새야, 비행기야, 초은하단이야!
대규모 조직에서는 데이터 센터가 서로 다른 지역에 위치하는 경우가 많습니다.분산형 데이터 센터를 통해 이러한 조직은 고객 및 직원과 가까운 곳에 애플리케이션을 배치하고, 데이터 레지던시 요구 사항을 준수하고, 중요한 비즈니스 애플리케이션에 대한 재해 복구 기능을 제공할 수 있습니다.퍼블릭 클라우드의 도입으로 모든 규모의 조직이 워크로드를 여러 지역에 분산하는 것이 훨씬 더 쉬워지고 있습니다.예를 들어, AWS는 현재 전 세계 18개 지리적 지역에 걸쳐 있습니다.
정말 기쁩니다 PCE 슈퍼클러스터 소개 다중 지역 인프라 전반에서 대규모로 완전한 가시성, 중앙 집중식 및 통합 관리, 마이크로세그멘테이션 정책의 일관된 적용을 제공합니다.이 게시물에서는 다중 지역 인프라 보안을 위한 주요 요구 사항과 페더레이션된 아키텍처로 PCE Supercluster를 설계한 이유를 살펴봅니다.
다중 지역 마이크로세그멘테이션 솔루션에 대한 요구 사항
인프라가 전 세계에 분산되어 있는 경우 마이크로세그멘테이션 솔루션에 대한 몇 가지 주요 요구 사항이 있습니다.초기 마이크로세그멘테이션 배포가 단일 위치로 제한되더라도 이러한 요구 사항을 미리 고려하는 것이 중요합니다.
- 레질리언스: 마이크로세그멘테이션 솔루션은 데이터 센터 장애 또는 지역 간 네트워크 장애 발생 시 인프라를 계속 운영하고 보호해야 합니다.
- 확장성: 마이크로세그멘테이션 솔루션은 각 데이터 센터의 워크로드 수와 전 세계 총 워크로드 수에 따라 확장되어야 합니다.
- 관리 용이성: 마이크로세그멘테이션 솔루션은 글로벌 및 지역 보안 및 애플리케이션 팀이 모두 관리할 수 있어야 합니다.
- 대역폭 효율성: 지역 간 네트워크 대역폭은 비용이 많이 들기 때문에 솔루션이 대량의 대역폭을 사용하지 않아야 합니다.
다중 지역 마이크로세그멘테이션 솔루션을 위한 아키텍처
일루미오의 정책 컴퓨팅 엔진 (PCE) 인프라의 워크로드 및 기타 적용 지점 전반에서 마이크로세그멘테이션 정책을 조정하는 역할을 하는 소프트웨어 기반 컨트롤러입니다.또한 PCE는 네트워크 흐름 정보 및 워크로드에서 실행되는 프로세스에 대한 정보와 같은 원격 측정 데이터를 인프라에서 수집합니다.
다양한 지역에 위치한 워크로드를 보호하기 위해 PCE 또는 소프트웨어 기반 마이크로세그멘테이션 솔루션을 설계하는 방법에는 여러 가지가 있습니다.
다음은 다양한 아키텍처 접근 방식과 이러한 접근 방식이 위에서 설명한 요구 사항에 어떻게 매핑되는지에 대한 분석입니다.
중앙 집중식 아키텍처 — 컨트롤러가 단일 위치에 있습니다.
- 복원력: 중앙 집중식 아키텍처는 단일 장애 지점을 생성하고 제한된 복원력을 제공합니다.
- 확장성: 중앙 집중식 아키텍처는 수직 및 수평으로 확장하여 전 세계 총 워크로드 수를 지원할 수 있습니다.
- 관리 용이성: 중앙 집중식 아키텍처를 사용하면 글로벌 보안 및 애플리케이션 팀이 전체 인프라에 마이크로세그멘테이션 정책을 쉽게 구성하고 적용할 수 있습니다.역할 기반 액세스 제어 (RBAC) 를 사용하면 지역 팀이 해당 지역의 애플리케이션에 대해서만 정책을 보고 수정할 수 있는 제한된 액세스 권한을 제공할 수 있습니다.
- 대역폭 효율성: 중앙 집중식 아키텍처는 모든 네트워크 흐름 데이터 및 기타 텔레메트리를 컨트롤러로 다시 전송해야 하므로 더 많은 대역폭을 사용합니다.지역당 워크로드 수와 이러한 워크로드 간의 연결 수에 따라 대역폭이 증가합니다.
분산 아키텍처 — 각 데이터 센터에 컨트롤러를 배치하며 컨트롤러는 서로 완전히 독립적입니다.
- 복원력: 분산 아키텍처는 복원력이 뛰어납니다.한 지역의 컨트롤러에 장애가 발생해도 다른 지역에는 영향을 주지 않습니다.
- 확장성: 분산 아키텍처는 더 많은 컨트롤러를 배포하여 각 데이터 센터의 워크로드 수와 전 세계 총 워크로드 수에 따라 확장할 수 있습니다.
- 관리 용이성: 분산 아키텍처를 사용하면 지역 팀에서 로컬 정책을 만들 수 있지만, 이 아키텍처는 글로벌 정책을 각 지역에 수동으로 복제해야 하기 때문에 글로벌 정책을 적용하는 데 어려움이 있습니다.또한 모든 애플리케이션을 한 곳에서 시각화하고 지역 간 종속성을 확인할 수 있는 방법도 없습니다.
- 대역폭 효율성: 분산 아키텍처는 모든 데이터가 해당 지역의 로컬로 유지되므로 대역폭 효율성이 더 높습니다.
페더레이션된 아키텍처 — 컨트롤러를 각 데이터 센터에 배치하면 컨트롤러가 서로 통신하여 조직의 보안 정책 및 보안 대상 워크로드에 대한 정보를 공유합니다.
- 복원력: 페더레이션된 아키텍처는 복원력이 뛰어납니다.한 지역의 컨트롤러에 장애가 발생해도 다른 지역에는 영향을 주지 않습니다.
- 확장성: 통합 아키텍처는 더 많은 컨트롤러를 배포하여 각 데이터 센터의 워크로드 수와 전 세계 총 워크로드 수에 따라 확장할 수 있습니다.
- 관리 용이성: 통합 아키텍처를 사용하면 글로벌 보안 및 애플리케이션 팀이 전체 인프라에 마이크로세그멘테이션 정책을 쉽게 구성하고 적용할 수 있습니다.RBAC를 사용하면 지역 팀에게 해당 지역의 애플리케이션에 대한 정책만 보고 수정할 수 있는 제한된 액세스 권한을 제공할 수 있습니다.
- 대역폭 효율성: 페더레이션된 아키텍처는 시스템이 작동하는 데 필요한 최소한의 정보만 컨트롤러 간에 공유되는 경우에 한해 대역폭 효율성이 더 높습니다.
다음 표에는 다중 지역 인프라를 마이크로세그먼트화하기 위한 세 가지 아키텍처가 요약되어 있습니다.
중앙 집중식/분산형/연합 레질리언스 -++ 확장성 +++ 관리 용이성 +-+ 대역폭 효율성 -++
PCE 슈퍼클러스터 소개: 올바른 다중 지역 마이크로세그멘테이션
PCE 슈퍼클러스터는 분명한 이점을 고려하여 페더레이션된 아키텍처로 설계되었습니다.슈퍼클러스터에서는 지정된 리더 PCE가 글로벌 보안 정책을 관리합니다.Illumio의 강력한 RBAC 기능은 슈퍼클러스터에서 지원되므로 글로벌 및 지역 팀이 최소 권한 방식으로 리더 PCE에 액세스할 수 있습니다.그런 다음 정책이 다른 PCE에 자동으로 복제되며, 이 PCE는 레이블 기반 정책을 워크로드 및 인프라의 기타 적용 지점에서 호스트 방화벽을 프로그래밍하는 데 사용되는 지침으로 변환합니다.이러한 설계를 통해 특정 지역이 슈퍼클러스터의 나머지 부분으로부터 격리되더라도 글로벌 정책이 지속적으로 적용될 수 있습니다.
Illumio는 가시성이 마이크로세그멘테이션의 핵심이라는 사실을 일찍부터 인식했습니다. 보이지 않는 것을 보호할 수는 없기 때문입니다.슈퍼클러스터는 완전한 실시간 애플리케이션 종속성 맵을 제공합니다 (일루미네이션) 리더를 선정하여 지역 내 및 지역 간 애플리케이션 종속성 및 정책 적용 범위를 시각화합니다.조직의 마이크로 경계를 설계하고 애플리케이션을 망치지 않는 마이크로 세그멘테이션 정책을 수립하기 위한 중요한 첫 단계는 고부가가치 시스템과 이러한 애플리케이션 전반의 승인된 연결 및 흐름에 대한 실시간 가시성입니다.
슈퍼클러스터는 전 세계 최대 규모의 조직을 지원할 수 있는 확장성을 더합니다.
단일 PCE를 이미 다중 노드 클러스터로 구축하여 수만 개의 워크로드를 지원할 수 있습니다.Supercluster는 여러 PCE를 함께 연결할 수 있게 함으로써 세계 최대 규모의 조직을 지원할 수 있는 확장성을 한 단계 더 높여줍니다.
우리는 PCE 간 대역폭 소비를 최소화하기 위해 슈퍼클러스터를 설계하는 데 많은 에너지를 소비했습니다.정책을 계산하는 데 필요한 최소한의 워크로드 데이터만 지역 간에 복제됩니다.또한 네트워크 흐름 데이터는 각 PCE에 의해 지역에서 사전 처리되며, 실시간 애플리케이션 종속성 맵을 그리는 데 필요한 최소 정보만 네트워크 전체에 복제됩니다.
PCE 슈퍼클러스터를 통해 조직은 다음을 수행할 수 있습니다.
- 전 세계에 분산된 데이터 센터 환경을 실시간으로 파악할 수 있습니다.
- 마이크로 경계를 확실하게 설계하고 지역 간 트래픽을 지원하고 애플리케이션을 손상시키지 않으면서 대규모로 마이크로세그멘테이션을 적용하는 마이크로세그멘테이션 정책을 만드세요.
- 마이크로세그멘테이션 목표를 달성하는 동시에 네트워크 대역폭 효율성을 실현하고 재해 복구 및 고가용성을 지원합니다.