SD-WAN SD-WAN이란?
SD-WAN 설명
기존 아키텍처에서는 지사/지점에서 데이터 센터로 트래픽을 라우팅하기 위해 MPLS 링크를 사용하는 경우가 많습니다. 이러한 아키텍처는 비용이 많이 들고 유연성이 부족하며 클라우드 중심 조직의 동적 트래픽 패턴과 애플리케이션 성능 요구 사항에 최적화되어 있지 않습니다. 보안 검사를 위해 지사/지점 사무실의 트래픽을 데이터 센터로 백홀링하는 기존의 모델은 대기 시간 증가로 이어져 결국 애플리케이션 성능이 저하되므로 더 이상 최적의 솔루션이 아닙니다.
SD‑WAN은 터널 본딩, 최적 경로 선택, 전달 오류 수정, WAN 최적화와 같은 여러 기술을 활용하여 일관된 애플리케이션 성능과 복원력을 보장합니다. 또한 비즈니스 인텐트에 따라 애플리케이션 중심 방식으로 트래픽 조정을 자동화하고 내장된 보안 기능으로 네트워크 보안을 강화하며 WAN 아키텍처를 간소화합니다.
SD-WAN 아키텍처
일반적인 SD-WAN 아키텍처에는 다음과 같은 세 가지 주요 구성요소가 포함됩니다.
- 엣지 장치: 지사/지점 사이트, 데이터 센터 및 클라우드 위치에 배포되는 물리적 또는 가상 어플라이언스로, 정책에 따라 트래픽을 전달하고 링크 상태를 실시간으로 측정하는 역할을 합니다.
- SD-WAN 오케스트레이터: 클라우드 호스팅 또는 온프레미스 플랫폼은 모든 SD-WAN 노드에서 구성, 정책, 모니터링을 관리합니다. 오케스트레이터는 단일 창 관리 인터페이스를 제공하여 운영을 간소화합니다.
- 전송 레이어: SD-WAN은 광대역 인터넷, LTE, 5G, MPLS 등 모든 IP 기반 전송 레이어에서 작동합니다. 이 레이어는 언더레이 네트워크를 형성하는 반면, SD-WAN은 동적 경로 선택 및 장애 조치 기능을 갖춘 지능형 오버레이 네트워크를 생성합니다.
- 고급 SD-WAN 아키텍처에는 WAN 최적화 기능(예: TCP 가속, 데이터 중복 제거), 직접 클라우드 연결, 내장된 보안 제어, SSE(보안 서비스 엣지) 플랫폼과의 통합 기능도 포함될 수 있습니다.
SD-WAN의 작동 방식
SD-WAN과 달리 기존의 라우터 중심 모델은 네트워크의 모든 장치에 제어 기능을 분산하고 TCP/IP 주소와 ACL을 바탕으로 트래픽을 단순하게 라우팅합니다. 이러한 기존 모델은 경직되고 복잡하며 비효율적이고 클라우드 친화적이지 않아 사용자 체감 만족도가 낮습니다.
SD-WAN은 사용 가능한 모든 네트워크 링크의 성능을 지속적으로 평가하고 실시간 상황과 비즈니스 정책에 따라 트래픽을 지능적으로 라우팅하는 방식으로 작동합니다. 예를 들어 우선순위가 낮은 소프트웨어 업데이트보다 VoIP 통화를 우선시하거나, 광대역을 통해 대량 트래픽을 라우팅하면서 안전한 MPLS 링크를 통해 민감한 데이터를 전송할 수 있습니다.
주요 메커니즘은 다음과 같습니다.
- 애플리케이션 인식 라우팅: 첫 번째 패킷에서 애플리케이션을 식별하고 QoS(서비스 품질) 규칙을 적용하여 성능과 안정성을 보장합니다.
- 동적 경로 선택: 대기 시간, 지터, 패킷 손실과 같은 링크 메트릭을 기반으로 각 애플리케이션 흐름에 대한 최적의 경로를 선택합니다.
- 전달 오류 수정: 패킷 손실을 수정하고 신뢰할 수 없는 연결에서 발생하는 성능 문제를 해결하여 링크 품질을 개선합니다.
- 터널 본딩: 여러 WAN 링크를 단일 논리적 연결로 결합하여 처리량과 복원력을 높입니다.
트래픽은 기밀성과 무결성을 보장하기 위해 보안 터널(일반적으로 IPsec)에 캡슐화되며, 공용 네트워크에서도 마찬가지입니다. 또한 고급 보안 SD-WAN은 사용자, 애플리케이션 또는 장치 역할에 따른 트래픽 세분화를 지원하여 측면 이동을 방지하고 보안 경계를 유지합니다.
SD-WAN을 사용해야 하는 이유
시대가 변함에 따라 기업은 클라우드를 사용하고 SaaS(software-as-a-service)를 구독하게 되었습니다. 과거에 사용자는 비즈니스 애플리케이션에 액세스하기 위해 기업의 데이터 센터에 연결했지만 이제는 동일한 애플리케이션을 클라우드에서 액세스하는 방법이 더 유리합니다.
그 결과 기존의 WAN은 클라우드로 향하는 트래픽을 포함한 모든 트래픽을 지사/지점에서 본사로 백홀링하는 과정에서 대기 시간이 발생하고 애플리케이션 성능이 저하되기 때문에 더 이상 적합하지 않습니다. SD-WAN을 통해 WAN 간소화, 비용 절감, 대역폭 효율성과 함께 원활하게 클라우드를 활용할 수 있으며 보안 및 데이터 개인 정보 보호를 유지하면서 특히 크리티컬 애플리케이션을 위한 우수한 애플리케이션 성능을 지원할 수 있습니다. 애플리케이션 성능이 향상되면 비즈니스 생산성, 고객 만족도뿐 아니라 궁극적으로 수익성도 개선됩니다. 일관된 보안으로 비즈니스 위험도 감소합니다.
SD-WAN의 이점
- 성능 향상: 최적의 경로를 통해 애플리케이션을 라우팅하고 데이터 센터로의 백홀링을 제거합니다.
- 보안 강화: 많은 SD-WAN 솔루션에 암호화, 방화벽, 고급 보안 기능이 포함되어 있습니다. 이러한 솔루션은 SSE와 긴밀하게 통합하여 SASE 아키텍처를 형성합니다.
- 클라우드 중심: 지사/지점 위치에서 클라우드 액세스를 최적화하고 보호합니다.
- 비용 절감: 저렴한 인터넷 링크를 활용하여 비용이 많이 드는 MPLS 회로에 대한 의존도를 줄입니다.
- 관리 간소화: 중앙 집중식 제어를 통해 더 쉽게 네트워크를 구성하고 모니터링할 수 있습니다.
기본 SD-WAN 및 비즈니스 중심 보안 SD-WAN 비교
- 동일하지 않은 SD-WAN: 많은 SD-WAN 솔루션이 기본 SD-WAN 솔루션이거나 '그저 괜찮은' 솔루션에 머물고 있습니다. 이러한 솔루션은 안전한 네트워크 경험을 보장하고 강력한 SASE 아키텍처를 구축하는 데 필요한 인텔리전스, 보안, 성능, 규모가 부족합니다. 또한 빠르고 안전한 고성능 네트워크 없이는 엔터프라이즈 디지털 트랜스포메이션 및 사이버 보안 이니셔티브가 지연될 수 있습니다. 그렇다면 안전한 비즈니스 중심의 보안 SD-WAN은 무엇이며 기본 SD-WAN으로 충분하지 않은 이유는 무엇인가요?
- 일관된 QoE(경험 품질): 고급 SD-WAN 솔루션의 주요 이점은 다양한 형태의 WAN 전송 방식을 동시에 활발하게 사용할 수 있다는 것입니다. 기본 솔루션은 애플리케이션 기반 트래픽을 단일 경로로 유도할 수 있으며 해당 경로에 문제가 있거나 성능이 떨어지는 경우 더 우수한 링크로 동적으로 리디렉션할 수 있습니다. 그러나 많은 기본 솔루션에서 중단 시 수십 초 이상의 장애 조치 시간이 발생하며 이 과정에서 종종 애플리케이션이 중단되면서 골치 아픈 결과로 이어집니다. 비즈니스 중심 SD-WAN은 모든 언더레이 전송 서비스를 지능적으로 모니터링하고 관리하며 패킷 손실, 대기 시간, 지터 문제를 극복하여 WAN 전송 서비스가 어려운 경우에도 사용자에게 최고 수준의 애플리케이션 성능과 QoEx를 제공할 수 있습니다. 기본 SD-WAN과 달리 비즈니스 중심 SD-WAN은 전체 전송 중단을 원활하게 처리하고 음성과 비디오 통신 등 비즈니스 크리티컬 애플리케이션을 중단시키지 않는 1초 미만의 장애 조치를 수행합니다. 또한 네트워크의 변화에 지속적으로 적응하면서 네트워크 정체, 절전, 전송 중단 상황 등 애플리케이션 성능에 영향을 줄 수 있는 모든 변화에 실시간으로 자동 대응합니다.
- 내장된 보안: 안전한 비즈니스 중심 보안 SD-WAN은 지사/지점 위치를 효과적으로 보호하기 위해 차세대 방화벽을 포함합니다. 주요 기능으로는 침입 탐지 및 방지(IDS/IPS)와 엔드 투 엔드 세분화가 있습니다. 다른 고급 SD-WAN은 조직을 DDoS 공격으로부터 보호할 수 있습니다. 차세대 방화벽의 통합으로 조직은 레거시 지사/지점의 방화벽을 손쉽게 대체할 수 있어 하드웨어 점유 면적이 감소합니다. 또한 보안 정책이 중앙에서 관리되어 현지에 전문 IT 인력이 필요하지 않으며 구성 오류를 방지할 수 있습니다.
- 역할 기반 세분화: 기본 SD-WAN은 VPN 서비스와 기능이 비슷하지만 비즈니스 중심 보안 SD-WAN은 더 포괄적인 엔드 투 엔드 역할 기반 세분화를 지원합니다. 고급 보안 SD-WAN은 사용자 및 장치의 ID와 역할 기반 정책을 추가하여 정교한 세분화를 제공하고 제로 트러스트를 적용할 수 있습니다. 그런 다음 보안 SD-WAN이 LAN부터 WAN까지 사용자, 장치, 애플리케이션 그룹 및 가상 오버레이의 조합에서 엔드 투 엔드 영역을 생성하고 모든 원격 사이트에 보안 정책을 전파합니다. 최소 권한 액세스 원칙에 따라 사용자와 IoT 장치가 비즈니스의 역할과 일치하는 대상과만 통신하도록 하여 무단 액세스가 줄고 사고의 범위가 제한됩니다.
- 멀티클라우드 네트워킹: 고급 SD-WAN을 AWS, Azure, Google Cloud와 같은 퍼블릭 클라우드에 배포하고 SD-WAN의 모든 이점을 활용하여 지사/지점 위치와 클라우드 간 연결을 최적화할 수 있습니다. 정전 또는 정전이 발생해도 나머지 링크에서 트래픽을 계속 전송하므로 사용자는 음성 통화, 음성 및 화상 회의 또는 다른 애플리케이션의 중단을 눈치채지 못합니다. 지사/지점과 퍼블릭 클라우드 사이의 견고한 첫 번째 구간에서 향상된 네트워크 성능, 안정성, 품질을 제공합니다.
- 엔터프라이즈 고객은 SD-WAN, 방화벽, 세분화, 라우팅, WAN 최적화, 가시성 및 제어 기능을 모두 중앙 집중식 관리형 단일 플랫폼으로 통합하는 안전한 비즈니스 중심 보안 SD-WAN 플랫폼으로 전환하는 것이 좋습니다.
SASE를 위한 고급 SD-WAN 기능
SASE는 SD-WAN과 SSE(보안 서비스 엣지)를 결합한 것입니다. SSE의 주요 기능에는 ZTNA(제로 트러스트 네트워크 액세스), SWG(보안 웹 게이트웨이), CASB(클라우드 액세스 보안 브로커)가 포함됩니다.
궁극적으로 SASE의 목표는 사용자가 어디서나 민감 데이터에 액세스하고 안전하지 않은 웹 사이트를 검색할 때 클라우드 중심 조직과 하이브리드 업무 환경에 보안과 성능을 제공하는 것입니다. HPE는 SASE 아키텍처를 설계하고 배포한 많은 기업들과 협력한 결과, 기본적인 SD-WAN 기능만으로는 부족하다는 사실을 알게 되었습니다. SASE의 다음과 같은 기능을 완전히 구현하려면 고급 네트워킹 및 보안 기능을 지원하는 SD-WAN이 필요합니다.
- SSE 솔루션과 원활하게 통합하고 일관된 통합 SASE 아키텍처 또는 단일 벤더 SASE 솔루션 구성
- 단일 콘솔을 사용하여 SD-WAN과 SSE 사이의 오케스트레이션을 자동화하고 관리 간소화
- 첫 번째 패킷에서 애플리케이션 트래픽을 식별하고 사전 정의된 보안 정책에 따라 SSE 솔루션으로 트래픽을 세밀하게 조정
- 자동으로 보조 클라우드 보안 적용 지점으로 장애 조치하여 애플리케이션 중단 방지
- 지사/지점에 더 가까운 새로운 위치를 사용할 수 있게 되면 클라우드 보안 적용 지점으로 보안 연결을 자동으로 재구성
HPE와 SD-WAN
HPE Aruba Networking EdgeConnect SD-WAN은 엔터프라이즈 조직을 엣지부터 클라우드까지 지점, 데이터 센터, 클라우드, SaaS 전반에 걸쳐 단일 SD-WAN 패브릭으로 연결하는 포괄적인 액세스 구축 옵션 포트폴리오를 제공합니다. 이 솔루션은 SD-WAN 패브릭에 ‘온램프’라고 하는 3가지 유형의 적합한 구축 모델을 포함하고 있어 본사, 데이터 센터, 캠퍼스, 지사/지점, 소규모 사무실, 재택근무 및 모바일 사용자가 어디서나 애플리케이션, 데이터, 서비스를 이용할 수 있도록 원활하고 안전한 고성능 네트워크 연결을 제공합니다.
- EdgeConnect SD-WAN을 통해 IT 관리자는 변화하는 비즈니스 요구 사항을 지속적으로 학습하고 이에 따라 조정하며 엣지에서 클라우드까지 최상의 네트워크 및 애플리케이션 성능을 유연하게 제공하는 고급 SD-WAN 엣지를 구성할 수 있습니다.
- EdgeConnect SD-Branch를 사용하면 IT 관리자가 중앙 집중식 클라우드 관리에 기반한 통합 보안 및 온보드 LTE 지원을 통해 지사/지점 네트워킹 구성 요소를 통합하여 WLAN, LAN, SD-WAN 전반에 걸쳐 통합을 극대화할 수 있습니다.
- EdgeConnect Microbranch는 소규모 사무실이나 재택근무 사이트에 적합합니다. 가장 크기가 작은 옵션으로, 다양한 HPE Aruba Networking RAP(원격 액세스 포인트)를 이용해 기업 엔터프라이즈 네트워크에 대한 보안 WAN 연결을 지원하고 클라우드 제공 보안 서비스와의 자동 통합을 제공합니다.
HPE Aruba Networking EdgeConnect SD-WAN은 분산된 기업 전반에서 최신 연결성과 보안 과제를 해결하는 포괄적인 솔루션을 제공합니다. 또한 터널 본딩, 비즈니스 인텐트 오버레이, 경로 조건화, WAN 최적화 기술을 통해 성능을 개선하고 비용을 절감해 줍니다. 이러한 기능은 MPLS, 광대역, 5G와 같은 하이브리드 WAN 링크에서 안정적이고 우수한 애플리케이션 성능을 보장합니다.
클라우드 기반 환경에서는 애플리케이션 트래픽을 AWS, Azure, Oracle Cloud, Google Cloud 등의 클라우드 공급자에 지능적으로 직접 라우팅하여 효율성과 사용자 경험을 개선합니다.
차세대 방화벽 기능, IDS/IPS, 적응형 DDoS 보호, 역할 기반 세분화를 통해 보안이 내장되어 있으며 이 모든 것이 중앙에서 관리됩니다. SWG(보안 웹 게이트웨이)를 통합하면 관리되지 않는 장치에 대한 웹 기반 위협으로부터 보호하는 기능이 확장되며 에이전트가 필요하지 않습니다. 또한 HPE Aruba Networking ClearPass 통합을 통해 IoT 보안이 강화되어 ID 및 역할에 따른 동적 세분화가 가능합니다.
SASE의 기반으로서 이 솔루션은 ZTNA, SWG, CASB 및 기타 보안 기능을 지원하는 클라우드 네이티브 SSE 솔루션인 HPE Aruba Networking SSE와 긴밀하게 통합되거나 여러 타사 SSE와 통합되어 기존 보안 에코시스템에 통합됩니다.
