방화벽-7 (클라우드의 가상 방화벽 서비스)

클라우드환경에서 가상방화벽은 어떻게 사용되나요?

네트워크 장비를 하드웨어 제품으로 공급할 경우에는 하드웨어의 처리 성능에 따라 모델을 구분하여 판매하였으나, 가상화 제품의 경우 소프트웨어만 판매하기 때문에 설치되는 서버의 성능에 따라서 성능이 결정됩니다. 아래 <그림 1>와 같이 사용하는 하이퍼바이저의 종류 및 VM에 할당되는 코어의 개수와 메모리 크기에 따라 처리 성능의 차이가 보입니다.

하이퍼바이저 중에 상용제품으로 VMWare는 가상화 시장을 개척했다고 할 수 있을 정도의 오랜 업력과 높은 점유율을 차지하고 있고, 리눅스 기반의 KVM의 경우 높은 성능과 무료로 사용할 수 있는 장점 때문에 고객의 선호도가 높은 하이퍼바이저입니다.

하이퍼바이저의 종류, 동작하는 서버의 스펙에 따라 최소 9.5 Gbps에서 최대 98 Gbbps의 성능을 낼 수 있기 때문에 고객이 원하는 처리능력에 따라 적절하게 자원을 할당하고 VM을 생성 후 사용이 가능합니다. 정상적인 경우에는 처리 용량이나 사용기간에 따라 소프트웨어 라이선스를 구분해서 사용하는 것이 일반적이나, 현재까지는 가상 방화벽의 보급이 초기 단계이기 때문에 특별히 제한을 걸지 않고 사용할 수 있게 하는 벤더도 많이 있는 것으로 알고 있습니다.

< 그림 1 >  주니퍼 가상 방화벽 하이퍼바이저 및 vCPU 수량 별 성능 비교표

방화벽 관리자가 가상 방화벽을 설치할 경우에는 벤더에서 제공하는 하이퍼바이저 별로 VM 이미지 파일을 내려받아서 VM을 시작하면 초기 설치 단계로 통해 운영에 필요한 관리 IP 주소, 계정 정보 등의 초기 설정을 하게 됩니다. 가상 방화벽과 하드웨어 방화벽의 다른 점은 배포 방식밖에 없습니다. 

간혹 하드웨어 내의 특정 부품을 통해 지원되는 기능의 경우 가상장비에서는 해당 부품이 없기 때문에 지원되지 않는 기능이 종종 있기는 하지만, 이런 기능들도 조금씩 가상장비에서 지원이 가능하게 개선되고 있는 중입니다. 

이러한 가상 방화벽의 경우 일반 기업단위에서 많은 수의 VM을 사용 중일 경우 유용하게 사용할 수 있습니다. VM을 서비스 종류 별로 그룹을 묶어서 방화벽 뒤에 배치하거나, 보안이 필요한 중요 자료(인사, 회계, 제품 개발)가 저장된 VM 앞에 별도로 배치하여 사내에서도 접근을 엄격히 제한하는 용도로 사용 가능합니다.

최근에는 클라우드의 사용이 증가하면서 퍼블릭 클라우드(Public Cloud:공공 클라우드)에서도 이런 가상 방화벽을 사용할 수 있도록 서비스하고 있습니다. 대표적으로 아마존 웹서비스(AWS)의 경우 아래 <그림 2>과 같이 제공되는 VM의 하드웨어 스펙에 따라서 시간 단위 혹은 연 단위로 가격을 차등적으로 적용해서 구매 후 사용이 가능합니다.

예를 들면 c4.xlarge등급의 VM에 KVM 하이퍼바이저를 사용할 경우 대략 8 core, 7.5G 메모리를 제공하므로 39 Gbps의 처리 성능 방화벽을 시간당 0.749달러에 사용할 수 있습니다. 연 단위로 환산하면 소프트웨어 2,280달러와 하드웨어 1,743달러 합해서 4,023달러가 되며, 우리 돈으로 계산하면 대략 483만 원 정도가 필요합니다. 하드웨어의 내구연한을 7년 정도로 잡으면 3,381만 원이 필요하다는 계산이 됩니다. 현재 사용되고 있는 하드웨어 방화벽과 비교할 때 경우에 따라서 충분히 성능 대비 가격이 합리적으로 보일 수 있습니다.

< 그림 2 >  아마존 웹서비스에서 제공하는 주니퍼 가상 방화벽 시간당, 연간 가격표

웹을 통해 많은 수의 가입자 혹은 시청자, 고객을 주 대상으로 하는 서비스는 공공 클라우드로 서비스를 하기 위해 전산 자원을 이전하는 조직이 늘고 있습니다. 단 시간 내에 수요가 폭증하거나, 해외에서 접속하는 시청자가 늘어날 경우, 사내 시스템으로 짧은 시간 내에 수십 배에서 수백 배 늘린다는 것은 불가능한 것입니다. 더욱이 해외에서 서비스를 증설하는 것은 국내보다도 더 많은 시간이 필요합니다. 

최근 코로나 19 사태로 학교의 개학이 늦어지면서 온라인 수업으로 학기 운영이 대체되었습니다. 온라인 수업을 하기 위해서는 실시간 영상회의 서비스, VOD 서비스 등을 위해 다양한 서버와 네트워크 장비가 필요합니다. 학생이 접속하여 사용하는 출석체크, 채팅 서버, 화상회의 서버, VOD 스트리밍 서버, 영상자료 DB서버뿐만 아니라 여러 대의 서버의 부하 분산을 위한 L4 스위치, 서비스 포트 이외의 접근 시도를 차단하기 위한 방화벽 등이 필요합니다.

클라우드에서는 이런 서비스들을 모두 가상화 기술로 지원하고 있습니다. 기본적으로 필요한 L4 스위치, 방화벽은 클라우드 업체에서 서비스를 제공하고 있지만, 기본적인 기능만 지원하고 좀 더 다양한 기능이나 고성능을 내기 위해서는 기존의 네트워크 벤더에서 개발한 가상화 장비를 사용해야 합니다. 아래 <그림 3>과 같이 공공 클라우드에서는 여러 벤더에서 제공하는 다양한 종류의 방화벽을 제공하고 있습니다. 다양한 리뷰나 가격을 참고하거나, 관리자가 기존에 운영하거나 선호하는 벤더의 장비를 선택 후 바로 설치하여 서비스가 가능합니다.

<그림 3 >  아마존 웹서비스 장터(marketplace)에서 제공하는 다양한 가상 방화벽

이러한 가상화 기술은 클라우드 서비스가 활성화되면서 점점 보급이 확대되고 있습니다. 조직의 모든 전산 자원을 공공 클라우드로 한 번에 옮기는 것이 아니라, 하나의 파일럿 서비스를 선별하여 클라우드로 옮겨서 점진적으로 서비스 품질을 테스트를 진행하고 담당자의 클라우드 운영 경험을 높이는 방향으로 조직의 전산 자원 활용능력을 높이고 있습니다. 

아래 <그림 4>과 같이 사내에는 사설 클라우드를 운영하고 조직 바깥에서는 공공 클라우드를 운영하는 방식으로 진화하고 있습니다. 조직 내의 중요정보(인사, 재정, 회계, 기획, 고객)를 조직 외부의 공공 클라우드에서 운영하는 것에 대해 우리나라의 정서상 거부감이 큽니다. 중요 데이터가 외부, 특히나 해외의 서버에 저장될 경우 데이터 관리에 대한 여러 가지 법적, 심리적, 기술적 문제가 발생될 소지가 있기 때문에 사내 업무는 사내에 구축한 사설 클라우드를 운영하고, 대 고객 서비스 위주로 공공 클라우드를 운영하는 이원화 방식을 보통 하이브리드 클라우드라고 부릅니다.

고객 온라인 서비스에 필요한 전산 자원을 아주 짧은 시간 내에 신규 구성하고, 서비스 요청이 증가하면 자동으로 전산 자원을 증설하고, 서비스 요청이 줄어들면 전산 자원도 같이 줄어드는 기능, 서비스를 중단할 경우 아주 쉽게 전산 자원을 폐기할 수 있는 기능들은 다양한 이슈로 급변하는 현재의 비즈니스 환경에 최적화되어 있는 기술이라고 할 수 있습니다.

< 그림 4 >  하이브리드(Hybrid) 클라우드 서비스 개념도