네트워크 인프라의 과제
클라우드로의 마이그레이션에 관한 고려 사항
마이그레이션이 한 번에 이루어지는 경우는 드뭅니다. 하나의 클라우드 공급자를 채택할 수 있는 조직도 없지는 않지만, 퍼블릭 클라우드, 프라이빗 클라우드, 온프레미스 인프라를 조합하여 사용하는 형태가 훨씬 많습니다.
다차원적 인프라를 유지해야 하는 이유는 다양합니다. 하지만 인프라를 지원하는 네트워킹에 대해서는 이렇게 말할 수 없습니다.
보안, 예: 방화벽, DDoS 완화, 사용자 액세스 관리 등
성능 및 안정성, 예: 로드 밸런싱, 트래픽 가속, WAN 최적화 등
역설적이긴 하지만, 복잡한 클라우드 환경을 보호하고 가속화하는 하이브리드 접근법에서는 실제로 성능 문제, 보안 격차, 지원 문제 등이 발생합니다. IT 및 보안 팀은 이러한 문제를 방지하기 위해 이러한 네트워킹 기능이 최대로 원활하게 작동할 수 있는 방법을 찾아야 합니다.
보안 및 성능 인프라 - 모델 및 공통 과제
하이브리드 클라우드 및 멀티 클라우드 인프라의 보안 및 가속화에는 일반적으로 다음 중 하나 이상이 필요합니다.
온프레미스 하드웨어 장비
클라우드에 제공되는 다수의 포인트 솔루션
안타깝게도 이 두 접근 방식 모두 상당한 문제가 있습니다.
온프레미스 하드웨어 장비의 문제점
데이터 센터 하드웨어는 비용이 많이 들고 시간 소모가 많다는 것은 상식입니다. 용량 제한에 직면하기도 합니다. 예를 들어, Cloudflare의 보고에 따르면, 2021년 4분기의 모든 L3/4 DDoS 공격 중 98%가 초당 100만 패킷(pps)을 전송했습니다. 일반적으로 1Gbps Ethernet 인터페이스는 80kpps~1.5Mpps를 전송할 수 있습니다.
이 인터페이스가 합법적인 트래픽도 처리한다고 가정하면 이렇게 패킷 전송률이 ‘작은’ DDoS 공격도 인터넷 자산을 쉽게 무너뜨릴 수 있습니다. 대안은 최악의 경우에 대비해 충분한 용량을 유지하는 것이지만, 이는 비용이 엄청난 대안입니다.
하드웨어가 많아지면 보안 격차도 커집니다. 패치 및 업데이트가 그 예입니다. 패치는 수동으로 적용해야 하며, 물류적인 문제가 있거나 담당자가 잊어버리게 되어 즉시 설치하지 않는 경우도 있게 됩니다. 패치가 배포되면 해당 취약성이 기회를 노리는 공격자의 주요 표적이 되기도 합니다.
나아가 하이브리드 클라우드 방식으로 배포된 경우에도 네트워크 하드웨어 장비가 보안 격차를 만들 수 있습니다. 타사인 클라우드 공급자에게 자신의 하드웨어를 설치하는 것이 불가능한 것은 명백합니다. 따라서 다양한 인프라를 각각 다른 방식으로 보호해야 하며 보안 및 IT팀은 유입되는 공격과 합법적인 트래픽에 대한 가시성과 통제력이 줄어들게 됩니다.
특정 클라우드 기반 솔루션과 관련된 문제
클라우드 기반 서비스는 하드웨어보다 총소유 비용이 낮지만, 잘못 배포되면 응용 프로그램 및 네트워크 성능이 저하될 수 있습니다. 예를 들어, 클라우드 공급자 중에는 제한된 수의 전문 데이터 센터(스크러빙 센터)를 통해 DDoS를 완화하는 경우가 많습니다. 따라서 클라우드의 고객 또는 이들의 사용자가 이들 데이터 센터와 멀리 있다면 트래픽이 먼 거리를 여행해야 하며 이는 최종 목적지가 가까운 경우라도 예외가 아닙니다.
이러한 백홀 프로세스로 대기 시간이 크게 늘어나기도 합니다. 이 문제는 조직이 다양한 네트워크 기능에 대해 여러 공급자를 사용할 때 악화됩니다. 트래픽이 공급자와 공급자 사이를 호핑해야 할 때 수백 밀리초의 대기 시간이 발생하기 때문입니다.
기능별로 다른 공급자를 사용하면 지원 문제도 발생합니다. 문제가 발생했을 때 정체나 중단 원인이 어느 공급자에게 있는지 파악하기 힘들기 때문입니다. 또한, 이러한 공급자를 모두 관리하는 데 필요한 시간(및 비용)은 여전히 높을 수 있습니다.
이러한 문제를 해결하는 방법
분산 클라우드 네트워크로 보안 격차를 없애고 대기 시간 감축
앞에서 언급한 클라우드 인프라 보호 및 가속화 전략에는 몇 가지 공통된 약점이 있습니다.
성능 문제: 하드웨어는 용량이 제한되고 클라우드 기반 서비스는 대기 시간을 유발할 수 있습니다. 특히 트래픽이 다수의 서비스를 위해 다수의 클라우드 네트워크를 통과할 때 특히 대기 시간이 큽니다.
제어 및 모니터링의 비일관성: 서로 다른 네트워킹 기능에 별도의 서비스를 사용하면 일관된 규칙을 적용하고 글로벌 트래픽을 모니터링하기 어렵습니다.
지원: 별도의 서비스를 사용하기 때문에 문제가 발생한 위치를 쉽게 진단할 수 없습니다.
이러한 모든 문제에 대한 솔루션은 통합 및 세계적 범위를 통해 이들 네트워킹 기능이 전세계적으로 최대로 원활하게 작동하게 하는 것입니다.
이는 실제에 적용하려면 분산 클라우드 네트워크를 사용해야 합니다. 분산 클라우드 네트워크는 다음 속성을 갖는 네트워크입니다.
전세계에 분산되어 있는 많은 위치. 이는 최종 사용자가 네트워크에 가깝다는 뜻이며 따라서 원거리 스크러빙 센터, VPN 서버, 기타 서비스 간에 오가는 트래픽의 대기 시간이 줄어듭니다.
모든 지점에서 다수의 보안 및 성능 기능을 수행하는 역량. 이는 하나의 데이터 센터 내에서 트래픽을 스크러빙, 라우팅, 가속화할 수 있음을 의미하며 따라서 기능마다 다른 위치로 옮겨다니지 않아도 됩니다. 중복성도 만들어집니다. 하나의 데이터 센터에 과부하가 걸리는 등의 이유로 작동 중지되면 다른 데이터 센터가 즉시 인계할 수 있습니다.
클라우드 및 온프레미스 인프라와 함께 가동할 수 있는 역량. 앞의 역량과 이 역량이 결합하면 IT와 보안팀은 일관된 제어 체계를 수립하고 한 곳에서 전체 트래픽을 모니터링할 수 있습니다.
분산 클라우드 네트워크는 수신 요청이 다양한 위치("노드")로 라우팅되도록 하는 네트워크 주소 지정 및 라우팅 방법인 Anycast에 의존하는 경우가 많습니다. Anycast는 그러한 네트워크에서 유입 트래픽을 효과적으로 처리할 수 있는 용량이 있는 가장 가까운 데이터 센터로 보내도록 합니다. 이는 최종 사용자의 대기 시간을 줄이는 데 중요한 요소입니다.
이러한 상호 연결, 지능형 라우팅, 중복성 등을 통해 클라우드 마이그레이션 과정에서 제어의 비일관성, 대기 시간, 지원 문제 등의 문제가 발생할 가능성이 크게 낮아집니다.
Cloudflare의 분산 클라우드 네트워크는 125여 개국에 위치한 330개 이상의 도시에 데이터 센터가 있으며, 모든 데이터 센터가 방화벽 규칙 시행, DDoS 공격 완화, 트래픽의 부하 분산, 콘텐츠 캐싱 등을 통해 무엇보다도 사용자에게 빠른 전송이 가능합니다.
이 글은 오늘날의 기술 의사 결정자에 영향을 주는 최신 동향 및 주제에 대한 시리즈 중 일부입니다.
핵심 사항
이 글을 읽고 나면 다음을 이해할 수 있습니다.
다차원적 인프라의 장단점
클라우드를 통해 제공되는 온프레미스 하드웨어 및 다중 포인트 솔루션의 과제
분산 클라우드 네트워크로 이러한 문제를 해결하는 방법