컨테이너 이해하기: 서비스 메시란 무엇이며 어떻게 보안을 유지할까요?

July 17, 2024

23 최소 읽기

‍가트너® 에 따르면 “2029년까지 전 세계 조직의 95% 이상이 프로덕션 환경에서 컨테이너식 애플리케이션을 실행할 것이며, 이는 2023년의 50% 미만에서 크게 증가한 수치입니다.”*

컨테이너는 오늘날 환경의 주요 기술이며 사용량은 기하급수적으로 증가하고 있습니다.하지만 이 기술에는 네임스페이스, 포드, CNI 플러그인, 서비스 메시 등 고유한 용어도 있기 때문에 익숙하지 않은 조직에게는 부담스러울 수 있습니다.

이처럼 널리 사용되는 상황에서 조직은 이 기술을 이해하는 것이 중요합니다.이 블로그 게시물에서는 주변 기술에 대해 좀 더 자세히 설명해 보겠습니다.구체적으로 서비스 메쉬가 무엇인지, 그리고 서비스 메쉬가 컨테이너 배포에 왜 중요한지 자세히 설명하겠습니다.

Black and white clouds above an interstate interchange

서비스 메쉬란 무엇인가요?

기본부터 시작하겠습니다.서비스 메쉬라고 하면 무슨 뜻일까요?

서비스 메쉬는 중요한 인프라 계층입니다.여러 시스템에서 동시에 실행되는 분산 애플리케이션 내의 서비스 간 통신을 관리합니다.서비스 메쉬는 기존 메쉬 위에 오버레이됩니다. 컨테이너 서비스 또는 마이크로서비스 간의 통신을 관리하는 배포

애플리케이션이 확장되고 마이크로서비스의 수가 증가함에 따라 성능을 모니터링하는 것이 어려워지고 있습니다.서비스 메쉬는 이러한 문제를 해결하는 데 도움이 됩니다.

서비스 메쉬를 찾을 때 시장에서 사용할 수 있는 옵션이 많이 있습니다.다음은 가장 흔히 볼 수 있는 몇 가지 예입니다.

이스티오

링커드

콘술 커넥트

서비스 메쉬는 어떻게 작동하나요?

서비스 메쉬는 동일한 포드 내에서 기본 애플리케이션 컨테이너와 함께 실행되는 보조 컨테이너인 사이드카를 삽입하는 방식으로 작동합니다.이는 지원하는 런타임과는 독립적으로 존재합니다.이 사이드카는 모두 메시로 연결되어 있습니다.일단 배포되면 모든 포드를 하나로 연결하는 데 도움이 되며 아래 이미지와 비슷합니다.

A green and blue diagram of how a service mesh works

서비스 메쉬를 사용하는 이유는 무엇일까요?

서비스 메쉬는 컨테이너 배포를 관리하는 데 도움이 되는 주요 기능을 제공합니다.주요 이점 중 하나는 애플리케이션 통신에 도움이 된다는 것입니다.

서비스 메쉬는 통신을 관리함으로써 지원하는 애플리케이션이 제대로 작동할 수 있도록 합니다.다음과 같은 기능을 통해 이 작업을 수행할 수 있습니다.

‍서비스 디스커버리: 다른 서비스를 검색하고 그에 따라 메시를 통해 요청을 라우팅하세요.
‍로드 밸런싱: 서비스 인스턴스 전체에 트래픽을 균등하게 분배합니다.
‍보안: 액세스를 인증 및 승인하고 데이터를 암호화합니다. ‍
관찰 가능성: 모니터링을 위한 지표, 로그 및 추적을 수집합니다. ‍
교통 통제: 사이드카를 사용하여 라우팅 및 재시도를 세밀하게 제어할 수 있습니다.

서비스 메쉬의 사이버 보안 위험은 무엇입니까?

서비스 메쉬는 다음을 돕는 데 중요합니다. 클라우드 배포 원활하게 실행하십시오.하지만 사이버 보안 취약점일 수 있습니다.이유는 다음과 같습니다.

‍복잡성: 보안 메쉬의 주요 이점 중 하나는 통신 및 제어의 추가 계층을 추가한다는 것입니다.이러한 복잡성은 보안 팀에 혼란을 가중시켜 보안 격차를 가중시킬 수도 있습니다.따라서 공격자는 취약점을 쉽게 찾아 악용할 수 있습니다. ‍
구성 실수: 서비스 메시를 올바르게 설정하는 것은 까다로울 수 있습니다.제대로 설정하지 않으면 사이버 공격의 틈이 생길 수 있습니다.‍
제한된 범위: 서비스 메쉬는 컨테이너 전용이며 나머지 하이브리드 멀티 클라우드 시스템은 제외됩니다.이 시스템의 일부가 보호되지 않으면 공격자가 네트워크를 통해 확산되는 진입점이 될 수 있습니다. ‍
새로운 기술: 서비스 메시는 비교적 새롭기 때문에 아직 발견되지 않은 알려지지 않은 취약점이 있을 수 있습니다.발견되더라도 공급업체가 수정 사항을 구축하고 팀이 이를 구현하는 데 시간이 걸릴 수 있습니다.

Illumio 제로 트러스트 세그멘테이션으로 서비스 메쉬를 보호하세요

이제 서비스 메쉬가 무엇이고 왜 중요한지 이해했으니, 이제 어떻게 보호할 수 있는지 알아보겠습니다.

옵션을 고려할 때는 컨테이너 배포와 기본 기술뿐만 아니라 이것이 하이브리드 환경으로 확장되는 방법도 고려하는 것이 중요합니다.

사일로 없이 전체 하이브리드 멀티클라우드를 사이버 공격으로부터 보호하려면 어떻게 해야 할까요?어떻게 통제할 수 있을까요? 측면 이동?

와 Illumio의 제로 트러스트 세그멘테이션 플랫폼 할 수 있는 일:

‍보안 정책을 일관되게 관리합니다. 메시를 배포하여 컨테이너 클러스터 내 포드 간 트래픽을 암호화합니다.그런 다음 Illumio를 사용하여 클러스터 내부 및 외부의 모든 트래픽을 적용합니다.
‍클러스터 간 측면 이동 방지:Illumio는 기본 호스트와 광범위한 하이브리드 환경을 보호합니다.이를 통해 데이터 센터부터 클라우드 및 컨테이너까지 일관된 보안 정책이 보장됩니다. ‍
공격자로부터 사전 예방적 보호:공격자는 사이드카 프록시를 우회하여 서비스 메시 외부로 트래픽을 전송할 수 있습니다.Illumio를 사용하면 공격자가 다른 워크로드에 접근하지 못하도록 차단하여 이를 막을 수 있습니다.

문의하기 방법을 알아보려면 일루미오 제로 트러스트 세그멘테이션 플랫폼 다음 잠재적 클라우드 공격으로부터 보호하는 데 도움이 될 수 있습니다.

*가트너, 찬드라세카란, A., 카츠라시마, W. (기원 24년, 1월 22일).컨테이너 및 쿠버네티스 관련 CTO의 가이드: 10대 FAQ.가트너닷컴. https://www.gartner.com/en/documents/5128231.GARTNER는 미국 및 전 세계에 있는 Gartner, Inc. 및/또는 그 계열사의 등록 상표 및 서비스 마크이며 허가를 받아 여기에 사용되었습니다.모든 권리 보유.