새, 비행기,...슈퍼클러스터!

대규모 조직은 데이터 센터가 여러 지역에 분산되어 있는 경우가 많습니다. 이러한 조직은 분산 데이터 센터를 통해 고객 및 직원과 가까운 곳에 애플리케이션을 배치하고, 데이터 상주 요건을 준수하며, 중요한 비즈니스 애플리케이션에 재해 복구를 제공할 수 있습니다. 퍼블릭 클라우드의 도입으로 모든 규모의 조직이 여러 지역에 걸쳐 워크로드를 더욱 쉽게 분산할 수 있게 되었습니다. 예를 들어, AWS는 현재 전 세계 18개 지역에 걸쳐 있습니다.   

대규모로 여러 지역 인프라에 걸쳐 완벽한 가시성, 중앙 집중식 및 연합 관리, 마이크로세분화 정책의 일관된 적용을 제공하는 PCE 슈퍼클러스터를 도입하게 되어 매우 기쁩니다. 이 게시물에서는 다중 지역 인프라 보안을 위한 주요 요구 사항과 페더레이션 아키텍처로 PCE 슈퍼클러스터를 설계한 이유를 살펴봅니다.

다중 지역 마이크로세분화 솔루션의 요구 사항

전 세계에 분산된 인프라가 있는 경우 마이크로세분화 솔루션에 필요한 몇 가지 주요 요구 사항이 있습니다. 초기 마이크로세그멘테이션 배포가 단일 위치로 제한되어 있더라도 이러한 요구 사항을 미리 고려하는 것이 중요합니다.

• 복원력: 마이크로세분화 솔루션은 데이터 센터 장애 또는 지역 간 네트워크 중단이 발생하는 경우에도 인프라를 계속 운영하고 보호해야 합니다.
• 확장성: 마이크로세분화 솔루션은 각 데이터센터의 워크로드 수와 전 세계의 총 워크로드 수에 따라 확장할 수 있어야 합니다.
• 관리 용이성: 마이크로세분화 솔루션은 글로벌 및 지역 보안 팀과 애플리케이션 팀 모두에서 관리할 수 있어야 합니다.
• 대역폭 효율성: 지역 간 네트워크 대역폭은 비용이 많이 들기 때문에 솔루션이 많은 양의 대역폭을 소비해서는 안 됩니다.

다중 지역 마이크로세분화 솔루션을 위한 아키텍처

Illumio의 정책 컴퓨팅 엔진(PCE) 은 인프라의 워크로드 및 기타 시행 지점에서 마이크로세분화 정책을 오케스트레이션하는 소프트웨어 기반 컨트롤러입니다. 또한 PCE는 네트워크 흐름 정보 및 워크로드에서 실행 중인 프로세스에 대한 정보와 같은 인프라에서 원격 측정 데이터를 수집합니다.

여러 지역에 위치한 워크로드를 보호하기 위해 PCE 또는 소프트웨어 기반 마이크로세분화 솔루션을 설계하는 방법에는 여러 가지가 있습니다.

다음은 다양한 아키텍처 접근 방식과 이러한 접근 방식이 위에서 설명한 요구 사항에 어떻게 매핑되는지에 대한 분석입니다.

중앙 집중식 아키텍처 - 컨트롤러가 단일 위치에 상주합니다.

• 복원력: 중앙 집중식 아키텍처는 단일 장애 지점을 생성하고 제한된 복원력을 제공합니다.
• 확장성: 중앙 집중식 아키텍처는 수직 및 수평으로 확장하여 전 세계의 총 워크로드 수를 지원할 수 있습니다.
• 관리 용이성: 중앙 집중식 아키텍처를 통해 글로벌 보안 및 애플리케이션 팀이 전체 인프라에 마이크로세그멘테이션 정책을 쉽게 구성하고 적용할 수 있습니다. 역할 기반 액세스 제어(RBAC)를 사용하여 지역 팀에 해당 지역의 애플리케이션에 대해서만 정책을 보고 수정할 수 있는 제한된 액세스 권한을 제공할 수 있습니다. 
• 대역폭 효율성: 중앙 집중식 아키텍처는 모든 네트워크 흐름 데이터 및 기타 원격 분석 데이터를 컨트롤러로 다시 전송해야 하므로 더 많은 대역폭을 사용합니다. 대역폭은 지역당 워크로드 수와 이러한 워크로드 간의 연결 수에 따라 증가합니다.
   

분산 아키텍처 - 각 데이터센터에 컨트롤러를 배치하고 컨트롤러는 서로 완전히 독립적입니다.

• 복원력: 분산 아키텍처는 복원력이 뛰어납니다. 한 지역의 컨트롤러에 장애가 발생해도 다른 지역에는 영향을 미치지 않습니다.
• 확장성: 분산 아키텍처는 더 많은 컨트롤러를 배포하여 각 데이터센터의 워크로드 수와 전 세계의 총 워크로드 수에 따라 확장할 수 있습니다.
• 관리 용이성: 분산 아키텍처를 사용하면 지역 팀에서 지역 정책을 만들 수 있지만, 이러한 아키텍처는 각 지역에 정책을 수동으로 복제해야 하므로 글로벌 정책을 적용하는 데 어려움이 있습니다. 또한 모든 애플리케이션을 한 곳에서 시각화하고 지역 간 종속성을 확인할 수 있는 방법이 없습니다.
• 대역폭 효율성: 분산 아키텍처는 모든 데이터가 해당 지역에 로컬로 유지되므로 대역폭 효율이 더 높습니다.

연합 아키텍처 - 각 데이터센터에 컨트롤러를 배치하고 컨트롤러가 서로 통신하여 조직의 보안 정책 및 보안 중인 워크로드에 대한 정보를 공유합니다.

• 복원력: 연합 아키텍처는 복원력이 뛰어납니다. 한 지역의 컨트롤러에 장애가 발생해도 다른 지역에는 영향을 미치지 않습니다.
• 확장성: 페더레이션 아키텍처는 더 많은 컨트롤러를 배포하여 각 데이터센터의 워크로드 수와 전 세계 워크로드의 총 수에 따라 확장할 수 있습니다.
• 관리 용이성: 연합 아키텍처를 사용하면 글로벌 보안 및 애플리케이션 팀이 전체 인프라에 마이크로세그멘테이션 정책을 쉽게 구성하고 적용할 수 있습니다. RBAC를 사용하여 지역 팀에 해당 지역의 애플리케이션에 대한 정책만 보고 수정할 수 있는 제한된 액세스 권한을 제공할 수 있습니다.
• 대역폭 효율성: 연합 아키텍처는 시스템이 작동하는 데 필요한 최소한의 정보만 컨트롤러 간에 공유되는 경우 대역폭 효율성이 더 높습니다.

다음 표에는 다중 지역 인프라를 마이크로세분화하기 위한 세 가지 아키텍처가 요약되어 있습니다:

중앙집중형분산형연합형 복원력 -++ 확장성 +++ 관리 용이성 +-+ 대역폭 효율성 -++

PCE 슈퍼클러스터 소개: 올바른 다중 지역 마이크로세그멘테이션 수행

이러한 분명한 이점을 고려하여 PCE 슈퍼클러스터는 연합 아키텍처로 설계되었습니다. 슈퍼클러스터에서 글로벌 보안 정책은 지정된 리더 PCE에서 관리합니다. 일루미오의 강력한 RBAC 기능은 슈퍼클러스터에서 지원되므로 글로벌 및 지역 팀이 최소 권한 방식으로 리더 PCE에 액세스할 수 있습니다. 그런 다음 정책은 레이블 기반 정책을 워크로드 및 인프라의 기타 시행 지점에서 호스트 방화벽을 프로그래밍하는 데 사용되는 지침으로 변환하는 다른 PCE에 자동으로 복제됩니다. 이러한 설계는 한 지역이 나머지 슈퍼클러스터로부터 고립되더라도 글로벌 정책이 지속적으로 시행되도록 보장합니다.

일루미오는 보이지 않는 것을 확보할 수 없기 때문에 가시성이 마이크로세그멘테이션의 핵심이라는 사실을 일찍이 인지했습니다. 슈퍼클러스터는 리더에 대한 전체 라이브 애플리케이션 종속성 맵(조명)을 제공하여 지역 내 및 지역 간 애플리케이션 종속성 및 정책 적용 범위를 시각화합니다. 고가치 시스템과 이러한 애플리케이션 전반의 승인된 연결 및 흐름에 대한 실시간 가시성은 조직의 마이크로 경계를 설계하고 애플리케이션을 중단시키지 않는 마이크로 세분화 정책을 만들기 위한 중요한 첫 단계입니다.

슈퍼클러스터는 세계 최대 규모의 조직을 지원할 수 있는 수준의 규모를 추가합니다.

이미 단일 PCE를 멀티노드 클러스터로 배포하여 수만 개의 워크로드를 지원할 수 있습니다. 슈퍼클러스터는 여러 PCE를 함께 연결할 수 있게 함으로써 세계 최대 규모의 조직을 지원할 수 있는 또 다른 차원의 규모를 추가합니다.

PCE 간의 대역폭 소비를 최소화하기 위해 슈퍼클러스터를 설계하는 데 많은 에너지를 쏟았습니다. 정책을 계산하는 데 필요한 최소한의 워크로드 데이터만 리전 간에 복제됩니다. 또한 네트워크 흐름 데이터는 각 PCE에서 지역별로 사전 처리되며, 실시간 애플리케이션 종속성 맵을 그리는 데 필요한 최소한의 정보만 네트워크 전체에 복제됩니다.

PCE 슈퍼클러스터를 통해 조직은 다음을 수행할 수 있습니다:

• 전 세계에 분산된 데이터센터 환경에 대한 실시간 가시성을 확보하세요.
• 마이크로 경계를 자신 있게 설계하고 지역 간 트래픽을 지원하는 마이크로 세분화 정책을 생성하여 애플리케이션을 중단하지 않고도 상당한 규모의 마이크로 세분화를 시행할 수 있습니다.
• 마이크로세분화 목표를 달성하는 동시에 네트워크 대역폭 효율성을 실현하고 재해 복구 및 고가용성을 지원하세요.