글: Nir Zuk, Palo Alto Networks 설립자 겸 CTO
애플리케이션이 클라우드로 이동하고 사용자 이동성이 증가하면서 네트워킹 및 네트워크 보안 서비스 제공 방식이 바뀌고 있습니다. 네트워크 보안의 미래는 클라우드에 있으며, 이 새로운 모델은 SASE(Secure Access Service Edge)(발음은 “새시”)로 알려져 있습니다. Palo Alto Networks 설립자 겸 CTO인 Nir Zuk는 업계에서 가장 포괄적인 SASE인 Prisma Access 제품을 통해 지난 몇 년간 이 변화를 주도해 오고 있습니다. 이 기고문에서 Nir은 왜 SASE가 네트워크 보안의 논리적인 발전인지를 설명합니다. 이 기고문은 Palo Alto Networks 사고 리더들이 효과적이고 통합된 SASE 솔루션의 핵심 원칙, 더 넓게는 구현과 그 영향까지 살펴보는 시리즈의 첫 번째 순서입니다.
클라우드 기반 세계에서, 보안은 통합되고 일관되어야 하며 안전이 인증된 클라우드에서 제공되어야 합니다. 이는 보안 분야에서 쌓아온 저의 모든 경력을 승화시킨 말입니다. 보안 분야는 기술의 변화에 발맞추고 사용자, 애플리케이션 및 데이터를 보호하기 위해 끊임없이 발전해야 했습니다. 그 중심 원칙은 변하지 않았습니다. 그러나 미래의 네트워크 보안과 다가오는 통합의 시대에 레거시 포인트 제품의 접근방식은 더 이상 효과가 없습니다.
거의 25년 전에, 저는 업계 최초의 상태 저장 검사 방화벽을 개발한 주요 개발자였습니다. 그때는 인터넷 초기 시절이었기 때문에 상태 비저장 ACL(액세스 제어 목록)이 우수한 방화벽 기술이었습니다. 그러다가 ACL은 인터넷 오디오 및 비디오 애플리케이션(또는 예전의 FTP) 등 상태 저장 애플리케이션의 출현에 대처할 수 없어, 확실히 새로운 접근방식이 필요했습니다. 프록시는 너무 느리고 이러한 많은 애플리케이션을 차단하려는 경향이 있기 때문에 프록시 기술을 사용하려는 시도는 소용없는 것으로 밝혀졌습니다. 상태 저장 검사는 유용하고 안전한 것으로 드러나, 그때부터 네트워크 보안 시장을 장악했습니다.
거의 15년 전, 인터넷 애플리케이션 수가 폭발적으로 증가하면서 상태 저장 검사가 어려워지기 시작하자, 다시 새로운 접근방식을 찾아야 했습니다. 초기에는 프록시 기술을 사용하여 이 문제에 대응하려는 시도도 있었습니다(두 번째 시도!). 그러나 프록시 고유의 낮은 성능과 모든 유형의 네트워크 트래픽을 검사할 수 없다는 점 때문에 다시 한번 더 실패했습니다. 저는 다시 방화벽을 수정해야 한다고 생각했는데, 이 때문에 Palo Alto Networks를 시작하고 상태 기반 검사를 대체할 방법, 즉 App-ID 기반 차세대 방화벽을 구축하게 된 것입니다. 그리고 이 방화벽은 오늘날 단연코 시장을 선도하는 방화벽이 되었습니다.
그러나 지금 우리는 네트워크 보안에 또 다른 변화를 가져오는 애플리케이션의 또 하나의 변화를 목격하고 있습니다. 이번 변화는 애플리케이션이 기업 데이터 센터에서 클라우드(SaaS 및 퍼블릭 클라우드)로 이동하고 있다는 것입니다. 클라우드 채택은 방화벽 아키텍처에 다시 도전장을 내밀고 있으며 저는 여기에 대응해야 합니다. 그리고, 맞습니다. 이 문제를 해결하려는 초기 시도는 프록시를 사용한 것이며, 이전과 동일한 이유로 실패하고 있습니다.
이제 다시 한번, 네트워크 보안을 수정해야 할 때가 되었습니다.
시간이 지나면서 기업은 일반적으로 상당한 네트워크 보안 인프라를 구성했습니다. 그중에는 지점을 보호하기 위한 인프라가 있는데, 여기서는 대개 트래픽이 IP-VPN(MPLS를 생각해 보세요.) 네트워크를 통해 본사 또는 데이터 센터로 백홀되고 인터넷 트래픽은 거기서 해당 기업의 네트워크 보안 스택을 통해 라우팅됩니다. 그리고 기업 데이터 센터에 대한 원격 액세스를 허용하는 네트워크 보안 인프라가 있습니다.
애플리케이션이 클라우드로 이동함에 따라, 모든 지점, 사용자 및 파트너 트래픽을 본사 또는 데이터 센터를 통해 강제로 돌리는 이전의 방법은 더 이상 의미가 없습니다. 클라우드에서 동일한 네트워크 보안 스택을 제공하여 클라우드로 가는 그러한 트래픽이 기업 네트워크에 충돌할 필요가 없고 기업 데이터 센터로 가는 트래픽이 줄어들게 하는 것이 훨씬 더 일리가 있습니다.
클라우드에서 네트워크 보안을 제공하면 사용자, 애플리케이션 및 데이터가 어디에 있든 간에 보호할 수 있습니다.
SASE: 어디서나 더욱 안전한 환경
Gartner는 네트워킹 및 네트워크 보안을 위한 클라우드의 새로운 모델을 제안했습니다. 이 새 모델은 SASE(Secure Access Service Edge)(발음은 “새시”)로 알려져 있습니다. Gartner는 이렇게 설명합니다.
“SASE(Secure Access Service Edge)는 포괄적인 WAN 기능과 포괄적인 네트워크 보안 기능(예: WG, CASB, FWaaS, ZTNA)을 결합하여 디지털 기업의 동적 보안 액세스 요구를 지원하는 새로운 서비스입니다.”
사실상, Gartner는 SASE가 클라우드 및 모바일 환경의 요구를 충족할 수 있으며 기존 네트워크 및 보안 아키텍처의 문제를 해결할 수 있다고 주장합니다.
저는 이 개념에 동의하며, 제 생각에 그 방법은 비교적 간단합니다. SASE는 서로 다른 액세스 및 네트워크 보안 방법을 하나의 응집된 플랫폼으로 통합합니다. 그러나 가장 중요한 것은, 이 응집된 플랫폼이 원활한 사용자 경험을 보장해야 한다는 것입니다. 이는 대부분의 소규모 공급업체의 역량을 넘어서는 고성능 글로벌 네트워크에 구축해야 합니다. SASE는 보안 업계에서 전례 없던 통합 수준을 요구합니다. 이 방식은 진입 장벽이 매우 낮은 단편화된 보안 산업의 다른 접근방식과 다릅니다.
사이버 보안 산업은 고객에게 여러 공급업체와 협력하고 여러 포인트 제품과 기술을 사용해야 한다는 사실을 납득시키기 위해 노력해 왔습니다. 그러나 네트워크 보안의 미래는 클라우드에 있으며, 보안 공급업체는 어디서나 고객을 효과적으로 보호하기 위해 진화해야 합니다.
Palo Alto Networks에서는 이러한 변화를 예견하여 강력한 SASE 솔루션을 구축했습니다. Prisma Access는 모든 트래픽, 모든 애플리케이션 및 모든 사용자를 위해 설계된 SASE 아키텍처에서 기업에 필요한 네트워킹 및 네트워킹 보안을 제공합니다.
SASE에 대한 자세한 내용은 다음 Gartner 보고서에서 확인해 보십시오. The Future of Network Security Is in the Cloud(네트워크 보안의 미래는 클라우드에 있습니다).
Gartner는 자사의 연구 간행물에 언급된 공급업체, 제품 또는 서비스를 보증하지 않을 뿐 아니라 기술 사용자들에게 최고 등급을 받은 공급업체 또는 기타 지정 공급업체만 선택할 것을 권장하지도 않습니다. Gartner 연구 간행물은 Gartner 연구 조직의 의견으로 작성되므로 객관적인 사실로 해석되어서는 안 됩니다. Gartner는 상업성 보증 또는 특정 목적 적합성을 포함하여 본 연구와 관련된 명시적 또는 묵시적 보증을 모두 부인합니다.
Gartner, The Future of Network Security Is in the Cloud(네트워크 보안의 미래는 클라우드에 있습니다), Neil MacDonald, Lawrence Orans, Joe Skorupa, 2019년 8월 30일.