Contrail 호스트 기반 방화벽의 cSRX 컨테이너 방화벽 이해

cSRX 컨테이너 방화벽 개요

cSRX 컨테이너 방화벽 컨테이너 방화벽은 Contrail 클러스터에서 실행되는 Docker Engine 컴퓨팅 노드에 단일 컨테이너로 구축됩니다. Docker 컨테이너 환경의 호스팅 플랫폼으로 Linux 베어메탈 서버에서 실행됩니다. cSRX 컨테이너 방화벽 컨테이너는 다양한 Linux 호스트 배포 방법(Ubuntu, Red Hat Enterprise Linux 또는 CentOS)을 지원하기 위해 모든 종속 프로세스(또는 데몬)와 라이브러리를 패키징합니다.

cSRX 컨테이너 방화벽 컨테이너가 실행되면 cSRX 컨테이너 방화벽이 활성화될 때 자동으로 시작되는 Docker 컨테이너 내부에 여러 프로세스(또는 데몬)가 있습니다. 일부 데몬은 Linux 호스트에서 실행되는 것과 동일한 서비스(예: sshd, rsyslogd 및 monit)를 제공하여 Linux 기능을 지원합니다. 보안 서비스(예: MGD, NSD, Content Security, IDP, AppID)에 대한 구성 및 제어 작업을 수행하기 위해 Junos OS에서 다른 데몬을 컴파일 및 이식합니다. srxpfe는 cSRX 컨테이너 방화벽 컨테이너의 수익 포트에서 패킷을 송수신하는 데이터 플레인 데몬입니다. cSRX 컨테이너 방화벽은 레이어 2-3 포워딩 기능과 레이어 4-7 네트워크 보안 서비스에 srxpfe를 사용합니다.

분산형 소프트웨어 보안 솔루션은 Contrail Networking을 기반으로 Contrail Controller와 Contrail vRouter를 사용하여 고객의 멀티 클라우드 환경에서 위협을 방지합니다.

cSRX 컨테이너 방화벽이 Contrail에서 분산 방화벽 서비스 역할을 할 때, Kubernetes는 컴퓨팅 노드에서 cSRX 컨테이너 방화벽 인스턴스를 오케스트레이션하는 데 사용됩니다. Kubernetes API 서버는 Contrail 사용자 인터페이스에서 HBF 정책을 구성한 후 Contrail Controller에 응답할 수 있습니다. cSRX 컨테이너 방화벽 이미지는 인스턴스가 프로비저닝된 후 Docker 레지스트리에서 컴퓨팅 노드로 가져옵니다.

Contrail Security에는 cSRX 컨테이너 방화벽 애플리케이션이 생성되는 모든 호스트에서 분산 요소 역할을 하는 통합 가상 라우터(vRouter)가 포함되어 있습니다. vRouter는 트래픽 흐름을 모니터링하고 의심스러운 트래픽을 차세대 방화벽으로 리디렉션하여 레이어 4-7에서 보안을 강화합니다.

cSRX 컨테이너 방화벽 인스턴스를 프로비저닝한 후:

• 3개의 VIF가 cSRX 컨테이너 방화벽 인스턴스를 vRouter에 연결합니다.

  • 관리 인터페이스는 관리 가상 네트워크에 연결됩니다.

  • 두 개의 보안 데이터 인터페이스가 왼쪽 및 오른쪽 가상 네트워크에 연결되어 vRouter에서 조정된 패킷을 수신하고 보안 검사를 거친 후 vRouter로 패킷을 보냅니다.

• Security Director는 L7 보안 정책 및 동적 주소를 cSRX 컨테이너 방화벽 인스턴스로 업데이트합니다.

• cSRX 컨테이너 방화벽 인스턴스는 Security Director에 보안 로그를 전송합니다.

• HBF 서비스가 필요한 각 테넌트는 컴퓨팅 노드에서 프라이빗 cSRX 컨테이너 방화벽 인스턴스를 시작합니다.

Contrail Security를 사용하면 정책을 정의하고 모든 구축에 자동으로 배포할 수 있습니다. 또한 각 cSRX 컨테이너 방화벽 인스턴스 내부와 cSRX 컨테이너 방화벽 인스턴스 전반의 트래픽 플로우를 모니터링하고 문제를 해결할 수 있습니다.

Contrail HBF에서 cSRX 컨테이너 방화벽 컨테이너 방화벽은 보안 유선 모드에서만 지원되며 멀티테넌트 가상화 환경의 네트워크 에지에서 고급 보안을 지원합니다. cSRX 컨테이너 방화벽은 방화벽, IPS, AppSecure와 같은 레이어 4-7 고급 보안 기능을 제공합니다. cSRX 컨테이너 방화벽 컨테이너는 cSRX 컨테이너 방화벽을 관리하기 위한 추가 인터페이스도 제공합니다. cSRX 컨테이너 방화벽이 레이어 2 모드에서 작동할 때 한 인터페이스에서 들어오는 레이어 2 프레임은 구성된 cSRX 컨테이너 방화벽 서비스를 기반으로 레이어 4에서 7 처리를 거칩니다. 그런 다음 cSRX 컨테이너 방화벽은 다른 인터페이스에서 프레임을 전송합니다. cSRX 컨테이너 방화벽 컨테이너는 구성된 보안 정책에 따라 프레임이 변경되지 않은 상태로 통과하도록 허용하거나 프레임을 삭제합니다.

그림 2 는 보안 유선 모드에서 작동하는 cSRX 컨테이너 방화벽을 보여줍니다.

cSRX 컨테이너 방화벽 구축 모드

• 컴퓨팅 노드 내부의 트래픽 보호
• 컴퓨팅 노드 간 트래픽 보안
• 멀티테넌트 지원

라이센스

cSRX 컨테이너 방화벽 컨테이너 방화벽 소프트웨어 기능을 활성화하려면 라이선스가 필요합니다. cSRX 컨테이너 방화벽 컨테이너 방화벽 라이선스에 대한 자세한 내용은 cSRX Flex 소프트웨어 구독 모델을 참조하십시오.

cSRX 컨테이너 방화벽의 이점과 용도

cSRX 컨테이너 방화벽 컨테이너 방화벽을 사용하면 새로운 방화벽 서비스를 신속하게 도입하고, 고객에게 맞춤형 서비스를 제공하며, 동적 요구 사항에 따라 보안 서비스를 확장할 수 있습니다. cSRX 컨테이너 방화벽 컨테이너는 몇 가지 중요한 면에서 VM과 다릅니다. 게스트 OS 오버헤드 없이 실행되고, 설치 공간도 현저히 작으며, 마이그레이션 또는 다운로드가 더 쉽습니다. cSRX 컨테이너 방화벽 컨테이너는 더 적은 메모리를 사용하고 스핀업 시간은 몇 초 이내에 측정되므로 더 낮은 비용으로 더 높은 밀도를 얻을 수 있습니다. 부팅 시간은 VM 기반 환경에서 몇 분에서 cSRX 컨테이너 방화벽 컨테이너의 경우 몇 초 미만으로 단축됩니다. cSRX 컨테이너 방화벽은 퍼블릭, 프라이빗, 하이브리드 클라우드 환경에 적합합니다.

가상 솔루션은 다음과 같은 기능을 제공합니다.

• 방화벽, 침입 방지 시스템(IPS), AppSecure와 같은 레이어 7 보안 서비스

• 자동화된 서비스 프로비저닝 및 오케스트레이션

• 분산 및 멀티테넌트 트래픽 보안

• Junos Space Security Director를 통한 중앙 집중식 관리(동적 정책/주소 업데이트, 원격 로그 수집 및 보안 이벤트 모니터링 포함)

• 작은 설치 공간으로 확장 가능한 보안 서비스

다음 시나리오에서 cSRX 컨테이너 방화벽 컨테이너 방화벽을 구축할 수 있습니다.

• Contrail 마이크로세그먼테이션 – VM과 컨테이너의 혼합 워크로드를 실행하는 Contrail 환경 내에서 cSRX 컨테이너 방화벽은 Security Director가 관리하는 레이어 4에서 7 트래픽에 대한 보안을 제공할 수 있습니다.