"몰라서 못쓰는" 알짜배기 SD-WAN 기능 10선

Network World
SD-WAN은 MLPS의 대안 이상이다. 그나마 알려진 제로터치 프로비저닝, 애플리케이션 인식 라우팅, 마이크로세그멘테이션 등은 SD-WAN 제품 및 서비스가 제공할 수 있는 기능 중 일부에 불과하다.
 
ⓒ Getty Images Bank


초기 SD-WAN 제품은 비싸고 경직된 MPLS 연결을 대신해 지사를 클라우드에 직접 연결하고 WAN 트래픽을 최적화하는 방안이었다. 이들 초기 SD-WAN 솔루션에는 통합 방화벽, 애플리케이션 인식 라우팅, 고급 데이터 분석 등의 기능은 없었다.

시간이 흐르면서 SD-WAN 솔루션 업체들은 견실한 추가 기능들로 제품을 강화했지만, SD-WAN 제품과 매니지드 서비스 옵션을 제대로 활용하지 못하는 경우가 많다.

IT 책임자가 SD-WAN의 새로운 기능들을 방치하는 이유가 무엇일까? 우선은 솔루션 업체들이 이런 고급 기능의 이점과 편리성을 제대로 알려주지 않았기 때문이다. 또 네트워킹팀과 보안팀 사이의 조직 장벽으로 인해 기업이 SD-WAN 장비와 함께 제공되는 차세대 방화벽이나 침입방지 시스템을 활성화하지 못하는 경우도 있다.

무엇보다도 네트워크 전문가들은 오랫동안 사용해 온 표준화된 방법론과 절차가 있고, 이것만으로도 맡은 바 임무를 해내는 데 아무런 문제가 없기 때문이다. 제로 터치 프로비저닝(Zero Touch Provisioning) 같은 새로운 방식을 도입해서 문제가 생길 경우 역효과가 날 수 있다는 점도 새로운 기능의 적용을 꺼리는 이유가 된다.

하지만 기업은 잘 활용되지 않는 SD-WAN의 기능이 가져다 주는 이점을 고려해야 한다. SD-WAN 장비나 관리형 서비스에 비용을 치른 상황에서 제대로 활용하지 않을 이유는 없기 때문이다. 

1. 제로 터치 프로비저닝
지점에 네트워킹 장비를 배치하는 전통적인 방법은 물리 장비를 준비 위치로 이동하여 구성하고 시험한 후 지사로 배달하여 네트워킹 전문가가 설치하는 것이다. 광범위한 지역에 걸쳐 수십 또는 수백 개의 SD-WAN 장비를 배치하는 데는 많은 노동력과 시간이 든다.

반면 대부분의 SD-WAN 장치에 표준으로 탑재되는 제로 터치 프로비저닝 기능은 장비를 자동으로 구성한다. 집에 인터넷 연결만 있으면 사전 정의 템플릿에 따라 신속하고 효율적이며 표준화된 방식으로 구성할 수 있다.

2. 암호 키 순환(Encryption key rotation)
항공우주 및 방위 기업 등 정부와 협력하는 기업이나 여타 PCI 준수 책임이 있는 기업은 암호화 키를 주기적으로(일반적으로 90일마다) 바꿔야 한다. 복잡한 변경 관리 정책이 수반되며 계획적인 다운타임이 필요할 수 있는 지루한 과정이 될 수 있다.

SD-WAN 플랫폼은 일반적인 VPN 기반 키 순환 방식을 분 단위 수준으로 순환하도록 프로그래밍할 수 있는 자동화된 시스템으로 대체할 수 있다. 데이터 플레인 트래픽을 방해하지도 않는다. 그 결과, 보안이 향상되고 다운타임이 사라지며 수작업도 필요 없어진다.

3. 다중 VPN(Multiplexed VPN)
기업은 여러 종류의 서로 다른 트래픽을 각각 분리해야 하는 경우가 많다. 예를 들어, 합병 또는 인수의 경우 결합된 기업이 서류상으로는 단일 독립체이지만, 사업이나 컴플라이언스 또는 보안 등의 이유로 각 사업부를 계속 독립적으로 운영할 수 있다. 이 경우 기업이 SD-WAN으로 업그레이드를 결정한 상황이라면 2세트의 물리 장비를 구매하려는 상황이 발생할 수 있다. 

하지만 SD-WAN 기술에는 여러 개의 VRF(Virtual Routing and Forwarding) 및 VPN 링크를 단일 오버레이로 다중화 할 수 있는 기능이 포함돼 있다. 여러 사업부가 분산된 복잡한 조직의 경우에도 정책만 설정하면 트래픽을 분리할 수 있다. SD-WAN 기술은 같은 물리적인 WAN 링크로 운용하는 최대 16개의 가상 VPN을 생성할 수 있다.

4. 애플리케이션 인식 라우팅(Application-aware routing)
SD-WAN 제품은 특정 애플리케이션에 세부적인 라우팅 정책을 적용할 수 있도록 7계층에서 트래픽을 점검할 수 있는 기능이 있다. 실제로 일부 장비는 3,000개 이상의 애플리케이션을 확인하고 각 앱의 성능 요건을 파악할 수 있다. 

이 기능은 기업들이 민감한 애플리케이션의 지연 시간, 지터(Jitter), 기타 특성을 계속 실시간으로 모니터링하고, 성능 기준에 맞는 비용 효율적인 전송 방법으로 애플리케이션을 옮길 수 있어 세세한 수준까지 통신 비용을 최적화하는데 도움이 된다.

그러나 7계층 트래픽 검사에 일정 수준의 성능 오버헤드가 수반될 수 있으며, 각 애플리케이션의 정책을 정의하는 데도 시간과 노력을 들여야 한다. 아리아카 네트웍스(Aryaka Networks)의 CTO 아쉬와스 나가라즈는 애플리케이션 인식 라우팅이 생각만큼 보급되어 있지 않다고 진단하며, 하지만 애플리케이션 인식 라우팅이 상당한 성능 및 비용 이점을 제공할 수 있다고 강조했다.

5. 프로그램 API(Programmatic APIs)
시스코 메라키(Cisco Meraki)의 제품 관리 책임자 라비브 레비에 따르면, API를 사용하면 기업이 SD-WAN 라이프사이클을 통털어 기능성을 조정 및 자동화할 수 있다. 현재 잘 활용되지 않는 기능이지만 IT 임원들이 API를 통해 “대형 조직이 이전과는 달리 네트워크를 소유하고 통제할 수 있다”는 사실을 이해하기 시작했기 때문에 관심이 증가하고 있다.

API를 통해 기업은 SD-WAN 장비 구성을 맞춤 설정하고 자동화하고 언제든지 구성을 대규모로 변경할 수 있다. 이를 통해 실시간 트래픽 최적화 및 장기적인 인프라 모니터링 및 관리가 가능해진다. 또 API를 통해 기업은 문제 추적 시스템 프로세스를 자동화하고 WAN 성능 데이터를 수집할 수 있다. 예를 들어, 기업은 API를 활용하여 장비가 기본 설정에서 호출되는 것보다 더욱 빈번한 폴링을 수행하도록 프로그래밍할 수 있다.

레비는 사용자 그룹 관리, 감사 로그 확인, 장치 인벤토리 수집, 실시간 모니터링 수행, 네트워크 장치 문제 해결 등의 기능에 도움이 될 수 있는 데이터를 자동으로 수집하는 것도 API를 통해 가능하다고 전했다.

 

6. 최적화된 클라우드 연결성
지사 트래픽을 데이터센터가 아닌 클라우드에 직접 연결하는 기능은 SD-WAN의 핵심 이점 중 하나이다. 하지만 많은 경우에 네트워크 관리자는 최종 사용자와 클라우드 SaaS 애플리케이션 사이의 네트워크 성능 특성에 대한 가시성을 확보하기 어렵다.  

하지만 이제 시스코 빕텔라(Cisco Viptela)의 COR(Cloud OnRamp)처럼 프로그램 API를 사용하여 SaaS 애플리케이션의 성능을 측정하거나 아마존 웹 서비스 및 마이크로소프트 애저에서 IaaS 서비스로 이전할 수 있는 기능을 제공하는 솔루션이 등장하고 있다. 

이 밖에 IaaS의 경우 클라우드 서비스 제공자의 도메인 안에 있는 SD-WAN 라우터의 가상 인스턴스가 앱의 성능을 측정하여 네트워크 관리자에게 이전에는 불가능했던 애플리케이션 성능에 대한 가시성을 제공할 수 있다. 

SaaS의 경우, SD-WAN 장비가 존재하는 가장 가까운 SaaS 지점에 연결하고 실시간으로 결정하여 성능이 가장 높은 경로를 선택하는 것도 가능하다. 시스코의 제품 관리, SD-WAN, 기업 라우팅 책임자 로한 그로버는 최종 사용자가 오피스 365 같은 인기 생산성 앱에서 40%의 성능 향상을 경험할 수 있다고 말했다.

7. 데이터 분석
잘 활용되지 않는 SD-WAN 시스템의 또 다른 기능은 데이터 분석을 이용하여 네트워크 성능 문제를 해결하고 장기적인 네트워크 용량 계획을 수행하는 재주다. 

관리형 서비스가 있거나 DIY(Do It Yourself)로 수행하는 경우 엔드 투 엔드 WAN 연결을 아우르는 풍부한 트래픽 데이터가 생성된다. 분석을 활용하면 기업 고객, 클라우드 서비스 업체, IPS, 라스트 마일 서비스 업체 간에 발생하는 전형적인 책임전가 문제를 해결할 수 있다. 

8. 엔드 투 엔드 마이크로세그먼테이션
정책 기반으로 워크로드를 분리하는 마이크로세그먼테이션이 데이터센터 및 클라우드 환경에서 운용되는 애플리케이션 보안을 위한 접근방식으로 인기를 얻고 있다. 마이크로세그먼테이션은 기업에 동-서 트래픽(east-west traffic)에 대한 더 큰 통제력을 제공한다 또 데이터 유출이 발생하는 경우 마이크로세그먼테이션을 통해 해커에 의한 잠재적인 횡운동을 제한할 수 있다.

SDN과 NFV 같은 소프트웨어 오버레이가 등장하면서 마이크로세그먼테이션의 기반이 마련됐다. 이에 따라 마이크로세그먼테이션은 SD-WAN 오버레이의 기능으로 자연스럽게 부상했다.  뉴에이지 네트웍스(Nuage Networks)의 CEO 선일 칸데카르는 마이크로세그먼테이션의 이점이 지사 노드가 공격을 받는 경우 중앙 정책 서버가 자동으로 조치를 취하여 해당 지사를 나머지 네트워크로부터 분리할 수 있는 기능이라고 말했다.

 
9. 서비스 체인화(Service chaining)
지사 트래픽이 안전한 MPLS 링크를 통해 데이터센터로 반환되는 경우 지사에는 추가적인 네트워킹 및 보안 기능이 크게 필요하지 않았다. 하지만 이제 지사가 인터넷에 직접 연결되기 때문에 기업에 방화벽, NAT, 침입 방지 시스템 등 다양한 지사 보안 장비가 필요하다.

칸데카르가 말했듯이 기업은 서비스 체인화를 통해 지사를 정리할 수 있다. 조직은 연결형 네트워크 서비스 체인을 생성하고 보안, 지연 속도, QoS 등의 트래픽 요건에 따라 다양한 트래픽 흐름을 처리하는 방식을 자동화할 수 있다.

10. 고정형 무선 연결성(Fixed wireless connectivity)
정확히 말하면 SD-WAN 기능은 아니지만 전문가들은 지사 링크를 설치하는 기업들이 특히 배치 속도가 가장 중요한 경우 고정형 무선을 고려해야 한다고 말하곤 한다. 

지원 범위가 좁은 기업의 경우 기존 ISP에게 WAN 링크를 주문하는 것이 상대적으로 쉬울 수 있다. 하지만 전통적인 광대역이 제공되지 않는 시골에 위치한 조직이나 소매점 또는 기타 한시적인 비즈니스 위치에 신속하게 SD-WAN을 제공해야 하는 기업들은 고정형 무선 네트워크가 좋은 해답일 수 있다.

초기 SD-WAN 배치는 주로 기본적인 연결성 및 비용 절감에 집중되어 있었다. 하지만 현재 SD-WAN은 디지털 전환을 지원하는 네트워크 자동화 플랫폼으로 부상하고 있다. 이렇게 잘 활용되지 않는 기능을 배치하면 IT 조직이 비즈니스 니즈에 맞춰 WAN을 구성하는데 큰 이점을 누릴 수 있다. ciokr@idg.co.kr