마이크로세분화를 위한 정책 모델에서 중요한 것은 무엇인가요?

마이크로세분화 솔루션에서 논의해야 할 모든 기능 중에서 대부분의 공급업체는 정책 모델부터 시작하지 않습니다. 그러나 주어진 솔루션이 창출할 수 있는 잠재적 결과의 측면에서 정책 모델은 가능한 것을 결정합니다. 따라서 정책 모델에 필요한 것이 무엇인지 생각해 보는 것은 후회 없는 고품질의 구매 결정을 내리기 위한 훌륭한 준비 과정입니다. 바람직한 마이크로세분화 정책 모델의 중요한 구성 요소를 각각 살펴보겠습니다.

다차원 라벨

마이크로세분화 정책은 레이블을 사용하여 기본 네트워크 주소 및 디바이스에서 세분화를 추상화합니다. 이상적으로는 이러한 레이블은 "유용하게 다차원적인" 것이어야 합니다. 레이블이 무제한인 플랫 네임스페이스는 여러 머신에 영향을 미치는 정책 문을 걸 수 있는 요약이나 구조를 제공하지 않기 때문에 유용하지 않습니다. 모든 시스템에 플랫 네임스페이스의 레이블을 지정하는 것은 IP 주소를 사용하여 정책을 지정하는 것보다 거의 낫지 않습니다. 흥미롭게도 주어진 정책 차원 내에서 레이블 수에 제한을 두지 않아야 하지만, 정책 차원을 제한하는 것은 대규모 배포에서 유용하다는 것이 입증되었습니다.

예를 들어, 인간은 세 가지 물리적 차원과 시간이라는 네 가지 차원을 쉽게 시각화할 수 있습니다. 하지만 물리학자들의 주장이 맞고 우리가 11차원 또는 13차원 공간에 살고 있다면 수학만이 그 차원을 포착할 수 있습니다. 우리의 뇌에서는 시각화할 수 없습니다. 이는 마이크로세그멘테이션에 실질적인 영향을 미칩니다. 컴퓨터가 11차원 정책을 이해하고 계산하도록 프로그래밍할 수는 있지만, 인간은 이를 이해할 수 없습니다. 사람은 마이크로세분화 정책을 검사하고, 감사하고, 이해할 수 있어야 합니다.

경험상 4차원은 지구상에서 가장 큰 규모의 네트워크도 정책 목적으로 효과적으로 모델링할 수 있으며, 모델을 이해하는 능력은 그대로 유지합니다. 따라서 플랫 태그 또는 레이블 공간보다 더 많은 정책 모델을 찾아보세요. 몇 가지 차원의 구조는 수십만 개의 시스템 규모에서 작동하지만 여전히 이해하고 작업하기 쉽습니다. 이 동영상을 통해 레이블의 강력한 기능에 대해 자세히 알아보세요.

리치 개체 모델

양질의 정책 언어에는 충분히 풍부한 객체 모델이 있습니다. 하이퍼스케일 엔터프라이즈 데이터센터는 복잡한 곳입니다. 이 모델은 서버, 가상 머신, 컨테이너, 클라우드 인스턴스 등 보호해야 하는 모든 것을 수용해야 한다는 것은 분명합니다. 그러나 이러한 보호 시스템만으로는 유용한 정책 기본 요소를 모두 추상화하기에는 충분하지 않습니다. 서비스/포트 매핑 및 IP 주소 범위에 대한 개체가 있어야 합니다. 공유 서버(예: 여러 데이터베이스 인스턴스가 있는 서버) 내에서 이러한 인스턴스를 서로 다른 가상 서비스로 추상화할 수 있어야 합니다. 컨테이너와 컨테이너 호스트는 모든 시각화 및 정책 설명의 일부에 표시되는 "1등급 시민"이어야 합니다. 특히 보호되는 시스템보다 보호되지 않는 시스템이 더 많고 이러한 시스템이 서로 통신하는 배포 초기 단계에서는 개체 모델에 보호되지 않는 시스템을 추가하는 것도 중요합니다. 모든 흐름을 깔끔하게 표현할 수 있으므로 원하는 정책을 훨씬 쉽게 지정할 수 있습니다. 최상의 솔루션은 관리되지 않는 개체를 내보내고 구현할 수 있도록 하려는 경우 관리되지 않는 개체에 대한 정책을 구축할 수도 있습니다.

상속

정책 상속은 기존 데이터 센터를 포함하도록 마이크로세분화 정책을 확장할 수 있는 유일한 방법입니다. 트래픽의 약 80%가 데이터 센터 내에서 발생한다면 기존 경계 방화벽 규칙이 트래픽의 20%만 커버한다는 의미입니다. 즉, 현재 모든 방화벽에 존재하는 것보다 5배나 많은 규칙이 데이터센터 내에 존재할 가능성이 있다는 뜻입니다! 정책 모델에서 제공하는 추상화와 유용한 차원은 순수한 허용 목록 정책 모델과 결합되어야 합니다. 이렇게 해야만 정책을 한 번 작성하여 여러 인스턴스에 적용할 수 있습니다. 애플리케이션 링펜싱과 같은 일반적인 마이크로세분화 정책에 대한 상속과 스마트 정책 자동화가 결합되어 수만 개의 시스템을 성공적으로 세분화하는 유일한 입증된 방법을 형성합니다.

선언적 대 명령적

100,000개 이상의 워크로드를 성공적으로 마이크로세분화한 유일한 정책 모델은 선언적 방법을 사용하여 세분화 요구 사항을 표현합니다. 선언적 정책 모델에서는 원하는 결과를 지정하기만 하면 됩니다. 필수 정책 모델을 사용하려면 결과를 생성하기 위해 솔루션을 정확하게 지정해야 합니다. 전통적인 방화벽 규칙 세트는 필수적입니다. 모든 문이 완벽한 순서와 정확도로 존재해야 원하는 보호 기능을 제공할 수 있습니다. 이로 인해 어려움과 복잡성은 끝이 없습니다. 그러나 이상적인 마이크로세분화 정책은 선언적 언어만을 사용합니다: "내 프로덕션 환경 내에서 주문 애플리케이션을 링펜싱하고 싶습니다." 이를 수행하는 방법은 정책 언어 뒤에 있는 정책 컴퓨팅 엔진의 비즈니스입니다. 이러한 방식으로 정책은 항상 지정하기 쉽고 이해하기 쉬우며 개발하기 쉽습니다. 수행해야 할 작업의 규모를 고려할 때 다른 방법은 실패로 이어질 것입니다.

일관된 애플리케이션

필요한 모든 기본 요소가 존재하는 경우, 최고의 마이크로세분화 솔루션은 제품의 모든 영역에서 일관되게 기본 요소를 사용합니다. 레이블은 정책 작성에만 사용되는 것이 아니라 가시성, 정책 배포 및 정책 시행에 대한 정보를 제공해야 합니다. 역할 기반 액세스 제어(RBAC)는 애플리케이션 소유자, DevOps 및 기타 사용자가 필요한 모든 항목에 액세스할 수 있도록 레이블 구조를 정확히 따라야 하며 그 이상은 허용하지 않아야 합니다. 특히 자동화된 배포를 보호하려면 이러한 정밀한 위임 기능이 필요합니다. 유용하고 명확하며 단순한 라벨 구조는 일관되게 적용될 때 정신적 모델을 만들어냅니다. 관리자는 거의 즉시 솔루션의 작동 방식을 직관적으로 이해하고 결과를 예측할 수 있습니다. 이러한 직관은 빠르게 속도로, 속도는 숙달로, 숙달은 완성된 프로젝트로 이어집니다. 단순성, 명확성, 일관성은 복잡한 데이터센터 환경을 위한 솔루션입니다.

완전한 추상화

저는 자동화가 메타데이터를 아침 식사로 먹는다는 말을 좋아합니다. 자동화는 추상화할 수 있는 것보다 더 빠르게 진행될 수 없습니다. 성공적인 정책 모델은 네트워크 주소 지정 및 시행 메커니즘 자체의 흔적을 모두 제거해야 합니다. 정책은 원하는 것만 처리해야 합니다. 이러한 방식으로 자동화는 결과를 쉽게 설명할 수 있습니다: "웹은 앱과 대화해야 합니다." 이를 실현하는 데 필요한 규칙은 동적인 클라우드 또는 자동화 환경에서 끊임없이 변화하며, 이러한 복잡성을 자동화 프레임워크가 확장하려면 자동화 프레임워크에 노출되어서는 안 됩니다. IP 주소에 의존하는 정책은 아무리 좋은 의도를 가지고 있더라도 확장할 수 없습니다. 마찬가지로 시행 메커니즘도 숨겨야 합니다. 요구 사항이 명시되면 마이크로세분화 정책 엔진은 알고 있는 리소스를 고려할 때 해당 정책을 구현하는 가장 좋은 방법을 찾아야 합니다. 이러한 방식으로 시스템이 도입되고 사라짐에 따라 시행 지점의 수가 유동적이므로 정책 및 규칙 기반도 유동적이어야 합니다. 완전히 추상화된 정책만이 DevOps 및 클라우드 설계자에게 마이크로세분화 솔루션과 원활하게 인터페이스하는 데 필요한 기능을 제공할 수 있습니다.

대규모 정책

수년 전, 거대 동물이 지구를 지배했습니다. 모든 대륙에 거대한 버전의 식물과 동물이 존재했고, 그들은 오늘날의 종보다 우뚝 솟아 있었습니다. 최고의 정책 모델에는 개별 애플리케이션에 대한 단순한 설명보다 더 큰 스케일 팩터가 포함됩니다. 모든 정책 차원에 걸쳐 레이블을 그룹화할 수 있으므로 단일 정책이 여러 데이터 센터, 환경 또는 애플리케이션의 시스템에 영향을 미칠 수 있습니다. 하이퍼스케일 엔터프라이즈를 위한 정책을 작성할 때 이러한 '메가 정책'은 놀라운 범위, 속도 및 효율성을 통해 마이크로세분화 정책으로 기업을 포괄할 수 있도록 움직입니다.

정책 모델은 추상적이고 중요하지 않은 개념처럼 보일 수 있습니다. 하지만 성공적인 마이크로세그멘테이션 배포를 위해서는 이보다 더 중요한 것은 없습니다. 정책 모델에 따라 표현할 수 있는 것과 표현할 수 없는 것이 결정되며, 표현하는 것이 얼마나 쉬운지 또는 어려운지가 결정됩니다. 회사는 UI의 색상을 빠르게 변경할 수는 있지만 고장 나거나 잘못 설계된 정책 모델을 수정하는 데 어려움을 겪을 수 있습니다. 세계에서 가장 검증된 마이크로세분화 정책 모델은 '유용한 차원'의 라벨 모델을 통해 네트워크 주소와 시행 지점을 완전히 추상화합니다. 이 모델은 제품의 모든 기능에 일관되게 적용됩니다. 전체 객체 모델을 상속 및 선언적 모델과 결합하면 원하는 결과를 쉽고 빠르게 명시하고 이를 세상에서 사실로 만들 수 있습니다. 마이크로세그멘테이션은 성숙하고 완전하며 잘 설계된 정책 모델을 통해서만 수십만 개의 워크로드 규모에서 성공할 수 있습니다.

마이크로세분화에 대해 궁금한 점에 대한 이 시리즈의 다음 편에서는 마이크로세분화 정책을 자동화하는 데 필요한 사항에 대해 설명합니다.