2018.04.17

가상 사설망의 이해와 VPN이 SD-WAN에 중요한 이유

Zeus Kerravala | Network World

인터넷 기반의 가상 사설망은 안전하지 않은 연결에 보안을 더해 1990년대부터 큰 인기를 끌었고, 이 과정에서 VPN은 오늘날 SD-WAN 기술을 탄생시킨 촉매 역할을 했다.

VPN의 정의
가상 사설망(VPN)의 정의는 인터넷과 같이 안전성이 떨어지는 네트워크 전송에서 보안 네트워크를 생성하는 것이다.

VPN은 네트워크에서 두 개 이상의 노드를 연결할 때 쓰인다. 가장 보편적인 용도는 개별 사용자 시스템과 사이트 연결이나 사이트와 사이트 연결이다. 사용자 상호 연결도 할 수 있지만, 사용 사례가 워낙 제한적이라 실제 구현은 드물다.

그 외에 가능한 사용 사례로 사물과 네트워크 연결이 있다. 당장은 흔치 않지만 사물 인터넷(IoT)이 성장하면서 앞으로 디바이스-네트워크간 VPN이 부상할 가능성이 높다.

원격 액세스 VPN
원격 액세스 VPN은 가장 일반적인 형태의 VPN으로, 사용자가 회사 네트워크에 직접 연결되지 않은 상태에서도 회사 리소스에 액세스할 수 있게 해준다. 원격 액세스 VPN은 일반적으로 임시 연결이며 사용자 작업이 완료되면 해제된다.

프라이버시를 보장하기 위해 사용자 엔드포인트(노트북, 모바일 디바이스 또는 홈 컴퓨터 등)와 회사 네트워크 사이에 보안 터널이 설정된다. 터널 설정을 위해서는 암호, 토큰, 생체 ID와 같은 인증이 필요하다.

사용자 측에서 쉽게 연결할 수 있도록 사용자 엔드포인트에 위치한 VPN 소프트웨어에 사용자 이름과 암호가 내장되는 경우도 있지만, 인증은 어떤 형태로든 항상 사용된다.

원격 액세스 VPN의 이점
원격 액세스 VPN 사용 시 얻는 이점은 작업자의 위치에 관계없이 전용 물리적 회선이 없어도 회사 리소스에 연결할 수 있다는 것이다.

덕분에 비용이 절감되고 과거에는 연결이 불가능했던 원격지에서도 연결이 가능하다.

원격 액세스 VPN의 예
로펌의 변호사가 공유 서버에 저장된 클라이언트 파일에 원격으로 액세스하려는 경우를 생각해 보자. 회사가 전용 사설망을 사용해서 변호사의 집을 회사 네트워크에 연결할 수도 있지만, 이 경우 비용 부담이 너무 커진다.

이때 VPN이 훌륭한 대안이 될 수 있다. VPN을 사용하면 변호사가 집에서 사용하는 인터넷 서비스를 통해 가상으로 연결할 수 있기 때문이다.

변호사가 다른 도시에서 열리는 컨퍼런스로 출장을 가는 경우 사설 연결을 통해 회사에 연결할 방법이 없다. 이 경우에도 임시 인터넷 서비스를 통해 VPN을 사용하면 공유 서버에 접속할 수 있으므로 VPN은 로펌을 위한 핵심 비즈니스 도구가 된다.

원격 액세스 VPN의 단점
VPN을 통한 원격 액세스의 단점은 여러 가지 요인에 따라 성능이 크게 요동칠 수 있다는 것이다. 요인에는 사용 중인 인터넷 서비스, 암호화 방법, 사용자가 연결에 사용하는 엔드포인트 등이 포함된다.

예를 들어 집 광섬유를 통해 연결하는 작업자는 호텔에서 공유 와이파이를 통해 VPN 세션을 설정하는 경우에 비해 훨씬 더 높은 성능을 얻게 된다.

이러한 문제는 회사 IT 부서의 통제 범위를 벗어나는 경우가 대부분이므로 작업자 입장에서는 아쉽지만 성능을 개선하기 위해 할 수 있는 일은 거의 없다.

모든 기업 서비스는 원격 액세스 VPN을 통해 액세스할 수 있으며 대부분은 별 문제 없이 실행되지만, 동영상과 같이 대량의 대역폭을 소비하는 애플리케이션, 또는IP 전화(VoIP)처럼 지연률이 낮아야 할 때는 들쭉날쭉한 성능이 문제가 된다.

IPSec 대 SSL VPN
원격 액세스 VPN은 대부분 IPSec 또는 보안 소켓 계층(SSL)을 사용해서 보안 터널을 통해 회사 네트워크로 사용자를 연결하는데, 이 두 가지에는 한 가지 큰 차이점이 있다. IPSec VPN은 작업자가 사무실에 있을 때와 똑같이 모든 회사 리소스에 액세스할 수 있게 해준다. 따라서 작업자는 모든 공유 드라이브, 애플리케이션 및 기타 자산을 볼 수 있다.

SSL VPN은 일반적으로 내부 네트워크 전체가 아니라 단일 애플리케이션에 연결된다. SSL VPN이 점차 인기를 끌게 된 이유는 SSL 프로토콜의 컴퓨팅 리소스 부담이 비교적 적고, 원격 사용자가 볼 수 있는 부분과 볼 수 없는 부분을 IT 부서에서 더 세밀하게 통제할 수 있기 때문이다. 특정 애플리케이션 집합으로 액세스를 제한하면 사용자 디바이스가 감염된 경우에도 조직을 보호할 수 있다.

SSL VPN과 IoT
사물 인터넷은 폭넓은 디바이스로 구성되며 그 중 상당수는 기업 네트워크 내에서 사용되는 센서다. 이러한 센서는 건물 시스템 모니터링 및 제어부터 제조 설비 기계 관련 데이터 수집에 이르기까지 다양한 용도로 사용된다.

일반적으로 이러한 디바이스는 회사 네트워크와 통신할 수 있어야 하는데 여기에는 SSL VPN이 이상적이다. SSL VPN을 구성해서 IoT 디바이스가 기능을 수행하는 데 필요한 서비스를 제외한 모든 요소에 대한 액세스를 제한할 수 있다.

원격 액세스 VPN 필요성 약화
소프트웨어로서의 서비스(SaaS) 인기가 높아지면서 IT 부서에서 원격 액세스 VPN을 제공해야 할 경우는 줄어들고 있다. 애플리케이션과 데이터는 회사 데이터 센터에서 클라우드로 옮겨가는 중이고 사용자는 서비스에 직접 액세스할 수 있다. VPN을 통하고 다시 회사 네트워크까지 거쳐야 한다면 사용자 경험의 질이 떨어지게 된다.
 



2018.04.17

가상 사설망의 이해와 VPN이 SD-WAN에 중요한 이유

Zeus Kerravala | Network World

인터넷 기반의 가상 사설망은 안전하지 않은 연결에 보안을 더해 1990년대부터 큰 인기를 끌었고, 이 과정에서 VPN은 오늘날 SD-WAN 기술을 탄생시킨 촉매 역할을 했다.

VPN의 정의
가상 사설망(VPN)의 정의는 인터넷과 같이 안전성이 떨어지는 네트워크 전송에서 보안 네트워크를 생성하는 것이다.

VPN은 네트워크에서 두 개 이상의 노드를 연결할 때 쓰인다. 가장 보편적인 용도는 개별 사용자 시스템과 사이트 연결이나 사이트와 사이트 연결이다. 사용자 상호 연결도 할 수 있지만, 사용 사례가 워낙 제한적이라 실제 구현은 드물다.

그 외에 가능한 사용 사례로 사물과 네트워크 연결이 있다. 당장은 흔치 않지만 사물 인터넷(IoT)이 성장하면서 앞으로 디바이스-네트워크간 VPN이 부상할 가능성이 높다.

원격 액세스 VPN
원격 액세스 VPN은 가장 일반적인 형태의 VPN으로, 사용자가 회사 네트워크에 직접 연결되지 않은 상태에서도 회사 리소스에 액세스할 수 있게 해준다. 원격 액세스 VPN은 일반적으로 임시 연결이며 사용자 작업이 완료되면 해제된다.

프라이버시를 보장하기 위해 사용자 엔드포인트(노트북, 모바일 디바이스 또는 홈 컴퓨터 등)와 회사 네트워크 사이에 보안 터널이 설정된다. 터널 설정을 위해서는 암호, 토큰, 생체 ID와 같은 인증이 필요하다.

사용자 측에서 쉽게 연결할 수 있도록 사용자 엔드포인트에 위치한 VPN 소프트웨어에 사용자 이름과 암호가 내장되는 경우도 있지만, 인증은 어떤 형태로든 항상 사용된다.

원격 액세스 VPN의 이점
원격 액세스 VPN 사용 시 얻는 이점은 작업자의 위치에 관계없이 전용 물리적 회선이 없어도 회사 리소스에 연결할 수 있다는 것이다.

덕분에 비용이 절감되고 과거에는 연결이 불가능했던 원격지에서도 연결이 가능하다.

원격 액세스 VPN의 예
로펌의 변호사가 공유 서버에 저장된 클라이언트 파일에 원격으로 액세스하려는 경우를 생각해 보자. 회사가 전용 사설망을 사용해서 변호사의 집을 회사 네트워크에 연결할 수도 있지만, 이 경우 비용 부담이 너무 커진다.

이때 VPN이 훌륭한 대안이 될 수 있다. VPN을 사용하면 변호사가 집에서 사용하는 인터넷 서비스를 통해 가상으로 연결할 수 있기 때문이다.

변호사가 다른 도시에서 열리는 컨퍼런스로 출장을 가는 경우 사설 연결을 통해 회사에 연결할 방법이 없다. 이 경우에도 임시 인터넷 서비스를 통해 VPN을 사용하면 공유 서버에 접속할 수 있으므로 VPN은 로펌을 위한 핵심 비즈니스 도구가 된다.

원격 액세스 VPN의 단점
VPN을 통한 원격 액세스의 단점은 여러 가지 요인에 따라 성능이 크게 요동칠 수 있다는 것이다. 요인에는 사용 중인 인터넷 서비스, 암호화 방법, 사용자가 연결에 사용하는 엔드포인트 등이 포함된다.

예를 들어 집 광섬유를 통해 연결하는 작업자는 호텔에서 공유 와이파이를 통해 VPN 세션을 설정하는 경우에 비해 훨씬 더 높은 성능을 얻게 된다.

이러한 문제는 회사 IT 부서의 통제 범위를 벗어나는 경우가 대부분이므로 작업자 입장에서는 아쉽지만 성능을 개선하기 위해 할 수 있는 일은 거의 없다.

모든 기업 서비스는 원격 액세스 VPN을 통해 액세스할 수 있으며 대부분은 별 문제 없이 실행되지만, 동영상과 같이 대량의 대역폭을 소비하는 애플리케이션, 또는IP 전화(VoIP)처럼 지연률이 낮아야 할 때는 들쭉날쭉한 성능이 문제가 된다.

IPSec 대 SSL VPN
원격 액세스 VPN은 대부분 IPSec 또는 보안 소켓 계층(SSL)을 사용해서 보안 터널을 통해 회사 네트워크로 사용자를 연결하는데, 이 두 가지에는 한 가지 큰 차이점이 있다. IPSec VPN은 작업자가 사무실에 있을 때와 똑같이 모든 회사 리소스에 액세스할 수 있게 해준다. 따라서 작업자는 모든 공유 드라이브, 애플리케이션 및 기타 자산을 볼 수 있다.

SSL VPN은 일반적으로 내부 네트워크 전체가 아니라 단일 애플리케이션에 연결된다. SSL VPN이 점차 인기를 끌게 된 이유는 SSL 프로토콜의 컴퓨팅 리소스 부담이 비교적 적고, 원격 사용자가 볼 수 있는 부분과 볼 수 없는 부분을 IT 부서에서 더 세밀하게 통제할 수 있기 때문이다. 특정 애플리케이션 집합으로 액세스를 제한하면 사용자 디바이스가 감염된 경우에도 조직을 보호할 수 있다.

SSL VPN과 IoT
사물 인터넷은 폭넓은 디바이스로 구성되며 그 중 상당수는 기업 네트워크 내에서 사용되는 센서다. 이러한 센서는 건물 시스템 모니터링 및 제어부터 제조 설비 기계 관련 데이터 수집에 이르기까지 다양한 용도로 사용된다.

일반적으로 이러한 디바이스는 회사 네트워크와 통신할 수 있어야 하는데 여기에는 SSL VPN이 이상적이다. SSL VPN을 구성해서 IoT 디바이스가 기능을 수행하는 데 필요한 서비스를 제외한 모든 요소에 대한 액세스를 제한할 수 있다.

원격 액세스 VPN 필요성 약화
소프트웨어로서의 서비스(SaaS) 인기가 높아지면서 IT 부서에서 원격 액세스 VPN을 제공해야 할 경우는 줄어들고 있다. 애플리케이션과 데이터는 회사 데이터 센터에서 클라우드로 옮겨가는 중이고 사용자는 서비스에 직접 액세스할 수 있다. VPN을 통하고 다시 회사 네트워크까지 거쳐야 한다면 사용자 경험의 질이 떨어지게 된다.
 



X