점점 더 많은 조직에서 SASE 아키텍처를도입하는 방향으로 나아감에 따라 기존의 SASE 시장 정의(SSE + SD-WAN)만으로는 충분하지 않다는 것이 분명해졌습니다. 이로 인해 일부 팀에서는 특정 요구 사항을 해결하기 위해 여러 벤더와 협력해야 하며, 성능과 보안의 절충점을 찾아야 합니다. 더 우려되는 점은 벤더의 기본 아키텍처보다 서비스 체크리스트에 더 치중하게 된다는 점입니다. 가장 진보된 개별 보안 서비스나 트래픽 온램프조차도 조직에서 궁극적으로 짜깁기되고 결함이 있는 네트워크를 통해 트래픽을 전송한다면 아무런 소용이 없습니다.
단일 벤더 SASE는 서로 다른 보안 및 네트워킹 기술을 통합하는 중요한 트렌드이지만, 모든 팀에서 SASE가 작동하려면 진정한 네트워크 최신화("무제한 연결")가 필요합니다. 지난 몇 년동안 Cloudflare에서는 조직에서 SASE 사용 사례의 장단기 로드맵을 탐색하면서 네트워크를 최신화하는 데 도움이 되는 기능을 출시했습니다. Cloudflare에서는 이니셔티브를 어느 팀에서 주도하든 상관없이 SASE 구현을 간소화할 수 있도록 지원했습니다.
단일 벤더 SASE를 위한(훨씬 더!) 유연한 온램프(on-ramp) 발표
오늘, 단일 벤더 SASE 아키텍처의 약속을 더욱 강화하는 SASE 플랫폼인 Cloudflare One에 대한 일련의 업데이트를 발표합니다. 이러한 새로운 기능을 통해 Cloudflare의 보안팀에서는 SASE 네트워킹의 유연성과 접근성을 높이고, 기존 네트워킹 팀에서는 효율성을 높이며, 더 큰 SASE 연결 논의에서 소외된 DevOps에 대해 기술팀에서까지 그 범위를 독특하게 확장할 수 있게 되었습니다.
이러한 플랫폼 업데이트에는 다음이 포함됩니다.
- 에이전트/프록시 기반 및 장비/라우팅 기반 구현을 모두 지원하는 사이트 간 연결을 위한 유연한 온램프로 보안 팀과 네트워킹 팀 모두를 위하여 SASE 네트워킹을 단순화.
- 고가용성, 애플리케이션 인식, 가상 머신 배포 옵션, 향상된 가시성 및 분석 등의 새로운 서비스형 WAN(WANaaS) 기능으로 "가벼운 분기, 견고한 클라우드" 접근 방식을 통해 네트워크 비용을 절감하는 동시에 운영 효율성을 높여 줌.
- DevOps를 위한 Zero Trust 연결: 서비스 간 워크플로우 및 양방향 트래픽을 지원하도록 ZTNA를 확장하는 메시 및 피어 투 피어(P2P) 보안 네트워킹 기능.
Cloudflare에서는 WAN, 애플리케이션, 서비스, 시스템, 장치, 기타 내부 네트워크 리소스를 위한 커넥터 등의 광범위한 SASE 온/오프 램프를 제공하여 Cloudflare 서비스와 트래픽을 보다 쉽게 주고받을 수 있도록 합니다. 이를 통해 조직에서는 기존 환경, 기술 친숙도, 직무 역할에 따라 가장 적합한 연결 패러다임에 맞게 조정할 수 있습니다.
우리는 최근 별도의 블로그 게시물에서 Magic WAN Connector에 대해 자세히 알아보고 새로운 WARP Connector를 포함하여 SASE 참조 아키텍처에서 모든 온램프가 어떻게 결합되는지 설명했습니다. 이 블로그에서는 이러한 기술이 다양한 각도에서 SASE 네트워킹에 접근하는 고객에게 미치는 주요 영향에 초점을 맞춥니다.
보안팀의 유연성과 접근성 향상
SASE 아키텍처를 구현하는 과정에서 조직에서는 내부 책임과 IT, 보안, 네트워킹 전반에 걸친 협업에 어려움을 겪을 수 있습니다. 여러 팀에서 다양한 보안 또는 네트워킹 기술을 소유하고 있지만, 그 교체 주기가 반드시 일치하지는 않으므로 특정 프로젝트에 대한 조직의 지원 의지가 약해질 수 있습니다.
보안 또는 IT 실무자는 리소스의 위치와 관계없이 리소스를 보호할 수 있어야 합니다. 때로는 약간의 연결 변경만으로도 주어진 리소스를 더 효율적으로 보호하는 데 도움이 될 수 있지만, 해당 작업은 제어 영역 밖에 있습니다. 보안팀에서는 업무를 수행하기 위해 네트워킹 팀에 의존하고 싶지 않지만, 기존 네트워크 인프라에 다운스트림 문제를 일으킬 필요도 없습니다. 보안팀에는 예를 들어, 형식 체계에 얽매이지 않고 서브넷을 쉽게 연결할 수 있는 방법이 필요합니다.
에이전트/프록시 기반 사이트 간 연결
이러한 보안 주도 프로젝트에서 기존의 사일로와 관련된 문제를 극복할 수 있도록 Cloudflare에서는 사이트 간 또는 서브넷 간 연결을 위한 에이전트/프록시 기반 및 장비/라우팅 기반 구현을 모두 제공합니다. 따라서 네트워킹 팀에서는 장비/라우팅 기반 WANaaS(최신 아키텍처 대 레거시 SD-WAN 오버레이)를 통해 익숙한 기존 네트워킹 개념을 추구할 수 있습니다. 동시에 보안/IT팀에서는 에이전트/프록시 기반 소프트웨어 커넥터(WARP Connector와 같은)를 통해 연결성을 구현할 수 있습니다. 이 에이전트 기반 접근 방식을 이용하면 분기 커넥터와 앱 커넥터에 대한 업계 표준의 경계를 허물고, WAN과 ZTNA 기술을 더욱 긴밀하게 결합하여 모든 곳에서 최소한의 권한만 부여된 액세스를 달성할 수 있도록 지원할 수 있습니다.
에이전트/프록시 기반 연결은 조직의 전체 네트워크 연결의 하위 집합에 보완적으로 적합할 수 있습니다. 이러한 소프트웨어 기반 사이트 간 사용 사례에는 라우터나 방화벽이 없는 마이크로사이트 또는 엄격하게 규제되는 관리형 네트워크나 Kubernetes와 같은 클라우드 환경처럼 팀에서 IPsec 또는 GRE 터널을 구성할 수 없는 경우가 포함될 수 있습니다. 조직에서는 필요에 따라 트래픽 온램프를 혼합하여 사용할 수 있으며, 모든 옵션을 동시에 조합하여 사용할 수 있습니다.
사이트 간 연결에 대한 Cloudglare의 에이전트/프록시 기반 접근 방식은 보안 팀에서 VPN을 완전히 대체하는 데 도움이 되는 기본 기술과 동일한 기술을 사용하여 서버에서 시작되거나 양방향 트래픽이 있는 앱에 ZTNA를 지원합니다. 여기에는 음성 인터넷 프로토콜(VOIP) 및 세션 시작 프로토콜(SIP) 트래픽, Microsoft의 시스템 센터 구성 관리자(SCCM), Active Directory(AD) 도메인 복제, 이 블로그의 뒷부분에서 자세히 설명하게 될 DevOps 워크플로우 등의 서비스가 포함됩니다.
이 새로운 Cloudflare 온램프는 기본 네트워크 라우팅 인프라를 변경할 필요 없이 사이트 간, 양방향, 메시 네트워킹 연결을 지원하여 사설 네트워크 내의 서브넷을 온램프 및 오프 램프 트래픽에 대한 라우터 역할을 하며 Cloudflare를 통해 트래픽을 전송합니다.
네트워킹 팀의 효율성 향상
한편, 사이트 간 연결을 위해 네트워크 계층 장비/라우팅 기반 구현을 선호하는 네트워킹 팀의 경우 업계 표준에 따라 여전히 보안, 성능, 비용, 안정성 사이에서 너무 많은 절충점을 찾아야 합니다. 대부분의 대기업은 아니더라도, 많은 대기업에서는 여전히 MPLS와 같은 레거시 형태의 사설 연결에 의존합니다. MPLS는 일반적으로 비용이 많이 들고 유연하지 않은 것으로 간주되지만, 안정성이 높고 대역폭 관리에 사용되는 서비스 품질(QoS) 등의 기능이 있습니다.
상업용 인터넷 연결은 사람이 사는 대부분의 지역에서 널리 사용 가능하지만, 여러 가지 문제점이 있으므로 MPLS를 완벽하게 대체할 수 없습니다. 많은 국가에서 초고속 인터넷은 빠르고 저렴하지만, 보편적으로 그런 것은 아닙니다. 속도와 비용은 현지 인프라와 지역 서비스 공급자들의 시장 상황에 따라 달라집니다. 일반적으로, 광대역 인터넷도 MPLS만큼 안정적이지는 않습니다. 서비스 중단과 속도 저하는 드문 일이 아니며, 고객마다 서비스 중단이 발생하는 빈도와 기간에 대한 용납 한계가 다릅니다. 기업에 있어서 가동 중단과 속도 저하는 용납할 수 없는 일입니다. 네트워크 서비스가 중단되면 비즈니스 손실, 고객 불만, 생산성 저하, 직원 불만이 초래됩니다. 따라서 기업 트래픽 흐름의 상당 부분이 인터넷으로 이동했음에도 불구하고 많은 조직에서는 MPLS로부터 마이그레이션 하는 데 어려움을 겪습니다.
SD-WAN은 전송 중립적인 MPLS의 대안으로 도입되었고, 기존 광대역만 사용하는 것보다 네트워크 안정성이 향상됩니다. 하지만 새로운 토폴로지 및 보안 문제가 발생합니다. 예를 들어, 많은 SD-WAN 구현에서 분기 간 검사를 우회하는 경우 위험이 증가할 수 있습니다. SD-WAN 구현에는 또한 확장 및 미들 마일의 사용/제어(또는 더 정확하게는 부족)를 해결하는 방법 등 구현별 과제도 있습니다. 따라서 많은 조직의 경우 인터넷 연결을 완전히 전환하고 MPLS를 제거하겠다는 약속은 아직 이행되지 않고 있습니다. 이러한 문제는 구매 시점에 일부 고객에게는 잘 드러나지 않으므로 지속적인 시장 교육이 필요합니다.
엔터프라이즈 WAN의 진화
Cloudflare Magic WAN은 처음부터 Cloudflare의 클라우드 연결성에서 구축된 패러다임과 다른 패러다임을 따르며, "가벼운 분기, 견고한 클라우드" 접근 방식을 취하여 MPLS 회로 및 SD-WAN 오버레이를 포함한 기존 네트워크 아키텍처를 보강하고 궁극적으로 이를 대체합니다. Magic WAN은 고객이 기존 SD-WAN에서 기대하는 것과 유사한 클라우드 네이티브 라우팅 및 구성 제어 기능을 제공하지만, 배포, 관리, 소비가 더 쉽습니다. Magic WAN은 변화하는 비즈니스 요구 사항에 따라 확장할 수 있으며 보안 기능이 내장되어 있습니다. Solocal과 같은 고객은 이 아키텍처의 이점 덕분에 궁극적으로 총소유비용이 개선된다는 데 동의합니다.
"Cloudflare의 Magic WAN Connector는 직관적인 접근 방식으로 네트워크 및 보안 인프라를 중앙 집중식으로 자동 관리할 수 있는 기능을 제공합니다. Magic WAN Connector는 Cloudflare의 SASE 플랫폼의 일부로, 시장 표준과 모범 사례를 기반으로 하는 일관되고 동질적인 단일 벤더 아키텍처를 제공합니다. 모든 데이터 흐름에 대한 제어가 보장되고 침해 또는 보안 격차의 위험이 줄어듭니다. Solocal에서는 분기 네트워크 장비의 구입, 설치, 유지 관리, 업그레이드와 관련된 모든 비용을 최대 40%까지 절감함으로써 상당한 비용을 절감할 수 있을 것으로 기대하고 있습니다. IT 부서에서 네트워크를 최신화할 수 있는 잠재력이 높은 연결 솔루션입니다."
– Maxime Lacour, 네트워크 운영 관리자, Solocal
이는 근본적으로 다른 디자인 철학에 따라 설계된 인수 작업을 조정하려고 했던 다른 단일 벤더(SASE 벤더)의 접근 방식과는 상당히 다릅니다. 이러한 '짜깁기식' 솔루션은 분편화된 아키텍처로 인해 통합되지 않은 경험을 제공하며, 이는 여러 벤더를 개별적으로 관리하는 조직에서 볼 수 있는 것과 유사합니다. 네트워킹 및 보안을 위해 서로 다른 솔루션을 조합하는 것보다 통합된 통합 솔루션을 구축한 벤더와 SASE의 구성 요소를 통합하면 복잡성, 우회 보안, 잠재적인 통합, 연결 문제를 줄여 배포 및 관리가 크게 간소화됩니다.
Magic WAN은 고객의 에지 라우터 또는 방화벽에서 시작된 Anycast IPsec 또는 GRE 터널을 통해 수동으로, 또는 사설 피어링 위치 또는 퍼블릭 클라우드 인스턴스에서 Cloudflare 네트워크 상호 연결(CNI)을 통해 커넥터 장치를 거쳐 Cloudflare에 대한 IPsec 터널을 자동으로 설정할 수 있습니다. Magic WAN은 SSE와의 '통합'을 넘어 보안과 네트워킹 기능을 진정으로 통합하고 조직에서 네트워크를 더 효율적으로 최신화할 수 있도록 지원합니다.
새로운 Magic WAN Connector 기능
2023년 10월, Cloudflare에서는 기존 네트워크 환경에 설치하여 Cloudflare One에 제로 터치로 연결하고 궁극적으로 레거시 SD-WAN 장치, 라우터, 방화벽 등 다른 네트워킹 하드웨어를 대체하는 데 사용할 수 있는 경량 장치인 Magic WAN Connector를 누구나 사용할 수 있다고 발표했습니다. 오늘은 다음과 같은 Magic WAN Connector의 새로운 기능을 발표하게 되어 매우 기쁩니다.
- 중요한 환경을 위한 고가용성(HA) 구성: 엔터프라이즈 배포에서 조직은 일반적으로 하드웨어 장애의 위험을 완화하기 위해 고가용성에 대한 지원을 원합니다. 고가용성은 한 쌍의 Magic WAN Connector(가상 머신으로 실행되거나 지원되는 하드웨어 장치에서 실행)를 사용하여 서로 연동하여 작동하므로 한 장치에 장애가 발생할 경우에도 원활하게 작동을 재개할 수 있습니다. 고객은 통합된 Cloudflare One 대시보드에서 Magic WAN Connector의 다른 모든 측면과 마찬가지로 HA 구성을 관리할 수 있습니다.
- 애플리케이션 인식: 기존 네트워킹 장치와 SD-WAN의 핵심 차별화 기능 중 하나는 IP, 포트 범위 등의 네트워크 계층 속성 외에도 잘 알려진 애플리케이션을 기반으로 트래픽 정책을 생성할 수 있다는 점입니다. 애플리케이션 인식 정책을 시행하면 트래픽 흐름을 더 쉽게 관리하고 더 세분화할 수 있습니다. Cloudflare의 애플리케이션 인식 구현은 보안 웹 게이트웨이와 같은 보안 도구에서 이미 공유되는 동일한 분류/등급을 사용하여 전역 네트워크의 인텔리전스를 활용하므로 IT 및 보안팀에서는 라우팅 및 검사 결정 전반에서 일관된 동작을 기대할 수 있으며, 이는 듀얼 벤더 또는 짜깁기된 SASE 솔루션에서는 사용할 수 없는 기능입니다.
- 가상 머신 배포 옵션: 이제 지원되는 모든 가상화 플랫폼/하이퍼바이저에 즉시 배포하기 위해 다운로드할 수 있는 가상 장비 소프트웨어 이미지로 Magic WAN Connector를 사용할 수 있습니다. 가상 Magic WAN Connector에서는 하드웨어 장비와 동일한 초저접촉 배포 모델과 중앙 집중식 제품군 관리 환경이 제공되며, 모든 Magic WAN 고객에게 추가 비용 없이 제공됩니다.
- 향상된 가시성 및 분석: Magic WAN Connector는 연결 상태, CPU 사용률, 메모리 사용량, 장치 온도 등 주요 지표에 대한 향상된 가시성을 제공합니다. 이러한 분석은 대시보드와 API를 통해 제공되므로 운영팀에서는 데이터를 NOC에 통합할 수 있습니다.
DevOps로 SASE의 범위 확장
복잡한 지속적 통합 및 지속적 배포(CI/CD) 파이프라인 상호 작용은 민첩한 것으로 유명하므로 이러한 워크플로우를 지원하는 연결성과 보안이 일치해야 합니다. DevOps 팀에서는 다양한 개발 및 운영 도구에 원격으로 액세스하기 위해 기존VPN에 의존하는 경우가 너무 많습니다. VPN은 관리하기가 번거롭고, 알려진 취약점이나 zero-day 취약점을 악용하기가 쉬우며, 최신 워크플로우에 비해 너무 느린 레거시 허브 앤 스포크 연결 모델을 사용합니다.
모든 직원 그룹 중에서 개발자는 특히 일상적인 워크플로우에서 마찰을 줄이는 창의적인 해결 방법을 찾을 수 있으므로 모든 기업 보안 조치는 방해가 되는 일이 없이 '그냥 작동'해야 합니다. 빌드, 스테이징, 프로덕션 환경의 모든 사용자와 서버는 어떤 구성 요소와 도구를 사용하든, 어디에 있든 상관없이 중앙 집중식 Zero Trust 접근 제어를 통해 조율되어야 하는 것이 이상적입니다. 임시 정책 변경은 물론, 프로덕션 서버 사고 발생 시 계약자나 긴급 대응팀을 위한 임시 Zero Trust 액세스도 수용되어야 합니다.
DevOps를 위한 Zero Trust 연결성
ZTNA는 안전한 최소 권한 사용자의 앱 액세스를 위한 업계 패러다임으로 잘 작동하지만, 서버에서 시작되거나 양방향 트래픽을 포함하는 보안 네트워킹 사용 사례로 더 확장되어야 합니다. 이는 라우터에 의존하지 않고 클라우드, VPC, 네트워크 세그먼트 전반에서 오버레이 메시 연결 모델을 구상하는 새로운 트렌드를 따르고 있습니다. 진정한 무제한 연결을 위해서, 고객은 모든 네트워크 연결 및 애플리케이션 접속 사용 사례를 포괄할 수 있는 유연성을 필요로 합니다. 모든 SASE 벤더의 네트워크 온램프가 네트워크 라우팅 변경이나 보안을 위한 타협 없이 클라이언트가 시작한 트래픽 이상으로 확장될 수 있는 것은 아니므로 일반적인 "무제한 연결"이라는 주장은 처음에 생각했던 것과 다를 수 있습니다.
Cloudflare에서는 모든 사용자의 앱 사용 사례와 메시 및 피어 투 피어 보안 네트워킹을 통해 연결 옵션을 최대한 광범위하고 유연하게 만들 수 있도록 ZTNA의 범위를 확장합니다. DevOps 서비스 간 워크플로우는 ZTNA, VPN 교체, 엔터프라이즈급 SASE 등을 수행하는 플랫폼과 동일한 플랫폼에서 효율적으로 실행될 수 있습니다. Cloudflare는 각 단계의 트래픽 흐름과 관계없이 모든 DevOps 사용자 및 리소스에서 연결 "접착제" 역할을 합니다. 이와 동일한 기술, 즉 WARP Connector를 통해 관리자는 IP 범위가 겹치는 다양한 사설 네트워크(VPC 및 RFC1918)를 관리하고, 기존 사설 네트워크를 통하여 서버 시작 트래픽 및 피어 투 피어 앱(예: SCCM, AD, VOIP, SIP 트래픽) 연결을 지원하며, 피어 투 피어 사설 네트워크(예: CI/CD 리소스 플로우)를 구축하고, 결정론적으로 트래픽을 라우팅하도록 지원합니다. 조직에서는 또한 Cloudflare의 Terraform 공급자를 통해 SASE 플랫폼의 관리를 자동화할 수 있습니다.
Cloudflare의 차별성
Cloudflare의 단일 벤더 SASE 플랫폼, Cloudflare One은 퍼블릭 클라우드의 차세대 진화형인 클라우드 연결성을 기반으로 구축되어, 모든 네트워크(기업 및 인터넷), 클라우드, 앱, 사용자 간의 연결을 가능하게 하는 프로그래밍 및 구성이 가능한 서비스의 통합된 지능형 플랫폼을 제공합니다. Cloudflare의 클라우드 연결성은 SASE 아키텍처를 구현하는 조직에서 규범적 지침과 함께 배포 기본 설정을 수용하여 "무제한 연결"을 보다 쉽게 실현할 수 있을 만큼 유연합니다. Cloudflare는 조직에서 단일 벤더 SASE를 통해 IT 제어 능력을 회복하는 데 필요한 폭과 깊이를 제공하는 동시에 그 과정에서 기여하는 모든 팀의 워크플로우를 간소화하도록 구축되었습니다.
다른 SASE 벤더들은 인터넷으로의 송신 트래픽을 위해 데이터 센터를 설계했습니다. 이 데이터센터는 동서 트래픽을 처리하거나 보호하도록 설계되지 않았으므로 지사에서 본사 또는 지사에서 지사로 이동하는 트래픽에 대한 미들 마일이나 보안 서비스를 제공하지 못했습니다. Cloudflare의 미들 마일 글로벌 백본에서는 사용자가 온프레미스에 있든, 원격에 있든, 앱이 데이터 센터에 있든, 클라우드에 있든 관계없이 모든 연결에 대한 보안 및 네트워킹이 지원됩니다.
자세한 내용은 참조 아키텍처인 "Cloudflare를 통한 SASE 아키텍처로의 진화"를 읽어보거나 Cloudflare One 전문가에게 문의하세요.