회고: Site to Site VPN을 적용하며 배운 것들

Site to Site VPN을 적용하면서 배운 것들을 회고합니다.
 

Site to Site VPN을 적용하는 대표적인 2가지 케이스

첫 번째는 법 때문에 VPN 통신을 해야 하는 경우입니다.
법에 VPN 통신이 명시되어 있으면, 원하지 않아도 VPN을 써야만 합니다.

두 번째는 오래된 관례입니다.
다른 팀이나 다른 회사에서 비슷한 상황에 VPN을 사용했다는 관례가 있다 보니, 큰 고민 없이 VPN을 도입하는 케이스가 있습니다 저도 관례상 VPN을 써야 하는 상황이 있었지만, 법적인 검토와 보안팀 검토를 거쳐 VPN을 사용하지 않았습니다.
 

VPN을 써야 한다면 확인할 것들

1. VPN 물리 장비의 제약사항

클라우드는 Site to Site VPN의 대부분 기능을 지원하므로 고민할 게 적습니다. 하지만 VPN 물리 장비를 사용해야 한다면 장비의 제약이 많습니다.

아래 항목을 반드시 확인해야 합니다.

첫 번째는 Active/Active VPN 터널을 만들 수 있는지입니다.
Active/Standby만 지원하면 VPN 터널이 끊길 때 Standby가 Active로 전활될때까지 통신이 안 됩니다. 모든 이해관계자에게 이 사실을 인지시키고, 사업적 손해가 얼마나 발생하는지 사전에 파악해야 합니다.

두 번째는 ECMP 지원 여부입니다.
Active/Active가 지원되더라도 ECMP가 지원되지 않으면 두 VPN 터널을 균등하게 사용하지 못합니다.

세 번째는 BGP 지원 여부입니다.
VPN 터널에 문제가 생겼을 때 다른 터널로 빠르게 라우팅하려면 BGP가 지원되어야 합니다.
 

2. VPN 유지보수 작업 시간

물리 장비든 클라우드든 정기적으로 유지보수 작업을 합니다. VPN도 예외가 아닙니다. VPN 유지보수의 영향 범위를 모든 이해관계자가 알아야 하고, 작업 시간도 함께 고민해야 합니다.
 

보안 관점에서 Site to Site VPN 고민

VPN은 두 네트워크(Site)를 연결하는 것입니다. VPN 목적대로 사용하려면 같은 회사의 네트워크 망을 연결하는 게 이상적입니다.

반대로 말하면, 다른 회사끼리 Site to Site VPN을 연결하는 것은 이상적이지 않습니다. 서로 다른 회사의 네트워크가 연결되기 때문입니다.

그럼에도 불구하고 다른 회사와 Site to Site VPN을 연결해야 한다면, 방화벽과 라우팅을 설정하여 통신 대상만 접근하도록 네트워크를 구성해야 합니다. 이러한 이유로 AWS애서는 VGW가 아닌 TGW를 사용합니다. TGW는 라우팅 설정이 되기 때문입니다. VGW는 라우팅을 설정할 수 없습니다.

또한, Site to Site VPN을 2개 이상 사용하는 경우에는 VGW 대신 TGW를 필수로 사용해야 합니다. VGW를 사용하면, Site 간에 VGW를 통한 네트워크 통신이 가능해집니다. 보안 관점에서 일어나서는 안 되는 일입니다. 반면 TGW는 route table로 VPN이 접근할 수 있는 리소스를 제어할 수 있습니다.