Flat Network 이해하기
Flat Network는 가장 쉬운 네트워킹 설계 중 하나이며 비용과 전체 관리를 줄이는 데 목적이 있습니다.
Flat Network에서는 모든 장치와 워크 스테이션이 단일 스위치에 연결됩니다. 이는 모든 장치가 동일한 브로드 캐스트 네트워크의 일부이며 서로 통신 할 수 있음을 의미합니다.
다음 다이어그램은 단순 평면 네트워크를 보여줍니다 .
갖는 평면 모든 서버 (데브, QA, 스테이징, 생산) 동일한 네트워크에 있고 서로 통신 할 수있는 클라우드 수단에 네트워크를.
AWS 환경에서는 단일 VPC에 모든 서버를 포함하도록 일반화 할 수 있습니다.
예를 들어 Dev와 같은 서버 중 하나가 손상되면 공격자는 Dev 서버에서 공격 벡터를 시작하여 네트워크의 일부인 모든 서버 (프로덕션 포함)에 연결하려고 시도 할 수 있기 때문에 위험합니다. ).
Flat Network의 이점
Flat Network의 한 가지 이점은 설정 비용이 저렴하다는 것입니다. 필요한 경우 추가 연결을 제공하는 저렴한 허브와 함께 모든 것이 단일 스위치에 다시 연결되기 때문에 여러 라우터와 스위치가 필요하지 않기 때문입니다.
이러한 단순성 때문에 평면 네트워크를 설계하는 것은 매우 쉽습니다. 그것을 설계하는 데 많은 생각을 할 필요가 없고, 구축하기 쉽고, 작동하기 쉽고(올바르게 작동할 때) 유지보수가 쉽고 저렴합니다.
단일 DHCP 범위를 사용하는 경우 플랫 네트워크도 추가, 이동 및 변경을 쉽게 만듭니다. 한 책상이나 한 건물에서 다른 건물로 장치를 옮기려면 이전 위치에서 플러그를 뽑고 새 위치의 이더넷 잭에 꽂기만 하면 됩니다.
Flat Network의 위험
숨기기 쉬움
해커가 네트워크 경계에 성공적으로 침투하여 기업 네트워크에 침입했을 때 어떤 일이 발생하는지 생각해 봅시다. 다음에 일어나는 일은 해커가 네트워크에서 탐지되지 않은 채로 있으려고 시도하는 동시에 스캔 및 기타 네트워크 정찰을 수행하여 약탈할 수 있는 가장 귀중한 자산을 찾기 위해 네트워크를 탐색하는 것입니다.
대규모 평면 네트워크에서는 해커가 탐지되지 않은 채로 있기가 훨씬 더 쉬워집니다. 보안 시스템이 데이터 흐름을 분석하고 해커의 신호일 수 있는 비정상적인 트래픽을 찾아내는 것이 훨씬 더 어렵기 때문입니다.
—> CloudTail, Log 설정들을 꼭 하여야 하는 이유 입니다.
모든 것이 취약하다
더 중요한 것은 플랫 네트워크는 해커가 침투하면 모든 것을 접근할 수 있다는 것을 의미합니다. 해커는 모든 장치를 찾고 모든 데이터를 가로챌 수 있습니다. 대조적으로, 분할된 네트워크에서는 브로드캐스트 도메인이 훨씬 더 작으며 해커는 자신이 속한 세그먼트의 장치만 쉽게 정찰할 수 있습니다.
“공격자가 [평면 네트워크] 환경에 들어가면 마치 쇼핑 카트를 가지고 장을 보는것 처럼 보이지만 시계는 없습니다. 원하는 대로 가져갈 수 있습니다.”라고 전 Forrester 분석가이자 현재 보안 회사 Digital Shadows의 CISO인 Rick Holland가 말했습니다 . “필요한 것은 배와 같은 격벽 접근 방식입니다. 선체가 파손되면 격벽을 닫고 피해를 제한할 수 있습니다.”
분할된 네트워크는 해커를 힘들게 할 뿐만 아니라 네트워크 웜 및 기타 맬웨어가 자신이 속한 세그먼트를 넘어 전파하는 것을 훨씬 더 어렵게 만듭니다.
—-> IP Segmentation 논리적으로 IP Domain분리를 , NACL로 방화벽을 만들어야 하는 이유 입니다.
중복성 부족
Flat Network의 단순성에는 단일 스위치에 대한 의존도라는 대가가 따릅니다. 플랫 네트워크의 위험은 키 스위치에 오류가 발생하면 대체 네트워크 경로가 없기 때문에 전체 네트워크가 중단될 수 있다는 것입니다.
아이러니하게도 평면 네트워크 설계의 단순성은 문제 해결이 훨씬 더 어려울 수 있음을 의미합니다. 네트워크 문제가 발생하면 네트워크의 거의 모든 곳에서 문제가 발생할 수 있으므로 문제의 근본 원인을 찾는 것이 어렵고 시간이 많이 걸릴 수 있습니다. 대조적으로, 분할된 네트워크에서는 문제의 위치를 격리하는 것이 더 쉬울 수 있으며 주요 인프라를 교체해야 하는 경우에도 문제를 해당 인프라를 호스팅하는 네트워크 세그먼트로 격리할 수 있습니다.
—> 다중 인터넷 게이트웨이 활용이 필요한 이유
성능
Flat Network에 대한 마지막 요소 중 하나는 세그먼트 네트워크와 비교할 때 성능이 저하될 수 있다는 것입니다. 그 이유는 키 스위치에 훨씬 더 많은 처리 부담이 있고, 더 똑똑한 스위치 대신 덤 허브를 사용하기 때문에 충돌 가능성이 더 크기 때문입니다. 이에 대한 반대 주장은 세그먼트화된 네트워크가 스위치를 통해 처리될 때마다 트래픽이 지연되면서 더 많은 스위치를 사용한다는 것입니다.
라우팅된 트래픽을 세그먼트로 제한함으로써 네트워크의 전체 트래픽 사용량이 줄어들어 성능에 영향을 미치는 네트워크 정체 가능성이 감소하는 경우도 있습니다.
-> VPC의 네트워크 성능 제한