데이터센터 / 보안 / 클라우드

하이퍼컨버지드 인프라, 정책 기반 보안이 필요하다

Zeus Kerravala | Network World 2016.04.11
하이퍼컨버지드 인프라(Hyperconverged infrastructure, 이하 HCI)는 차세대 데이터센터의 핵심 구성요소 중 하나로 자리 잡고 있다. 원래 HCI는 서버나 스토리지, 네트워크 등의 데이터센터 기술을 더 빠르고 쉽게 배치하고자 하는 중소 규모 기업에서 주로 배치했다. 지난 몇 년 동안 HCI는 하늘 높은 줄 모르고 증가했으며, 이제는 소프트웨어 정의 모델로 이전하고자 하는 대규모 엔터프라이즈 환경도 HCI를 도입하고 있다.

HCI는 원래 뉴타닉스(Nutanix)나 심플리비티(Simplivity) 같은 신생업체가 주도했다. 하지만 최근에는 시스코, VCE, HPE 등이 이 시장에 뛰어들었고, 주니퍼와 레노버가 손 잡고 HCI 솔루션을 만들어 내기도 했다. 이처럼 많은 업체가 활동하고 있다는 것은 HCI 수요가 그만큼 많다는 것을 방증하는 것이다. 하지만 한 가지, 아직 검증되지 않는 사항이 있는데, 바로 HCI가 IT 보안에 미치는 영향이다.

이 문제를 제대로 검증하기 위해 필자는 일루미오(Illumio)의 사업 개발 담당 수석 관리자인 브라이언 펠햄과 만났다. 일루미오는 현재 떠오르는 보안 신생업체 중 한 곳이다.

필자는 펠햄에게 우선 HCI에 대한 관심이 이처럼 큰 이유를 물었다. 펠햄은 IT가 클라우드에 끌리는 것은 비용 상의 이점과 탄력성 때문이지만, 제어권을 완전히 넘겨주는 위험은 감수하지 않는다고 지적했다. HCI는 데이터센터 내에서 이런 클라우드의 이점을 모두를 제공한다는 것이 펠햄의 설명이다.

필자는 이어서 HCI가 IT 운영을 어떻게 변화시켰는지를 물었다. 펠햄은 대부분 기업이 가능한 많은 프로세스를 자동화하기를 원한다고 말했다. 하지만 복잡한 환경을 효율적으로 자동화하기는 어렵다. HCI는 데이터센터를 단순하게 만들고 좀 더 자동화할 수 있도록 해 준다. 또한 컴퓨팅 인프라를 쉽게 늘리고 줄일 수 있는 역량을 제공하며, 이런 역량을 개발자에게 부여한다. 이를 통해 IT는 비즈니스의 병목이 아니라 비즈니스를 위한 서비스로 진화할 수 있다. 애플리케이션 개발자는 마우스 클릭만으로 몇 초 만에 서버를 프로비저닝할 수 있다.

이야기의 주제를 보안과 HCI가 가져온 변화로 바꿨다. 사실 펠햄의 답변을 듣기 전에 필자의 생각은 이랬다. 보안은 지속적인 진화의 상태에 있어야 한다. 기업이 뭔가 새로운 것, 예를 들어 모빌리티나 SDN, 클라우드 컴퓨팅, 사물 인터넷 등을 도입하면, 보안도 변화해야 한다. 따라서 HCI가 보안 요구사항의 변화가 필요하다는 것은 그리 놀라운 사실은 아니다. 핵심은 무엇이 변화하는지, 그리고 어떻게 빨리 적응할 것인지를 이해하는 것이다.

펠햄은 몇 가지 역사적인 교훈으로 이야기를 시작했다. 전통적인 보안은 커다란 방화벽으로 장벽을 보호하는 데 중점을 뒀다. 이 방식은 15~20년 전에는 충분했지만, 악성코드와 해커의 전성시대에는 데이터센터 내부에 좀 더 중점을 두어야 한다. 장벽만을 보호하는 것은 더 이상은 효과가 없는 방식이다.

이제 우리는 방화벽을 네트워크의 영역을 나누는 데, 이를 통해 한 영역의 정보와 사용자를 다른 영역에서 일어나는 일로부터 보호한다. 역설적인 점은 네트워크란 원래 엔드포인트 간의 커뮤니케이션을 위해 설계된 것인데, 서로 간의 연결을 막는 데 사용하고 있다는 것이다. 구분된 영역은 제약이 많다. 왜냐하면 영역이란 애플리케이션이나 부서, 사용자 등의 요소로 정의해야만 하기 때문이다. 이 때문에 대규모 환경은 복잡해지고, 특히 변화가 필요할 때는 복잡성이 더 심해진다.

영역을 세분하면 이런 문제는 기하급수적으로 증가한다. 결국 기반 인프라만큼 유연한 보안 모델이 필요하다. 즉 늘이고 줄이고 자동화되는 인프라를 지원하는 보안이 필요한 것이다.

펠햄은 이런 세분된 영역을 보호하기 위한 두 가지 접근 방법이 있다고 말한다. 우선은 네트워크를 마찬가지로 세분화하는 것이다. 문제는 네트워크가 이렇게 유연하지도 또 다차원적이지 않기 때문에 다양한 요소로 나눌 수 없다는 것이다. 이 방식은 보통 수많은 하드웨어를 필요로 하고 애플리케이션을 인지하지 못한다. 대부분의 방화벽 업체가 DPI(Deep Packet Inspection)에 투자하고 있는 것도 이 때문이다. 궁극적으로 이 방식은 다수의 병목 지점과 성능 문제를 만들어 내고, 이 때문에 네트워크 하드웨어의 가속화에 많은 중점을 두게 된다.

좀 더 나은 접근 방법은 정책 기반의 모델로 바꾸고, 보안을 애플리케이션에 연결하는 것이다. 보안 문제를 네트워크가 아니라 애플리케이션의 눈으로 보는 것과 같다. 정책은 서버가 맡은 역할이나 특성 등의 여러 요소를 기반으로 정의할 수 있다.

예를 들어, 개발 서버는 다른 개발 서버에만 연결되도록 하고자 한다면, 네트워크 영역 구분으로는 불가능하다. 애플리케이션 개발자는 어디에서나 서버를 증설할 수 있기 때문이다. 정책 기반의 보안이라면, 이를 지원하는 규칙을 만들 수 있다. 워크로드나 서버, 사용자 등의 각 컴퓨팅 인스턴스가 네트워크 영역에 관계없이 다른 인스턴스와 커뮤니케이션할 수 있도록 정책을 만들 수 있다.

펠햄은 방화벽의 가치를 평가절하하는 것이 아니라는 것을 분명히 했다. 하지만 보안 전문가들이 어디에 가치를 부가할지 주의를 기울여주기를 원했다. 네트워크 장벽에서는 방화벽이 최상의 해법이다. 하지만 데이터센터의 심장에서는 정책 기반의 접근법이 복잡성을 줄이고 HCI의 요구를 만족할 수 있도록 보안을 바꿔놓을 수 있다. 정책은 애플리케이션과 서버에 맞춰 생성하며, 포트나 가상 LAN, ACL 등에는 비중을 두지 않는다.

정책은 보안이 워크로드의 라이프사이클을 따라갈 수 있도록 해 준다. 가상 서버가 해제되면, 보안 규칙도 제거될 수 있다. 이는 한층 더 단순한 접근 방법일 뿐만 아니라 HCI의 잠재력을 제대로 구현해 낼 수 있도록 해 준다.  editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.