[코레이즈] SASE / SSE (새시) 를 구현하려면? (feat. ZTNA) 1/2

안녕하세요 코레이즈입니다.

오늘은 SASE / SSE 개념과 클라우드가 확장되면서 생기는 보안을 어떻게 해야할지? 고민하시는 기업 보안담당자 분들을 위해서 글을 작성하게 되었습니다.

기업에서 클라우드 보안과 재택 근무 및 유연근무가 늘어나게 되면서, 기업 보안의 문제가 가속화 되고 있습니다.  기존 업무 환경에서는 모든 회사 정보의 저장소가 NAS 또는 파일서버에 보관되어 있기 때문에 외부에서 연결이 되는 WAN <-> LAN 구간의 보안을 강화하고, AAA를 도입하여 체계적인 보안이 가능했었습니다.

< 클라우드 저장소가 활성화 되기 전에는 AD를 이용한 컨설팅과 보안연계 및 SSO 구현 컨설팅>

 코레이즈도 예전 기업 보안  보안 컨설팅을 할때 내부 저장소의 접근 제어와 자료유출 및 계정SSO 통합을 중점적으로 컨설팅하였습니다.

이제는, Start-UP이 늘어나게 되면서 더이상 Legacy한 솔루션을 사용하지 않고, Cloud 클라우드 솔루션이 빠르게 확장되고 있습니다. 구글 GWS나 M365등의 메일 클라우드 시스템을 이용하고, 기본 계정시스템을 익숙한 메일시스템과 연결하여 사용하고, 3rd-Party 등의 솔루션은 SAML을 통한 SSO 연동을 원하는 니즈가 매우 빠르게 늘어 났습니다.

문제는 회사의 중요자산인 문서 또는 자료들이 클라우드 저장소에 함께 보관된다는 것인데요...

Google Drive, OneDrive, Sharepoint, Dropbox, AWS S3, GitHub, JIRA, Salesforce, Notion 등 이제는 당연하듯이 사용하는 클라우드 저장소가 보안담당자분들에게는 보안의 구멍이 된다는 것입니다.

<Cloud Storage 저장소가 늘어나면서 추가로 CASB 솔루션의 중요성이 늘어나고 있습니다>

 Client 컴퓨터에서 직접 유출되는 자료들은 DLP Agent 기반의 솔루션으로 어느정도 대처가 가능하지만, 클라우드 저장소 자체에서 외부로 공유되는 자료들과 링크들은 통제하기가 매우 어려워 지고 있습니다. 우리회사가 단일 클라우드 저장소만 사용한다면, 해당 솔루션의 License 등급을 올려 어느정도 보안을 컨트롤 할 수 있지만, 다양하게 사용하는 클라우드 저장소 시스템과 회사 인원이 매우 많다면 단순히 License 등급을 올려 비용을 감당하기는 점점 어려워 집니다.

 저희 홈페이지에서도 CASB(http://coraise.kr/solution/forticasb/) 에 대한 판매를 하고 있지만, CASB 는 여러 클라우드 저장소를 한눈에 관리하기 좋은 솔루션입니다. 다만, CASB 만으로는 모든 클라우드 보안을 통제하기는 어려운게 사실입니다.

 이러한, 문제를 해결하고자 Gartner에서는 2019년도에 SASE(새시) 보안 컨셉을 발표하게 됩니다. SASE는 보안 컨셉일뿐 특정 솔루션을 지칭하는 용어는 아닙니다.  SASE 솔루션을 구현하기 위해서는 SWG, ZTNA, CASB, FWaaS, DLP, Deep Inspection, WAN Edge 등이 필요합니다.

       출처 :  CATO Networks SASE(SSE)

SASE는 SASE = SDWAN + SSE 이며, / SASE - SDWAN = SSE 입니다.

SSE는 2021년 소개된 개념으로 SASE의 SD-WAN을 제외한 보안 정책 및 시행에 대한 정의를 의미합니다.

SSE의 주요기술은 SWG, CASB, ZTNA와 FwaaS, DLP, 웹격리 등의 솔루션이 있습니다.

단! 각각의 솔루션이 아닌 통합된 솔루션으로 고려되어야 한다는 점입니다.

ZTNA(Zero Trust Network Access) 

 : 제로트러스트 / 기본적으로 신뢰할 수 없고 어떤 것에도 액세스 할때 사용자 인증을 매번하는 컨셉

CASB(Cloud Access Security Brocker) 

 : 클라우드 액세스에 대한 인증 및 식별과 SSO 같은 보안 정책을 시행, 정책이 인가하지 ㅇ낳은 클라우드 애플리케이션을 통제와 규정준수

SWG(Secure Web Gateway) 

 : 웹기반 방화벽으로 웹사이트 사이에 위치하며, 악성코드감지, 웹액세스제어, URL 필터등을 수행한 후 트래픽을 리디렉션

FWaaS (Firewall as a Service) 

 : 클라우드 기반 방화벽 (IPS,IDS, URL 필터, DNS보안, ATP)

SASE와 SSE 모두 In-line 기반의 네트워크 트래픽 보안에 대한 목표점을 가지고 있습니다. SASE는 클라우드와 온프레미스 Application을 종합적으로 보호하며, SSE는 인프라스트럭처와 서비스를 보호하는 것에 중점을 두고 있습니다. 

SASE를 도입할 때는 현재 필요한 기능에 대한 니즈에 따라 SSE를 우선 도입해도 되지만, SASE 기반의 통합솔루션을 가지고 있는 벤더를 고민하여 SSE -> SASE 확장에 대한 향후 아키텍쳐를 고민하셔야 합니다.

다음 게시글에서는 SASE / SSE 도입에 대한 컨셉과 레퍼런스 및 AAA(인증, 권한, 계정)에 대한 SSO 까지 도입할때 고려해야 할 사항을 작성하도록 하겠습니다.

CORAISE

코레이즈는 Total IT 컨설팅 기업으로 기업에 필요한 IT의 모든것을 지원합니다.

보안컨설팅 및 SASE / SSE / ZTNA 와 인프라에 대한 고민이 있으시면 컨설팅을 요청해 주세요.

전화 문의 T. 02-1833-5805

영업 및 파트너 문의 [email protected]

홈페이지 www.coraise.kr