게스트 OS 오버헤드 없이 실행…낮은 비용 높은 집적도 구현
[데이터넷] 주니퍼 네트웍스의 ‘cSRX’는 컨테이너 폼 팩터에서 콘텐츠 보안, 앱시큐어(AppSecure), 통합 위협 관리를 비롯한 고급 보안 서비스를 제공한다. cSRX는 클라우드 네이티브 애플리케이션이 상주하는 지점으로 보안을 확대해 프라이빗 클라우드, 퍼블릭 클라우드 및 IoT 인프라 전반에 걸쳐 일관된 정책을 적용할 수 있도록 만들어 준다.
오늘날 고객은 애플리케이션과 서비스를 물리적 환경에서 가상 환경과 컨테이너로 이동시키고 있기 때문에 cSRX를 사용하면 최상의 네트워크 보안 기능으로 네트워크를 컨테이너화할 수 있다.
cSRX는 기존 보안 관리 기능뿐 아니라 텅스텐 패브릭(Tungsten Fabric) 또는 주니퍼의 콘트레일(Contrail) 같은 SDN 컨트롤러와도 통합이 가능하다. 콘트레일을 사용해 네트워킹된 cSRX는 심층적이고 광범위한 위협 관리와 레이어 4~7 보안 기능을 통해 마이크로세그먼테이션을 보호한다. 애플리케이션팀 관점에서는 cSRX가 네트워킹의 웨이포인트(waypoint)로 인식돼 정책을 투명하게 적용할 수 있으며, 단순화된 관리를 구현할 수 있다.
기존 보안 관리·SDN 컨트롤러와 통합 가능
도커 컨테이너를 사용하면 각 컨테이너가 호스트 OS를 공유하기 때문에 오버헤드를 줄일 수 있다. 서버에서 호스팅하는 컨테이너 개수와 상관없이 하나의 OS 인스턴스만 사용하고, 컨테이너가 경량이기 때문에 서버에서 VM보다 훨씬 더 많은 컨테이너 인스턴스를 호스팅할 수 있어 활용도를 극적으로 개선시킬 수 있다.
cSRX는 작은 크기로 공간 효율을 극대화하고, 컨테이너 관리 시스템 역할을 하는 도커를 탑재하고 있어 민첩한 고집적 보안 서비스 구축을 지원한다. cSRX 컨테이너 방화벽은 몇 가지 중요한 측면에서 VM과 차이점을 갖고 있다. 게스트 OS 오버헤드 없이 실행되고, 훨씬 작은 설치 공간만 차지하며, 마이그레이션 또는 다운로드가 훨씬 간편하다. 또한 적은 양의 메모리 사용과 스핀업 시간이 1초 미만으로 측정되기 때문에 더 낮은 비용으로 더 높은 집적도를 구현한다.
컨테이너 보안 서비스 포트폴리오 제공
주니퍼의 ‘주노스 스페이스 시큐리티 디렉터(Junos Space Security Director)’는 중앙 집중식 공통 플랫폼을 통해 물리적 및 가상 자원에 대한 정책 구성, 관리, 가시성을 향상시켜 준다. 시큐리티 디렉터는 vSRX, cSRX, SRX 시리즈 플랫폼 전체에서 방화벽 정책을 일관적으로 관리하기 위한 단일 창을 제공한다.
cSRX는 서비스 중심 애플리케이션을 구축하는 서비스 프로바이더 및 조직을 위해 컨테이너화된 보안 서비스 포트폴리오를 제공한다. 지원되는 서비스에는 IPS, 앱시큐어, UTM이 포함된다. 이와 같은 cSRX 기능은 광범위한 NFV(네트워크 기능 가상화) 사용 사례를 지원한다. 또한 cSRX는 주니퍼 콘트레일(Contrail) 및 오픈스텍(OpenStack)과 통합된다. 타사 SDN 솔루션과의 통합은 SRX 시리즈 제품군의 공통 관리 인터페이스를 통해 가능하다.
cSRX 컨테이너 방화벽의 특장점은 다음과 같다.
▲컨테이너 보안을 위한 설계= cSRX는 컨테이너화된 방화벽이다. cSRX에는 민첩성을 유지하기 위해 vSRX 또는 하드웨어 SRX 방화벽의 동적 라우팅이나 네트워킹 기능이 의도적으로 제외돼 있다. 컨테이너화된 환경에서는 수요에 대응하기 위해 워크로드가 빠르게 생성 및 폐기될 수 있다. 초 단위의 대응 시간이 무엇보다 중요하기 때문에 cSRX의 짧은 인스턴스화 시간은 고객에게 큰 이점으로 작용한다.
▲뛰어난 민첩성= cSRX 방화벽 인스턴스는 초 단위로 인스턴스화할 수 있으며, 컨테이너화된 애플리케이션의 작고 가벼운 이점을 제공한다. 이는 컨테이너 보안 프로비저닝에 마이크로서비스 방식을 도입했기 때문에 가능하다.
▲보다 정교해지는 위협 환경에 대한 보호= 고급 위협 방지와 위협 피드 기반 IP 및 URL 차단 등의 기능이 통합된 cSRX는 컨테이너 구축 환경에서 점차 일반화되고 있는 베어본(Bare-Bone) 방화벽 이상의 역할을 수행한다. cSRX는 컨테이너화 인프라의 핵심적인 요소다.
▲최신 기술 지원= 가볍고 신속한 인스턴스화가 가능한 cSRX를 사용하면 5G 셀 타워 베이스에서 마이크로 데이터센터 등 새롭게 부상하는 기술을 보다 유연하게 지원할 수 있다.
▲IoT 디바이스 구축 가능= cSRX는 UTM과 최상급 방화벽 기능이 몇 초만에 인스턴스화가 가능하도록 컨테이너화된 리소스가 제한된 디바이스를 보호하고, 인스턴스당 단 몇 메가바이트의 RAM 용량 절감이 필요한 환경에서 규모의 운영을 할 수 있도록 지원한다.
▲묵시적 존(Implicit Zone) 사용= cSRX는 존으로 트래픽을 분리할 수 있도록 지원한다. 따라서 단일 cSRX 컨테이너가 여러 개의 컨테이너화된 애플리케이션이나 마이크로서비스를 각각의 보안 구성에 따라 보호하고, cSRX 사용 용량을 더욱 낮춰줄 수 있다.
▲네트워크 기능 서비스 체인 구현 가능= cSRX는 네트워크 기능 서비스 체인에 구현돼 고가용성과 함께 필요에 따라 개별 네트워크 기능을 확장할 수 있는 컨테이너화된 보안을 제공할 수 있다.
