VLAN 네트워크 세분화 대 SDN 네트워크 세분화
VLAN은 네트워크 세그먼트를 격리하는 최초의 방법 중 하나이며, 가장 간단한 방법 중 하나입니다.
VLAN의 작동 방식을 더 잘 이해하기 위해 보다 현대적인 형태의 네트워크 세분화 접근 방식인 소프트웨어 정의 네트워킹(SDN)과 비교해 보겠습니다.
VLAN 세분화
VLAN 세분화의 작동 방식은 다음과 같습니다.
VLAN에 연결
호스트가 VLAN 서브넷에 연결하려는 경우, 디바이스의 요청은 인터넷을 통해 라우터로 전달되고, 라우터는 요청을 분류하여 관련 스위치로 전송합니다.
포트 & 스위치
이 스위치는 해당 네트워크 세그먼트와 데이터를 주고받습니다.
어떤 사용자가 어떤 VLAN에 액세스할 수 있는지를 제어하는 것은 안전한 네트워크 세분화의 핵심입니다. 많은 조직에서 포트 또는 MAC 주소에 특정 VLAN 멤버십을 할당하여 액세스를 관리합니다. 그러면 이러한 스위치는 올바른 포트로만 데이터를 송수신하도록 허용하여 네트워크 관리자가 조직 전체에서 VLAN 액세스를 시행할 수 있도록 합니다.
VLAN 태깅
하지만 포트가 유일한 방법은 아니며, VLAN 태깅을 통해 단일 VLAN 연결도 가능합니다.
이렇게 하면 전송되는 이더넷 프레임에 작은 헤더가 추가되고, 이러한 패킷을 전송할 때 스위치는 태그를 다시 확인하여 다른 VLAN 서브넷으로 데이터가 유출되는 것을 방지합니다. 더 좋은 점은 VLAN 태그가 IP 주소와 분리된 레이어 2이기 때문에 디바이스가 서로 다른 IP 주소 범위에 있더라도 동일한 VLAN 구조에 연결할 수 있다는 것입니다.
확장성과 유연성이 뛰어나지만 스위치는 여전히 VLAN 구현에 필수적인 요소입니다. 하지만 이러한 물리적 형태의 네트워크 세분화 전략은 더 이상 유일한 옵션이 아닙니다.
소프트웨어 정의 네트워킹(SDN) 세분화
SDN은 제어 플레인을 물리적 하드웨어에서 완전히 추상화합니다. 즉, SDN은 물리적 세분화에 의존하는 대신 논리적 세분화를 사용하여 유사한 효과를 얻을 수 있습니다.
차별화
그러나 네트워크 세분화와 관련하여 중요한 차이점은 VLAN이 정적 디바이스 그룹을 물리적 서브넷으로 분할하는 방식에 있습니다, SDN은 중앙 제어판에서 네트워크 그룹, 디바이스, 워크로드의 네트워크 액세스를 관리할 수 있는 보다 광범위한 접근 방식입니다.
VLAN 세분화의 이점
전체 네트워크를 세분화하면 횡방향 또는 동서 방향의 이동을 제한할 수 있다는 점이 가장 큰 장점입니다.
이는 악의적인 공격자와 멀웨어가 조직을 공격할 때 사용할 수 있는 이동 경로를 명시적으로 제한합니다. 이 외에도 VLAN 세분화는 단순성 외에도 몇 가지 다른 이점을 제공합니다.
네트워크 성능 향상
LAN 내에서 모든 디바이스는 지속적으로 빈번하게 브로드캐스트를 전송하고, 통신하고, 네트워크 리소스를 찾습니다. LAN의 규모가 커지면 이러한 백그라운드 트래픽이 빠르게 문제가 될 수 있습니다.
VLAN은 큰 네트워크를 관련성 있는 조각으로 분할하여 네트워크 혼잡을 줄입니다.
이를 통해 VLAN은 각 디바이스가 이러한 끝없는 백그라운드 쿼리에 응답해야 하는 부담을 줄여 관련 트래픽에만 리소스를 투입할 수 있도록 합니다. 마지막으로 관리자의 관점에서 각 서브넷의 대역폭 사용량을 제한하거나 한도를 설정할 수 있어 유료 리소스 사용을 적절히 조절할 수 있습니다.
간편한 확장
조직이 단순한 LAN을 넘어 VLAN 영역으로 성장함에 따라 향후 훨씬 더 확장할 수 있는 아키텍처를 선택하는 것이 중요합니다. VLAN은 더 넓은 구조를 점검할 필요 없이 새로운 서브넷을 빠르게 설정할 수 있으므로 향후 성장에 적합합니다.
간소화된 네트워크 관리
보다 전략적인 방식으로 디바이스를 그룹화하면 네트워크 관리가 크게 간소화되는 이점을 누릴 수 있습니다. 이를 위해 VLAN 인프라는 관리 VLAN을 통해 실질적인 관리를 지원합니다. 기본적으로 VLAN 1이며 SSH, Telnet 및 syslog를 통해 각 하위 네트워크의 디바이스를 원격으로 모니터링합니다.
일반적인 LAN 아키텍처에 비해 수많은 이점이 있는 VLAN은 보다 안전한 아키텍처를 위한 첫 단계로 접근성이 높습니다.
VLAN의 단점
그러나 접근성에는 여러 가지 보안 및 성능 문제가 수반됩니다.
본질적으로 제로 트러스트가 아님
각 디바이스와 사용자가 그룹 VLAN을 사용하면 공격자가 침입하여 모든 기업 기밀에 액세스할 수 있는 위협이 줄어듭니다. 그러나 위험이 영원히 사라진 것은 아니며, VLAN 내의 모든 디바이스는 여전히 신뢰할 수 있는 것으로 간주됩니다.
즉, 공격자 입장에서는 일부 역할이 본질적으로 공격하기에 더 가치가 있다는 뜻입니다( DevOps 악의적인 관심을 받는다는 점에서 명예로운 언급이 될 만합니다).
보다 엄격한 마이크로 세분화 접근 방식과 비교할 때, VLAN의 비교적 기본적인 설계는 추가적인 툴링 없이 변화하는 세분화된 네트워크 조건과 디바이스 동작에 대응할 수 없다는 것을 의미합니다.
비범용 세분화
VLAN은 네트워크를 세분화하는 방법을 제공하는 것은 분명하지만, 단일 물리적 네트워크를 세분화한다는 점을 고려하면 대규모 조직에 대한 적합성이 떨어지기 시작합니다.
따라서 두 사무실에 각각 별도의 IT 팀과 별도의 네트워크가 있는 경우, VLAN 세분화는 두 IT 팀이 공동으로 액세스해야 하는 서브넷을 처리할 수 없습니다. 결국 VLAN은 네트워크 트래픽을 분리하기 위해 만들어졌습니다. 두 VLAN 간의 액세스를 허용하려면 본질적으로 위험이 더 높은 VLAN 간 라우팅이 필요하며 VLAN 간 액세스 제어 목록에 대한 정기적인 검토가 필요합니다.
취약성을 유발할 수 있음
VLAN 인프라가 워낙 잘 구축되어 있다는 사실은 공격자들이 수십 년 동안 이를 악용한 공격 경험을 가지고 있다는 것을 의미합니다. 따라서 관리가 조금만 잘못되어도 VLAN 호핑으로 이어질 위험이 있습니다.
VLAN 1에서 스푸핑된 트래픽은 트렁크 포트에 대한 악의적인 액세스 권한을 부여하므로 나머지 네트워크 세그먼트에 대한 액세스 권한이 부여됩니다.
체크 포인트로 미래 지향적인 토폴로지 구축
제로 트러스트는 단순한 기업 유행어가 아니라 각 디바이스를 필요한 개별 시스템과 리소스로 제한하는 보안 철학입니다. VLAN 서브넷과 같은 매크로 세분화는 이 접근 방식을 구현하기 위한 첫 번째 단계이지만 각 서브넷에 대한 추가 보호 기능을 도입하는 것이 중요합니다.
온프레미스 배포의 경우, 체크포인트의 차세대 방화벽(NGFW)은 서브넷으로 유입되는 트래픽과 요청에 대한 완전한 가시성과 제어 기능을 제공합니다. 높은 대역폭 처리량 옵션을 갖춘 NGFW의 심층 패킷 검사를 통해 악의적인 요청을 적시에 탐지하고 차단할 수 있습니다. 여기에서 데모를 통해 그 방법을 알아보세요.
반면, 클라우드 기반 설정은 CloudGuard 서비스형 인프라(IaaS)가 제공하는 네트워크 가상화 및 보안이 필요합니다. 퍼블릭, 프라이빗, 하이브리드 클라우드 전반에서 자동화된 보안을 구현하는 방법을 알아보고 지금 바로 제로 트러스트 네트워크 토폴로지를 실행하세요.
피드백