보안 액세스 서비스 에지

Secure access service edge

SASE(Secure Access Service Edge)는 클라우드 컴퓨팅 서비스로서 광역 네트워크(WAN) 및 보안 제어를 데이터 센터가 아닌 연결 소스(사용자, 장치, 사물 인터넷(IoT) 장치 또는 에지 컴퓨팅 위치)에 직접 제공하는 데 사용되는 기술입니다.[1] 클라우드 및 에지 컴퓨팅 기술을 사용하여 분산된 사용자 및 해당 애플리케이션의 오프프레미스 이동 증가로 인해 장거리의 모든 WAN 트래픽을 하나 또는 몇 개의 기업 데이터 센터로 백홀링할 때 발생하는 지연 시간을 줄입니다.[2] 이를 통해 조직은 분산된 사용자와 해당 장치를 디지털 전환 및 애플리케이션 현대화 이니셔티브로 지원할 수 있습니다.

보안은 방화벽과 같은 보안 어플라이언스가 아닌 디지털 ID, 실시간 컨텍스트 및 회사 및 규정 준수 정책을 기반으로 합니다. 디지털 아이덴티티는 사람에서 디바이스, 클라우드 서비스, 애플리케이션 소프트웨어, IoT 시스템 또는 임의의 컴퓨팅 시스템에 이르기까지 모든 것에 부착될 수 있습니다.[2]

이 용어는 시장 분석가인 가트너의 닐 맥도널드(Neil MacDonald)가 2019년에 만들었습니다.[3]

개요

SASE는 클라우드 액세스 보안 브로커(CASB), 보안 웹 게이트웨이(SWG), 바이러스 백신/멀웨어 검사, 가상 사설 네트워킹(VPN), 서비스형 방화벽(FWaaS), DLP(Data Loss Prevention) 등 네트워크 보안 기능과 SD-WAN을 결합하여 네트워크 가장자리에서 단일 클라우드 서비스를 통해 제공합니다.

SASE SD-WAN 기능에는 신뢰성 및 성능 향상을 위해 인공지능 플랫폼 AIOps를 사용한 트래픽 우선순위 지정, WAN 최적화, 통합 백본 및 셀프 힐링이 포함될 수 있습니다.[4][5]

WAN 및 보안 기능은 일반적으로 분산된 사용자, 지사 및 클라우드 서비스에 최대한 가까운 분산된 SASE Point of Presence(PoPs)에서 단일 서비스로 제공됩니다.[2] SASE 서비스에 액세스하려면 에지 위치 또는 사용자가 가장 가까운 사용 가능한 PoP에 연결합니다. SASE 공급업체는 고객에게 장거리 PoP-to-PoP 연결을 위한 빠르고 낮은 지연 시간의 WAN 성능을 제공하기 위해 여러 백본 공급업체 및 피어링 파트너와 계약할 수 있습니다.[2]

역사

SASE라는 용어는 Gartner 분석가 Neil McDonald와 Joe Scorupa에 의해 만들어졌으며 2019년 7월 29일 네트워킹 하이퍼 사이클[6] 및 시장 동향 보고서와 [7]2019년 8월 30일 Gartner 보고서에서 설명되었습니다.[2]

2021년 Gartner는 SSE(Secure Services Edge)라는 SASE 기능의 하위 집합을 정의했습니다.[8] SSE는 SD-WAN과 같은 네트워크 서비스와 함께 구현하여 완벽한 솔루션을 제공할 수 있는 SASE 보안 서비스 모음입니다.[8]

드라이버

SASE는 LAN 및 기업 데이터 센터를 희생시키면서 기업 내 모바일, 엣지 및 클라우드 컴퓨팅의 증가에 의해 주도됩니다. 사용자, 애플리케이션 및 데이터가 엔터프라이즈 데이터 센터에서 클라우드 및 네트워크 에지로 이동할 때, 보안 및 WAN을 에지로 이동하는 것은 대기 시간 및 성능 문제를 최소화하기 위해 필요합니다.[9]

클라우드 컴퓨팅 모델은 SD-WAN 및 보안 기능의 제공을 여러 에지 컴퓨팅 장치 및 위치에 위임하고 단순화하기 위한 것입니다. Gartner에 따르면 정책에 따라 SaaS 애플리케이션, 소셜 미디어, 데이터 센터 애플리케이션 또는 개인 뱅킹 등 동일한 엔티티의 서로 다른 연결 및 세션에도 서로 다른 보안 기능이 적용될 수 있습니다.[2]

클라우드 아키텍처는 탄력성, 유연성, 민첩성, 글로벌 도달 범위 및 위임 관리와 같은 일반적인 클라우드 향상 기능을 제공합니다.

특성.

SASE의 주요 요소는 다음과 같습니다.

  • WAN과 네트워크 보안 기능의 융합
  • 통합된 WAN 및 보안을 서비스형으로 제공하는 클라우드 네이티브 아키텍처로, 모든 클라우드 서비스의 전형적인 확장성, 탄력성, 적응성 및 자가 치유 기능을 제공합니다.
  • 비즈니스 사무실, 클라우드 애플리케이션 및 모바일 사용자가 위치한 모든 곳에서 낮은 지연 시간으로 모든 범위의 WAN 및 보안 기능을 제공하는 전 세계적으로 분산된 PoP 패브릭입니다. 모든 위치에서 낮은 지연 시간을 제공하려면 일반적인 퍼블릭 클라우드 공급자가 제공하는 것보다 SASE PoP가 더 많고 광범위해야 하며 SASE 공급자는 광범위한 피어링 관계를 가져야 합니다.
  • 아이덴티티 기반 서비스. ID는 사람이나 지사에서 장치, 애플리케이션, 서비스, IoT 장치 또는 엣지 컴퓨팅 위치에 이르기까지 연결 소스에서 모든 것에 연결할 수 있습니다. ID는 SASE 보안 정책에 영향을 미치는 가장 중요한 컨텍스트입니다. 그러나 위치, 시간, 연결 장치 및 애플리케이션의 위험/신뢰 상태 및 데이터 민감도는 각 WAN 세션 및 전체에 적용되는 보안 서비스 및 정책을 결정하는 다른 실시간 컨텍스트를 제공합니다.
  • 물리적 위치, 클라우드 데이터 센터, 사용자의 모바일 장치 및 에지 컴퓨팅을 포함한 모든 에지를 동일하게 지원하며, 모든 기능을 에지 위치가 아닌 로컬 PoP에 배치합니다. 로컬 PoP에 대한 에지 연결은 지사용 SD-WAN에서 모바일 사용자용 VPN 클라이언트 또는 클라이언트리스 액세스, 클라우드에서 여러 터널 또는 글로벌 데이터 센터 내의 직접 클라우드 연결에 이르기까지 다양할 수 있습니다.[9]

Gartner 등은 모바일 클라우드 지원 기업을 위한 SASE 아키텍처를 추진하고 있습니다. 이점은 다음과 같습니다.

복잡성 감소

SASE는 클라우드 컴퓨팅 모델과 모든 WAN 및 보안 기능에 대한 단일 공급업체와의 복잡성을 줄여줍니다. 각 위치의 여러 공급업체의 여러 보안 어플라이언스에 비해 말이죠. 복잡성 감소는 또한 여러 검사 서비스를 함께 체인화하는 것이 아니라 트래픽 스트림을 해독하고 여러 정책 엔진으로 한 번 검사하는 단일 패스 아키텍처에서 비롯됩니다.[10]

유니버설 액세스

SASE 아키텍처는 주로 기업 데이터 센터를 기반으로 액세스하는 것이 아니라 모든 위치에서 모든 엔티티의 모든 리소스에 대해 일관되게 빠르고 안전하게 액세스할 수 있도록 설계되었습니다.

비용효율

사전 자본 비용을 월 구독료로 전환하고, 공급업체와 공급업체를 통합하며, IT 부서에서 자체적으로 관리 및 유지 관리해야 하는 물리적 및 가상 지사 어플라이언스 및 소프트웨어 에이전트의 수를 줄이는 클라우드 모델의 비용 효율성. 비용 절감은 또한 SASE 공급자에게 유지보수, 업그레이드 및 하드웨어 업데이트를 위임함으로써 발생합니다.

성능

지연 시간에 민감한 비디오, VoIP협업 애플리케이션에 특히 유용한 지연 시간 최적화 라우팅을 통해 애플리케이션 및 서비스의 성능이 향상됩니다. SASE 공급자는 통신사 및 피어링 파트너와 계약된 고성능 백본을 통해 트래픽을 최적화하고 라우팅할 수 있습니다. 불필요한 라우팅을 피하기 위해 단일 PoP 내에서 단일 패스 아키텍처로 모든 보안 기능을 구현하여 성능도 향상되었습니다.[10] 구현에 따라 SASE는 장치에 필요한 앱 및 에이전트 수를 단일 앱으로 줄이는 동시에 사용자가 어디에 액세스하는지 또는 무엇에 액세스하는지에 관계없이 일관된 경험을 제공할 수 있습니다.[10]

일관된 보안

모든 WAN 보안 기능 및 WAN 연결을 위한 단일 클라우드 서비스를 통한 일관된 보안. 보안은 애플리케이션, 사용자 또는 장치의 위치 및 대상(클라우드, 데이터 센터 애플리케이션)에 관계없이 동일한 클라우드 서비스가 모든 액세스 세션에 제공하는 동일한 보안 기능을 기반으로 합니다. SASE 공급자가 새로운 위협에 적응하면 모든 에지에서 적응할 수 있습니다.[2]

비평

SASE에 대한 비판은 2019년 11월 9일 Tobias Mann이 작성한 sdxcentral 게시물에서 인용된 바와 같이 IDCIHS Markit을 포함한 여러 출처에서 나왔습니다.[11] 두 분석 회사 모두 SASE는 새로운 시장, 기술, 제품이 아니라 기존 기술과 단일 관리 소스를 통합한 Gartner 용어라고 비판합니다.

IHS Markit의 Clifford Grossner는 SASE 개념의 일부로 분석, 인공 지능 및 머신 러닝이 부족하고 기업이 단일 공급업체로부터 모든 SD-WAN 및 보안 기능을 얻고 싶어하지 않을 가능성이 있다고 비판합니다. Gartner는 여러 공급업체의 보안 및 SD-WAN 기능에 대한 서비스 체이닝이 "일관성 없는 서비스, 열악한 관리성 및 높은 대기 시간"을 초래한다고 반박합니다.[11]

IDC의 분석가 Brandon Butler는 SD-WAN이 SD-Branch로 발전할 것이라는 IDC의 입장을 인용하며, 이는 여러 지점에서 가상화된 SD-WAN 및 보안 기능을 중앙 집중식으로 구축하고 관리하는 것으로 정의됩니다.

SASE 기술

SD-WAN

주요기사 : SD-WAN

SD-WAN은 WAN을 통해 트래픽을 유도하는 네트워킹 하드웨어 또는 소프트웨어의 중앙 집중식 제어를 통해 광역 네트워킹을 단순화하는 기술입니다. 또한 개인 WAN 연결을 인터넷 광대역, LTE 및/또는 5g 연결과 결합하거나 대체할 수 있습니다. 중앙 컨트롤러는 정책을 설정하고 WAN 트래픽의 우선순위를 지정, 최적화 및 경로를 지정하여 최적의 성능을 위해 최적의 링크 및 경로를 동적으로 선택합니다. SD-WAN 공급업체는 SD-WAN 가상 또는 물리적 어플라이언스를 통해 일부 보안 기능을 제공할 수 있으며, 이들은 일반적으로 데이터 센터 또는 지사에 배치됩니다.

일반적으로 SASE는 로컬 PoP에서 제공되는 모바일 액세스 및 전체 보안 스택을 제공하는 클라우드 서비스의 일부로 SD-WAN을 통합합니다.

차세대 방화벽(NGFW)

주요 기사: 차세대 방화벽

NGFW는 기존 방화벽과 가상화된 데이터 센터에 맞게 조정된 다른 보안 및 네트워킹 기능을 결합합니다. 보안 기능에는 애플리케이션 제어, 심층 및 암호화된 패킷 검사, 침입 방지, 웹 사이트 필터링, 악성 프로그램 방지, 신원 관리, 위협 인텔리전스 및 WAN 서비스 품질 및 대역폭 관리가 포함됩니다.[12]

NGFW는 SASE가 제공하는 보안 스택의 하위 집합을 제공하며 일반적으로 SD-WAN 서비스는 포함하지 않습니다. NGFW는 사내 또는 클라우드 서비스로 배포될 수 있지만 SASE는 정의상 클라우드 아키텍처입니다. SASE는 WAN 연결에 보안을 집중하지만, NGFW는 데이터 센터 내부를 포함한 모든 곳에 배치할 수 있습니다.

서비스형 방화벽(FWaaS)

주요 기사: FWaaS

FWaaS는 소프트웨어 또는 하드웨어로서 사내가 아닌 클라우드 서비스로서 제공되는 방화벽입니다. 대부분의 FWaaS 제공업체는 NGFW 기능을 제공합니다. 일반적으로 전체 조직은 자체 방화벽 인프라를 유지할 필요 없이 단일 FWaaS 클라우드에 연결됩니다. SASE는 엣지 FWaaS를 다른 보안 기능 및 SD-WAN과 결합합니다.[2]

유사기술

서비스형 네트워크(NaaS)

주요 기사: 서비스형 네트워크

SASE와 NaaS는 개념상 중복됩니다. NaaS는 클라우드 구독 비즈니스 모델을 활용하여 가상화된 네트워크 인프라 및 서비스를 제공합니다. SASE와 마찬가지로 복잡성과 관리 비용을 절감할 수 있습니다. 일반적으로 서로 다른 NaaS 공급자는 WAN 패키지와 보안 VPN의 서비스형 패키지, 주문형 대역폭 또는 호스팅된 서비스형 네트워크와 같은 서로 다른 서비스 패키지를 제공합니다. 이와는 대조적으로 SASE는 지사, 모바일 사용자, 데이터 센터 및 기타 보안 엔터프라이즈 WAN 요구 사항을 위한 단일 포괄적인 보안 SD-WAN 솔루션을 의미합니다.

제로 트러스트 에지

리서치 회사 Forrester는 SASE와 유사한 유형의 통합 네트워크 및 보안 스택을 ZTE(Zero Trust Edge)라고 부릅니다.[13] Forrester는 Gartner의 모델과 유사하지만 사용자를 인증하고 권한을 부여하기 위해 신뢰할 수 없는 원칙을 통합하는 데 중점을 두고 있다고 설명합니다.[13]

장마당

Gartner는 SASE 솔루션 시장이 2025년 150억 달러 규모로 성장할 것으로 예상하고 있으며, 구매자들은 단일 또는 여러 공급업체 솔루션을 채택할 것으로 예상하고 있습니다.[14] 어떤 공급업체는 네트워킹 측면에 초점을 맞추는 반면, 다른 공급업체는 현재 SSE(Secure Service Edge)라고 불리는 보안 측면에 초점을 맞춥니다.[14] Dell'Oro Group의 2022년 3월 조사에서는 SAS 솔루션을 제공하는 30개 이상의 공급업체를 식별했으며, Cato Networks, Versa 및 VMware 공급업체는 유니파이드 SAS 플랫폼을 보유한 것으로 식별했습니다.[15]

표준

원래 메트로 이더넷 포럼(Metro Ethernet Forum)으로 알려진 MEF는 서비스 제공업체, 기술 제조업체 및 엔터프라이즈 네트워크 설계를 위한 소프트웨어 정의 네트워크 및 보안 인프라 서비스에 광범위한 초점을 맞춘 차세대 표준 조직이 되었습니다. MEF는 "Best of Breed" 솔루션 간의 상호 운용이 가능한 미래를 만들기 위해 교육 및 통합에 활용할 수 있는 여러 산업 표준을 만들기 시작했습니다. MEFSASE Services Definition(MEF W117) 위원회가 설립되어 공공용 기술 사양 초안을 제공할 예정입니다. 이 규격은 여러 서비스 공급업체뿐만 아니라 여러 기술 제조업체의 작업이며 MEF 70.1 초안 릴리스 1 SD-WAN 서비스 속성서비스 프레임워크와 같은 현재 MEF 기술 규격을 기반으로 합니다.

MEF는 2021년 8월 "MEF W117 초안 1.01 SASE(Secure Access Service Edge) SASE 서비스 속성 및 서비스 프레임워크"를 발표했습니다. 해당 문서는 MEF 참여 기업 및 회원이 이용할 수 있습니다.

참고 항목

참고문헌

  1. ^ "Invest Implications: 'The Future of Network Security Is in the Cloud'". Gartner. Retrieved 2020-04-05.
  2. ^ a b c d e f g h MacDonald, Neil; Orans, Lawrence; Skorupa, Joe (August 30, 2019). "The Future of Network Security Is in the Cloud". Gartner.
  3. ^ Musthaler, Linda (November 12, 2019). "SASE is more than a buzzword for BioIVT". Gartner. Retrieved June 24, 2022.
  4. ^ Conran, Matt (2019-10-24). "The evolution to Secure Access Service Edge (SASE) is being driven by necessity". Network World. Retrieved 2020-12-20.
  5. ^ Mann, Tobias (January 21, 2021). "SASE is more than a buzzword for BioIVT". Retrieved June 24, 2022.
  6. ^ "Hype Cycle for Enterprise Networking, 2019". Gartner. Retrieved 2020-12-20.
  7. ^ "Market Trends: How to Win as WAN Edge and Security Converge Into the Secure Access Service Edge". Gartner. Retrieved 2020-12-20.
  8. ^ a b Shackleford, Dave (March 1, 2022). "SASE is more than a buzzword for BioIVT". TechTarget. Retrieved June 24, 2022.
  9. ^ a b Conran, Matt (2019-10-03). "Secure Access Service Edge (SASE): A reflection of our times". Network World. Retrieved 2020-12-20.
  10. ^ a b c Maria, Dave (September 7, 2020). "What is SASE? A cloud service that marries SD-WAN with security". Network World. Retrieved June 24, 2022.
  11. ^ a b "Analysts Debate SASE's Merits as Vendors Board Hype Train". SDxCentral. Retrieved 2019-11-18.
  12. ^ "What is a Next Generation Firewall? Learn about the differences between NGFW and traditional firewalls". Digital Guardian. 2017-11-27. Retrieved 2020-12-20.
  13. ^ a b Mann, Tobias (February 16, 2021). "SASE is more than a buzzword for BioIVT". Forrester. Retrieved June 24, 2022.
  14. ^ a b "Forecast Analysis: Secure Access Service Edge, Worldwide". Gartner. March 1, 2022. Retrieved June 27, 2021.
  15. ^ Mann, Tobias (March 1, 2022). "VMware, Cato, Versa Claim Unified SASE Title". Gartner. Retrieved June 24, 2022.