![[코레이즈] SASE / SSE (새시) 를 구현하려면? (feat. ZTNA) 2/2](https://shareditassets.s3.ap-northeast-2.amazonaws.com/production/uploads/post/featured_image/30338/3333.png)
안녕하세요 코레이즈입니다.
SASE / SSE 기업에서 구현할때의 고려사항에 대한 두번째 얘기입니다.
SASE 와 SSE 도입시에 추가적인 고려사항은
1. 우리회사는 SASE / SSE 를 왜 도입하려는 것인가?
2. 우리회사의 SSO를 어떻게 가져갈 것인가?
첫번째는 SASE / SSE 도입이유의 필요성입니다.
SASE/SSE 솔루션 자체가 모든 트래픽을 In-Line 구조로 클라우드에 보내는 구조입니다. 그렇다면 일반 인터넷 속도보다는 매우 제한적인 트래픽 속도를 가지게 됩니다. (임직원들의 불만이 생기는 구간이죠...) 이를 해결하기 위해서는 PoP 및 리전을 한국으로 지정해야 하는데, 이럴경우 비용에 대한 부담이 추가적으로 발생합니다.
●업무에 제한된 트래픽 속도 (이메일, ERP 등 업무에는 지장이 없지만, 체감상 느린 속도 발생)
●한국리전 지정에 대한 비용 증가
모든 트래픽을 In-Line 으로 보내지 않고 특정 트래픽과 특정 어플리케이션만 사용중인 기본 회선으로 라우팅을 변경할 수 있는 SASE 솔루션도 있으니, 꼭 확인해 보시기 바랍니다. CASB 또는 DLP 검사가 꼭 필요한 어플리케이션들은 In-Line 클라우드로 보내 검사를 수행할 수 밖에 없습니다.
●어떤 임직원들을 SASE로 사용하게 지정할 것인가?
- 기사용중인 SSL VPN 솔루션과 충돌로 인한 중복비용 발생
- 기사용중인 DLP, DRM, ZTNA 솔루션과 충돌로 인한 중복비용 발생
추가적인 SASE/SSE 도입시에 이미 도입한 솔루션들에 의한 Sunk Cost 가 발생하게 됩니다. 처음부터 솔루션이 없는 상황에서는 모든 제어가 가능한 SASE/SSE 제품이 훌륭한 대안이 될 수 있지만, 이러한 경우에 추천드릴 수 있는 방법은 Hybrid 구조를 추천드릴 수 있습니다. 접근 어플리케이션별로 선택적인 솔루션 사용과 회사 자산이 아닌 개인 컴퓨터 머신(BYOD)들의 경우 회사의 보안 솔루션에 대한 라이선스를 지급하기는 오히려 부담스럽기 때문에 SASE가 훌륭한 대안이 될 수 있습니다.
●최소한의 수량
- 도입에 앞서 라이선스 최소 수량을 고민해 보시기 바랍니다. 대부분 SASE 솔루션이 50 User 이상입니다!
●중복비용 투자
- 이미 도입한 SASE 와 중복되는 솔루션의 중복비용을 어떻게 줄일 수 있을 것인가?
●클라우드 제품의 사용량?
- 클라우드 제품을 사용하지 않는데, SASE 도입이 필요있을까?
- SASE 이외의 SSE 나 ZTNA 만으로도 가능한 보안 수준이 아닐까?
2. 우리회사의 SSO를 어떻게 가져갈 것인가?
많이 간과되고 있는 사항인데, Account 에 대한 연계가 필수적입니다.
- 보안 (AAA) Triple-A 에서 Authentication(인증), Authorization(권한부여), Accounting
(계정 관리)는 필수적인 사항입니다. 특히 ZTNA 를 사용하시려면, Account 에 대한 SSO 를
가져가셔야 합니다.
- Account 는 임직원 사용 측면에서 편리하고 간편해야 합니다. 모든 솔루션이 다른 ID/PW를
가지고 있다면, 임직원들의 피로도는 늘어나며, 관리자의 PW변경 업무는 매우 늘어나고,
이는 누락되는 사항이 발생하여 장기적으로는 보안의 구멍이 발생하게 됩니다.
(만약 HR팀에서 퇴사자 및 휴직자 발생시 정보를 공유해 주지 않는 다면, 계정 권한은
남아있게 됩니다.)
- 계정에 대한 Life Cycle 이 관리되고 있지 않다면, 보안의 구멍이 발생하는 것은 필수 입니다.
계정 Account 요즘에는 E-mail 기반으로 구성됩니다. 임직원도 E-mail 기반이 편리하고
쉽습니다.
단, 이러한 E-mail 기반으로 Account를 SSO로 하려면 몇가지 인증이 필요하게 됩니다.
크게, GWS(Google Workspace) 또는 M365(Microsoft) 를 많이 사용하십니다.
두 제품 모두 SAML 인증을 지원하기 때문에, SASE 와의 연동을 손쉽게 가져갈 수 있습니다.
SAML FLOW
AD(Active Directory) On-Premise 사용시 가능한 방법
1.AD FS 이용
2. AD <-> Okta 사용
3. AD <-> AAD Connector 를 이용 M365에 동기화 Entra ID를 이용한 SAML 연동
이런 시나리오를 구성하면 AD(On-Premise) 제품도 Cloud SASE와 연동된 하나의 SSO를 가져가실 수 있습니다.
인증까지 고려한 상태라면 이제는 ZTNA를 어떻게 구현할지에 대한 고민이 남아있습니다.
ZTNA 솔루션은 많지만, 어떻게 비용을 절약하면서 원하는 형태의 ZTNA를 구성할지 고민하셔야 합니다.
SASE/SSE 와 ZTNA 컨셉중에 중요한 것은 단일화된 통합 솔루션과 향후 확장성입니다.
네트워크와 통합되는 보안이 되어야 하기 때문에, 현재 사용하시는 방화벽(UTM) 또는 네트워크 장비와 호환성 또는 연동이 되는 제품을 추천 드립니다.
ex) FortiGate 를 사용중이라면, FortiClient ZTNA 를 추천
FortiClient ZTNA 솔루션은 이미 보유하고 있는 FortiGate 와 연동이 되어 ZTNA를 바로 손쉽게 구현하실 수 있습니다.
SASE / SSE를 고려하고 계신다면, 추천드릴 제품은 FortiSASE 제품입니다.
포티넷에서 출시된 FortiSASE제품은 현재 사용중인 FortiGate 와 연동이 가능하며, 추가적인 네트워크 ZTNA 보안기능을 제공합니다.
한국 리전(PoP) 도 제공하며, 여러개의 리전도 선택이 가능합니다.
보안으로 유명한 FortiGuard에서 제공하는 IPS 와 FortiGate와 동일한 방화벽을 추가적으로 제공하고 있습니다.
FortiClient 통합 Agent로 SSL VPN과 SIA(안전한 인터넷 엑세스) 를 동시에 사용하시면서, 추가적인 방화벽 도입 비용이 발생하지 않습니다.
Account 연동으로는 SAML을 지원하는 Okta, GWS, M365 (Entra ID)를 솔루션과 연동이 가능하며,
On-Premise AD 와의 연동도 지원합니다.
안전한 인터넷 엑세스 기능(SIA)을 사용하면서 내부 Private 한 Intranet의 서버를 접근해야 한다면,
SPA(Secure Private Access) 를 이용하여, 기존 사용중인 FortiGate 와 연동하여 접근이 가능합니다.
FortiSASE(포티새시)는 빠르게 성장중이며, 최근 NEXT DLP를 인수하여 FortiSASE의 추가적인 기능을 준비하고 있습니다. DLP 기능의 완성도가 더욱 증가할 것 같습니다.
SASE 도입시에는 많은 부분이 고려가 되어야 합니다.
-> 네트워크, AAA, 인증, SASE, DLP, SSE 등 모든 솔루션 네트워크 및 인프라를 통합으로 컨트롤 하는 기업과 고민하고 컨셉을 세우셔야 합니다.
코레이즈는 AD 구축 및 운영, Okta(옥타) 포커스 파트너, Fortinet(포티넷) 파트너, Microsoft Gold Partner, Google Premium Partner 로서
네트워크와 인프라 및 클라우드까지 한번에 설계가 가능한 기업입니다.
CORAISE
코레이즈는 Total IT 컨설팅 기업으로 기업에 필요한 IT의 모든것을 지원합니다.
보안컨설팅 및 SASE / SSE / ZTNA 와 인프라에 대한 고민이 있으시면 컨설팅을 요청해 주세요.
전화 문의 T. 02-1833-5805
영업 및 파트너 문의 [email protected]
홈페이지 www.coraise.kr
0개의 댓글이 있습니다.