시스코 ACI는 클라우드와 데이터센터를 위한 새로운
아키텍처로, 물리적인 제약 사항을 뛰어넘고 관리의 복잡성을 단순화하는 솔루션입니다. 시스코 IT는 현재 전세계적으로 운영하고 있는 모든 데이터센터의
물리, 가상서버를 위한 인프라로, 현재는 ACI로 전환하는 프로젝트를 진행하고 있습니다. 이 대규모 마이그레이션을
통해 IT팀이 체감하고 있는 가장 눈에 띄는 개선 사항은 바로 데이터센터의 보안이었습니다.
데이터센터의 보안이 잘 되어있으면 자동화된 보안 기능으로 보안 룰 적용에 대한 운영자의 실수는 현격히 줄이고 문제 발생시 빠른 시간 안에 감지할 수 있게 됩니다. 기존의 장비 기반의 운영 환경에서는 각 장비에 맞는 보안 룰을 셋팅하고 적용해야 하기 때문에 장비의 종류와 네트워크의 규모에 따라 복잡한 절차와 작업에 따른 많은 운영 비용이 필요했었습니다. 하지만 시스코 ACI 보안 솔루션은 공통된 모델과 정책기반 운영 모델로 이전과는 다른 효과적이고, 간편하고 유연한 환경을 제공해줍니다.
그럼 어떻게 시스코 IT가 데이터센터 보안을 개선할 수 있었는지, ACI의 주요 특징을 기반으로 소개해 드리겠습니다.
공통된 정책으로 모든 보안을 하나로 관리합니다
일반적으로 많은 기업에서는 기업에 트래픽이 유입되는 인터넷 관문에 보안 솔루션을 설치함으로써 네트워크에 대한 보안을 구성합니다. 그러나 한 곳에 솔루션이 위치 하다 보니 부하는 증가하고, 세심한 보안은 놓치게 되죠. 그래서, 최근에는 전방위 보안이라고 하여 주요 요소에 추가적인 방화벽을 설치하거나, 혹은 단말 기반의 보안 솔루션이 관심을 모으고 있습니다. 이러한 변화의 중심에는 항상 관리 이슈가 자리잡게 되는데요. 증가하는 관리 포인트를 효과적으로 모니터링하고 일관성 있는 정책을 적용하는 것이 쉽지 않기 때문입니다.
시스코 IT 역시Adaptive Security Appliance(ASA) 5585-X모델을 네트워크 관문 솔루션으로 사용하고 있고, 추가적인 보안이 필요한 곳에는 가상 방화벽인 ASAv(Adaptive Security Virtual Appliance)를 사용하고 있습니다. 각 보안 장비를 새로이 ACI에 도입하면서APIC(Application Policy Infrastructure Controller)에 연동, 구성 했습니다. 이를 통해 방화벽과 네트워크 인프라가 하나 되는 운영 모델을 확립하였고 APIC을 통해 방화벽 정책을 각 엔드포인트의 특성에 맞게 전 네트워크에 걸쳐 일관되게 적용할 수 있게 되었습니다.
“시스코 APIC은 트래픽 흐름에 따른 정책 관리를 자동화함으로써
보안 담당자가 문제 있는 트래픽 관리에 집중할 수 있도록 도와줍니다.”
- 데이빗 호(David Ho), 시스코 InfoSec 데이터센터 보안의 선임 관리자
애플리케이션 기반 보안을 제공합니다
현재는 시스코 내부 데이터센터 네트워크에 유입되는 트래픽을 관리하기 위해서 다량의 ACL (access control list)를 사용하고 있습니다. 관리 룰이 많아질 수록 많은 고민도 많아지는 방식입니다. 예를 들어, 하나의 ACL이 어마어마한 양의 엔트리로 구성되어있습니다. 각 라인을 매번 효과적으로 관리하는 것은 쉬운 일이 아닙니다. 그러다 보니 전체 보안 룰을 한 눈에 보는 것 조차도 쉽지 않은 상황이었지요.
하지만 ACI로의 마이크레이션을 통해 이러한 보안 정책에 대한 운영 이슈를 해결할 수 있었습니다. 상호 연관 관계를 기반으로 정의된 정책을 통해 시스코 데이터센터에 있는 전체 호스트들을 대상으로 효과적인 보안을 적용할 수 있게 된 것입니다. 그리고 사전에 정의하는 이 정책은 훨씬 가시적이고 효과적으로 정의할 수 있어서 현재 보안 룰과 보안 위협이나 네트워크 상황에 따라 특화된 정책으로 다양하게 구성할 수 있었습니다. 문제 발생을 인지하고 해당 문제가 발생한 호스트를 중심으로 다른 요소에 영향을 주지 않고 문제를 쉽고 효과적으로 차단할 수 있었습니다. 이러한 정책은 ACI 패브릭 전체에 자동으로 적용되어 ACL 적용 시 자주 발생했던 운영자의 실수를 줄이고 구체적인 ACL 룰을 필요로 하는 보안의 사각지대를 개선할 수 있었습니다.
“접근 제어에 대한 새로운 해법으로 시스코 IT가 제공하는 시스템을 더 안전하게 만들어주었습니다.
이를 통해 시스코 네트워크의 보안 수준과 보안에 대한 인지 상황을 한 단계 향상시켰다고 생각합니다.”
-시스코 IT, Distinguished engineer Sidney Morgan
보안 정책에 대한 효과적인 관리
데이터 보안을 유지한다는 것은 곧 데이터센터 패브릭으로 유입되는 트래픽을 관리하는 것입니다. 특히 그 트래픽이 네트워크 구성 정보, 신용 카드에 대한 정보 또는 직원에 대한 개인정보와 같은 영업적으로 예민한 정보일 경우에는 더욱 민감해집니다.
ACI환경에서는 기존 네트워크 용어가 아닌 애플리케이션 용어로 보안 정책을 관리하게 됩니다. 보안 정책은 모든 트래픽을 허용하지만, 특정 이슈 리스트를 기반으로 호스트 그룹 사이의 트래픽을 관리하고 리스트 기반으로 차단하게 됩니다. 또한 ACI는 물리, 가상 네트워크를 넘어 보안 정책을 적용하게 되는데요, 이를 통해 ACI는 전 패브릭에 걸쳐 워크로드를 기반으로 애플리케이션에 대한 보안 정책을 적용하게 됩니다. 설정된 정책은 네트워크 환경과 무관하게 전 데이터센터에 일관되게 적용되기 때문에 통해 예상하지 못한 단말의 서비스 중단이나 운영자의 실수를 최소화할 수 있습니다. 이와 같이 ACI는 정책이 적용되는 트래픽을 효과적으로 관리함으로써 사용자와 애플리케이션에 안전한 트래픽을 보장할 수 있습니다.
“정책은 현재 사용하는 애플리케이션을 기반으로 정의하게 됩니다. 지금 현재 상태의 트래픽을 통해 구성하여 애플리케이션 트래픽이 네트워크를 걸쳐 어떻게 처리되는지 관리, 운영할 수 있기 때문입니다.
이 칼럼을 SlideShare에서 다운받으실 수 있습니다!
<<클릭>> 시스코 ACI로 품격이 다른 보안을 누리세요
Cisco IT Connect 시스코 전문가들의 칼럼에 담긴 최신 IT 트렌드! 이 글은 시스코 IT팀이 공동집필한 칼럼입니다. |
