분산된 네트워크 자원 효율적 할당ㆍ공유


대규모 데이터센터 적용 활발… 가상 방화벽 활용 보안성 향상


다수의 기업들이 애플리케이션 구축 비용을 절감하고 서버 자원을 보다 효율적으로 활용하기 위해 데이터센터 가상화를 추진하고 있습니다. 가상화의 혜택에는 크게 효율적인 자원활용, 구축 및 관리비 절감, 복잡성 감소 등이 있는데 이러한 장점은 서버뿐만 아니라 통신장비 분야에도 동일하게 적용됩니다. 이에 따라 현재 애플리케이션 서버에서 가상화를 적용하고 있는 기업들은 하드웨어 비용과 관리의 복잡성을 줄이기 위해 데이터센터 등의 네트워크 설계에도 가상화 도입을 서두르고 있습니다.


네트워크 가상화는 서버 가상화와 마찬가지로 다수의 물리적 자원을 하나의 논리적 장치로 사용하거나 하나의 물리적 자원을 복수의 서로 다른 용도로 분할하는 것을 말합니다. 쉽게 말해 라우터, 방화벽, 스위치와 같은 물리적 네트워크 자원들을 마치 하나의 자원처럼 사용하는 것입니다.


사실 네트워크 가상화는 이미 오랫동안 사용돼 왔습니다. 인터넷 등의 대규모 네트워크에 폐쇄형 사설 네트워크를 생성하는 VPN(Virtual Private Network)이 대표적인 예입니다. 이와 비슷한 개념에서 출발한 것으로는 VLAN(Virtual LAN)이 있는데 소규모 가상 네트워크 생성에는 매우 유용하지만 대규모 네트워크에서 구축이 어려우며 관리성과 확장성이 부족하다는 단점이 있습니다. 그러나 효율적인 자원 할당에서 오는 비용 절감과 네트워크 서비스의 향상이라는 혜택으로 인해 기업 광대역통신망(WAN)과 데이터센터 전체를 포괄하는 대규모 가상 네트워크 구축이 활발히 추진되고 있습니다.


네트워크 가상화가 오늘날 기업이 요구하는 성능과 복구를 보장하려면 가상 네트워크 및 애플리케이션 서버에 대해서도 물리적 네트워크와 같은 수준의 보안 기능을 제공해야 합니다. 이에 따라 가상화 및 물리적 네트워크 전체를 위해 보다 효율적이고도 강력한 보안이 중요한 요소로 떠오르고 있습니다.


가상 방화벽을 어떻게 활용하느냐는 가상화 네트워크를 위한 보안의 해답을 제시해줍니다. 통상 하나의 물리적 방화벽은 수많은 가상 방화벽으로 나뉘는데 이는 다시 특정 LAN 세그먼트, VLAN 등에 적합한 별개의 규칙을 설정할 수 있습니다. 또 필요에 따라 로컬 그룹 관리자에 의해 개별적으로 관리될 수도 있습니다. 뿐만 아니라 정책에 따라 적합한 가상 방화벽으로 트래픽을 보내도록 라우팅 테이블을 구성하는 것 역시 가능합니다. 이를 통해 여러 대의 물리적 방화벽 없이도 네트워크 코어의 가상화 시스템을 기반으로 넓은 구역에 분산된 네트워크 자원을 모든 사용자들이 공유할 수 있습니다.


대표적인 통신장비 업체인 쓰리콤은 복수의 회선을 서로 연결하는 분산된 물리적 장치와 각 네트워크 계층에서 하나의 논리적인 장치를 이루는 RVSF(Resilient Virtual Switch Fabric) 기술을 통해 네트워크 가상화와 하드웨어 이중화를 구현하고 있습니다. 이러한 네트워크 패브릭(RVSF)은 장애 발생 시 원인이 되는 장치를 즉시 대체하고 가장 효율적인 트래픽 경로를 찾아 각종 장애에 즉각적으로 대응할 수 있다는 장점이 있습니다.


RVSF는 다수의 이중 링크 상에서 네트워크 계층을 통해 가장 적절한 방식으로 트래픽을 전송하는 네트워크 프로토콜인 `IRF(Intelligent Resilient Framework)' 기술을 토대로 합니다. IRF는 표준 링크 프로토콜을 사용해 가상화된 코어 스위치를 에지 스위치로 연결하기 때문에 다른 장비와도 높은 호환성을 제공합니다. 또 모두 활성상태를 유지한 상태에서 대역폭을 공유할 수 있어 네트워크 용량을 증가시키면서 우수한 네트워크 복구 기능을 제공합니다.


쓰리콤의 침입방지시스템(IPS) 솔루션인 `티핑포인트 N플랫폼(TippingPoint N-Platform)'은 앞서 설명한 가상 방화벽과 비슷한 방식으로 코어 또는 데이터센터의 클라우드에서 가상머신(virtual machine)을 활용해 고성능의 보안성을 제공합니다. 만약 가상머신이 동일한 물리적 서버에서 실행되더라도 네트워크 가상화 프로토콜은 IPS 장비를 통해 적합한 트래픽 루트를 보장해줄 수 있습니다. 또 시간이 지나 가상머신이 다른 물리적 시스템으로 업그레이드 되더라도 하드웨어 독립성을 유지하는 데 수월하다는 장점이 있습니다.


이 같은 티핑포인트 기술은 보안 프로그램 상단에서 구현되기 때문에 가상머신 운영 환경으로부터 바로 보안 서비스를 제공받을 수 있을 뿐만 아니라 외부의 IPS 시스템으로 재전송이 가능합니다. 특히 쓰리콤의 일부 섀시형 제품은 티핑포인트 IPS 솔루션을 블레이드 서버 형태로 제공해 가상 데이터센터를 위한 네트워크에 높은 보안성을 제공하고 있습니다.


이처럼 가상 네트워크는 관리가 용이하며 비용 효율적인 네트워크 설계를 가능하게 합니다. 기업은 가상 환경을 지원하는 네트워크 보안장비를 확보해 최소의 장비만으로 네트워크 구조에서 보다 정교한 보안정책을 구현할 수 있습니다. 효율적인 네트워크 가상화와 그에 걸맞는 강력한 보안성 구현은 보안에 대한 우려가 크게 부각되고 있는 대규모 데이터센터 네트워크 설계를 중심으로 갈수록 중요성이 커지고 있습니다.


이지성기자 ezscape@


도움자료:한국쓰리콤


<출처> 디지털타임스, 2010-04-11

Posted by TopARA

댓글을 달아 주세요