SD-WAN 설명
강력한 보안 검사를 위해 지사/지점 사무실의 트래픽을 데이터 센터로 백홀링하는 기존의 모델은 더 이상 최적이 아니며 대역폭 낭비, 대기 시간 증가로 이어져 결국 애플리케이션 성능이 저하됩니다. 엔터프라이즈 보안 관련 의무 사항을 준수하면서 인터넷을 통해 트래픽을 지사/지점 위치에서 신뢰할 수 있는 SaaS 및 클라우드 기반 애플리케이션으로 바로 전송할 수 있는 개선된 방식이 절실히 필요합니다.
SD‑WAN은 일관된 애플리케이션 성능과 복원력을 보장하고 비즈니스 인텐트에 기반한 애플리케이션 중심 방식으로 트래픽 조정을 자동화하며 네트워크 보안 강화 및 WAN 아키텍처 간소화를 지원합니다. 또한 중앙 집중식 제어 기능을 사용하여 트래픽을 WAN 전반에서 신뢰할 수 있는 SaaS 및 IaaS 공급자에게 직접 안전하고 지능적으로 조정합니다. 이를 통해 애플리케이션 성능이 향상되고 고품질의 사용자 경험을 제공하게 되어 비즈니스의 생산성 및 민첩성을 높이고 IT 비용을 줄일 수 있습니다.
SD-WAN 아키텍처
기존의 라우터에 기반한 WAN은 클라우드용으로 설계되지 않았습니다. 일반적으로 클라우드를 향한 트래픽을 포함하여 지사/지점 사무실의 모든 트래픽을 고급 보안 검사 서비스를 적용할 수 있는 허브 또는 본사의 데이터 센터로 백홀링해야 합니다. 백홀링으로 인한 지연으로 애플리케이션 성능이 저하되어 사용자 체감 만족도 감소 및 생산성 손실로 이어집니다.
기존의 라우터 중심 WAN 아키텍처와 달리 SD-WAN 모델은 최고 수준의 애플리케이션 성능을 지원하는 동시에 온프레미스 데이터 센터, 퍼블릭 또는 프라이빗 클라우드, SaaS 서비스(Salesforce.com, Workday, Dropbox, Microsoft 365 등)에서 호스팅되는 애플리케이션을 완전히 지원하도록 설계되었습니다.
SD-WAN의 작동 방식
SD-WAN과 달리 기존의 라우터 중심 모델은 네트워크의 모든 장치에 제어 기능을 분산하고 TCP/IP 주소와 ACL을 바탕으로 트래픽을 단순하게 라우팅합니다. 이러한 기존 모델은 경직되고 복잡하며 비효율적이고 클라우드 친화적이지 않아 사용자 경험이 최적화되지 않습니다.
클라우드 중심 기업은 SD-WAN을 통해 사용자에게 우수한 애플리케이션 QoEx(경험 품질)를 제공할 수 있습니다. SD-WAN은 애플리케이션을 식별하여 WAN 전반에서 지능형 애플리케이션 인식 라우팅을 제공합니다. 각 애플리케이션 클래스는 모두 비즈니스 요구에 따라 적절한 QoS 및 보안 정책을 적용받습니다. 지사/지점의 IaaS 및 SaaS 애플리케이션 트래픽에 대한 안전한 로컬 인터넷 브레이크아웃을 통해 엔터프라이즈를 위협으로부터 보호하면서 최고 수준의 클라우드 성능을 제공합니다.
SD-WAN을 사용해야 하는 이유
시대가 변함에 따라 기업은 클라우드를 사용하고 SaaS(software-as-a-service)를 구독하게 되었습니다. 과거에 사용자는 비즈니스 애플리케이션에 액세스하기 위해 기업의 데이터 센터에 연결했지만 이제는 동일한 애플리케이션을 클라우드에서 액세스하는 방법이 더 유리합니다.
그 결과 기존의 WAN은 클라우드로 향하는 트래픽을 포함한 모든 트래픽을 지사/지점에서 본사로 백홀링하는 과정에서 대기 시간이 발생하고 애플리케이션 성능이 저하되기 때문에 더 이상 적합하지 않습니다. SD-WAN을 통해 WAN 간소화, 비용 절감, 대역폭 효율성과 함께 원활하게 클라우드를 활용할 수 있으며 보안 및 데이터 개인 정보 보호를 유지하면서 특히 크리티컬 애플리케이션을 위한 우수한 애플리케이션 성능을 지원할 수 있습니다. 애플리케이션 성능이 향상되면 비즈니스 생산성, 고객 만족도뿐 아니라 궁극적으로 수익성도 개선됩니다. 일관된 보안으로 비즈니스 위험도 감소합니다.
기본 SD-WAN 및 비즈니스 중심 보안 SD-WAN 비교
- 동일하지 않는 SD-WAN. 많은 SD-WAN 솔루션이 기본 SD-WAN 솔루션이거나 '그저 괜찮은' 솔루션에 머물고 있습니다. 이러한 솔루션은 안전한 네트워크 경험을 보장하는 데 필요한 인텔리전스, 보안, 성능, 규모가 부족합니다. 또한 빠르고 안전한 고성능 네트워크 없이는 엔터프라이즈 디지털 트랜스포메이션 이니셔티브가 지연될 수 있습니다. SD-WAN은 디지털 트랜스포메이션의 핵심 지원 요소로, 엔터프라이즈 전반에서 전략적 결정을 촉진합니다. 그렇다면 비즈니스 중심의 보안 SD-WAN은 무엇이며 기본 SD-WAN으로 충분하지 않은 이유는 무엇인가요?
- 일관된 QoEx(경험 품질). 고급 SD-WAN 솔루션의 주요 이점은 다양한 형태의 WAN 전송 방식을 동시에 활발하게 사용할 수 있다는 것입니다. 기본 솔루션은 애플리케이션 기반 트래픽을 단일 경로로 유도할 수 있으며 해당 경로에 문제가 있거나 성능이 떨어지는 경우 더 우수한 링크로 동적으로 리디렉션할 수 있습니다. 그러나 많은 기본 솔루션에서 중단 시 수십 초 이상의 장애 조치 시간이 발생하며 이 과정에서 종종 애플리케이션이 중단되면서 골치 아픈 결과로 이어집니다. 비즈니스 중심 SD-WAN은 모든 언더레이 전송 서비스를 지능적으로 모니터링하고 관리하며 패킷 손실, 대기 시간, 지터 문제를 극복하여 WAN 전송 서비스가 어려운 경우에도 사용자에게 최고 수준의 애플리케이션 성능과 QoEx를 제공할 수 있습니다. 기본 SD-WAN과 달리 비즈니스 중심 SD-WAN은 전체 전송 중단을 원활하게 처리하고 음성과 비디오 통신 등 비즈니스 크리티컬 애플리케이션을 중단시키지 않는 1초 미만의 장애 조치를 수행합니다.
- 지속적 자체 학습. 기본 SD-WAN 솔루션은 일반적으로 템플릿을 통해 프로그래밍되는 사전 정의된 규칙에 따라 트래픽을 제어합니다. 비즈니스 중심 SD-WAN은 정체 또는 성능 저하를 포함한 네트워크 상태나 변화와 상관없이 최적의 애플리케이션 성능을 제공합니다. 또한 지속적인 모니터링과 자체 학습을 통해 네트워크 상태의 모든 변화에 실시간으로 자동 대응합니다. 비즈니스 중심 SD-WAN이 네트워크의 변화에 지속적으로 적응하면서 네트워크 정체, 절전, 전송 중단 상황 등 애플리케이션 성능에 영향을 줄 수 있는 모든 변화에 실시간으로 자동 대응함에 따라 사용자는 수동적인 IT 개입 없이 항상 애플리케이션에 연결할 수 있습니다. 예를 들어 WAN 전송 서비스 또는 클라우드 보안 서비스에 성능 저하가 발생하는 경우 네트워크가 비즈니스 정책을 준수하면서 트래픽 흐름을 유지하도록 자동으로 조정됩니다.
- 멀티클라우드 네트워킹. 고급 SD-WAN을 AWS, Azure, Google Cloud와 같은 퍼블릭 클라우드에 배포하고 SD-WAN의 모든 이점을 활용하여 지사/지점 위치와 클라우드 간 연결을 최적화할 수 있습니다. 절전이나 정전이 발생할 경우 나머지 링크가 사용자가 음성 통화, 음성 및 화상 회의 또는 다른 애플리케이션의 중단을 눈치채지 못하도록 트래픽을 계속 전송합니다. 지사/지점과 퍼블릭 클라우드 사이의 견고한 첫 번째 구간에서 향상된 네트워크 성능, 안정성, 품질을 제공합니다.
- 내장된 차세대 방화벽. 비즈니스 중심 보안 SD-WAN은 지사/지점 위치를 효과적으로 보호하기 위해 차세대 방화벽을 포함해야 합니다. 주요 기능으로는 DPI(딥 패킷 검사), 침입 탐지 및 방지(IDS/IPS) 등이 있습니다. 다른 고급 SD-WAN은 조직을 DDoS 공격으로부터도 보호할 수 있습니다. 차세대 방화벽의 통합으로 조직은 레거시 지사/지점의 방화벽을 손쉽게 대체할 수 있어 하드웨어 점유 면적이 감소합니다. 또한 보안 정책이 중앙에서 관리되어 현지에 전문 IT 인력이 필요하지 않으며 구성 오류를 방지할 수 있습니다. 중앙에서 구성된 보안 정책은 인적 오류가 적어 장치별로 정책을 구성해야 하는 경우가 많은 레거시 방화벽보다 훨씬 일관성이 있습니다. 정책을 변경해야 하는 경우 비즈니스 중심 SD-WAN을 통해 중앙에서 프로그래밍하면 네트워크 전반에서 수십, 수백 또는 수천 개의 노드로 푸시되므로 운영 효율성을 크게 개선하는 동시에 전체 공격 표면을 줄이고 보안 침해를 방지할 수 있습니다.
- 역할 기반 세분화. 기본 SD-WAN은 VPN 서비스와 기능이 비슷하지만 비즈니스 중심 보안 SD-WAN은 더 포괄적인 엔드 투 엔드 역할 기반 세분화를 지원합니다. 차세대 방화벽 지원에 더해 SD-WAN 플랫폼은 LAN-WAN-데이터 센터 및 LAN-WAN-클라우드에 걸쳐 엔드 투 엔드 세분화를 오케스트레이션하고 적용해야 합니다. 고급 보안 SD-WAN은 사용자 및 장치의 ID와 역할 기반 정책을 추가하여 정교한 세분화를 제공하고 제로 트러스트를 적용합니다. 보안 SD-WAN은 LAN부터 WAN까지 사용자, 장치, 애플리케이션 그룹 및 가상 오버레이의 조합에서 엔드 투 엔드 영역을 생성하고 모든 원격 사이트에 보안 정책을 전파합니다. 최소 권한 액세스 원칙을 바탕으로 사용자와 IoT 장치는 비즈니스의 역할과 일치하는 대상과만 통신하며 무단 액세스를 줄이고 사고의 범위를 제한합니다.
- 클라우드 애플리케이션의 로컬 인터넷 브레이크아웃 보호. 많은 기본 SD-WAN에서 고정 정의와 수동 스크립트 ACL을 기반으로 일부 애플리케이션 분류 기능을 제공하여 인터넷을 통해 직접 SaaS 및 IaaS 트래픽을 전송합니다. 하지만 클라우드 애플리케이션은 끊임없이 변화합니다. 비즈니스 중심 SD-WAN은 지속적으로 변화에 대응하며 자동화된 일일 애플리케이션 정의 및 IP 주소 업데이트를 제공합니다. 이를 통해 애플리케이션 중단과 사용자의 생산성 문제를 제거할 수 있습니다.
엔터프라이즈 고객은 SD-WAN, 방화벽, 세분화, 라우팅, WAN 최적화, 가시성 및 제어 기능을 모두 중앙 집중식 관리형 단일 플랫폼으로 통합하는 비즈니스 중심 SD-WAN 플랫폼으로 전환하는 것이 좋습니다.
SASE를 위한 고급 SD-WAN 기능
SASE는 SD-WAN과 SSE(보안 서비스 엣지)라고 알려진 클라우드 제공 보안 기능이 결합된 것입니다. SSE는 SASE의 보안 비전을 지원하는 데 도움이 되는 보안 서비스 세트를 정의합니다. SSE의 주요 기능에는 ZTNA(제로 트러스트 네트워크 액세스), SWG(보안 웹 게이트웨이), CASB(클라우드 액세스 보안 브로커)가 포함됩니다.
궁극적으로 SASE의 목표는 사용자가 어디서나 민감 데이터에 액세스하고 안전하지 않은 웹 사이트를 검색할 때 클라우드 중심 조직과 하이브리드 업무 환경에 보안과 성능을 제공하는 것입니다. HPE는 여러 기업과 함께 SASE 아키텍처를 설계 및 구축한 결과 기본 SD-WAN 기능이 부족하다는 것을 알게 되었습니다. SASE의 다음과 같은 기능을 완전히 구현하려면 고급 네트워킹 및 보안 기능을 지원하는 SD-WAN이 필요합니다.
- SSE 솔루션과 원활하게 통합하고 일관된 통합 SASE 아키텍처 구성
- 단일 콘솔을 사용하여 SD-WAN과 SSE 사이의 오케스트레이션을 자동화하고 관리 간소화
- 첫 번째 패킷에서 애플리케이션 트래픽을 식별하고 사전 정의된 보안 정책에 따라 SSE 솔루션으로 트래픽을 세밀하게 조정
- 자동으로 보조 클라우드 보안 적용 지점으로 장애 조치하고 애플리케이션 중단 방지
- 지사/지점에 더 가까운 새로운 위치를 사용할 수 있게 되면 클라우드 보안 적용 지점으로 보안 연결을 자동으로 재구성
- 고객이 새로운 클라우드 보안 서비스와 SASE 구현을 간편하게 구축하도록 지원
HPE와 SD-WAN
HPE Aruba Networking EdgeConnect SD-WAN은 엔터프라이즈 조직을 엣지부터 클라우드까지 지점, 데이터 센터, 클라우드, SaaS 전반에 걸쳐 단일 SD-WAN 패브릭으로 연결하는 포괄적인 액세스 구축 옵션 포트폴리오를 제공합니다. 이 솔루션은 SD-WAN 패브릭에 ‘온램프’라고 하는 3가지 유형의 적합한 구축 모델을 포함하고 있어 본사, 데이터 센터, 캠퍼스, 지사/지점, 소규모 사무실, 재택근무 및 모바일 사용자가 어디서나 애플리케이션, 데이터, 서비스를 이용할 수 있도록 원활하고 안전한 고성능 네트워크 연결을 제공합니다.
- EdgeConnect SD-WAN을 통해 IT 관리자는 변화하는 비즈니스 요구 사항을 지속적으로 학습하고 이에 따라 조정하며, 엣지에서 클라우드까지 최상의 네트워크 및 애플리케이션 성능을 유연하게 제공하는 고급 SD-WAN 엣지를 구성할 수 있습니다.
- EdgeConnect SD-Branch를 사용하면 IT 관리자가 중앙 집중식 클라우드 관리에 기반한 통합 보안 및 온보드 LTE 지원을 통해 지사/지점 네트워킹 구성 요소를 통합하여 WLAN, LAN, SD-WAN 전반에 걸쳐 통합을 극대화할 수 있습니다.
- EdgeConnect Microbranch는 소규모 사무실이나 재택근무 사이트에 적합합니다. 가장 크기가 작은 옵션으로, 다양한 HPE Aruba Networking RAP(원격 액세스 포인트)를 이용해 기업 엔터프라이즈 네트워크에 대한 보안 WAN 연결을 지원하고 클라우드 제공 보안 서비스와의 자동 통합을 제공합니다.
EdgeConnect SD-WAN 패브릭은 가장 까다로운 WAN 처리에 필요한 지속적인 적응, 보안, 민첩성을 지원하여 최고 수준의 경험과 성능을 제공합니다. 자동화, 기계 학습, AI를 활용한 고급 기능을 통해 대규모 분산 네트워크를 구축, 구성, 유지하는 데 필요한 복잡성과 수동 집약적인 작업을 제거하여 IT 조직의 부담을 줄여줍니다.
EdgeConnect SD-WAN 패브릭은 데이터 센터, IaaS, SaaS, 프라이빗 클라우드로 쉽게 확장됩니다. 자동화된 통합으로 AWS, Microsoft Azure, Google, Equinix, Megaport 등 멀티클라우드 연결이 간소화됩니다.
EdgeConnect SD-WAN 패브릭은 HPE Aruba Networking SSE와의 통합을 자동화하고 통합 SASE 플랫폼뿐 아니라 타사 클라우드 보안 파트너 솔루션도 구성합니다.