“클라우드 이점 극대화하는 SDN, 보안 강화는 필수”
상태바
“클라우드 이점 극대화하는 SDN, 보안 강화는 필수”
  • 김선애 기자
  • 승인 2014.04.17 18:01
  • 댓글 0
이 기사를 공유합니다

클라우드 데이터센터, 가시성 확보 중요 … 보안 생태계로 전략적 방어 체계 갖춰야

소프트웨어 정의 네트워크(SDN)에서 시작한 소프트웨어 정의(SDx)는 가상화·클라우드의 이점을 극대화하는 IT 환경으로, 가상화 데이터센터를 가장 최적의 상태로 운영할 수 있도록 한다.

안종석 나임네트웍스 전무는 “SDN은 가상머신(VM)이 이동하는 최적의 경로를 안내하는 가상화된 데이터센터의 내비게이션과 같은 역할을 한다. 이러한 역할을 소프트웨어를 통해서 진행하기 때문에 ‘코드 기반 자동화’라고도 부른다”고 설명했다.

IT 효율성 높이기 위해 클라우드 확산
클라우드 데이터센터는 서버, 네트워크, 스토리지 등 IT 자원을 거대한 풀로 만들어 필요에 따라 필요한 만큼 사용하도록 한다. 전통적인 데이터센터는 서버, 네트워크, 스토리지 인프라가 각각 다른 인프라와 관리툴을 이용하기 때문에 가상화된 자원을 관리하지 못한다.

클라우드 데이터센터에서는 수많은 VM이 물리적인 호스트 경계 없이 이동하기 때문에 서비스가 운영되고 있는 VM이 어느 호스트의 자원을 사용하는지 파악하는 것이 쉽지 않다. 따라서 서비스에 장애가 발생했을 때 정확한 장애발생 지점과 원인을 찾는 것도 매우 어렵다.

가시성을 보장하지 못하는 클라우드 데이터센터는 보안 관점에서 매우 심각한 문제가 된다. VM이 이동하면 VM에 맞물린 각종 네트워크 장비와 보안 모듈이 이동된 호스트의 보안 및 네트워크 구성의 제어를 받아야 한다. 클라우드 데이터센터 관리 시스템이 자동화된 VM 이동을 지원한다고 하지만, 완벽한 자동화가 가능한 상황은 아니다. 특히 대규모 데이터센터에서는 VM 가시성을 확보하는 것이 매우 어려운 상황이다.

정석호 VM웨어 부장은 “전통적인 데이터센터 아키텍처는 서버, 네트워크, 스토리지 관리 조직이 단절돼 있으며, 사일로화된 시스템이 분산돼 있기 때문에 가상화 풀을 통한 운영이 불가능하다”며 “SLA를 준수하면서 자동화된 운영을 가능하게 하기 위한 관리 및 보안 정책이 필요하다”고 말했다.

가상환경에서 나타나는 보안 취약점은 VM이 이동한다는데서 시작된다. VM이 이동하면 스위치가 호스트의 MAC 정보를 바꿔야 하지만, VM에서 발생하는 트래픽은 이전 스위치를 찾아 가기 때문에 IP 주소가 바뀌지 않아 수동으로 바꿔야 한다. 이 문제를 해결하지 못한 국내 대부분의 가상화 시스템은 VM 이동 기능을 사용하지 않고 있는 상황이다.

VM웨어는 가상화 서버 ESX 내에 가상화된 스위치를 탑재하고, 써드파티 보안 솔루션이 함께 적용될 수 있도록 하고 있다. VM웨어는 가상화 플랫폼 v스피어를 통해 가상화된 클라우드 애플리케이션을 지원하며, 가상화 스토리지 ‘vSAN’, 가상화 네트워크 플랫폼 ‘NSX’, 클라우드 데이터센터 관리 솔루션 패키지 ‘v클라우드 스위트’를 통해 소프트웨어 정의 데이터센터(SDDC) 환경을 구성할 수 있도록 한다.

자동화된 관리 툴 없는 클라우드는 대재앙
보안 관점에서 철저하게 관리되지 않는 데이터센터는 대재앙이다. 특히 가상환경을 기반으로 하는 클라우드 데이터센터에 대한 자동화된 관리가 적용되지 않으면 그 자체로 보안 취약점이 된다.

최근 네트워크 보안 벤더에서 가상화 방화벽, 가상화 UTM 등 VM을 보호할 수 있는 가상화 어플라이언스를 출시하고 있지만, VM이 호스트 밖으로 이동할 때 완벽한 보안을 보장하지 못한다. 또한 가상화는 단일 하이퍼바이저에서 다수의 VM이 구동되기 때문에 하이퍼바이저가 공격을 받았을 때 VM을 보호하기 어렵다.

클라우드 데이터센터에서의 서비스 수준 준수(SLA)도 중요한 문제로 대두된다. 서비스의 성격에 따라 다른 보안 등급이 적용돼야 하며, 호스트에 적용된 보안 정책이 아니라 VM에서 구동되는 서비스의 수준에 따른 보안 등급이 적용돼야 한다. 보안으로 인한 성능저하를 피하면서 자동화된 보안관리가 가능해야 한다.

이러한 요구를 수용하기 위해 소프트웨어 정의 시큐리티(SDSec)가 필요하다. SDSec는 VM의 이동을 추적해 보안위협을 탐지하고, SLA에 맞는 보안 수준을 유지할 수 있도록 하며, VM의 생성과 삭제, 확장 시 자동으로 보안정책을 적용할 수 있도록 해야 한다. 지능형 타깃 공격 방어를 위한 보안 인텔리전스도 기본적으로 갖추고 있어야 한다.

SDN 전략을 강력하게 드라이브하고 있는 네트워크 기업들이 발빠르게 SDSec를 준비하고 있다. 이들이 주장하는 SDSec는 가상환경 보안 솔루션을 중심으로, 네트워크 가시성을 확보하는 것이다.

시스코코리아 관계자는 “기존의 계층적 물리 네트워크에서는 각 구간 별 보안 경계 수립이 수월했지만, SDN 환경에서는 실질적인 정보 제공의 주체와 소비자 간의 흐름에 대한 보안 통제가 이뤄져야 한다. 이를 위해서는 투명한 가시성을 기반으로, 트래픽 흐름에 대한 적정한 보안 제어 및 가장된 엔드포인트에 의한 정보 탈취 방지, 그리고 필요 시 주요 정보에 대한 각 엔드포인트간의 암호화까지 함께 제공해야 한다”고 말했다.

시스코는 애플리케이션 중심 인프라스트럭처(ACI) 설계에 적합한 ASAv 방화벽 및 VPN 기능을 통해 보다 효과적이고 정확한 트래픽 흐름 제어 및 보안 기능을 제공한다. 또한 소스파이어의 차세대 IPS 기능 통합을 통해 전체 네트워크에 대한 가시성 확보와 비정상적인 정보 유통, 악의적인 트래픽에 대한 방어 기능을 제공한다.

주니퍼는 가상화·클라우드를 위한 보안 솔루션 ‘파이어플라이(Firefly) 스위트’를 소개한다. 모든 방향의 트래픽을 보호하는 다단계 솔루션으로, 네트워크 관리자와 보안 관리자들이 가상화 및 클라우드 환경의 특징적인 주요 보안 과제 해결에 필요한 광범위하고 전문적인 방화벽 보안을 다이내믹하게 구축하고 확장할 수 있도록 한다.

이 제품군에는 VM 방화벽 ‘파이어플라이 페리미터’가 포함된다. 주니퍼 SRX 시리즈 서비스 게이트웨이를 기반으로 하고 있으며, 라우팅, NAT, VPN 등의 연결 기능을 제공한다.

가상환경에 대한 관리 애플리케이션 ‘주노스 스페이스 버추얼 디렉터’는 파이어플라이 페리미터 VM과 관련된 VM 프로비저닝 및 리소스 할당을 자동화한다. 써드파티 관리 플랫폼들과의 통합을 위한 개방형 REST API를 포함한다.

‘파이어플라이 호스트’는 하이퍼바이저 커널 내에 통합된 가상화 전용 방화벽으로, 동서(east-west) 트래픽 플로우를 보호한다. 스테이트풀 인스펙션 방화벽, 침입 탐지, 규제준수 모니터링 및 실행, 온-액세스 및 온-디맨드 안티바이러스 스캐닝 기능을 제공한다.

클릭 몇 번 만으로 데이터센터 구성 변경
관리와 보안 취약점이 많은데도 불구하고 클라우드 환경으로 전환하는 것은 IT 관리와 운영 편의성을 높이기 위해서다. 전통적인 데이터센터에서는 비즈니스 변경이 있을 때 시스템 자체의 구성을 직접 변경해야 했다. 장비의 위치를 바꾸고, 케이블링을 다시 해야 하며, 어쩔 수 없는 시스템 다운타임도 발생하게 된다.

클라우드 데이터센터는 클릭 몇 번 만으로 가상화된 데이터센터 구조를 바꿀 수 있다. SDx 기술을 이용해 자동화된 관리 툴을 적용하면 관리자의 실수로 인한 장애 발생을 줄일 수 있으며, 보안을 강화할 수도 있다.

이처럼 이상적인 환경을 구성하기 위해서는 SDSec 기술과 솔루션이 필수적으로 요구되며, 여러 보안 기술이 생태계를 조성해 예상하지 못한 보안 위협을 낮춰야 한다. 글로벌 기술 기업들은 이미 다양한 파트너십을 통해 생태계 조성에 앞장서고 있으며, 국내 기업들도 이에 대한 준비를 시작하고 있다.

정석호 VM웨어 부장은 “SDDC를 위해 시만텍, F5, 트렌드마이크로 등 글로벌 기업들과 협력하고 있으며, 한국에서는 안랩과 R&D를 연결해 준비하고 있다. 올해 말 쯤 안랩과 함께 가상화 보안 어플라이언스 형태로 출시할 것으로 예상한다”고 말했다.

한국HP는 네트워크사업부에서 진행하는 SDN 프로젝트에 보안 기술 적용을 시도하고 있으며, SDN 전문기업 나임네트웍스와 함께 SDN 보안 패키지도 준비하고 있다. SDN 컨트롤러에 아크사이트, 티핑포인트 등 보안 기술을 적용해 개방형 시스템으로 공급하는 방식이다.

박진성 한국HP 보안사업부 이사는 “SDSec는 완전히 새로운 보안 기술을 요구하는 것이 아니라 기존의 보안 솔루션을 SDN에 적용하는 형태가 될 것”이라며 “SDN은 벤더 중립적인 IT 환경을 추구하고 있으므로, SDSec는 다양한 벤더의 기술을 지원하는 유연성과 안정성이 요구된다”고 설명했다.

SDx는 사물인터넷(IoT)의 확산으로 더욱 빠르게 진보할 것으로 보인다. IoT 환경에서는 엔드포인트가 디지털 단말기 뿐 아니라 가전기기, 각종 센서, 사회기반시설, 동물 및 사람에 이르기까지 수많은 종류로 늘어날 것이며, 각종 유무선 네트워크와 빅데이터 분석 기술을 활용한다. 이처럼 복잡해지는 IT를 관리하기 위해 SDx 기술이 요구되며, 보안을 고려한 SDSec가 필수적으로 포함된다.

안종석 나임네트웍스 전무는 “SDSec는 이제 막 시작되는 시장이며, 클라우드, IoT 등 새로운 IT 환경에서 반드시 필요한 기술이다. 현재 클라우드 데이터센터 보안을 위해 오픈소스를 이용하는 경우가 많은데, 이를 잘 활용하면 국내 보안 기업에게 새로운 성장동력을 제공할 수 있다”며 “SDSec 기술 개발을 위해 국내 보안 기업들이 적극적으로 투자해야 하며, 정부에서도 지원 사업을 지속적으로 발굴해야 할 것”이라고 말했다.

보안 솔루션 아키텍처로 SDx 적용
한편 SDSec를 SDx의 하나로 보는 것이 아니라, 보안 솔루션 아키텍처에 SDx의 개념을 적용하는 관점도 등장했다. 빅데이터 보안이 빅데이터 자체를 보호하는 기술과 빅데이터를 이용해 보안 솔루션의 성능을 향상시키는 두가지 방향으로 진화하는 것과 마찬가지다.

체크포인트의 ‘SDP(Software Defined Protection)’는 협업 인텔리전스에 기반한 최신 보안 아키텍처로, 집행/제어/관리 레이어로 파티션을 나눠 지능형 보안위협을 효율적으로 방어한다. 집행 레이어에서는 실제 보안을 실행시키며, 제어 레이어에서는 위협정보를 분석해 새로운 보안정책을 생성한다. 관리 레이어는 인프라 구성 및 관리를 담당한다.

이는 SDN이 컨트롤 플레인과 데이터 플레인을 나눠 실제 데이터의 흐름을 방해하지 않으면서 네트워크 최적화를 지원하는 것을 보안 아키텍처에 적용한 것으로, 모바일 컴퓨팅, SDN 등 새로운 IT 환경을 지원할 수 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.