Offcanvas

가상화 / 데이터센터 / 보안 / 클라우드

기고 | 가상화와 보안 ‘3가지 핵심 쟁점’

2012.03.09 Bernard Golden  |  CSO

가상화는 IT 분야에 있어서 상전벽해를 의미한다. "애플리케이션 하나당 서버 하나"라는 규칙에 수년 동안 묶여 있던 IT 인프라는 과잉 생산, 비효율적인 활용과 비용에 시달리고 있었다. 그러나 가상화의 등장과 함께 복수의 가상 머신을 단일 서버에서 호스팅(Hosting) 처리하는 방법이 발달하면서 이런 문제들 중 많은 부분이 개선됐다.

복수의 가상 머신을 단일 서버에 위치시킬 수 있기 때문에 IT 부서는 다수의 애플리케이션에 기기의 처리 능력을 분배할 수 있게 되었다. 종종 한자리 수로 측정되던 활용도는 70% 이상으로 증가했으며, 서버에 낭비되던 비용이 훨씬 줄어들었다.

그러나 "가상화 정지(Virtualization Stall)" 현상이 발생하고 있는 것도 사실이다. 즉, 많은 기관들이 전체 서버의 25%를 가상화하고 있지만 그 이상으로 가상화 비율이 늘어나지는 않는다는 것이다.

그 이유는 기관들이 모든 이지 서버(Easy Server - dev 머신과 DNS 등 위험이 낮은 내부 IT 애플리케이션)의 가상화를 진행한 반면에 생산 애플리케이션의 가상화에는 주저했거나 실패했기 때문이다.

이런 현상이 발생하는 이유는 여러 가지가 있겠으나 중요한 이유 중 하나는 보안이다. 기본적으로 보안 그룹은 물리적 환경에 맞추어 마련된 실천사항을 가상 환경에 적용하는 방법에 대한 확신이 없다. 이런 혼란에도 불구하고 그 방향성은 분명하다. 가상화 중지의 정체 현상을 타파하기 위해는 반드시 보안 실천사항을 업데이트해야 한다.

여기 가상화를 진행하면서 직면하게 되는 가장 보편적인 3가지 보안 쟁점이 있다.

네트워크 트래픽에 대한 가시성 부재
많은 보안 기관들이 악성 트래픽과 침입 시도를 찾아내고 차단하기 위해서 네트워크 트래픽을 감시한다. 벤더들은 설치와 설정이라는 까다로운 작업을 수월하게 할 수 있도록 특화된 감시 장비를 제공하고 있다. 이런 장비는 다른 서버처럼 네트워크에 설치하여 몇 시간 또는 며칠 동안 운용할 수 있다.

이런 장비 접근방식은 보안 실천사항을 간소화했으며 압박이 심한 보안 그룹과 IT 운영에 매우 요긴하게 사용되고 있다.

그러나 이런 접근 방식은 가상화된 환경에서 문제를 발생시킨다. 동일한 서버에서 구동하는 가상 머신들은 하이퍼바이저(Hypervisor)의 내부 연결을 통해 통신하기 때문에 보안 장비가 감시하고 있는 물리적 네트워크를 통해 패킷(Packet)을 전송하지 않는다. 물론 가상 머신들이 서로 다른 서버에 상주하게 되면 가상 머신들간의 트래픽이 물리적 네트워크를 통해 발생하여 감시가 가능하지만 성능상의 이유로 동일한 애플리케이션과 관련된 가상 머신들(애플리케이션의 웹 서버와 데이터베이스 서버 등)은 종종 동일한 물리적 서버에 위치하게 된다.

다행히도 벤더들은 이 문제를 해결하기 위해 노력하고 있다. 가상화 벤더들은 시스코와 아리스타(Arista) 등의 네트워크 벤더들이 트래픽 감시를 가능하게 하는 가상 스위치를 통합하기 위해 사용하는 훅(Hook)을 자사의 하이퍼바이저에 제공하고 있다. 따라서 이 문제를 해결할 수 없는 것은 아니지다. 그러나 이를 위해서는 최신 방식의 네트워크 스위칭으로 업그레이드하고 최신 모델과 통합된 보안 제품을 사용해야 한다. 이것은 결국 더 많은 재정적 투자를 의미한다.

그러나 가시성의 부재만이 기관들이 생산 애플리케이션 가상화를 미루는 이유는 아니다.

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.