06조직 유형별 배포 전략Deploying VSX - Organizational Deployment Strategies

대기업은 보통 전 세계 여러 곳에 흩어진 다양한 네트워크를 가지며, 부서와 지사마다 보안·접근 요구가 다릅니다. 그래서 보안을 중앙에서 관리하면서도 처리 성능을 유지하는 것이 결정적인 요구사항이 됩니다.

특히 Bridge 모드의 Virtual System을 쓰면 네트워크를 분할하지 않으면서도 부서별 네트워크를 보호할 수 있어, 각 부서 입구에 스위치를 두는 구성이 가능합니다. 이렇게 VSX가 코어 네트워크와 인터넷·외부망 사이의 연결을 보장하면서 경계 보안을 제공하며, 보안은 VLAN 단위로 설정할 수 있습니다.

대기업이 OSPF나 BGP 같은 동적 라우팅 프로토콜을 쓰는 환경이라면, VSX는 DMZ 서비스와 VPN 피어, 도메인, 파트너 네트워크를 보호합니다. 예를 들어 라우팅되는 코어에서 일어나는 BGP 이웃 업데이트를 애플리케이션 네트워크로 선택적으로 재분배하고, OSPF로 Virtual Router·Virtual System·코어·애플리케이션 네트워크 사이의 연결을 제공하는 식입니다.

경계 보안 측면에서는 각 VLAN마다 보안을 적용하고, OSPF와 BGP가 경계를 따라 여러 보안 구역으로의 연결을 제공합니다. 이 시나리오에서는 파트너가 Virtual System을 통해 원격으로 네트워크 자원에 접근하는데, 각 Virtual System이 자기 요구에 맞는 보안 정책을 갖고, 파트너별 로그와 감사 정보가 따로 수집되어 별도 DB에 저장됩니다. 애플리케이션과 서비스는 전용 Virtual System으로 분리되고, 여러 Virtual Router와 Virtual Switch가 접근 경로를 통제합니다.

MSP는 여러 도메인 네트워크에 연결성과 보안 서비스를 제공하며, 일부 도메인은 원격 접근까지 필요로 합니다. 이런 서비스 중심 환경에서 VSX와 Multi-Domain Server는 기존 IP 토폴로지를 건드리지 않으면서 중앙 관리와 손쉬운 연결·보안을 제공합니다.

대표적인 시나리오는 서비스 제공업체의 POP(Point of Presence)에 VSX Cluster를 두는 것입니다. VSX가 서비스 제공업체의 하드웨어를 통합하고 사용자에게 VPN으로 프라이버시와 보안 연결을 보장하며, 이 구성은 High Availability와 VSLS 클러스터 모드 모두에 적합합니다. 애플리케이션과 서비스는 개별 Virtual System으로 분리되고 접근은 필요에 따라 허용됩니다. 운영센터(NOC)의 Multi-Domain Server가 POP를 모니터링하며 VSX Gateway에 연결되고, Multi-Domain Log Server가 도메인마다 데이터를 모아 각각 별도의 비공개 DB에 로그를 저장한다는 점이 이 모델의 특징입니다.

데이터센터 사업자는 여러 도메인의 서버와 데이터베이스에 호스팅 서비스를 제공하며, 보통 인프라·연결·보안을 함께 묶어 줍니다. 예컨대 여러 도메인 네트워크가 공통 물리 인프라를 공유하고 백본이 각 도메인과 데이터센터를 잇는 가운데, A 도메인은 웹 호스팅 서버에, B 도메인은 메일 서버에, C 도메인은 DB 서버에 연결되는 식입니다. 이때 데이터센터 사업자는 도메인마다 Virtual System을 하나씩 둔 VSX Gateway를 배치해 보안과 관리를 해결합니다.

기업 내부의 데이터센터에서도 마찬가지입니다. VSX는 Virtual System에 L2 연결을 배정해 물리적으로 관리해야 하는 장비 수를 줄이면서도 동일한 수준의 보안을 제공합니다. 핵심 목표는 접근 권한과 보안 요구가 서로 다른 공유 자원을, 망을 세분화하면서 보호하는 것입니다. 예를 들어 한 Virtual System은 SQL 취약점으로부터 데이터베이스를 보호하고, 다른 Virtual System은 IPS로 웹 서버를 보호합니다. 그리고 새 애플리케이션이나 서비스가 추가될 때마다 그 요구에 맞는 새 Virtual System을 손쉽게 만들어 보호할 수 있다는 점이 이 방식의 확장성입니다.