Blast Radius
블래스트 반경(Blast Radius, 폭발 반경)은 IT 인프라, 사이버 보안 및 사이트 신뢰성 엔지니어링(SRE) 분야에서 단일 컴포넌트의 장애, 구성 오류 또는 보안 침해가 발생했을 때, 그 오류로 인해 연쇄적으로 영향을 받는 시스템 기능, 데이터, 또는 사용자의 최대 범위를 지칭하는 지표이다.
클라우드 아키텍처 및 보안 설계의 핵심 목표는 이 블래스트 반경을 최소화하여 시스템의 복원력(Resiliency)을 높이는 것이다. 최소 권한 원칙(Least Privilege) 적용, 네트워크 세분화(Micro-segmentation), 서킷 브레이커(Circuit Breaker) 도입 등을 통해 치명적인 장애나 해커의 내부망 이동(Lateral Movement)이 시스템 전체로 전파되는 경로를 물리적 및 논리적으로 차단한다.
장애 격리(Fault Isolation) 수준 및 시스템 아키텍처 설계 방식에 따른 블래스트 반경의 크기와 특성 비교는 다음과 같다.
| 아키텍처 설계 방식 | 블래스트 반경 크기 | 장애 발생 시 영향 범위 | 주요 격리 및 방어 메커니즘 |
|---|---|---|---|
| 모놀리식(Monolithic) 아키텍처 | 크고 광범위함 | 코드의 일부나 단일 모듈에 오류가 발생할 경우, 애플리케이션 전체가 중단됨 | 모든 컴포넌트가 동일한 메모리 및 리소스를 공유하므로 구조적인 장애 차단이 어려움 |
| 마이크로서비스(Microservices) 아키텍처 | 중간 수준 (제한적) | 결함이 발생한 특정 서비스(예: 결제, 검색)만 다운되며, 나머지 시스템 기능은 유지됨 | 컨테이너화를 통한 런타임 분리 및 서킷 브레이커 패턴을 통한 연쇄 장애(Cascading failure) 방지 |
| 셀 기반(Cell-based) 아키텍처 | 매우 작음 (최소화됨) | 장애가 발생한 특정 셀(Cell)에 할당된 일부 사용자 트래픽만 영향을 받음 | 인프라 전체를 다수의 독립적인 소규모 복제본(Cell)으로 완전히 구획 분할하여 한 셀의 장애가 다른 셀에 영향을 주지 않도록 설계 |
출처 (Sources):
- Amazon Web Services (AWS), “Reducing the Blast Radius with Cell-Based Architecture”. Available at: https://aws.amazon.com/builders-library/workload-isolation-using-shuffle-sharding/
- Microsoft Azure Architecture Center, “Failure Mode Analysis - Blast Radius”. Available at: https://learn.microsoft.com/en-us/azure/architecture/resiliency/failure-mode-analysis
- Google Cloud, “Google Cybersecurity Action Team: Defending against lateral movement”. Available at: https://cloud.google.com/security/security-action-team