안녕하세요 선배님들.
망분리 요건을 충족시키기 위해 VDI 도입을 준비하던 차에 생각보다 예산이 많이 들어 PC를 추가 지급하는 방향도 같이 고려해보고 있습니다.
50-60대 정도 사용 할 예정입니다만, 개인적인 생각으로 50-60대 사용하는데 VDI 환경을 전체 구축하는 것보단 PC를 추가 지급하는게 낫지 않을까 싶은 생각에 질문드립니다.
1.VDI vs PC 추가 지급 비용 어느것이 더 저렴할까요?
이 부분은 제 생각에 들어갈 비용이 아래와 같다고 생각합니다.
VDI : FW-L2 sw-서버-San sw-스토리지 + 서버OS + 사용자OS + VDI유지보수 (싱글 구성을 가정했습니다)
PC 추가 지급 : 노트북or데스크탑+ 마우스 + 사용자OS + 물리적 보안 요소(포트차단 및 PC락) + NAC 라이센스 + PC유지보수(VDI 도입 시 NAC은 설치하지 않을 예정이기에 여기에만 라이센스 비용 추가했습니다)
문제는 싱글구성으로 상급자분을 설득할 방안이 없습니다(장애나면 답없기 때문이죠)
하여, VDI 도입시에는 실질적인 비용은 이중화 구성으로 싱글구성에 두 배 곱한 비용정도로 생각 중입니다.
PC의 경우 저희회사 PC담당팀에 노트북은 여유분이 좀 있어서 싸게 갈 수 있는데, 데스크탑으로 배분 시 견적은 다시 확인해봐야 합니다.
2. PC 지급 방안으로 갔을때 데스크탑 말고 노트북으로 지급할 수 있을까요?
위 질문을 드리는 이유는 물리적 보안의 관점때문에 그렇습니다.
PC 락 케이블은 그냥 끼우면 되는데, USB 포트 블라커를 사용한다고 하면 마우스 같은 것을 연결할 수 있는 방법이 도저히 생각이 안납니다ㅠ
이 부분 만 해결이 가능하다면 데스크탑 말고 노트북으로 지급했으면 하는 바람입니다.
3. 클라우드 환경 VDI 구축 시 망분리 요건을 만족할 수 있을까요?
이 부분은 제가 정확히 알아 본 게 아니라서 선배님들의 고견을 여쭙습니다.
예를들면, AWS Workspace 같은 것이 있겠네요.
적다보니 부가 설명이 좀 있어서 글이 길어졌습니다.
다들 업무하느라 고생이시겠지만 의견주시면 감사하겠습니다!
5개의 답변이 있습니다.
저희가 Azure AVD를 쓰고 있는데
느끼는것은 몇대 망분리해서 쓴다면 굳이 온프레미스로 구축이 필요할까 입니다.
OA PC는 인터넷 막고, AVD에서 인터넷쓰고
사내 PC와 AVD간에 파일공유나 클립보드를 보안으로 막으면
AVD는 읽기전용밖에 안됩니다. 필요한 데이터는 네이버 메일 <-> 회사 메일로 주고 받으면 되고요.
멀티세션도 되기 때문에 비용도 아주 저렴합니다. 비싼 VM을 올릴 필요도 없습니다.
근무시간에만 올리면 하루 8시간만 구동시키면 되는거고 비용은 더 줄어 듭니다.
아직 레퍼런스가 적다고 하던데. 한번 검토 해보세요.
설치형 VM도 운영중인데 비용이나 효율 생각해보면 개인적으로 비교가 안된다고 생각되네요.
topkslee | 약 2년 전
타사 VDI 사용중인데요.
최근 AVD 기능이 좋아졌던데요. 퀄리티는 어떤지요?
루블이 | 약 2년 전
AVD는 생소한 개념이네요.
서칭해서 검토 해보겠습니다.
선배님 의견 감사합니다.
결론은 논리적 망분리냐 물리적 망분리냐 검토중이시네요.
물론 대수가 50-60대 정도되면 물리적인 망분리가 단순 비용면에서 이점은 있을수 있으나.
네트워크 복잡성, 관리 불편, 장애포인트 증가등을 고려하면 보이지 않는 비용들이 많습니다.
합리적인 비용으로 논리적 망분리 구성하시는 방안을 추천드리며
혹시 관련하여 컨설팅이 필요하시면 솔루션 상담실 이용 추천드립니다.
초기에 망분리를 할 때 기관에서는 2대의 PC를 사용하여 하는 경우 많이 있었습니다.
당연히 초기 비용이 저렴하기 때문에 해당 방식을 사용 했었는데,
이 방식은 제일 문제가 관리의 문제라고 생각되어 지네요.
PC가 늘어난 만큼 고장도 많을 수 있고, 인원의 변동이 생길때 마다
새로 OS 설치 등의 작업도 많아 지구요.
가상화를 사용하면 초기 비용이 당연히 더 들겠지만, 관리 측면에서 많은 잇점을 가지고 있게 됩니다.
VDI 용으로 Zero Client, Thin Client와 같은 스펙이 낮은 하드웨어를 도입할 수 있기 때문에 단말기 대당 가격만 따진다면 VDI용 기기를 구매하는 것이 PC를 구매하는 것 보다 저렴할 거라 생각되어서 VDI로 구성하는 것이 비용이 더 저렴하지 않을까 하는 생각을 많이 할 것 같아 보이는데요..
VDI를 구성할때 License 비용이 많이 소요되는 걸로 알고 있네요.
그리고, 서버가 따로 있어야 해서 사용할 단말기들을 수용할 수 있을 정도의 스펙을 갖춘 값비싼 서버를 갖춰야 해서 비용을 올라 가게 될 것 같고...
구축 비용만 따져도 VDI로 구성하는 것이 PC로 구성하는 것보다 저렴하지는 않은 걸로 알고 있네요.
VDI용 단말기로 일반적인 PC가 아닌 특수 설계된 단말기를 사용할 경우에는... 대당 가격이 PC보다 저렴하다 해도 장기적으로 본다면 고장 났을때 수리도 어려울 거라 보여 지고, 부품 구하기도 어려워 질 수 있어 유지 관리 비용이 올라 갈수도 있을 거라 보여지고요.
장비 교체시에도 특정 요건에 맞는 장비로 교체해야 해서 장비 교체가 쉽지 않을수도 있고, 시대에 뒤떨어진 장비를 비싼 가격에 구매해서 사용해야 할 가능성도 있지 않을까 하는 생각이 들고요.
단순히 비용적인 관점에서 본다면... VDI 보다는 그냥 PC로 해서 사용하는게 더 낫지 않을까 하는 생각이 드네요.
직접적인 망분리나 이중화 관련 규정을 본 적이 없지만 망분리의 요건에서 제일 중요한건
네트워크 케이블을 꽂을 수 있느냐가 아니고, 그 케이블을 꽂았을때 허용된 장치만 통신이 가능해야 한다가 더 정확한 요건일거라고 생각됩니다.
비용을 적게 들이는 선에서 컨트롤을 한다면 네트워크의 NIC MAC과 기타 접속을 가능하게 하는 다중 인증 과정으로 처리를 하는게 맞지 않을까 생각해봅니다.
규정상으로 정확하게 세팅이 되어있다면 해당 규정을 따라가는수밖에 없습니다.
USB 포트 락을 걸어서 외부 디바이스 문제는 블루투스가 가능하냐 따라 다른데 블루투스 지원하는 디바이스를 연결하는데 해당 사항에 대한 규정이 없다면 처리 가능하다고 보시면 될것 같습니다.
근데 블루투스도 저속이지만 통신이 다 되기는 하는건데 말이죠
클라우드 VDI의 경우도 핵심포인트는 외부와 내부의 분리가 목적이기 때문에, VDI까지 연결이되어야 하는데 해당 VDI로는 파일을 빼낼 수 없도록 뭔가의 조치(보통 보안설정 상으로 어느정도까지는 가능), 반대로 파일이 들어오지도 못하도록 보안설정이 되어야 할거고 두가지가 만족된다면 가능은 하다고 볼 수 있을 것 같습니다. 해당 사항은 MS Azure에서도 윈도우 VDI형태 서비스를 지원하므로 영업담당쪽에 문의하시면 해당 법규 관련 사항도 어느정도 가이드 있게 설명받으실 수 있을것 같습니다.
루블이 | 약 2년 전
아아 제가 조금 모호하게 적었나보네요.
저희가 사용하는 마우스는 블루투스 마우스는 아니고, USB 연결해서 사용하는 무선마우스입니다.
블루투스의 경우 자사에서 사용하는 DLP를 통해서 접근 차단 시킬 예정이고, USB 포트는 마우스만 연결 가능하도록 하는 기능이 있는지 확인해봐야겠네요.
클라우드는 목적성이 같다면 한 번 영업문의 해보는게 좋겠네요!
선배님 조언 감사합니다.