VPN 게이트웨이
1. Microsoft의 설명
VPN Gateway는 가상 네트워크 게이트웨이의 유형입니다. Azure VPN Gateway 인스턴스는 가상 네트워크의 전용 서브넷에 배포되며 다음과 같은 연결을 사용합니다.
- 사이트 간 연결을 통해 온-프레미스 데이터 센터를 가상 네트워크에 연결합니다.
- 지점 및 사이트 간 연결을 통해 개별 디바이스를 가상 네트워크에 연결합니다.
- 네트워크 간 연결을 통해 가상 네트워크를 다른 가상 네트워크에 연결합니다.
모든 데이터 전송은 인터넷을 통과할 때 프라이빗 터널 내부에서 암호화됩니다. 각 가상 네트워크에는 한 개의 VPN Gateway만 배포할 수 있습니다. 하지만 하나의 게이트웨이를 사용하여 다른 가상 네트워크 또는 온-프레미스 데이터 센터를 포함한 여러 위치에 연결할 수 있습니다.
VPN 게이트웨이를 설정할 때 정책 기반 또는 경로 기반으로 VPN 유형을 지정해야 합니다. 이 두 유형 간의 주요 차이점은 암호화가 필요한 트래픽을 결정하는 방법입니다. Azure에서는 VPN 유형에 관계없이 미리 공유된 키를 인증 방법으로 사용합니다.
- 정책 기반 VPN Gateway는 각 터널을 통해 암호화되어야 하는 패킷의 IP 주소를 정적으로 지정합니다. 이러한 유형의 디바이스는 해당 IP 주소 세트에 대해 모든 데이터 패킷을 평가하여 해당 패킷이 전송될 터널을 선택합니다.
- 경로 기반 게이트웨이에서는 IPSec 터널이 네트워크 인터페이스 또는 가상 터널 인터페이스로 모델링됩니다. IP 라우팅(고정 경로 또는 동적 라우팅 프로토콜)에 따라 각 패킷을 전송할 때 사용할 터널 인터페이스 중 하나가 결정됩니다. 경로 기반 VPN은 온-프레미스 디바이스에서 애용되는 방법입니다. 토폴로지 변경(예: 새 서브넷 생성)에 대한 복원력이 더 좋습니다.
다음과 같은 유형의 연결이 필요한 경우 경로 기반 VPN Gateway를 사용하세요.
- 가상 네트워크 간 연결
- 지점 및 사이트 간 연결
- 다중 사이트 연결
- Azure ExpressRoute 게이트웨이와 동시 사용
2. OpeaAI의 설명
Azure VPN Gateway는 Azure 가상 네트워크(VNet)와 온프레미스(또는 다른 VNet) 환경 사이에 안전한 VPN(IPsec) 터널을 구성해 주는 서비스입니다. 이 VPN Gateway에는 두 가지 주요 구현 방식이 있습니다.
- 정책 기반 VPN Gateway(Policy-based)
- 경로 기반 VPN Gateway(Route-based)
아래에서는 이 두 가지 방식의 개념, 동작 방식, 장단점 및 Azure 환경에서의 특징을 정리해보겠습니다.
1. 정책 기반 VPN Gateway (Policy-based)
1) 개념
- 정책(Policy)에 따라 트래픽을 암호화하는 방식의 VPN입니다.
- IPsec 터널을 설정할 때 트래픽의 출발지·목적지 IP 또는 프로토콜·포트를 기준으로 **“필터”**를 구성하고,
이와 일치하는 트래픽만 암호화/터널링 합니다.
2) 동작 방식
- 정책(트래픽 필터) 정의
- 예: “10.0.0.0/24에서 192.168.0.0/24로 가는 트래픽만 암호화한다.”
- IPsec SA(Security Association) 생성
- 정책과 일치하는 트래픽이 있을 때 IPsec SA가 형성되어 암호화 채널이 만들어집니다.
- 고정된 정책 기반
- 새로운 트래픽 패턴을 추가하려면 새로운 정책과 SA를 만들어야 합니다.
3) 장점
- 간단한 구조: 특정 트래픽만 선택적으로 암호화하므로, 트래픽 범위가 소규모·고정적인 경우 쉽게 구성 가능
- 명확한 필터링: 정책으로 지정된 트래픽만 터널에 태우므로 보안 측면에서 명확하게 제어 가능
4) 단점 / 제한 사항
- 확장성 떨어짐: 트래픽 패턴이 자주 바뀌거나, 여러 IP 대역을 연결해야 할 경우 정책이 복잡해지며 관리가 어려움
- 동적 라우팅 불가: BGP 등의 라우팅 프로토콜을 사용할 수 없으며, 라우팅 테이블 기반으로 트래픽을 처리하는 시나리오와 궁합이 좋지 않음
- Azure에서 제한적 지원:
- 일반적으로 VNet-to-VNet 연결이나 멀티사이트 연결을 지원하지 않음
- SKUs(예: Basic 등)에서만 일부 지원되며, 고급 기능(BGP 라우팅 등)은 불가능
- 현재는 새로운 시나리오에서 “Policy-based VPN”을 권장하지 않음
2. 경로 기반 VPN Gateway (Route-based)
1) 개념
- 라우팅 테이블(Route)에 따라 트래픽을 암호화하는 방식의 VPN입니다.
- VPN 터널(가상 인터페이스, Virtual Tunnel Interface) 위에 라우팅 테이블을 구성하고, 해당 경로로 들어오는 트래픽은 자동으로 IPsec 터널을 통해 전달됩니다.
2) 동작 방식
- 가상 인터페이스(VTI) 생성
- Azure VPN Gateway가 터널 인터페이스를 생성하고, 이 인터페이스에 대해 IPsec 암호화를 적용
- 라우팅 테이블 기반 트래픽 전달
- 트래픽이 라우팅 테이블에 따라 이 인터페이스로 라우팅되면, 자동으로 VPN 터널을 통해 전송
- 동적 라우팅(BGP) 가능
- BGP를 통해 온프레미스 라우터와 동적으로 경로를 교환해 확장 가능
3) 장점
- 유연성 / 확장성: 다양한 온프레미스, 여러 VNet, 멀티사이트 연결 시나리오에 적합하며, 트래픽이 바뀌어도 라우팅만 수정하면 됨
- BGP 지원: 동적 라우팅이 가능해, IP 주소 범위가 자주 변하거나 여러 서브넷을 연결해야 할 때 편리
- 다양한 SKU 지원: 대부분의 Azure VPN Gateway SKU에서 사용 가능
4) 단점
- 구성이 상대적으로 복잡: 라우팅 테이블 및 (필요 시) BGP 설정이 필요하므로, 네트워크 지식이 요구됨
- 정책 기반 필터링보다는 세분화가 부족할 수 있으나, NSG(Network Security Group) 등 Azure 보안 기능으로 보완 가능
3. 비교 요약
구분 정책 기반 VPN(Policy-based) 경로 기반 VPN(Route-based)
트래픽 처리 기준 |
트래픽 필터(출발지·목적지 IP, 프로토콜 등) |
라우팅 테이블(가상 인터페이스, 동적 라우팅 가능) |
확장성 / 유연성 |
낮음 (새로운 트래픽에는 새로운 정책 필요) |
높음 (라우팅 변경 / BGP 사용 가능) |
VNet-to-VNet / 멀티사이트 지원 |
대부분 지원하지 않음 |
공식적으로 지원 (멀티 VNet, 멀티사이트, BGP 등) |
Azure 지원 SKU |
제한적 (Basic 등 일부만 지원, 신규에선 비권장) |
대부분의 VPN Gateway SKU에서 지원 (예: VpnGw1, VpnGw2, VpnGw3, …) |
사용 시나리오 |
소규모, 특정 IP 범위만 고정적으로 암호화가 필요한 경우 |
다양한 온프레미스 연결, 다중 VNet, 동적 라우팅(BGP)이 필요한 복잡한 네트워크 |
4. 선택 가이드
- 트래픽이 고정적이고 규모가 작다면?
- 특정 IP 범위만 단일 VPN 터널로 연결해도 충분하고, 향후 확장이 거의 없다면 정책 기반 VPN을 고려할 수 있습니다(다만 Azure에선 대부분 경로 기반을 권장).
- 다양한 시나리오(멀티사이트, 다중 VNet, IP 대역 변경 가능성)가 있는 경우?
- 경로 기반 VPN이 필수입니다.
- BGP 라우팅이나 동적 라우팅, 멀티 VNet-to-VNet 연결이 가능한 SKU를 선택해야 합니다(VpnGw1~5 등).
- Azure 새로 구성 시?
- 경로 기반 VPN을 기본적으로 고려하는 것이 좋습니다.
- 정책 기반 VPN은 지원이 제한적이고, 앞으로의 확장이나 기능 활용 면에서도 이점이 적습니다.
5. 마무리
- 정책 기반 VPN: 정책(트래픽 필터)에 따라 IPsec 터널을 설정하는 방식. 구성은 직관적이지만 확장성이 낮고, Azure에선 제한적으로만 사용 가능.
- 경로 기반 VPN: 라우팅 테이블 또는 BGP 등 동적 라우팅을 기반으로 VPN 터널을 구성. 유연성과 확장성이 뛰어나고, Azure에서도 멀티 VNet·멀티사이트 연결에 활용할 수 있어 권장되는 방식.
실무 환경에서 확장성과 관리 편의성을 중시한다면, 대부분 경로 기반 VPN Gateway(Route-based) 방식을 사용하게 됩니다. 특히 Azure 환경에서 여러 리소스, 다양한 온프레미스 환경과 연결해야 하는 경우라면 경로 기반 VPN이 사실상 표준이라고 할 수 있습니다.