클라우드 액세스 보안: Palo Alto Networks를 선택한 이유

This post is also available in: English (영어) 繁體中文 (중국어 번체) Français (불어) Deutsch (독어) 日本語 (일어) Nederlands (화란어) Español (스페인어) Italiano (이태리어)

Apttus는 클라우드를 기반으로 탄생했습니다. 우리 회사는 QTC(Quote-to-Cash), 계약 관리, 디지털 커머스, 공급업체 관계 관리 솔루션을 비롯한 AI 기반의 SaaS 솔루션을 고객에게 제공합니다. 당사의 "올인" 클라우드 접근 방식은 전 세계 700여 곳에 위치한 고객에게 더욱 개선된 서비스를 제공하는 데 도움이 되고 있습니다.

당사는 클라우드를 서둘러 도입하여 Azure(이전의 AWS)에서 제공하는 이점을 활용하기로 선택했습니다. 그러나 글로벌 운영 업무를 위해서는 클라우드 인프라와 애플리케이션에 대한 액세스를 안전하게 보호할 수 있는 방법이 필요했습니다.

우리 회사가 해결해야 했던 비즈니스 및 보안 문제

우리 회사는 Palo Alto Networks의 VM-Series 가상 차세대 방화벽을 구축하기 전까지는 두 가지 중요한 보안 문제에 직면한 상태였습니다.

중앙화된 클라우드 액세스 관리 부족

우리 회사는 Pod를 만드는데, 이는 특히 서비스를 생성하고 솔루션을 실행하는 데 필요한 클라우드 리소스 컬렉션에 해당합니다. 각 Pod를 사용하여 가상 머신(VM)을 스핀업하는데, 이는 점프 호스트 역할을 하고 운영 팀이 Pod에 액세스할 수 있도록 합니다. 오늘날 우리 회사에는 100여 개의 Pod가 있으며, 각각의 Pod에 액세스하는 데는 많은 시간과 노동력이 투입됩니다. 기존의 액세스 관리 모델은 가시성이나 제어 기능을 제공하지 않으며 리소스 호그로 남게 됩니다. 따라서 막대한 시간이 허비되며, 비즈니스에서 시간 낭비란 곧 비용 손실과 직결되는 일입니다.

느리고 안전하지 않은 헤어피닝 방식의 클라우드 액세스 모델

우리 회사는 클라우드 리소스에 액세스할 경우 중앙화된 VPN 사용을 시행합니다. 당사의 사용자와 직원은 본사를 거쳐 Single Sign-On(SSO)을 사용해 연결을 승인받을 수 있습니다. 그런 다음, 이들은 본사에서 데이터센터로 연결됩니다. 우리 회사의 팀이 전 세계에서 운영 중이고 인도 및 여러 나라에 사용자와 지사가 있다는 점을 감안했을 때, 이런 방식은 지연을 야기하고 시스템 연결 속도를 느리게 만들었습니다.

Palo Alto Networks VM-Series: 클라우드 리소스에 대한 탈중앙식 액세스 게이트웨이

간단히 말해, 기존의 방법은 효과가 없었습니다. 따라서 우리 회사는 운영 팀이 본사를 거쳐 라우팅하지 않아도 되고, 모든 Pod에 점프 호스트가 없어도 되는 아키텍처를 개발하는 이니셔티브를 주도하기 시작했습니다. 이러한 새로운 보안 설계의 중심에는 Palo Alto Networks VM-Series를 배치했습니다. 그런 다음 VM-Series 가상 차세대 방화벽에 GlobalProtect 구독을 구축하여 액세스 게이트웨이로서의 역할을 하도록 했으며, Panorama를 중앙 보안 관리자로 사용할 예정입니다. VM-Series는 중앙에서 사용자를 종료하기 위해 Azure AD에 직접 연결되므로, 이제 액세스를 관리하고 단일한 ID 소스를 사용할 수 있습니다. 그뿐만 아니라 세분화된 가시성, 제어 기능, Pod를 세그먼트로 나누고 따로 격리할 수 있는 기능이 제공됩니다.

중요한 성과에 대한 이야기

클라우드에 Palo Alto Networks VM-Series를 구축한 이후로, 우리 회사는 고객의 문제를 정확하게 파악하고 이를 해결하는 데 필요한 시간이 대폭 줄어들었습니다. 우리 회사가 Palo Alto Networks를 선택하게 된 3가지 이유는 다음과 같습니다.

1. Palo Alto Networks VM-Series는 Azure AD와 기본적으로 통합됩니다. 활동 및 감사 내역을 비롯하여, Azure AD SSO를 통해 모든 사용자의 온/오프 보딩을 중앙에서 제어할 수 있습니다.
2. Panorama를 통해 방화벽을 중앙에서 관리할 수 있는 기능은 매우 큰 이점입니다. 구성 및 모든 방화벽 소프트웨어를 최신 상태로 유지하려면 모든 방화벽을 필수적으로 관리해야 합니다.
3. VM-Series는 IaC(Infrastructure as Code)를 통해 구축할 수 있습니다. 인프라 구성 요소의 나머지와 함께, 클라우드에서 몇 분 내에 VM-Series를 프로그래밍 방식으로 분리하고 구축할 수 있습니다. 이로 인해 당사가 소재한 모든 지역에 걸쳐 전사적인 멱등(idempotent) 처리 방식이 수립됩니다.

몇 가지 중요한 의견과 권장 사항을 말씀드리겠습니다.

1. IT 조직에서 보안과 운영을 분리하십시오. 이렇게 하지 않을 경우 클라우드에서 제공하는 민첩성이라는 이점을 누리지 못하게 될 가능성이 큽니다.
2. 클라우드에서 보안을 확장할 수 있습니다. 처음부터 확장할 수 있도록 제작된 Azure AD 같은 클라우드 기반 서비스를 사용하십시오. 온프레미스에 다시 연결하지 않아도 클라우드 내에서 사용자를 쉽게 인증할 수 있습니다.
3. IaC로 관리할 수 있는 보안 솔루션을 선택하십시오. 우리 회사는 IaC를 사용하는 Palo Alto Networks 솔루션으로 큰 성공을 거두었습니다. 높은 보안 수준, 낮은 지연 시간, 고객 지원 팀의 문제 해결 시간 단축이라는 목표를 달성했습니다.