일루미오와 팔로알토 네트웍스의 통합에 대해 자세히 알아보기

솔루션 마케팅 이사

9월 30, 2020

23 분 읽기

마이크로세그멘테이션과 방화벽은 기업이 공격 표면을 줄이고 데이터센터 및 클라우드 환경 내에서 횡방향으로 이동하거나 동서 트래픽 흐름을 통해 빠르게 전파되는 랜섬웨어, 멀웨어 및 기타 위협에 대한 노출을 제한하는 데 도움이 됩니다. 하지만 아시다시피 오늘날의 기업은 사용자, 디바이스, 워크로드가 점점 더 모든 곳에 분산되어 있는 고도로 분산된 형태를 띠고 있습니다. 이를 해결하기 위해 기업은 네트워크와 워크로드 양쪽에서 보안을 구현해야 합니다.

워크로드는 일시적이며 대부분의 워크로드는 네트워크 패브릭 간에 스핀업 및 스핀다운되거나 컴퓨팅 리소스를 동적으로 할당하는 컨트롤러에 의해 여러 가지 이유로 IP 주소가 변경됨에 따라 다양한 IP 주소가 할당됩니다. 특히 퍼블릭 클라우드 패브릭에서 호스팅되는 최신 마이크로서비스 아키텍처의 경우 워크로드가 끊임없이 죽었다가 다시 살아나며 네트워크에서 동적으로 이동하는 경우가 많습니다. 어떤 형태로든 워크로드를 정적으로 식별하기 위해 IP 주소를 사용하는 것은 과거의 유물입니다. 따라서 워크로드의 수명 주기 전반에 걸쳐 효과적인 보안을 적용하려면 실시간 컨텍스트를 매핑하는 것이 중요합니다.

동적인 특성으로 인해 조직이 실행하는 모든 워크로드에 마이크로세분화 정책을 매핑하고 적용하는 것은 종종 어렵습니다. 애플리케이션 워크로드는 주로 동서 트래픽 흐름을 통해 서로 통신하지만, 데이터 센터 또는 클라우드 환경의 트래픽은 경계에서 남북 트래픽을 통해 보안을 유지합니다. 효과적인 마이크로세그멘테이션을 달성하려면 네트워크 패브릭에서 차세대 방화벽(NGFW)까지, 그리고 워크로드 수준에서 작동하는 에이전트 기반 솔루션이 적용될 수 있는 호스트 인프라까지 워크로드가 이동하는 모든 곳에서 실시간 정책 업데이트를 구현해야 합니다. 동서남북의 동적 워크로드에 대한 보안 정책을 매핑하는 것은 복잡하고 대규모로 관리하기 어렵습니다. 보안 정책 변경 사항이 NGFW와 에이전트 기반 마이크로세분화 도구에서 사일로 방식으로 관리되는 경우 불일치가 발생할 수 있습니다.

메타데이터를 사용하여 동적 보안 자동화

Illumio Core는 네트워크 주소에 의존하는 대신 레이블 형태의 메타데이터를 사용하여 워크로드를 식별합니다. 관리자는 워크로드마다 다른 레이블을 할당할 수 있으며, 이러한 레이블을 사용하여 정책을 정의할 수 있습니다. 일루미오 코어는 각 워크로드에 배포된 가상 시행 노드(VEN) 에이전트를 사용하여 백그라운드에서 해당 워크로드의 IP 주소 변경을 추적합니다. 워크로드의 수명 주기 동안 IP 주소가 10번 변경되더라도 레이블은 일관되게 유지됩니다. 그 결과 기본 네트워크의 설계 방식과 독립적으로 정책이 정의됩니다. 패킷 포워딩은 여전히 IP 조회를 통해 수행되지만, 이는 보이지 않는 곳에서 이루어집니다. 레이블은 다양한 워크로드를 식별하는 데 사용되는 구조가 되며, 이러한 레이블을 사용하여 정책을 작성하기 때문에 IP와 포트의 목록이 아닌 사람의 문장처럼 읽히는 레이블이 생성됩니다.

팔로알토 네트웍스는 태그 형태의 메타데이터를 사용하여 파노라마 또는 PA-7000 시리즈, PA-5200 시리즈, PA-3200 시리즈, VM 시리즈 가상 차세대 방화벽과 같은 팔로알토 네트웍스 NGFW의 동적 주소 그룹(DAG) 내부의 워크로드를 식별하는 것과 유사한 철학을 가지고 있습니다. 방화벽은 주소 그룹을 생성하고 이를 정적 또는 동적으로 정의한 다음 이를 사용하여 정책을 정의할 수 있습니다. 그 결과 방화벽 규칙은 특정 IP 주소가 아닌 DAG 이름을 사용하여 누가 누구에게 무엇을 할 수 있는지 정의하는 사람의 문장처럼 읽힙니다. DAG는 IP 주소가 할당되지 않은 '빈 버킷'과 같습니다. 동적 주소 그룹인 경우 이 빈 버킷은 일부 외부 엔티티의 IP 주소로 채워집니다.

에이전트 기반 마이크로세그멘테이션을 위한 일루미오 코어를 도입함으로써 사용자는 워크로드에 대한 실시간 컨텍스트를 파노라마 또는 팔로알토 네트웍스 NGFW 내부의 DAG에 직접 푸시할 수 있습니다. 이 솔루션은 팔로알토 네트웍스 사용자가 DAG 기반 정책을 최신 워크로드 정책 변경 사항에 따라 완전히 최신 상태로 유지할 수 있도록 지원합니다. Illumio는 모든 워크로드의 변경되는 IP 주소를 추적하면서 이러한 레이블이 지정된 워크로드 매핑을 팔로알토 네트웍스에 푸시할 수 있습니다. 따라서 Illumio Core가 10개의 워크로드를 "앱" 워크로드로 매핑하고 팔로알토 네트웍스 방화벽이 "앱"이라고도 하는 DAG를 생성하고 정책 세트에서 해당 DAG를 사용하는 경우, 방화벽은 Illumio가 해당 DAG를 채우게 됩니다. 레이블이 지정된 워크로드에 IP 주소가 할당되거나 해제 또는 변경되면 이러한 모든 변경 사항을 Palo Alto Networks 방화벽으로 푸시할 수 있습니다.

관리자가 방화벽을 한 번만 구성하면 IP 주소가 변경될 때마다 방화벽을 건드릴 필요가 없다는 점이 가장 큰 장점입니다. 워크로드 규모가 증가하더라도 방화벽은 조용히 유지됩니다. "앱" 워크로드용 DAG에 10개 또는 100개의 IP 주소가 포함된 경우 배포 규모가 증가해도 방화벽을 수정하기 위한 변경 제어 프로세스가 필요하지 않습니다. Illumio는 필요에 따라 방화벽을 업데이트하기만 하면 됩니다.

통합의 일환으로 Illumio Core의 워크로드에 대한 레이블과 IP는 팔로알토 네트웍스 DAG에 동적으로 매핑됩니다. 결과는? 사용자는 동적 워크로드에 대한 정적 보안 정책 변경을 수동으로 관리할 필요가 없습니다. 자동화를 활용하면 실시간 워크로드 보안 업데이트를 유지 관리할 때 잘못된 구성과 인적 오류로 이어질 수 있는 인적 요소를 제거할 수 있습니다.

일루미오 및 팔로알토 네트웍스와 함께라면 네트워크 확장이나 발전에 따라 보안을 희생할 필요가 없습니다. 변화하는 애플리케이션 워크로드에 대한 효과적인 마이크로세그멘테이션 정책을 조율하는 데 드는 시간과 노력, 골치 아픈 문제를 줄일 수 있는 실시간 워크로드 컨텍스트를 통해 Panorama의 DAG와 NGFW를 자동으로 업데이트하는 이점을 누릴 수 있습니다.

일루미오와 팔로알토 네트웍스 간의 API 워크플로

Illumio Core에서 워크로드에는 추가적인 컨텍스트를 제공하기 위해 역할, 애플리케이션, 환경, 위치라는 메타데이터 레이블이 할당됩니다. 예를 들어, 뉴욕 데이터 센터에 개발을 위해 배포된 주문 애플리케이션의 일부인 웹 계층 워크로드에는 역할 레이블 웹, 애플리케이션 레이블 주문, 환경 레이블 개발 및 위치 레이블 NY_DC가 할당됩니다.

팔로알토 네트웍스 파노라마에서는 레이블을 사용하여 일치 조건으로 정의된 DAG(동적 주소 그룹)를 사용하여 정책을 만들 수 있습니다. DAG로의 멤버십 변경은 자동으로 이루어지므로 변경 관리 및 승인이 필요 없습니다!

API 기반 통합 도구인 "Illumio-Palo Alto Networks DAG Updater"는 전체 수명 주기 동안 IP 주소 변경(예: 데이터 센터의 VM 마이그레이션 또는 클라우드 호스트의 ENI 변경) 및 메타데이터 변경(예: Quarantine으로 레이블이 다시 지정된 워크로드)을 포함하여 워크로드를 동적으로 등록 및 등록 취소합니다. 워크로드가 동적으로 등록 및 등록 취소됨에 따라 DAG의 멤버십이 변경되고 올바른 정책 세트가 워크로드에 자동으로 적용됩니다.

워크로드의 전체 수명 주기 동안 DAG 멤버십을 자동으로 업데이트하는 기능을 통해 여러 데이터센터에 걸쳐 애플리케이션 중심 정책을 적용하고 다계층 아키텍처에서 쉽게 확장할 수 있습니다.

다음은 개발과 프로덕션의 워크로드 간 환경 세분화의 간단한 예입니다.