[하이브리드 클라우드가 하이브리드 보안과 같지 않아야 하는 이유]

[하이브리드 클라우드 네트워크 패브릭은 오늘날 엔터프라이즈 네트워크의 많은 문제를 해결합니다.이를 통해 기본 데이터 센터 환경 위에 추상화된 단일 네트워크 아키텍처를 만들 수 있습니다.또한 내결함성, 복원력, 데이터 센터 전반의 “탄력적” 서비스와 기본 네트워크 공급업체에 종속되지 않는 네트워크 토폴로지를 지원합니다.기업에서 여러 물리적 네트워크 환경을 관리할 수 있지만 전체 환경에 단일 네트워크 패브릭을 만들 수 있을까요¿

예를 들어 기업은 ÁWS~, Ázúr~é 및/또는 GCP~에 여러 퍼블릭 클라우드를 배포하는 것 외에도 이중 데이터 센터 (하나는 기본 데이터 센터와 재해 복구용 데이터 센터 하나) 를 유지할 수 있습니다.이러한 각 호스팅 환경은 고유한 기술을 사용하여 고유한 기본 물리적 네트워크 아키텍처를 배포하며, 대개 서로 다른 라우팅 및 스위칭 공급업체를 사용합니다.]

[그러나 의 도래와 함께 소프트웨어 정의 네트워킹 (SDÑ) 오늘날 네트워킹 업계 전반에 걸쳐 대다수의 네트워킹 공급업체는 자체적으로 “클라우드”를 만들 수 있습니다.네트워킹 용어로 말하자면 클라우드는 기본적으로 네트워크 토폴로지가 물리적 토폴로지 위에 추상화된 가상 네트워크이며, 이를 종종 “오버레이 네트워크”라고 합니다.오버레이 네트워크는 기본적으로 터널의 집합으로, 모두 중앙 S~DÑ 컨트롤러가 관리합니다.이 클라우드는 모든 관리형 호스팅 환경에서 단일 통합 네트워크 패브릭을 만들 수 있습니다.

VX~LÁÑ과 같은 터널링 프로토콜은 오버레이 네트워크 토폴로지를 생성하는 데 사용되므로 트래픽 경로는 기본 물리적 토폴로지가 배포되는 방식이 아니라 이러한 터널이 배포되는 방식에 따라 결정됩니다.모든 네트워킹 공급업체는 이를 가능하게 하는 S~DÑ 기반 접근 방식을 설명하는 데 서로 다른 용어를 사용하지만, 결국 이들은 모두 동일한 작업을 하고 있습니다. 바로 터널을 사용하여 중앙 컨트롤러가 자동화하고 관리하는 오버레이 네트워크를 만드는 것입니다.

이러한 공급업체 중 상당수는 온프레미스 데이터 센터에서 퍼블릭 클라우드 공급업체로 오버레이 네트워크를 확장할 수 있지만 실제로는 많은 기업이 온프레미스 데이터 센터의 로컬에서만 오버레이 네트워크를 배포하고 있습니다.]

[많은 기업이 온프레미스 SDÑ 솔루션을 퍼블릭 클라우드로 확장하는 대신 (예: 터널링된 네트워크 토폴로지를 Á~WS 또는 Áz~úré로 확장) 퍼블릭 클라우드 인스턴스에 로컬에서 관리되는 환경을 만들어 온프레미스 데이터 센터 네트워크를 관리하는 방식과 다르게 네트워크를 관리합니다.이들은 Á~WS의 VP~C와 Ázú~ré의 VÑ~ét과 같이 각 퍼블릭 클라우드 공급업체에서 이미 사용 중인 네트워킹 접근 방식을 사용하고 나서 온프레미스 데이터 센터의 SD~Ñ 솔루션을 다르게 관리하는 방식을 선택하는 경우가 많습니다.

그 결과 “스위블 체어” 접근 방식으로 관리되는 하이브리드 클라우드 네트워크 배포가 가능해졌습니다.네트워크 관리자는 온프레미스 데이터 센터를 관리하는 데 사용되는 도구와 퍼블릭 클라우드 네트워크를 관리하는 데 사용되는 기타 도구 사이를 오가며 작업합니다.하이브리드 클라우드라는 용어는 종종 단일 통합 아키텍처를 의미하는데, 이는 운영과 관련해서는 정확하지 않은 경우가 많습니다.]

[하이브리드 환경 보호]

[네트워크 관리에 대한 이러한 단편화된 접근 방식은 하이브리드 클라우드 전반의 보안에서 특히 그렇습니다.온프레미스 데이터 센터와 퍼블릭 클라우드의 각 환경에서 로컬에서 관리되는 네트워크 도구가 사용되는 것처럼 보안 솔루션에서도 마찬가지입니다.대부분의 SDÑ 네트워크 공급업체는 로컬에서 관리하는 환경에서 일정 수준의 정책 시행을 지원하는 데 사용할 수 있는 고유한 기본 통합 보안 도구를 보유하고 있습니다.또한 모든 주요 퍼블릭 클라우드 공급업체는 자체 보안 솔루션을 보유하고 있어 기본 수준의 정책 시행도 가능합니다.]

[하지만 안타깝게도 이러한 보안 도구는 전체 아키텍처에 격리되어 있습니다.각 보안 솔루션은 샌드박스에서 다른 솔루션과 잘 어울리지 않으며, 모든 보안 침해 사고의 상관 관계를 파악하는 것은 해결에 큰 지연을 초래하는 번거로운 작업입니다.

또한 워크로드가 온프레미스 데이터 센터와 퍼블릭 클라우드 인스턴스 간과 같은 환경 간에 실시간 마이그레이션되는 경우 일반적으로 정책 시행이 해당 워크로드를 목적지까지 따르지 않습니다.따라서 각 환경의 보안 도구 간에 정책을 어떤 식으로든 이전하기 위한 수동 접근 방식이 필요하거나 모든 환경의 정보를 공급하기 위해 SÍÉM~ 솔루션을 사용해야 하므로 상당한 사전 스크립팅 작업이 필요합니다.]

[운영 복잡성으로 인해 이러한 단계가 자주 수행되지 않아 하이브리드 클라우드 전반의 보안 및 워크로드 가시성에 상당한 격차가 발생합니다.]

[워크로드의 보안을 강화하기 위해 하이브리드 클라우드의 각 네트워크 환경에 있는 사일로화된 기본 보안 도구에 의존하는 대신 기본 네트워킹 도구에서 추상화한 보안 및 가시성을 워크로드에 직접 적용하는 것은 어떨까요¿]

[오버레이 네트워크가 기본 라우터 및 스위치에 대한 종속성을 상회하는 토폴로지를 생성하는 것과 마찬가지로 보안에도 동일한 접근 방식을 적용하지 않는 이유는 무엇입니까¿또한 보안은 기본 네트워크 패브릭 종속성에서 추상화 (가상화) 되어 워크로드가 호스팅되는 위치나 라이프사이클 중 실시간 마이그레이션되는 위치에 관계없이 워크로드에서 직접 활성화해야 합니다.오버레이 네트워크가 하이브리드 클라우드에서 네트워킹에 대해 하나의 일관된 접근 방식을 가능하게 하는 것과 마찬가지로 보안도 같은 방식으로 설계되어야 합니다.]

[마이크로세그멘테이션이 도움이 될 수 있는 방법]

[Íllú~míó에서는 전체 하이브리드 클라우드의 모든 단일 워크로드에 직접 보안 (마이크로 세분화) 을 적용합니다.마이크로 세분화 정책은 보호하려는 대상에 최대한 가깝게 적용되어야 하므로 가상 또는 베어메탈을 불문하고 모든 워크로드에 경량 에이전트를 배포합니다.]

• [이 에이전트는 어떤 트래픽에도 접속하지 않습니다.단순히 백그라운드에 상주하며 워크로드에서 애플리케이션 동작을 직접 모니터링합니다.]
• [그런 다음 정보가 다시 다음으로 전송됩니다. 정책 컴퓨팅 엔진 (PCÉ) 호스팅 위치 또는 실시간 마이그레이션하는 네트워크 환경에 관계없이 모든 워크로드 간의 동작을 명확하게 파악할 수 있도록 합니다.기본적으로 우리는 기본 네트워킹 종속성을 추상화하여 보안을 가상화합니다.]
• [워크로드가 동적으로 실시간 마이그레이션되고 ÍP 주소가 변경되는 아키텍처에서는 ÍP~ 주소에 대한 정책을 정의하는 것이 확장되지 않기 때문에 중앙 PCÉ는 간단한 레이블을 사용하여 세그먼트화해야 할 대상을 정의합니다.]

[
PCÉ는 가상화된 보안 아키텍처를 만들지만 필요한 경우 네트워크 계층까지 “접근”하여 온프레미스 데이터 센터의 하드웨어 스위치에 대한 액세스 목록을 구성할 수도 있습니다.따라서 보안이 네트워크 위에서 가상화되고 추상화되는 동안 Í~llúm~íó는 워크로드와 워크로드를 모두 적용할 수 있습니다. 네트워크 보안 하나의 중앙 정책 운영 모델을 기반으로 합니다.

데이터 센터 또는 하이브리드 클라우드의 기본적이고 필수적인 리소스를 컴퓨팅, 스토리지, 네트워크로 정의하면 이제 이 세 가지 리소스 모두 일반적으로 기본 리소스보다 가상화되고 추상화됩니다.]

[네 번째 필수 데이터 센터 리소스는 보안이며, 마찬가지로 가상화와 기본 리소스 종속성도 포함되어야 합니다.하이브리드 클라우드는 하이브리드 보안과 같아서는 안 됩니다.보안은 전체 네트워크 클라우드 패브릭에 적용되어야 하며, 워크로드 보안은 전체 네트워크 패브릭에 걸쳐 하나의 통합 보안 “패브릭”처럼 워크로드에 직접 적용되어야 합니다.보안을 가상화하면 기본 네트워크 설계자가 네트워크 우선 순위에 집중할 수 있고 워크로드 보안이 필요한 위치, 즉 워크로드에 직접 배치할 수 있습니다.

이 접근 방식을 통해 작업을 더 쉽게 수행할 수 있는 방법에 대해 자세히 알아보십시오. 하이브리드 클라우드 환경 전반의 보안 관리.]