하이브리드 클라우드가 하이브리드 보안과 같지 않아야 하는 이유

하이브리드 클라우드 네트워크 패브릭은 오늘날 엔터프라이즈 네트워크의 많은 문제를 해결합니다.이를 통해 기본 데이터 센터 환경 위에 추상화된 단일 네트워크 아키텍처를 만들 수 있습니다.또한 내결함성, 복원력, 데이터 센터 전반의 “탄력적” 서비스와 기본 네트워크 공급업체에 종속되지 않는 네트워크 토폴로지를 지원합니다.기업에서 여러 물리적 네트워크 환경을 관리할 수 있지만 전체 환경에 단일 네트워크 패브릭을 만들 수 있을까요?

예를 들어 기업은 AWS, Azure 및/또는 GCP에 여러 퍼블릭 클라우드를 배포하는 것 외에도 이중 데이터 센터 (하나는 기본 데이터 센터와 재해 복구용 데이터 센터 하나) 를 유지할 수 있습니다.이러한 각 호스팅 환경은 고유한 기술을 사용하여 고유한 기본 물리적 네트워크 아키텍처를 배포하며, 대개 서로 다른 라우팅 및 스위칭 공급업체를 사용합니다.

그러나 의 도래와 함께 소프트웨어 정의 네트워킹 (SDN) 오늘날 네트워킹 업계 전반에 걸쳐 대다수의 네트워킹 공급업체는 자체적으로 “클라우드”를 만들 수 있습니다.네트워킹 용어로 말하자면 클라우드는 기본적으로 네트워크 토폴로지가 물리적 토폴로지 위에 추상화된 가상 네트워크이며, 이를 종종 “오버레이 네트워크”라고 합니다.오버레이 네트워크는 기본적으로 터널의 집합으로, 모두 중앙 SDN 컨트롤러가 관리합니다.이 클라우드는 모든 관리형 호스팅 환경에서 단일 통합 네트워크 패브릭을 만들 수 있습니다.

VXLAN과 같은 터널링 프로토콜은 오버레이 네트워크 토폴로지를 생성하는 데 사용되므로 트래픽 경로는 기본 물리적 토폴로지가 배포되는 방식이 아니라 이러한 터널이 배포되는 방식에 따라 결정됩니다.모든 네트워킹 공급업체는 이를 가능하게 하는 SDN 기반 접근 방식을 설명하는 데 서로 다른 용어를 사용하지만, 결국 이들은 모두 동일한 작업을 하고 있습니다. 바로 터널을 사용하여 중앙 컨트롤러가 자동화하고 관리하는 오버레이 네트워크를 만드는 것입니다.

이러한 공급업체 중 상당수는 온프레미스 데이터 센터에서 퍼블릭 클라우드 공급업체로 오버레이 네트워크를 확장할 수 있지만 실제로는 많은 기업이 온프레미스 데이터 센터의 로컬에서만 오버레이 네트워크를 배포하고 있습니다.

많은 기업이 온프레미스 SDN 솔루션을 퍼블릭 클라우드로 확장하는 대신 (예: 터널링된 네트워크 토폴로지를 AWS 또는 Azure로 확장) 퍼블릭 클라우드 인스턴스에 로컬에서 관리되는 환경을 만들어 온프레미스 데이터 센터 네트워크를 관리하는 방식과 다르게 네트워크를 관리합니다.이들은 AWS의 VPC와 Azure의 VNet과 같이 각 퍼블릭 클라우드 공급업체에서 이미 사용 중인 네트워킹 접근 방식을 사용하고 나서 온프레미스 데이터 센터의 SDN 솔루션을 다르게 관리하는 방식을 선택하는 경우가 많습니다.

그 결과 “스위블 체어” 접근 방식으로 관리되는 하이브리드 클라우드 네트워크 배포가 가능해졌습니다.네트워크 관리자는 온프레미스 데이터 센터를 관리하는 데 사용되는 도구와 퍼블릭 클라우드 네트워크를 관리하는 데 사용되는 기타 도구 사이를 오가며 작업합니다.하이브리드 클라우드라는 용어는 종종 단일 통합 아키텍처를 의미하는데, 이는 운영과 관련해서는 정확하지 않은 경우가 많습니다.

하이브리드 환경 보호

네트워크 관리에 대한 이러한 단편화된 접근 방식은 하이브리드 클라우드 전반의 보안에서 특히 그렇습니다.온프레미스 데이터 센터와 퍼블릭 클라우드의 각 환경에서 로컬에서 관리되는 네트워크 도구가 사용되는 것처럼 보안 솔루션에서도 마찬가지입니다.대부분의 SDN 네트워크 공급업체는 로컬에서 관리하는 환경에서 일정 수준의 정책 시행을 지원하는 데 사용할 수 있는 고유한 기본 통합 보안 도구를 보유하고 있습니다.또한 모든 주요 퍼블릭 클라우드 공급업체는 자체 보안 솔루션을 보유하고 있어 기본 수준의 정책 시행도 가능합니다.

하지만 안타깝게도 이러한 보안 도구는 전체 아키텍처에 격리되어 있습니다.각 보안 솔루션은 샌드박스에서 다른 솔루션과 잘 어울리지 않으며, 모든 보안 침해 사고의 상관 관계를 파악하는 것은 해결에 큰 지연을 초래하는 번거로운 작업입니다.

또한 워크로드가 온프레미스 데이터 센터와 퍼블릭 클라우드 인스턴스 간과 같은 환경 간에 실시간 마이그레이션되는 경우 일반적으로 정책 시행이 해당 워크로드를 목적지까지 따르지 않습니다.따라서 각 환경의 보안 도구 간에 정책을 어떤 식으로든 이전하기 위한 수동 접근 방식이 필요하거나 모든 환경의 정보를 공급하기 위해 SIEM 솔루션을 사용해야 하므로 상당한 사전 스크립팅 작업이 필요합니다.

운영 복잡성으로 인해 이러한 단계가 자주 수행되지 않아 하이브리드 클라우드 전반의 보안 및 워크로드 가시성에 상당한 격차가 발생합니다.

워크로드의 보안을 강화하기 위해 하이브리드 클라우드의 각 네트워크 환경에 있는 사일로화된 기본 보안 도구에 의존하는 대신 기본 네트워킹 도구에서 추상화한 보안 및 가시성을 워크로드에 직접 적용하는 것은 어떨까요?

오버레이 네트워크가 기본 라우터 및 스위치에 대한 종속성을 상회하는 토폴로지를 생성하는 것과 마찬가지로 보안에도 동일한 접근 방식을 적용하지 않는 이유는 무엇입니까?또한 보안은 기본 네트워크 패브릭 종속성에서 추상화 (가상화) 되어 워크로드가 호스팅되는 위치나 라이프사이클 중 실시간 마이그레이션되는 위치에 관계없이 워크로드에서 직접 활성화해야 합니다.오버레이 네트워크가 하이브리드 클라우드에서 네트워킹에 대해 하나의 일관된 접근 방식을 가능하게 하는 것과 마찬가지로 보안도 같은 방식으로 설계되어야 합니다.

마이크로세그멘테이션이 도움이 될 수 있는 방법

Illumio에서는 전체 하이브리드 클라우드의 모든 단일 워크로드에 직접 보안 (마이크로 세분화) 을 적용합니다.마이크로 세분화 정책은 보호하려는 대상에 최대한 가깝게 적용되어야 하므로 가상 또는 베어메탈을 불문하고 모든 워크로드에 경량 에이전트를 배포합니다.

• 이 에이전트는 어떤 트래픽에도 접속하지 않습니다.단순히 백그라운드에 상주하며 워크로드에서 애플리케이션 동작을 직접 모니터링합니다.
• 그런 다음 정보가 다시 다음으로 전송됩니다. 정책 컴퓨팅 엔진 (PCE) 호스팅 위치 또는 실시간 마이그레이션하는 네트워크 환경에 관계없이 모든 워크로드 간의 동작을 명확하게 파악할 수 있도록 합니다.기본적으로 우리는 기본 네트워킹 종속성을 추상화하여 보안을 가상화합니다.
• 워크로드가 동적으로 실시간 마이그레이션되고 IP 주소가 변경되는 아키텍처에서는 IP 주소에 대한 정책을 정의하는 것이 확장되지 않기 때문에 중앙 PCE는 간단한 레이블을 사용하여 세그먼트화해야 할 대상을 정의합니다.

PCE는 가상화된 보안 아키텍처를 만들지만 필요한 경우 네트워크 계층까지 “접근”하여 온프레미스 데이터 센터의 하드웨어 스위치에 대한 액세스 목록을 구성할 수도 있습니다.따라서 보안이 네트워크 위에서 가상화되고 추상화되는 동안 Illumio는 워크로드와 워크로드를 모두 적용할 수 있습니다. 네트워크 보안 하나의 중앙 정책 운영 모델을 기반으로 합니다.

데이터 센터 또는 하이브리드 클라우드의 기본적이고 필수적인 리소스를 컴퓨팅, 스토리지, 네트워크로 정의하면 이제 이 세 가지 리소스 모두 일반적으로 기본 리소스보다 가상화되고 추상화됩니다.

네 번째 필수 데이터 센터 리소스는 보안이며, 마찬가지로 가상화와 기본 리소스 종속성도 포함되어야 합니다.하이브리드 클라우드는 하이브리드 보안과 같아서는 안 됩니다.보안은 전체 네트워크 클라우드 패브릭에 적용되어야 하며, 워크로드 보안은 전체 네트워크 패브릭에 걸쳐 하나의 통합 보안 “패브릭”처럼 워크로드에 직접 적용되어야 합니다.보안을 가상화하면 기본 네트워크 설계자가 네트워크 우선 순위에 집중할 수 있고 워크로드 보안이 필요한 위치, 즉 워크로드에 직접 배치할 수 있습니다.

이 접근 방식을 통해 작업을 더 쉽게 수행할 수 있는 방법에 대해 자세히 알아보십시오. 하이브리드 클라우드 환경 전반의 보안 관리.