컨테이너 이해하기: 서비스 메시란 무엇이며 어떻게 보호할 수 있나요?

"2029년까지 전 세계 조직 중 95개 이상의 기업(% )이 운영 환경에서 컨테이너화된 애플리케이션을 실행할 것이며, 이는 2023년의 50개 미만(% )에서 크게 증가한 수치"*라고Gartner(® )는 예측합니다.

컨테이너는 오늘날 환경의 주요 기술이며 사용량이 기하급수적으로 증가하고 있습니다. 그러나 이 기술에는 네임스페이스, 포드, CNI 플러그인, 서비스 메시 등 여러 가지 용어가 있어 익숙하지 않은 조직에게는 어렵게 느껴질 수 있습니다.  

이처럼 널리 사용되고 있는 만큼 조직에서 이 기술을 이해하는 것이 중요합니다. 이 블로그 게시물에서는 관련 기술에 대해 자세히 설명합니다. 구체적으로 서비스 메시가 무엇이며 컨테이너 배포에 서비스 메시가 왜 중요한지 자세히 설명하겠습니다.  

서비스 메시란 무엇인가요?

기본 사항부터 시작하겠습니다. 서비스 메시란 무엇을 의미할까요?  

서비스 메시는 중요한 인프라 계층입니다. 여러 시스템에서 동시에 실행되는 분산 애플리케이션 내의 서비스 간 통신을 관리합니다. 서비스 메시가 기존 컨테이너 배포 위에 오버레이되어 서비스 또는 마이크로서비스 간의 통신을 관리합니다.  

애플리케이션이 확장되고 마이크로서비스의 수가 증가함에 따라 성능을 모니터링하기가 어려워집니다. 서비스 메시가 이 문제를 해결하는 데 도움이 됩니다.  

서비스 메시를 찾을 때 시중에는 다양한 옵션이 있습니다. 다음은 가장 흔히 볼 수 있는 몇 가지 예시입니다:  

• Istio

• Linkerd

• 컨설턴트 연결

서비스 메시가 어떻게 작동하나요?

서비스 메시는 동일한 포드 내에서 메인 애플리케이션 컨테이너와 함께 실행되는 보조 컨테이너인 사이드카를 삽입하여 작동합니다. 이는 지원하는 런타임과 독립적으로 존재합니다. 이러한 사이드카는 모두 메시로 연결됩니다. 배포가 완료되면 모든 파드를 서로 연결하는 데 도움이 되며 아래 이미지와 같은 모양입니다.  

서비스 메시를 사용하는 이유는 무엇인가요?

서비스 메시는 컨테이너 배포를 관리하는 데 도움이 되는 주요 기능을 제공합니다. 주요 이점 중 하나는 애플리케이션의 통신을 돕는 방식입니다.  

서비스 메시는 통신을 관리함으로써 지원하는 애플리케이션이 올바르게 작동할 수 있도록 보장합니다. 다음과 같은 기능을 통해 이를 달성합니다:

• ‍서비스검색: 다른 서비스를 검색하고 그에 따라 메시를 통해 요청을 라우팅합니다.
• ‍로드밸런싱: 서비스 인스턴스 간에 트래픽을 균등하게 분산합니다.
• ‍보안: 액세스를 인증 및 승인하고 데이터를 암호화합니다. ‍
• 관찰 가능성: 모니터링을 위해 메트릭, 로그 및 추적을 수집합니다. ‍
• 교통 통제: 사이드카를 사용하여 라우팅 및 재시도를 세밀하게 제어할 수 있습니다.

서비스 메시의 사이버 보안 위험은 무엇인가요?

서비스 메시는 클라우드 배포를 원활하게 실행하는 데 중요한 역할을 합니다. 하지만 이는 사이버 보안의 취약점이 될 수 있습니다. 그 이유는 다음과 같습니다:

• ‍복잡성: 보안 메시의 주요 이점 중 하나는 통신 및 제어 계층을 추가한다는 점입니다. 이러한 복잡성은 보안 팀에게 혼란을 가중시켜 보안 공백을 확대할 수 있습니다. 이렇게 하면 공격자가 취약점을 쉽게 찾아서 악용할 수 있습니다. ‍
• 구성 실수: 서비스 메시를 올바르게 설정하는 것은 까다로울 수 있습니다. 제대로 수행되지 않으면 사이버 공격에 대한 구멍이 생길 수 있습니다.  ‍
• 제한된 범위: 서비스 메시는 컨테이너에만 적용되며 나머지 하이브리드 멀티클라우드 시스템은 제외됩니다. 이 시스템의 일부가 보호되지 않으면 공격자가 네트워크를 통해 확산할 수 있는 진입점이 될 수 있습니다. ‍
• 새로운 기술: 서비스 메시가 비교적 새로운 기술이기 때문에 아직 발견되지 않은 알려지지 않은 취약점이 있을 수 있습니다. 문제가 발견되더라도 공급업체가 수정 사항을 구축하고 팀이 이를 구현하는 데 시간이 걸릴 수 있습니다.

일루미오 제로 트러스트 세분화로 서비스 메시 보호

이제 서비스 메시가 무엇이며 왜 중요한지 이해했으니 이제 서비스 메시를 보호하는 방법에 대해 이야기해 보겠습니다.  

옵션을 고려할 때는 컨테이너 배포와 그 기반 기술뿐만 아니라 이를 하이브리드 환경으로 확장하는 방법도 고려해야 합니다.

사일로 없이 전체 하이브리드 멀티 클라우드를 사이버 공격으로부터 보호하려면 어떻게 해야 할까요? 측면 이동은 어떻게 제어하나요?

일루미오의 제로 트러스트 세분화 플랫폼을 사용하면 가능합니다:  

• 보안 정책을 일관되게관리: 컨테이너 클러스터 내부의 파드 간 트래픽을 암호화하는 메시를 배포하세요. 그런 다음 Illumio를 사용하여 클러스터 안팎의 모든 트래픽을 적용합니다.
• 클러스터 간 측면 이동을 방지합니다: Illumio는 기본 호스트와 더 넓은 하이브리드 환경을 보호합니다. 이를 통해 데이터 센터에서 클라우드 및 컨테이너에 이르기까지 일관된 보안 정책을 보장합니다. ‍
• 공격자로부터 선제적으로 보호하세요: 공격자는 사이드카 프록시를 우회하여 서비스 메시 외부로 트래픽을 전송할 수 있습니다. Illumio를 사용하면 공격자가 다른 워크로드에 접근하지 못하도록 차단하여 이를 막을 수 있습니다.  

일루미오 제로 트러스트 세분화 플랫폼이 어떻게 잠재적인 클라우드 공격으로부터 보호하는 데 도움이 되는지 알아보려면 당사에 문의하세요.  

*가트너, 찬드라세카란, A., & 카츠라시마, W. (24 C.E., 1월 22일). 컨테이너와 쿠버네티스를 위한 CTO 가이드: 상위 10가지 FAQ. Gartner.com. https://www.gartner.com/en/documents/5128231. GARTNER는 미국 및/또는 그 계열사의 등록 상표 및 서비스 마크이며 허가를 받아 여기에 사용되었습니다. 모든 권리 보유.