오늘날 데이터센터는 많은 보안 위협 공격을 받고 있습니다. 특히 East-West 트래픽 보안 위반이 매일 일어나고 있습니다.
시스코 자료에 따르면 보안 공격 중 75 %는 단 몇 분만에 데이터 도용에 착수하나, 정작 기업이 이 공격을 탐지하는데는 시간이 훨씬 오래 걸린다고 합니다. 심지어 문제가 발견되어도 충분한 봉쇄와 치료가 이루어지기까지 수주가 더 걸릴 수 있습니다.
데이터센터를 지키는 효과적인 방법, 마이크로 세그멘테이션
데이터 센터에는 공격 경로를 처리하기 위한 다양한 기술이 필요합니다. 네트워크 세그멘테이션은 이러한 데이터 센터 보안을 위한 검증된 기술입니다. 세그멘테이션을 위한 기준 요소는 상황에 따라 다양합니다. 하지만 애플리케이션 중심의 데이터센터내에서는 공통된 기준이 있습니다. 바로 안전하고 효과적인 운영을 위해 단순하고 서비스에 따라 세분화된 세그멘테이션이 필요하다는 것입니다.
업계에서는 이를 마이크로 세그멘테이션(Microsegmentation)이라고 부르며, 아래와 같이 정의하고 있습니다.
-
- 다양한 속성을 사용하여 세분화된 방식으로 세그먼트를 정의함
- 전체 애플리에이션 라이프사이클에 걸쳐, 세그먼트 및 정책관리를 자동화함
- 위험이 있는 엔드 포인트를 격리하고, 위협 전파를 제한함
- 물리적, 가상 및 컨테이너 워크로드에 대해 Zero-Trust 방식을 사용해 보안 및 확장성을 강화함
마이크로 세그멘테이션을 하는 방법
Cisco ACI는 브로드 캐스트 도메인에서 세그먼트를 분리하는 정책을 통하여 마이크로 세그멘테이션을 효율적으로 구성합니다.
Cisco ACI는 EPG(End-Point Group)라고 불리는 애플리케이션 그룹을 사용하는데요. 애플리케이션 설계자는 IP주소나 Subnet이 아닌 애플리케이션 속성을 기반으로 EPG에 포함될 엔드포인트 그룹을 정의합니다. 이 그룹에 포함되는 엔드 포인트는 실제 서버, 가상 시스템, Linux 컨테이너 또는 기존 메인 프레임 등이 되는데요. 엔드 포인트 유형을 엔드포인트 그룹으로 정의하여 다양한 정보를 기반으로 한 세그멘테이션을 쉽고 빠르게 제공하게 됩니다.
이를 통해 Cisco ACI는 VMware VDS, Microsoft Hyper-V 가상 스위치, KVM 및 베어 메탈 엔드 포인트 및 컨테이너에 대해 일관된 마이크로 세그먼테이션 기능을 제공함으로써 다양한 엔드 포인트에 대해 그 특성에 맞는 보안 서비스를 적용할 수 있습니다. 고객은 가상 시스템 특성 (예 : 이름, 게스트 OS, VM 식별자) 또는 네트워크 속성 (예 : IP 주소)을 기반으로 포워딩 및 보안 정책을 동적으로 적용하고, 손상되거나 악의적인 엔드 포인트를 빠르게 격리 할 수 있습니다.
이렇게 써보세요!
시나리오 | 대안 |
멀티 하이퍼바이저에서 취약한 VM 격리를 위한 마이크로 세그멘테이션 | 공통 정책 자동화를 사용하여, 하이퍼 바이저와 베어 메탈 서버가 혼합 된 환경에서도 워크로드를 보호합니다.
Bridge domain 또는 EPG 내에서 비인가 VM 또는 위협을 격리합니다 |
L4-L7 서비스 추가된 멀티 티어 애플리케이션의 마이크로 세그멘테이션 | VM 또는 네트워크 특성으로 정의된 Micro-segment간에 L4-L7 장비 또는 방화벽 서비스를 추가합니다. |
Remediation을 위한 멀티 티어 애플리케이션의 마이크로 세그멘테이션 | VM 또는 네트워크 특성을 사용하여 정의 된 Micro-segment간에 L4-L7 장비 또는 방화벽 서비스를 추가합니다. |
Cisco ACI의 마이크로세그멘테이션은 데이터 센터 내 east-west 트래픽에 대한 향상된 보안을 제공 할 수 있습니다. 그 진정한 가치는 애플리케이션 설계 및 전체 네트워크 정책과의 통합, 다양한 하이퍼 바이저, 베어 메탈 서버, 레이어 4 ~ 7 장비 및 오케스트레이션 플랫폼과의 상호 운용성에 있습니다
.
이 모든 것을 이루는 튼튼한 프레임, Cisco ACI가 만듭니다!
시스코 전문가 칼럼으로
최신 IT 트렌드를 알아보세요! |
이 글은 민명기 데이터센터 스페셜리스트가 작성한 칼럼입니다. |