Offcanvas

보안 / 통신|네트워크

네트워크 자동화가 성능과 보안을 개선하는 이유

2017.09.13 Ann Bednarz  |  Network World
5년 전 만 해도 뉴멕시코대학교(University of New Mexico)의 IT는 파편화돼 있었다. 뉴멕시코대학교의 부 CIO 브라이언 피에트레비츠는 “모든 학교 또는 대학이 자체 IT팀을 운영했고 대부분의 경우 자원이 부족했다. 1인 조직이 전화, 앱, 이메일, 데스크톱, 서버, 저장 장치, 재난 복구 등 모든 것을 담당해야 했다”라고 말했다.



그러나 이후 대학은 중앙 집중식 모델로 조직 운영을 바꾸었다. 100개 이상의 부서가 각자 알아서 인프라와 애플리케이션 서비스를 배포하지만 그 관리는 중앙의 IT팀이 담당하는 셀프 서비스 모델이다. VM웨어(VMware)의 vCAC((vCloud Automation Center)로 도입해 각 부서가 필요에 따라 클라우드 자원을 사용하고, 경영진은 필요시 이를 줄이거나 늘리는 등 관리할 수 있는 권한을 가졌다.

피에트레비츠는 “물리적인 기계에서 가상머신과 vCAC로 전환하면서 프로비저닝(Provisioning) 시간이 12주에서 3주, 3일, 20분으로 단축됐다"라고 말했다. 그러나 여전히 문제가 남았다. 그는 "좋아지긴 했지만 네트워크와 방화벽, 보안 구성 요소 배치에 큰 공백이 존재했다. 주요 누락 구성 요소는 네트워킹이었다”라고 말했다.

네트워크 자동화란 무엇인가
일반적으로 네트워크 프로비저닝 및 구성 관리는 수작업으로 하기 때문에 오류에 취약하다. 이때 네트워크 가상화를 도입하면 물리 하드웨어에서 끌어 낸 소프트웨어에 네트워크를 구성할 수 있다. IT는 네트워크를 신속하게 공급하고 정책 기반 접근 방식을 통해 네트워크와 보안 서비스를 추가할 수 있다. 자동화는 여기서 한발 더 나간다. 대역폭 관리, 부하 조정, 기저 원인 분석 등을 포함해 네트워크 기능이 사전 정의 정책에 따라 자동으로 제공된다.

뉴멕시코대학교는 네트워크 병목을 없애기 위해 VM웨어의 NSX네트워크 가상화 플랫폼과 vRA(vRealiz Automation) 클라우드 자동화 소프트웨어를 배치했다. 피에트레비츠는 최근 미국 라스베이거스에서 열린 VM월드(VMworld) 컨퍼런스에서 이러한 변화 과정에 대해 발표했다. 그는 “민첩성과 자동화를 통해 NSX가 가능했다”고 말했다.

보안을 강화하는 마이크로세그먼트화
피에트레비츠에 따르면, NSX는 민첩성을 넘어 상당한 보안 향상을 위해 마이크로세그먼트화(Microsegmentation)를 가능하도록 지원했다. 마이크로세그먼트화란 개별 작업 부하를 다른 세그먼트로부터 고립되고 개별적으로 보호되는 다양한 구역에 분리하는 것을 의미한다. 많은 기업이 보안 툴로 주목하고 있다. 기업은 서버를 중심으로 가상 방화벽을 배치해 데이터센터 내에서 횡방향으로 이동하는 트래픽 양 증가를 제어할 수 있다.

이러한 정책에 대한 위반이 발생하면 마이크로세그먼트화는 해커에 의한 잠재적인 네트워크 횡방향 탐색을 제한한다. NSX는 민첩성을 위해 하이퍼바이저(Hypervisor) 계층에서 작동한다. 작업 부하가 움직이면 보안 정책과 속성이 함께 움직인다.

폴라리스 알파(Polaris Alpha) 기업인 ISS(Intelligent Software Solutions)의 VM웨어 관리자인 진 자브로도 네트워크 프로비저닝 속도 개선의 필요성을 언급했다. 그는 “NSX 전에는 자동화가 어려웠다. 평균 배치 시간도 수 주가 기본이었다. 개발자들은 더 빠르게 진행하기를 원했지만 IT가 따라가지 못했다”라고 말했다.

ISS의 개발자들은 지속적인 변화를 추구하는 애자일(Agile) 방법론과 데브옵스(DevOps) 모델을 도입하기 위해 노력했다. 이 과정에서 네트워킹이 속도 개선을 방해하는 요소가 되고 있었다. 자브로는 “우리는 심지어 이런 자동화 프로세스를 실제로 도입하기 시작할 때까지도 애자일과는 거리가 멀었다”고 말했다.

보안도 ISS의 NSX 배치에 불을 지폈다. 그는 “기업 내부에 상당히 많은 개발자가 있었고 쉐도우 IT가 모든 부서에서 이루어지고 있었다. 따라서 NSX 같은 제품을 선택해 내부적으로 경계 태세를 갖추면서 해당 환경에서 VM을 구동하고 자동 방화벽 규칙을 마련해 필요에 따라 즉시 접근할 수 있도록 하는 것이 매우 중요했다”라고 말했다.


자동화 대상
피에트레비츠는 “VM이 처음에 구축되는 시점 그리고 결국 네트워크와 방화벽을 통해 배치되는 것 사이에 발생하는 일을 생각해 보면 가장 어려운 부분이 이 과정에서 모든 것을 확실히하는 것이었다”라고 말했다. 프로세스는 역할, 부서, 시스템을 망라하는 수 백 또는 심지어 수천 가지 과정을 수반할 수 있기 때문이다.

뉴멕시코대학교는 기본 방화벽 규칙 세트와 기본 네트워크를 계획의 하나로 포함시켜 VM을 배치했다. 그러나 끝이 아니었다. 기술 선택의 과잉으로 새로운 문제가 발생했다.

피에트레비츠는 “예전에는 방화벽 옵션이 1~2개였지만 이제는 수천 개다. 태그와 정책은 어떤 방향으로든 움직일 수 있다. 누군가 ‘이 IP그룹에 대한 이 기기에서 이 포트를 열어야 한다’고 말하면 작업 자체는 어렵지 않다. 그러나 이런 배치 이후 정확히 어떤 모습일지 파악하기는 쉽지 않다. 이 때문에 우리는 보안팀, 플랫폼팀, 네트워크팀 등 모두가 주기적으로 한 방에 모여 우리가 무엇을 하고 있는지 논의해야 했다"라고 말했다.

이 과정에서 더 큰 표준화가 도움이 될 수 있다. 런던에 위치한 정보 및 분석 기업 IHS 마키트의 수석 네트워크 운영 전문가 앤드류 라이카이은 "특정 네트워크 옵션의 자동화 프로세스를 경험하면서 해당 환경에서 더 많은 것을 표준화해야 한다는 사실을 깨달았다"라고 말했다. 그는 “자동화된 구성 요소를 네트워크와 인프라에 적용하고 지속적으로 입력해야 한다면 표준화된 프로세스를 구축해 사람들이 따르게 할 수 밖에 없다. 그 후에 잘 정의된 서비스를 제공해야 한다"라고 말했다.

문화적 변화
하지만 네트워크 자동화 및 보안을 위한 NSX의 잠재적인 변화를 실현하는 것은 쉽지 않다. 특히 이제 막 시작하는 경우 문화적인 변화가 필요하다. VM웨어의 제품 마케팅 관리자 스콧 굿맨은 “단순히 기술적인 변화가 아니라 사람과 프로세스가 바뀌는 것이다. 우리는 그동안 사일로로 운영했으나 NSX는 이런 구분을 모호하게 하고 장벽을 무너뜨렸다. 때로는 정확히 누가 무엇을 하는지 파악하기가 좀 어려울 수 있다”라고 말했다.

다른 전문가 역시 네트워크 자동화를 위해 필요한 문화적 변화에 관한 굿맨의 지적에 동의했다. 자브로는 “네트워크 및 보안 직원을 같은 곳에 모아 협력하도록 하는 것이 가장 어려운 부분이었다. 우리에게는 사회적인 변화에 가까웠다"라고 말했다. 피에트레비츠도 "네트워크 관리자의 반발을 예상하지 못했다"라고 말했고, 라이카이는 "우리의 관점에서는 네트워킹을 바라보는 새로운 방식이기 때문에 처음에는 변화가 어려웠다”라고 말했다.

VM웨어의 NSX는 물리적인 인프라로부터 보안 기능을 분리해 하이퍼바이저에 내장하므로 가상 작업 부하와 함께 보안 정책이 이동시킬 수 있다. 라이카이는 “네트워크 직원이 IP 주소와 포트 번호만 생각하는 대신 경계 태세를 생각하게 됐다. 우리가 고개를 돌려 보안팀과 함께 하자 과거에는 비현실적인 기대처럼 보일 수 있었던 것을 이룰 수 있었다. 단, 많은 훈련과 대화가 필요하다. 보안을 높이고 긍정적인 결과가 나타나려면 시간이 필요하다"라고 말했다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.