목차/06. 조직 유형별 배포 전략

06조직 유형별 배포 전략Deploying VSX - Organizational Deployment Strategies

앞 챕터가 내부망을 보호하는 기술적 방식이었다면, 이 챕터는 조직의 성격에 따라 VSX를 어떻게 배치하는지를 큰 그림으로 보여 줍니다. 즉 서로 다른 유형의 대규모 조직별로 배포 시나리오를 제시하고, VSX가 내부와 경계(perimeter) 양쪽에서 어떻게 보안을 제공하는지를 보여 줍니다. 다루는 조직은 세 가지입니다 — 대기업(Large Enterprises), 매니지드 서비스 제공업체(Managed Service Providers, MSP), 그리고 데이터센터(Data Centers).

대기업 — 코어 네트워크 보안

대기업 네트워크 환경은 보통 전 세계 여러 곳에 분산된 다양한 네트워크를 가지며, 부서와 지사마다 보안·접근 요구가 제각기 다릅니다. 그래서 사이버 보안을 중앙에서 관리하면서도 처리량(throughput)을 유지하는 것이 결정적인(critical) 요구사항이 됩니다.

많은 대기업 환경이 코어 네트워크를 중심으로 구성되는데, VSX는 코어 네트워크 백본 스위치 바로 옆에 자리 잡아 L2나 L3, 또는 둘 다로 내부망을 보호합니다. VSX는 기존 인프라를 그대로 이용해 코어 네트워크와 통신합니다.

특히 Bridge 모드의 Virtual System을 쓰면 네트워크를 분할(segmentation)하지 않으면서도 부서별 네트워크를 보호할 수 있습니다. 이 경우 스위치는 각 부서 네트워크의 입구에 놓입니다. 이렇게 VSX가 코어 네트워크와 인터넷·외부망 사이의 연결을 보장하면서 경계 보안을 제공하며, 보안은 VLAN 단위로 설정할 수 있습니다.

① 인터넷 ② 코어 백본 스위치 ③ VSX Cluster ④ 라우터 ⑤ VLAN ⑥ 멤버 1 ⑦ 멤버 2 ⑧ LAN 스위치 ⑨ 영업부 ⑩ 재무부
① 인터넷 ② 코어 백본 스위치 ③ VSX Cluster ④ 라우터 ⑤ VLAN ⑥ 멤버 1 ⑦ 멤버 2 ⑧ LAN 스위치 ⑨ 영업부 ⑩ 재무부
번호구성 요소번호구성 요소
1Internet8LAN Switches(LAN 스위치들)
2Core Network Backbone switch(코어 백본 스위치)9Sales(영업부)
3VSX Cluster10Finance(재무부)
4RouterSync Network(동기화 네트워크)
5VLANPhysical Interface(물리 인터페이스)
6Member 1(멤버 1)VLAN Trunk(VLAN 트렁크)
7Member 2(멤버 2)

동적 라우팅

대기업 네트워크가 OSPF나 BGP 같은 동적 라우팅 프로토콜을 쓰는 환경이라면, VSX는 DMZ 서비스와 VPN 피어, 도메인, 파트너 네트워크를 보호합니다. 이 예시에서는 라우팅되는 코어(routed core)에서 일어나는 BGP 이웃(neighbor) 업데이트가 애플리케이션 네트워크로 선택적으로 재분배(redistribute)되고, OSPF가 Virtual Router·Virtual System·코어 네트워크·애플리케이션 네트워크 사이의 연결을 제공합니다.

① 인터넷 ② Virtual Router들 ③ OSPF ④ Virtual System들 ⑤ Extranet ⑥ 파트너 네트워크 ⑦ BGP ⑧ OSPF 802.1q ⑨ 라우티드 코어의 BGP ⑩ DMZ
① 인터넷 ② Virtual Router들 ③ OSPF ④ Virtual System들 ⑤ Extranet ⑥ 파트너 네트워크 ⑦ BGP ⑧ OSPF 802.1q ⑨ 라우티드 코어의 BGP ⑩ DMZ
번호구성 요소번호구성 요소
1Internet6Partner Network(파트너 네트워크)
2Virtual Routers7BGP
3OSPF8OSPF 802.1q
4Virtual Systems9BGP in Routed Core(라우티드 코어의 BGP)
5Extranet10DMZ

경계 보안

경계 보안의 예를 들면, 보안은 각 VLAN마다 적용되고, OSPF와 BGP 동적 라우팅 프로토콜이 경계를 따라 여러 보안 구역(security zone)으로의 연결을 제공합니다.

① 파트너 접속 ② 고객 ③ IPsec 터널 ④ 인터넷 ⑤ 파트너 ⑥ BGP ⑦ VSX Cluster ⑧ 802.1q VLAN 트렁크 ⑨ 내부 네트워크 ⑩ DMZ
① 파트너 접속 ② 고객 ③ IPsec 터널 ④ 인터넷 ⑤ 파트너 ⑥ BGP ⑦ VSX Cluster ⑧ 802.1q VLAN 트렁크 ⑨ 내부 네트워크 ⑩ DMZ
번호구성 요소번호구성 요소
1Partner Access(파트너 접속)6BGP
2Customers(고객)7VSX Cluster
3IPsec tunnel(IPsec 터널)8802.1q VLAN Trunk
4Internet9Internal Network(내부 네트워크)
5Partner(파트너)10DMZ

이 시나리오의 특징은 다음과 같습니다.

  • 파트너는 Virtual System을 통해 원격으로 네트워크 자원에 접근합니다.
  • 각 Virtual System은 자기 요구에 맞는 자신만의 보안 정책을 갖습니다.
  • 파트너별 로그와 감사 정보가 따로 수집되어 별도의 비공개 DB에 저장됩니다.
  • 애플리케이션과 서비스는 전용 Virtual System으로 분리(segregate)됩니다.
  • 여러 개의 Virtual Router·Virtual Switch가 접근 경로(access path)를 통제합니다.

매니지드 서비스 제공업체 (MSP)

MSP는 여러 도메인 네트워크에 연결성과 보안 서비스를 제공하며, 그중 일부 도메인은 원격 접근 기능까지 필요로 합니다. 이런 서비스 중심(service oriented) 환경에서 VSX와 Multi-Domain Server는 기존 IP 토폴로지를 건드리지 않으면서 중앙 관리와 손쉬운 연결·보안을 제공합니다.

대표적인 시나리오는 서비스 제공업체의 POP(Point of Presence)에 VSX Cluster를 두는 배포입니다. VSX가 서비스 제공업체의 하드웨어를 통합하고 사용자에게 VPN으로 프라이버시와 보안 연결 솔루션을 보장하며, 이 구성은 High Availability와 Virtual System Load Sharing(VSLS) 클러스터 모드 모두에 적합합니다. VSX와 Multi-Domain Server는 여러 도메인을 위한 중앙집중식·세분화된 프로비저닝 시스템을 제공하고, 애플리케이션과 서비스는 개별 Virtual System으로 분리되며 이 서비스·애플리케이션으로의 접근은 필요(need)에 따라 허용됩니다.

① 인터넷(라우터가 클러스터 멤버와 인터넷 사이) ② VSX Cluster ③ Core IP VPN 네트워크 ④ NOC의 Multi-Domain Server ⑤ NOC의 MDS와 VSX Gateway가 만드는 Local Exchange ⑥ Domain A 웹 서버 ⑦ Domain B DMZ ⑧ Domain C 메일 서버 ⑨ PE 라우터 ⑬ 원격 접속
① 인터넷(라우터가 클러스터 멤버와 인터넷 사이) ② VSX Cluster ③ Core IP VPN 네트워크 ④ NOC의 Multi-Domain Server ⑤ NOC의 MDS와 VSX Gateway가 만드는 Local Exchange ⑥ Domain A 웹 서버 ⑦ Domain B DMZ ⑧ Domain C 메일 서버 ⑨ PE 라우터 ⑬ 원격 접속
번호구성 요소 / 설명
1Internet — 라우터들이 VSX Cluster 멤버와 인터넷 사이에 위치합니다.
2VSX Cluster — 한 멤버는 Local Exchange를 처리하고, 다른 멤버는 서로 다른 도메인의 서버 트래픽을 처리합니다.
3Core IP VPN Network(코어 IP VPN 네트워크)
4NOC(운영센터)의 Multi-Domain Server — POP를 모니터링하고 VSX Gateway에 연결됩니다. NOC의 Multi-Domain Log Server는 도메인마다 데이터를 모아 각각 별도의 비공개 DB에 로그를 저장합니다.
5NOC의 Multi-Domain Server와 VSX Gateway가 Local Exchange를 구성합니다.
6Domain A 웹 서버
7Domain B DMZ
8Domain C 메일 서버
9PE Router(PE 라우터)
10, 11, 12Domain A, B, C — 각 도메인은 자기 보안만 관리하며 Virtual System이나 다른 네트워크 구성 요소를 정의할 수 없고, 도메인 간에는 보안 VPN 연결을 갖습니다.
13Remote access(원격 접속)

데이터센터

데이터센터 사업자는 도메인의 서버·데이터베이스에 외부 호스팅 서비스를 제공하며, 보통 인프라·연결·보안을 여러 도메인에 함께 묶어 줍니다. 예컨대 다음 같은 시나리오가 가능합니다.

  • 여러 도메인 네트워크가 공통 물리 인프라를 공유합니다.
  • 백본이 각 도메인과 데이터센터 사이의 연결을 제공합니다.
  • Domain A는 자신의 웹 호스팅 서버에 연결됩니다.
  • Domain B는 자신의 메일 서버에 연결됩니다.
  • Domain C는 자신의 데이터베이스 서버에 연결됩니다.

이때 데이터센터 사업자는 사이버 보안과 관리를 위해 도메인마다 Virtual System을 하나씩 둔 VSX Gateway를 배치합니다.

① 원격 사용자 ② 인터넷 ③ VPN-1 Edge 뒤 원격 네트워크 ④ 고객 B ⑤ 고객 A ⑥ MPLS 백본 ⑦ 802.1q ⑧ VSX Gateway ⑨·⑩ 고객 A용 Virtual System ⑪ 고객 C용 Virtual System ⑫ 고객 C ⑬ 데이터센터 ⑭ 고객 A 웹 서버(각각 별도 VLAN ID) ⑮ 고객 B 메일 서버 ⑯ 고객 A Extranet ⑰ 고객 C 데이터베이스
① 원격 사용자 ② 인터넷 ③ VPN-1 Edge 뒤 원격 네트워크 ④ 고객 B ⑤ 고객 A ⑥ MPLS 백본 ⑦ 802.1q ⑧ VSX Gateway ⑨·⑩ 고객 A용 Virtual System ⑪ 고객 C용 Virtual System ⑫ 고객 C ⑬ 데이터센터 ⑭ 고객 A 웹 서버(각각 별도 VLAN ID) ⑮ 고객 B 메일 서버 ⑯ 고객 A Extranet ⑰ 고객 C 데이터베이스
번호구성 요소번호구성 요소
1Remote Users(원격 사용자)10Virtual System for Customer A
2Internet11Virtual System for Customer C
3VPN-1 Edge 뒤 원격 네트워크12Customer C(고객 C)
4Customer B(고객 B)13Data Center(데이터센터)
5Customer A(고객 A)14고객 A 웹 서버(각각 별도 VLAN ID)
6MPLS Backbone(MPLS 백본)15고객 B 메일 서버
7802.1q16Customer A Extranet
8VSX Gateway17고객 C 데이터베이스
9Virtual System for Customer A

이 시나리오는 원격 연결을 통한 네트워크 확장에 비용 효율적인 확장성 솔루션을 제공합니다. 이 예시에서는 도메인 Virtual System과 원격 네트워크를 보호하는 Check Point 어플라이언스 사이의 VPN 연결이 그 네트워크를 MPLS 코어에 통합하고, Virtual System은 간헐적으로 접속하는 원격 사용자에게 접근을 제공할 수 있습니다.

기업 내부의 데이터센터

기업 내부의 데이터센터에서도 마찬가지입니다. VSX는 Virtual System에 L2 연결을 배정해 데이터센터 안에서 물리적으로 관리해야 하는 장비 수를 줄이면서도 동일하게 높은 수준의 보안을 제공합니다. 예를 들어 VSX Gateway는 인가된 사용자가 데이터센터 자원에 접근하도록 허용합니다. 핵심 목표는 접근 권한과 보안 요구가 서로 다른 공유 자원을, 네트워크를 세분화하면서 보호하는 것입니다.

① 인터넷 ② VSX Gateway ③ VLAN 02 ④ VLAN 03 ⑤ VLAN 04 ⑥ VLAN 05 ⑦ VLAN 트렁크 ⑧ 웹 서버 VLAN 02 ⑨ 데이터베이스 VLAN 03 ⑩ 애플리케이션 A VLAN 04 ⑪ 애플리케이션 B VLAN 05
① 인터넷 ② VSX Gateway ③ VLAN 02 ④ VLAN 03 ⑤ VLAN 04 ⑥ VLAN 05 ⑦ VLAN 트렁크 ⑧ 웹 서버 VLAN 02 ⑨ 데이터베이스 VLAN 03 ⑩ 애플리케이션 A VLAN 04 ⑪ 애플리케이션 B VLAN 05
번호구성 요소번호구성 요소
1Internet7VLAN Trunk(VLAN 트렁크)
2VSX Gateway8Web Servers VLAN 02(웹 서버)
3VLAN 029Data Bases VLAN 03(데이터베이스)
4VLAN 0310Application A VLAN 04
5VLAN 0411Application B VLAN 05
6VLAN 05

예를 들어 한 Virtual System은 SQL 취약점으로부터 데이터베이스를 보호하고, 다른 Virtual System은 IPS로 웹 서버를 보호합니다. 그리고 기업 데이터센터에 새 애플리케이션이나 서비스가 추가될 때마다 그 구체적인 요구에 맞춰 새 Virtual System을 손쉽게 만들어 보호할 수 있다는 점이 이 방식의 확장성입니다.