보안 서비스 에지란?

2021년 클라우드 보안 하이프 사이클(Hype Cycle for Cloud Security)에서 Gartner가 정의한 보안 서비스 에지 또는 SSE는 웹, SaaS 애플리케이션, 프라이빗 애플리케이션에 대한 액세스의 안전을 보장하는 SASE의 보안 구성 요소입니다. SSE에는 보안 웹 게이트웨이(SWG), 클라우드 액세스 보안 브로커(CASB), 제로 트러스트 네트워크 액세스(ZTNA), 서비스형 방화벽(FWaaS)과 같은 고급 보안 기능이 포함되어 있습니다.

보안 서비스 에지(SSE) 설명

하이브리드 업무 환경이 출현하면서 장소에 관계없이 어떤 디바이스로도 접속이 가능해짐에 따라 사용자는 클라우드에서 직접 비즈니스 애플리케이션과 민감한 데이터에 액세스하고 있습니다. 기존 보안 경계가 계속 소멸함에 따라 보안 기능 역시 클라우드로 이전하지 않으면 안 되는 상황입니다. SSE를 통해 조직은 클라우드에서 일관된 보안을 적용하고 여러 클라우드, 데이터센터, 서비스형 소프트웨어 애플리케이션에 두루 분산된 애플리케이션에 안전하게 액세스할 수 있습니다. 고급 SD-WAN과 결합한 SSE 솔루션은 클라우드 호스팅 애플리케이션에 대한 최종 사용자 경험 품질을 크게 향상하는 보안 액세스 서비스 에지(SASE) 아키텍처를 생성합니다.

SSE의 작동 원리는?

SSE 솔루션은 웹, 클라우드 서비스, 프라이빗 애플리케이션에 대한 원격 액세스를 안전하게 보호합니다.

기존에는 기업이 자체 애플리케이션을 데이터센터에서 중앙집중식으로 호스팅하여 방화벽, IDS/IPS와 같은 다양한 보안 검사를 지원하였습니다. 애플리케이션이 클라우드 및 원격 근무 이니셔티브로 이동함에 따라 기업은 애플리케이션이 기존 보안 경계 바깥에 있는 분산된 환경에서 작동할 때 외부 위협으로부터 보호하는 데 어려움을 겪고 있습니다. 레거시 네트워크 인프라로 인해 IT 부서는 사용자와 SaaS 애플리케이션 간의 모든 연결을 모니터링하지 못합니다. 또한 보안 검사를 위해 클라우드로 향하는 트래픽을 데이터센터로 유도함으로 인해 애플리케이션 성능 및 사용자 경험에 상당히 부정적인 영향을 미칩니다.

보안 서비스 에지 솔루션은 조직이 사용자 및 디바이스를 포함한 엔드포인트에서 더 가까운 곳에서 고급 보안 검사를 수행할 수 있도록 지원하는 클라우드 제공 서비스입니다. SSE는 사용자가 접속하는 위치와 관계없이 위협 방어, 데이터 보안, 보안 모니터링, 액세스 제어를 제공하는 동적 보안 경계를 생성합니다.

SSE의 구성 요소

보안 서비스 에지(SSE)는 다음 4가지 핵심 보안 구성 요소를 포함합니다.

  • ZTNA
    ZTNA는 사용자가 믿을 수 있다고 입증될 때까지는 기본적으로 신뢰할 수 없고 어떤 것에도 액세스할 수 없다고 가정합니다. 연결된 사용자에게 회사 네트워크에 대한 광범위한 액세스 권한을 부여하는 VPN과 달리 ZTNA는 신뢰 브로커를 통해 사용자 액세스를 사용자에게 승인된 특정 애플리케이션 또는 마이크로세그먼트로 제한합니다.
  • CASB
    CASB는 클라우드 투 클라우드 액세스를 포함한 클라우드 애플리케이션에서 민감한 데이터를 식별 및 감지하며 인증, Single Sign On(SSO)과 같은 보안 정책을 시행합니다. 또한 사용자가 조직의 IT 및 보안 정책이 인가하지 않은 클라우드 애플리케이션을 사용 및 가입하는 것을 방지합니다. 이로써 조직은 보안 및 규정 준수 문제의 원인이 되는 섀도우 IT를 줄일 수 있습니다.
  • SWG
    SWG는 몇 가지 방어 기법을 사용해 조직을 웹 기반 위협으로부터 보호합니다. 사용자가 SWG 솔루션에 접속할 수 있도록 사용자와 웹사이트 사이에 상주합니다. 이 솔루션은 URL 필터링, 악성 코드 감지, 웹 액세스 제어 등 몇 가지 보안 검사를 수행한 후 트래픽을 웹사이트로 리디렉션합니다.
  • FWaaS
    FWaaS는 여러 소스에서 시작된 트래픽을 분석하는 클라우드 기반 방화벽입니다. FWaaS는 기업 본사, 원격 지사, 모바일 사용자 등 조직이 운영하는 여러 위치에서 시작되는 트래픽을 통합합니다. FWaaS는 IDS/IPS, 고급 위협 방지, URL 필터링, DNS 보안과 같은 중요 액세스 제어를 지원하는 경우가 많습니다.
  • 위에 설명한 핵심 기능 외에 데이터 손실 방지(DLP), 원격 브라우저 격리(RBI), 샌드박싱 등 기타 보안 서비스를 제공할 수 있습니다.

SSE와 SASE는 어떤 차이가 있나요?

2019년 Gartner는 SD-WAN 기능을 클라우드 제공 보안 서비스와 결합한 SASE(Secure Access Service Edge, 보안 액세스 서비스 에지)라는 용어를 만들었습니다. 네트워킹과 보안이 서로 긴밀하게 연관되어 있다 하더라도 각기 다른 두 가지 매우 복잡한 전문성 영역을 유지하고 있습니다. 보안은 끊임없이 변화하는 사이버보안 위험에 맞선 방어를 보장하기 위해 빠르게 진화하고 있는 반면, 광역 네트워킹은 빠르고 견고하고 유연한 연결을 제공하는 것과 관련이 있습니다. 또한 보안과 네트워킹은 일반적으로 여러 팀이 관리합니다.

2022년 초에 Gartner는 SASE의 클라우드 제공 보안 구성 요소에 대해 SSE Magic Quadrant라는 새로운 범주를 설정하였습니다. SSE는 SASE의 보안 비전을 실현하도록 지원하는 일련의 보안 서비스를 정의하는 반면, SD-WAN은 SASE의 WAN 에지 네트워킹 기능 요구사항을 정의합니다.

간단히 말하자면 SASE = SD-WAN + SSE입니다.

SASE = SD-WAN + SSE

SSE를 고려해야 하는 이유

  • 보안 원격 액세스 권한 제공
    하이브리드 업무가 새로운 표준이 됨에 따라 기업은 원격 근무자가 어디서든 접속할 수 있도록 이들에 대한 보안을 강화해야 합니다. SSE는 기본적으로 어떤 사용자도 신뢰할 수 없다로 가정하는 제로 트러스트 기능을 제공합니다. 식별한 결과에 따라 사용자는 네트워크의 특정 부분에 액세스하고 조직 내에서 맡은 역할과 관련성이 있는 클라우드 애플리케이션만 볼 수 있습니다. 이로써 사용자가 민감한 회사 데이터에 액세스하여 이용하는 것을 방지할 수 있습니다.
  • 클라우드 우선 조직을 외부 위협으로부터 보호
    디지털화가 가속화되는 것과 같은 속도로 사이버 범죄도 증가하였습니다. 대부분의 애플리케이션이 클라우드로 이동함에 따라 조직은 디지털 자산을 효과적으로 보호할 수 있는 방식을 모색하지 않으면 안 됩니다. SSE는 방화벽 기능을 제공하고 URL 필터링, 악성 코드 감지와 같은 몇 가지 기법을 사용해 조직을 웹 기반 위협으로부터 보호합니다. CASB 기능 덕분에 SSE는 보안 정책을 시행함으로써 클라우드에서 호스팅되는 민감한 데이터를 보호할 수 있습니다. 원격 브라우저 격리(RBI)와 같은 기타 보안 기능은 악성 코드가 없는 웹 페이지를 다시 구성함으로써 웹 사용자를 인터넷에서 격리합니다.
  • 고급 SD-WAN으로 동급 최고의 SASE를 구축하도록 지원
    고급 SD-WAN 솔루션은 여러 SSE 벤더와 긴밀히 통합됨으로써 조직이 성능 또는 보안 약화 없이 동급 최고의 SASE 아키텍처를 구축할 수 있도록 지원합니다. 또한 조직이 최상의 SSE 솔루션을 선택할 수 있는 자유를 제공합니다. SSE 솔루션과의 통합을 위해 고급 SD-WAN은 지점과 SSE PoP(Points of Presence) 간 보안 터널 구성을 자동화하고, 첫 번째 패킷에서 애플리케이션을 식별하고, 특정 애플리케이션에서 시작된 트래픽에 정책을 할당하고, 조직이 설정한 보안 정책에 따라 트래픽을 SSE 서비스로 자동 라우팅할 수 있습니다.

SASE는 어떤 이점이 있나요?

  • 보안 강화
    SSE는 보안을 사용자와 더 가까운 곳에 구현하고 엔터프라이즈 방화벽 외부의 연결에 대한 더 유연한 접근방식을 지원합니다. 클라우드에서 호스팅되는 SSE는 최신 보안 위협에 대응할 수 있도록 손쉽게 업데이트되며, 정책 변경은 원격 사용자에게 즉시 자동으로 푸시되므로 일관된 보안 접근방식을 제공합니다.
  • 운영 간소화
    SSE는 몇 가지 보안 서비스를 하나의 플랫폼으로 통합하여 보안 정책의 이중화를 제거하고 보안 정책을 서로 조화롭게 운영함으로써 중첩을 제거하고 단일 플랫폼의 이점을 최대한 활용합니다. 또한 중심 위치에서 보안 사고에 대한 더 큰 가시성을 제공하며, 운영 간소화 및 비용 절감을 지원합니다.
  • 동급 최고의 SASE
    SD-WAN과 SSE라는 두 가지 서로 구분되는 기능을 이용해 기업은 동급 최고의 SASE 아키텍처를 구축해야 하는 필요성에 부합하는 최상의 네트워킹 및 보안 기능을 선택할 수 있습니다. 또한 고급 SD-WAN 솔루션을 통해 조직은 역할 및 ID에 따라 네트워크를 동적으로 세분화하는 차세대 방화벽 기능을 통합함으로써 SASE를 넘어 IoT 장치의 안전도 보장할 수 있습니다.

시작할 준비가 되었나요?