미세 격리세 개의 도로

사용자가 자신의 데이터 센터에 마이크로 세분화를 배포하려는 경우 선택할 수 있는 옵션은 몇 개입니까? Gartner에 따르면 네 가지 경로가 있습니다.

Gartner가 제안하는 4가지 미세 격리 기술 경로

첫 번째 경로가 가장 간단합니다. 사용자는 아무것도 설치할 필요가 없습니다. 기본 클라우드 컴퓨팅 플랫폼은 마이크로 격리 기능을 제공합니다. 그러나 이 접근 방식의 문제점은 사용 중인 클라우드의 기능에 크게 의존하고 모든 클라우드 플랫폼이 이를 제공할 수 있는 것은 아니라는 것입니다. 동시에 이 경로에는 환경 적응성 측면에서 명백한 한계가 있습니다. 마이크로 격리 기능은 다른 클라우드 플랫폼으로 이전할 수 없으며 하이브리드 클라우드 및 멀티 클라우드와 같은 클라우드 간 아키텍처 시나리오에서는 통합 관리를 달성할 수 없습니다.

두 번째 방법은 모두에게 가장 친숙한 가상 방화벽을 사용하는 방법인데, 이 방법의 장점은 모두가 방화벽 사용법에 익숙하지만 문제점도 있다는 것입니다. 방화벽이 켜져 있습니다.사이버 보안개발 초기 단계에서 생산된 격리 및 분할 기술은 도메인 간 트래픽의 액세스 제어를 위해 설계되었으며, 특정 적응 및 변환 후에 기존 방화벽은 클라우드 환경에 배포할 수 있지만 더 세분화된 비즈니스를 달성하기는 여전히 어렵습니다. -수준, 작업 부하 수준 제어. 또한 정책 규모가 방화벽 성능에 미치는 영향을 고려할 때 보안 정책의 제어 개체는 네트워크 세그먼트 수준에만 도달할 수 있는 경우가 많습니다.

세 번째 경로는 처음 두 경로의 조합으로, 두 가지 기술 경로 솔루션의 보완을 통해 데이터 센터 내 네트워크 격리를 달성합니다.

네 번째 경로는 단연 가장 성공적이고 가장 많은 사람들이 선택한 경로입니다. 이것이 Host Agent 경로입니다. 이 경로가 사용자가 거부하기 어려운 이유는 인프라와 관련이 없기 때문입니다. 폭넓은 호환성으로 다양한 클라우드 환경 아키텍처에 대한 적응의 어려움을 피하고, Overlay 모드를 활용해 기본 네트워크 위에 인프라와 완전히 분리된 관제 네트워크를 구축합니다. 이를 통해 얻을 수 있는 이점은 분명합니다. 사용자는 이 경로를 사용하여 데이터 센터와 플랫폼 전반에 걸쳐 동서 트래픽의 통합 관리를 달성할 수 있습니다. 대부분의 K8S 네트워크 플러그인은 호스트(노드) 커널의 고유 기능을 사용하여 컨테이너 플랫폼 내에서 네트워크 포워딩을 구현하기 때문에 이 경로는 컨테이너 플랫폼에서 거의 자연스럽게 지원된다고 할 수 있습니다. 과거에는 이 경로가 있었습니다. 이 경로는 물리적 머신, 가상 머신 및 컨테이너의 통합 관리를 달성할 수 있는 거의 유일한 방법입니다.

위의 세 번째 경로는 기술적인 관점에서 새로운 것이 없다는 점을 고려하면 "기술적 경로"라기보다는 "해결책"에 가깝기 때문에 실제 의미에서 가능한 경로는 세 가지뿐입니다.

그렇다면 실제 네 번째 가능성이 있습니까? 아니면 다른 기술적 경로를 제안해야 합니까? 대답은 '예'입니다.

 

클라우드 네이티브미세 격리

사실 클라우드 컴퓨팅 환경에서는 기본적으로 호스트 에이전트가 세상을 지배하게 되는데, 혁신을 위해 새로운 기술 루트를 제안하는 것은 의미가 없습니다. 하지만 클라우드 네이티브가 등장하면서 상황은 달라졌습니다.

클라우드 네이티브 운영 및 유지 관리 로직과 네트워크 구축 방법은 기존 클라우드 컴퓨팅과 매우 다릅니다. 현재 국내외 모두가 기본적으로 호스트 에이전트를 통해 구현되는 클라우드 네이티브 환경에서 마이크로 격리를 수행하고 있는데, Qiangwei Smart는 과거에 이 작업을 수행했으며 실제로 좋은 결과를 얻었습니다.

그러나 방화벽이 클라우드 컴퓨팅을 위해 탄생한 것이 아니듯이, 클라우드 컴퓨팅 환경에서 "마이크로 세분화"를 구현하는 것은 많은 비호환성을 가져야 합니다. 호스트 에이전트는 결코 클라우드 네이티브용으로 태어난 것이 아니며 자체 비호환성을 가질 수밖에 없습니다. 가상 머신의 에이전트와 클라우드 네이티브의 에이전트는 동일한 에이전트가 아니라는 점을 알아야 합니다. 가상 머신의 에이전트는 가상 머신과 매우 긴밀한 연결을 가지고 있어 달이 가면 나도 가고 우리는 항상 좋은 친구가 될 것이라고 말할 수 있습니다. 그러나 클라우드 네이티브의 Agent는 실제로 호스트에 배치되며 컨테이너 및 전체 오케스트레이션 시스템과 분리되어 있어 에이전트의 운영 및 유지 관리가 전체 오케스트레이션 시스템과 독립적이라는 문제가 발생한다. PAAS 플랫폼의 오케스트레이션 관리 외에도 이는 실제로 DevSecOps 논리를 옹호하는 클라우드 기반 세계에 비우호적이거나 심지어 반대되는 것입니다.

따라서 클라우드 기본 조건에서 새로운 미세 격리 경로가 필요합니다.

 

DaemonSet - 마이크로 격리의 네 번째 경로

클라우드 네이티브 환경에 가장 적합한 마이크로 격리 기술 경로는 무엇입니까?그 대답은 DaemonSet입니다.

데몬셋이란 무엇입니까?

DaemonSet는 Kubernetes의 Pod 컨트롤러 유형으로, Pod의 복사본이 모든(또는 일부) 노드에서 실행되도록 할 수 있습니다. 노드가 클러스터에 참여하면 DaemonSet는 이에 대한 새 Pod를 추가합니다. 노드가 클러스터에서 이동됨 삭제되면 이러한 Pod도 재활용됩니다. DaemonSet 형태 기반의 마이크로 격리 솔루션은 컨테이너 플랫폼에 마이크로 격리 정책 실행 지점을 가드 컨테이너 형태로 배포해 모든 노드에서 항상 실행되도록 한다.

Rose Smart Honeycomb 적응형 미세 격리 보안 플랫폼 배포 다이어그램

"Daemon"이라는 단어에서 "보호자"를 의미하는 것처럼 DaemonSet의 지원을 통해 마이크로 격리 기능은 항상 컨테이너 플랫폼의 탄력적인 확장과 "보조"를 유지할 수 있습니다. 그렇다면 클라우드 네이티브 환경에서 미세 격리를 구현하는 사용자에게 어떤 실질적인 가치를 가져올 수 있습니까?

우선 이 모델은 기존 Agent 기반의 '플러그인 접목' 설치 방식을 완전히 바꿔 '임베디드 융합' 형태로 클라우드 플랫폼에 마이크로 격리 기능의 네이티브 구축을 구현한 보안 기능 탑재다. 더 이상 민첩하고 유연하지 않습니다. 걸림돌"이라면 클라우드 네이티브의 기술적 배당금이 완전히 공개될 수 있습니다.

둘째, 애플리케이션이 확장되고 새로운 서비스가 출시될 때 관리자는 더 이상 Agent 설치, 초기 구성 등 사전 작업을 수행할 필요가 없으며 매일 가드 컨테이너 이미지만 유지하면 됩니다. 관리 비용이 절감됩니다.

물론 대부분의 대규모 사용자의 경우 보안, 네트워크, 운영 및 유지 관리 부서가 명확한 업무 분담을 갖고 각자의 업무를 수행한다고 해야 할까요? 워크로드에 에이전트를 설치하는 것은 "사소한 문제"입니다. 운영 및 유지 관리 부서에서는 "루트 권한을 부여할 수 없습니다!"라고 말하고 비즈니스 부서에서는 "에이전트가 비즈니스에 얼마나 영향을 미칠까요?"라고 도전하는 경우가 많습니다. 마이크로 아이솔레이션 적용은 신형 모델 출시와 함께 완전히 사라졌다. .

이것이 네 번째 방법입니다.PAAS플랫폼 자체에서 제공하는 것은 독립적인 방화벽이나 에이전트에 의해 제공되는 것이 아니라,PAASDaemon 플랫폼에서의 독립 사업에스et 메소드는 K8S 등의 오케스트레이션 시스템에 의해 균일하게 관리되며, 균일하게 확립되고 소멸된다.

로즈스마트의 지속적인 혁신

이름에 가시가 있어서일지도 모르지만 Qiangwei의 마이크로 격리의 현명한 길은 가시 사이를 걷고 있습니다.멀리서 보면 마이크로 격리는 번영하고 섬세한 일이며 누구도 찌르지 않고 손을 뻗을 수 없습니다. 특히 클라우드 네이티브 환경에서 매우 다양한 네트워크 제품군은 마이크로 격리 구현에 큰 어려움을 가져왔습니다. 중국에서 마이크로 격리 외에는 아무것도 하지 않는 유일한 고집스러운 회사인 Qiangwei는 마이크로 격리를 구현할 수밖에 없습니다. 격리. 우리는 도전에 응하기 위해 최선을 다했습니다. 다행히도 우리 쪽의 가시였지만 마침내 탈출구를 찾았습니다. 현재 우리는 중국에서 수만 개의 클라우드 네이티브 마이크로 격리 네트워크를 운영하고 있습니다. 국내 네트워크 보안에 기여하는 자체 강점.

그러나 기술의 진보는 결코 끝나지 않습니다.사용자와의 공동 혁신 과정에서 많은 사용자는 이를 보다 "클라우드 네이티브" 방식으로 수행하여 운영 및 유지 관리가 더 쉽고 설치가 더 쉬워지기를 바랍니다. 내부 협업이 더 효율적입니다.

사용자 요구가 우리의 동기이므로 DaemonSet을 기반으로 새 버전을 만들었습니다. Agent에서 DaemonSet까지는 아직 어려움이 많은데, Agent가 호스트의 권한을 얻은 후에는 무엇이든 하는게 사실 더 편리하지만, 일단 DaemonSet으로 만들면, Host에서 분리되는 것과 같습니다. 하나의 계층으로 호스트 이 계층은 미세 격리를 수행하는 데 필요한 많은 작업에 심각한 장애물을 제공합니다.

더 말하진 않겠지만 어쨌든 꽤 힘든 작업이었습니다. 다행히 Qiangwei Smart의 엔지니어들은 그 과정에서 결코 쉬운 일을 한 적이 없었습니다. 그들은 마침내 일련의 어려움을 극복하고 성공적으로 새 버전을 출시했습니다. 적용 초등학교에 대한 문장으로 마무리하겠습니다. 구성--

"고된 하루 일과를 마치고 Qiangwei Smart의 엔지니어는 이마의 땀을 닦으며 행복한 미소를 지으며 노을 속에 밝게 빛나는 초대형 클라우드 네이티브 제로 트러스트 네트워크를 바라보았습니다."