많은 조직들이 특정 플랫폼 활용에 따른 증가하는 비용을 해결하기 위해 가상화 환경을 빠르게 현대화하고 있으며, 그 결과 애플리케이션의 다양한 워크로드를 관리하기 위한 종합적인 오케스트레이터로 쿠버네티스(Kubernetes)를 채택하고 있다.

쿠브버트(KubeVirt)와 같은 오픈소스는 가상화 기능을 추가하여 쿠버네티스를 확장함으로써, 동일한 인프라 내에서 컨테이너와 함께 가상 머신을 관리할 수 있도록 한다. 기존 네트워크 세분화 솔루션의 아키텍처는 쿠버네티스 환경의 빠르게 변화하는 특성과 개방형 네트워크 접근 방식을 지원하기에 적합하지 않다. 쿠버네티스 워크로드는 매우 동적이어서 포드가 자주 생성되고 파괴되며 네트워크 구성과 정책이 계속 변경된다.

이를 해결하기 위해 컨테이너 보안 플랫폼인 타이게라(Tigera)가 컨테이너 네트워킹 및 보안 기술인 프로젝트 칼리코(Project Calico)를 통해 범용 마이크로세그멘테이션 기능을 제공한다고 발표했다. 가상 머신(VM), 컨테이너, 베어메탈을 포함한 다양한 워크로드를 지원하도록 설계된 칼리코는 온프레미스와 클라우드 모두에서 세분화하기 위한 강력하고 동적이며 고성능 네트워크 정책 엔진을 제공한다.

칼리코의 마이크로세그멘테이션은 다양한 워크로드 관리에 여러 이점을 제공한다.

∙통합 보안 모델: 다양한 환경에 걸쳐 일관된 보안 모델을 제공한다.

∙단순한 관리: 통합 보안 모델은 다양한 유형의 인프라에 걸쳐 네트워크 정책의 생성 및 시행을 단순화한다.

∙민첩한 정책 관리: 워크로드가 이동, 생성 또는 종료됨에 따라 네트워크 정책이 동적으로 적용되어 수동 개입 없이 네트워크 정책이 항상 최신 상태로 유지된다.

∙세분화된 정책: 하이브리드 환경에서 특정 워크로드에 대한 세밀한 정책을 생성할 수 있어 허용 및 거부된 트래픽을 정밀하게 제어한다.

∙간접비 감소: 단일 세분화 솔루션을 사용해 여러 세분화 솔루션 관리에 따른 간접비도 낮출 수 있다.

칼리코는 사용자에게 다음과 같은 주요 기능을 제공한다.

∙테넌트 및 워크로드 격리: 네트워킹 및 애플리케이션 계층에서 네트워크 정책을 작성, 미리보기, 스테이징 및 시행한다. 칼리코를 사용하여 레이블과 네임스페이스와 같은 쿠버네티스 네이티브 구성을 활용해 어떤 포드, 서비스 또는 네임스페이스가 서로 통신할 수 있는지 정의함으로써 무단 접근을 방지하고 클러스터 전체의 보안을 강화한다.

∙자동 네임스페이스 격리: 별도의 네임스페이스에서 테넌트를 자동으로 격리하여 기본적으로 테넌트 간 무단 통신을 제한하고 클러스터 내 위협의 횡적 이동을 방지한다.

∙자동화된 정책 추천: 정책 추천 엔진은 조직 워크로드의 트래픽 흐름을 기반으로 정책을 추천하며, 코딩 없이 단 한 번의 클릭으로 시행할 수 있다. 모든 추천 정책은 시행 전에 수정할 수도 있다.

∙정책 수명주기 관리: 워크로드 보안 및 애플리케이션의 성능과 보안 태세에 대한 정책의 영향을 이해하기 위해 시행 전에 정책을 미리보기하고 스테이징할 수 있도록 지원한다. 또한 시행 전 프로덕션 환경에서 정책 규칙 변경에 대한 즉각적인 피드백을 제공한다.

∙동적 정책 시행: 밀리초 단위의 실시간 네트워크 정책 업데이트가 가능하고 네트워크 변경에 즉각 대응하며 잠재적 취약점의 위험을 최소화한다.

∙코드로서의 정책: 네트워크 보안과 관찰 가능성을 코드로 구현하여 자동화되고 확장 가능하며 규정을 준수하는 워크로드 관리가 가능하다. 소스 코드에 사용하는 것과 동일한 버전 관리를 사용하여 쿠버네티스 원시 요소와 선언적 모델을 활용한다. 이는 배포, 배포판 또는 컨테이너 유형에 관계없이 모든 구성 요소에 대한 지속적인 규정 준수와 보안을 보장한다.

∙관찰 가능성: 플로우 로그를 기반으로 구축된 칼리코의 동적 서비스 및 위협 그래프는 애플리케이션과 그 통신 흐름에 대한 정보를 수집하고 분석하여 포괄적인 맵을 생성함으로써 관리자가 애플리케이션의 업스트림 및 다운스트림 종속성과 정책 격차를 이해하는 데 흔히 수반되는 추측을 제거한다.

∙분산 IDS/IPS: 칼리코의 워크로드 중심 IDS/IPS는 기본적으로 에일리언볼트(AlienVault)와 같은 다양한 위협 피드와 사용자 정의 소스를 수집하여 침해 발생 시 악의적인 활동의 출처를 정확히 찾아내어 네트워크 기반 위협으로부터 보호한다.

타이게라의 최고 제품 책임자인 아밋 굽타(Amit Gupta)는 “현대적인 세그멘테이션 솔루션은 온프레미스와 퍼블릭 클라우드에 걸쳐 단일 및 하이브리드 환경에서 VM과 컨테이너 모두를 수용해야 한다. 칼리코는 고급 마이크로세그멘테이션 기능으로 이러한 요구를 해결하며 가상화 환경의 속도에 맞춰 원활하고 효율적인 세그멘테이션을 제공한다.”라고 말했다.