차세대 SASE 플랫폼을 통한
광역 네트워크 및 보안 개선 방안
- 글로벌 백본을 이용한 광역 네트워크 및 보안 개선 - 재택/모바일 근무를 위한 모빌리티 및 보안 향상 방안
CMT정보통신 강기호 이사 CATO NETWORKS
예측 불가능 한 요소로 인한 IT환경의 형태/변화
디지털 전환의 시기
보안 취약성 증가 모빌리티
재택근무
노출 지점의 확대
재택 근무로 인한 분산 IT로 인한
노출 지점의 증가
원격접속 문제
o 재택근무가 늘어나면서 VPN 증설이 요구됨
o 모두를 위한 VPN 확장은 느리고 많은 비용발생 o 전체 비즈니스 지원 필요 o 강력한 인증, 위협 방지 및
최적화된 액세스 제공 필요 o 안전하고 최적의
어플리케이션 접속이 중요
글로벌 병목 현상
US 지역
DC EMEA 지역
x300
재택 근무자 원격/이동 근무자
80 80 8080
물리적 및 클라우드에 대한 접속 요구
Use Case #1
물리적 데이터 센터에 대한 원격 액세스
Use Case #2
클라우드 데이터 센터에 대한 원격 액세스
Use Case #3
클라우드 앱에 대한 원격 액세스
노출 지점의 증가
실제 예산 실제 인력 수 보안 비용
필요 보안 인력
사이버 보안 비지니스 격차
o 39% 의조직이
보안 예산불충분 o 59% 의 조직이
보안 인력태부족 o 51% 의 조직이
사이버보안직원의 역량 부족토로
출처:SonicWALL
수많은 장비들…
기존 네트워크 MPLS
Mobile VPN/SDP Network
보안
데이터센터 지사
클라우드
본사
이동/재택모바일, 근무자
복잡성의 해소 필요
점점 증가되는 복잡성은 디지털 전환에 어려움을 증가
MPLS
Netw ork Securi
ty
Mobile VPN/S
DP
포인트 솔루션 관리서비스 비용
“In essence, complexity is the enemy of availability,
security and agility.”
“Avoid These 'Bottom 10' Networking Worst Practices”
By: Andrew Lerner, Bill Menezes, Vivek Bhalla, Danellie
Young
MPLS
Netw ork Securi
ty
Mobile VPN/S
DP
위험을 줄이면서
비즈니스 요구사항을 어떻게 만족 하는가?
비지니스 요구사항
차세대 융합서비스의 요구
네트워크 / 보안 융합 네트워크 플랫폼: SASE(Secure Access Service Edge)
“ Customer demands for simplicity, scalability, flexibility, low latency and pervasive security force
convergence of the WAN edge and network security markets”.
Market Trends: How to Win as WAN Edge and
Security Converge Into the Secure Access Service
Edge, 2019
융합
All Edges
클라우드 기반
“ 대부분의 SASE 제품은 확장, 클라우드 네이티브 및 클라우드 기반 제공”
“ 클라우드 제공 기반 접근 방식이 필요하며, 많은 지점(POP)이 있는 공급자를 선호”
“ 에이전트 기반 기능, 온-프레미스 기반 기능 및 QoS 및 경로 선택 기술의 제공필요
Global
“단순성, 확장성, 유연성, 낮은 대기 시간 및 보편적인 보안에 대한 고객의 요구는 WAN 에지 및 네트워크 보안 시장의 융합을 필요로 함.”.
Converged, Cloud-based, Global, All Edges
CATO Cloud 아키텍처
글로벌 백본 서비스 및 네트워크/보안 통합 서비스 아키텍처 제공
차세대 방화벽 보안 웹 게이트웨이 ATP: 지능형 위협 방어 클라우드 및 모바일 보안 Cloud 최적화
WAN 최적화 Global Route 최적화 자가 복구 아키텍처
Branch Datacenter
Edge SD-WAN
• Active / Active / Active 구성지원
• 동적 경로 선택
• 응용 프로그램 및 사용자 인식 QoS
• 패킷 손실 완화
IPSec MPLS
Hybrid/Multi Cloud Agentless
Mobile Agent/Agentless
관리
• 통합관리
• 보안관리서비스 (MDR)
PoP
Converged Network &
Security
SDP
POP POP
CATO Cloud
o Last mile 최적화를 위한 “에지 SD-WAN기술”
o SLA (99.999%)를 보장하는 Middle mile 최적화 기술
o 모든 PoP들은 주요 클라우드 서비스사업자의 PoP과 코로케이션 (Colocation)
o 본사, 지사, 물리적 데이터센터(On-Prem), 클라우드 리소스 (데이터센터, 애플리케이션), 및 모바일 사용자를 가장 가까운 PoP에 자동 접속
Network as a Service: Global Private Backbone을 이용한 안정성 제공
Cato Cloud PoP
54 PoPs / Encrypted / Mesh 구조 / 동적 연결
Self Healing Architecture
자동으로 가장 빠른 PoP으로 Failover 및 Failback 기능 제공
Failover Singapore
Frankfurt, Germany
New York
Hong Kong
POP
POPPOP POP
16
Simplicity / Cost effective / Agility
네트워크:
최적화된 사용자, 클라우드, 지사, 본사 연결정책:
단일 콘솔로네트워크, 보안정책 수립 및 분석
Branch
HQ/DC Cloud Mobile
보안:
Built-in 보안 서비스 제공MPLS
Network Security
Mobile VPN/SDP
Cloud Service Peering
클라우드에 내장된 최적화 및 보안기술
Agentless IaaS 연결
Optimized last-mile
동일한 데이터 센터
<5ms RTT Cloud DC & Apps
Egress 라우팅 최적화된
o End-to-end 클라우드 기반 최적화 제공
o 모바일 사용자(VPN), 본사, 지사 (CATO Socket) 어디서든 사용가능
o AWS, Office365 등 클라우드 서비스에 별도의 Direct Connect 비용 지불 할 필요 없음
POP POP
POP
Strong Mobility
Cato
client(Agent) Web
browser(SDP, Agentless)
o 다양한 OS 지원 (Windows, MacOS, IOS, Android, Linux), Client less (웹 브라우저 접속) 지원
o 클라우드 접속에 최적화 및 Backhaul 없음
o 강력한 인증 지원 (MFA, SSO)
o 하나의 관리 웹으로 VPN 유저 관리 및 모니터
POP
POP
POP
Cloud Native Security
완벽하게 통합된 NOC/SOC 및 차세대 보안 기술 제공
실시간 보안 (Real Time Protection)
접근 제어 위협 방지/보호
차세대 방화벽 SWG/
URL 필터링
기본/차세대
맬웨어 방지 IPS TLS 복호화
Architecture Security Intelligence
보안 연구소 및 관제센터(Security Research & SOC)
Managed Detection and Response (MDR) 클라우드 스케일 빅 데이터 / 머신 러닝
외부정보 내부정보 규칙
SIEM
o 확장성과 탄력성
o Single-point 복호화 및 DPI o 글로벌 분산 구조 / 중앙집중 관리
o 서비스 전체 트래픽의 가시성
o 모든 네트워크 흐름에 대한 풍부한 컨텍스트 (Rich context) o 자동화된 보안위협 헌팅
POP
Anti-Malware Protection
기본적인 방어 및 차세대 방어기술 옵션 제공
Advanced IPS
시그니처선택 탐지모드 다운로드
고객 영향도 시그니처생성
모니터링오탐 성능 차단모드 모니터링
관리 적용 유지보수
IPS
☺
시그니처 생성 정확도 검증
(Silent mode – 전 세계적으로 1TB의 트래픽
흐름 및 120K 시스템 영향도 파악)
고객영향도 부담/최소화 차단모드 적용
Cato IPS
고객영향도 없이 보안 위협의 차단
엔터프라이즈 네트워크 뷰
솔루션 데모:설정/UI
솔루션 데모:속도/클라우드최적화
솔루션 데모: 애플리케이션 차단
솔루션 데모: 악성코드 차단
솔루션 데모: SDP
MDR (Managed Threat Detection and Response) 서비스
SOC 전문가의 관리 및 분석
Predict
Prevent Respond
Detect
Cato 서비스
• NGFW
• SWG/URL Filtering
• IPS as a Service
• NG-AV Zero-footprint Network Visibility
모든 Flow Metadata 수집 Automated Threat Hunting
Flow Metadata를 Machine Learning 기술로 분석 Expert Threat Verification
CATO SOC(Service Operation Centers) 에서 분석하여 실제 위협에 대해서 알림
Threat Containment
자동으로 C&C 도메인과 IP 차단, 감염된 PC 격리 서비스 Remediation Assistance
CATO SOC는 위협이 제거될 때까지 후속 조치를 권고 Reporting and Tracking
CATO SOC는 월간 보고서에 탐지된 위협 및 조치 사항을 안내
CATO MDR 서비스
요구사항
CATO Cloud는 차세대 SASE에 필요한 요구사항을 모두 충족
제품 지원 SD-WAN Global
Connectivity Secure
DIA Cloud
Access Mobile
Access Simple Management
NETWORKS CATO
지원54개
지원 지원 지원지원
SD-WAN EDGE 지원 미지원 미지원 미지원 미지원 미지원
GLOBAL BACKBONE
(Telco) 지원 지원 미지원 지원 미지원 미지원
UTM with
SD-WAN 지원 미지원 지원 미지원 지원 미지원
고객 사례
133
sites
50
sites
44
sites
35
sites
23
sites
21
sites
63
sites
71
sites
63
sites
37
sites
Retail Retail Manufacturing Construction
Manufacturing Insurance
Manufacturing Technology Food Financials
122
sites Construction
60
sites Shangri-La Hospitality
62
sites Travel
41
sites Manufacturing
38
sites Manufacturing
100개국에 500개 이상의 고객
Fisher & Company / 미국, 제조
MPLS 비용 절감, WAN 대역폭 및 성능 개선
데이터센터 MPLS
방화벽
방화벽 방화벽
본사
방화벽
고객의 상황
o
MPLS로 글로벌네트워크 서비스 사용 중
필요성
o
다수의 포인트솔루션 설치,운영에 따른 관리의 복잡성(including Firewalls, Routers, WAN Optimization)
o
높은 비용
MPLS를 Cato로 대체, 비용을 1/3로 감소
o
보안을 내장한 심플한 단일 네트워크 구축
o모든 포인트솔루션을 제거, 단순한 관리 가능
oWAN대역폭, 용량 증가
MPLS회선 관리비 WAN 가속기
Cato + Internet Cato Cloud
Last mile
Kaefer / 독일, 건설
63개 사업장의 MPLS 대체, FWaaS도입으로 보안성 개선
고객의 상황
o
다국적 기업: 40개국, 2,000개 사업장, 28,000명 직원
o
MPLS, 인터넷 WAN혼용
필요성
o
MPLS의 제한적인 용량, 고비용
oIT 자원들을 클라우드로
마이그레이션
o
새로운 사업장(건설현장)에 유연하고 빠른 IT프로비져닝 필요, MPLS의 느린 속도
Cato을 통해 안전한 글로벌 WAN
o
기존의 MPLS링크를 인터넷 라스트마일과 Cato Cloud로 대체
o모든 사이트에서 안전하게 DIA(Direct Internet Access) 접속
o모바일 사용자와 클라우드 데이터센터를 연결
모바일사용자 MPLS
지사 지사
방화벽 WWW
본사 VPN
AdRoll / 미국, AI 기반 마케팅
AWS에 대한 글로벌 접속, 16개의 클라우드 데이터 센터, 800 명의 모바일 사용자
Cato을 통해 글로벌 모바일사용자들에게 최적화된 클라우드서비스 접속이 가능
o Cato Cloud를 통해 글로벌하게 모바일 사용자를 AWS에 접속 o “병목지점(Chokepoint)”없이 AWS의 VPC의 접속에 최적화된
모바일 사용자 환경 제공
고객의 상황
o 다국적 기업, 샌프시스코, 뉴욕, 더블린, 영국, 도쿄, 시드니, 인도 o 모든 직원들이 VPN을 통해 본사의 방화벽을 거쳐 AWS에 접속
필요성
o AWS에 접속을 위해 광역네트워크(WAN)과 모바일사용자의 지연(Latency)을 개선
적용 시나리오
MPLS 대체 또는 이중화 구성 지원
MPLS 개선 확대
MPLS WWW
MPLS -> 듀얼 인터넷
유지
MPLS를 인터넷 전용선 라인으로 교체
(1X-1.5X) 또는 광대역터넷 (2x-5x)
MPLS
새로운광대역 라인
MPLS
MPLS
단일 MPLS -> 듀얼 인터넷
광대역새로 2X-5X
MPLS를 인터넷 전용선 라인으로 교체 (1X-1.5X)
대역인터넷 (2x-5x)
WWW
단일 또는 듀얼 인터넷
유지
유지 유지
WWW WWW WWW WWW
전환 시나리오
사용자 연결 클라우드 데이터 센터 연결
3
분30
분본사/지사연결
3
일Cato Client Cato Cloud
Cato Cloud
모바일사용자 Cato Client
데이터센터
Cato Cloud
모바일사용자
Cato Socket
데이터센터 모바일사용자
What is Next?
POC 요청 및 문의 CATO@cmtinfo.co.kr