주니퍼 블로그
Trevor_Pott , Visitor
주니퍼 블로그
모든 연결 지점으로 보안 확장: cSRX를 통한 컨테이너 보안
Sep 5, 2019

작고 빠른 컨테이너를 사용해 마이크로서비스(microservices)를 만들면 여러 이점을 얻을 수 있으나 또 다른 보안 문제가 수반됩니다. 주니퍼 커넥티드 시큐리티(Connected Security)를 통해 조직은 컨테이너화된 워크로드에 대해 최상의 보안을 제공하고, 애플리케이션 내 개별 마이크로서비스 간 통신까지 가시성과 정책 적용을 확대할 수 있습니다.

 

IT의 다른 모든 부분과 마찬가지로 컨테이너에는 보안이 필요하며, 관리자는 이러한 컨테이너로 유입 및 유출되는 데이터 플로우에 대한 가시성을 확보해야 합니다. 모놀리식 애플리케이션(monolithic application)은 확장이 어렵고 확장이 된다 하더라도 대단히 비효율적입니다. 그 결과 지난 20년 동안 애플리케이션이 마이크로서비스로 분할되어 왔으며, 이러한 마이크로서비스가 컨테이너 도입을 가속화하고 있습니다.

 

주니퍼의 컨테이너화된 SRX, cSRX SDN(Software-Defined Networking) 컨트롤러인 Contrail을 통해 네트워크 기능 서비스 체인에서 최강의 컨테이너 보안 인스턴스를 제공합니다. 데이터 플로우와 대상 컨테이너 간 "BITW(Bump in the wire)" 역할을 하는 cSRX를 사용하여 이전에 없던 새로운 보안 실행 포인트를 추가하고 Docker 컨테이너에 대한 가장 포괄적인 네트워크 보안을 제공할 수 있습니다. 이제 Contrail을 통해 애플리케이션 개발자에게 부담을 주지 않으면서 보안을 추가할 수 있습니다.

 

또한 cSRX는 추가적인 네트워크 가시성을 제공하여, 조직은 새로 출현한 위협에 보다 빠르게 대응할 수 있습니다. 컨테이너화된 개별 애플리케이션이나 마이크로서비스는 자체 차세대 방화벽과 함께 제공되거나, 필요에 따라 전체 네트워크 보안 서비스 체인과도 함께 제공될 수 있습니다.

 

 

cSRX 컨테이너 방화벽의 이점

 

  • 컨테이너 보안을 위한 설계:: cSRX는 업계 최초로 컨테이너화된 방화벽입니다. 민첩성을 유지하기 위해 cSRX에는 vSRX 또는 하드웨어 SRX 방화벽의 동적 라우팅이나 네트워킹 기능이 의도적으로 제외되었습니다. 컨테이너화된 환경에서는 수요에 대응하기 위해 워크로드가 빠르게 생성되고 폐기될 수 있습니다. 초 단위의 시간이 중요해지므로 cSRX의 짧은 인스턴스화 시간은 고객에게 큰 이점으로 작용합니다.

 

  • 작고 빠름. 뛰어난 민첩성: cSRX 방화벽 인스턴스는 초 단위로 인스턴스화할 수 있으며, 컨테이너화된 애플리케이션의 작고 가벼운 이점을 제공합니다. 컨테이너 보안 프로비저닝에 마이크로서비스 방식을 도입했기 때문에 가능한 결과입니다.

 

  • 점점 더 정교해지는 위협 환경에 대한 보호: 고급 위협 방지와 위협 피드 기반 IP URL 차단 등의 기능이 통합된 cSRX는 컨테이너 구축 환경에서 점차 일반화되고 있는 베어본(bare-bone) 방화벽 이상의 역할을 합니다. cSRX는 컨테이너화 인프라의 핵심적인 요소입니다.

 

  • 최신 기술 지원: 가볍고 신속한 인스턴스화가 가능한 cSRX를 사용하면 5G 셀 타워 베이스에서 마이크로 데이터센터 등 새롭게 부상하는 기술을 보다 유연하게 지원할 수 있습니다.

 

  • IoT 디바이스에 구축 가능: UTM(Unified Threat Management)과 최상급 방화벽 기능이 몇 초만에 인스턴스화가 가능도록 컨테이너화된 cSRX는 리소스가 제한된 디바이스를 보호하고 인스턴스당 단 몇 메가바이트의 RAM 용량 절감이 필요한 환경에서 규모의 운영을 할 수 있도록 지원합니다.

 

  • 묵시적 존(Implicit Zone) 사용: cSRX는 존(zone)으로 트래픽을 분리할 수 있도록 지원합니다. 따라서 단일 cSRX 컨테이너가 여러 개의 컨테이너화된 애플리케이션이나 마이크로서비스를 각각의 보안 구성에 따라 보호하고 cSRX 사용 용량을 더욱 줄일 수 있습니다.

 

  • 네트워크 기능 서비스 체인 구현 가능: cSRX는 네트워크 기능 서비스 체인에 구현되어 고가용성과 함께 필요에 따라 개별 네트워크 기능을 확장할 수 있는 컨테이너화된 보안을 제공할 수 있습니다.

 

주니퍼 커넥티드 시큐리티(Connected Security)

 

위협의 조짐이 있는 트래픽을 검사하고 보안을 적용하는 데 연결 지점보다 더 나은 곳은 없습니다.

    

주니퍼 커넥티드 시큐리티(Connected Security)는 네트워킹 및 정보 보안 제품을 통합하여 네트워크 내 여러 지점에서 위협을 탐지하고 정책을 적용할 수 있도록 해줍니다. 주니퍼 커넥티드 시큐리티(Connected Security)는 경계 방어, 클라우드 방어, 네트워크 세그먼테이션은 물론, 가상화 및 컨테이너화된 보안과 에지 컴퓨팅에 대한 방어까지도 제공합니다.

 

마이크로세그먼테이션(Microsegmentation)의 실현

 

Contrail은 고급 마이크로세그먼테이션 기능을 제공합니다. 하지만 마이크로세그먼테이션은 비용 부담이 클 수 있습니다. 마이크로세그먼트는 가상 네트워크 세그먼트 또는 규칙 기반 컨테인먼트(containment) 그룹으로 단일 애플리케이션이나 단일 티어를 구성하는 모든 마이크로서비스를 캡슐화하는 데 사용하는 것이 가장 이상적입니다. 각 마이크로세그먼트는 자체적인 소형 네트워크로 효율성이 뛰어나며, 해당 세그먼트를 벗어나 통신하려면 데이터 플로우가 라우터를 통과해야 합니다. Contrail에서 해당 라우터는 vRouter, 모든 컴퓨팅 호스트에 분산되어 있습니다.

 

데이터가 라우터를 통과하기 위해 마이크로세그먼트에서 유입 및 유출되므로, 네트워크 기능이 구현될 수 있는 위치에는 병목 현상이 존재할 수 밖에 없었습니다. 기존에는 이러한 네트워크 기능에 고가의 하드웨어가 필요했고 각 데이터 플로우는 다양한 하드웨어를 통해 컨테이너화된 호스트 외부로 전송되어 다시 목적지로 전송되어야 했습니다.

 

컨테이너를 위한 Contrail 서비스 체인과 cSRX는 이러한 판도를 바꾸어 놓았습니다. 서비스 체인에 적용할 수 있는 네트워크 기능에는 다음이 포함됩니다.

    

  • AppFW(Application Firewall)
  • AppID(Application ID)
  • IPS(Intrusion Prevention System)
  • NAT(Network Address Translation)
  • UTM(Unified Threat Management)
  • 강화된 웹 필터링(EFW)
  • 스크린

    

Contrail cSRX를 사용해 매우 강력한 경계의 초소형 마이크로세그먼트를 생성하여 빠르게 네트워크 기능 서비스 체인을 인스턴스화하고 각 마이크로세그먼트를 보호할 수 있습니다. 전체 서비스 체인이 단 몇 초만에 구성되므로 마이크로세그먼트 및 모든 필수 네트워크 기능이 신속하게 서비스로 제공됩니다. 이는 컨테이너나 가상 머신이 자체적으로 보호하는 애플리케이션을 구성하는 속도보다도 빠른 것입니다.

 

Contrail Enterprise Multicloud와 함께 cSRX는 오케스트레이션, 자동화, 보안, 분석의 전체 기능을 갖춘 업계 최초의 실제 서비스 가능한(Production-Grade) 솔루션으로, 비용/공간 효율적인 방식으로 컨테이너에 다이내믹한 소비자 및 엔터프라이즈 서비스를 구축할 수 있도록 지원합니다. OpenShift 또는 Kubernetes 등 컨테이너화된 애플리케이션 플랫폼의 경우, Enterprise Multicloud Contrail Networking Contrail Security 컨트롤러, Contrail vRouter(L4 보안 적용), cSRX /또는 vSRX(L7 보안 적용), AppFormix Analytics Agent Kubernetes CNI 플러그인으로 구성됩니다.

 

1KR1.PNG

 

 

주니퍼 커넥티드 시큐리티(Connected Security)는 클라우드 네이티브 애플리케이션이 상주하는 지점으로 보안을 확장하여 프라이빗 클라우드, 퍼블릭 클라우드 및 IoT 인프라 전반에 걸쳐 일관된 정책을 제공합니다. 주니퍼의 cSRX 컨테이너 방화벽은 가상화에 특화된 일련의 강력한 고급 보안 서비스를 제공하여 컨테이너화된 애플리케이션과 마이크로서비스를 보호합니다. 또한 제조사가 IoT 디바이스에 구축할 수 있을 정도로 작고 가볍습니다.

 

cSRX는 풍부한 기능을 갖추고 있습니다. 또한 vSRX 및 하드웨어 SRX 방화벽을 사용하는 관리자에게 친숙한 관리 인터페이스와 기능을 제공합니다. cSRX는 주니퍼 커넥티드 시큐리티(Connected Security) 솔루션에서 핵심적인 역할을 하며 리소스가 제한된 환경에서 개별 디바이스와 워크로드를 보호합니다.

 

오늘날 네트워크를 보호하려면 네트워크 전역에 다수의 보안 정잭 적용 지점이 존재해야 합니다. 또한 위협 발견 시 대응할 수 있도록 가시성을 확보할 수 있어야 합니다. 주니퍼 커넥티드 시큐리티(Connected Security)를 통해 가시성을 확보하고 자동화된 보호로 광범위한 보안을 실현하십시오.

0 포인트