SASE와 ZTNA: SASE의 제로 트러스트 네트워크 액세스 기능
가트너의 제로 트러스트 네트워크 액세스(ZTNA) 시장 가이드는 기업의 60%는 2023년까지 VPN을 단계적으로 중단하고 ZTNA를 사용할 것으로 예상합니다. ZTNA를 채택한 주된 이유는 기업 네트워크 경계의 형태가 변했기 때문입니다. 클라우드 워크로드, 재택근무, 모바일, 온프레미스 네트워크 에셋을 처리해야 하는데, VPN 어플라이언스 같은 포인트 설루션은 여기에 적합한 도구가 아닙니다.
높은 수준에서 VPN보다 ZTNA가 좋은 점을 한마디로 요약하면 세분화입니다. 제로 트러스트 네트워크 액세스를 통해 VPN 수준의 액세스를 제한하는 것으로 ‘성과 해자’ 방식의 네트워크를 보안하는 것은 불가능합니다.
세분화 수준으로 제어하면 제로 트러스트 네트워크 액세스가 네트워크 액세스 SASE (보안 액세스 서비스 에지)를 요구하는 ID 방식도 보완할 수 있습니다. 제로 트러스트 네트워크 액세스가 클라우드 네이티브 네트워크 플랫폼에 설치되어 있으면, SASE를 통해 최신 기업 리소스(모바일 사용자, 사이트, 클라우드 애플리케이션, 클라우드 데이터 센터)를 적합한 액세스로 연결할 수 있습니다. ZTNA와 SASE는 어떻게 이러한 기능을 제공할까요? 지금부터 알아 보겠습니다.
제로 트러스트 네트워크 액세스란?
소프트웨어 정의 경계(SDP)인 제로 트러스트 네트워크 액세스는 클라우드와 온프레미스에서 애플리케이션과 서비스에 대한 액세스를 보호하는 최신 방식입니다. ZTNA 기능은 단순합니다. 명확하게 허용하지 않은 리소스에 대한 액세스 모두 거부합니다. 이 방식으로 네트워크에 대해 전반적으로 보안을 강화하고 더욱 촘촘하게 세분화할 수 있으므로 위반 상황 발생 시 내부망 이동을 제한할 수 있습니다.
현재, 이전 보안 어플라이언스로 기존 네트워크 보안 포인트 설루션을 사용하면 같은 서브넷 항목에 대한 네트워크 액세스 권한을 암묵적으로 얻을 수 있게 되어 본질적으로 위험과 공격 표면이 증가합니다. 그런데, ZTNA가 이 패러다임을 뒤집었습니다. ZTNA가 네트워크 리소스에 대한 액세스를 허용하여 애플리케이션 수준의 제한이 적용됩니다.
SASE와 제로 트러스트
ZTNA는 SASE의 주요 기능이 아닙니다. ZTNA 원칙에 따라 SASE는 모든 에지(사이트, 모바일 사용자, 클라우드 리소스)의 액세스를 제한합니다. 즉, NGFW와 SWG는 SASE가 액세스를 제한하는 방식이며, ZTNA는 SASE 에지가 액세스를 제한하는 등급입니다.
SD-WAN, WAN 최적화, 대역폭 같은 네트워크 서비스와 더불어 제로 트러스트 네트워크 액세스, NGFW 및 기타 보안 서비스가 SASE에 포함되어 클라우드 네이티브 플랫폼에 제공됩니다. 즉, SASE 아키텍처를 활용하면 제로 트러스트 네트워크 액세스의 이점뿐만 아니라 관리하기 쉽고 확장성이 뛰어난 전체 네트워크 및 보안 설루션 제품군도 사용할 수 있습니다.
SASE와 제로 트러스트 네트워크 액세스의 장점
첫 번째 장점은 ID 자동 거부 방식으로 보안 상태가 크게 향상됩니다. 악의적 사용자가 네트워크 에셋을 손상시켜도 ZTNA는 피해를 제한할 수 있습니다. 또한, SASE 보안 서비스를 통해 일반적인 네트워크 보안과 위협 감지에 대한 기본 네트워크 동작을 사전 예방으로 설정할 수 있습니다. 분명한 기준을 설정하면 악의적인 동작을 쉽게 감지하고 억제하며 방지할 수 있습니다.
SASE와 ZTNA의 결합의 장점인 보안 외에도, 오늘날 포인트 설루션으로 인해 발생하는 어플라이언스 확산과 네트워크 복잡성 문제를 해결할 수 있습니다. 기업은 VPN 포인트 설루션으로 SD-WAN과 NGFW 같은 어플라이언스를 추가적으로 구축해야 합니다. 즉, 어플라이언스가 필요한 사이트가 추가될 때마다 운영 비용 및 자본 비용이 늘어납니다. 또한, 어플라이언스, 모바일 사용자, 클라우드 서비스의 통합으로 네트워크 복잡성이 크게 증가한다는 뜻이기도 합니다.
모든 네트워크 에지에서 사용할 수 있는 클라우드 네이티브 설루션이 포함된 SASE와 ZTNA로 이 문제를 해결할 수 있습니다. 즉, 클라우드 서비스, 모바일 사용자, IoT, 해외 지사, 기업 네트워크 모두 구축의 번거로움이나 비용을 들이지 않고 보안 수준을 동일하게 유지할 수 있습니다.
기존의 포인트 설루션보다 SASE의 제로 트러스트 네트워크 액세스가 좋은 점:
- 쉬운 확장성. 어플라이언스가 무분별하게 퍼지면 네트워크가 늘어나기 때문에 VPN 포인트 설루션 관리가 힘들어집니다. SASE를 사용하면 멀티테넌트 클라우드 네이티브 플랫폼이 가진 확장성을 네트워크 보안에 추가할 수 있습니다.
- 세분화 강화. 기존 포인트 설루션에서는 IP 주소에 따라 액세스를 제한하는 정책을 따라야 합니다. SASE와 제로 트러스트 네트워크 액세스가 있으면 특정 애플리케이션과 ID까지 액세스를 제어하고 네트워크 가시성을 확보할 수 있습니다.
- 보안 강화. 포인트 설루션은 ‘성과 해자’ 패러다임으로 네트워크 보안을 했던 시절에 어울리는 서비스입니다. 하지만, 최신 네트워크에는 이 패러다임에 맞지 않는 토폴로지가 있습니다. SASE와 ZTNA는 모든 네트워크 에지를 처리(예: 클라이언트리스 모바일 액세스 활성화)하고 최신 네트워크 토폴로지에 맞게 구축한 보안 설루션을 사용하여 보안 수준을 크게 높였습니다.
- 더욱 빠르고 안정적인 서비스. VPN 어플라이언스는 종종 WAN의 속도를 늦추고 성능 저하 현상이 나타납니다. 어플라이언스마다 CPU가 있고 리소스 제한이 있기 때문입니다. 클라우드 네이티브 방식을 사용하면 리소스 제한 문제가 해결되고, 더 나아가 기본 네트워크 패브릭의 WAN 최적화 기능으로 인해 WAN 성능도 향상됩니다.
제로 트러스트 네트워크 액세스를 지원하는 최초의 SASE 플랫폼
SASE 시장은 성숙 단계에 있으며, 많은 SASE 판매업체가 SASE의 기능을 완전히 제공하지 못하고 있습니다. 그래서, SASE가 아닌 것을 반드시 파악해야 합니다. Cato 네트웍스는 가트너의 2019 기업 네트워크 하이프 사이클에서 대표 SASE 판매업체로 선정되었을 뿐만 아니라 세계 최초의 SASE 플랫폼이기도 합니다.
Cato는 처음부터 최신 기업 네트워크를 생각하고 SASE 플랫폼을 구축했습니다. 플랫폼에 포함된 보안 기능으로 제로 트러스트 네트워크 액세스, SWG, NGFW 그리고 SD-WAN, WAN 최적화 같은 네트워크 서비스와 함께 99.999% SLA 가동 시간을 지원하는 글로벌 사설 백본이 포함된 IPS가 있습니다. 그러므로, Cato는 현재 SASE가 가진 성능, 보안, 확장성 기능을 완벽하게 제공하는 유일한 판매업체입니다.
데모 신청 또는 문의하기를 통해 Cato SASE 플랫폼을 직접 체험해 보십시오. SASE에 대해 자세히 알아보고 싶다면, “The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)” eBook을 확인해 보십시오.