[디지털데일리 이상일기자] 클라우드 플레어가 SASE(Secure Access Service Edge) 보안 플랫폼 ‘클라우드플레어 원(Cloudflare One)’을 소개했다. SASE는 네트워크와 보안 서비스를 하나의 통합된 아키텍처로 제공하는 IT 모델로, 클라우드와 분산된 근무 환경에 적합하다.

11일 <디지털데일리> 웨비나 플랫폼 'DD튜브'에서 진행된 클라우드플레어의 SASE 서비스 전략 발표에서 클라우드 플레어는 SASE를 구현하기 위해 제로 트러스트(Zero Trust)라는 컨셉을 적용했다고 강조했다. 제로 트러스트는 네트워크 경계를 없애고, 사용자와 장치의 신원을 검증하고, 최소 권한으로 접근을 허용하는 방식으로 네트워크 보안을 강화한다.

기업의 인프라는 현재 온프레미스에서 클라우드로 빠르게 전환되고 있다. 기존에는 네트워크 및 보안, 기업 애플리케이션, 스토리지 및 컴퓨팅이 데이터센터 및 온프레미스 중심으로 구성되어 있었다. 하지만 이제는 클라우드 상에서 네트워킹 및 보안 서비스를 제공하는 회사들이 이 역할을 대신하고 있다.

또한, 애플리케이션도 온프레미스에서 SaaS 서비스와 같은 클라우드 네이티브 기반의 앱을 대거 이용하고 있다. 데이터베이스와 같은 스토리지 서비스들도 온라인 서비스를 이용하면 스케일 업(Scale Up)과 스케일 아웃(Scale Out)이 더 용이하며, 관리 및 접근의 편리함도 제공받을 수 있다.

이러한 인프라 변화는 기업의 네트워크와 보안 환경에도 영향을 미친다. 기존에는 기업의 내부 네트워크를 안전지대로 생각하고, 외부 인터넷 자체를 비안전지대로 인지했다.

따라서 비안전지대에서 안전지대로 진입하는 인그레스 트래픽만 패킷 인스펙션을 통해 필터링을 하고, 안전한 트래픽만 사내로 유입시켰다. 하지만 현재는 서비스들이 기업의 내부에만 위치하고 있지 않을 뿐더러, 서비스에 접근 하는 장치들도 모바일 및 IoT, OT 장비들과 같이 다양해졌다. 따라서, 기존에 기업의 내외부를 기준으로 하는 경계보안은 더 이상 유효한 정책으로 사용할 수 없다.

SASE는 이러한 문제를 해결하기 위해 등장한 IT 모델이다. SASE는 네트워크와 보안 서비스를 하나의 통합된 아키텍처로 제공한다. SASE는 2019년 글로벌 연구 및 자문 업체인 가트너가 처음 제시한 용어다.

SASE는 네트워크 서비스와 네트워크 보안 서비스 두 가지 영역으로 나뉘어져 있다. 네트워크 서비스는 단말에서 트래픽이 인터넷상의 클라우드로 진입해서 오리진 서버로 연결될 때까지 그 연결이 어떤 방식으로 이뤄질지에 대한 “연결성”에 관한 서비스를 뜻한다.

예를 들어, CDN, SD-WAN, QoS 등이 있다. 네트워크 보안 서비스는 인터넷상의 클라우드로 유입되는 트래픽에 대해 기존 온프렘에서 제공받던 보안 서비스를 그대로 적용한다고 이해하면 쉽다. 예를 들어, 방화벽, 제로트러스트, 시큐어 웹게이트웨이, 캐스비, DDoS 방어 등이 있다.

SASE의 장점은 무엇일까? 클라우드플레어 전창우 이사는 “SASE는 클라우드와 분산된 근무 환경에 적합하다. SASE는 네트워크와 보안 서비스를 클라우드 기반으로 제공하므로, 물리적 위치에 관계없이 모든 사용자가 동일한 접근성과 네트워크 흐름 효율성을 갖게 된다. 이는 원격 사용자 트래픽이 기업 LAN으로 백홀링되지 않아 네트워크 트래픽이 감소한다는 것을 의미한다”며 “이러한 트래픽 감소는 기업이 기업 인터넷 대역폭과 사설 WAN 처리량 용량을 축소할 수 있어 비용을 절감할 수 있게 한다”고 밝혔다.

SASE는 네트워크 보안도 강화한다. SASE는 사용자 위치, 사용자 식별, 사용된 자원, 민감한 데이터 패턴 등 보안 무결성에 영향을 미치는 환경적 측면을 고려해 조직 전체에 매우 세분화된 방어를 제공하도록 설계되어 있다. 본질적으로 SASE는 전통적인 사이트 중심 모델에서 유연한 사용자 중심 접근 방식으로 보안 스포트라이트를 바꾼다.

다만 SASE를 구현하기 위해서는 기존의 네트워크와 보안 인프라를 변화시켜야 한다. SASE는 하나의 통합된 서비스로 제공되므로, 여러 개의 별도의 솔루션을 사용하는 것보다 간단하고 효율적이다. 하지만 SASE 제공자들은 다양한 기능과 지역적 범위를 가지고 있으므로, 기업들은 자신의 요구사항과 비즈니스 목표에 맞게 SASE 제공자를 선택해야 한다.

클라우드 플레어는 글로벌 네트워크를 갖추고 있다. 클라우드 플레어는 100개 이상의 국가에 270개 이상의 엣지 위치를 보유하고 있으며, 클라우드 플레어의 제로트러스트 서비스는 기업의 어플리케이션과 네트워크를 보호하기 위한 통합된 플랫폼이라는 설명이다.

기존의 보안 방식은 네트워크의 경계를 설정하고, 그 안에 있는 연결은 신뢰하고, 그 밖에 있는 연결은 신뢰하지 않는 방식이었다. 하지만 이런 방식은 공격자가 한 번 경계를 넘으면 내부 자산에 쉽게 접근할 수 있고, 사용자가 VPN을 사용해야 하는 불편함과 속도 저하를 겪게 된다.

클라우드 플레어의 제로트러스트 서비스는 네트워크의 경계를 없애고, 모든 연결을 검증하고 인증하는 방식을 채택하고 있다.

사용자는 인터넷 상에서 기업의 어플리케이션에 접근할 수 있고, 클라우드 플레어의 글로벌 네트워크를 통해 빠르고 안전하게 통신할 수 있다. 또한, 클라우드 플레어는 다양한 보안 기능을 제공하여 악성 코드, 데이터 유출, DDoS 공격 등을 방어할 수 있다.

효과적인 보안을 위해선 대규모 공격을 막을 수 있는 충분한 인프라와 보안 인털리전스가 중요하다. 클라우드플레어는 개별 기업이 구축할 수 있는 규모와 비교할 수 없는 큰 규모의 인프라를 가지고 있고 모든 고객사에 대한 공격성 트래픽을 보안인텔리전스에 활용할 수 있어 단일 기업 또는 온프레미스 기반의 솔루션 대비 훨신 많은 데이터포인트를 가지고 있다는 설명이다.

클라우드플레어 이계경 상무는 “클라우드 플레어의 제로트러스트 서비스는 이미 많은 고객들이 만족하며 사용하고 있다. 한국의 한 고객은 SSL VPN을 사용하다가 클라우드 플레어 엑세스 제품을 도입해 접속 속도를 42% 개선하고, MS 애저 액티브디렉토리와 연동하여 애플리케이션 접근 정책을 간편하게 관리하고, 마이크로 세그먼테이션 효과로 측면이동 공격을 방어할 수 있었다”고 전했다.

그는 “클라우드플레어는 클라우드 보안에 필요한 서비스를 제공하며, 보안 인텔리전스와 데이터 확보를 통해 현대적인 보안 요구사항을 충족시킨다. 클라우드플레어는 보안에 대한 강력한 동반자로서 필요한 서비스와 기술을 제공하고 있다”고 덧붙였다.