SASE와 SD-WAN의 차이점, 유사점

SASE와 SD-WAN 개요

SASE( Secure Access Service Edge)와 SD-WAN은 지리적으로 분산된 엔드포인트를 데이터 소스 및 애플리케이션 리소스에 연결하도록 설계된 두 가지 네트워킹 기술입니다.

SD-WAN이란 ?

SD-WAN(소프트웨어 정의 광역 네트워크)은 하드웨어에서 분리되거나 "추상화"되어 가상화된 네트워크 오버레이를 생성하는 네트워크입니다. 운영자는 지리적으로 먼 거리에 걸쳐 있을 수 있는 이 오버레이를 원격으로 관리하고 신속하게 확장할 수 있습니다. 소프트웨어 정의 네트워킹(SDN)을 적용한 것입니다.

SD-WAN은 여러 지점을 중앙 허브 사무실에 연결하거나 대학 캠퍼스와 같은 대규모 캠퍼스의 여러 위치를 포괄할 수 있습니다. 하드웨어에서 추상화되어 있기 때문에 표준 WAN보다 더 유연하고 가용성이 높습니다. 가상화되지 않은 WAN과 같은 고정된 기능의 독점 상자에 의존하는 대신 SD-WAN은 소프트웨어 정의 기술을 사용하여 트래픽 및 보안 기능을 처리합니다.

이는 네 가지 핵심 구성 요소에 의존합니다.

• 에지 연결 추상화
• WAN 가상화
• 중앙 집중식 관리
• 탄력적인 트래픽 관리

SD-WAN의 초점은 지점을 중앙 사설 네트워크에 다시 연결하는 것입니다. SD-WAN은 클라우드에 연결하도록 조정할 수 있지만 클라우드를 중심으로 구축되지는 않습니다.

SASE는 무엇일까요?

SASE(새시로 발음)는 클라우드 제공 환경에서 네트워크 액세스와 보안을 융합한 것입니다. 이는 SWG(보안 웹 게이트웨이), CASB(클라우드 액세스 보안 브로커), 방화벽 및 ZTNA(제로 트러스트 네트워크 액세스)와 같은 클라우드 기반 보안 기능과 SD-WAN 기능을 결합한 네트워크 아키텍처입니다.

SD-WAN과 달리 SASE는 클라우드에 기본으로 제공되며 분산 아키텍처를 가지고 있습니다. SASE는 지점을 중앙 네트워크에 연결하는 데 중점을 두는 대신 개별 엔드포인트(지점, 개별 사용자 또는 단일 장치)를 서비스 에지에 연결하는 데 중점을 둡니다. 서비스 에지는 SASE 소프트웨어 스택이 실행되는 분산 PoP(Point of Presence) 네트워크로 구성됩니다. 또한 SASE는 내장된 보안(따라서 이름의 "보안 액세스" 부분)에 중점을 둡니다.

SASE에 SD-WAN 기능이 포함될까요?

기술적으로 SASE에는 SD-WAN이 포함됩니다. 두 용어 모두 지리적으로 멀리 떨어진 엔드포인트 간의 통신 및 데이터 전송을 허용하는 네트워킹 기술을 포괄합니다. 그러나 SD-WAN은 대부분 중앙 데이터 센터를 기반으로 합니다. 보안 요소가 있지만 기술의 초점은 아닙니다. SASE는 네트워킹과 보안의 조합이며 중앙 지점을 통해 트래픽을 라우팅하는 대신 클라우드 기반입니다. 아래에서 둘 사이의 다른 차이점과 유사점에 대해 논의하겠습니다.

SASE vs SSE vs SD-WAN

SD-WAN이 주로 네트워킹에 관한 것이고 SASE가 네트워킹과 보안의 조합이라면, 보안 서비스 에지 (SSE)는 네트워킹 부분이 제거된 SASE의 클라우드 기반 보안 요소일 뿐입니다. 기본적으로 SASE는 전체 패키지인 반면, SD-WAN 및 SSE는 많은 보안이 없는 네트워킹(SD-WAN) 또는 많은 네트워킹이 없는 보안(SSE)의 단품 메뉴 항목입니다.

왜 다른 것 없이 하나만 원하겠습니까? 음, 같은 이유로 일품요리 메뉴를 주문하게 됩니다. 당신은 하나만 갖고 있고 다른 하나는 필요하거나, 한 번에 하나만 필요/원하거나 감당할 수 있습니다. 목표는 완전히 통합된 IT 구조일 수 있지만 현실은 융합이 적절하게 시작될 수 있다는 것입니다. 예산은 매년 줄어들기도 하고 때론 늘어나며, 리더십의 변화로 인해 이전에 승인된(또는 거부된) 솔루션에 대한 임원 동의가 변경될 수 있습니다.

또한 일부 조직에는 네트워킹 및 IT 보안을 위한 서로 다른 부서가 있는 경우 두 가지 모두에 관련된 신기술의 구매 및 관리를 감독하는 부서를 결정하기가 어려울 수 있으므로 선호하는 것은 결국 '필요한 기능만 따로 따로 가져가자~!' 

그러나 많은 분석가들은 단일 공급업체 SASE를 SD-WAN의 미래로 보고 있습니다. 왜 SASE가 결국 SD-WAN을 대체하게 될까요? 레거시 네트워크 아키텍처는 중앙 데이터 센터를 중심으로 구축되었으며 SD-WAN은 가상 오버레이를 사용하여 네트워크 연결성과 효율성을 향상했지만 아키텍처는 거의 동일하게 유지되었습니다. 그러나 클라우드 서비스, 디지털 전환, 엣지 컴퓨팅, 사물 인터넷(IoT) 등 신기술의 출현과 발전으로 인해 모든 트래픽을 중앙 데이터 센터로 백홀링하는 것은 비효율적이고 불필요해지는 경우가 많습니다. 서비스 에지에서 보안 연결을 제공하고 PoP에서 트래픽을 확인 및 전달하는 SASE의 접근 방식은 보안을 강화하는 동시에 비효율성 문제를 해결할 수 있습니다.

SASE와 SD-WAN은 무엇이 다른가요?

SD-WAN은 코로나19 로 인해 성장이 주춤했지만 전반적으로 꾸준한 성장을 보인 성숙한 시장입니다. SASE는 비교적 새로운 것입니다. 이 용어는 2019년 연구 기관인 Gartner에 의해 만들어졌습니다. SASE 시장이 초기 단계임에도 불구하고 많은 공급업체가 자체 SASE 또는 SASE와 유사한 서비스를 가지고 시장에 진입하고 있습니다. 기술적인 관점에서 볼 때 SASE와 SD-WAN의 차이점은 기업 인트라넷과 Google 드라이브 를 통한 파일 공유의 차이와 같습니다 . 두 가지 방법 모두 동일한 최종 목표를 달성하기 위해 노력하지만 두 가지 접근 방식은 크게 다릅니다. SASE와 SD-WAN의 차이점은 세 가지 범주로 요약될 수 있습니다.

• 클라우드와의 관계
• 보안 및 네트워킹 도구가 있는 곳
• 트래픽 흐름 점검은 어떻게 이루어지는가?

SASE, SD-WAN 및 클라우드

SASE는 프라이빗 데이터 센터, 퍼블릭 클라우드, 코로케이션 시설 중 하나 이상을 사용합니다. 이러한 PoP는 SASE 스택이 실행되는 아키텍처의 서비스 에지를 형성합니다. 또한 이러한 PoP는 퍼블릭 클라우드에 위치하거나 클라우드 리소스에 대한 안전하고 짧은 대기 시간 액세스를 위해 퍼블릭 클라우드 게이트웨이와 가까운 곳에 위치하는 경우가 많습니다.

사용자가 요청하는 것에 대한 충분한 리소스가 있는 노드가 트래픽이 이동하는 곳입니다. SASE 소프트웨어는 엔드포인트로 향하는 동안 사용할 트래픽의 최적 경로를 결정할 수 있습니다. 분산 아키텍처는 조직의 데이터 센터를 중심으로 하는 SD-WAN의 특성과 다릅니다. Gartner는 단일 프라이빗 데이터 센터를 네트워크의 중심으로 삼는 것은 클라우드 서비스 사용이 증가함에 따라 비효율성을 초래한다고 주장합니다.

클라우드에서 작동하는 SD-WAN 제품이 있습니다. 그러나 클라우드 통합은 핵심 구성 요소라기보다는 SD-WAN의 기능에 가깝습니다. 클라우드 지원 SD-WAN에서 사용자는 인터넷을 통해 가상 클라우드 게이트웨이에 연결하여 네트워크의 접근성을 높이고 클라우드 네이티브 애플리케이션을 지원하게 됩니다. 이는 SASE 접근 방식과 매우 유사합니다.

보안 및 네트워킹 처리가 일어나는 곳

SASE는 네트워크와 사용자에게 분산 리소스에 대한 안전한 액세스를 제공하는 데 중점을 두고 있습니다. 리소스는 프라이빗 데이터 센터, 코로케이션 시설 및 클라우드에 배포될 수 있습니다. 따라서 보안 및 네트워킹 의사 결정은 동일한 보안 도구에 포함됩니다.

SASE 제품에는 보안 에이전트로 사용자 장치에 상주할 뿐만 아니라 클라우드 네이티브 소프트웨어 스택으로 클라우드에 상주하는 보안 도구가 있습니다. 예를 들어, 보안 에이전트는 보안 웹 게이트웨이를 포함할 수 있고 공급업체의 클라우드는 서비스형 방화벽을 포함할 수 있습니다 . 여러 사람이 모여 있는 지점이나 기타 위치에서는 SASE 어플라이언스가 프린터와 같은 에이전트 없는 장치를 보호하는 데 일반적으로 사용됩니다.

SD-WAN 기술은 보안에 중점을 두고 설계되지 않았습니다. SD-WAN에 포함된 보안은 보조 기능이나 타사 공급업체를 통해 제공되는 경우가 많습니다. 일부 SD-WAN 솔루션에는 보안 기능이 내장되어 있지만 대부분은 그렇지 않습니다.

SD-WAN의 핵심 목표는 다양한 네트워크 조건에 대한 유연성과 적응성을 통해 지리적으로 분산된 사무실을 서로 연결하고 중앙 본사에 연결하는 것입니다. SD-WAN에서 보안 도구는 일반적으로 장치 자체가 아닌 CPE의 사무실에 있습니다. SD-WAN의 네트워킹 결정은 네트워크 전체에 분산된 가상화된 네트워킹 장치에 의해 이루어집니다.

SASE 및 SD-WAN 트래픽 검사

SASE 네트워크를 사용하면 트래픽을 한 번 열어서(까서) 여러 정책 엔진에서 동시에 검사합니다. 엔진은 엔진 사이에 트래픽을 전달하지 않고 병렬로 작동합니다. 이렇게 하면 SD-WAN의 경우처럼 트래픽이 하나의 보안 기능에서 다음 보안 기능으로 전달될 때 반복적으로 액세스되지 않으므로 시간이 절약됩니다. 또한 이러한 정책 엔진은 SD-WAN의 보안 도구보다 더 많은 기능을 수행합니다.

SD-WAN은 서비스 체인을 사용합니다. 서비스 체이닝은 한 번에 하나의 보안 기능이 차례로 트래픽을 검사하는 것입니다. 이러한 개별 기능은 한 가지 유형의 위협을 처리하며 이를 포인트 솔루션이라고 합니다. 각 포인트 솔루션은 트래픽을 열고 검사하고 닫은 후 트래픽이 모든 포인트 솔루션을 통과할 때까지 다음 포인트 솔루션으로 전달합니다.

SASE와 SD-WAN의 유사점

아키텍처 유사성이 많지 않음에도 불구하고 SASE와 SD-WAN은 몇 가지 높은 수준의 특성을 공유합니다. 

첫째, 앞서 언급했듯이 두 가지 모두 지리적으로 분산된 최종 사용자 간의 연결성을 향상하고 WAN의 확장성과 손쉬운 관리를 제공한다는 목표를 공유합니다.

SD-WAN과 SASE는 모두 넓은 지리적 영역을 포괄하도록 설계되었습니다. 기술은 최적의 네트워킹 성능을 유지하면서 조직과 함께 성장하고 확장할 수 있을 만큼 유연합니다. 또한 SASE와 SD-WAN은 어디에서나 제어할 수 있으므로 정책과 구성이 전체 네트워크에 일관되게 적용됩니다.

또한 둘 다 가상화되어 있습니다. SD-WAN 및 SASE는 가상화되지 않은 WAN과 같은 고정 기능 독점 장비에 의존하지 않습니다. 대신 소프트웨어 정의 기술을 사용하여 트래픽 및 보안 기능을 처리합니다.

SASE와 SD-WAN 중 어떤 솔루션이 도입하기에 적합한가

언제나 그렇듯이, 새로운 시스템이나 공급업체로 도약하기 전에 미리 숙지해 두는 것이 좋습니다. 격언처럼 "고장나지 않았다면 고치지 마세요." 또한 기술이 새롭고 훌륭하다고 해서 그 기술이 문제에 대한 완벽한 솔루션이라는 의미는 아닙니다. SASE는 여전히 새로운 기술입니다. 그리고 이를 반영하기 위해 많은 SD-WAN 공급업체는 SD-WAN 솔루션 외에 SASE 솔루션을 제공하기 시작하거나 적어도 자신이 보유한 제품이 SASE라고 주장하고 있습니다 .

SASE로 전환하기 전에 다음 질문을 해볼 것을 권장했습니다.

1. 왜 바꾸나요? SASE로 해결해야 할 문제점은 무엇입니까?
2. 왜 지금인가요? 겪고 있는 문제를 해결함으로써 단기적으로 긍정적인 영향을 미치는 것은 무엇입니까? 변화를 하지 않으면 어떤 부정적인 영향을 미치나요?
3. 왜 SASE인가? SASE는 이러한 어려움을 어떻게 해결합니까?

이러한 질문에 답한 후 조직 전반에 걸쳐 회사의 최상위 전략과 목표를 해당 이니셔티브를 성공적으로 수행하는 데 필요한 핵심 역량에 맞춰 조정할 것을 권장합니다. 따르려는 전략과 목표 달성을 방해하는 과제를 살펴보시기 바랍니다.

현재 SD-WAN 시장 리더로는 Cisco(구, Viptela) , Fortinet, HPE (Aruba), Palo Alto Networks , Versa Networks 및 VMware 가 포함되었습니다.

아래는 시스코 SASE와 SD-WAN 구성 예입니다(SASE와 SD-WAN 둘 다 제공하는 대표적인 제조사)

시스코 SASE, SD-WAN

SASE와 SD-WAN 비교 요약

1. SASE와 SD-WAN은 지리적으로 분산된 엔드포인트를 데이터 소스 및 애플리케이션 리소스에 연결하도록 설계된 두 가지 네트워킹 기술입니다.
2. SASE는 네트워킹 및 클라우드 기반 보안의 전체 패키지인 반면, SD-WAN 및 SSE는 많은 보안이 없는 네트워킹(SD-WAN) 또는 많은 네트워킹이 없는 보안(SSE)의 단품 메뉴 항목입니다.
3. SASE와 SD-WAN의 차이점은 인트라넷을 통한 파일 공유와 Google 드라이브를 통한 파일 공유의 차이와 같습니다. 두 방법 모두 동일한 최종 목표를 달성하기 위해 노력하지만 두 가지 접근 방식은 크게 다릅니다.
4. SASE와 SD-WAN은 지리적으로 분산된 최종 사용자 간의 연결성을 향상하고 WAN의 확장성과 손쉬운 관리를 제공하는 등 여러 가지 높은 수준의 특성을 공유합니다.
5. 조직의 요구 사항이 무엇이든 적합한 솔루션을 갖춘 SASE 또는 SD-WAN 공급업체(또는 둘의 하이브리드)가 있을 것입니다. 핵심은 솔루션이나 공급업체를 선택하기 전에 필요한 것이 무엇인지 정의하는 것입니다.