보안과 운영 레질리언스의 균형: 안전하고 안정적인 소프트웨어 릴리스를 위한 Illumio의 전략

크리스터 스와츠

솔루션 마케팅 디렉터

July 26, 2024

23 최소 읽기

사이버 보안의 핵심은 위험 감소입니다.따라서 보안 솔루션이 가치를 제공할 뿐만 아니라 시스템 장애 시 사용자를 안전하게 보호할 수 있는 방법을 고려하는 것이 매우 중요합니다.

Illumio의 최우선 과제는 고객의 안정성과 신뢰성을 유지하는 것입니다.이를 통해 장애가 발생하더라도 복원력을 유지하는 제로 트러스트 세그멘테이션 아키텍처를 구축할 수 있습니다.

이 블로그 게시물에서는 최악의 시나리오의 영향을 줄이면서 보안을 유지할 수 있도록 Illumio 플랫폼에서 선택한 디자인에 대해 간략히 설명합니다.

Illumio가 새 소프트웨어를 출시하는 방법

보안 공급업체가 고객에게 새 소프트웨어를 출시할 때는 일반적으로 다음 두 가지 방법 중 하나로 출시됩니다.

데이터 플레인에서의 인라인: 즉, 공급업체의 소프트웨어가 네트워크 트래픽 경로의 네트워크 인프라에 직접 설치됩니다.인라인 솔루션은 악성 트래픽을 차단할 수 있습니다.하지만 이는 장애가 발생할 경우 모든 트래픽을 차단할 수도 있다는 의미이기도 합니다.또한 이러한 솔루션에는 일반적으로 운영 체제에 대한 심층 액세스 (주로 커널 공간) 가 필요합니다.더 깊이 파고들수록 문제가 발생할 위험이 커집니다.

관리 플레인에서의 대역 외: 즉, 공급업체의 소프트웨어는 나머지 네트워크 인프라와 분리되어 있습니다.기존 운영 체제 기능을 사용하며 중복 솔루션을 추가하지 않습니다.커널 공간에 액세스할 필요가 거의 없기 때문에 사용자 공간에 그대로 유지됩니다.장애가 발생하면 일시적으로 관리 플레인에 영향을 미칠 수 있지만 데이터 플레인에는 영향을 미치지 않습니다.즉, 장애가 발생해도 고객은 여전히 보호되며 운영에 지장을 주지 않습니다.

Illumio는 관리 플레인에서 아웃오브밴드 소프트웨어를 배포합니다.

중복 또는 인라인 패킷 필터 대신 주요 운영 체제에 이미 내장된 패킷 필터링 도구를 사용합니다.이 접근 방식은 이러한 기존 도구를 자동화하여 워크로드를 직접 세분화합니다.패킷 필터링은 운영 체제의 일부이므로 Illumio 소프트웨어를 자주 업데이트할 필요가 없습니다.

Illumio는 전 세계의 일부 업체와 협력합니다. 가장 크고 가장 복잡한 기업 및 정부 기관.중요한 시스템에서는 지속적인 업그레이드가 어려울 수 있다는 점을 잘 알고 있습니다.당사의 대역 외 배포 모델은 이러한 문제를 크게 줄이는 데 도움이 됩니다.

A colorful diagram of the Illumio architecture

Illumio가 SaaS 플랫폼을 업그레이드하는 방법

SaaS 클러스터를 업그레이드할 때는 스태거드 배포 워크플로를 사용합니다.즉, 단계별 프로세스를 사용하여 한 번에 한 클러스터 그룹을 업그레이드합니다.

먼저, 프로덕션 환경이 아닌 여러 내부 환경에서 새 업데이트를 테스트합니다.이러한 테스트를 통과한 후에야 SaaS 클러스터 업그레이드를 시작합니다. 단계적이고 시차를 둔 업그레이드 워크플로를 사용하여 업그레이드합니다.즉, 업그레이드는 한 번에 모두 이루어지는 것이 아니라 단계적으로 이루어지며 한 번에 소수의 테넌트에 대해서만 이루어집니다.

업그레이드 중에 문제가 발생하면 즉시 프로세스를 중단합니다.이렇게 하면 초기 단계에서 업그레이드한 고객에게만 문제가 발생합니다.(그리고 안정적인 마지막 Illumio 인스턴스를 빠르게 롤백할 수 있습니다.)SaaS 클러스터를 모든 고객에게 동시에 업그레이드하지는 않습니다.‍

Illumio가 세그멘테이션 정책을 업그레이드하는 방법

업데이트 시기 제로 트러스트 세그멘테이션 워크로드에 대한 정책은 고객 환경에서 필요한 부분에만 전송합니다.

에서 일루미오 플랫폼, 고객은 레이블을 사용하여 자체 인텐트 기반 세그멘테이션 정책을 만듭니다.역할 기반 액세스 제어 (RBAC) 를 사용하면 너무 관대한 정책을 만들 수 없습니다.Illumio는 IP가 변경되고 워크로드가 추가 또는 제거되면 백그라운드에서 이러한 정책을 업데이트합니다.특정 고객 변경의 영향을 받는 워크로드만 Illumio에서 업데이트된 정책을 받습니다.

데이터 센터 및 엔드포인트 워크로드의 경우 Illumio는 기본 운영 체제의 방화벽 내에서 정책을 수신하고 적용합니다.고객은 이 프로세스를 완전히 제어하여 새 소프트웨어 버전으로 업그레이드할 시기와 여부를 결정할 수 있습니다.

Illumio에 새 소프트웨어 버전이 출시되더라도 SaaS 플랫폼은 여전히 이전 버전과의 호환성을 유지합니다.즉, 이전 버전의 Illumio에서도 계속 작동합니다.따라서 고객은 자주 업그레이드할 필요가 없습니다.고객은 자신의 일정과 자체 변경 관행에 따라 업그레이드를 테스트하고 출시할 수 있습니다.