호스트 기반 마이크로세그멘테이션으로 SDN 및 방화벽 배포 간소화

소프트웨어 정의 네트워킹(SDN) 과 세분화는 둘 다 자동화를 우선시하기 때문에 종종 동시에 논의되기도 합니다. SDN은 네트워킹과 관련된 많은 작업을 자동화하며, 대부분의 최신 보안 침해는 자동화되어 있으므로 세분화 도구도 이와 유사한 방식을 따라야 합니다. 또한 신뢰 경계는 전통적으로 모든 클라우드 아키텍처의 네트워크 계층에 존재하는 것으로 이해되어 왔습니다. SDN 컨트롤러를 사용하면 대규모 네트워크 아키텍처를 중앙에서 관리하고 오케스트레이션할 수 있으므로 이러한 컨트롤러에 세그먼테이션을 추가하여 오케스트레이션을 개선하는 것이 좋습니다.

즉, SDN의 "N"은 네트워킹을 의미한다는 점을 명심해야 합니다. 따라서 모든 SDN 컨트롤러가 배포하는 모든 세그멘테이션은 호스트 문제가 아닌 네트워크 문제에 집중하도록 구현됩니다. SDN 컨트롤러는 호스트를 네트워크 패브릭에 연결되는 노드로서 전통적인 방식으로 보고, 해당 호스트에서 실행되는 애플리케이션은 네트워크 중심 툴이 아닌 호스트 중심 툴을 사용하여 관리합니다. 네트워킹 도구가 모든 단일 호스트 또는 애플리케이션에 특정한 작업을 관리하는 경우는 거의 없습니다. 컨트롤러는 네트워크 패브릭에서 트래픽 전달 결정을 시행하기 위해 네트워크 세그먼트를 생성하며, 이러한 결정은 네트워크 부하, 지연 시간, 링크 장애, 동적 라우팅 프로토콜 비용 등 라우터 및 스위치와 가장 관련이 있는 메트릭에 따라 이루어집니다. 이러한 메트릭은 호스트별 세분화 요구 사항과 거의 관련이 없습니다.

네트워크 세분화 및 호스트 기반 마이크로세분화

신뢰 경계를 정의할 때 관련 세그먼트를 만들 위치를 결정하면 호스트 워크로드를 관리하는 팀과 네트워크를 관리하는 팀 간에 두 가지 대화가 병렬로 진행됩니다. 두 팀 모두 '세분화' 또는 '마이크로세분화'라는 동일한 용어를 사용하지만, 그 의미는 서로 다릅니다. 두 팀이 함께 작업하지 않고 각자의 도구를 사용하여 각 유형의 세그먼트를 배포하고 관리하는 경우, 그 결과 아키텍처의 규모가 커짐에 따라 운영상의 한계가 발생하는 사일로화된 접근 방식이 될 수 있습니다.

예를 들어 네트워킹 팀에서 데이터 센터 SDN 솔루션으로 Cisco ACI를 배포했을 수 있습니다. ACI는 자체 메커니즘을 사용하여 브리지 도메인 및 엔드포인트 그룹(EPG)과 같은 세그먼트를 만듭니다. 워크로드는 EPG 내에 배포되며, 더 세분화된 네트워크 세그먼트를 생성하기 위해 더 작은 '마이크로 EPG'로 분할할 수 있습니다.

그러나 이는 여전히 네트워크 중심의 세분화 개념입니다. 예를 들어 데이터 센터에 10개의 호스트가 있는 경우 Cisco ACI에서 10개의 EPG 세그먼트를 생성하여 각 호스트에 신뢰 경계를 적용할 수 있습니다. 그러나 워크로드가 100개 또는 1,000개인 경우 각 호스트에 대해 100개 또는 1,000개의 EPG 세그먼트를 생성하는 것은 운영상 비현실적입니다. SDN 컨트롤러를 사용하여 동일한 수의 네트워크 세그먼트와 호스트를 생성하면 단순히 확장할 수 없습니다.

SDN 솔루션은 네트워크 세분화 우선 순위를 해결하기 위해 자체 세그먼트를 생성하지만 개별 호스트를 세분화하려면 호스트 기반 접근 방식을 고려해야 합니다.

SDN 및 오버레이 네트워크

SDN의 장점 중 하나는 네트워크 토폴로지가 더 이상 라우터와 스위치의 물리적 토폴로지에 의존하지 않는다는 사실입니다. 터널링 프로토콜(예: VXLAN 또는 GENEVE)은 네트워크를 가상화하는 데 사용됩니다. 이제 네트워크도 데이터센터 컴퓨팅 및 스토리지 리소스와 거의 동일한 방식으로 가상화할 수 있으므로 이러한 터널링 방법을 사용하여 네트워크 경로와 링크를 프로그래밍 방식으로 정의할 수 있으므로 컨트롤러는 물리적 인프라를 변경할 필요 없이 필요에 따라 네트워크 토폴로지를 신속하게 재구성할 수 있습니다. 이를 통해 퍼블릭 클라우드 네트워크 패브릭에서 네트워크가 가상화되는 방식과 유사하게 온프레미스 데이터센터의 네트워크 패브릭을 가상화할 수 있습니다.

VXLAN과 같은 오버레이 네트워크에는 1,600만 개가 넘는 많은 수의 고유 ID가 있으므로 이러한 ID를 사용하여 SDN 컨트롤러가 네트워크의 모든 호스트에 세그먼트를 할당할 수 있는 마이크로세그멘테이션 아키텍처를 만들고 싶을 수 있습니다. 하지만 SDN 컨트롤러는 개별 호스트에서 VXLAN 세그먼트를 종료하지 않습니다. 이러한 모든 고유 ID는 SDN 컨트롤러가 레이어 2 패킷을 레이어 3 프레임 내에 캡슐화하는 등의 네트워킹 문제를 해결하는 데 사용됩니다. 모든 호스트에서 마이크로세그멘테이션을 활성화하려면 네트워크에 배포되어 네트워킹 작업에 집중하는 외부 SDN 컨트롤러가 아닌 호스트 자체에서 사용되는 메커니즘을 활성화해야 합니다.

호스트 수준 도구가 SDN에 어떻게 도움이 될 수 있나요?

대부분의 SDN 솔루션이 직면한 과제는 애플리케이션 흐름에 대한 가시성입니다. 애플리케이션 관점에서 애플리케이션 동작을 파악하는 것은 네트워킹 도구의 과제입니다. SDN 컨트롤러는 네트워크 토폴로지, 네트워크 세그먼트, IP 주소, 트래픽 메트릭에 대한 심층적인 가시성을 제공하지만, 예를 들어 SQL 서버와 웹 서버 간의 동작과 필요한 네트워크 리소스를 명확하게 파악하는 것은 SDN 컨트롤러로는 쉽지 않은 경우가 많습니다. 확장 가능한 클라우드 아키텍처를 설계하려면 네트워크에서 애플리케이션 간의 동적 요구 사항을 파악하는 것이 필요합니다.

일루미오와 같은 호스트 기반 솔루션을 SDN 아키텍처를 사용하는 데이터센터에 배포할 때는 애플리케이션 종속성 맵과 같은 매핑 기능을 통해 호스트별 요구 사항을 해결하는 네트워크 리소스 설계에 도움이 되는지 확인해야 합니다. Illumio는 모든 SDN 솔루션과 공존하며, 애플리케이션 종속성 맵은 호스트별 세그먼트를 정의하는 데 사용되지만, 동일한 맵을 통해 네트워크가 SDN 컨트롤러에 의해 배포 및 관리될 때 애플리케이션 요구 사항을 명확하게 파악할 수 있습니다.

호스트 기반 마이크로세그멘테이션과 네트워크 수준 세분화는 각각 다른 요구 사항을 해결하기 때문에 공존할 수 있고 공존해야 합니다. 호스트 기반 접근 방식을 구현하면 SDN 솔루션이 모든 클라우드 아키텍처에서 네트워크 리소스를 보장할 수 있는 애플리케이션 수준의 가시성 기능을 확보할 수 있습니다.

호스트 기반 마이크로세그멘테이션에 대한 Illumio의 접근 방식에 대한 자세한 내용은 https://www.illumio.com/solutions/micro-segmentation 에서 확인하세요.