"복잡하게 연계된 하이브리드 워크, 통합 SASE로 해결"
"기업이 여러 클라우드 플랫폼과 애플리케이션을 혼용하게 되면서 네트워킹에 전반적인 보안 정책을 획일화하기 힘들어졌다. 연계되는 플랫폼이 많아지고, 시스템 이용 위치도 다양해지다보니 대역폭은 낭비되고, 정책 적용은 느슨해지기 쉽다. HPE 아루바는 서비스액세스보안엣지(SASE)와 서비스보안엣지(SSE)를 통합적으로 제공해 모든 사용자, 장치, 서버 등의 위치에나 경로에 상관없이 안전하게 이용하게 해준다.” 한창훈 한국HPE 아루바네트워킹 기술팀 총괄은 최근 본지와 인터뷰에서 HPE 아루바의 SASE 솔루션에 대해 이같이 설명했다. SASE는 네트워킹 및 보안 기능을 단일 플랫폼으로 통합하고 전 세계에 분산된 인력을 위해 모든 사용자, 장치, 애플리케이션을 안전하게 연결하는 IT 프레임워크를 말한다. 각 지점에 구축된 고급 SD-WAN 엣지와 포괄적인 클라우드 제공 보안 서비스를 결합한 것이다. 기존 기업의 트래픽은 모든 지점의 애플리케이션 트래픽이 프라이빗 MPLS 서비스에서 보안 검사 및 검증을 위해 기업의 데이터센터로 이동했다. 이러한 아키텍처는 애플리케이션이 기업의 데이터센터에서만 호스팅되는 경우에 적합했다. 하지만 애플리케이션과 서비스가 클라우드로 마이그레이션하게 되면서, 기존의 네트워크 아키텍처로 대응하기 힘들어졌다. 인터넷의 트래픽이 최종 목적지에 도달하기 전 데이터센터와 기업의 방화벽을 통과해야 하기 때문에 애플리케이션 성능과 사용자 체감 만족도가 하락하는 탓이다. 클라우드 애플리케이션에 바로 연결하는 원격 근무자의 수가 증가하는 가운데 기존의 경계선 기반 보안은 충분하지 않다. 이 경우 기업은 SASE를 통해 WAN 및 보안 아키텍처를 전환해 이용하는 장치나 위치와 상관없이 멀티 클라우드 환경에서 직접적으로 안전하게 애플리케이션 및 서비스를 이용할 수 있게 된다. 한창훈 총괄은 “하이브리드 워크, 개인정보보호나 보안 정책, 접근제어 등 복잡한 상황에서 보안 담당자의 부담은 가증되고 있다”며 “SD-WAN은 레거시 VPN을 대체해 관리 역량을 높여주고, SSE는 단말기 연결 부분을 분석하고 사용자마다 적합한 클라우드로 연결하게 한다”고 말했다. HPE 아루바네트워킹의 SASE 솔루션은 WAN 엣지 서비스(SD-WAN)와 SSE 등 2개 기술 세트로 구성된다. SSE는 제로트러스트네트워킹액세스(ZTNA), 시큐리티웹게이트웨이(SWG), 클라우드액세스시큐리티브로커(CASB), 디지털익스피리언스모델(DEM) 등을 포함한다. 네트워크팀과 보안팀이 모든 사용자, 장치, 서버 등의 위치에서든 어떤 수송 수단을 사용하든 함께 안전하게 연결하게 해 줄 수 있다. PoP의 글로벌 네트워크로 방대한 SD-WAN 패브릭 및 클라우드 제공 SSE를 활용함으로써 빠른 엣지 투 클라우드 액세스가 가능하며 이를 통해 대기 시간을 줄이고 성능이 개선된다. 한 총괄은 “지점 간 연결은 트래픽 경로를 어떻게 잘 선택하는 최적화가 중요하다”며 “HPE 아루바의 SD-WAN은 MPLS 전용선이나 인터넷이나 해외회선 등의 트래픽을 50% 압축해 회선비용을 절감해준다”고 강조했다. 그는 “팀즈, 스카이프, 웹엑스, 줌 같은 실시간성 앱은 들어오는 트래픽을 잘 분류해야 WAN을 최적화하므로, 최적화와 압축, 경로 선정 등을 위해 분석을 잘 해야 한다”며 “예를 들어 화상회의 프로토콜을 분석해서 트래픽을 분류하고 압축하고, 두개 회선을 가졌다면 여러 패킷을 모아서 순서를 재배치하는 리오더링을 자동화한다”고 덧붙였다. HPE 아루바의 SD-WAN은 하나의 앱 트래픽을 여러 회선들을 합치는 본딩에 강점을 갖는다. 운영자 입장에선 트래픽의 경로 흐름을 볼 수 있고, 최종 사용자는 아무 문제없는 트래픽을 경험하게 된다. 만약, 클라우드 PoP을 거쳐 최종 업무 애플리케이션으로 간다면 사용자 접속지에서 PoP을 거치는 2단계 회선 접속을 하게 된다. 만약 사용자가 PoP까지 가는 회선은 매우 빠른 반면, PoP에서 애플리케이션으로 가는 회선이 느리다면 결과적으로 사용자의 경험은 나빠진다. HPE 아루바의 SD-WAN은 중간의 경로와 단계별 네트워크 상황을 측정 및 인지하고 가장 효율적인 경로로 자동으로 보낸다. 지점 간 통신도 최적 경로로 하게 한다. 한 총괄은 “HPE 아루바 SD-WAN을 통해 실시간 장비의 상태를 모니터링하는 가시성을 높일 수 있으며, 여러 지점의 연결을 자동화할 수 있다”고 강조했다. HPE는 작년 3월 액시스시큐리티를 인수했다. HPE는 액시스 인수를 통해 SSE 역량을 확보하게 됐고, 통합 SASE 솔루션을 제공하게 됐다. 액시스의 SSE 플랫폼은 네트워크 엣지의 프라이빗 애플리케이션에 대한 인증된 사용자 액세스, 인터넷에 대한 사용자 액세스를 보호하는 SWG, SaaS 애플리케이션에 대한 보안 인라인 액세스를 제공하는 CASB ,사용자 체감 만족도에 대한 인사이트를 제공하는 DEM을 제공한다. 기본적으로 모든 종류의 SASE 솔루션과 연동 가능하다. 한 총괄은 “액시스 SSE의 게이트웨이는 여러 브랜치의 앱을 연결하는데, 사용자가 인터넷에 붙어 게이트웨이로 가는 순간 게이트웨이 포털에서 어느 앱으로 갈 수 있는지를 판단해 연결해준다”며 “기존의 경우 사용자가 방화벽과 DMZ 존의 여러 보안장비를 거쳐 앱으로 가는 방식은 사용자별 접근 정책을 구현하기 어렵지만, 액시스의 게이트웨이를 이용하면 중간에 경유하는 보안 인프라를 관리하기 여러운 상황을 해결할 수 있다”고 말했다. 그는 “사용자의 ID 변경이나, 조직 변경, 퇴사 등 계정관리도 사내 인사시스템과 연결해 쉽게 해결할 수 있다”고 설명했다. 기업이 클라우드를 많이 활용하고, 개발조직이 여러 퍼블릭 클라우드를 개발환경으로 사용한다면 HPE 아루바의 SASE 솔루션은 매우 적합한 해법이다. 개발팀과 구성원마다 접근할 수 있는 클라우드 환경을 정책에 맞게 할당하고, 계정 사용자의 변경에 따라 접근 권한을 쉽게 바꿀 수 있다. 한 총괄은 “게이트웨이 접근을 위해 지점에 깔리는 커넥터는 리눅스 기반으로 설치하므로 매우 쉽다”며 “모든 OS도 지원하고, 어떤 서비스 영역 어디든 상관없이 사용할 수 있다”며 “구독 방식이므로 정해진 기간동안만 쓰면 되고, 커넥터 설치 갯수도 제한을 두지 않는다”고 말했다. 그는 “사용자 ID 수 기반으로 과금하므로 전세계 브랜치에 하나의 ID로 깐다면 하나만 지불하면 된다”며 “가령 감사팀이 전세계 브랜치를 돌면서 업무할 때 하나의 ID면 모든 곳에서 다 사용할 수 있다”고 덧붙였다.
