SSE(Security Services Edge)는 무엇인가

SSE(Security Services Edge) 

SSE(Security Services Edge)는 SASE(Secure Access Service Edge) 프레임워크의 하위 개념으로, 보안 서비스에 중점을 둡니다. 이는 기업 사용자가 클라우드 기반 환경에서 더 유연하고 안전한 WAN 서비스를 이용할 수 있도록 하는 진보된 기능입니다. SSE는 기업이 클라우드 환경에서 보다 안전하게 데이터와 자원에 접근할 수 있도록 하는 새로운 사이버 보안 개념입니다. SASE(Secure Access Service Edge)와 SSE(Security Services Edge)는 기업의 네트워크 보안과 접근성을 혁신적으로 향상시키는 중요한 기술입니다. Gartner가 2019년에 SASE를 처음 소개하면서, 네트워크와 보안 서비스의 통합이 필수적임을 강조했습니다. 이후 2021년에는 SSE라는 개념을 도입하여, 클라우드 기반 보안 서비스의 중요성을 더욱 부각시켰습니다. Gartner가 2021년 SASE(Secure Access Service Edge) 융합 로드맵 보고서에서 처음 소개한 이 개념은, 웹, 클라우드 서비스, 그리고 사설 애플리케이션에 대한 보안을 제공합니다. SSE는 SASE(Secure Access Service Edge)에서 "A"를 빼고 보안에 초점을 맞춘 것으로, 클라우드 네이티브 네트워킹 시대에 등장한 보안의 의미에 집중합니다. SSE는 조직이 클라우드 네이티브 모델을 지향하면서 보안 요구 사항을 전략적으로 고려하고, 사용자, 장치, 애플리케이션 및 리소스가 점점 분산되고 있음을 인식하며, 모든 것이 클라우드를 통해 접근되기 때문에 보안을 우선시하고 클라우드를 통해 보안 솔루션을 제공하는 것이 더 합리적이라는 점을 강조합니다.

SSE와 SASE의 비교

• SSE의 정의: SSE는 SASE 프레임워크 내의 보안 서비스에 초점을 맞춘 부분입니다. 이는 클라우드 보안의 강력한 경쟁자로, 보안 서비스와 네트워크 기술(SD-WAN 및 WAN)을 결합합니다. 
• SASE의 정의: SASE는 보안 및 네트워크 기능을 결합한 프레임워크로, 기업이 클라우드 환경에서 보다 유연하고 안전한 액세스를 제공받을 수 있도록 설계되었습니다. SSE는 SASE의 보안 구성 요소로, 2021년에 Gartner에 의해 소개되었습니다. 

보안의 중요성

• 보안의 역할: SASE 환경에서 보안은 매우 중요한 역할을 합니다. 보안이 없다면, SASE는 기업이 필요로 하는 동적 네트워킹 환경으로 번창할 수 없습니다. 기업의 근무 위치, 애플리케이션 및 자원이 점점 분산됨에 따라, 보안 프로세스가 데이터 센터에서 발생하고 네트워크 라우팅 및 연결성에 의존하는 것은 더 이상 의미가 없습니다. 

SSE 아키텍처의 특징

• 분산된 환경: SSE는 WAN을 통해 지리적으로 넓게 분포된 사용자, 장치, 서버, 애플리케이션을 연결하는 구조입니다. 이는 보안 스택이 중앙 집중화된 데이터 센터나 본사에 위치하지 않고, 본사, 사무실, 기업 데이터 센터 등이 에지 위치로서 기능하는 새로운 형태의 네트워크 구조를 의미합니다. 
• 계층적 아키텍처: 전통적인 허브 앤 스포크 아키텍처는 사용자 계층, 에지 계층, 클라우드 계층으로 구성된 계층적 아키텍처로 진화하고 있습니다. 이 구조에서 보안은 에지에 위치하게 됩니다.

주요 추세와 SSE의 등장

• SaaS 애플리케이션의 진화: 기업들은 클라우드를 통해 SaaS 애플리케이션에 접근하며, 때로는 여러 공공, 사설, 하이브리드 클라우드 아키텍처의 조합을 사용합니다. 이러한 추세는 수년간 진행되어 왔으며, 점점 더 일반적이 되고 있습니다. 
• 원격 근무 환경으로의 전환: 기업들은 수년간 원격 근무 인력 모델로 이동해 왔으며, Covid-19 제한 조치는 지난 2년 동안 이러한 움직임을 가속화했습니다. 이는 네트워킹 접근 및 보안 기능이 더 분산되어야 할 필요성을 높였습니다. 

분산형 vs. 중앙 집중형 네트워크 보안

• 분산형 네트워크 보안: 분산되고 클라우드화된 SSE는 중앙 집중형 네트워크 보안 접근 방식을 대체하는 방법이며, VPN을 통한 트래픽 이동 개념을 대체합니다. SSE 기능은 사용자에게 훨씬 더 가까운 다수의 분산된 엣지 위치 또는 접점(POPs)을 통해 제공됩니다. 
• 이점: 이러한 전환은 보안 기능의 더 빠른 관리, 더 효율적이고 지연 시간이 낮은 네트워킹 및 애플리케이션 성능을 가능하게 하며, 전반적인 사용자 경험을 개선합니다. 또한 사설 네트워크 시설, 장비 및 연결 비용을 줄이지만, 클라우드 비용, 분산된 POPs 및 사용자 트래픽을 지역 POPs로 이동시키는 데 필요한 연결성 형태로 엣지에 비용이 이동됩니다

SSE와 SASE는 기업이 클라우드 환경에서 보다 안전하고 유연한 액세스를 제공받을 수 있도록 하는 중요한 프레임워크입니다. 보안은 이러한 환경에서 필수적인 요소이며, 기업의 네트워킹 전략을 결정할 때 반드시 고려해야 합니다. SSE는 기업이 보안을 접근하는 방식을 혁신적으로 변화시키는 중요한 개념입니다. 분산형 네트워크 보안은 중앙 집중형 모델에 비해 여러 이점을 제공하며, 현대의 변화하는 작업 환경과 기술 환경에 더 잘 적응합니다.

 

SSE(Security Services Edge)의 역할과 핵심 기술

SSE는 보안을 중앙 집중식 네트워킹 위치에서 분리하여 가장 효율적이고 유용할 수 있는 가장자리(Edge)에 배치함으로써, 기업이 클라우드 환경에서 데이터와 자원에 안전하게 접근할 수 있도록 합니다. SSE는 SASE(Secure Access Service Edge)의 일부로, SASE 환경 내에서 액세스 및 사용자 제어 기술을 관리하는 기술을 포함합니다. SSE는 SD-WAN에 의해 활성화된 네트워킹 융합 기능과 터널과 결합하여 전체 SASE 프레임워크를 형성합니다. 중요한 점은 SSE가 SASE를 대체하는 것이 아니라, SASE의 일부라는 것입니다. SSE(Security Service Edge) 아래에는 제로 트러스트 네트워크 액세스(ZTNA), 방화벽-서비스(FaaS), 보안 웹 게이트웨이(SWG), 클라우드 액세스 보안 브로커(Cloud Access Security Broker)와 같은 다양한 기술이 포함됩니다. 조직은 이러한 기술을 어떻게 배포하고 관리할지 신중하게 접근해야 합니다.

SSE의 네 가지 핵심 기술

SSE 배포에 필수적인 네 가지 기술은 다음과 같습니다.

• Zero Trust Network Access (ZTNA): 사용자의 신원을 기반으로 한 정책에 따라 네트워크 접근을 제어합니다.
• Firewall-as-a-Service (FaaS): 클라우드 기반의 방화벽 서비스를 제공하여 네트워크 보안을 강화합니다.
• Secure Web Gateway (SWG): 인터넷 사용을 안전하게 관리하고 웹 기반 위협으로부터 보호합니다.
• Cloud Access Security Broker (CASB): 클라우드 서비스에 대한 보안 정책을 관리하고 실행합니다.
• 추가적으로, 암호화/복호화, 클라우드 자세 보안 관리, 데이터 손실 방지, 사용자 및 엔터티 행동 분석, 웹 애플리케이션 보안 등의 기능도 포함될 수 있습니다. 

SSE 기술의 배포 및 관리

• 통합 솔루션: 일부 조직에게는 단일 제공업체가 관리하는 턴키 솔루션이 가장 적합할 수 있습니다. 이는 관리의 편의성과 통합된 보안 접근 방식을 제공합니다.
• 최고의 기술 선택: 통합 및 자체 관리에 대한 열망이 있는 조직은 최고의 기술을 찾아볼 수 있습니다. 이는 조직의 특정 요구에 맞춤화된 솔루션을 제공할 수 있지만, 관리 복잡성이 증가할 수 있습니다.

SSE의 환경적 측면

• 보안 접근 방식의 변화: 중앙 집중식 모델에서 훨씬 더 분산된 모델로 보안 전략을 이전하는 것은 현재 시대에 맞을 수 있지만, 많은 조직에게는 익숙한 영역에서 벗어나는 변화를 의미합니다. 이러한 변화는 필수적이지만 쉽지 않을 수 있습니다.

SSE 배포 옵션

SSE를 배포하는 방법에는 여러 가지가 있습니다. 기업은 각 기술에 대해 최고의 벤더를 선택하여 자체 SSE 환경을 구성하거나, 포괄적이고 턴키(turnkey) SSE 솔루션을 제공하는 벤더를 선택할 수 있습니다. Microsoft는 완전한 SSE 솔루션을 제공하며, 다른 방법으로는 SmartEdge 에이전트 및 Cloud SWG 트래픽 스티어링 방법을 지원하는 Forcepoint ONE SSE가 있습니다. 

SSE는 기업이 클라우드 환경에서 안전하게 작업할 수 있도록 지원하는 중요한 보안 기술입니다. SSE의 핵심 기술과 배포 옵션을 이해함으로써, 기업은 자신의 요구에 가장 적합한 보안 솔루션을 선택할 수 있습니다. 

반응형

SSE의 장점과 단점, 도전과제

SSE를 배포하는 방법에 관계없이, 그 이점은 명확합니다. 보안을 공격이 발생하는 가장자리에 집중함으로써, 보안 정책의 더 밀접한 주의, 빠른 반응, 그리고 더 일관되고 맞춤화된 적용을 가능하게 합니다. 또한, 공격이 발생했을 때 영향을 받는 범위를 줄이는 데 도움이 됩니다. 기업이 점점 분산되는 동시에 위협과 공격이 더 자주 발생하고 복잡해지고 있기 때문에, 이러한 모든 점은 점점 더 필요해지고 있습니다.

주요 장점

• 보안 강화: SSE는 전통적인 기기 기반 솔루션보다 상당한 이점을 제공합니다. 클라우드 네이티브, 전 세계적으로 분산된 아키텍처를 통해 보안을 강화합니다. 
• 정책 기반 접근 제어: 사용자의 신원을 기반으로 한 정책을 통해 다양한 기능과 자원에 대한 접근을 개별 사용자 수준까지 세밀하게 제어할 수 있습니다.
• 가시성 향상: 원격 사용자와 데이터에 대한 가시성을 향상시켜 보안 격차를 줄이고 전반적인 보안을 개선합니다. 
• 네트워크 성능 개선: 여러 위치에 보안 서비스를 분산시켜 네트워크 성능을 향상시키고 지연 시간을 줄입니다. 
• 위협 관리: 무단 사용자의 접근을 차단하고, 승인된 사용자가 위협이 될 수 있는 외부 자원에 접근하는 것을 방지함으로써, 기업의 보안을 강화합니다.

주요 단점

• 단방향 통신: SSE는 서버에서 클라이언트로의 단방향 통신을 지원하며, 클라이언트에서 서버로의 통신을 위해서는 별도의 채널이 필요합니다. 이는 WebSockets와 비교했을 때의 단점으로 볼 수 있습니다. 
• 중앙 집중식 네트워크 보안 접근 방식에서의 변화: 기존의 중앙 집중식 네트워크 보안 접근 방식에서 벗어나는 SSE의 접근 방식은 일부 단점을 가질 수 있습니다. 
• 고급 위협 보호의 360도 접근 미포함: SSE에서는 비사용자 및 악의적 트래픽, WAN 맬웨어 전파와 같은 요소들이 고급 위협 보호의 360도 접근에 포함되지 않습니다. 

SSE와 SASE 간의 혼동

• 보안과 네트워크 연결의 차이점: SSE는 보안 기능을 우선시하는 반면, SASE는 소프트웨어 정의 보안 및 네트워킹을 강조합니다. 이러한 차이점으로 인해 SSE와 SASE를 별개로 인식하는 혼동이 발생할 수 있습니다. 
• 보안 용어 해독: SSE와 SASE는 네트워킹에서 기본적인 개념이며, 두 용어 간의 차이점을 이해하는 것이 중요합니다.

도전과제

• 도전 과제: SSE 구현은 복잡할 수 있으며, 사용자, 장치, 애플리케이션 및 리소스가 점점 더 분산되어 있기 때문에 보안을 우선시하고 클라우드를 통해 보안 솔루션을 제공하는 것이 중요합니다.

솔루션 제조사 및 특징

시스코(Cisco) 

• Cisco Secure Connect: 어디서나 사람, 장치, 애플리케이션을 안전하게 연결하는 통합 SASE 솔루션입니다. 
• Cisco Secure Access: Cisco의 보안 및 네트워킹 포트폴리오와 통합되어 네트워크 트래픽 모니터링 솔루션인 Cisco SNA(Secure Network Analytics)와 함께 사용할 수 있습니다. 

지스케일러(Zscaler) 

• ScaleSec SSE 플랫폼: 모든 인터넷 서비스 접근에 대한 완전한 가시성을 달성하고, 인라인 제어를 통해 기업 지식 재산의 손실을 제한합니다. 
• 클라우드 시큐리티 플랫폼: 위험 감소, 성능 및 확장성을 고려한 SSE 솔루션으로, 10년 이상의 경험을 보유하고 있습니다.

카토(Cato) 

• SSE 360: 기업 트래픽의 복호화 및 검사를 통해 기기 및 기타 포인트 솔루션의 크기 조정이 가능하며, 카토 관리를 자체 서비스로 제공합니다. 
• SASE 통합: SD-WAN 및 SSE 기능(예: FWaaS, CASB, DLP, SWG, ZTNA)을 하나의 통합된 클라우드 네이티브 서비스로 제공하여 복잡한 솔루션을 단순화합니다. 

아루바(Aruba) 

• 네트워킹 제품 및 서비스: 무선 액세스 포인트, 스위치, SD-WAN, 보안 솔루션, 위치 기반 서비스 등 다양한 네트워킹 제품과 서비스를 제공합니다. 
• 보안 서비스 엣지: 웹, 클라우드 서비스 및 기업이 중앙에서 호스팅하는 전통적인 프라이빗 애플리케이션에 대한 안전한 원격접근을 제공합니다.

Skyhigh Security

Skyhigh Security는 클라우드 네이티브 솔루션으로, 웹, 클라우드, 이메일, 프라이빗 앱을 통한 데이터를 보호합니다. 이 솔루션은 단일 통합 플랫폼에서 모든 제어 지점에 대한 데이터 및 위협 보호를 제공하며, 보안을 데이터 중심으로 접근합니다. SSE는 기업이 웹, 클라우드 서비스, 애플리케이션에 안전하게 접근할 수 있도록 지원하며, 접근 제어, 위협 보호, 데이터 보안, 모니터링 및 적절한 사용 제어를 포함합니다. 주로 클라우드 기반 서비스로 제공되며, 필요에 따라 하이브리드 구성 요소가 포함될 수 있습니다

Expernet

Expernet은 디지털 변환, 성능 최적화, 네트워크 보안을 위한 클라우드 솔루션을 제공합니다. 자동화, 보안, 관리 서비스뿐만 아니라 클라우드 보안 및 네트워크 가시성을 위한 Zscaler, Infoblox, Kentik과 같은 파트너십을 통해 서비스를 제공합니다. Expernet은 클라우드, IT 인프라, 보안, 성능 모니터링 등 다양한 솔루션과 기술을 제공하며, 기업의 기술적 부담을 줄이고 비즈니스 프로세스를 가속화하는 데 도움을 줍니다.

 

일반적으로, SSE 솔루션은 글로벌 시장에서 활발히 제공되고 있으며, Zscaler, Cato, Cisco 등 여러 글로벌 기업들이 SSE 관련 서비스를 제공하고 있습니다. 이러한 글로벌 솔루션들은 국내에서도 도입하여 사용할 수 있으며, 국내 기업들 또한 이러한 글로벌 트렌드에 맞춰 자체적인 솔루션을 개발하거나 협력하여 시장에 진입하고 있을 수 있습니다. SSE는 클라우드 네이티브 네트워킹 시대에 보안을 강화하고자 하는 조직에게 중요한 역할을 합니다. SSE와 SASE 간의 선택은 조직의 능력, 필요, 목표를 철저히 평가한 후에 이루어져야 합니다. SSE 구현이 복잡할 수 있지만, 잘 조직된 SSE 아키텍처는 보안을 쉽게 구현할 수 있게 하여, 결국 조직의 구성원들에게 훨씬 더 원활한 사용 경험을 제공합니다.