기업의 IT 혁신을 위한 가상화 기술에 보안은 필수 보안 가상화 기술에서 방화벽은 꼭 필요한 품목이다. 왜냐하면 방화벽에 보안 가상화 기술이 구현되기 때문이다. 하나의 방화벽을 마치 가상의 복수개의 독립적인 방화벽으로 구성하기 위해서는 방화벽 자체가 우수한 성능과 유연한 구성기능을 지원해야 하며 아울러 높은 수준의 안정성을 필요로 하고 있다. 기업의 IT 혁신을 위해 가상화 네트워크 구축에 있어서 필수적인 방화벽을 이용한 가상화 구축기술과 고려사항, 그리고 LAN 스위치를 이용한 가상화 기술에 대해 알아보자.

최근 기업들은 기존의 IT 환경을 새롭게 개선하고 있다. 그중 가장 두드러지는 부분이 바로 서버 및 IT 자원을 한 곳에 집중하여 운영비용을 절감하고자 하는 차세대 데이터센터다. 이는 운영비용 절감뿐 아니라 새로운 금융 프로세스 적용시 쉽고 빠르게 적용할 수 있는 유연한 인프라를 제공할 수 있다. 이를 위해서 차세대 데이터센터에서 요구되는 몇 가지 기술적인 사항들이 있다. 
업무 프로세스가 웹 기반으로 변화되고 데이터 이외의 다양한 정보가 하나의 네트워크에 통합되면서 트래픽 증가 속도는 예상보다 빠르게 커질 전망이다. 또한 업무환경이 다양화되면서 서로 다른 서비스간에 독립적인 안정성 및 보안을 요구하고 있다. 이처럼 다양해지는 서비스와 증가하는 정보의 양을 처리하기 위해 서버와 네트워크의 물리적 개체수는 일반적으로 늘어나게 되며 이는 결국 운영의 편리성과 확장의 용이성에 부담을 주게 된다.
서버와 네트워크 자원의 개체수를 늘리지 않으면서 기업의 새로운 IT 환경을 수용하여 네트워크의 중요한 요소인 단순성을 유지하고자 하는 주요한 기술로 현재 많은 관심을 끌고 있는 부분이 바로 가상화 기술이다. 기업의 IT 혁신을 위해 가상화 네트워크 구축에 있어서 필수적인 방화벽을 이용한 가상화 구축기술과 고려사항, 그리고 LAN 스위치를 이용한 가상화 기술에 대해 알아보자.

방화벽 제품에서 제공되는 가상화 기술
보안 가상화 기술에서 방화벽은 꼭 필요한 품목이다. 왜냐하면 방화벽에 보안 가상화 기술이 구현되기 때문이다. 하나의 방화벽을 마치 가상의 복수개의 독립적인 방화벽으로 구성하기 위해서는 방화벽 자체가 우수한 성능과 유연한 구성기능을 지원해야 하며 아울러 높은 수준의 안정성을 필요로 하고 있다. 주니퍼네트웍스의 보안 제품 중 가상화 기술을 제공하는 제품은 ISG series/NS-5000 series와 같은 방화벽/VPN 제품군, 그리고 SSL VPN인 SA(Secure Access) series이다.
● 가상랜(Virtual LANs) 기술
대부분의 네트워크 장비(스위치, 라우터 등)가 기본적으로 지원하는 기능으로써 하나의 물리적 이더넷 인터페이스에 802.1Q에서 정의한 VLAN 태크 정보를 이더넷 헤더에 사용함으로써 논리적으로 여러 개의 인터페이스처럼 사용하는 기능이다. VLAN 태크 정보로 구분된 논리적인 sub-인터페이스에는 IP주소뿐 아니라 개별 보안 정책이 독립적으로 적용될 수 있다. 가상화 기술 중 물리적 계층에서 가장 필수적인 기술로써 물리적인 네트워크 구조를 단순화하고 적은 포트를 가지고도 서로 다른 많은 가입자 네트워크를 수용할 수 있다. VLAN 기술은 보안존, 가상 라우터, 가상 시스템 가상화 기술과 밀접한 관련이 있다. 
● 보안 존(Security Zones)
보안 존이란 인터페이스(또는 sub-인터페이스), IP 호스트, 서브넷 단위로 묶을 수 있는 동일한 성격을 갖는 그룹을 의미한다. 일반적으로 이러한 그룹은 Trust, Untrust 그리고 DMZ로 미리 정의되어 있으며 여기에 해당 인터페이스를 매핑하게 되어 있다. 주니퍼에서 지원하는 보안존은 이처럼 미리 정의된 보안 존 이외에 운영자가 필요시 별도의 이름의 보안 존 생성이 가능함으로써 다양한 성격의 보안 존을 구성할 수 있다. 
즉, 하나의 Trust 존 내에서도 부서별 존을 분리하여 서로 다른 보안 정책과 VPN 정책 등이 구현가능하다. 예를 들면 마케팅 존과 인터넷 존을 생성하고 해당하는 인터페이스를 존에 매핑한 후, 마케팅 존에서 인터넷 존으로는 HTTP와 FTP만을 허용하도록 하는 보안 정책 구성이 가능하다는 것이다. 
보안 존의 가장 큰 장점은 방화벽의 논리적 구성과 보안 정책 적용 및 관리가 아주 쉬어 진다는 것이다. ‘존’이라는 가상화 기술이 지원되지 않는다면 모든 개별 인터페이스 단위로 보안정책이 적용되어야 하며 신규 인터페이스 추가 및 변경때 해당 인터페이스에 보안 정책을 업데이트해야 하는 수고스러움이 따르게 된다. 또한 보안 존 사용은 구성정보의 직관적 이해를 높일 수 있으며 운영자의 실수를 최소화함으로써 안정적인 서비스 제공이 가능하다. 
● 가상 라우터(VR : Virtual Routers)
말 그대로 하나의 물리적 라우터를 여러 개의 가상 라우터들로 구성하는 기능을 의미한다. 각각의 가상 라우터는 각각 독립적인 라우팅 프로토콜을 구동하여 VR별 분리된 라우팅 테이블을 유지할 수 있다. 미리 정의한 존(예 : Trust 존과 Untrust 존)을 서로 다른 VR에 각각 분리하여 매핑함으로써 내부 네트워크 주소 정보를 외부로 노출하지 않도록 하는 부가적인 보안 기능을 지원한다. 각각의 VR별로 관리 범위를 제한함으로써 많은 VR을 사용시에도 필요한 VR에 대한 라우팅 정보만을 확인, 변경 가능하게 함으로써 운영상의 편리성이 제공한다. 하나의 존 뿐 아니라 복수개의 존은 하나의 VR에 매핑될 수 있다.
동일한 VR내에서 IP 주소 중복은 허용되지 않으나 서로 다른 VR간에는 IP 주소 중복이 가능하다. VR내에서의 라우팅은 일반적인 라우팅 테이블을 참조하여 가능하나 VR간에는 별도의 명시적인 설정을 통해서만 가능하도록 동작한다. 주니퍼 방화벽 경우에는 기본적으로 Trust-VR과 Untrust-VR이 있으며 모든 존은 Trust-VR에 포함되어 있다.
참고로 VR(Virtual Routers) 이외에 전통적인 라우터 기술에서는 LR(Logical Router)이라는 기술이 있다. 표면상으로는 유사한 기술이지만 LR은 VR에 비해서 더 엄격한 수준의 논리적인 분리를 제공한다. 일반적인 VR은 하나의 제어 프로세스가 모든 VR들에 대한 라우팅 테이블을 관리한다. 따라서 만약 해당 제어 프로세스가 문제가 있을 경우, 전체 VR이 영향을 받는다. 또한 개별 VR별 제어 프로세스를 재가동하거나 중지할 수 없다. LR은 LR별 독립적인 제어 프로세스가 구동됨으로써 제어 플레인의 안정성이 더 뛰어날 뿐 아니라 LR 간의 라우팅 정책이 물리적으로 분리된 라우터간 라우팅 정책과 동일하게 적용된다. 
분리강도 면에서 보면 물리적 라우터 분리 쭭 LR 이용한 라우터 분리 쭭 VR 이용한 라우터 분리 순이라고 볼 수 있다. LR은 하나의 라우터내 에서 많이 생성할 수 없다는 한계가 있다.
● 가상 시스템(VSYS : Virtual Systems)
지금까지 VLAN, 보안 존, VR의 가상화 기술에 대해서 살펴보았다. 하나의 방화벽 시스템에 복수개의 VR과 보안 존 그리고 VLAN 구성이 가능하다. 하지만 여전히 ‘하나의’ 방화벽 시스템이라는 한계는 존재한다. 즉 동일한 이름의 VR은 시스템당 하나밖에 생성할 수 없다. Trust-VR이라는 이름의 VR은 하나만 존재 가능하다. 만약에 서로 다른 이용자 집단이 자신만의 Trust-VR과 Untrust-VR을 유지하고 Trust-VR과 Untrust-VR간의 보안 정책을 서로 다르게 적용하기를 원할 경우, 지금까지 살펴본 가상화 기술로는 하나의 시스템에 구현하기는 어렵다. 가상 시스템 기술은 바로 이처럼 하나의 시스템을 여러 개의 가상 시스템으로 나누어 사용하는 기술이다. 앞서서 언급한 라우터의 LR과 아주 유사하다고 할 수 있다. 하나의 LR에는 여러 개의 VR을 포함할 수 있는 것처럼 하나의 VSYS에도 여러 개의 VR을 포함한다.
하나의 VSYS에는 VLAN, 보안 존, VR뿐 아니라 인증 방식, 로그 정보 관리 방식, 웹 필터링, Deep Inspection, NAT pool, 이용자 데이타 베이스 등 다양한 시스템 자원 및 구성이 독립적으로 관리된다. 시스템에 입력되는 트래픽은 그림 1 처럼 VLAN, 인터페이스, IP 주소 등에 의해 해당하는 VSYS로 분류된 후 VSYS내의 구성 정책에 의해 처리된다.
또한 각 VSYS는 독립적으로 관리 가능하다. 특정 VSYS가 과도하게 CPU 자원이나 세션 테이블을 점유함으로써 다른 VSYS에 영향을 주지 않도록 하기 위해 VSYS별 CPU 이용 제한과 세션 수 제한 기능이 필요하다.

가상화 기술 활용으로 인한 기대효과는 계열사별·고객사 별로 별도의 보안 정책을 운영하므로 보다 효율적인 보안 정책 구현이 가능하고 하나의 장비에서 다수의 계열사·고객사를 수용 가능 하므로 Green IT 구현이 가능 하고 운영·관리가 쉽다는 것이다.

스위치 제품의 가상화 기술, 버츄얼 섀시(Virtual chassis)
방화벽, L4 스위치와 같은 Session 기반장비의 가상화 기술은 하나의 물리적 네트워크 자원을 논리적으로 분할하여 마치 여러 개의 방화벽, L4 스위치를 사용할 수 있도록 하는 기술이 적용되고 있다. 그러나 최근 L2/L3 스위치에서는 반대로 물리적으로 나누어진 여러 스위치를 논리적으로 하나의 스위치로 구성하는 가상화 기술이 적용되고 있다.
L2/L3스위치에서 가상화 기술이 발전하고 적용되는 이유는 가상화 기술을 사용함으로써 네트워크를 쉽게 디자인하고 단순하게 관리할 수 있는 장점이 있기 때문이다. 이를 위해 Juniper EX4200 스위치 두 대 이상을 VCP(Virtual chassis port), 1GbE, 10GbE 인터페이스를 사용하여 연결하게 되면 하나의 논리적인 스위치로 작동하는 Virtual Chassis라는 기술을 제공하고 있다. 그럼 지금부터 Virtual chassis에 대한 구성원리, 효과 등에 대해서 알아보자.

● 구성원리
Juniper Virtual chassis는 두 대 이상의 Juniper EX4200 스위치를 전용의 VCP(Virtual chassis port)또는 1G, 10G 인터페이스를 VCCP(Juniper Virtual chassis control protocol)을 사용하여 연결하게 되면 논리적인 하나의 스위치로 작동하게 되는 것을 말한다. Virtual chassis 구성 후 각 스위치는 그 역할에 따라 주 제어부(Master Routing Engine), 부 제어부(Backup Routing Engine), 라인카드(Linecard) 등으로 나누게 된다.
주 제어부의 경우 OS(JUNOS)를 실행하며 전체 Virtual chassis를 관리하는 역할을 담당하게 되며 부 제어부는 주 제어부와 같이 OS(JUNOS)를 실행하며 주 제어부 장애 발생시 수 msec 이내에 주 제어부의 역할을 대신하는 백업으로서의 역할을 하게 된다. 라인카드는 주 제어부에서 만들어진 Forwarding Table을 라인카드로 downloading 후에 사용자로부터 패킷이 인입되면 해당 라인카드에서 바로 처리하는 분산 스위칭(Distribution switching)을 하게 된다.
Virtual chassis 기술은 여러 물리적인 네트워크 스위치를 하나의 논리적인 스위치로 연결하는 Network Virtualization의 이점 이외에 기존 섀시급에서 제공하는 고가용성을 또한 제공한다. 주요한 고가용성의 특징으로는 주, 부 제어부를 통한 제어부 이중화, 전원, 냉각 시스템 이중화 및 사용자 요구에 따라 1000 Base-T Port 또는 1000base-X(fiber) Port를 각각 최대 480port, 240port를 추가 구성 할 수 있는 고 가용성을 제공한다.
또한 주 제어부 장애 발생시 수 msec 이내에 부 제어부가 주 제어부의 역할을 대신하는 백업기능을 제공하게 되는데 이렇게 주, 부제어부 사이의 빠른 복구 시간을 제공할 수 있는 것은 평상시 주 제어부 및 부 제어부 사이에 GRES(Graceful RE switchover)을 통하여 주, 부 제어부간 configuration files, forwarding table, protocol states를 실시간으로 동기화 하기 때문에 가능하다.
이와 같이 Juniper Virtual chassis 기술은 Network Virtualization이외에 섀시급 스위치에서 제공되는 고가용성을 또한 제공하고 있다.

● 구성 효과
Juniper virtual chassis를 구성함으로써 많은 장점이 있지만 크게 3가지로 효과를 요약해 볼 수 있다. 첫째 관리의 단순성으로 인한 OPEX(운영비용)이며 둘째는 Green IT 적용으로 인한 비용절감 효과, 셋째 단순한 네트워크 디자인이 가능해 진다.
첫째, virtual chassis 구성 이전에는 각각의 고정형(standalone)스위치로 작동하기 때문에 각 장비마다 OS를 별도로 운영하며 Configuration file을 또한 별도로 관리하게 된다. 또한 장비마다 하나의 관리인터페이스에 하나의 IP를 할당하게 되어 수많은 네트워크 장비를 관리하게 된다. 그러나 Virtual chassis을 구성하게 되면 최대 10대까지 단일 시스템으로 구성하여 단일 관리 인터페이스(virtual chassis management interface), 단일 OS(JUNOS)를 사용하게 되며 하나의 Configuration file을 관리하게 된다. 이렇게 네트워크에서 관리되는 전체 장비 및 복잡성을 감소시켜 줌으로써 네트워크 운영에 소요되는 재정 및 인적 자원이 줄어들어 직접적인 OPEX 절감 효과를 얻게 된다.
둘째, OPEX 절감 효과 이외에 Juniper Virtual chassis는 고도의 효율성과 확장성 있는 설계로 인해 기존 섀시급에서 제공하던 것과 비교하여 전력, 냉각, 필요공간면에서 70% 이상의 비용절감 효과 및 친환경적인 솔루션을 제공한다.
셋째, Virtual chassis기술은 기존 전통적인 네트워크 디자인의 설계 부분을 획기적으로 단순화 할 수 있다. 기존 네트워크의 스위치 구성은 계층에 따라 백본 스위치와 액세스 스위치로 구분되며 백본 스위치는 대부분 물리적으로 이중화 구성을 하고 물리적인 장비 이중화 사이에 VRRP(Virtual Router Redundancy Protocol)를 구성하게 된다. 백본 스위치와 액세스 스위치 간에는 회선 이중화와 함께 Layer2 네트워크의 필요악인 STP(Spanning tree protocol)를 사용하여 구성하게 된다. 이와 같이 전통적인 스위치 네트워크 디자인은 매우 복잡하며 백본 스위치 장애 시 관리자에게 많은 장애 점검 포인트 및 복잡함을 제공하게 된다.
이러한 전통적인 네트워크 설계에 반하여 Virtual chassis기술을 적용하게 되면 위의 VRRP, STP를 제거하며 백본 스위치와 액세스 스위치간에 대역폭(bandwidth)을 확장할 수 있는 솔루션을 제공한다. 이러한 설계가 가능한 이유는 물리적인 두개의 백본 스위치가 하나의 스위치로 작동 및 타 장비로부터 인식됨으로써 이중화를 위해 사용되었던 VRRP, STP 등이 제거 할 수 있게 되었기 때문이다. 

가상화 기술 활용의 기대효과
● 단순한 관리를 통한 OPEX 절감 효과
여러 물리적인 스위치를 하나의 논리적인 스위치로 관리함으로써 네트워크 관리 장비를 줄여 운영비용(OPEX) 절감효과를 제공한다.
● Green IT
기존 Chassis 시스템과 비교하여 전력, 냉각시스템, 필요공간 등을 현저히 줄여 줌으로써 비용절감 및 Green IT를 실현시킬 수 있으며 친환경적인 네트워크 인프라를 구축할 수 있다.
● 단순한 네트워크 설계
기존 복잡한 네트워크 장비 이중화를 위해 필요한 구성요소를 제거함으로써 단순한 네트워크 디자인으로 인한 장애 포인트 감소 및 관리 부담을 줄 일수 있다.

또한 Juniper Virtual chassis 기술은 대용량 스위치인 EX8200에도 적용되고 있어서 대형 네트워크 코어 및 데이터 센터 백본에서 단순한 관리, 설계, Green IT로 인한 투자비용(CAPEX), 운영비용(OPEX)를 줄여줌으로써 경제성 있는 네트워크 구축을 위한 필수적인 기술이다.

기업의 IT 환경이 기존의 분산된 서버팜에서 대형 데이터센터로 통합되면서 네트워크의 물리적 단순성을 유지하고자 하는 요구가 크다. 물리적 단순성에 논리적인 다양성을 지원하기 위해서는 가상화 기술의 도입이 필수적이며 이는 네트워크의 구축 및 운영비용을 절감할 수 있는 가장 효과적인 기술이다. 향후에도 고객의 요구 조건에 맞게 가상화 기능을 강화해 나가 고객의 네트워크 인프라의 경제성을 높일 예정이다. 하지만 가상화 기술 및 제품 선택시 무엇보다 신중해야 한다. 특히 가상화 기술이 지원되는 장비 선정시에는 더욱 신중해야 한다. 기능, 성능, 안정성 그리고 관리의 용이성에 대한 면밀한 검토가 필요하다. 자칫 잘못된 선택으로 오히려 복잡하고 문제점 많은 네트워크로 전락할지도 모른다.
<글 : 김성로 주니퍼네트웍스 엔터프라이즈 사업부 기술팀장·이사(skim@juniper.net)>

[월간 정보보호21c 통권 제107호 (info@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>