.png)
마이크로세그멘테이션을 위한 정책 모델에서 중요한 것은 무엇일까요?
마이크로세그멘테이션 솔루션에서 설명해야 할 모든 기능 중에서 대부분의 공급업체는 정책 모델부터 시작하지 않을 것입니다.하지만 특정 솔루션이 창출할 수 있는 잠재적 결과에 따라 정책 모델에 따라 무엇이 가능한지가 결정됩니다.따라서 정책 모델에서 무엇이 필요한지 숙고하는 것은 고품질의 후회하지 않는 구매 결정을 내리기 위한 훌륭한 준비입니다.바람직한 마이크로세그멘테이션 정책 모델의 중요한 구성 요소를 각각 살펴보겠습니다.
다차원 라벨
마이크로세그멘테이션 정책은 레이블을 사용하여 기본 네트워크 주소 지정 및 장치에서 세그멘테이션을 추상화합니다.이러한 레이블은 “유용하게 다차원”인 것이 이상적입니다.레이블이 무제한으로 구성된 플랫 네임스페이스는 유용하지 않습니다. 대부분의 시스템에 영향을 미치는 정책 설명을 요약하거나 구조화할 수 없기 때문입니다.플랫 네임스페이스의 모든 시스템에 레이블을 지정하는 경우 IP 주소를 사용하여 정책을 지정하는 것보다 낫지 않을 수 있습니다.흥미롭게도 특정 정책 차원 내의 레이블 수에는 제한을 두지 않아야 하지만 대규모 배포에서는 정책 크기를 제한하는 것이 유용하다는 것이 입증되었습니다.
우리 인간은 4차원을 쉽게 시각화할 수 있습니다. 예를 들어 3차원에 시간을 더한 것입니다.하지만 물리학자들의 말이 맞고 우리가 11차원 또는 13차원 공간에 살고 있다면 수학만이 그 차원을 포착할 수 있습니다.우리 뇌에서는 시각화하기가 불가능합니다.이는 마이크로세그멘테이션에 실질적인 영향을 미칩니다.11차원 정책을 이해하고 계산하도록 컴퓨터를 프로그래밍할 수는 있지만 사람이 이해할 수는 없습니다.인간은 마이크로세그멘테이션 정책을 검사, 감사 및 이해할 수 있어야 합니다.
우리의 경험에 비추어 볼 때, 네 가지 차원 모델을 이해하는 우리의 능력을 유지하면서 정책 목적으로 지구상에서 가장 큰 네트워크도 효과적으로 모델링할 수 있습니다.따라서 플랫 태그 공간이나 레이블 공간 이상의 기능을 갖춘 정책 모델을 찾아보십시오.몇 차원의 구조는 수십만 개의 시스템 규모에서 작동하지만 여전히 쉽게 이해하고 사용할 수 있습니다.이 동영상을 통해 라벨의 힘에 대해 자세히 알아보세요.
리치 오브젝트 모델
품질 정책 언어는 충분히 풍부한 객체 모델을 가질 것입니다.하이퍼스케일 엔터프라이즈 데이터 센터는 복잡한 장소입니다.모델이 서버, VM, 컨테이너, 클라우드 인스턴스 등 보호해야 할 모든 것을 수용해야 한다는 것은 분명하지만 이러한 보호 시스템만으로는 유용한 정책 기본 요소를 모두 추상화하기에는 충분하지 않습니다.서비스/포트 매핑 및 IP 주소 범위를 위한 객체가 있어야 합니다.공유 서버 (예: 여러 데이터베이스 인스턴스가 있는 서버) 에서는 이러한 인스턴스를 서로 별개의 가상 서비스로 추상화할 수 있어야 합니다. 컨테이너 컨테이너 호스트는 모든 시각화에 나타나는 “일류 시민”이어야 합니다. 과 정책 진술의 일부.흥미롭게도 보호되지 않는 시스템을 개체 모델에 추가하는 것도 중요합니다. 특히 보호 대상보다 보호되지 않는 항목이 많고 이러한 시스템이 서로 통신하는 배포 초기 단계에서는 더욱 그렇습니다.모든 흐름을 깔끔하게 표현할 수 있으면 원하는 정책을 훨씬 쉽게 지정할 수 있습니다.최상의 솔루션은 관리되지 않는 객체를 내보내거나 구현할 수 있도록 하려는 경우 해당 객체에 대한 정책을 구축할 수도 있습니다.
상속
정책 상속은 기존 데이터 센터를 포함하도록 마이크로세그멘테이션 정책을 확장할 수 있는 유일한 방법입니다.트래픽의 약 80% 가 데이터 센터 내에서 흐른다면 기존 경계 방화벽 규칙이 트래픽의 20% 만 처리한다는 뜻입니다.즉, 데이터 센터 내에는 현재 모든 방화벽에 존재하는 규칙의 5배 수가 더 많다는 뜻입니다!정책 모델이 제공하는 추상화와 유용한 차원을 순수한 허용 목록 정책 모델과 결합해야 합니다.그래야만 정책을 한 번 작성하여 많은 경우에 적용할 수 있습니다.일반적인 마이크로세그멘테이션 정책을 중심으로 한 상속 및 스마트 정책 자동화 (예: 애플리케이션: 링/펜싱결합하면 수만 개의 시스템을 성공적으로 분할할 수 있는 검증된 유일한 방법을 만들 수 있습니다.
선언형 vs. 명령형
100,000개 이상의 워크로드를 성공적으로 마이크로세그먼팅하는 유일한 정책 모델은 선언적 방법을 사용하여 세그멘테이션 요구를 표현합니다.선언형 정책 모델에서는 원하는 결과를 지정하기만 하면 됩니다.명령형 정책 모델에서는 결과를 생성하기 위한 솔루션을 정확히 지정해야 합니다.기존의 방화벽 규칙은 필수적입니다. 원하는 보호 기능이 존재하려면 모든 설명이 완벽한 순서와 완벽한 정확도로 제시되어야 합니다.이로 인해 어려움과 복잡성이 끝나지 않습니다.하지만 이상적인 마이크로세그멘테이션 정책은 선언적 언어만 사용합니다. “프로덕션 환경 내에서 주문 애플리케이션을 링펜스하고 싶습니다.”이를 어떻게 달성하느냐가 관건입니다. 정책 컴퓨팅 엔진 정책 언어의 이면에는따라서 정책은 항상 쉽게 지정하고, 이해하고, 개발하기 쉽습니다.해야 할 일의 규모를 고려할 때 다른 모든 작업은 실패로 귀결될 수 있습니다.
일관된 애플리케이션
필요한 모든 프리미티브가 존재한다면 최고의 마이크로세그멘테이션 솔루션은 제품의 모든 영역에서 이를 일관되게 사용할 것입니다.라벨은 단지 정책 작성용으로만 사용되는 것이 아니라 가시성, 정책 배포 및 정책 시행에 대한 정보를 제공해야 합니다. 역할 기반 액세스 제어 (RBAC) 애플리케이션 소유자, DevOps 및 기타 사용자가 필요한 모든 것에 액세스할 수 있지만 그 이상은 액세스할 수 없도록 레이블 구조를 정확히 따라야 합니다.특히 자동화된 배포를 보호하려면 이러한 정밀한 위임 기능이 필요합니다.유용하고 명확하며 단순한 레이블 구조는 일관되게 적용될 때 멘탈 모델을 만들 수 있습니다.관리자는 거의 즉시 솔루션의 작동 방식을 직관적으로 이해하고 결과를 예측할 수 있습니다.이러한 직관은 순식간에 속도, 속도에 대한 숙달, 완성된 프로젝트에 대한 숙달로 이어집니다.단순성, 명확성, 일관성은 복잡한 데이터 센터 환경을 위한 솔루션입니다.
완전한 추상화
저는 자동화가 아침 식사로 메타데이터를 먹는다고 말하는 것을 좋아합니다.자동화는 추상화하는 것보다 더 빠르게 진행될 수 없습니다.성공적인 정책 모델을 위해서는 네트워크 주소 지정의 흔적과 적용 메커니즘 자체를 추상화해야 합니다.정책은 원하는 내용만 처리해야 합니다.이러한 방식으로 자동화는 “웹은 앱과 대화해야 한다”는 결과를 쉽게 설명할 수 있습니다.이를 실현하기 위해 필요한 규칙은 역동적인 클라우드 또는 자동화된 환경에서 끊임없이 변화할 것이며, 확장하려는 경우 자동화 프레임워크에 이러한 복잡성을 노출시킬 수 없습니다.IP 주소에 의존하는 정책은 아무리 좋은 의도가 있더라도 확장되지 않습니다.마찬가지로 적용 메커니즘도 숨겨야 합니다.요구 사항이 구체화되면 마이크로세그멘테이션 정책 엔진은 이미 알고 있는 리소스를 바탕으로 해당 정책을 구현하는 가장 좋은 방법을 찾아야 합니다.이러한 방식으로 시스템이 등장하고 사라짐에 따라 적용 지점의 수가 늘어나며 정책 및 규칙 기반도 달라져야 합니다.완전히 추상화된 정책만이 DevOps 및 클라우드 설계자에게 마이크로세그멘테이션 솔루션과 원활하게 인터페이스하는 데 필요한 기능을 제공할 수 있습니다.
대규모 정책
수년 전, 거대 동물이 지구를 지배했습니다.거대한 형태의 동식물이 모든 대륙에 존재했고, 오늘날 우리가 살고 있는 종들보다 우뚝 솟았죠.최상의 정책 모델에는 개별 적용 분야에 대한 간단한 설명보다 우월한 규모 인자가 포함됩니다.모든 정책 차원에서 모든 레이블을 그룹화할 수 있으므로 단일 정책이 여러 데이터 센터, 환경 또는 애플리케이션의 시스템에 영향을 미칠 수 있습니다.하이퍼스케일 엔터프라이즈를 위한 정책을 작성할 때 이러한 “메가 정책”은 마이크로세그멘테이션 정책을 통해 엔터프라이즈를 포괄하는 놀라운 도달 범위, 속도 및 효율성으로 이동합니다.
정책 모델은 추상적이고 중요하지 않은 개념처럼 보일 수 있습니다.하지만 성공적인 마이크로세그멘테이션 배포를 위해서는 진실과 거리가 먼 것이 없습니다.정책 모델은 표현할 수 있는 것과 표현할 수 없는 것, 표현이 얼마나 쉬울지 또는 어려울지를 결정합니다.회사는 UI의 색상을 빠르게 변경할 수 있지만 망가졌거나 잘못 설계된 정책 모델을 고치는 데에는 어려움을 겪을 것입니다.세계에서 가장 검증된 마이크로세그멘테이션 정책 모델은 “유용하게 차원적인” 레이블 모델을 통해 네트워크 주소 지정 및 적용 지점을 완전히 추상화합니다.이 모델은 제품의 모든 기능에 일관되게 적용됩니다.전체 객체 모델이 상속 및 선언적 모델과 결합되면 원하는 결과를 쉽고 빠르게 진술하고 그것이 현실이 될 수 있습니다.마이크로세그멘테이션은 다음과 같은 경우에 성공합니다. 수십만 워크로드의 규모 성숙하고 완전하며 잘 설계된 정책 모델을 통해서만 가능합니다.
다음 시리즈에서는 모르는 마이크로세그멘테이션에 대한 질문을 다루며 마이크로세그멘테이션 정책을 자동화하기 위해 무엇이 필요한지 알아보겠습니다.
