최근 디지털 세상에서 많은 기업들은 워크로드를 클라우드로 이전하고 있습니다.
유저는 어디서나 단말을 연결하여 신뢰할 수 없는 링크를 통해 클라우드의 민감한 데이터에 접근합니다.
클라우드에 저장되는 데이터의 양이 증가하고 개인정보 문제와 원격 액세스로 인해 발생하는 위협과 보안 문제를 해결하기 위해 기업들은 제로 트러스트 및 SASE(Secure Access Service Edge) 아키텍처를 채택하고 있습니다.
이와 동시에 규제 당국은 조직, 직원, 소비자를 보호하고 사이버 보안 위험을 줄이기 위해 GDPR, NIST, SOX, PCI DSS, HIPAA와 같은 새로운 보안 프레임워크와 표준을 만들고 있습니다.
2022년에만 전 세계 조직에서 탐지한 랜섬웨어 공격은 4억 9,333만 건에 달하며1, 전 세계 성인의 약 30%가 피싱 사기를 경험했습니다2. 또한, 같은 해 미국에서 발생한 데이터 침해 건수는 1802건에 달했으며, 4억 2,200만 명 이상의 개인이 데이터 침해, 유출, 노출 등 데이터 침해로 인해 피해를 입었습니다3.
이러한 규정과 표준은 다음과 같은 여러 사이버 보안 위협에 대처하는 데 도움이 됩니다:
- 멀웨어 및 랜섬웨어: 악성 웹사이트, 이메일, 소프트웨어 및 기타 파일에서 비롯될 수 있는 위협
- 피싱 및 소셜 엔지니어링: 사용자를 속여 민감한 정보를 공개하도록 유도
- 내부자 위협: 조직에서 탐지하기 어려운 데이터 도난이나 방해 행위를 포함한 의심스러운 활동
- 데이터 손실 및 데이터 유출: 많은 규정에서 조직은 데이터 유출을 당국과 영향을 받은 개인에게 보고하도록 요구됨
- 제3자 위험: 규정에 따라 조직은 보안 표준을 준수하기 위해 벤더와 공급업체에 대한 실사 수행 필요
- IoT의 폭발적 증가: 지난 몇 년 동안 IoT 디바이스의 수가 기하급수적으로 증가하면서 공격 표면적이 넓어지고 주요 사이버 보안 위험에 노출
SASE는 2019년에 가트너에서 만든 용어로, Secure Access Service Edge의 약자입니다.
SD-WAN 기능과 함께 ZTNA(제로 트러스트 네트워크 접속), CASB(클라우드 접속 보안 브로커), SWG(보안 웹 게이트웨이) 등 종합적인 보안 기능을 제공하는 SSE(보안 서비스 엣지)를 결합한 것입니다.
그럼 SASE와 SD-WAN이 규정 및 표준 준수를 개선하는 데 도움이 되는 5가지 방법을 한 번 알아볼까요?
1. 데이터 보호
GDPR 또는 HIPAA와 같은 규정을 준수하기 위해 조직은 민감한 데이터를 보호해야 합니다.
이럴 때, CASB와 DLP(데이터 손실 방지)는 데이터 보호를 강화하는 데 도움이 됩니다.
CASB는 클라우드 기반 애플리케이션을 검색 및 모니터링하고, 사용자를 식별하여 전사적인 보안 정책을 시행합니다.
DLP는 콘텐츠와 컨텍스트를 기반으로 민감한 데이터를 식별하여 분류하고, 사용자 행동을 모니터링할 수 있습니다.
CASB와 DLP는 위험에 노출된 데이터를 모니터링함으로서 사용자가 의도적이든 의도적이지 않든 Dropbox, Github, Salesforce와 같은 클라우드 애플리케이션에 민감한 데이터를 다운로드/업로드하지 못하도록 방지합니다.
또한 CASB는 Shadow IT를 줄이고 조직에서 승인되지 않은 SaaS 애플리케이션을 확인하여 인증 및 싱글 사인 온(SSO)과 같은 보안 정책을 적용하는 데 도움이 됩니다.
SD-WAN과 SASE는 사용자와 애플리케이션 사이에 암호화된 터널을 생성하여 컴플라이언스 규정과 표준에서 요구하는 전송 데이터를 보호합니다.
CASB 솔루션은 검사를 위해 전송 중인 데이터를 복호화할 수 있다는 점에 주목할 필요가 있습니다.
이를 위해서는 사용자의 디바이스에 신뢰할 수 있는 인증서를 배포해야 합니다. 규제 기관은 인증서와 암호화 키를 관리하기 위해 추가적인 보안 조치를 요구할 수 있습니다.
CASB의 또 다른 접근 방식은 API를 사용하여 클라우드에 저장된 데이터를 해독된 형태로 액세스하는 것입니다.
2. 접근 제어
많은 업계 표준 및 규정에서는 제로 트러스트 아키텍처를 통해 조직 내 역할에 따라 정말 필요한 시스템 및 데이터에 대한서만 최소한으로 접근할 수 있도록 제한하기를 요구합니다. (최소 권한의 원칙)
ZTNA는 역할과 신원을 기반으로 세분화하여 최소 권한 액세스를 제공합니다.
이를 통해 사용자는 비즈니스에서 자신의 역할에 맞는 필요성에 따라 적정 리소스에 액세스하고 권한이 부여된 사용자만 중요한 데이터에 액세스할 수 있습니다. 기존의 VPN은 사용자가 연결되면 모든 리소스에 대한 액세스 권한을 부여하여 보안 위험을 증가시키므로, ZTNA는 VPN에 비해 추가적인 보안 계층을 제공합니다.
또한 일부 ZTNA 솔루션은 에이전트가 없습니다.
따라서 기업은 디바이스에 ZTNA 에이전트를 설치하지 않고도 규정을 준수하지 않을 수 있는 잠재적 위험이 있는 외주 계약업체에도 원활하게 액세스 권한을 부여할 수 있습니다.
각 지점 오피스 위치에서는 차세대 방화벽 기능을 갖춘 보안 SD-WAN으로 고급 마이크로 세그멘테이션 기능을 제공하여 LAN과 WAN의 중요한 부분을 보호합니다.
관리자는 영역을 생성하고, 영역에 애플리케이션을 할당하고, 영역 간 또는 전체 영역에 대한 액세스를 제어하도록 하는 고유한 보안 정책을 만들 수 있습니다. 이러한 정책은 액세스를 완전히 차단하거나, 한 방향으로만 트래픽을 허용하거나, 특정 용도로만 구역 간 트래픽을 제한할 수 있습니다.
또한 이 솔루션은 IoT 트래픽이 미션 크리티컬 애플리케이션으로부터 격리되도록 하여 보안 에이전트를 실행할 수 없는 IoT 디바이스를 보호하는 데 도움이 됩니다.
3. 위협 방지
규정과 표준에 따라 사이버 보안 위협을 줄이기 위해 인터넷 사용을 제한하는 정책을 시행해야 하는 경우가 많습니다.
SWG는 안전한 환경을 조성하여 사용자를 실시간으로 보호합니다.
인터넷 트래픽에서 멀웨어 및 피싱 공격을 포함한 악성 활동을 검색하고 악성 콘텐츠를 차단하여 사이버 위협으로부터 데이터와 시스템을 보호할 수 있도록 지원합니다.
또한 SWG는 컴플라이언스를 위반할 수 있는 악성 콘텐츠로 알려진 웹사이트에 대한 접속을 차단합니다.
뿐만 아니라 SWG는 SSL/TLS 트래픽을 해독하고 검사함으로써 암호화된 트래픽에 대한 가시성을 제공합니다.
그 외에도 보안 SD-WAN 솔루션에는 사용자를 보호하기 위한 침입 방지(IDS/IPS) 및 DDoS 보호 기능이 포함되어 있습니다. 이러한 기능은 방화벽 구역을 기반으로 중앙에서 구성하여 세분화된 보안 정책을 적용할 수 있습니다.
4. 중앙 집중식 정책 관리
클라우드에서 호스팅되는 SASE 및 SD-WAN 솔루션을 통해 네트워크 및 보안 관리자는 정책을 중앙에서 관리하고 원격 사용자 및 지사(Branch)에 해당 정책을 즉시 배포할 수 있습니다. 이러한 접근 방식은 지사와 원격 사용자에게 일관된 보안 정책을 제공할 뿐만 아니라 규정과 표준을 준수하는 데도 도움이 됩니다.
중앙 집중식 정책 관리를 통해 관리자는 사용자가 설정된 정책을 따르고 있는지 확인할 수 있습니다.
이는 규정 준수가 더 어려울 수 있는 해외에 위치한 원격 사이트의 경우 특히 유용하며, 유럽의 GDPR 및 캘리포니아의 CCPA와 같은 다양한 규제 의무에 따라 운영될 수도 있습니다.
5. 가시성, 보고 및 감사
SASE와 SD-WAN은 네트워크 및 보안 인시던트에 대한 고급 가시성을 제공합니다.
네트워크를 지속적으로 모니터링하여 아키텍트가 실시간으로 문제 해결 조치를 구현할 수 있도록 지원합니다.
트래픽 세션과 관련된 이벤트와 해당 이벤트의 원인을 캡처할 수 있습니다.
이 정보는 보안 인시던트를 식별하고 대응하는 데 도움이 되도록 SIEM 솔루션으로 전송할 수 있습니다.
SIEM 솔루션과의 연동을 통해 보안 위협과 취약성에 대한 종합적인 시각을 확보할 수 있습니다.
전체 네트워크에서 생성된 일괄적인 보안 이벤트 알림을 필터링, 정렬, 탐색 및 확인할 수 있어 추가 조사가 필요한 보안 이벤트를 정확히 찾아낼 수 있습니다.
보안 문제를 해결하는 것 외에도 감사 로그 및 보고를 사용하여 규정 준수를 입증할 수 있습니다.
디지털 혁신과 규제 환경이 강화됨에 따라 SD-WAN과 SASE는 IT 리더, 리스크 관리자, GRC(거버넌스, 리스크, 컴플라이언스) 팀이 HIPAA, PCI-DSS, NIST 또는 GDPR과 같은 규정 및 표준 준수를 가속화할 수 있도록 지원합니다.
이러한 솔루션은 데이터 암호화를 제공하고 웹 액세스를 보호하며 데이터 손실과 멀웨어 공격을 방지합니다.
필요한 클라우드 호스팅 리소스에만 액세스하도록 제한하고, 클라우드의 데이터 흐름을 식별 및 모니터링하며, 악성 콘텐츠를 차단합니다.
또한 각 지점 오피스에 설치된 보안 SD-WAN은 마이크로 세그멘테이션 기능을 제공하여 미션 크리티컬 애플리케이션과 IoT 트래픽을 격리할 수 있습니다. 사용자 경험을 높이고 유연성을 제공하여 트래픽을 데이터센터로 백홀링하지 않고도 클라우드로 트래픽을 유도할 수 있으며, SD-WAN 기능 외에도 라우팅 및 방화벽 기능을 통합하여 지사의 하드웨어 설치 공간을 줄일 수 있습니다.
HPE Aruba Networking의 SSE는 비즈니스 애플리케이션에 대한 보안 액세스를 제공하고 최신 업무 환경으로의 전환을 가속화하도록 설계된 클라우드 네이티브 SSE 플랫폼입니다.
이 플랫폼은 네트워크 엣지에서 개별 애플리케이션에 대한 인증된 사용자 액세스, 인터넷에 대한 사용자 액세스를 보호하는 보안 웹 게이트웨이(SWG), 민감한 데이터를 보호하기 위한 정책을 시행하는 클라우드 액세스 보안 브로커(CASB)를 제공합니다.
EdgeConnect SD-WAN과 긴밀하게 통합되어 조직이 통합 SASE 아키텍처를 구축하고 디지털 혁신 및 하이브리드 작업의 과제를 해결하여 SaaS 애플리케이션을 보호하고 규정 준수 노력을 가속화할 수 있도록 지원합니다.
HPE Aruba Networking은 고객이 GDPR을 준수할 수 있도록 지원하기 위해 최선을 다하고 있습니다.
EdgeConnect SD-WAN은 GDPR을 준수하는 개인정보 보호 관행을 따르고 지속적으로 개선하기 위해 TrustArc 개인정보 보호 및 데이터 거버넌스 프레임워크를 충족하는 것으로 나타났습니다:
또한 보안 SD-WAN에 대한 ICSA Labs 인증을 획득했습니다.
자세한 내용은 Unified SASE 웹페이지에서 확인하세요.