모니터랩 연구소 부소장 김동한 수석연구원 언택트 시대의 대안으로 클라우드를 통한 보안이 떠오르고 있다. 모니터랩은 보안 어플라이이언스 개발/공급을 뛰어넘어 다양한 보안 솔루션들을 클라우드를 통해 딜리버리 하고 있는데, 자체 개발한 SECaaS인 AIONCLOUD 서비스를 SASE 플랫폼을 통해 글로벌 딜리버리가 가능하도록 AISASE 플랫폼을 구축하여 서비스 하고 있다. SASE의 기본 개념과 AISASE 아키텍쳐에 대해 알아보도록 한다.
|
- SASE란 무엇인가
출처 : https://www.gartner.com/doc/reprints?id=1-6QW0Z4A&ct=190528&st=sb
SASE(Secure Access Service Edge)는 2019년 Gartner에 의해 처음 소개된 것으로, WAN 및 여러 네트워크 보안 솔루션들을 클라우드 기반 서비스로 통합하여 동적 보안 액세스를 지원하는 네트워크 보안 기술을 말한다.
과거와 달리 현대의 클라우드 환경에서는 보안 액세스가 필요한 사용자, 장치, 네트워크 기능은 어디에나 있을 수 있으므로, 보안 액세스 서비스 또한 어디에나 있을 수 있어야 한다. SASE는 필요한 서비스를 요청에 의해 딜리버리 하는데, 이것은 서비스를 요청하는 엔티티의 위치와 네트워크에 관계없이 정책 기반으로 동적으로 생성된 엣지를 통해 제공된다. 복잡성과 비용이 감소하며, 성능 향상과 Latency 감소, 향상된 보안 등의 이점이 있고, 중앙 집중형으로 모든 엣지의 보안 정책을 통합 관리할 수 있게 된다.
출처 : https://www.gartner.com/doc/reprints?id=1-6QW0Z4A&ct=190528&st=sb
SASE를 구성하는 요소는 여러 가지가 있겠지만, 핵심 구성 요소는 SD-WAN(Software-defined WAN), VPN(Virtual Private Network), ZTNA(Zero Trust Network Access), QoS(Quality of Service), DNS, FWaaS(Firewall as a Service), Thread Prevention, SWG(Secure Web Gateway), DLP(Data loss prevention), CASB(Cloud Access Security Broker) 등이 있다.
출처 : https://www.gartner.com/doc/reprints?id=1-6QW0Z4A&ct=190528&st=sb
- AISASE 아키텍쳐
AISASE는 크게 AIONCLOUD Security Center와 AIONCLOUD Security Edge로 구분이 되는데, AIONCLOUD Security Center에는 Service Gateway, Security Manager, Master DB 등이 있고 리전 별로 구축된 AIONCLOUD Security Edge에는 네트워크 기능 및 여러 보안 서비스들이 멀티테넌시 아키텍처를 기반으로 동작하게 된다.
AIONCLOUD Security Center는 엣지들이 사용자에게 보안 서비스를 제공하기 위해 필요한 정보(계정, 도메인 등) 및 정책, 사용 통계 및 로그, 이벤트 등이 저장되어 있고 이를 관리하고 모니터링할 수 있는 통합 콘솔을 웹으로 제공한다.
AIONCLOUD Security Edge는 실제 사용자에게 제공할 보안 서비스 및 네트워크 기능이 제공되며, 가상 사설 네트워크를 통해 서로 연결하여 글로벌 프라이빗 백본을 구성하게 되면 SD-WAN 기능을 제공함과 동시에 리전 간 Fail-over/back을 지원할 수 있다. 현재 제공하고 있는 보안 서비스는 서버 사이드 보안 서비스인 WAF(Web Application Firewall), WMD(Web Malware Detection)와 클라이언트 사이드 보안 서비스인 SWG(Secure Web Gateway)가 있다. 앞으로 AISASE 플랫폼과 모니터랩의 고성능 프록시 기술을 접목시키면 다양한 보안 서비스들(VPN, ZTNA, DLP 등)을 클라우드를 통해 딜리버리 할 수 있게 될 것이다.