주니퍼 네트웍스, 사만다 마드리드(Samantha Madrid), 보안 사업 및 전략 부문 부사장
분산된 인력을 신속하고 경제적인 방식으로 지원하는 솔루션에 대한 요구는 과거에도 있었다. 따라서 현재 COVID-19 펜데믹 상황에서 이같은 요구가 한층 높아진 것은 두말할 나위 없을 것이다. 기업들은 재택근무가 급속히 확대되면서 뉴노멀로 자리잡기 시작한 것과 동시에 많은 사무실이 밀집된 기존 본사 구조를 지역 클러스터 지점 형태로 변경해 직원들을 안전하게 복귀시키는 방법을 모색하고 있다.
기기와 데이터를 안전하게 보호하고, 생산적으로 업무를 수행하기 위해서는 모든 직원에게 예측 가능하고, 안정적인 네트워크 연결이 필요하다. 그러나 원격근무 증가로 상황이 복잡해졌다. 사용자들이 보안 액세스 모델 적용과 IT 부서의 트러블슈팅 및 관리 범위 안에 있는 전통적인 기업(온프레미스) 환경이 아니라, 주로 외부로부터 네트워크에 접속하기 때문이다.
이와 동시에 기업들은 클라우드에서 호스팅되는 애플리케이션에 빠르고 안정적으로 액세스할 수 있는 효과적인 방법을 찾고 있다. 중앙 집중화 된 데이터센터에서 클라우드 호스티드(Cloud-Hosted) SaaS로의 전환이 급속하게 진행되고 있다. 이에 따라 트래픽을 라우팅하고, 검사하며, 보호하는 방식 또한 변화돼야 한다.
2019년 가트너는 이러한 변화에 대응하기 위한 프레임웍으로 SASE(Secure Access Service Edge)라는 새로운 개념을 발표했다. 핵심 원칙은 다음과 같다.
- 클라우드 호스티드 아키텍처를 통해 요구될 때 마다 규모에 맞게 서비스를 쉽게 배포할 수 있어야 함
- 아이덴티티 중심 정책(Identity-driven policies)으로 네트워크 액세스와 보안이 개별 사용자 요구에 따라 커스터마이즈 될 수 있어야 함.
- 로컬에서 정책 검사/적용을 실행해 사용자에게 최대한 근접한 지점에서 애플리케이션과 서비스를 제공함으로써 지연을 최소화해야 함.
SASE를 과장된 개념에서 구체적인 솔루션으로 현실화하는 작업은 여전히 진행 중이다. 현재 주니퍼와 같은 벤더들이 이 중요한 구조적 전환을 위한 기초를 다지고 있다. 다음은 실제로 SASE를 구현하기 위한 방법, 그리고 주니퍼가 SASE 현실화를 선도하고 있는 이유다.
클라우드 우선주의(Cloud-First Mentality)
주니퍼는 오래 전부터 현대적인 클라우드 환경에서 호스팅되면서 프로그래밍을 위한 개방형 API를 제공하는 확장성, 복원력, 민첩성을 갖춘 솔루션에 대한 필요성을 강조해 왔다. 실제로 주니퍼는 이미 이같은 솔루션으로 유명하다. 주니퍼 SRX 시리즈 방화벽과 같은 CPE 디바이스의 ZTP(Zero-Touch Provisioning) 기능과 보안/네트워킹/애플리케이션 정책의 원격 구성 및 모니터링 등이 모두 SASE 솔루션의 언제/어디서나 가능한 운영을 지원한다. 이는 업계의 무게중심이 정적 정책에 기반한 기존 SD-WAN 환경에서 클라이언트에서 클라우드까지 실시간 자동화와 인사이트를 활용해 사용자 경험을 최적화하는 AI 기반 솔루션으로 이동함에 따라 더욱 중요해지고 있다. 주니퍼는 LAN, WAN, 보안 요소 전반의 강력한 기능에 AI 엔진을 결합시켜 이러한 솔루션들을 실제로 제공하고 있다.
클라우드 워크로드는 매우 동적이고 탄력적이며 추가, 이동, 변경이 빈번하게 발생한다. 때문에 SASE 정책을 워크로드에 적용하고, 워크로드 이동에 따라 정책을 추적해 최적의 네트워크 성능과 지속적인 보안 컴플라이언스를 보장하는 일은 복잡할 수 있다. 주니퍼는 가상화/컨테이너화 버전의 SRX(vSRX 및 cSRX)를 통해 이러한 과제를 해결한다. vSRX와 cSRX는 요구될 때 마다 쉽게 배포하고 구성할 수 있으며, 변화하는 워크로드 요구에 따라 동적으로 네트워크 액세스 및 보안 정책을 적용할 수 있다.
우수한 사용자 경험을 보장하는 데 필요한 것
SASE 환경의 네트워크 액세스에서 사용자 경험에 영향을 미칠 수 있는 중요한 세 가지 요소는 다음과 같다.
- 가용성: WAN회선이 살아있는가, 장애 인가?
- 품질: 패킷 손실, 혼잡, 기타 네트워크/애플리케이션 조건이 트래픽 전송에 악영향을 미치고 있는가?
- 용량: 대역폭(단일 또는 다수의 회선 통해 처리되는)이 요구되는 트래픽을 처리하는데 충분한가?
전통적인 SD-WAN 솔루션은 위와 같은 조건들을 최적화하기 위해 네트워크와 애플리케이션의 상태를 살피지만, 가장 핵심 요소라 할 수 있는 실제 사용자 경험에 대한 가시성이 빠져있다. 단지WAN 회선이 ‘살아있다’는 것만 가지고 ‘최적의 상태’라 볼 수는 없다. 즉, WAN 링크가 트래픽을 전송하고 있다고 해서 해당 링크에 연결된 사용자들이 원활한 Zoom 환경을 경험하고 있다고는 볼 수 없는 것이다. 또한 WAN 회선의 변경(어떤 액티브 연결에서 다른 연결로의 전환)이 사용자 경험을 향상시켰는지, 아니면 악화시켰는지 IT 관리자가 어떻게 알 수 있겠는가? 이것이 예전부터 존재했던 네트워킹의 오래된 허점이다. IT 관리자가 커스터마이즈 가능한 WAN SLE(Service Level Experiences)를 설정, 모니터하고 자동화된 작업을 통해 최상의 사용자 경험을 보장하는 데 필요한 피드백 루프가 없는 것이다.
주니퍼는 LAN, WLAN, WAN 전반에서 AI 기반 자동화, 인사이트, 작업을 사용해 엔드-투-엔드 사용자 경험을 최적화한다. 여기에는 커스터마이즈된 SLE(Service Level Experiences), LAN과 WAN 전반에서의 이벤트 상관관계 분석을 통한 신속한 장애 차단 및 해결, AI 기반 지원을 통한 선제적 알림, 그리고 권장 조치 또는 네트워크 자율 운영을 제공하는 인터랙티브 Marvis VNA(Virtual Network Assistant)가 포함된다.
이름에서 알 수 있듯이 보안은 SASE(Secure Access Service Edge) 사용자 경험의 필수 요소다. 주니퍼는 네트워크와 보안 요소를 하나의 플랫폼에 통합함으로써 광범위한 가시성과 제어를 위한 어플리케이션 보안(Application Security), ATP(Advanced Threat Prevention), IDP(Intrusion Detection and Prevention), DLP(Data Loss Prevention)와 같은 고급 보안 서비스들을 경제적, 효율적으로 활용할 수 있다. 서비스 이용을 위해 별도의 하드웨어나 소프트웨어를 추가할 필요도 없다. 예를 들어 Juniper Advanced Threat Prevention (ATP)는 종합적인 최신 멀웨어 방지를 제공하는 클라우드 기반 서비스다. SASE 고객은 신종 제로데이 멀웨어와 타겟 공격을 식별하고 차단할 수 있으며, 기존 보안 엔진을 업데이트해 알려진 위협과 알려지지 않은 위협을 방어하고 리스크를 완화시킬 수 있다. 동시에 위협 대응에 소요되는 시간과 비용을 절감하고, 지능형 위협 노출을 줄일 수 있다.
주니퍼 커넥티드 시큐리티(Connected Security)
주니퍼는 보안과 네트워크를 하나의 통합 솔루션으로 결합함으로써 SASE 연결의 모든 지점에서 모니터링, 자동화, 보안을 수행할 수 있는 강력한 기능을 제공한다. 주니퍼 커넥티드 시큐리티(Connected Security)라는 이러한 개념은 네트워크가 위협을 식별하고(Threat-Aware) 클라이언트에서부터 클라우드까지 네트워크 전반의 모든 연결 지점에서 정책을 확인하고 실행할 수 있도록 해준다. 또한 분석과 위협 인텔리전스 기능을 통해 위협을 방어하거나 사용자 또는 기기의 위험한 행동/작동을 방지하는 인사이트와 자율 대응 기능을 제공한다. IT 부서는 방화벽 오케스트레이션을 통해 자동 완화 기능을 구현할 수 있다. 이러한 완화 기능은 방화벽 정책, 스위치 포트, AP에 등록된 MAC, 또는 엔드포인트 에이전트(제어 명령 또는 감염된 호스트 피드를 통해)의 형태로 이루어질 수 있다.
주니퍼 솔루션은 ATP와 연동돼 네트워크 위치에 관계없이 사용자 연결 지점에서 실시간 위협에 자동으로 대응하고 지원 기기들에 대한 규칙 변경을 오케스트레이션할 수 있다. 이 기능이 바로 주니퍼 커넥티드 시큐리티 전략의 핵심 요소인 SecIntel (Security Intelligence)이다. SecIntel은 주니퍼 SRX 시리즈 방화벽, MX 시리즈 라우터, EX 및 QFX 시리즈 스위치, Mist AP와 타사 네트워킹 기기에 엄선되고 실행가능한 종합적인 인텔리전스를 제공한다. 이렇게 함으로써 다른 곳에 영향을 최소화하면서 해당 지점에서 사용자를 보호한다.
기초가 튼튼해야 전체가 튼튼하다
SASE와 관련해 주니퍼가 특히 중요시하는 점은 바로 ‘기초가 튼튼해야 전체가 튼튼하다’는 것이다. 주니퍼는 뛰어난 클라우드 제품, 사용자 경험에 주력하는 기술, 엔드-투-엔드 트래픽 검사 및 실시간 정책 실행을 위한 툴 세트 등 강력한 SASE 솔루션 제공에 필요한 우수한 제품을 보유하고 있다. 주니퍼는 경쟁업체들과 차별화된 새로운 기능, 파트너쉽, 사용사례를 통해 이러한 요소들을 한층 강화하고 SASE 솔루션을 발전시켜 나갈 것이다. 그리고 이를 통해 주니퍼 네트워크 액세스 및 보안 고객에게 실질적인 가치를 제공할 것이다.
