호스트 기반 마이크로세그멘테이션을 통한 SDN 및 방화벽 배포 간소화

소프트웨어 정의 네트워킹 (SDN) 그리고 세그멘테이션은 모두 자동화에 우선 순위를 두기 때문에 종종 동시에 논의됩니다.SDN은 네트워킹과 관련된 많은 작업을 자동화하며, 대부분의 최신 보안 침해는 자동화되므로 세그멘테이션 도구도 이와 비슷한 방식을 따라야 합니다.또한 신뢰 경계는 전통적으로 모든 클라우드 아키텍처의 네트워크 계층에 있는 것으로 이해되어 왔습니다.SDN 컨트롤러를 사용하면 대규모 네트워크 아키텍처를 중앙에서 관리하고 오케스트레이션할 수 있으므로 더 나은 오케스트레이션을 위해 해당 컨트롤러에 세그멘테이션을 추가하는 것이 좋습니다.

그렇긴 하지만 SDN의 “N”은 네트워킹을 의미한다는 점을 명심해야 합니다.따라서 SDN 컨트롤러에서 배포하는 모든 세그멘테이션은 호스트 문제가 아닌 네트워크 문제에 초점을 맞춰 구현됩니다.SDN 컨트롤러는 기존 방식으로 호스트를 네트워크 패브릭에 연결되는 노드로 간주하며, 해당 호스트에서 실행되는 애플리케이션은 네트워크 중심 도구가 아닌 호스트 중심 도구를 사용하여 관리됩니다.네트워킹 도구가 모든 단일 호스트 또는 애플리케이션과 관련된 작업을 관리하는 경우는 거의 없습니다.컨트롤러는 네트워크 세그먼트를 생성하여 네트워크 패브릭에서 트래픽 전달 결정을 적용하며, 이러한 결정은 네트워크 부하, 지연 시간, 링크 장애, 동적 라우팅 프로토콜 비용 등 라우터 및 스위치와 가장 관련이 있는 메트릭에 따라 내려집니다.이러한 메트릭은 호스트별 세분화 요구 사항과 거의 관련이 없습니다.

네트워크 세분화 및 호스트 기반 마이크로세그멘테이션

신뢰 경계를 정의할 때 관련 세그먼트를 만들 위치를 결정하면 두 가지 대화가 동시에 진행됩니다. 하나는 호스트 워크로드를 관리하는 팀 간의 대화이고 다른 하나는 네트워크를 관리하는 팀 간의 대화입니다.두 팀 모두 “세그멘테이션” 또는 “마이크로세그멘테이션”이라는 동일한 용어를 사용하지만 의미는 다릅니다.두 팀이 협업하는 대신 자체 도구를 사용하여 각 유형의 세그먼트를 배포하고 관리할 경우, 결과적으로 사일로화된 접근 방식이 되어 아키텍처 규모가 커짐에 따라 운영상의 한계로 이어질 수 있습니다.

예를 들어 네트워킹 팀이 Cisco ACI를 데이터 센터 SDN 솔루션으로 배포했을 수 있습니다.ACI는 자체 메커니즘을 사용하여 브리지 도메인 및 엔드포인트 그룹 (EPG) 과 같은 세그먼트를 생성합니다.워크로드는 EPG 내에 배포되며 더 작은 “마이크로 EPG”로 분할하여 더 세분화된 네트워크 세그먼트를 생성할 수 있습니다.

그러나 이러한 개념은 여전히 네트워크 중심적 세분화 개념입니다.예를 들어 데이터 센터에 10개의 호스트가 있는 경우 Cisco ACI에서 10개의 EPG 세그먼트를 생성하여 각 호스트에 신뢰 경계를 적용할 수 있습니다.그러나 워크로드가 100개 또는 1,000개인 경우 각 호스트에 대해 100개 또는 1,000개의 EPG 세그먼트를 생성하는 것은 운영상 비현실적입니다.SDN 컨트롤러를 사용하여 동일한 수의 네트워크 세그먼트와 호스트를 생성하면 확장이 불가능합니다.

SDN 솔루션은 문제를 해결하기 위해 자체 세그먼트를 만들 것입니다. 네트워크 세분화 우선 순위를 지정하지만 개별 호스트를 세분화하려면 호스트 기반 접근 방식을 고려해야 합니다.

SDN 및 오버레이 네트워크

SDN의 이점 중 하나는 네트워크 토폴로지가 더 이상 라우터 및 스위치의 물리적 토폴로지에 종속되지 않는다는 것입니다.VXLAN 또는 GENEVE와 같은 터널링 프로토콜은 네트워크를 가상화하는 데 사용됩니다.이제 데이터 센터 컴퓨팅 및 스토리지 리소스와 거의 동일한 방식으로 네트워크를 가상화할 수 있으므로 이러한 터널링 방법을 사용하여 네트워크 경로 및 링크를 프로그래밍 방식으로 정의할 수 있으므로 컨트롤러는 물리적 인프라를 변경할 필요 없이 필요에 따라 네트워크 토폴로지를 신속하게 재구성할 수 있습니다.이를 통해 퍼블릭 클라우드 네트워크 패브릭에서 네트워크를 가상화하는 방식과 유사하게 온프레미스 데이터 센터의 네트워크 패브릭을 가상화할 수 있습니다.

VXLAN과 같은 오버레이 네트워크에는 1,600만 개 이상의 고유 ID가 있기 때문에 이러한 ID를 사용하여 SDN 컨트롤러가 네트워크의 모든 호스트에 세그먼트를 할당할 수 있는 마이크로세그멘테이션 아키텍처를 만들고 싶어할 것입니다.하지만 SDN 컨트롤러는 개별 호스트에서 VXLAN 세그먼트를 종료하지 않습니다.SDN 컨트롤러는 이러한 고유 ID를 모두 사용하여 레이어 3 프레임 내에 레이어 2 패킷을 캡슐화하는 것과 같은 네트워킹 문제를 해결합니다.모든 호스트에서 마이크로세그멘테이션을 활성화하려면 네트워크에 배포되고 네트워킹 작업에 초점을 맞춘 외부 SDN 컨트롤러가 아닌 호스트 자체에서 사용되는 메커니즘을 활성화해야 합니다.

호스트 수준 도구가 SDN에 어떻게 도움이 되나요?

대부분의 SDN 솔루션의 당면 과제는 애플리케이션 흐름에 대한 가시성입니다.애플리케이션 관점에서 애플리케이션 동작을 파악할 수 있다는 것은 네트워킹 도구의 과제입니다.SDN 컨트롤러는 네트워크 토폴로지, 네트워크 세그먼트, IP 주소 및 트래픽 메트릭을 심층적으로 파악할 수 있지만, 예를 들어 SQL 서버와 웹 서버 간의 동작과 필요한 네트워크 리소스를 명확하게 파악하는 것은 SDN 컨트롤러를 사용하는 경우 쉽지 않은 경우가 많습니다.확장 가능한 클라우드 아키텍처를 설계하려면 네트워크상의 애플리케이션 간의 동적 요구 사항을 알아야 합니다.

Illumio와 같은 호스트 기반 솔루션을 SDN 아키텍처를 사용하는 데이터 센터에 배포할 때는 다음과 같은 매핑 기능을 찾아야 합니다. 애플리케이션 종속성 맵, 호스트별 요구 사항을 해결하는 네트워크 리소스 설계를 지원합니다.Illumio는 모든 SDN 솔루션과 함께 사용할 수 있으며, 애플리케이션 종속성 맵을 사용하여 호스트별 세그먼트를 정의하는 반면, SDN 컨트롤러가 네트워크를 배포하고 관리할 때 이 동일한 맵을 통해 애플리케이션 요구 사항을 명확하게 파악할 수 있습니다.

호스트 기반 마이크로세그멘테이션과 네트워크 레벨 세그멘테이션은 각각 다른 요구 사항을 해결하기 때문에 공존할 수 있고 또 그래야 합니다.호스트 기반 접근 방식을 구현하면 SDN 솔루션이 모든 클라우드 아키텍처 전반에서 네트워크 리소스를 보장할 수 있는 애플리케이션 수준의 가시성 기능을 확보할 수 있습니다.

호스트 기반 마이크로세그멘테이션에 대한 Illumio의 접근 방식에 대한 자세한 내용은 다음을 참조하십시오. https://www.illumio.com/solutions/micro-segmentation