블로그

시간의 NIC에서

바트 살레츠 썸네일
바트 살라에츠
2020년 10월 8일 게시

1990년대에 데스크탑 컴퓨터 케이스를 열면 가장 먼저 눈에 띄는 것이 네트워크 인터페이스 카드(NIC)입니다. 이는 컴퓨터를 이더넷 케이블에 연결하는 데 사용되는 구성 요소입니다.

믿기 어려울지 몰라도, 이 겸손한 NIC는 이제 통신 업계와 그 고객들이 전 세계적으로 급증하고 있는 분산 서비스 거부(DDoS) 공격에 맞서 싸우는 데 도움을 줄 준비가 되었습니다. 무엇보다도.

최신 NIC는 트래픽을 전달하는 것 이상의 역할을 합니다. 이제 SmartNIC로 알려진 이 전문 하드웨어는 통신사의 가장 큰 과제 중 하나인 CPU(중앙 처리 장치)로 제어되는 산업 표준 서버에 의존하는 가상화 아키텍처로의 전환을 해결하는 데 도움이 될 수 있습니다. 클라우드에서 네트워크 기능을 지원하도록 설계된 이러한 가상 머신은 많은 수의 장치가 동시에 네트워크 리소스를 요청하는 대규모 DDoS 공격에 대처하기에 적합하지 않은 경우가 많습니다. CPU는 금세 과부하가 걸릴 것입니다.

현재 이러한 CPU에는 그 어느 때보다 더 많은 보호가 필요합니다. F5 Labs에서 최근 보안 사고 보고서(SIRT) 데이터를 분석한 결과 , 1월에 보고된 모든 고객 사고의 10분의 1에 불과한 DDoS 공격이 발생했습니다. 3월에는 모든 사건의 3배로 늘어났습니다. 게다가, 작년에 F5 SIRT에 보고된 DDoS 공격의 4.2%가 웹 앱을 타겟으로 하는 것으로 확인되었습니다. 2020년에는 이 수치가 6배나 증가해 26%에 달했습니다. 이러한 추세를 반영하는 수많은 연구가 있으며, 이런 일이 일어나는 이유는 신비가 아닙니다. 원격 근무와 사람들이 온라인에서 보내는 시간이 늘어나면서 위험 수준과 공격 가능 영역이 모두 크게 높아졌습니다.

자신을 보호하는 한 가지 방법은 DDoS 공격을 탐지하고 완화하도록 특별히 설계된 전담 장비를 가상 네트워크 앞에 두는 것입니다. 여전히 실행 가능한 옵션이기는 하지만, 전체 가상 네트워크를 구축하는 데 따른 비용상의 이점 중 일부가 줄어듭니다. 전용 어플라이언스는 현재 통신사들이 네트워크 지연 시간을 줄이기 위해 도입하고 있는 컴팩트한 엣지 컴퓨팅 센터에서도 귀중한 공간을 차지하게 됩니다.

하드웨어가 도움을 줍니다

F5에서는 특수 프로세서(일명 FPGA(필드 프로그래밍 가능 게이트 어레이))를 탑재한 SmartNIC에 볼륨형 DDoS 완화 기능을 이식하면 가상화되고 클라우드 중심의 세계에서 큰 변화를 가져올 수 있다는 것을 깨달았습니다. 가장 중요한 점은, 특수 프로세서가 대부분의 힘든 작업을 처리할 수 있고, CPU에서 실행되는 기존 소프트웨어 구현보다 훨씬 빠르게 유입 트래픽을 필터링할 수 있다는 것입니다.

이러한 통찰력을 바탕으로 저희는 인텔의 FPGA 프로그래밍 가능 가속 카드(N3000 SmartNIC)를 위한 애플리케이션을 만든 최초의 소프트웨어 회사가 되었습니다. 세계 유수의 서비스 제공업체에서 검증 및 테스트를 거쳤습니다.

비전을 실현하기 위해 Intel SmartNIC FPGA는 하드웨어 가속을 사용하여 클라우드 환경에서 들어오는 DDoS 공격을 효율적으로 차단하도록 설계된 BIG-IP Advanced Firewall Manager(AFM) Virtual Edition 솔루션을 지원하도록 당사 하드웨어에서 FPGA를 프로그래밍하는 것과 동일한 방식으로 프로그래밍되었습니다.

SmartNIC을 사용하여 네트워크 위협 인텔리전스, 패킷 기반 분석, 허용 목록 및 기타 DDoS 완화 조치를 처리함으로써 솔루션은 CPU 주기를 다른 기능에 사용할 수 있도록 합니다. 이를 통해 네트워크는 정상적으로 계속 실행될 수 있습니다. 더 좋은 점은 SmartNIC가 매우 빠르다는 것입니다. SmartNIC 내의 악성 패킷 검사 및 제거는 회선 속도로 이루어지므로 지연 시간과 사용자 경험에 영향을 미치지 않습니다. 실제로 DDoS 대응 등의 특정 기능을 SmartNIC으로 옮기면 코어 네트워크 에지 모두에서 성능을 높이고 지연 시간을 줄일 수 있습니다.

이는 점진적인 이득을 달성하는 것도 아니며 SmartNIC를 활용하는 이점은 잠재적으로 엄청날 수 있습니다. 예를 들어, F5 BIG-IP VE 솔루션은 소프트웨어만 구현한 경우보다 최대 300배 더 큰 규모의 DDoS 공격을 처리할 수 있으며, 동시에 총 소유 비용을 약 47% 절감할 수 있습니다.

SmartNIC 기반 솔루션은 통신사 등급 네트워크를 안전하고 손쉽게 사용할 수 있도록 유지함으로써 운영자가 비용이 많이 드는 고성능 맞춤형 하드웨어를 사용하지 않고도 까다로운 서비스 수준 계약을 충족하고 초저지연 연결을 제공할 수 있음을 의미합니다. 

동시에 FPGA는 이에 맞게 재프로그래밍이 가능하여 통신사가 더 큰 구조적 유연성과 민첩성을 확보하는 동시에 표준 서버가 클라우드 기반 네트워크 기능을 처리하는 핵심 작업에만 집중할 수 있습니다.

엣지를 가지고 방어하다

통신 산업이 점점 더 복잡해지는 비즈니스 및 소비자 요구에 빠르게 적응함에 따라 Intel의 SmartNIC가 적절한 시기에 출시된 것으로 보입니다. 

기존 통신망에는 모든 것이 중앙 집중화된 대규모 데이터 센터가 몇 개 있었을 수 있습니다. DDoS 공격으로부터 보호하려면 이 앞에 큰 상자 몇 개를 배치할 수 있습니다. 그 때는 그랬습니다. 

요즘에는 컴퓨팅이 네트워크를 통해 더욱 광범위하게 분산됨에 따라 물리적으로 특수 제작된 기기는 더 이상 필요 없게 되었습니다. 여기에는 온라인 게임, 가상 현실과 같은 까다로운 앱과 서비스가 더 잘 대응할 수 있도록 인프라 가장자리에 데이터 센터를 구축하는 통신사가 포함됩니다. 

엣지 컴퓨팅이 더욱 보편화됨에 따라 SmartNIC는 분산 네트워크에서 주요 방어선 중 하나로서 특히 중요한 역할을 하게 될 것입니다. 그리고 F5에서는 이미 몇몇 주요 통신사와 전용 하드웨어에서 해당 기술로 DDoS 완화 시스템을 이전하는 것에 대해 논의하고 있습니다.

SmartNIC의 미래는 분명 밝아 보입니다. SmartNIC는 클라우드 기반 네트워크의 보안과 성능을 강화하는 혁신적이고 비용 효율적인 방법을 제공합니다. F5의 획기적인 DDoS 구현은 이를 뒷받침하는 강력한 증거이며, 앞으로도 많은 다른 사용 사례가 이어질 가능성이 높습니다.

아직도 믿음직한 오래된 네트워크 인터페이스 카드에는 수명이 많이 남아 있습니다! 사실, 그들의 새롭고 똑똑한 화신 덕분에 그들의 가장 좋은 (그리고 가장 생산적인) 날들은 아직 앞으로 다가왔습니다. 이 공간을 지켜봐 주세요.

더 자세히 알고 싶으신가요? Intel SmartNIC을 사용한 가상화 인프라에서의 DDoS 완화에 관한 주문형 웨비나를 확인해 보세요 .