"프로비저닝 시간 90% 단축"··· 미국 더럼 카운티의 ACI 도입기

노스캐롤라이나 더럼 카운티(Durham County) 정부는 수동으로 네트워크를 프로비저닝하고, 보안 정책을 최신으로 유지하는 데 많은 어려움을 겪었다. 결국 2년 6개월 전 효율성과 보안을 개선하는 업그레이드 프로젝트를 시작했다



이후 IT 담당자 4명이 전통적인 포인트-투-포인트 네트워크를 최신 엔터프라이즈 네트워크 기반으로 마이그레이션했다. 최종 사용자인 카운티 정부 직원 2,100명을 지원하고, 카운티 주민 31만 5,000명에게 온라인 서비스를 제공하는 시스템으로, 데이터센터에 시스코 ACI(Application Centric Infrastructure) 소프트웨어 정의 기술을 적용하고, 시스코 DNA 센터(DNA Center) 솔루션을 도입했다. 이를 통해 수작업에 쓰는 시간을 크게 줄였고, 직원은 절약한 시간만큼 미래지향적 프로젝트에 더 집중할 수 있게 됐다.

ACI는 온프레미스와 클라우드 네트워크 관리, 데이터센터 자동화에 사용할 수 있는 시스코의 소프트웨어 정의 네트워킹(SDN) 기술이다. DNA 센터는 자동화, 보증(Assurance) 설정, 패브릭 프로비저닝, 정책 기반 분리 등을 지원하는 엔터프라이즈 네트워크용 중앙 관리 툴이다.

5개 데이터센터를 연결한 40Gbps 파이버 링
더럼의 데이터센터는 다크 파이버 링(Fiber ring)을 통해 더럼 소재의 5개 건물에 분산돼 있다. 이 다크 파이버 링은 데이터센터와 55개 카운티 내 원격 시설을 지원하는 40Gbps 네트워크 백본으로 구성됐다. 7개 도서관, 사회 보장국, 보건부, 기타 중요한 공공 서비스 시설 등이 포함된다.

더럼 카운티 정부의 네트워크 및 보안 서비스 담당 매니저인 조엘 보네스텔은 “네트워크 속도가 다른 2개 업체로부터 임대한 회선을 사용해 원격 시설과 중앙 데이터센터를 연결한다. 또 비즈니스 연속성을 개선하고 모든 장소에서 인터넷 연결이 가능하도록 최대 1기가의 중복 인터넷 서킷을 구성해 사용하고 있다”라고 말했다.

이 네트워크에 리프 스파인(Spine-and-leaf) 구성으로 시스코 넥서스 9000s를 포함해 보안 카메라와 로드 밸런서 등 여러 네트워크 장비가 들어가 있다. 이런 환경을 오케스트레이션하는 역할은 ACI가 맡는다. ACI는 IT 담당 직원에게 ‘단일 관리 지점’을 제공해 데이터센터 운영의 복잡성도 줄인다. 보네스텔은 “약 2년 6개월 전 이 프로젝트에 착수했다. 기존에는 수동으로 각 노드를 구성하고 단순한 업그레이드에만 며칠씩 걸렸다. 지금은 모든 데이터센터의 보안 업데이트와 구성을 몇 분 만에 마칠 수 있다”라고 말했다.

네트워크·보안 작업 시간 크게 절감
보네스텔에 따르면 이전에는 수동 네트워크 프로비저닝에 약 40분, 새 보안 정책 생성 및 업데이트에 약 60분이 소요됐다. 그러나 ACI를 배포한 후에는 프로비저닝이 단 4분 만에 끝났다. 90% 가까이 시간이 줄어들었다. 보안 정책 업데이트는 91%가 줄어든 5분이다.

보네스텔은 “과거에는 우리의 시간과 자원 가운데 약 80%를 네트워크 유지 관리에 썼다. 서비스 개선과 혁신, 새 프로젝트에 투입할 시간과 자원은 20%에 불과했다. 이제는 새로운 기능과 서비스로 카운티 주민과 기업, 기업에 혜택을 제공하는 새로운 혁신 프로젝트에 더 많은 시간을 투자할 수 있게 됐다”라고 말했다.

예를 들어, 보네스텔의 팀은 애플리케이션 개발팀을 지원해 주민에게 법원과 관련된 일정을 알려주는 새로운 프로그램과 카운티 정부에 관련 서류를 제출할 수 있는 모바일 앱을 개발했다. 그는 “궁극적으로 가능한 많은 것을 자동화하는 것이 목표다"라고 말했다.

ACI와 DNA 센터는 전체 환경의 효율성을 높이는 데 도움을 줬다. 또한 카운티 정부 네트워크에 대한 보안을 개선했다. 보네스텔은 “우리는 카운티 주민의 개인 데이터를 많이 보유하고 있으므로, 이를 안전하게 유지하는 데 우선순위를 두고 있다”라고 말했다. 

화이트리스팅, 마이크로 세그멘테이션도 지원
ACI와 DNA 센터는 다양한 보안 '기법’을 지원한다. 그러나 더럼 카운티가 가장 관심을 두는 것은 ‘단일 지점’에서 액세스하는 사람과 대상, 내용, 액세스하는 앱 등을 화이트리스팅(whitelisting) 처리하는 기법이다. 사용자를 세밀하게 분류해 네트워크에서 특정 장치를 분리하는 기능 또한 큰 장점이다.

보네스텔은 “보안 정책을 단 몇 분 만에 자동으로 변경할 수 있는데, 이를 통해 많은 작업을 시간을 줄였다. 또 보안 문제를 줄여 주므로, 언제나 강력한 보안을 구현할 수 있다. ACI는 네트워크의 모든 것에 대한 ‘상태(건강)’ 점수를 제공한다. 이를 통해 신속히 문제를 파악할 수 있다. 네트워크 장비 구성요소에 대한 가시성 측면에서 이전에는 불가능했던 기능과 정보를 제공한다"라고 말했다.

네트워크 보안팀은 300개가 넘는 시스코 하드웨어를 관리해야 한다. 따라서 엔터프라이즈 관리 툴이 매우 중요하다. 더럼 카운티가 활용하는 것이 바로 DNA 센터다.

보네스텔은 약 1년 전 DNA 센터를 처음 가동했을 때의 일화를 소개했다. 전체 시스코 3850 카탈리스트(Catalyst) 스위치 그룹에서 오류 메시지가 발생했고, DNA 센터가 이를 포착했다. 오류 메시지의 원인은 버그가 있는 코드였다. 코드를 업그레이드해야 했다. 보네스텔은 "우리 팀은 이런 문제가 있음을 알지 못했다. DNA 센터를 사용하지 않았다면 발견하기도 쉽지 않았을 것이다"라고 말했다.
 
무선 관리 계획 수립 중
더럼 카운티는 계속해서 DNA 센터와 ACI를 활용할 계획이다. 동시에 무선 환경을 구현하는 새로운 프로젝트도 추진하고 있다. 보네스텔은 “시스코 무선 환경으로 마이그레이션하는 것을 진행중이다. 시스코 DNA 센터에서 무선 컨트롤러와 액세스 포인트를 관리하기 위해서다”라고 말했다. 

또한, 카운티 정부는 새 관리 시설에서 카운티 시설을 사용하는 사람을 정확히 파악할 수 있도록, 시스코 CMX(Connected Mobile Experience)에 대한 파일럿 프로젝트도 진행하고 있다. 그는 “2019년 말까지 법원 시설에 이 기술을 적용하는 것이 목표다"라고 말했다. 보네스텔의 팀은 듀크 대학과 파트너십을 체결했다. 14개의 더럼 카운티 시설을 카운티 데이터센터에 연결하는 1Gbps 속도의 대형 MPLS 네트워크를 구축하는 것이 주요 내용이다. 프로젝트 1단계는 2019년 12월 완료되며, 이후 이를 확대할 계획이다. ciokr@idg.co.kr