Security Transformation : SASE 기술 전망
엑스퍼넷 이상욱 프로
디지털 트랜스포메이션은 선택이 아닌
필수 과정
모빌리티 | 이동성, 생산성
클라우드 | 신속, 규모, 협업
IoT / OT | 운영 효율성
인터넷 | 업무네트워크의 일부
데이터센터 공장
SaaS
Internet
어떻게 보안을 적용할까요?
모든 분야에서 디지털 트랜스포메이션이 일어납니다.
디지털 트랜스포메이션
What is SASE?
과거 기업 보안 모델
• 내부 네트워크를 통하여 사용자와 데이터센터의 업무 앱 연결
Outbound
Gateway Inbound Gateway 경계선을 두고 보안 장비를 이용해 내부 네트워크 보호
FW / IPS URL Filter Antivirus DLP
Sandbox DNS
Global LB DDoS Ext. FW/IPS RAS (VPN) Internal FW Internal LB SSL
Trusted Network
Workforce Customers
미국 DC
외부 사용자
유럽 DC
SASE Identity-중심 아키텍처
Identity와 상황에 따른 동적 적용
Sue
• Sue는 공항 와이파이에서 몇시간 동안 Salesforce CRM에 접속
• 맬웨어 검사 및 Wi-Fi 보호를 통해 Salesforce에 QoS (Quality of Service) 최적화 및 SaaS 가속화 연결을 제공
• 인터넷 탐색 시 DLP를 통해 데이터 유출 보호 제공
Jorge
• 관리되지 않는 장치에서 데이터 센터에 호스팅 된 엔터프라이즈 웹 앱에 액세스
• 암호화 된 트래픽을 검사하여 민감한 데이터 손실에 대한 특정 액 세스를 제한하고 WAF 서비스를 통한 웹 사용 및 응용 프로그램의 공격 방지 및 모니터링 제공
Turbine
• 센서 데이터에 대한 데이터 분석을 위해 에지 컴퓨팅 기반 네트워크와 컴퓨팅 액세스가 필요
• ZTNA 액세스를 제공하여 터빈의 IP 주소를 난독화하고 API 보호를 통
SASE: 핵심 서비스는?
핵심 서비스
• SD-WAN
• Secure Web Gateway
• CASB
• ZTNA
• FWaaS, IPS
• DLP, 맬웨어 프로텍션
• Bandwidth Control
SASE: 클라우드 네이티브 SASE의 의미는?
• 소프트웨어 중심
• 스케일의 유연성
• 컨테이너/마이크로 서비스
• 글로벌 규모
• 인라인과 스케일
• 싱글 패스 스캐닝
• 단순화, 복잡성 축소
• 멀티테넌트 구조
SASE: Cloud 환경에서의 지점 구성
물리적 장비는 필요하지만 최소 규모로 줄어 들것이다.
“가능한 모두
클라우드 보안으로,
SASE와 SD-WAN을 통해
최적의 성능과 가용성
그리고 비용 효율성을
구현한다” -가트너
전략적 기술 파트너 선택의 고려사항
마켓 리더십 검증된 인라인 보안 클라우드 운영 경험?
사용자 경험 SASE 아키텍처 사용자가 필요한
스케일 제공?
위협 차단과 데이터 보호 향상된 보호를 위해
SSL 검사를 포함한 모든 내용을 확인?
통합된 플랫폼
정책과 서비스를
쉽게 운영할 수 있는
통합된 보안 플랫폼?
시큐리티 트랜스포메이션
고객과 사용자에게 향상된 사용자 경험 제공
앱과 사용자의 빠른 직접 연결, 보안 블랙홀 제거 150 데이터센터를 통한 보안
정책과 실행 (SASE)
비용 절감과 미래 투자 보호
클라우드 서비스 – 사용자 중심으로 IT를 통합하고 복잡성 제거
증가하는 디지털화 자원의 보호
장소의 한계를 극복한 정책 기반의 액세스 제공
용량 한계를 극복한 Encrypted traffic 검사
기업의 경쟁력 강화
클라우드 도입의 촉매제 기존 네트워크, 보안의
한계 극복
“더 안전하고, 더 나은 서비스를, 더 낮은 비용으로 운영 할 수
있다는 것은 드문 경우 입니다.”
전용선 구간
IT를 통한 비지니스 생산성 극대화
클라우드는 기업의 데이터센터 역할
해외DC 본사DC
애플리케이션 트랜스포메이션
데이터센터 -> 클라우드
용이한 협업
새로운 비지니스 모델 심플한 IT
트랜스포메이션 네트워크
WAN -> 인터넷
빠른 사용자 경험 네트워크 비용 감소 심플한 IT (신속대응)
트랜스포메이션 시큐리티
네트워크보안 -> SASE
정책기반 투명성 표준화
시큐리티의 변화 필요
SASE: 지스케일러 제공
지스케일러는 SASE에서 제안하는 보안 서비스를 제공하고, 멀티테넌트 플랫폼과 Inline,
스케일, 싱글 스캔 등 구조적 디자인도 만족합니다.
SASE: 시큐리티 트랜스포메이션
데이터센터 PRIVATE CLOUD
• 언제 어디서나 빠른 연결과 보안의 사각지대 없는 안전한 인터넷 서비스 제공
Zscaler: 시큐리티 트랜스포메이션
400 고객 Global 2000 Forbes
마켓 리더
9
년 연속Gartner MQ Leader
업계 리더
1000억+
일일 처리량150 데이터센터10x 구글 서치글로벌 스케일
12+ 년 이상 운영 경력의 보안 클라우드 플랫폼
탁월한 운영 관리
데이터센터
업무 고객
공장
SaaS
Internet
디지털서비스 익스체인지
35x
적어진 감염 사례
80%
빠른 사용자 경험
70%
인프라 비용절감
9년 연속 업계 리더
Gartner SWG MQ
업계 대표적인 고객…
Zscaler: Zenith of scalability (자체 클라우드 플랫폼을 통해 무한한 확장성 제공)
글로벌 그룹사 일상용품업계 어페럴 금융 보험업계 식음료업계 리테일
Office 365 월별 통신량 401 TB
318 TB 345 TB 349 TB 사용자수
1.3M
400K
200K 120K 사업장 지역수
6,000
900 30,000
1,800 다국적 기업의
진출 국가수 185
150
113 70
모든 트래픽 – 모든 사용자 – 모든 지역
안전하고, 빠르고, 신뢰할 수 있는 앱/데이터 접속을 제공
외부 앱 내부 앱
앱/데이터 보호:
허가된 연결만 허용
(ZPA, ZTNA)
SWG, 위협 방어와데이터 유출 방지
(ZIA, SASE)
B2B 앱의 보안 접속
(ZB2B)
Digital Experience Monitoring (ZDX)
귀사의 업무 지원 귀사 고객의 업무 지원
B2B 앱 / 포탈 DC
Secure Edge 150개 Data Centers
Digital Service Exchange
Zscaler Cloud Security Platform
DC 공장
ZIA, 더 안전하고, 더 간단하게 최상의 보안을 제공
끝없는 보안 장비의 도입, 관리, 유지보수에서 해방
Zscaler Network Transformation
Zscaler, 안전한 인터넷과 클라우드 환경
Branch Branch
SaaS Open Internet IaaS
재택, 원격지 공항, 호텔
종속되지 않는 새로운 관점의 사용자 보안 정책 모든 클라우드
모든 네트워크 모든 사용자 모든 지역
지스케일러 전세계 150개 이상 플랫폼
ZIA(Zscaler Internet Access)
ZIA, Zscaler Internet Access: 안전하고 빠른 인터넷과 SaaS 이용
ZIA 사용 사례
• 업무앱의 우선 순위와 MS peering 제공
• One-click 설정 제공
Office 365 Secure SD-WAN
• 지점 지사의 현지 direct-to-internet 환경
• SD-WAN 제조사들과의 API 인테그레이션
• 용량 한계를 극복한 Encrypted traffic 검사
• 클라우드 효과, 확인되면 즉시 반영
위협 차단
지사 본사 외부
외부 앱들
Fiber
Broadband 4/5G
위협 차단, 데이터 보호뉴욕 서울 런던
데이터 보호
• Shadow IT discovery
• Protect IP / PII / Compliance
위협 차단 / 정보 보호표준화 복잡성 제거 동일한 보안 정책 실행 (이동, 지사, 본사)
Cloud Firewall URL Filtering Bandwidth Control DNS Resolution Access Control Threat Prevention
Proxy (Native SSL)
Advanced Threat Protection Cloud Sandbox
DNS Security
Data Protection Cloud DLP
Exact Data Match CASB
Browser Isolation
플랫폼 서비스
ID Provider
사용자가 네트워크를 통해 어떤 APP을 사용하는 지 쉽게 Drill down으로 분석 가능 (어플리케이션 별, 사용자 별, 위치 별 분석)
Zscaler Internet Access UI
THREATS BLOCKED
13.5 M 1092.0 K 270.3 K 47.7 K 45.6 K 33.8 K 5.2 K 383
Malicious Content Botnet
Spyware or Adware Phishing
Browser Exploit Cross-site Scripting Unauthorized Communication Peer-to-Peer
BOTNET TRAFFIC BY LOCATION
313.5 K 273.9 K 203.2 K 115.8 K 76.2 K
Beijing Sau Paulo San Francisco Tokyo France
BOTNET C&C
USER
BOTNET INFECTED MACHINES 전세계의 해외 사이트에 대한 관제 및 감염 단말의 손쉬운 Drill Down 화면제공
예)
• Beam Suntory : 직원 150,000명, 3개월간의 데이터 검색
• 1,300만건의 감염 사이트 접속 시도 및 차단
• 100만건의 Botnet 사이트 접속시도 및 차단
• 감염 내용→발생 위치파악→해당 감염단말 파악→단말 조치
직관적인 전세계 사이트 관제 및 감염 단말 검출
ZPA(Zscaler Private Access)
ZPA, Zscaler Private Access를 활용한 Zero Trust Network Access
퍼블릭 Industrial
Control 프라이빗
내부용 업무 앱
데이터센터
ZPA 사용 사례
• 빠른 직접 연결
• 안전한 외부작업자들의 데이터센터 접속
Remote Access VPN 대체 멀티 클라우드에 직접 연결
• 데이터센터와 클라우드의 직접 연결이 불필요
• Virtual DMZs 제거
• 네트워크 통합과 상관없이 업무 통합 가능
• 표준화된 보안정책 즉시 배포
M&A에 의한 IT 통합을 신속하게 Secure Access to Industrial Systems
• Secure critical infrastructure (invisible)
• 정책 기반의 접속 허용, anywhere
Zero Attack Surface App Segmentation Zero Trust Network Access
지사 본사 외부
Fiber
Broadband 4/5G
뉴욕 서울 런던GSLB
Optimal Path Selection App Health Monitoring Discovery/
Availability Zero Trust
Network Access Anti-VPN
Anti-Firewall Anti-DDoS
App/Device Access Browser Access Web Isolation Private Service
플랫폼 서비스
ID Provider
앱과 정보를 보호:
허용된 접속만 허용
ZPA를 활용한 Zero Trust Network Access
File shares File shares
원격사용자 (Zscaler App 설치)
임직원 Intranet 및 데이터센터 모든 어플리케이션 이용
파트너
파트너 데이터 센터내 특정 어플리케이션만
이용 허가
(Zscaler Enforcement node) ZEN
Zscaler App – 사용자에게 웹 보안 및 보안 원격접속제공 ZEN Connector – ZEN과 어플리케이션의 연결 중계
ConnectorZEN
Connector ZEN
POLICY
Central Authority
Zscaler 플랫폼 서비스
인터넷 게이트웨이 3년 이상의 TCO 비교
Subscription
Charge 유지보수 비용
$0
$708k
+ FREE TRANSITION PACK
절약 $2.44m
호스팅 필요 없음
Security as a Service
Security as a Service
$4.77m
하드웨어 비용
보안 운영 비용 장비 DC Hosting 비용
$1.8m
48% 운영 비용 절감
$2.33m
$892k
$864k
$0
$173k
$1.47m
하드웨어 교체 필요 없음
Security as a Service
SASE Model Legacy Model
3단계로 시작하는 Secure IT transformation 예제
100,000 Users / 85 Countries 80,000 Users / 48 Countries
SECURE Up-level security
기존 인프라 변화 없이 모든 인터넷
Cloud
SIMPLIFY
Remove multiple point products
기존 보안 장비 추가 투자 감소, 보안 관련
Cloud
모든 사용자 인터넷 직접 연결 사용자 환경 개선, SD-WAN,