국립대 도쿄대학교
BIG-IP를 고성능 방화벽으로 활용해 애플리케이션을 네트워크 위협으로부터 보호하세요. 가상 어플라이언스를 통해 다양한 요구에 빠르게 대응할 수 있습니다
일본 최고 학술기관인 도쿄대학은 캠퍼스 외부와 40Gbps 대역폭으로 연결되며, 매일 온라인 위협에 대응하고 있습니다. 애플리케이션만큼 다양한 보안 요구를 충족해야 하기에, 단일 정책으로 시스템을 운영하는 것은 불가능합니다. 네트워크 운영을 맡은 정보 인프라 센터는 BIG-IP AFM, BIG-IP ASM 같은 보안 제품을 가상 어플라이언스로 도입했습니다. 필요한 곳에 신속히 배포할 수 있는 가상 어플라이언스로 보안 기능을 제공해, 각 애플리케이션과 요구에 맞는 맞춤형 네트워크 운영을 실현합니다.
비즈니스 챌린지
도쿄대 정보인프라센터는 대학 내에서 다양한 IT 서비스를 제공합니다. 백본 네트워크는 인프라의 핵심 요소입니다. 도쿄대 정보인프라센터의 세키야 유지 씨는 자신의 업무 범위를 다음과 같이 설명했습니다.
수업과 연구에 필요한 시스템을 연결하는 네트워크와 관련 기능을 저렴하고 쉽고 유연하게 제공합니다. 최근 들어 방화벽과 WAF 같은 보안 기능이 미션 크리티컬 네트워크에서 필수 요소로 자리 잡았습니다.
대학 네트워크는 매일 주입 공격과 비밀번호 무차별 대입 공격에 취약합니다. 사용자가 개별적으로 대응하는 대신 기본 인프라의 일부로 네트워크 보안 기능을 제공하라는 요구가 커지고 있습니다. 하지만 연구 기관에 적합한 네트워크 자율성을 보장하기 위해 회사는 일방적인 정책이나 보안 기능 강제를 피하는 방침을 유지합니다. 세키야는 기본 인프라 기능으로 보안을 쉽고 합리적인 비용에 이용할 수 있는 시스템 필요성이 점점 높아지고 있다고 전합니다.
백본 네트워크로서, 필요할 때 바로 보호할 수 있는 시스템을 구축해야 합니다. 세키야는 "가상 어플라이언스가 가장 효과적인 해결책이라 판단했습니다. 라이선스만 추가하면 필요한 네트워크에 보안 기능을 손쉽게 제공할 수 있기 때문입니다."라고 말했습니다.
솔루션
도쿄대 네트워크에는 방화벽과 WAF 같은 기본 보안 기능이 필요합니다. 여러 시스템에 필수적인 요소죠. 하지만 웹 애플리케이션 사용이 늘면서, 더 고도화된 보안 기능도 필요하다고 판단했습니다. 크로스 사이트 스크립팅과 SQL 인젝션 공격이 실제로 매일 발생합니다. 기존 방화벽 제품으로는 사용자 요구를 더 이상 충족할 수 없습니다. 세키야 씨는 "네트워크 방화벽뿐 아니라 강화된 애플리케이션 보안을 제공하는 가상 어플라이언스를 찾아봤지만, 기능 면에서 원하는 조건을 충족하는 제품이 거의 없었다"고 말했습니다.
그는 실제 어플라이언스에서 제공되던 여러 기능이 가상 어플라이언스에는 없었다고 말합니다. 각 공급업체가 물리적·가상 어플라이언스를 모두 제공했지만, 같은 기능을 갖춘 제품은 거의 없었습니다.
가장 유력한 후보는 WAF 기능을 제공하는 F5 Networks의 BIG-IP ASM(Application Security Manager)과 네트워크 방화벽 기능을 강화하는 가상 어플라이언스 BIG-IP AFM(Advanced Firewall Manager)이었습니다. 우리는 BIG-IP ASM과 BIG-IP AFM 가상 어플라이언스를 결합해 네트워크 방화벽 기능을 향상시켰습니다. 세키야 씨가 선택한 이유는 다음과 같습니다. “필요한 기능과 성능을 모두 제공했기 때문입니다.
필요한 기능과 성능을 제공하면서도 가상 어플라이언스 형태로 비용 효율적인 제품에 가장 큰 신뢰를 느꼈습니다.
결과
BIG-IP를 정보 기반 센터가 관리하는 핵심 시스템의 가상 서버 그룹에 처음 도입했습니다. 우리는 실제 환경에서 사용하면서 활용 가능성과 미래 적용 방안을 평가했습니다. 예를 들어, 이전에 웹 서버에서 관리하던 접근 제어 설정을 BIG-IP로 손쉽게 구성할 수 있어 도입 초기부터 사용 편의성을 입증했습니다.
■ 유연한 구성 지원 기능
시스템을 운영하며 처음 느낀 점에 대해 세키야 씨는 “연구 목적상 자유롭게 운영할 수 있는 네트워크가 필요합니다.”라고 말했습니다. 그는 다음과 같이 설명했습니다.
“가장 먼저 눈에 들어온 것은 광범위한 기능들이었습니다. BIG-IP는 매우 세밀한 트래픽 제어 설정을 가능하게 하여, 기존 방화벽보다 훨씬 높은 수준의 제어를 제공합니다. 추가로 얻을 수 있는 세분화에 대해 기대가 큽니다.”
방화벽의 기본 기능은 이미 확고히 자리잡았습니다. 여기에 네트워크와 보안에 대한 다양한 요구를 충족할 포괄적인 트래픽 제어 기능이 필요합니다. BIG-IP가 고도화된 트래픽 제어에 중점을 두고 진화해온 만큼, 세키야 씨는 그것이 기대에 부응할 것이라 자신합니다.
"필요한 곳에서는 트래픽을 확실하게 보호하고, 보안이 덜 중요한 환경에서는 자유를 우선시하는 강력한 기능을 갖추고 있습니다. 이처럼 정확하고 복잡한 요구를 능숙하게 해결하는 유연성 덕분에 BIG-IP가 특히 돋보입니다."
■ 손쉽게 배포하는 가상 어플라이언스
대학은 다양한 연구를 진행하며 각 분야마다 네트워크 요구 사항이 다릅니다. 일부 학과나 연구실은 네트워크나 IT 시스템 자체를 연구 대상으로 삼기에 네트워크 기능을 제한하는 일률적 정책을 적용하기 어렵습니다.
세키야 씨는 “가상 어플라이언스에 집중하는 이유 중 하나는 각기 다른 요구에 신속히 대응할 수 있기 때문이라고 설명했습니다.” “뿐만 아니라, 가상 어플라이언스는 유연한 구성과 분산 관리가 가능해 또 다른 큰 장점이 됩니다.”
관리 측면에서 보면, 멀티 테넌트 구조 내에 특수 네트워크를 두는 대신, 사용자가 독립적으로 관리할 수 있는 개별 가상 어플라이언스를 제공하는 편이 더 효율적입니다. 기기 수가 늘어나긴 하지만, 세키야 씨는 BIG-IQ 같은 통합 관리 도구를 활용하면 관리 부담을 확실히 줄일 수 있다고 봅니다. 여러 방화벽을 중앙에서 관리하면 운영 실수로 인한 보안 수준 저하 위험도 방지할 수 있습니다.
■ 필요한 곳에 신속하게 보안을 제공합니다
세키야 씨는 "연구 분야에서는 자유롭게 운영할 수 있는 네트워크가 반드시 필요합니다"라고 말했습니다. "한편, 사용자들은 추가 관리 없이 처음부터 안전한 네트워크를 원하기도 합니다. 대학 네트워크는 이 두 가지 요구를 모두 충족해야 합니다."
세키야 씨는 기업 네트워크와 달리 동일한 네트워크 정책을 일괄 적용하는 것이 적절하지 않다고 강조했습니다. 교육과 연구에 필요한 자원을 제공하기 위해 그는 '보안 = 불편함'이 아니라 '보안 = 편리함'이 되는 네트워크를 구축하는 비전을 제시합니다. 그는 BIG-IP 가상 어플라이언스가 이 비전에 부합하여 필요한 곳에 적정 수준의 보안을 제공하면서도 사용 편의성을 높이는 사명을 충실히 수행한다고 확신합니다.
정보 기반 센터는 필요에 따라 BIG-IP를 보안 관리의 핵심 접점으로 배치해 네트워크 보안을 강화합니다. 앞으로 DNS 보호 등 다른 영역으로도 활용을 확대할 계획입니다.
“대학의 네트워킹 필요는 기업과 매우 달라 이를 충족할 수 있는 제품은 거의 없습니다,”라고 세키야 씨가 말했습니다. "BIG-IP 가상 어플라이언스는 뛰어난 기능과 손쉬운 설치로 정보 기반 센터의 기대를 가장 효과적으로 만족시킵니다.”
- 네트워크별로 배포 가능한 가상 어플라이언스로 보안을 강화하세요.
- 사용자가 가상 어플라이언스를 통해 모든 BIG-IP 기능을 자유롭게 활용할 수 있습니다.
- 사용 규모에 맞춰 라이선스를 확장하면 필요한 성능을 정확한 위치에 저비용으로 제공합니다.
- 각 네트워크의 사용 목적에 맞춘 다양한 요구 사항에 따라 보안을 확실히 제공합니다.
- 사용자가 원하는 대로 자유롭게 네트워크를 구성할 수 있도록 제공합니다.
- 유연성, 성능, 비용 사이에서 최적의 균형을 맞추십시오.