우드 서비스를 무리하게 이용하려고 하고 있는 것이 현실입니다.
   
   향후 클라우드 시대에 기존 구성 그대로 이용하면 위험하지 않을까??
   
   위와 같은 고민을 해결하기 위해 만들어진 것이 ‘SASE’입니다.

ZTNA의 소개로 잠깐 등장했습니다만, SASE와 함께 기억해 주셨으면 하는 키워드로 ‘제로 트러스트’가 있습니다. 제로 트러스트에 대해 간단히 말하자면 “경계가 없는 보안”이라고 불리는 보안 모델을 말합니다.

기존의 보안은 네트워크를 내부, 외부 두 개로 나누고 경계점에 방화벽 등으로 방어벽을 만들어 관리했습니다.

방어벽의 내부에 있는 임직원·디바이스는「신뢰할 수 있는 것」, 외부는 「신뢰할 수 없는 것」이라고 판단해 외부로부터의 공격, 위협에 대처해 나가자고 하는 생각이 주를 이루었습니다.
이 생각을 「경계형 보안 모델」이라고 부릅니다.

이에 반해 [제로 트러스트]는 “경계가 없는 보안”이라는 이름 그대로 사내, 사외를 구별하지 않고 모든 액세스나 네트워크를 위협으로 간주해 신뢰하지 않고 공격받는 것을 전제로 한 개념입니다.

원격근무나 원격근무의 증가와 함께 주목받으며 ‘제로 트러스트’ 실현을 위해서는 이전보다 엄격한 보안 대책이 필요합니다.
또한「제로 트러스트」를 실현하기 위해서 필요한 서비스를 제공하는 구조가 「SASE」입니다.

그렇다면 SASE를 도입함으로써 어떠한 메리트가 있을까요.
「SASE가 주목받게 된 배경」에서 말한 3개의 고민을각 포인트별로 해설해 가고자 합니다.

1. 고민 1,‘네트워크 지연이 빈번하여 임직원들이 쾌적하게 이용하지 못하고 있다!’
   → SASE라면 통신의 퍼포먼스 개선을 할 수 있다!
   
   SASE에 포함되는 SD-WAN이라고 하는 서비스가 통신량 증가에 따른 네트워크의 지연을 해결합니다. 클라우드 상에서 네트워크 관리가 가능해지므로 자사의 방화벽, 프록시 서버, 게이트웨이 등에 드는 부담을 대폭 줄일 수 있습니다.
   
   이에 따라 통신량 증가에 수반하는 네트워크의 지연, 통신 품질의 열화 등을 방지함으로써 업무 효율화에 연결하여 양질의 업무 환경을 임직원에게 제공할 수 있습니다.
2. 고민 2,‘원격 근무 급증으로 인해 섀도우 IT 파악/제어가 되지 않아 보안이 불안…’
   → SASE라면 편리성과 시큐리티를 모두 실현할 수 있다!
   
   SASE를 도입함으로써 네트워크와 보안을 모두 클라우드 상에서 관리할 수 있게 됩니다.
   
   예를 들어 SD-WAN 단체에서는 기업이 클라우드 서비스를 이용할 때 WAN 구성을 유연하게 변경할 수 있다는 장점이 있지만 각 거점에서 직접 인터넷에 접속할 때의 보안 측면에서는 보안 취약점(※)이 생기기 쉽다는 우려도 있습니다.
   
   한편 SASE에서는 클라우드 이용 시 편의성을 더해 보안 강화도 실현할 수 있는 것이 포인트입니다.
   
   CASB나 SWG와 같은 클라우드형 보안 서비스를 활용함으로써 경계에 얽매이지 않고 모든 사용자나 디바이스에 대한 대책을 실시하는 ‘제로 트러스트 보안’을 실현할 수 있습니다.
   
   ※보안 취약점: 컴퓨터 OS나 소프트웨어에 있어서 프로그램 오류나 설계상 실수가 원인이 되어 발생한 보안 결함을 말함.
3. 고민 3,‘네트워크/보안 시스템의 운용이 번거로워져 관리 비용이 증가하고 있다…’
   → SASE라면 운용의 복잡함과 관리 · 운용 비용을 절감할 수 있다!
   
   SASE를 도입함으로써 네트워크와 보안 모두를 단일 클라우드 상에서 설정할 수 있기 때문에 벤더의 총 수가 줄어들고 운용에 드는 부담과 비용을 대폭 절감할 수 있습니다.
   
   온프레미스형 시스템을 구축하거나 네트워크 설정을 위해 전국 각지로 굳이 발길을 옮길 필요도 없어집니다.
   
   또한 시스템을 확장하고 싶을 때는 SaaS 벤더에 상담하는 것만으로도 원활하게 실현할 수 있습니다. 한층 더 보안면에 있어서는 보안 정책의 설정을 일관되게 적용할 수 있기 때문에 IT 담당자가 느끼는 운용 부담을 경감할 수 있습니다.
   
   이를 통해 매일 운용에 쫓겨 뒤로 미뤄 두었던 중요도가 높은 업무에 집중할 수 있게 되기 때문에 IT 담당자 자신의 생산성 향상에도 도움을 줄 수 있습니다.

1. ■ SASE 도입 시의 리스크
   
   SASE 도입에는 여러 가지 메리트가 있습니다만 한편으로 다소의 리스크가 있는 것도 파악해 둡시다.
   
   예를 들어 SASE는 모든 서비스를 단일 클라우드에서 이용하기 때문에 통신이나 설정에 문제가 발생한 경우 사업의 대부분이 멈출 가능성이 있습니다.
   
   또한 SASE는 새로운 서비스 개념이기 때문에 향후 SASE를 겨냥한 바이러스나 공격 수법이 나올 리스크도 있을 것입니다.
   
   등장한지 얼 마 안된 솔루션은 시장 환경이 크게 변화해 나가는 것을 생각할 수 있습니다.
   도입 직후에 보다 매력적인 다른 서비스가 등장하거나 이용 중의 서비스가 돌연 종료됨으로써 기회 손실로 연결될 리스크도 있습니다.
2. ■ SASE 도입 시의 포인트
   
   마지막으로 SASE 도입 시의 포인트에 대해서도 파악해 둡시다.
   
   우선 알아 두어야 할 것은 현시점에서는 SASE의 기능을 완벽하게 망라하고 있는 서비스는 없으며 자사의 요건에 맞추어 적절한 조합을 해 나갈 필요가 있다는 것입니다.
   
   우선은 자사의 시스템이 어떻게 구성되어 있는지를 명확하게 하고 필요한 기능을 실현할 수 있는 서비스는 무엇인지 확인합니다.
   그 후 SASE 실현을 위한 상세한 계획을 수립하고 어디에서 우선적으로 주력할지 결정합니다.
   
   SASE 도입에서 실패하지 않기 위해서는 최소한의 벤더로 운용하는 것이 중요합니다.
   왜냐하면 관련된 벤더나 서비스가 늘어나면 관리나 운용 측면의 복잡성이 커져 SASE의 장점인 운용 비용 경감을 누릴 수 없기 때문입니다.

이번에는 「SASE」에 대해 설명했습니다.
「SASE」에 대해 기억해 주셨으면 하는 포인트는 아래와 같은 3가지입니다.

업무방식의 다양화나 원격근무가 보급됨에 따라 안전하고 편리하게 클라우드를 활용할 수 있는 구조가 요구되고 있습니다.
SASE는 앞으로의 클라우드 시대의 ‘구세주’라고도 할 수 있습니다.

쾌적한 네트워크 환경과 보안 확보를 모두 실현하고 싶다! 라고 생각하시는 경우에는 자사에 있어서 필요한 조건을 확인한 후 SASE 도입을 검토해 보는 것은 어떨까요.

IT아웃소싱과 Managed Serviced의 ISFNET｜클라우드 밎 네트워크 유지 보수