마이크로세그멘테이션을 위한 워크로드 라벨링을 간소화하는 5가지 팁
IP는 모든 사람과 모든 시스템이 이해할 수 있는 구조를 가지고 있습니다.192.168.1.254와 같은 4차원 숫자 집합을 다른 사람에게 보여 주면 많은 사람들이 이를 즉시 알아차릴 것입니다.구조가 단순하기 때문에 정보를 쉽게 소비하고 이해할 수 있습니다.이것이 바로 인터넷이 확장되고 작동하는 원동력입니다.인터넷 계층 구조는 인터넷 작업을 하는 사람들에게 즉각적인 통찰력을 제공합니다.
사람들이 임의의 구조를 정의하는 세상이라는 대안을 상상해 보십시오.한 순간에는 192.179.134.56.245.23을 보고 다음 순간에는 24.87을 본다면 어떨까요?이 둘이 서로 어떻게 연관되어 있는지 어떻게 알아낼 수 있을까요?
우리는 유연성과 자유 의지를 긍정적으로 보고 있지만, 네트워크 주소 지정의 세계에서도 마찬가지로 워크로드 라벨링 (특히 마이크로세그멘테이션) — 혼란과 복잡성을 초래할 수 있습니다.결과적으로 정책 일관성이 떨어지고 기존 방화벽 정책에서 경험했던 것과 비슷한 문제가 발생합니다.
몇 년 동안 우리는 자산을 식별하고 그룹화하기 위해 다양한 속성을 가진 오브젝트에 태그를 지정해 왔는데, 이로 인해 확장성과 관리 용이성에 문제가 몇 번이고 발생했습니다.구조가 없으면 오래 사용할 수 있는 아키텍처를 만드는 것이 시간이 지날수록 점점 더 문제가 되고 있습니다.Illumio에서는 이러한 문제를 일찍 파악한 후 임의의 객체 태깅에 비해 구조와 단순성이 운영상의 이점을 크게 가져온다는 결론을 내렸습니다.
간단히 말해서 라벨은 사용하기 쉽고, 반복 가능하고, 예측 가능하고, 나중에 이해하기 쉬워야 합니다.
이를 염두에 두고 워크로드 라벨링을 간소화할 수 있는 5가지 팁을 소개합니다.
1.4차원 라벨링 체계를 고수하세요
이는 단순하고 분명한 차원 파라미터로 워크로드를 분류하는 방식으로 작동합니다.예를 들면 다음과 같습니다.
- 위치: 워크로드는 어디에 있습니까?국가, 도시, 클라우드 공급자 등일 수 있습니다.
- 환경: 이 객체는 프로덕션, 개발 또는 테스트에 있습니까?
- 애플리케이션: 재무, HR 또는 CRM 애플리케이션을 지원하나요?
- 역할: 애플리케이션 서버입니까, 웹 서버입니까, 아니면 데이터베이스입니까?
역할, 애플리케이션, 환경 및 위치 (RAEL) 의 네 가지 간단한 그룹을 고수함으로써 이해하기 쉬울 뿐만 아니라 이식 가능하고 확장 가능한 라벨링 모델을 만들 수 있습니다.
이 구조를 통해 사용자는 네 가지 레이블 중 하나를 선택하고 단일 섹션을 사용하여 제어를 단순화하고 컴퓨팅 시간을 줄일 수 있습니다.차량용 라벨이 “유형 | 제조사 | 모델 | 색상”의 형태를 취했다면 BMW 또는 빨간색 차량만 식별하면 작업이 매우 간단하고 빠르게 이루어집니다.
그리고 객체 라벨링은 객체 간의 관계가 아니라 객체와 주요 목적을 정의하는 데 가장 간단하게 사용된다는 점을 기억하십시오.이 원칙을 고수하고 정책을 사용하여 관계를 정의하는 것이 행복으로 가는 길입니다. 저를 믿으세요.
2.형식으로 표준화
네트워킹과 컴퓨팅 분야에서도 비슷한 것을 볼 수 있지만 '프로덕션', '제품', '제품' 사이에는 큰 차이가 있습니다.맞춤법 오류가 발생하는 경우가 항상 있기 마련이며, 구조화된 4차원 모델에서는 문제를 쉽게 해결할 수 있습니다.
하지만 느슨한 프리스타일 환경에서는 “Prod.fin.win.uk.crm.web.bldg1.10"에서 오류를 찾는 것은 긴 과정이 될 것입니다.
3.라벨 이름을 줄일 때는 주의하십시오.
예를 들어, “Production”과 같은 레이블을 “Prod”로 줄이지만 “데이터베이스”는 줄이지 않습니다.레이블 이름을 일관되지 않게 줄이면 레이블이 중복될 수 있으며, 이로 인해 일관되지 않은 정책 적용 또는 지원 문제가 발생할 수 있습니다.
단축된 버전이나 두문자어가 조직에서 일반적으로 사용되는 명명법 (예: UAT) 이 아닌 한 전체 이름 (프로덕션, 개발 및 테스트) 을 사용하는 것이 좋습니다.이로 인해 문제가 발생할 수 있는 전형적인 예로 '제품' 레이블과 '프로덕션' 레이블을 둘 다 만든 경우를 들 수 있습니다.일부 워크로드에 'Prod'라는 레이블이 붙은 경우 'Production'에 대해 생성된 규칙이 해당 워크로드에 적용되지 않습니다.
명명 표준을 정의하는 것은 새로운 개념이 아니며 여기에는 그만한 이유가 있습니다.
4.모든 시스템에서 일관성 유지
마이크로 세분화를 위한 레이블 지정 체계 내에서 일관성을 유지하는 것 외에도 외부 메타데이터 소스와의 일관성을 유지하는 것이 좋습니다.
CMDB (구성 관리 데이터베이스), 호스트 명명 규칙 또는 IP 주소 블록 사용과 같은 메타데이터 명명 규칙을 설정한 경우 레이블 지정 체계에 대한 대체 규칙을 만들지 마십시오.배포 프로젝트 중에 표준 데이터 원본에도 불일치가 있는 것을 발견하면 이 문제를 해결하고 해당 데이터 원본의 품질을 개선할 수 있는 기회입니다.이는 여러 가지 이유로 매우 유용하며 조직에 도움이 될 것입니다.
초기 배포 사용 사례는 특정 환경이나 애플리케이션으로 제한될 수 있습니다.하지만 조직 전체를 염두에 두고 라벨 디자인을 구성하면 배포를 확장할 경우 작업을 줄일 수 있습니다.라벨 스키마가 단순할수록 확장성과 지원이 더 용이합니다.
5.라벨을 사용하여 객체를 구분할 수 있습니다.
객체 간에 정책을 구분해야 하는 경우 다른 레이블을 사용하십시오.별개의 레이블을 사용하고 싶은 경우가 종종 있지만 실제로는 정책적으로 차별화되지 않으므로 불필요합니다.이 점에 관한 정책에는 보안 정책도 포함된다는 점을 기억하세요. RBAC, 보고, 변경 제어 및 기타 유형의 정책
이를 염두에 두고 가능하면 라벨에 일반적인 이름을 사용하세요.예를 들어 아파치, Nginx 및 IIS는 80/TCP 또는 443/TCP와 같은 유사한 서비스 포트와 프로토콜을 사용합니다.따라서 '웹 서버'와 같은 공통 레이블 이름을 사용하는 것이 좋습니다.대부분의 경우 이러한 정책에 대해 다른 정책을 작성하지 않아도 됩니다.
워크로드에 다른 보안 정책이 필요한 경우에만 레이블 이름을 변경하십시오.예를 들어 Oracle, IBM DB2 및 MS SQL Server는 서로 다른 서비스 포트와 프로토콜을 사용하며, 각각에는 클러스터 트래픽 흐름과 같은 고유한 보안 정책 요소가 있습니다.따라서 이러한 애플리케이션을 실행하는 워크로드에 세 가지 역할 레이블을 할당하는 것이 좋습니다.예를 들어, 이렇게 하면 Oracle Enterprise Manager 서버가 Sybase 서버가 아닌 오라클 데이터베이스 서버에만 액세스하도록 허용하는 특정 정책을 작성할 수 있습니다.
일루미오가 도와줄 수 있는 방법
일루미오 코어정책 객체를 식별하는 네 개의 레이블 조합이 있는 다차원 디자인을 사용합니다.태그 지정을 사용하는 다른 제품에서는 태그를 원하는 만큼 만들 수 있습니다.이렇게 하면 라벨링의 유연성이 향상되는 것처럼 보일 수 있지만 시간이 지날수록 문제가 더 두드러집니다.
다른 레이블 크기를 계속 추가하면 특정 태그가 고유한 정책 애플리케이션을 나타내는 단차원 모델이 매우 빠르게 생성됩니다.이와 매우 유사한 예로 디렉터리 서비스를 들 수 있습니다. 이 서비스에서는 각각의 새로운 요구 사항에 대해 새 그룹 (태그) 을 생성하여 사용자에게 적용할 수 있습니다.이러한 그룹은 수가 급격히 증가하고 종종 동일한 개체와 연결되어 중복이 발생합니다.그룹 수가 사용자보다 많은 경우는 흔하지 않습니다.마찬가지로, 태그 기반 솔루션의 경우 각 개체가 많은 수의 태그와 연결되어 있는 경우 개체보다 더 많은 태그가 생성될 수 있습니다.
그러면 관리자는 모든 객체를 필요한 모든 태그와 연관시켜야 합니다.따라서 새 객체를 만들 때마다 필요한 액세스 권한을 얻으려면 계속 늘어나는 태그 컬렉션으로 태그를 지정해야 합니다.이 시나리오에서는 확장성이 어려워지고 일관성이 떨어지기 시작합니다.
우리 중 많은 사람들이 다른 팀원과 액세스 권한이 완전히 달라서 그룹 (또는 태그) 이 누락된 상황에 처해 있습니다.간단한 4차원 모델을 사용하면 새 객체에 레이블을 지정하는 것이 간단하고 예측 가능하며 반복 가능하고 지원 가능하며 정책 설계에서의 상속을 통해 관리 용이성이 크게 향상됩니다.
확장 가능하고 일관된 레이블 지정 체계를 정의하려면 정책 설계에 대한 사고 방식의 전환이 필요하지만 일단 이해하면 단순성을 통해 정책을 보다 효과적으로 관리할 수 있습니다.
Illumio의 라벨링에 대한 우리의 생각에 대한 자세한 내용은 다음을 참조하십시오. 이 멋진 비디오 수석 에반젤리스트인 나다나엘 아이버슨이 보낸 것입니다.