2051호(220622)_보안 서비스 엣지

1. 보안 서비스 엣지

1) 경계 보안 모델의 한계

① 외부 기기의 취약성: 허용된 외부 기기에서 인증된 사용자만 내부로 접근을 허용한다고 해도, 접속기기의 보안 취약점에 의해 공격자가 경계 내부로 침입할 가능성 존재(제로데이 취약점, BYOD 허용 한계)

② 경계 내부의 취약성: 경계 보안 메커니즘은 경계망에 모든 보안이 집중되기 때문에 일단 내부로 공격자가 침입하면 내부의 전체 IT 자산이 공격 대상으로 노출, 내부에 침입한 공격자는 내부망 공격을 통해 지속적으로 공격을 전파하고 범위 확장

③ 외부 정보 자산의 취약성: 클라우드 등 외부에 있는 정보자산을 대상으로 일관적이고 통합적인 보안 정책을 집행하지 못하므로 정보자산의 유출·탈취 가능성 존재

 

→ IT 환경 변화에 대응하는 새로운 보안 구조는 경계 보안의 한계를 넘어서야 함

• 사용자 접속 위치가 어디에서든 관계 없이
• 클라우드나 사내망 등 어떤 전산 자원에 접근하더라도
• 사용자, 접속기기, 응용 프로그램 등 접속 주체에 대한 인증과 접속 대상에 대한 인가를 수행하고
• SWG, DLP, IPS, APT 대응 등 다양한 보안 정책을 집행하면서
• 통신 성능의 저하 없이 빠른 인터넷 환경을 제공하여 업무 효율 향상

 

2) 보안 접근 서비스 엣지(Secure Access Service Edge: SASE)

• SASE는 네트워크 서비스 파트와 네트워크 보안 서비스 파트로 구성
• 네트워크 서비스: SD-WAN, CDN, WAN 최적화 등으로 구성되어 사용자에게 고품질 네트워크 공급
• 네트워크 보안 서비스: Cloud SWG, CASB, ZTNA, FWaaS, WAAP(Web Application and API Protection) 등으로 구성되어 사용자의 네트워크 접근에 대해 보안 정책 집행

 

3) 보안 서비스 엣지(Security Service Edge: SSE)

• 클라우드 보안의 필수 기술로서 웹, 클라우드, 사내망 접근 시에 보안 정책을 집행
• 기존 SASE 개념에서 네트워크 서비스를 제외한 것으로, 비대면 시대의 통합 네트워크 보안 솔루션

 

 

2. 보안 서비스 엣지 핵심 기술

1) 제로 트러스트 네트워크 액세스

경계 보안 모델과 제로 트러스트 보안 모델

- 제로 트러스트 보안 모델은 사용자의 모든 네트워크 접근에 대해서 네트워크 경로 상 보안 정책 집행, 경계 보안 모델 한계 해결

① DMZ 혹은 클라우드에 ZTNA 게이트웨이를 운영하여 사용자 인증, 기기 보안 검증을 수행 후 인가된 사용자에 대해서만 사내망 및 클라우드로의 접근 허용

② 경계 내부라는 개념이 없고, 모든 네트워크 접근에 대하여 보안 정책 집행

③ 사내망 및 클라우드 등 모든 정보 자산 접근에 대해 SWG, CASB 등 기술 요소를 통한 보안 정책 집행 가능

 

ZTNA 구현 형태: 에이전트 기반 ZTNA 및 에이전트 미설치형 ZTNA

• ZTNA 주요 구성요소: 사용자, 서버, ZTNA 컨트롤러(컨트롤 플레인에서 보안 정책 관리), 데이터 플레인에서 보안 정책을 집행하는 ZTNA 게이트웨이
• ZTNA 구현 형태: 에이전트 기반 ZTNA, 에이전트 미설치형 ZTNA
  • 에이전트 기반 ZTNA: 엔드포인트 주도형으로서 CSA가 제안한 소프트웨어 정의 경계(SDP) 모델이 대표적, 사용자의 기기에 설치된 에이전트가 ZTNA 컨트롤러에 연결하면 컨트롤러는 미리 등록되어 있는 허용 가능한 서버로의 통신 허가, 사용자는 ZTNA 게이트웨이를 거쳐 서버에 연결하고 ZTNA 게이트웨이에서는 단일 패킷 인증을 거친 연결만 서버로 연결
  • 에이전트 미설치형 ZTNA: HTTP와 SSH 등의 주 사용 네트워크 프로토콜에 대한 리버스 프락시가 사용자 인증 및 보안 정책을 집행하는 서비스 주도형 구조, 서버의 구성 요소인 ZTNA 게이트웨이가 ZTNA 컨트롤러에 먼저 연결하며, ZTNA 컨트롤러는 리버스 프락시로서 사용자의 연결요청에 대해 인증 및 인가 수행

 

2) 보안 웹 게이트웨이(SWG)

SSE에서 SWG와 CASB의 역할

• 보안 웹 게이트웨이는 내부 사용자가 외부 인터넷에 접속하는 통신 경로 상에 위치하여 보안 기능을 수행, 공격 및 정보 유출 방어
• SWG는 URL 필터링, 악성코드 차단, 애플리케이션 제어의 3가지 필수 기능 수행, 일상화된 암호화 트래픽을 처리해야 하므로 TLS 복호화 기능 제공, SSE는 SWG가 가상 서버와 SaaS 형태를 거쳐 진보한 형태
• 인터넷으로 향하는 사용자의 세션은 제로 트러스트에서 인증/인가를 거쳐 ①에 위치한 SWG로 인입되고, SWG에서 URL 필터링, 악성코드 차단, 애플리케이션 제어 수행

 

3) 클라우드 접속 보안 브로커(CASB)

• 사용자의 클라우드 접속을 파악하고 보안 정책을 집행
• 섀도우 IT, 즉 관리자가 승인하지 않은 클라우드 애플리케이션이나 서비스의 사용 현황을 분석하고 접근을 통제하며 로깅 및 감사 추적 제공
• API 방식과 프락시 방식으로 구현 방식에 따라 구별
  
  • API 방식: 사용자 클라우드 환경과 별도로 존재하며 클라우드 서비스에서 제공하는 API를 이용하여 접속을 제어하고 클라우드에 저장된 데이터에 대한 악성코드/개인정보 보안 검사 수행, 별도 감사 형태를 취하므로 클라우드 인프라의 변경이 최소화된다는 장점
  • 프락시 방식: 내부망과 외부망의 경계에 위치하여 클라우드로 향하는 세션에 대해 접근 통제 등의 보안 정책 집행, 클라우드 자원 접근 이전에 사용자 인증을 통한 접근 통제, 섀도우 IT 실시간 탐지 및 정책 집행이 가능하며 강력한 보안 통제 가능

 

4) 엣지 관리 기술

• SSE는 서비스 형태의 제공이 일반적, 서비스의 경우 필수적으로 멀티테넌시와 확장성 및 가용성 보장
• ZTNA, SWG, CASB 등의 다양한 보안 요소가 운영되면서 발생하는 보안 정보 및 이벤트를 관리하는 SIEM 기술 요구, 보안 오케스트레이션 및 자동화 대응을 위한 SOAR 기술의 내재화 혹은 솔루션 연동 요구