F5 VELOS로 안전한 멀티 테넌트 아키텍처 만들기

기업들은 콘텐츠 전송에 대한 수요 증가를 지원하는 한편, 기업 데이터센터 비용을 절감하는 데 주력하고 있습니다. 이러한 조직들이 기존 인프라의 활용률을 극대화하려고 하면서, 데이터 보안과 규정 준수를 보장하는 것이 최우선 과제가 되었습니다. 많은 조직에서 온프레미스, 콜로케이션, 멀티 클라우드 배포에 작업 부하가 분산되어 있기 때문에 모든 배포에서 일관된 데이터 보안 전략이 필요합니다. F5의 새로운 현대적 아키텍처를 통해 기업은 기존 하드웨어 가속 기능을 유지하면서 프라이빗 및 퍼블릭 클라우드에 F5 소프트웨어를 모듈 방식으로 배포하여 디지털 혁신 계획을 가속화할 수 있습니다. F5의 마이크로서비스 기반 인프라는 포괄적인 보안 격리 테넌트를 통해 애플리케이션 제공 및 다중 테넌시 기능을 지원합니다. 이는 모두 F5의 Adaptive Apps 비전의 초석입니다.

데이터 보안 문제는 서비스 제공자 3명 중 1명에게 영향을 미칩니다. 데이터 침해와 규제 및 준수 문제에 대한 과징금이 증가함에 따라 관리 서비스 제공업체는 다운스트림 고객에게 동일한 물리적 장치에서 호스팅되는 다른 고객이 네트워크 트래픽을 보거나 조작할 수 없다는 점을 보장하고자 합니다.

F5의 최신 아키텍처는 최고정보책임자(CIO)가 요구하는 고성능 특성과 최고정보보안책임자(CSO/CISO)가 요구하는 견고하고 높은 보안 태세를 결합합니다.

VIPRION과 같은 이전 세대 시스템은 vCMP 기술을 통해 가상화 솔루션을 제공했습니다. vCMP에는 다중 테넌시를 제공하는 두 가지 구성 요소, 즉 vCMP 호스트 계층과 vCMP 게스트 계층이 있습니다. vCMP 호스트 기능은 기본적으로 F5 플랫폼이 게스트라고 불리는 BIG-IP의 가상 인스턴스를 실행할 수 있게 해주는 맞춤형 하이퍼바이저였습니다.

VELOS는 구성 및 배포 관점에서 vCMP와 유사한 모델을 제공하지만 기술이 다릅니다. VELOS는 섀시 내의 가상화 기능을 설명하기 위해 "테넌트" 또는 "테넌시"라는 용어를 사용합니다. VELOS의 F5OS 플랫폼 계층은 하이퍼바이저가 아니라 관리를 위한 기본 Kubernetes 프레임워크를 갖춘 실제 마이크로서비스 계층입니다. F5OS는 KubeVirt 기술을 사용하여 멀티 테넌시를 구현함으로써 BIG-IP 인스턴스가 마이크로서비스 계층 위에 가상 머신(VM)으로 실행될 수 있도록 합니다. 이를 통해 고객은 테넌트 관리 방법을 변경하지 않고도 기존 BIG-IP 인스턴스나 게스트를 VELOS 테넌트로 마이그레이션할 수 있습니다.

VELOS 아키텍처는 차세대 BIG-IP 소프트웨어인 BIG-IP Next도 지원합니다. 컨테이너화된 환경 위의 VM으로 BIG-IP 인스턴스를 실행하는 대신, BIG-IP Next는 기본 컨테이너 환경 내의 컨테이너 컬렉션으로 실행됩니다.  VELOS 섀시에서 지원되는 테넌트는 F5OS의 컨테이너에서 TMOS가 포함된 BIG-IP와 BIG-IP Next가 될 수 있으며, 이를 통해 동일한 플랫폼에서 원활한 테스트와 버전 마이그레이션이 가능합니다.

VELOS의 테넌트 구성은 vCMP 게스트 프로비저닝과 거의 동일합니다. 관리자는 테넌트에 이름을 지정하고, 실행할 소프트웨어 버전을 선택하고, vCPU 및 메모리 리소스를 할당합니다. VELOS 테넌트는 vCMP 게스트와 마찬가지로 전용 CPU 및 메모리 리소스를 사용합니다.

VELOS는 관리자가 블레이드를 그룹화하고 서로 분리할 수 있도록 하는 섀시 분할 기능을 통해 추가적인 격리 계층을 제공합니다. 각 블레이드는 자체적으로 격리된 섀시 파티션이 될 수도 있고, 다른 블레이드와 그룹화하여 섀시 내 최대 블레이드 수까지 더 큰 섀시 파티션을 형성할 수도 있습니다. 섀시 파티셔닝은 물리적 네트워킹을 포함하는 추가적인 격리 계층을 제공합니다. vCMP를 사용하면 모든 게스트가 호스트 계층의 물리적 네트워킹에 액세스할 수 있지만 VLAN 멤버십에 따라 제한될 수도 있습니다. VELOS 멀티테넌시와 섀시 파티션을 사용하면 섀시 파티션 내의 테넌트는 자신이 호스팅되는 섀시 파티션 내의 물리적 네트워크에만 액세스할 수 있습니다. 다른 섀시 파티션 내의 네트워크에 액세스할 수 없습니다. vCMP와 마찬가지로 VLAN에 의해 여전히 제한을 받지만 섀시 파티션은 하위 계층에서 추가 분리를 생성합니다.  VELOS는 관리자 액세스를 분리하여 섀시 파티션을 더욱 분리하고, 각 섀시 파티션이 자체 사용자 액세스 및 인증을 관리합니다.

섀시 관리자는 시스템 컨트롤러의 대역 외 관리 인터페이스에 액세스할 수 있습니다. 또한 섀시 파티션을 구성하고 이러한 파티션에 액세스할 수 있는 사용자 권한을 할당할 수도 있습니다.

섀시 파티션 관리자는 인터페이스, 링크 집계 그룹, VLAN을 포함하는 파티션의 블레이드에 대한 인밴드 네트워킹 인프라를 구성합니다. 또한 할당된 섀시 파티션 내에서 테넌트 수명 주기를 배포하고 관리할 수 있습니다. 섀시 파티션 관리자는 시스템의 다른 섀시 파티션에 액세스할 수 없으므로 테넌트 계층뿐만 아니라 하위 네트워킹 계층에서도 안전한 격리가 제공됩니다.

테넌트 관리자는 테넌트 내의 서비스 구성을 담당합니다. 테넌트 관리자는 BIG-IP 테넌트가 제공하는 모든 관리 기능에 액세스할 수 있습니다. 이는 vCMP 게스트에 액세스하는 것과 유사합니다. 이는 하위 플랫폼 계층 액세스와 독립적이며 TMOS 인스턴스(또는 테넌트) 내에서 제어됩니다.

마이크로서비스 기반의 최신 아키텍처는 데이터 센터를 디지털 방식으로 전환하려는 조직에 도움이 됩니다. 혁신하고 신속하게 대응하는 능력은 디지털 혁신과 데이터 센터 현대화의 목표입니다. 점점 더 많은 서비스 제공업체와 기업 데이터 센터 운영자가 확장되는 앱 전송 요구 사항을 충족하기 위해 온프레미스, 콜로케이션 및 멀티 클라우드 모델에서 작업 부하를 배포함에 따라 활용률과 데이터 보안을 개선하는 것이 점점 더 중요해지고 있습니다. F5의 마이크로서비스 기반 아키텍처는 데이터 보안 표준을 준수하는 동시에 기업에 더 나은 CapEx 활용도를 제공합니다.

기업이 직면하는 가장 큰 문제는 배포 속도 저하, 용량 확장 제약, 데이터 보안 침해입니다. 인간의 실수를 줄이기 위해 자동화 및 원격 모니터링 기술에 대한 투자가 꾸준히 이루어지고 있습니다.

서비스 제공자에게 있어서 5G 준비와 가입자 및 네트워크 성능 개선은 최우선 과제입니다. 또한 5G Edge로의 3G 또는 4G LTE 마이그레이션 중에 증가하는 부하를 충족하기 위해 리소스 확장성이 필요하며, 동시에 애플리케이션 및 리소스 격리도 보장해야 합니다.

F5는 기업이 애플리케이션 성능, 내결함성, API 관리 기능을 개선할 수 있도록 돕기 위해 VELOS 섀시 시스템을 개발했습니다.

F5OS는 VELOS 플랫폼과 함께 더 나은 리소스 활용도, 자동화 기능, 심층 방어 보안을 제공합니다. 리소스 활용도를 높이기 위해 VELOS는 단일 장치에서 여러 테넌트 클러스터를 지원합니다. 새로운 섀시 분할 방법론은 세분화된 리소스 할당과 함께 더욱 간단한 운영 모델을 제공합니다. API 우선 아키텍처는 고객이 BIG-IP 시스템 배포를 자동화하고 애플리케이션 관리 및 자동화 활동을 용이하게 하는 데 도움이 됩니다. VELOS는 악용 범위를 제한하기 위해 여러 계층의 애플리케이션 보안을 지원합니다. VELOS는 프로세스 보호, 안전한 액세스 제어, 네트워크 격리를 위해 물리적 및 소프트웨어 기반 심층 방어 보안 메커니즘을 결합해서 지원합니다.

관리 서비스 제공업체는 또한 세입자의 보안 덕분에 다운스트림 고객이 자체 서비스의 분리된 세그먼트를 독립적으로 관리할 수 있다는 것을 알게 되었습니다. 예를 들어, 다운스트림 고객 한 명은 같은 파티션에서 실행되는 다른 테넌트 인스턴스에서 F5 Advanced Web Application FirewallTM(WAF) 또는 BIG-IP® Advanced Firewall ManagerTM(AFM)을 실행하여 애플리케이션을 보호할 수 있고, 또 다른 고객은 F5 BIG-IP Access Policy Manager(APM)를 실행하여 네트워크 서비스에 대한 액세스 제어 및 인증을 제공할 수 있습니다.

VELOS의 모든 면에는 보안이 내장되어 있습니다. VELOS 설계 및 개발 과정에서 F5 제품 개발 및 보안 팀은 모든 공격 표면에 대한 위협 모델링을 조사하고 수행했습니다. 이는 F5 역사상 가장 포괄적인 보안 평가였습니다.

섀시 파티셔닝은 F5가 제공하는 멀티테넌시 솔루션 중 하나입니다. 섀시 분할을 사용하면 고객이 개별 블레이드 수준에서 분할을 만들고, 블레이드를 그룹화하여 단일 관리 엔티티를 제공할 수 있습니다. 각 섀시 파티션에는 자체 관리 스택과 데이터 네트워크 연결이 있어 이러한 각 파티션에 호스팅된 테넌트를 격리합니다.

F5OS 플랫폼 계층은 보안 컨텍스트 제약(SCC) 프로필과 보안 컴퓨팅(seccomp) 모드를 활용하여 섀시 파티션 내에서 실행되는 애플리케이션과 기본 하드웨어 간에 격리를 제공합니다. 또한 기본 SELinux(Security-Enhanced Linux) 설정은 테넌트 서비스가 호스트 리소스에 액세스하는 것을 제한합니다. 인증 및 사용자 관리를 통해 별도의 섀시 관리자, 파티션 관리자, 테넌트 관리자 역할을 만들어 애플리케이션 액세스를 제한합니다. 읽기 전용 파일 시스템 기반으로 구축된 호스트 계층은 테넌트의 탈주를 방지합니다.

신뢰할 수 있는 플랫폼 모듈(TPM)(ISO/IEC 11889)은 통합 암호화 키를 통해 하드웨어를 보호하도록 설계된 전용 마이크로컨트롤러인 보안 암호화 프로세서에 대한 국제 표준입니다. F5는 TPM 2.0 칩셋, Linux Trusted Boot(tboot), Intel TXT 기술을 사용하여 TPM 보관 체인 및 증명을 구현합니다. TPM 칩은 시스템이 시작될 때마다 특정 측정을 수행합니다. 이러한 측정에는 대부분의 BIOS 코드, BIOS 설정, TPM 설정, tboot, Linux 초기 RAM 디스크(initrd) 및 Linux 커널(초기 VELOS 릴리스는 BIOS만 검증)에 대한 해시를 취하는 것이 포함되므로 측정된 모듈의 대체 버전을 쉽게 생성할 수 없으며 해시를 통해 동일한 측정값이 생성됩니다. 이러한 측정값을 사용하여 알려진 좋은 값과 비교할 수 있습니다.

두 개의 시스템 컨트롤러와 모든 블레이드(BX110)에는 TPM 2.0 칩셋이 있습니다. 최초 VELOS 릴리스의 경우 로컬 증명은 부팅 시 자동으로 수행되며 명령줄 인터페이스(CLI)에 표시될 수 있습니다. 앞으로 F5는 Linux 커널과 initrd에 대한 원격 증명 및 검증 기능을 추가할 예정입니다.

관리자는 어플라이언스 모드를 활성화하여 VELOS 시스템을 더욱 강화할 수 있습니다. 어플라이언스 모드는 연방 및 금융 보안 요구 사항에 맞춰 특별히 설계된 보안 모델입니다. 어플라이언스 모드에서는 기본 시스템 셸에 대한 액세스가 제거되어 스크립트 실행이 훨씬 더 어려워집니다. 기본 시스템 루트 계정에 대한 액세스도 제거되어 모든 사용자가 인증 시스템을 거쳐야 합니다.  VELOS에서는 F5OS 플랫폼 계층과 프로비저닝된 각 테넌트 내에서 어플라이언스 모드를 활성화할 수 있습니다.  관리자는 각 섀시 파티션 및 각 테넌트에 대해 시스템 컨트롤러 수준에서 어플라이언스 모드를 활성화할 수 있습니다. 이 모드는 일부 VIPRION 환경에서처럼 라이선스가 아닌 각 레벨의 구성 옵션에 의해 제어됩니다.

검토해 보면 가장 눈에 띄는 플랫폼 보안 기능은 다음과 같습니다.

• 섀시 파티션을 사용한 섀시 내부 분리 및 구분
• 섀시 파티션 분리, 특정 사용자 그룹의 액세스 제한
• TPM(Trusted Platform Module)을 통한 하드웨어 보안
• 스크립트 실행 및 루트 익스플로잇을 방지하는 어플라이언스 모드
• 서명 확인, F5 서명 소프트웨어 이미지만 허용

이러한 기능은 외부 위협 벡터로부터 플랫폼 계층을 보호합니다. 세입자는 각자의 보안 하위 시스템을 갖추고 있습니다.

다중 테넌시 기능을 사용하면 테넌트 간의 격리를 제공하는 것이 가장 중요한 문제가 됩니다. 동일한 장치에서 여러 테넌트를 호스팅하는 서비스 제공자와 기업 고객 모두 서로 다른 테넌트가 소유한 리소스를 격리해야 합니다. F5는 여러 계층의 보안 구성을 제공하여 테넌트 간 보안을 보장합니다.

BIG-IP Local Traffic ManagerTM(LTM), BIG-IP DNS(GTM), BIG-IP Advanced WAF와 같은 F5 신뢰할 수 있는 테넌트 서비스만 배포하여 위협 노출 영역을 최소화할 수 있습니다. 서명 검증은 F5 서비스 이미지의 다운로드 및 설치를 인증하는 데 도움이 됩니다. 서명 검증에 실패하면 소프트웨어 설치가 종료되고 리소스를 잘못 구성하려는 악의적인 활동의 위험이 사라집니다.

SCC 프로필 및 seccomp 모드와 같은 다양한 보안 메커니즘을 활용하여 프로세스, 네트워크, 파일 시스템과 같은 테넌트와 호스트 계층 리소스 간의 격리가 제공됩니다. 세입자는 트래픽 격리를 위해 고유한 세입자 ID를 갖습니다. 테넌트 주소 지정, IP 테이블 구성 및 브로드캐스트 도메인 격리가 함께 작동하여 테넌트 격리가 강화됩니다.

각 테넌트는 키, 애플리케이션, 보안 정책, 감사 로그, 방화벽 규칙 등에 대한 사용자 액세스를 제어하기 위한 역할 기반 액세스 제어(RBAC) 시스템을 제공합니다. 즉, 특정 테넌트를 별도의 다운스트림 고객 또는 사업부에 할당할 수 있으며, 해당 자격 증명도 별도로 유지됩니다. 이런 식으로 테넌트가 배포되면 손상된 사용자 계정은 하나의 특정 테넌트에게만 격리됩니다. 각 테넌트는 컨테이너화된 환경 위에 TMOS 운영 체제 인스턴스를 실행하므로 보안 측면에서 vCMP 게스트보다 우선합니다. 주요 내용은 다음과 같습니다.

• 서명 검증은 F5 서명 소프트웨어 이미지만 허용합니다.
• MACVLAN 인터페이스는 블레이드 간 테넌트 트래픽을 캡슐화하여 동일한 블레이드의 다른 테넌트 간 트래픽 가시성을 제한합니다.
• 플랫폼 계층을 통해 테넌트를 분리하여 파티션 관리자 및 테넌트 관리자에 대한 별도의 액세스
• Seccomp 컨테이너 보안
• 모든 애플리케이션 서비스에 대한 SELinux 정책 시행

이러한 보안 제어 기능이 결합되어 여러 계층의 세입자 보안이 제공됩니다.

새로운 F5OS 플랫폼 계층은 대역 내 트래픽 네트워킹 및 VLAN과 완전히 분리되어 있습니다. 의도적으로 격리되어 있어서 대역 외 관리 네트워크를 통해서만 접근할 수 있습니다. 실제로 시스템 컨트롤러나 섀시 파티션에는 대역 내 IP 주소가 할당되지 않습니다. 테넌트만 대역 내 관리 IP 주소와 액세스 권한을 갖습니다.

이를 통해 고객은 접근이 엄격히 제한되는 안전하고 잠금식 대역 외 관리 네트워크를 운영할 수 있습니다. 아래 다이어그램은 시스템 컨트롤러를 통해 섀시에 들어오는 대역 외 관리 액세스를 보여줍니다. 여기서 시스템 컨트롤러는 섀시 파티션과 테넌트에 대한 연결을 제공합니다. 그런 다음 대역 외 네트워크는 관리 목적으로 섀시 내부로 확장됩니다. 모든 인밴드 주소 지정은 F5OS 플랫폼 계층이 아닌 테넌트 자체에 적용됩니다.

각 섀시 파티션은 고유한 엔터티로서 고유한 (로컬/원격) 사용자 및 인증 세트를 갖고 있습니다. 전용 CLI, GUI, API 액세스를 갖춘 전용 대역 외 IP 주소를 통해 관리됩니다. 섀시 파티션은 특정 그룹에 전용될 수 있으며, 해당 그룹의 구성원만 해당 파티션에 액세스할 수 있습니다. 이들은 시스템의 다른 섀시 파티션에 접근할 수 없습니다. 이것은 VIPRION이 갖지 못했던 수준의 고립입니다. 아래에 몇 가지 예를 들어보겠습니다. 서로 다른 섀시 파티션 간에 서비스 체이닝을 설정할 수 있지만, 섀시 내부에서 너무 분리되어 있기 때문에 이를 연결하기 위한 외부 연결이 필요합니다.

관리 액세스가 완전히 고립되고 고유할 뿐만 아니라, 대역 내 네트워킹이 섀시 파티션 내에 구성되고 완전히 포함됩니다. 각 섀시 파티션에는 포트 그룹, VLAN, 링크 집계 그룹(LAG) 및 인터페이스와 같은 고유한 네트워크 구성 요소 세트가 있습니다. 즉, 한 섀시 파티션 내의 네트워킹은 다른 섀시 파티션에서 접근하거나 볼 수 없습니다.

네트워크 수준의 격리는 듀얼 시스템 컨트롤러에 있는 중앙 집중식 스위치 패브릭을 통해서도 강화됩니다. VELOS 시스템에서 각 블레이드는 중복성과 추가 대역폭을 위해 중앙 스위치 패브릭에 여러 개의 연결을 갖습니다. 각 BX110 블레이드에는 2개의 100Gb 백플레인 연결(각 시스템 컨트롤러에 하나씩)이 있으며, 이는 LAG에서 결합됩니다. 이 스타 와이어링 토폴로지는 모든 블레이드 사이에 빠르고 안정적인 백플레인 연결을 제공하며 네트워킹 계층에서 완전한 격리도 가능하게 합니다.

섀시 파티션이 생성되면 관리자는 하나 이상의 블레이드를 할당하며, 해당 블레이드는 섀시의 다른 모든 블레이드와 격리됩니다. 중앙 집중식 스위치 패브릭은 섀시 파티션 간의 격리를 강화하기 위해 포트 기반 VLAN 및 VLAN 태그로 자동 구성됩니다. 아래 다이어그램은 이것이 어떻게 시행되는지 시각적으로 보여줍니다.

섀시 파티션이 얼마나 고립되어 있는지 설명하기 위해 아래 다이어그램은 각각 여러 개의 섀시 파티션이 있는 두 개의 VELOS 섀시를 보여줍니다. 인밴드 네트워크 리소스를 공유할 수 없으므로 각 섀시 파티션은 인밴드 네트워크에 대한 자체 네트워크 연결을 가져야 하며 두 섀시 간의 고가용성 상호 연결을 갖춰야 합니다. 섀시 파티션 사이의 인터페이스, VLAN 또는 LAG에 액세스할 수 있는 방법이 없습니다.

조직이 보다 나은 리소스 활용과 엔드투엔드 자동화 및 오케스트레이션을 위해 마이크로서비스 기반 애플리케이션 배포 전략을 채택함에 따라 이러한 전략이 멀티테넌시 요구 사항과 어떻게 결합되는지, 그리고 완벽한 보안을 유지하는 방법을 평가해야 합니다. F5의 최신 아키텍처는 보안과 멀티테넌시의 요구 사항을 모두 충족하는 독특하고 고성능의 마이크로서비스 기반 솔루션을 제공합니다.

F5는 마이크로서비스 기반 환경에서 보안의 중요성을 잘 알고 있습니다. F5는 플랫폼과 네트워크 연결에 대한 광범위한 위협 모델 평가를 실시하여 심층 방어 전략과 사전 예방적 보안 태세를 기반으로 하는 보안 모델을 구축했습니다. VELOS는 플랫폼 계층 격리, 섀시 분할, 중앙 집중식 스위치 패브릭 방법론을 결합하여 멀티테넌트 환경에서 애플리케이션 간의 격리를 제공합니다.