하이브리드 클라우드가 하이브리드 보안과 같을 수 없는 이유

하이브리드 클라우드 네트워크 패브릭은 오늘날 엔터프라이즈 네트워크의 많은 문제를 해결합니다. 이를 통해 기본 데이터센터 환경 위에 추상화된 단일 네트워크 아키텍처를 생성할 수 있습니다. 또한 내결함성, 복원력, 데이터센터 전반의 '탄력적' 서비스, 특정 기본 네트워크 공급업체에 의존하지 않는 네트워크 토폴로지를 지원합니다. 기업에서 여러 물리적 네트워크 환경을 관리할 수 있지만 모든 환경에 걸쳐 단일 네트워크 패브릭을 만들 수 있을까요? 

예를 들어, 기업은 AWS, Azure 및/또는 GCP에 여러 퍼블릭 클라우드 배포와 더불어 이중 데이터 센터(기본 데이터 센터와 재해 복구용 데이터 센터)를 유지할 수 있습니다. 이러한 각 호스팅 환경은 각기 다른 라우팅 및 스위칭 공급업체를 통해 고유한 특정 기술을 사용하는 기본 물리적 네트워크 아키텍처를 배포합니다.

하지만 네트워킹 업계에 소프트웨어 정의 네트워킹(SDN) 이 등장하면서 오늘날 대부분의 네트워킹 공급업체는 자체적인 "클라우드"를 만들 수 있게 되었습니다. 네트워킹 용어로 클라우드는 본질적으로 네트워크 토폴로지가 물리적 토폴로지 위에 추상화된 가상 네트워크로, 흔히 "오버레이 네트워크"라고 불립니다. 그리고 오버레이 네트워크는 본질적으로 터널의 모음이며, 모두 중앙 SDN 컨트롤러에서 관리합니다. 이 클라우드는 모든 관리 호스팅 환경에서 하나의 통합된 네트워크 패브릭을 만들 수 있습니다. 

오버레이 네트워크 토폴로지를 생성하는 데 VXLAN과 같은 터널링 프로토콜이 사용되므로 트래픽 경로는 기본 물리적 토폴로지가 배포되는 방식이 아니라 이러한 터널이 배포되는 방식에 따라 결정됩니다. 모든 네트워킹 공급업체는 이를 구현하기 위한 SDN 기반 접근 방식을 설명하기 위해 서로 다른 용어를 사용하지만, 결국에는 모두 기본적으로 터널을 사용하여 중앙 컨트롤러가 자동화하고 관리하는 오버레이 네트워크를 생성하는 동일한 작업을 수행하고 있습니다. 

이러한 공급업체 중 다수는 온프레미스 데이터 센터에서 퍼블릭 클라우드 공급업체로 오버레이 네트워크를 확장할 수 있는 기능을 갖추고 있지만, 현실은 많은 기업이 온프레미스 데이터 센터에 로컬로만 오버레이 네트워크를 배포하는 경우가 많다는 것입니다.

많은 기업은 온프레미스 SDN 솔루션을 퍼블릭 클라우드로 확장하는 대신(예: 터널링된 네트워크 토폴로지를 AWS 또는 Azure로 확장) 퍼블릭 클라우드 인스턴스에서 로컬로 관리되는 환경을 만들고 이러한 네트워크를 온프레미스 데이터센터 네트워크를 관리하는 방식과 다르게 관리합니다. AWS의 VPC, Azure의 VNet 등 각 퍼블릭 클라우드 공급업체에서 이미 사용 중인 네트워킹 방식을 사용하고 온프레미스 데이터센터의 SDN 솔루션을 다르게 관리할 수 있는 경우가 많습니다.

그 결과 '회전 의자' 방식으로 관리되는 하이브리드 클라우드 네트워크 배포가 탄생했습니다. 네트워크 관리자는 온프레미스 데이터 센터를 관리하는 데 사용되는 도구와 퍼블릭 클라우드 네트워크를 관리하는 데 사용되는 다른 도구 사이를 왔다갔다하며 의자를 돌리게 됩니다. 하이브리드 클라우드라는 용어는 종종 단일 통합 아키텍처를 의미하는데, 이는 운영 측면에서 정확하지 않은 경우가 많습니다. 

하이브리드 환경 보호

네트워크 관리에 대한 이러한 파편화된 접근 방식은 특히 하이브리드 클라우드 전반의 보안에 해당합니다. 온프레미스 데이터센터와 퍼블릭 클라우드의 각 환경에서 로컬로 관리되는 네트워크 도구가 사용되는 것처럼 보안 솔루션도 마찬가지입니다. 대부분의 SDN 네트워크 공급업체는 로컬 관리 환경에서 일정 수준의 정책 시행을 지원하는 데 사용할 수 있는 기본 통합 보안 도구를 자체적으로 보유하고 있습니다. 또한 모든 주요 퍼블릭 클라우드 공급업체는 자체 보안 솔루션을 갖추고 있어 기본적인 수준의 정책 시행도 가능합니다.

하지만 안타깝게도 이러한 보안 도구는 전체 아키텍처에서 사일로화되어 있습니다. 각 보안 솔루션은 샌드박스에서 다른 솔루션과 잘 작동하지 않으며, 모든 보안 솔루션 간에 보안 침해의 연관성을 찾는 것은 번거로운 작업으로 해결에 큰 지연을 초래합니다. 

또한 온프레미스 데이터 센터와 퍼블릭 클라우드 인스턴스 간에 워크로드가 실시간 마이그레이션되는 경우, 일반적으로 정책 적용은 해당 워크로드를 목적지까지 따라가지 않습니다. 따라서 각 환경의 보안 도구 간에 정책을 전송하기 위해 수동으로 접근하거나 모든 환경의 정보를 제공하기 위해 SIEM 솔루션에 의존해야 하는데, 이는 많은 사전 스크립팅 작업을 필요로 합니다.

운영의 복잡성으로 인해 이러한 단계가 자주 수행되지 않아 하이브리드 클라우드 전반의 보안 및 워크로드 가시성에서 상당한 격차가 발생합니다.

하이브리드 클라우드의 각 네트워크 환경에서 사일로화된 기본 보안 도구에 의존하여 워크로드에 보안을 적용하는 대신, 기본 네트워킹 도구에서 추상화된 워크로드에 직접 보안 및 가시성을 적용하는 것은 어떨까요?

오버레이 네트워크가 기본 라우터 및 스위치에 대한 종속성 위에 추상화된 토폴로지를 생성하는 것과 마찬가지로 보안에도 동일한 접근 방식을 적용하는 것은 어떨까요? 또한 보안은 기본 네트워크 패브릭 종속성에서 추상화(가상화)되어 워크로드가 호스팅되는 위치나 수명 주기 동안 라이브 마이그레이션되는 위치에 관계없이 워크로드에서 직접 활성화되어야 합니다. 오버레이 네트워크가 하이브리드 클라우드에서 네트워킹에 대한 하나의 일관된 접근 방식을 가능하게 하는 것과 마찬가지로 보안도 같은 방식으로 설계되어야 합니다. 

마이크로세그멘테이션이 도움이 되는 방법

Illumio는 전체 하이브리드 클라우드의 모든 단일 워크로드에 직접 보안(마이크로 세분화)을 적용합니다. 마이크로 세분화 정책은 보호하려는 엔티티에 최대한 가깝게 적용되어야 하므로 가상 또는 베어메탈 등 모든 워크로드에 경량 에이전트를 배포합니다:

• 이 에이전트는 트래픽에 인라인으로 연결되지 않습니다. 백그라운드에 상주하며 워크로드에서 애플리케이션 동작을 직접 모니터링하기만 하면 됩니다.
• 그런 다음 정보는 정책 컴퓨팅 엔진 (PCE)으로 다시 전송되어 호스팅 위치나 마이그레이션하는 네트워크 환경에 관계없이 모든 워크로드 간의 동작에 대한 명확한 가시성을 확보할 수 있습니다. 기본적으로 기본 네트워킹 종속성에서 추상화된 보안을 가상화합니다.
• 워크로드가 동적으로 마이그레이션되고 IP 주소가 변경되는 아키텍처에서는 IP 주소에 대한 정책 정의가 확장되지 않으므로 중앙 PCE는 간단한 레이블을 사용하여 세그먼트해야 할 대상을 정의합니다. 

PCE는 가상화된 보안 아키텍처를 생성하는 동시에, 필요한 경우 네트워크 계층에 '도달'하여 온프레미스 데이터 센터의 하드웨어 스위치에 대한 액세스 목록을 구성할 수도 있습니다. 따라서 보안이 네트워크 상에서 가상화되고 추상화되는 동안 Illumio는 하나의 중앙 정책 운영 모델에서 워크로드 및 네트워크 보안을 모두 적용할 수 있습니다. 

데이터센터 또는 하이브리드 클라우드의 기본적이고 필수적인 리소스를 컴퓨팅, 스토리지, 네트워크라고 정의한다면, 이제 이 세 가지 리소스는 모두 일반적으로 가상화되어 기본 리소스 위에 추상화되어 있습니다.

네 번째 필수 데이터센터 리소스는 보안이며, 마찬가지로 가상화 및 기본 리소스 종속성이 있어야 합니다. 하이브리드 클라우드가 하이브리드 보안과 동일해서는 안 됩니다. 보안은 전체 네트워크 클라우드 패브릭에 걸쳐 적용되어야 하며, 워크로드 보안은 모든 네트워크 패브릭에 걸쳐 하나의 통합된 보안 '패브릭'으로 워크로드에서 직접 적용되어야 합니다. 보안을 가상화하면 기본 네트워크 설계자는 네트워크 우선순위에 집중할 수 있고 워크로드 보안을 워크로드에 직접 배치할 수 있습니다.

이 접근 방식을 통해 하이브리드 클라우드 환경 전반에서 보안을 더 쉽게 관리하는 방법에 대해 자세히 알아보세요.