워크로드 세분화 모범 사례: 간결하고 간소화된 워크로드? 아니면 무겁고 복잡한가?
'사이버 보안'은 광범위한 주제를 다루며, 그 중 일부에는 네트워크 우선 순위, 호스트 우선 순위, 인증, ID, 자동화, 규정 준수 등이 포함됩니다. 마이크로 세그멘테이션 이 광범위한 원칙의 한 부분이지만 많은 사람들은 여전히 이를 대규모로 구현하는 것이 어렵다고 생각합니다.
모든 최신 워크로드에는 Linux의 iptables와 같은 통합 방화벽과 포트 필터가 포함되어 있습니다.개별 워크로드에 이 기능을 구성하는 것은 비교적 간단하지만 대규모로 구성하는 것은 어려운 경우가 많습니다.모놀리식 워크로드에서 마이크로서비스로의 마이그레이션이 진화하는 상황에서 이렇게 하면 이러한 문제를 운영하기가 훨씬 더 어려워집니다.그 결과 아키텍처의 워크로드 계층에서의 세그멘테이션은 거의 수행되지 않고, 대신 기본 네트워크 패브릭에 맡겨 구현하기만 하면 됩니다.네트워크 세분화는 워크로드 세분화에 필요한 것과는 다른 이유로 구현되는 경우가 많기 때문에 이러한 접근 방식은 우선 순위에 충돌을 야기합니다.
하이브리드 클라우드 및 마이크로서비스 아키텍처의 워크로드 계층에서 세분화하기 위한 두 가지 주요 요구 사항은 자동화와 대규모 아키텍처 지원입니다.자동화는 인적 요소를 최대한 제거하는 것을 의미합니다. 사람이 운영 프로세스에 더 많이 참여할수록 구성 오류와 오류가 발생할 가능성이 커지기 때문입니다.대규모 아키텍처를 지원한다는 것은 일정 규모에 도달한 후 전체 아키텍처에 장애가 발생하는 것을 방지하는 방식으로 세그멘테이션 자동화를 지원한다는 의미입니다.
이러한 요구 사항은 “무거운” 접근 방식과 “가벼운” 접근 방식 중 하나로 구현할 수 있습니다.이 두 가지 접근 방식을 비교하여 여러분과 조직에 가장 적합한 것이 무엇인지 알아보겠습니다.
마이크로세그멘테이션에 대한 두 가지 접근 방식 이야기
먼저 우리가 생각하는 “무거운” 접근 방식에 대해 논의해 보겠습니다.예를 들어 Cisco Tetration과 같은 복잡한 접근 방식은 모든 워크로드에서 모든 패킷을 캡처하고, 네트워크 패브릭 전반에서 네트워크 분석을 수행하고, 대규모 세그멘테이션 정책을 구현하기 위해 상당한 수준의 사용자 개입을 필요로 하는 데 중점을 둡니다.이러한 도구를 운영하는 것은 매우 복잡하며, 따라서 마이크로 세분화를 구현하는 “무거운” 접근 방식이라고 할 수 있습니다.
이와는 대조적으로 Illumio와 같은 “경량” 접근 방식은 마이크로 세분화를 위해 특별히 제작.이들은 하나의 제품으로 탄생한 것이 아니라 나중에 다른 제품으로 개조되었습니다.이들은 오로지 워크로드 계층의 세분화에만 초점을 맞추고 기본 네트워크의 구현 방식에는 의도적으로 구애받지 않고 네트워크 분석 작업은 네트워킹 도구에 맡깁니다.이 접근 방식을 사용하면 자동화에 중점을 두고 사람의 개입이 거의 필요하지 않은 세그멘테이션 정책 구현이 간소화됩니다.
세그멘테이션은 언제 아키텍처를 망가뜨리나요?
이는 사실이지만 반복해서 말씀드릴 수 있습니다. 솔루션이 복잡할수록 운영 상한선에 더 빨리 도달한다는 것입니다.어느 시점에서는 복잡한 솔루션 때문에 전체 워크로드 세분화 아키텍처의 확장 범위를 가로막는 궁극적인 장애물이 될 수 있습니다.
마이크로 세분화를 위한 더 무겁고 복잡한 솔루션은 소규모 사용 사례에 적합하지만 이러한 사용 사례가 증가함에 따라 결국 운영 오버헤드가 줄어들고 엄격한 한계에 도달하게 됩니다.이 시점에서는 추가 워크로드가 보호되지 않는 경우가 많으며 자동화는 무너지기 시작합니다.솔루션이 더 많은 작업을 수행할수록 복잡성은 결국 운영 부담으로 이어집니다.
마이크로 세그멘테이션 공급업체는 관리 워크로드의 상한선을 반영하는 수치를 자주 발표하는데, 이 수치는 예상 성장을 수용할 수 있을 만큼 충분히 큰 것으로 보입니다.그러나 하이브리드 클라우드 아키텍처를 채택하는 조직이 늘어남에 따라 가상화는 기존 베어메탈 호스트의 경우보다 훨씬 더 많은 워크로드를 생성합니다.또한 마이크로서비스 아키텍처는 호스트 내에 IP 주소 지정이 가능한 엔티티를 상당히 많이 생성하므로 총 워크로드 수가 빠르게 증가합니다.관리되는 워크로드의 수는 세그멘테이션을 운영하는 데 사용되는 도구에 의해 결정되어서는 안 됩니다.중단 없는 워크로드 증가 주기를 보장하려면 적은 숫자로도 충분하다고 가정하지 마십시오.
진화하는 하이브리드 클라우드 아키텍처에서 마이크로 세그멘테이션을 자동화하려면 상한선에 도달한 후에도 솔루션이 고장나지 않아야 합니다.
자동화, 인간
자동화에는 간결하고 간소화된 아키텍처가 필요합니다.모든 클라우드 환경에서 발생하는 보안 침해 사례 중 상당수는 관리자의 정직한 실수로 인한 것입니다.워크로드 라이프사이클이 더욱 동적이고 네트워크 세그먼트에 있는 위치가 점점 더 짧아짐에 따라 보안 프로세스를 자동화하고 운영 프로세스에서 사람의 개입으로 인한 중대한 위험을 제거하는 것이 더욱 중요해졌습니다.
Illumio는 경량 접근 방식의 예로 다음과 같은 개념을 사용합니다. 4차원 레이블 및 애플리케이션 링펜싱을 통해 워크로드를 처음 시작할 때 워크로드에 세그멘테이션을 적용하는 프로세스를 간소화하고 자동화할 수 있습니다.이를 통해 세그멘테이션 경계를 자동으로 제안하거나 관리자가 이러한 경계를 정의할 수 있습니다.이렇게 하면 사람의 개입으로 인해 실수로 오류가 발생할 위험이 크게 줄어듭니다.
Tetration과 같은 대부분의 대규모 솔루션에는 IP 주소 지정과 독립적으로 워크로드를 추적하기 위해 워크로드에 태그를 적용하는 옵션이 포함되어 있습니다.그렇긴 하지만, 프로세스는 “무겁고” 복잡하며, 운영을 위해서는 초기에 상당한 양의 인적 상호 작용과 전문 지식이 필요합니다.짐작할 수 있듯이 프로세스에 사람의 개입과 전문 지식이 많이 필요할수록 의도하지 않은 오류가 발생할 위험도 커집니다.
워크로드 세분화를 자동화할 계획을 세울 때는 다음 규칙을 염두에 두십시오. 프로세스가 복잡할수록 위험이 커집니다.
마이크로서비스 도입, 더 많은 워크로드 기대
애플리케이션 개발을 모놀리식 워크로드에서 마이크로서비스로 마이그레이션하면 관리해야 하는 워크로드의 수가 크게 늘어나는 효과가 발생합니다.가상화가 등장하면서 단일 베어메탈 호스트가 각각 고유한 IP 주소를 가진 많은 VM을 관리할 수 있게 되었습니다.그리고 이제 마이크로서비스의 등장으로 각 VM은 많은 컨테이너화된 구조를 호스팅할 수 있게 되어 IP 주소가 훨씬 더 많아졌습니다.
IP 주소를 가진 네트워크의 모든 엔티티를 워크로드로 정의하면 마이크로서비스 환경에서 워크로드의 수가 폭발적으로 증가할 수 있습니다.모니터링해야 하는 워크로드의 수가 엄청나게 많기 때문에 다음을 수행할 수 있는 솔루션이 필요합니다. 매우 큰 숫자로 확장합니다.
시각화가 가장 중요합니다
워크로드 모니터링은 정책 적용과 시각화라는 두 가지 기본 사항을 의미합니다.하지만 수많은 워크로드에서 애플리케이션이 서로에게 어떤 영향을 미치는지 어떻게 시각화할 수 있을까요?워크로드 커뮤니케이션을 시각화하는 데 의존할 수는 없습니다. 네트워크 세분화.마이크로서비스의 경우 시각화의 필요성은 VM-VM 트래픽 이상으로 확장되며, 컨테이너 라이프사이클을 오케스트레이션하기 위해 Kubernetes 또는 OpenShift를 사용하는 경우 포드, 노드 및 서비스 간의 통신을 포함해야 합니다.
Tetration과 같은 대규모 솔루션은 컨테이너화된 환경 내에서 정책을 적용할 수 있지만 이러한 구조 내에서 애플리케이션 트래픽을 시각화하는 것은 제한적입니다.이러한 솔루션을 통해 호스트 간 트래픽을 시각적으로 매핑할 수 있는 경우가 많지만 뷰는 여기서 그치고 호스트 내 컨테이너화된 구조 간의 트래픽은 누락됩니다.반면, 가벼운 솔루션은 베어메탈 호스트에서 VM 및 모든 호스트 내의 모든 컨테이너화된 구조까지 가시성을 확장합니다.예를 들어 Illumio가 솔루션을 구축할 때 모놀리식 워크로드이든 컨테이너화된 워크로드이든 모든 워크로드를 완벽하게 파악할 수 있습니다. 애플리케이션 종속성 맵
워크로드가 온프레미스 데이터 센터와 퍼블릭 클라우드 패브릭 전반의 하이브리드 클라우드 및 다양한 컴퓨팅 리소스에서 진화함에 따라 호스팅 방식에 관계없이 모든 애플리케이션 트래픽과 동작을 시각화하는 것이 필수적입니다.이러한 세부 정보가 더욱 복잡해지고 동적화됨에 따라 생성하고 적용하기 위해서는 시각화가 더욱 중요해집니다. 사람이 읽을 수 있는 선언형 정책.
결론은
규모에 맞게 자동화된 방식으로 워크로드 세분화를 구현하는 방법을 결정할 때는 간결하고 간소화된 접근 방식이 실행 가능한 유일한 옵션입니다.해상에서의 속도와 민첩성이 목표라면 간혹 쾌속정을 배치하는 것이 전함을 배치하는 것보다 더 나은 선택인 것처럼, 현대의 하이브리드 클라우드와 컴퓨팅 패브릭 전반에 마이크로 세그멘테이션을 배포하는 방식도 마찬가지입니다.복잡성을 줄이고 솔루션을 “무겁지 않게” “경량”으로 유지하세요.