[네트워크 공부#1]망분리 정리노트

망분리는 인터넷 상에서의 해커의 공격을 막기 위해 인터넷 망 / 업무 망을 분리하는 것을 의미한다.

 

한 사람이 오피스에서 일을 한다고 생각했을 때 내부 시스템과 인터넷에 동시에 연결되어있다면,

인터넷은 Public 하기 때문에

해커가 인터넷으로 들어와 내부를 헤집어 놓을 가능성이 있다. 이런 개념에서 나오는 게 망분리이다.

 

두 가지로 구분할 수 있다.

• 물리적 망분리
• 논리적 망분리  

물리적 망분리

말 그대로 물리적으로 망분리 하는 것이다. 두개의 컴퓨터가 있을 때 하나는 인터넷을 연결하고 하나는 내부 시스템만을 사용하는 것이다. 이 방식은 내부 시스템이 절대로 해킹당할 일이 없지만 한 사람이 두 개의 pc를 사용해야 한다는 피로감이 있다. 

 

논리적 망분리

가상화라는 기술 vm과 vdi라는 말을 알아야 한다.

본래의 pc는 폐쇄적으로 내부 시스템'만'을 사용하지만 인터넷망을 이용할 때는 Virtual Machine을 이용해서 그 가상 머신을 타고 인터넷으로 접속하는 것이다. 그래서 vm에서 호스트 쪽으로 악성 코드가 못 나오게 막는 방법을 사용할 수 있는데, 그때 사용하는 기술이 sandbox라고 한다.

가상 머신을 이용하는 방법에는 vdi가 있다. 대표적인 작동 예시가 Cloud에 가상 머신 pc가 있고 폐쇄적인 내 pc가 있고 VDI를 이용해 Cloud의 vm으로 접속하여 인터넷으로 나가는 방식이다.

 

Sandbox란

어원은 미국 가정집에서 아이들이 다른 곳에서 놀지 못하게 별도로 공간을 마련해준 곳을 의미하는데, 안전하게 놀 수 있는 곳이라는 용어와 의미를 그대로 가져온 것이다.

 

샌드박스는 외부로부터 받은 파일을 바로 실행하지 않고 보호된 영역에서 실행시켜 봄으로써 외부로부터 들어오는 파일과 프로그램이 내부 시스템에 악영향을 주는 것을 미연에 방지하는 기술이다.

 

 

vdi 란 : 소프트웨어를 이용해 데스크탑을 가상화하고, 이를 중앙에서 사용자 환경으로 제공하는 것

  2가지 유형이 있다.

  1. 고정 VDI (영구적) : 사용자는 매번 동일한 데스크톱에 접속하게 되며, 연결이 끊어진 후에도 변경사항이 유지되므로 사용자의 필요에 맞게 데스크톱을 맞춤화할 수 있다. 고정 VDI 환경에서 데스크톱은 개인의 물리적 데스크톱과 동일하게 작동한다.

  2. 초기화 VDI (비영구적) : 사용자가 일반 데스크톱에 접속하고 변경사항도 저장되지 않으며, 세션간에 데스크톱을 사용자에 맞게 유지할 필요가 없기 때문에 보통 더 저렴하고 단순하다. 초기화 VDI는 제한된 형태의 반복 작업을 수행하고 맞춤형 데스크톱이 필요하지 않은 직원이나 작업자가 많은 조직에서 사용           

 

 

vdi의 이점 

vdi는 복잡하기 때문에 항상 모든 상황에 적합하지는 않지만 사용한다면 많은 이점을 누릴 수가 있습니다.

 

1. 원격 액세스 : VDI 사용자는 장소나 기기에 구애받지 않고 가상 데스크톱에 접속할 수 있습니다. 따라서 직원이 각자의 파일과 애플리케이션에 손쉽게 액세스하고 어디에서나 원격으로 업무를 수행할 수 있습니다.

 

2. 비용 절감 : 서버에서 작업을 처리하므로 최종 기기의 하드웨어 요구 사양이 훨씬 낮아집니다. 사용자가 구형 기기나 심지어 태블릿에서도 가상 데스크톱에 액세스할 수 있으므로 IT 부서에서 값비싼 신형 하드웨어를 구매할 필요가 줄어듭니다.

 

3. 보안 : VDI 환경에서 데이터는 최종 클라이언트 기기가 아니라 서버에 저장됩니다. 따라서 Endpoint 기기가 도난당하거나 손상되는 경우에도 데이터가 보호됩니다.

 

4. 중앙 집중식 관리 : VDI는 중앙 집중 방식으로 IT부서에서 시스템 내 모든 가상 데스크톱을 손쉽게 패치하고 업데이트하고 구성할 수 있게 해줍니다.

 

 

 

결국 내부 시스템을 '보호'하기 위한 보안의 개념이 망분리인 것이다.