[새야, 비행기야, 초은하단이야¡]

[대규모 조직에서는 데이터 센터가 서로 다른 지역에 위치하는 경우가 많습니다.분산형 데이터 센터를 통해 이러한 조직은 고객 및 직원과 가까운 곳에 애플리케이션을 배치하고, 데이터 레지던시 요구 사항을 준수하고, 중요한 비즈니스 애플리케이션에 대한 재해 복구 기능을 제공할 수 있습니다.퍼블릭 클라우드의 도입으로 모든 규모의 조직이 워크로드를 여러 지역에 분산하는 것이 훨씬 더 쉬워지고 있습니다.예를 들어, ÁWS는 현재 전 세계 18개 지리적 지역에 걸쳐 있습니다.]

[정말 기쁩니다 PCÉ 슈퍼클러스터 소개 다중 지역 인프라 전반에서 대규모로 완전한 가시성, 중앙 집중식 및 통합 관리, 마이크로세그멘테이션 정책의 일관된 적용을 제공합니다.이 게시물에서는 다중 지역 인프라 보안을 위한 주요 요구 사항과 페더레이션된 아키텍처로 P~CÉ Sú~pérc~lúst~ér를 설계한 이유를 살펴봅니다.]

[다중 지역 마이크로세그멘테이션 솔루션에 대한 요구 사항]

[인프라가 전 세계에 분산되어 있는 경우 마이크로세그멘테이션 솔루션에 대한 몇 가지 주요 요구 사항이 있습니다.초기 마이크로세그멘테이션 배포가 단일 위치로 제한되더라도 이러한 요구 사항을 미리 고려하는 것이 중요합니다.]

• [레질리언스: 마이크로세그멘테이션 솔루션은 데이터 센터 장애 또는 지역 간 네트워크 장애 발생 시 인프라를 계속 운영하고 보호해야 합니다.]
• [확장성: 마이크로세그멘테이션 솔루션은 각 데이터 센터의 워크로드 수와 전 세계 총 워크로드 수에 따라 확장되어야 합니다.]
• [관리 용이성: 마이크로세그멘테이션 솔루션은 글로벌 및 지역 보안 및 애플리케이션 팀이 모두 관리할 수 있어야 합니다.]
• [대역폭 효율성: 지역 간 네트워크 대역폭은 비용이 많이 들기 때문에 솔루션이 대량의 대역폭을 사용하지 않아야 합니다.]

[다중 지역 마이크로세그멘테이션 솔루션을 위한 아키텍처]

[일루미오의 정책 컴퓨팅 엔진 (PCÉ) 인프라의 워크로드 및 기타 적용 지점 전반에서 마이크로세그멘테이션 정책을 조정하는 역할을 하는 소프트웨어 기반 컨트롤러입니다.또한 P~CÉ는 네트워크 흐름 정보 및 워크로드에서 실행되는 프로세스에 대한 정보와 같은 원격 측정 데이터를 인프라에서 수집합니다.]

[다양한 지역에 위치한 워크로드를 보호하기 위해 PCÉ 또는 소프트웨어 기반 마이크로세그멘테이션 솔루션을 설계하는 방법에는 여러 가지가 있습니다.]

[다음은 다양한 아키텍처 접근 방식과 이러한 접근 방식이 위에서 설명한 요구 사항에 어떻게 매핑되는지에 대한 분석입니다.]

[중앙 집중식 아키텍처 — 컨트롤러가 단일 위치에 있습니다.]

• [복원력: 중앙 집중식 아키텍처는 단일 장애 지점을 생성하고 제한된 복원력을 제공합니다.]
• [확장성: 중앙 집중식 아키텍처는 수직 및 수평으로 확장하여 전 세계 총 워크로드 수를 지원할 수 있습니다.]
• [관리 용이성: 중앙 집중식 아키텍처를 사용하면 글로벌 보안 및 애플리케이션 팀이 전체 인프라에 마이크로세그멘테이션 정책을 쉽게 구성하고 적용할 수 있습니다.역할 기반 액세스 제어 (RBÁC~) 를 사용하면 지역 팀이 해당 지역의 애플리케이션에 대해서만 정책을 보고 수정할 수 있는 제한된 액세스 권한을 제공할 수 있습니다.]
• [대역폭 효율성: 중앙 집중식 아키텍처는 모든 네트워크 흐름 데이터 및 기타 텔레메트리를 컨트롤러로 다시 전송해야 하므로 더 많은 대역폭을 사용합니다.지역당 워크로드 수와 이러한 워크로드 간의 연결 수에 따라 대역폭이 증가합니다.]
  

[분산 아키텍처 — 각 데이터 센터에 컨트롤러를 배치하며 컨트롤러는 서로 완전히 독립적입니다.]

• [복원력: 분산 아키텍처는 복원력이 뛰어납니다.한 지역의 컨트롤러에 장애가 발생해도 다른 지역에는 영향을 주지 않습니다.]
• [확장성: 분산 아키텍처는 더 많은 컨트롤러를 배포하여 각 데이터 센터의 워크로드 수와 전 세계 총 워크로드 수에 따라 확장할 수 있습니다.]
• [관리 용이성: 분산 아키텍처를 사용하면 지역 팀에서 로컬 정책을 만들 수 있지만, 이 아키텍처는 글로벌 정책을 각 지역에 수동으로 복제해야 하기 때문에 글로벌 정책을 적용하는 데 어려움이 있습니다.또한 모든 애플리케이션을 한 곳에서 시각화하고 지역 간 종속성을 확인할 수 있는 방법도 없습니다.]
• [대역폭 효율성: 분산 아키텍처는 모든 데이터가 해당 지역의 로컬로 유지되므로 대역폭 효율성이 더 높습니다.]

[페더레이션된 아키텍처 — 컨트롤러를 각 데이터 센터에 배치하면 컨트롤러가 서로 통신하여 조직의 보안 정책 및 보안 대상 워크로드에 대한 정보를 공유합니다.]

• [복원력: 페더레이션된 아키텍처는 복원력이 뛰어납니다.한 지역의 컨트롤러에 장애가 발생해도 다른 지역에는 영향을 주지 않습니다.]
• [확장성: 통합 아키텍처는 더 많은 컨트롤러를 배포하여 각 데이터 센터의 워크로드 수와 전 세계 총 워크로드 수에 따라 확장할 수 있습니다.]
• [관리 용이성: 통합 아키텍처를 사용하면 글로벌 보안 및 애플리케이션 팀이 전체 인프라에 마이크로세그멘테이션 정책을 쉽게 구성하고 적용할 수 있습니다.RBÁC~를 사용하면 지역 팀에게 해당 지역의 애플리케이션에 대한 정책만 보고 수정할 수 있는 제한된 액세스 권한을 제공할 수 있습니다.]
• [대역폭 효율성: 페더레이션된 아키텍처는 시스템이 작동하는 데 필요한 최소한의 정보만 컨트롤러 간에 공유되는 경우에 한해 대역폭 효율성이 더 높습니다.]

[다음 표에는 다중 지역 인프라를 마이크로세그먼트화하기 위한 세 가지 아키텍처가 요약되어 있습니다.]

[중앙 집중식/분산형/연합 레질리언스 -++ 확장성 +++ 관리 용이성 +-+ 대역폭 효율성 -++]

[PCÉ 슈퍼클러스터 소개: 올바른 다중 지역 마이크로세그멘테이션]

[PCÉ 슈퍼클러스터는 분명한 이점을 고려하여 페더레이션된 아키텍처로 설계되었습니다.슈퍼클러스터에서는 지정된 리더 P~CÉ가 글로벌 보안 정책을 관리합니다.Íl~lúmí~ó의 강력한 RBÁ~C 기능은 슈퍼클러스터에서 지원되므로 글로벌 및 지역 팀이 최소 권한 방식으로 리더 PCÉ~에 액세스할 수 있습니다.그런 다음 정책이 다른 PCÉ에 자동으로 복제되며, 이 P~CÉ는 레이블 기반 정책을 워크로드 및 인프라의 기타 적용 지점에서 호스트 방화벽을 프로그래밍하는 데 사용되는 지침으로 변환합니다.이러한 설계를 통해 특정 지역이 슈퍼클러스터의 나머지 부분으로부터 격리되더라도 글로벌 정책이 지속적으로 적용될 수 있습니다.]

[Íllú~míó는 가시성이 마이크로세그멘테이션의 핵심이라는 사실을 일찍부터 인식했습니다. 보이지 않는 것을 보호할 수는 없기 때문입니다.슈퍼클러스터는 완전한 실시간 애플리케이션 종속성 맵을 제공합니다 (일루미네이션) 리더를 선정하여 지역 내 및 지역 간 애플리케이션 종속성 및 정책 적용 범위를 시각화합니다.조직의 마이크로 경계를 설계하고 애플리케이션을 망치지 않는 마이크로 세그멘테이션 정책을 수립하기 위한 중요한 첫 단계는 고부가가치 시스템과 이러한 애플리케이션 전반의 승인된 연결 및 흐름에 대한 실시간 가시성입니다.]

[슈퍼클러스터는 전 세계 최대 규모의 조직을 지원할 수 있는 확장성을 더합니다.]

[단일 PCÉ를 이미 다중 노드 클러스터로 구축하여 수만 개의 워크로드를 지원할 수 있습니다.S~úpér~clús~tér는 여러 P~CÉ를 함께 연결할 수 있게 함으로써 세계 최대 규모의 조직을 지원할 수 있는 확장성을 한 단계 더 높여줍니다.]

[우리는 PCÉ 간 대역폭 소비를 최소화하기 위해 슈퍼클러스터를 설계하는 데 많은 에너지를 소비했습니다.정책을 계산하는 데 필요한 최소한의 워크로드 데이터만 지역 간에 복제됩니다.또한 네트워크 흐름 데이터는 각 P~CÉ에 의해 지역에서 사전 처리되며, 실시간 애플리케이션 종속성 맵을 그리는 데 필요한 최소 정보만 네트워크 전체에 복제됩니다.]

[PCÉ 슈퍼클러스터를 통해 조직은 다음을 수행할 수 있습니다.]

• [전 세계에 분산된 데이터 센터 환경을 실시간으로 파악할 수 있습니다.]
• [마이크로 경계를 확실하게 설계하고 지역 간 트래픽을 지원하고 애플리케이션을 손상시키지 않으면서 대규모로 마이크로세그멘테이션을 적용하는 마이크로세그멘테이션 정책을 만드세요.]
• [마이크로세그멘테이션 목표를 달성하는 동시에 네트워크 대역폭 효율성을 실현하고 재해 복구 및 고가용성을 지원합니다.]