워크로드 세분화를 위한 모범 사례: 간결하고 능률적일까요, 아니면 무겁고 복잡할까요?

'사이버 보안'은 네트워크 우선순위, 호스트 우선순위, 인증, 신원 확인, 자동화, 규정 준수 등 광범위한 주제를 다루고 있습니다. 마이크로 세분화는 이러한 광범위한 원칙의 한 부분이지만, 여전히 많은 사람들이 이를 대규모로 구현하는 것이 어렵다고 생각합니다.

모든 최신 워크로드에는 Linux의 iptables와 같은 통합 방화벽 및 포트 필터가 포함되어 있습니다. 개별 워크로드에서 이를 구성하는 것은 비교적 간단하지만 대규모로 구성하는 것은 종종 어려운 일입니다. 그리고 모놀리식 워크로드에서 마이크로서비스로의 마이그레이션이 진화하는 과정에서 이러한 과제는 더욱 어려워지고 있습니다. 그 결과 아키텍처의 워크로드 계층에서 세그먼테이션을 수행하지 않고 기본 네트워크 패브릭에 이 작업을 구현하도록 맡기는 경우가 많습니다. 이 접근 방식은 네트워크 세분화가 워크로드 세분화에서 요구되는 것과 다른 이유로 구현되는 경우가 많기 때문에 우선 순위가 충돌할 수 있습니다.

하이브리드 클라우드와 마이크로서비스 아키텍처 모두에서 워크로드 계층의 세분화를 위한 두 가지 핵심 요구 사항은 자동화와 대규모 아키텍처 지원입니다. 자동화는 사람이 운영 프로세스에 더 많이 관여할수록 잘못된 구성과 오류가 발생할 가능성이 높아지므로 인적 요소를 최대한 제거한다는 의미입니다. 또한 대규모 아키텍처를 지원한다는 것은 특정 규모에 도달한 후 전체 아키텍처의 장애를 방지하는 방식으로 세분화 자동화를 활성화하는 것을 의미합니다.

이러한 요구 사항은 '무거운' 접근 방식 또는 '가벼운' 접근 방식 중 한 가지 방식으로 구현할 수 있습니다. 이 두 가지 접근 방식을 비교하여 여러분과 조직에 가장 적합한 방법을 찾아보세요.

마이크로세분화에 대한 두 가지 접근 방식 이야기

먼저 '무거운' 접근 방식에 대해 논의해 보겠습니다. 예를 들어 Cisco 테트레이션과 같은 더 무거운 접근 방식은 모든 워크로드의 모든 패킷을 캡처하고 네트워크 패브릭 전체에서 네트워크 분석을 수행하며 대규모로 세분화 정책을 구현하는 데 상당한 양의 인적 개입을 필요로 하는 데 중점을 둡니다. 이러한 도구를 운영하는 것은 매우 복잡하기 때문에 마이크로 세분화를 구현하는 데 있어 '무거운' 접근 방식이라고 할 수 있습니다.

이와는 대조적으로, Illumio와 같은 '경량' 접근 방식은 마이크로 세분화를 위해 특별히 설계되었습니다. 하나의 제품으로 탄생했다가 나중에 다른 제품으로 수정된 것이 아닙니다. 이들은 워크로드 계층에서의 세분화에만 집중하고 기본 네트워크가 구현되는 방식에는 의도적으로 무관심하며 네트워크 분석 작업은 네트워킹 도구에 맡깁니다. 이 접근 방식을 사용하면 자동화에 중점을 둔 세분화 정책 구현이 간소화되어 사람의 개입이 거의 필요하지 않습니다.

세분화는 언제 내 아키텍처를 망가뜨리나요?

솔루션이 복잡할수록 운영 상한에 더 빨리 도달한다는 것은 진리이지만, 반복해서 강조할 필요가 있습니다. 복잡한 솔루션은 어느 시점에서 전체 워크로드 세분화 아키텍처가 확장할 수 있는 범위의 한계에 부딪히게 됩니다.

마이크로 세분화를 위한 더 무겁고 복잡한 솔루션은 소규모 사용 사례에서는 효과가 있지만, 사용 사례가 증가함에 따라 결국 운영 오버헤드에 부담을 주고 한계에 도달하게 됩니다. 이 시점에서 추가 워크로드가 보호되지 않은 채로 방치되는 경우가 많으며 자동화가 중단되기 시작합니다. 솔루션이 더 많은 작업을 수행함에 따라 복잡성은 결국 운영상의 부담이 됩니다.

마이크로 세분화 공급업체는 관리되는 워크로드의 상한선을 반영하는 수치를 자주 발표하며, 이러한 수치는 예상되는 성장을 수용하기에 충분히 큰 것으로 보입니다. 그러나 하이브리드 클라우드 아키텍처를 채택하는 조직이 늘어나면서 가상화는 기존 베어메탈 호스트보다 훨씬 더 많은 워크로드를 생성합니다. 또한 마이크로서비스 아키텍처는 호스트 내에서 IP 주소 지정이 가능한 엔티티의 수를 상당히 추가로 생성하여 총 워크로드 수가 빠르게 증가합니다. 관리되는 워크로드의 수는 세분화를 운영하는 데 사용되는 도구에 따라 결정되어서는 안 됩니다. 중단 없는 워크로드 증가 주기를 보장하려면 이보다 적은 수로 충분할 것이라고 가정해서는 안 됩니다.

진화하는 하이브리드 클라우드 아키텍처에서 마이크로 세분화를 자동화하려면 솔루션이 특정 상위 숫자에 도달한 후에도 고장 나지 않아야 합니다.

자동화 ≠ 사람

자동화를 위해서는 간결하고 능률적인 아키텍처가 필요합니다. 모든 클라우드 환경에서 발생하는 보안 침해의 대부분은 관리자의 정직한 실수로 인해 발생합니다. 워크로드 수명 주기가 더욱 동적이고 네트워크 세그먼트에 상주하는 위치가 점점 더 임시적이 되면서 보안 프로세스를 자동화하고 운영 프로세스에서 사람의 개입으로 인한 중대한 위험을 제거하는 것이 더욱 중요해졌습니다.

경량 접근 방식의 한 예로 Illumio는 4차원 라벨과 애플리케이션 링펜싱 개념을 사용하여 시작 시점에 워크로드에 세분화를 적용하는 프로세스를 단순화하고 자동화합니다. 이를 통해 자동으로 세분화 경계를 제안하거나 관리자가 이러한 경계를 정의할 수 있습니다. 이렇게 하면 사람이 실수로 오류를 일으킬 수 있는 위험을 크게 줄일 수 있습니다.

테트레이션과 같은 대부분의 무거운 솔루션에는 IP 주소 지정과 독립적으로 워크로드를 추적하기 위해 태그를 워크로드에 적용하는 옵션이 포함되어 있습니다. 즉, 이 프로세스는 '무겁고' 복잡하며, 운영하기 위해서는 상당한 양의 초기 인적 상호 작용과 전문 지식이 필요합니다. 짐작할 수 있듯이 사람의 개입과 전문 지식이 필요한 프로세스일수록 의도하지 않은 오류가 발생할 위험이 커집니다.

워크로드 세분화 자동화를 계획할 때는 프로세스가 복잡할수록 위험도 높아진다는 이 규칙을 염두에 두세요.

마이크로서비스 도입, 더 많은 워크로드 예상

애플리케이션 개발을 모놀리식 워크로드에서 마이크로서비스로 마이그레이션하면 관리해야 하는 워크로드 수가 크게 늘어나는 효과가 있습니다. 가상화의 등장으로 하나의 베어메탈 호스트가 각각 고유한 IP 주소를 가진 많은 가상 머신을 관리할 수 있게 되었습니다. 이제 마이크로서비스의 등장으로 이러한 각 가상 머신은 많은 컨테이너화된 구성을 호스팅할 수 있으며, 그 결과 더 많은 IP 주소를 사용할 수 있습니다.

IP 주소를 가진 네트워크의 모든 엔티티가 워크로드로 정의되면 마이크로서비스 환경에서는 워크로드 수가 폭발적으로 증가할 수 있습니다. 모니터링해야 하는 워크로드의 수가 엄청나게 많기 때문에 대규모로 확장할수 있는 솔루션이 필요합니다.

시각화가 가장 중요합니다.

워크로드 모니터링은 정책 적용과 시각화라는 두 가지 기본 사항을 의미합니다. 그렇다면 수많은 워크로드에서 애플리케이션이 서로에게 어떤 영향을 미치는지 어떻게 시각화할 수 있을까요? 워크로드 통신을 시각화하는 것은 네트워크 세분화에 의존할 수 없습니다. 마이크로서비스의 경우, 컨테이너 라이프사이클을 오케스트레이션하기 위해 Kubernetes 또는 OpenShift를 사용할 때 시각화의 필요성은 VM 간 트래픽을 넘어 포드, 노드 및 서비스 간의 통신까지 포함해야 합니다.

테트레이션과 같은 무거운 솔루션은 컨테이너화된 환경 내에서 정책을 시행할 수 있지만 이러한 구조 내에서 애플리케이션 트래픽을 시각화하는 데는 한계가 있습니다. 이러한 솔루션은 종종 호스트 간 트래픽의 시각적 맵을 만들 수 있지만 보기가 거기서 멈추고 호스트 내의 컨테이너화된 구성 간의 트래픽은 누락됩니다. 반면, 경량 솔루션은 베어메탈 호스트에서 가상 머신 및 모든 호스트 내의 모든 컨테이너화된 구성으로 가시성을 확장합니다. 예를 들어, 일루미오가 애플리케이션 종속성 맵을 구축하면 모놀리식이든 컨테이너형이든 모든 워크로드를 완전히 볼 수 있습니다.

온프레미스 데이터센터와 퍼블릭 클라우드 패브릭 모두에서 하이브리드 클라우드와 다양한 컴퓨팅 리소스에 걸쳐 워크로드가 진화함에 따라 호스팅 방식에 관계없이 모든 애플리케이션 트래픽과 동작을 시각화하는 것이 필수적입니다. 사람이 읽을 수 있는 선언적인 정책을 만들고 시행하기 위해서는 이러한 세부 사항이 더욱 복잡하고 동적으로 변함에 따라 시각화가 더욱 중요해집니다.

결론

워크로드 세분화를 대규모로 자동화된 방식으로 구현하는 방법을 결정할 때는 간결하고 능률적인 접근 방식이 유일한 실행 가능한 옵션입니다. 해상에서 속도와 민첩성이 목표라면 전함을 배치하는 것보다 쾌속정을 배치하는 것이 더 나은 선택인 것처럼, 최신 하이브리드 클라우드와 컴퓨팅 패브릭에 마이크로세그멘테이션을 배포하는 방법도 마찬가지입니다. 복잡성을 줄이고 솔루션을 '무겁지 않게' '가볍게' 유지하세요.