기능·규모·호환·관리 등 고려해야 … 다기능으로 복잡한 네트워크 문제 해결
올인원(all-in-one) 게이트웨이는 네트워크 인프라의 성배다. 네트워크를 위한 보안 기능과
모든 라우팅, 스위칭을 다룰 수 있는 단일 장비이기 때문이다. 초기에는 라우터 기능의 스위치를 포함하는 것만으로 충분했지만 네트워크의 복잡성과 통합 서킷 밀도가 점차 증가하면서 더 많은 기능이 부가됐다.
최근 오늘날 올인원 게이트웨이에 관해 말할 때, 단일 박스안의 차단장비와 인증서버, 콘텐츠 필터, 침입탐지시스템(IDS), 침입방지시스템(IPS), VPN 집중장치, 방화벽 등의 기능은 일정 규모 네트워크의 모든 주요 문제점을 해결할 것이라고 생각한다. 비즈니스 측면에서 이러한 장비를 구축하기에 앞서 기능, 규모, 호환성과 관리 용이성 등 몇몇 폭넓은 문제를 언급할 필요가 있다.
도입에 앞서 여러 변수 고려해야
게이트웨이는 라우터 또는 스위치의 뒷 단에 위치한다. 일단 내부에는 올인원 장비가 다중 기능의 라벨을 획득하기 위해 적어도 방화벽, VPN, 콘텐츠 필터, 악성코드 차단장비 등을 포함해야 한다. VoIP 특화 기능, 애플리케이션 및 방화벽 기능, 침입 탐지와 방어, 이메일과 웹서비스 등과 같은 기능들에 대한 다른 가능성이 있다. 심사숙고를 시작하면서 몇몇 변수들을 유념해야 한다. 예를 들면 얼마나 많은 사용자를 네트워크가 지원할 것인가, 얼마나 많은 수가 동시에 네트워크상에 존재 가능한가 등의 문제다.
이러한 수는 장비 구축을 통해 만족스러운 퍼포먼스를 갖게 될 수 있는지를 결정하는 포인트가 되고, 특정 기능의 경우 라이선스와 연관될 수 있다. 지사에 구축하는 게이트웨이가 중앙 네트워크와 무난히 연동될 수 있는지, 아니면 초기 지점에 기업의 주요 네트워크를 보호할 수 있는지를 고려하라. 대답은 주어진 기능이 디바이스 상에서 요구되는 것이나 다른 장비에 의해 다뤄질 수 정도에 의해 좌우된다. 또 디바이스에 적용되는 관리 인터페이스를 선택하는 것을 도울 수 있다.
대역폭이 전부는 아니다
침입 탐지와 방어뿐 아니라 바이러스와 스파이웨어 방지 등을 위해 게이트웨이에 변종을 넣을 수 있는 패킷의 정밀 검사가 필요하다. 이러한 기능들이 요구된다면 후보 제품 중에 퍼포먼스를 세심하게 살피고 또한 얼마나 많이 동시 접속을 지원할 수 있는 지 벤더들에게 확인해야 한다. 접속 수는 IDS와 IPS의 퍼포먼스에 특히 중요한 요소다.
우선 두 가지 경로를 통해 풍부한 트래픽을 살펴볼 필요가 있다. 게이트웨이가 침입 탐지 또는 방지를 포함한다면, 컨피규레이션을 통해 네트워크로 연결되는 장비보다 인라인 디바이스가 될지도 모른다. 디바이스가 인라인으로 구축된다면 네트워크 인터페이스와 중복 파워 공급, 다른 중요한 요소 등은 장비 작동이 멎을 경우에도 이를 유지할 수 있도록 활용할 수 있다.
복잡성 요인
네트워크의 복잡성이 낮은 수준이라면 방화벽 규칙의 비교적 단순한 구성으로 받아들일 수 있다. 그러나 다중 웹-프론티드(web-fronted) 애플리케이션을 확보하고 있다면 기업의 지사와 여러 공공 웹 서버의 연결을 위해 정적 라우팅으로 방화벽의 CPU상에 더욱 큰 부담을 주게 될 대규모 규칙 구성을 갖게 될 것이다.
목적 기반의 매니지먼트는 규칙의 수를 감소시킬 수 있지만 보편적으로 구현되지는 않는다. 따라서 시스템을 비교하면서 이를 체크해야 한다. 안티스팸, 안티바이러스, 안티스파이웨어, 다른 악성코드 보안이 올인원 메뉴의 부분이 될 때 전방에 동일한 이슈가 출현할 것이다. 보안 장비의 일반적인 부하의 일부분으로 보일지라도 처리비용이 요구된다. 특별히 단일 CPU는 모든 처리 업무를 다루고 있다. 이러한 교환은 두드러진 지체를 경험하지 않고서도 네트워크를 동시에 접속할 수 있는 사용자의 수를 한정할 수 있다.
주요 퍼포먼스 함축을 가질 수 있는 또 다른 특징이 있다. 바로 VPN이다. 보안이 진행되는 동안 암호화된 터널은 많은 조직을 위한 전체적인 보안 계획의 절대적인 부분이 될 것이다. 그들은 서비스로의 상당한 처리 자원을 요구할 수 있다. VPN의 역할이 한 쌍의 터널로 기업의 중앙 네트워크와 지사의 게이트웨이를 접속하는 데 이용된다면 고려될 수 있는 실제 원인은 전혀 없다. 그러나 게이트웨이가 이중 또는 삼중으로 도달할 수 있는 동시 터널의 합계로 모바일 인력에 대한 터널을 종결짓는다면 VPN의 처리가 어떻게 달성되는지에 관해 의문점이 생길 것이다.
게이트웨이가 지원하기 위해 평가되는 동시의 VPN 터널 합계를 살펴보자. IPSec 터널과 마찬가지로 동일한 수의 SSL 터널을 지원한다면 유의해야 한다. SSL 터널은 비교적 비싼 처리비용을 요구한다. 이러한 기능이 동일한 단위에 패키지로 부가됨에 따라 디바이스에 대해 모든 기능을 제공하는 단일 CPU에 의해 서비스되거나 자신의 회로에 의해 지원될지 묻는 것은 당연하다. 만약 전자에 속한다면 약속된 실행이 네트워크에 적당하다는 것을 확인해야 한다.
네트워크간 상호 연동
올인원 게이트웨이가 다른 네트워크와 어떻게 잘 상호 작용할 수 있는지를 살필 경우에 게이트웨이 매니지먼트와 보안 규칙을 검사해야 한다. 사용자 신분 증명 관리 역시 간과해서는 안 된다.
네트워크 내 사용자를 인증하고 특정 네트워크 자산에 도달하기 위해 인증을 함으로써 네트워크 인프라에서 많은 수준을 다룰 수 있게 된다. 여러 아키텍처는 네트워크에 합류하기를 시도함으로써 사용자들을 조회하는 에이전트로써 게이트웨이의 역할이 주어져 있다. 그런 후 중앙 인증 데이터베이스에 사용자 정보를 보낸다.
조직이 전개시킨 특정 디렉토리 또는 래디우스(RADIUS) 서버와 LDAP 서버, MS 액티브 디렉토리로 인증을 통합할 수 있는 어플라이언스의 기능을 살펴봐라. 인증 서비스를 통합하기 위한 간단한 장비 이상을 능가한다. 통합과정에 대한 설명은 기술 노트 또는 백서를 참조한다. 인증 과정이 통합되면 편이성은 굉장히 다를 수 있다. 로깅과 리포트는 중요한 부분으로 특히 IDS 기능을 포함한 게이트웨이의 경우에는 절대적이다. 복잡한 네트워크의 IDS 로그는 매일 쉽게 다중 기가바이트를 기록할 수 있다. 따라서 로그를 보호하기 위한 절차 또는 로그를 저장할 수 있도록 백업을 해야 한다.
HIPAA, GLBA, SOX와 다른 법률적인 제공은 자료 유지 계획 및 엄격한 편집 능력을 부과한다. 조직이 규정 중에서 하나 이상을 무너뜨린다면 개방 및 요구되는 책임보다 게이트웨이의 지원을 확신해야 한다. 조직의 필요에 따라 게이트웨이의 기능을 일치시키기 위해 시간을 소요하는 것은 성공적인 구축을 확신시키는 방법이다.
올인원 게이트웨이
올인원 게이트웨이 선택하기 앞서 고려 사항
1. 얼마나 많은 사용자를 네트워크가 지원할 수 있는 가.
2. 게이트웨이가 지사에 구축될 것인가, 기업의 주요 네트워크를 보호할 수 있는 가.
3. 네트워크의 본질 및 규모는.
4. 자사의 네트워크가 얼마나 복잡한가.
5. 얼마나 많은 사용자와 디바이스를 동시에 게이트웨이가 지원해야 하는 가
매니지먼트는 되도록 쉽게…
올인원 게이트웨이로써 많은 기능을 포함하고 있는 장비는 조직 내 어떤 사용 목적에서도 쉽게 관리돼야 한다. 보안 장비로써 게이트웨이는 네트워크에 의해 사용된 공공 IP 주소 공간으로부터 매니지먼트를 분리할 수 있는 대역외 인터페이스를 통해 가장 안전하게 관리될 수 있다. 분리된 매니지먼트 인터페이스를 활용할 수 없다면 적어도 특정 IP 기반 접속에 관한 어플라이언스에 SSL 인증이라도 살펴보기를 원할 것이다.
대다수 전문가들은 두 가지 이유에 대해 시리얼 콘솔 인터페이스를 주장한다. 시리얼 인터페이스는 회사의 공공 네트워크 공간과 비교할 때 매우 안전하다. 디바이스와 어긋나는 순간에도 시리얼 인터페이스는 네트워크 인터페이스보다 박스 내부에 보다 안전한 라우팅이 가능할 것이다. 올인원 게이트웨이가 지사에 구축될 경우, 원격 관리 능력은 절대적으로 중요하다. 매니지먼트 인터페이스 상의 SSL 인증을 살펴보고, HP 오픈뷰, IBM 티볼리, CA 유니센터 등과 같은 매니지먼트 프레임워크의 기능과 통합한다.
네트워크 인프라 벤더 커뮤니티가 보안 컴플라이언스에 대한 들어오는 디바이스를 스캔하는 정책 집행의 아이디어를 포용하기 시작했으며, 네트워크 인프라 디바이스에 의한 행위 기반에 접속을 부정하거나 허용하고 있다. 게이트웨이는 엔터프라이즈 환경 내에 유용할 경우에 시스코 NAC, MS NAP 등과 같은 프로토콜을 수용할 필요가 있다. 이런 프로토콜에 대한 벤더의 정책에 관해 자문하고, 게이트웨이의 장기적인 구축 가능성을 판단할 때 프로토콜의 수용성을 파악해야 한다.
