1. SASE의 정의

SASE(Secure Access Service Edge)는 가트너(Gartner)가 제시한 서비스 아키텍처 개념이자 마케팅 용어이다.

1.1. 출현 배경

기존에는 업무가 본사 데이터 센터 내에서 이루어졌으나, 현재는 사용자(재택근무자)와 업무 데이터(SaaS, 클라우드)가 분산되고 있는 추세이다.
- 이러한 이유로 서로 호환되지 않는 여러 기술을 다뤄야 하는 상황에 직면하게 되었으며, 복잡성과 비용이 증가하고 있다.
기존 VPN 방식은 트래픽을 본사로 모았다가 다시 보내는 구조라 병목 현상과 높은 지연 시간이 발생하는 문제가 발생하고 있다.
- 또한, 사용자 수 증가에 따른 확장성 확보에 한계가 있다.

네트워크 서비스(SD-WAN)와 보안 서비스(CASB, SWG/FWaaS, ZTNA 등)를 단일 클라우드 서비스로 통합하는 기술이다.
서비스형 네트워크(Network as a Service)와 서비스형 보안(Security as a Service)의 결합으로 문제를 해결하고자 한다.

가트너는 SASE를 실현하기 위한 기술적 수준을 세 단계로 구분한다.

SD-WAN (Software-Defined Wide Area Network)
- 소프트웨어 기반으로 광역 네트워크(WAN)의 트래픽 경로를 중앙에서 제어, 최적화하는 기술이다.
SWG (Secure Web Gateway)
- 사용자와 웹 사이의 트래픽을 검사하여 악성 사이트, 악성 코드, 비인가 콘텐츠 접근을 차단하는 보안 게이트웨이다.
CASB (Cloud Access Security Broker)
- 사용자와 클라우드 서비스 사이에서 가시성 확보, 접근 제어, 데이터 보호 정책을 적용하는 중개 보안 솔루션이다.
ZTNA (Zero Trust Network Access)
- “아무도 신뢰하지 않는다(Never Trust)” 원칙을 기반으로 사용자·디바이스·애플리케이션 단위의 접근을 제어하는 보안 모델이다.
FWaaS (Firewall as a Service)
- 방화벽 기능을 클라우드 서비스 형태로 제공하여 위치와 무관하게 트래픽을 보호하는 보안 서비스이다.

샌드박싱 (Sandboxing)
- 악성 코드나 의심 파일을 격리된 가상 환경에서 실행·분석하는 보안 기법이다.
브라우저 격리 (RBI, Remote Browser Isolation)
- 사용자의 로컬 환경과 분리된 원격 환경에서 브라우저를 실행하여 웹 기반 위협을 차단하는 기술이다.
웹 방화벽 (WAF, Web Application Firewall)
- 웹 애플리케이션을 대상으로 하는 공격(SQL Injection, XSS 등)을 차단하는 보안 장비 또는 서비스이다.
차세대 백신 (EDR, Endpoint Detection and Response)
- 엔드포인트에서 발생하는 행위를 지속적으로 모니터링하고 위협을 탐지·분석·대응하는 보안 솔루션이다.

무선 LAN 관리(Wireless Local Area Network Management)
- 무선 네트워크(AP, 무선 단말, 정책, 인증 등)를 중앙에서 설정, 운영, 모니터링하는 관리 체계이다.
기존 VPN 서비스(Virtual Private Network)

사용자가 어디에 있든 상관하지 않는다.
오직 사용자의 신원(Identification)과 기기(Device)가 확인될 때만 권한이 부여된 특정 자원에만 접속을 허용한다.

사용자가 사무실 내부에 있을 때는 SD-WAN 장비가 최적의 경로를 결정한다.
보안 검사가 필요할 때만 클라우드 보안 서비스(SWG)로 트래픽을 넘기는 '서비스 체이닝(Service Chaining)'을 활용한다.
- 평소에는 가장 빠른 길로 가고, 검사할 때만 검문소를 거쳐 가는 방식

[Reference]

What is Secure Access Service Edge (SASE)?
- https://www.youtube.com/watch?v=Opy9D-8eyVg
Secure Access Service Edge (SASE) For Dummies®, Palo Alto Networks 2nd Special Edition
- Published by John Wiley & Sons, Inc.