일루미오 코어의 잘 알려지지 않은 기능: 가상 서비스

이 연재 에서는Illumio 보안 전문가들이 잘 알려지지 않았지만 그다지 강력하지 않은Illumio Core의기능에 대해 소개합니다.  

유출된 데이터의 가치가 암시장에서 떨어지면서 중요 리소스를 탈취하고 데이터 몸값을 요구하는 범죄의 가치가 급격히 증가했으며, 이는 매우 성공적인 범죄 비즈니스 모델이 되었습니다. 오늘날 조직의 인프라를 방해하는 것은 악의적인 공격자들에게 매우 유혹적인 목표입니다.  

인프라 리소스는 호스트 및 애플리케이션 계층에서 탈취 및 중단될 수 있으며, 두 가지 유형의 리소스는 서로 독립적으로 세분화된 규모로 시각화되고 적용되어야 합니다.  

이 블로그 게시물에서는 Illumio Core의 가상 서비스를 활용하여 에이전트 유무에 관계없이 호스트와 호스트의 애플리케이션 및 프로세스를 보호하는 방법을 알아보세요. 이를 통해 사각지대 없는 엔드투엔드 제로 트러스트 아키텍처를 제공합니다. ‍

워크로드 보안을 위한 일루미오 코어의 에이전트 없는 접근 방식

일루미오 코어는 일루미오 VEN 에이전트를 배포하여 OS에서 직접 워크로드를 관리한 다음 일루미오 PCE와 페어링합니다. 이를 통해 Illumio는 기존 보안 솔루션과 독립적으로 각 OS에 기본 제공되는 방화벽 기능을 사용하여 애플리케이션 중심 트래픽을 시각화하고 시행할 수 있습니다. 워크로드 중심의 세분화에는 기본 호스팅 환경에 구애받지 않는 솔루션이 필요합니다.

워크로드 보안 솔루션을 워크로드에 직접 푸시하는 이 접근 방식이 가장 이상적이지만, 로드 밸런서, IoT, OT 장치 등 워크로드 가시성 및 적용 아키텍처에 포함해야 하지만 타사 에이전트를 배포할 수 없는 다른 종류의 워크로드도 있습니다.  ‍

에이전트 없는 보안 솔루션은 종종 일루미오 클라우드시큐어를 통해 구현되는 퍼블릭 클라우드 플랫폼과 연관되어 있습니다. 온프레미스 환경에는 다양한 보안 옵션을 제공하는 다양한 프라이빗 클라우드 솔루션이 있지만, 이러한 솔루션은 대부분 하이퍼바이저 또는 가상 오버레이 네트워크 아키텍처에 의존합니다. 하이퍼바이저 또는 오버레이 네트워크 환경에서 세그먼트를 생성하는 것은 여전히 네트워크 중심 솔루션이지만, 워크로드 중심 세그먼테이션은 기본 호스팅 환경에 구애받지 않는 솔루션이 필요합니다. 일루미오가 VEN 에이전트 없이 어떻게 이를 구현할 수 있을까요?

일루미오 코어가 에이전트 없이 환경을 보호하는 3가지 방법

일루미오 코어는 이러한 에이전트 없는 엔터티를 통해 관리되는 워크로드 이상으로 가시성 및 시행 솔루션을 확장합니다:  

• 관리되지 않는 워크로드

• 가상 서버
• 가상 서비스

관리되지 않는 워크로드

Illumio는 호스트 이름과 IP 주소를 사용하여 VEN 에이전트 없이도 관리되지 않는 워크로드를 식별할 수 있습니다. 그런 다음 Illumio는 해당 워크로드에 레이블을 할당하여 다른 모든 관리되는 워크로드에서 해당 워크로드에 대한 액세스를 시각화하고 강제할 수 있습니다.  

Illumio는 해당 비관리 워크로드에 배포된 VEN 에이전트가 없기 때문에 원격 분석을 수신하지 않습니다. 대신 Illumio는 어떤 관리형 워크로드와 통신하고 있는지 확인할 수 있으므로 Illumio는 이러한 비관리형 에이전트 없는 워크로드를 Illumination Map 및 정책 모델에 완전히 포함할 수 있습니다.

Illumio는 관리형과 비관리형 워크로드를 모두 동일하게 관리합니다:

↪cf_200D↩↪cf_200D↩가상서버

가상 서버는 로드 밸런서를 통해 트래픽을 강제 적용하는 데 사용됩니다. Illumio는 F5 또는 AVI 로드 밸런서에 노출되는 VIP에 따라 각 가상 서버를 정의합니다. 또한 Illumio는 해당 VIP와 연결된 로드 밸런서 뒤에 배포된 풀 멤버에 대한 레이블도 생성합니다.  

Illumio의 NEN(네트워크 적용 노드) 모듈은 API 기반 워크플로우를 사용하여 보안 정책을 로드 밸런서에 직접 읽고 쓸 수 있도록 도와줍니다. 이를 통해 Illumio는 VEN 에이전트를 배포하지 않고도 로드 밸런서를 통해 가상 서버와 주고받는 트래픽을 시각화하고 적용할 수 있습니다.  

‍캡션: 일루미오는 로드 밸런서를 구성하고 풀을 관리하여 가상 서비스를 시행합니다.

가상 서비스

가상 서비스는 동일한 호스트에 상주하는 하나 이상의 특정 프로세스 또는 애플리케이션에 레이블을 지정하고 정책을 정의하는 데 사용되며, 각 가상 서비스는 기본 호스트의 레이블 및 정책과 독립적입니다. 예를 들어, 두 개의 애플리케이션이 단일 호스트에 배포된 경우 Illumio는 서로 다른 두 개의 가상 서비스를 생성하여 각각 서로 및 기본 호스트와 별개의 정책을 적용합니다.  

Illumio가 가상 서비스를 사용하여 특정 프로세스 또는 애플리케이션을 워크로드로 정의하는 경우, 배포되는 호스트와 관계없이 해당 가상 서비스를 해당 프로세스에서 사용하는 포트에 '바인딩'합니다. 가상 서비스는 단일 프로세스 또는 호스트의 특정 TCP 포트 모음에 매핑할 수 있습니다.  

Illumio는 하나의 호스트에서 서로 다른 애플리케이션에 서로 다른 레이블을 할당할 수 있습니다. 예를 들어, 한 호스트가 포트 5678에 데이터베이스 프로세스와 포스트그레스 인스턴스를 모두 배포한 경우, Illumio는 두 개의 서로 다른 가상 서비스를 생성하고 각 서비스를 각 프로세스에서 사용하는 관련 포트에 바인딩할 수 있습니다. 그런 다음 Illumio는 관리형 워크로드에 사용되는 것과 동일한 다차원 라벨링을 사용하여 라벨을 지정합니다.  

그런 다음 기본 호스트에 정의된 레이블 및 정책과는 별도로 각 애플리케이션 레이블에 대해 다른 정책을 정의할 수 있습니다:

 

프라이빗 클라우드 플랫폼에서 발생할 수 있는 서비스 또는 애플리케이션이 한 호스트에서 다른 호스트로 이동하는 경우, Illumio에서 해당 애플리케이션에 대해 정의된 정책은 변경할 필요가 없습니다. Illumio는 애플리케이션이 마이그레이션된 호스트의 새 IP 주소와 같이 업데이트된 워크로드에 대한 규칙을 동적으로 다시 계산하여 이 가상 서비스가 마이그레이션 중에 애플리케이션 중심 정책을 가져올 수 있도록 합니다.  

이를 통해 예를 들어 애플리케이션을 여러 가상 머신 간에 동적으로 마이그레이션할 수 있습니다. 애플리케이션 정책이 안정적으로 유지되므로 애플리케이션이 호스트 간에 얼마나 동적으로 마이그레이션되는지에 관계없이 애플리케이션 마이그레이션과 함께 보안 변경 제어 프로세스를 따를 필요가 없습니다.  ‍

관리형 및 비관리형 워크로드의 가상 서비스

가상 서비스는 일반적으로 관리형 워크로드에서 사용되지만, 관리되지 않는 워크로드에서도 사용할 수 있습니다. 관리되지 않는 워크로드에 여러 프로세스 또는 애플리케이션이 배포되어 있는 경우, Illumio는 각 프로세스를 서로 다른 가상 서비스에 연결하고 각 프로세스에 고유한 레이블을 지정하여 적용할 수 있습니다.  

이를 통해 보안팀은 다양한 유형의 워크로드에 걸쳐 프로세스 및 애플리케이션과 관련된 매우 세분화된 정책을 정의할 수 있습니다. 따라서 시각화 및 정책은 OS/호스트 워크로드 모델에만 국한되지 않습니다.  

이 모델을 대규모로 따르면 시각화 및 적용해야 할 엔티티가 폭발적으로 증가하여 Illumio가 쉽게 관리할 수 있습니다.

호스트 및 애플리케이션을 표적으로 삼는 위협으로부터보호

Illumio는 애플리케이션 및 호스트 네트워크 종속성을 적용하여 누가 어떤 리소스와 통신하고 있는지 명확하게 파악하고 복잡성 없이 리소스 간의 측면 이동을 차단할 수 있는 기능을 제공합니다. Illumio는 에이전트 유무에 관계없이 호스트와 호스트의 애플리케이션 및 프로세스를 보호합니다. 이를 통해 사각지대 없는 엔드투엔드 제로 트러스트 아키텍처를 제공합니다.

Illumio ZTS에 대해 자세히 알아보려면 지금 바로 문의하여 무료 상담 및 데모를 신청하세요.