Offcanvas

가상화 / 데이터센터 / 랜섬웨어 / 클라우드 / 통신|네트워크

DNA 센터로 보는 시스코의 인텐트 기반 네트워킹 전략

2017.12.28 Brandon Butler   |  Network World
시스코의 DNA 센터는 새로운 네트워크 자동화 소프트웨어다. 시스코는 DNA 센터를 야심 차게 추진하고 있는 IBN(Intent-Based Network) 전략을 위한 인터페이스로 차별화했다.



2017년 여름 출범한 IBN은 본사와 지사 네트워크 관리용 대시보드를 프로비저닝 하는 DNA 센터를 포함해, 다양한 구성요소를 갖춘 직관적인 네트워크를 구축할 계획이다.

이런 계획에는 ID가 중심이 되는 접근법으로 네트워크의 사용자와 장비를 관리하는 SD-액세스, 네트워크 트래픽 데이터를 분류해 예측 분석을 제공할 NDP(Network Data Platform) & 보증(Assurance), 트래픽 메타데이터로 위협을 탐지하는 ETA(Encrypted Traffic Analytics)도 포함될 예정이다.

이런 전략에서 처음 시장화가 이뤄진 것이 SD-액세스를 제어하는 DNA 센터다. DNA 센터는 구축 규모에 따라 가입형으로 유료 이용할 수 있는 고객사 내부용 어플라이언스인 APIC-EM(Application Policy Infrastructure Controller – Enterprise Module)에서 실행된다. 시스코는 향후 클라우드 호스팅 버전을 제공할 계획도 있다.

시스코 엔터프라이즈 스위칭 기술 마케팅 부문 시니어 디렉터인 칼 솔더는 “SD-액세스를 도입하면 오버레이 네트워크가 구현된다”고 밝혔다. 물론 스위치, 라우터, 무선 액세스 포인트로 구성된 물리 네트워크가 필요하다. 하지만 DNA 센터는 전체 패브릭을 가상 스위치로 처리할 수 있는 추상 계층을 생성한다. 이 패브릭을 조정, 네트워크를 분할하고, 각각에 중앙에서 관리하는 정책을 적용할 수 있는 가상 네트워크를 만들 수 있다.

기존에는 VPN과 vLAN, 세그멘테이션 규칙을 사용해 이런 가상 네트워크를 생성해 관리했다. 솔더는 “그러나 스위칭과 라우팅, 무선 전반에 일관되게 적용하는 데 일정 시간이 소요됐다. 즉 몇 번의 클릭으로 가상 네트워크를 만들어 정책을 일관되게 적용, 전체 프로세스를 단순화한다는 개념이다. 의도(인텐트)를 알려주면, 컨트롤러(DNA 센터)가 관리하는 모든 장비를 구성하는 방법을 파악한다”고 설명했다.

DNA 센터는 4단계로 SD-액세스를 관리한다. 네트워크 디자인, 정책 설정, 정책 프로비저닝, 정책 보증이 여기에 해당된다. 시스코는 이것이 IBN 전략의 ‘잠재력’이라고 강조하고 있다. 다시 말해, 사용자가 네트워크가 해야 할 일에 대한 의도를 알려주면, 소프트웨어 자동화 플랫폼이 이를 구현한다는 의미다.

디자인(Design)
네트워크 관리자가 네트워크에 도입된 모든 새로운 장비에 적용되는 모든 설정을 관리하는 부분이다. 사용자는 본사나 지사, 또는 특정 장소 등 DNA 센터의 장소를 규정할 수 있다. 사용자는 디자인 포털에서 도메인에 따라 장비를 구성할 때 적용할 방법을 규정한다. 호스트 프로토콜 설정, 도메인 이름 설정, 시스템로그 파일 구성, 관리 프로토콜 설정 등을 여기에서 규정한다. 그런 후 장비가 특정 장소에 배포될 때, DNA 센터는 자동으로 해당 장소에 대한 구성 관련 설정을 가져와, 이를 장비에 설치한다. 솔더는 “설정 계층을 단 한 번만 규정하면, 해당 도메인 아래 모든 것에 이 설정이 적용된다”고 설명했다.

하드웨어 크리덴셜, 사용자 이름, 비밀번호, IP주소를 모두 여기에서 관리한다. DNA 센터가 인포블록스(Infoblox) 같은 외부 IP주소 관리 도구를 통합해 자동으로 IP주소를 할당하도록 설정할 수 있다.

디자인 포털은 장비 이미지도 관리한다. 관리자는 기준 이미지를 설정할 수 있다. 새 장비가 설치되면, DNA 센터는 실행 이미지를 확인하고, 미리 지정한 기준 이미지와 일치하지 않을 경우 관리자에게 이미지를 업데이트하라고 알린다.

정책(Policy)
정책 관리는 DNA 센터의 ‘핵심’이다. 관리자가 가상 네트워크 프로필을 생성해 관리하는 포털이다. 사용자나 장비가 특정 가상 네트워크에 할당하면, 논리적으로 여기에 제한된다. 여러 가상 네트워크에 접근하려면 방화벽을 통과해야 한다. 이는 베스트 프랙티스다. 방화벽과 MPLS, 가상 참조 스테이션을 조합해 사용, 유사하게 정책 관리를 집행할 수 있다. 그러나 분산된 환경에서 라우터와 스위치, 액세스 포인트 등 여러 장비 클래스 전반에 이를 적용하려면 상당한 ‘수동 작업’이 필요하다.

DNA 센터는 이런 가상 네트워크 세그먼트에서 더 세분화된 세그먼테이션을 지원한다. 기업의 여러 팀이 각자 가상 네트워크 세그먼트를 가지고 있다고 가정하자. 즉 직원들을 위한 가상 네트워크, 시설을 위한 가상 네트워크, 외부 사용자를 위한 가상 네트워크가 있다. DNA 센터는 외부 사용자가 시설을 위한 네트워크와 통신하는 것을 막는 정책을 만들 수 있다.

세분화된 세그멘테이션으로 더 세밀하게 정책을 집행할 수 있다. 예를 들어, 직원용 가상 네트워크에서 재무팀과 마케팅팀에 각기 다른 접근 및 사용 정책을 만들어 적용할 수 있다. 솔더는 이런 식의 가상 네트워크는 보안 위협의 범위를 제한하는 장점이 있다고 강조했다. 예를 들어, 특정 영역이 랜섬웨어 공격을 받아도, 다른 영역의 경우 논리적으로 접근을 거부할 수 있다.

이런 정책 관리는 IP주소와 소스IP에 기반을 둔 접근제어 리스트 방식을 대체할 수 있다. DNA 센터에는 ID기반의 접근법이 도입되어 있다. DNA 센터와 함께 실행되는 소프트웨어인 ISE(Identity Service Engine)를 여기에 사용한다. 액티브 디렉토리나 다른 ID 관리 플랫폼과 통합, 네트워크에서 ID 기반 정책을 집행할 수 있다. 솔더는 “연결된 장소(본사, 지사), 방법(유선, 무선), 정책 적용 대상(사용자) 등에 제약을 받지 않고 패브릭의 모든 곳에 구현할 수 있다”고 설명했다.

프로비전(Provision)
‘디자인’은 새로운 네트워크 인프라를 적절히 구성하는 단계고, ‘정책’은 규칙을 수립하는 단계며, ‘프로비전’은 이러한 규칙을 구현하는 단계다.

관리자는 DNA 센터에서 그래픽에 바탕을 ‘드래그 앤 드롭’ 인터페이스와 색상으로 구분되는 탬플릿을 사용, 특정 도메인과 연결되는 장비, 이런 장비에 적용해야 할 정책들을 관리할 수 있다. 사용자와 장비가 네트워크에 연결되면, 라우터와 스위치, 액세스 포인트 등 하드웨어 장비가 ISE를 통해 ID를 사용, 정책을 집행한다.

보증(Assurance)
DNA 센터의 마지막 구성요소인 보증은 지속해서 패브릭을 관리하는 역할을 한다. 보증 구성요소는 DNA 센터와 함께 제공되는 NDP(Network Data Platform)라는 소프트웨어를 사용해, 네트워크 운영 데이터를 수집한다. DNA 센터는 이 정보를 사용, 적절히 기능하지 않는 앱, 인프라 오작동 지점, 모르는 장비로 네트워크에 연결한 사용자 등 네트워크에서 문제의 소지가 있는 지점을 알려주는 ‘상태(Health)’ 점수를 생성한다. 더 나아가 문제 해결 방법을 추천하는 기능도 갖추고 있다.

기존 네트워크 운영 관리 방식과 시스코의 인텐트 기반 네트워킹 방식의 중요한 차이점 중 하나는 시스코 방식의 경우 소프트웨어를 사용해 네트워크에서 정책을 생성해 정확히 적용한다는 것이다. 시스코는 네트워크 동작 모니터링과 정책이 적용됐는지 증명하는 데 알고리즘을 사용할 계획이다. 2018년 1월 출시된 DNA 센터 1.1릴리스는 히트 맵, 사용 통계, 문제 지점의 문제 해결 등 일부 기능을 지원하기 시작했다. 다른 기능들은 향후 도입될 예정이다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.