Illumio와 팔로 알토 네트웍스의 통합에 대해 자세히 살펴보기

솔루션 마케팅 디렉터

September 30, 2020

23 최소 읽기

마이크로세그멘테이션 및 방화벽을 통해 기업은 공격 표면을 줄이고 공격에 대한 노출을 제한할 수 있습니다. 랜섬웨어, 데이터 센터 및 클라우드 환경 내부의 동서 트래픽 흐름 전반에 걸쳐 측면으로 이동하거나 빠르게 전파되는 멀웨어 및 기타 위협.하지만 아시다시피 오늘날의 기업은 고도로 분산되어 있으며 사용자, 장치 및 워크로드가 점점 더 도처에 분포되어 있습니다.이 문제를 해결하기 위해 기업은 네트워크와 워크로드 모두에 보안을 구현하는 방안을 모색해야 합니다.

워크로드는 일시적이며 대부분의 워크로드에는 네트워크 패브릭 간에 스핀업 및 스핀다운되거나 컴퓨팅 리소스를 동적으로 할당하는 컨트롤러가 다양한 이유로 IP 주소를 변경할 때 다양한 IP 주소가 할당됩니다.특히 퍼블릭 클라우드 패브릭에서 호스팅되는 최신 마이크로서비스 아키텍처에서는 워크로드가 끊임 없이 줄어들고, 부활하고, 네트워크 내에서 동적으로 이동하는 경우가 많습니다.IP 주소를 사용하여 어떤 형태로든 워크로드를 정적으로 식별하는 것은 과거의 유물입니다.따라서 효과적인 적용을 위해서는 실시간 컨텍스트를 매핑하는 것이 중요합니다. 워크로드 보안 수명주기 내내.

동적인 특성으로 인해 조직에서 실행 중인 모든 워크로드에 마이크로세그멘테이션 정책을 매핑하고 적용하기가 어려운 경우가 많습니다.애플리케이션 워크로드는 주로 동서 트래픽 흐름을 통해 서로 통신하지만, 데이터 센터 또는 클라우드 환경에서 들어오고 나가는 트래픽은 경계의 남북 트래픽 전반에 걸쳐 보호됩니다.효과적인 마이크로세그멘테이션을 달성하려면 네트워크 패브릭 전반에서 차세대 방화벽 (NGFW) 에 이르기까지, 워크로드 수준에서 작동하는 에이전트 기반 솔루션을 통해 적용할 수 있는 호스트 인프라 전반에 걸쳐 워크로드가 이동하는 모든 위치에 대한 실시간 정책 업데이트를 구현해야 합니다.동서부와 남동부 전반의 동적 워크로드에 대한 보안 정책을 매핑하는 것은 복잡하고 대규모 관리가 어렵습니다.NGFW 및 에이전트 기반 마이크로세그멘테이션 도구 전반의 사일로에서 보안 정책 변경을 관리할 경우 불일치가 발생할 수 있습니다.

메타데이터를 사용한 동적 보안 자동화

일루미오 코어 네트워크 주소 지정에 의존하는 대신 레이블 형식의 메타데이터를 사용하여 워크로드를 식별합니다.관리자는 여러 워크로드에 서로 다른 레이블을 할당할 수 있으며, 그런 다음 이러한 레이블을 사용하여 정책을 정의할 수 있습니다.사용 가상 적용 노드 (VEN) 각 워크로드에 에이전트가 배포되면 Illumio Core는 해당 워크로드의 IP 주소 변경을 백그라운드에서 추적합니다.워크로드가 전체 수명 주기 동안 IP 주소를 10번 변경하더라도 레이블은 일관되게 유지됩니다.결과적으로 정책은 기본 네트워크의 설계 방식과 독립적으로 정의됩니다.패킷 전달은 여전히 IP 조회를 통해 수행되지만 이는 백그라운드에서 이루어집니다.레이블은 다양한 워크로드를 식별하는 데 사용되는 구조가 되며, 정책이 이러한 레이블을 사용하여 작성되므로 결과적으로 IP 및 포트 목록이 아니라 사람의 문장처럼 읽히는 레이블이 만들어집니다.

팔로알토 네트웍스는 PA-7000 시리즈, PA-5200 시리즈, PA-3200 시리즈, VM 시리즈 가상 차세대 방화벽과 같은 파노라마 또는 팔로알토 네트웍스 NGFW의 DAG (동적 주소 그룹) 내부의 워크로드를 식별하기 위해 태그 형태의 메타데이터를 사용하는 것과 비슷한 철학을 가지고 있습니다.방화벽은 주소 그룹을 생성하고 이를 정적 또는 동적으로 정의할 수 있으며, 이를 사용하여 정책을 정의할 수 있습니다.그 결과 특정 IP 주소 대신 DAG 이름을 사용하여 누가 누구에게 무엇을 할 수 있는지 정의하는 마치 사람이 만든 문장과 비슷한 방화벽 규칙이 탄생했습니다.DAG는 IP 주소가 할당되지 않은 일종의 “빈 버킷”과 비슷합니다.동적 주소 그룹인 경우 이 빈 버킷은 일부 외부 개체의 IP 주소로 채워집니다.

에이전트 기반 마이크로세그멘테이션에 Illumio Core를 도입함으로써 사용자는 워크로드의 실시간 컨텍스트를 Panorama 내부의 DAG 또는 Palo Alto Networks NGFW에 직접 푸시할 수 있습니다.이 솔루션은 Palo Alto Networks 사용자가 최신 워크로드 정책 변경에 따라 DAG 기반 정책을 완전히 최신 상태로 유지할 수 있도록 도와줍니다.Illumio는 모든 워크로드의 IP 주소 변경을 추적하므로 레이블이 지정된 워크로드 매핑을 Palo Alto Networks로 푸시할 수 있습니다.따라서 Illumio Core가 10개의 워크로드를 “앱” 워크로드로 매핑하고 팔로 알토 네트웍스 방화벽이 “앱”이라고도 하는 DAG를 생성하여 정책 집합에서 이 DAG를 사용하는 경우 방화벽에는 Illumio가 해당 DAG를 채우게 됩니다.레이블이 지정된 워크로드에 IP 주소가 할당되거나, 워크로드가 릴리스되거나 변경되면 이러한 모든 변경 사항을 Palo Alto Networks 방화벽으로 푸시할 수 있습니다.

여기서 진정한 이점은 관리자가 방화벽을 한 번 구성하면 IP 주소가 변경될 때마다 방화벽을 건드리지 않아도 된다는 것입니다.워크로드 규모가 커져도 방화벽은 조용합니다.“앱” 워크로드용 DAG에 10개의 IP 주소 또는 100개의 IP 주소가 포함되어 있는 경우 배포 규모가 커져도 방화벽을 수정하기 위한 변경 제어 프로세스가 필요하지 않습니다.Illumio는 필요에 따라 방화벽을 업데이트하기만 하면 됩니다.

통합의 일환으로 Illumio Core의 워크로드에 대한 레이블과 IP가 팔로 알토 네트웍스 DAG에 동적으로 매핑됩니다.결과는 어땠을까요?사용자는 동적 워크로드에 대한 정적 보안 정책 변경을 수동으로 관리할 필요가 없습니다.자동화의 이점을 누리고 실시간 워크로드 보안 업데이트를 유지 관리할 때 구성 오류 및 사용자 오류로 이어질 수 있는 인적 요소를 제거할 수 있습니다.

Illumio 및 Palo Alto Networks와 함께 사용하면 네트워크가 확장되거나 발전하더라도 보안을 포기할 필요가 없습니다.Panorama와 NGFW의 DAG를 실시간 워크로드 컨텍스트로 자동 업데이트하여 변화하는 애플리케이션 워크로드에 대한 효과적인 마이크로세그멘테이션 정책을 조율하는 데 따른 시간, 노력 및 골칫거리를 줄일 수 있다는 이점이 있습니다.

일루미오와 팔로 알토 네트웍스 간의 API 워크플로

Illumio Core에서는 워크로드에 역할, 애플리케이션, 환경 및 위치라는 메타데이터 레이블이 할당되어 추가 컨텍스트를 제공합니다.예를 들어 뉴욕 데이터 센터에 개발용으로 배포된 주문 애플리케이션의 일부인 웹 계층 워크로드에는 역할 레이블 웹, 애플리케이션 레이블 주문, 환경 레이블 개발 및 위치 레이블 NY_DC가 할당됩니다.

Palo Alto Networks 파노라마에서는 레이블을 사용하여 일치하는 기준에 따라 정의된 DAG (동적 주소 그룹) 를 사용하여 정책을 생성할 수 있습니다.DAG로의 멤버십 변경은 자동으로 이루어지므로 변경 관리 및 승인이 필요하지 않습니다!

API 기반 통합 도구인 “Illumio-Palo Alto Networks DAG Updater”는 IP 주소 변경 (예: 데이터 센터의 VM 마이그레이션 또는 클라우드의 호스트에 대한 ENI 변경) 및 메타데이터 변경 (예: 검역소로 레이블이 다시 지정된 워크로드) 을 포함하여 전체 라이프사이클 동안 동적으로 워크로드를 등록 및 등록 취소합니다.워크로드가 동적으로 등록 및 등록 취소되면 DAG 멤버십이 변경되고 올바른 정책 세트가 워크로드에 자동으로 적용됩니다.

워크로드의 전체 수명 주기 동안 DAG 멤버십을 자동으로 업데이트하는 기능을 통해 애플리케이션 중심 정책을 여러 데이터 센터에 적용하고 다중 계층 아키텍처에서 쉽게 확장할 수 있습니다.

다음은 워크로드 간 환경 세분화의 간단한 예입니다. 개발 과 프로덕션.