Subscribe to receive notifications of new posts:

Cloudflare 보안에서 Zero Trust를 제공하는 방법

06/24/2022

13 min read
How Cloudflare Security does Zero Trust

Cloudflare One week에서 레거시 장비를 Zero Trust 서비스로 교체하는 방법에 관한 안내서를 제공했습니다. 우리의 자체 제품을 사용하는 것은 팀 문화로, Zero Trust를 구현했을 때의 경험을 모두와 공유하고 싶었습니다.

우리의 여정도 대부분의 고객과 비슷했습니다. 더 나은 보안 솔루션을 원했지만 당시 사용하던 도구들은 우리의 작업을 필요 이상으로 어렵게 만들었습니다. 그래서 투박한 VPN에 원격으로 접속하는 방식의 대안을 찾기 시작했고, 얼마 가지 않아 직원들의 웹 브라우징과 이메일을 보호하기 위해 Zero Trust 솔루션을 배포하게 되었습니다. 이제 다음으로는 우리의 새 CASB 제품을 이용해 SaaS 보안을 업그레이드할 계획입니다.

Zero Trust를 시작하는 것이 부담스럽다는 것을 잘 알고 있기 때문에 우리는 고객들이 우리의 여정에서 노하우를 배우고 지금 어떤 이점을 누리고 있는지도 확인할 수 있기를 바랍니다.

VPN 교체: Cloudflare Access 출시

지난 2015년만 해도 Cloudflare의 내부 호스팅 애플리케이션은 모두 하드웨어 기반 VPN을 통해 연결했습니다. 당직 엔지니어들은 랩톱에서 클라이언트를 실행하고 VPN에 연결한 다음 Grafana에 로그온합니다. 이 과정은 답답하고 느렸습니다.

우리가 개발하는 대부분의 제품은 우리 팀이 직면한 과제를 해결하면서 나온 직접적인 결과로, Access가 그 완벽한 예입니다. 2015년 내부 프로젝트로 출시된 Access 덕분에 직원들은 우리의 ID 공급자를 통해 내부 애플리케이션에 액세스할 수 있었습니다. 사고 대응 시간 개선을 목표로 Access 뒤에서 단 하나의 애플리케이션으로 시작했습니다. 휴대폰으로 알림을 받은 엔지니어는 링크만 탭하면 됐고, 브라우저를 통해 인증한 후 필요한 액세스 권한을 즉시 얻을 수 있었습니다. 이렇게 새로운 인증 흐름으로 업무를 시작한 직원들은 모든 곳에서 이 흐름으로 일하고 싶어했습니다. 결국 보안 팀이 모든 앱을 Access 뒤로 이동하도록 명령했고, 오랜 시간 완전히 유기적으로 움직인 팀들은 이 방식에 열광적이었습니다.

인증이 네트워크 에지에서 이루어지기 때문에 VPN 대기 시간 없이 전 세계에 분산된 인력을 안전하게 지원할 수 있었습니다. 또한 우리 팀은 가장 안전하고 사용 가능한 인증 메커니즘으로 내부 애플리케이션을 보호하기 위해 최선을 다했고, 구현할 수 있는 가장 중요한 보안 컨트롤 중 하나가 2단계 인증입니다. Cloudflare Access를 통해 우리는 ID 공급자의 강력한 2단계 인증 메커니즘에 의존할 수 있었습니다.

2단계 인증 요소가 모두 동일한 수준의 보안을 보장하는 것은 아닙니다. 어떤 방법들은 여전히 메시지 가로채기(MITM) 공격에 취약합니다. 이 공격들은 주로 악성 액터를 이용한 피싱을 통해 일회용 암호를 탈취하여 비공개 리소스에 대한 액세스 권한을 훔치려 합니다. 그 가능성을 제거하기 위해 우리는 FIDO2 지원 보안 키를 구현했습니다. FIDO2는 피싱 방지를 위해 설계된 인증 프로토콜이며, 우리는 당시 이를 이용해 소프트 토큰에 대한 의존성을 개선할 수 있을 것으로 생각했습니다.

FIDO2를 구현하면 호환성 문제가 발생할 수 있지만 우리는 보안 태세를 개선하는 데 열심이었습니다. 우리는 Cloudflare Access를 통해 시스템에 대한 액세스를 FIDO2로만 제한할 수 있었습니다. 이제 Cloudflare 직원들은 하드웨어 키를 사용하여 애플리케이션에 접근해야 합니다. Access의 온보딩은 사용 편의성 측면에서 큰 성과를 거두었을 뿐만 아니라 보안 키 도입으로 보안 태세까지 크게 개선되었습니다.

위협 완화 및 데이터 유출 방지: 게이트웨이 및 원격 브라우저 격리

사무실에 보안 DNS 배포

몇 년 후인 2020년에는 많은 고객의 보안 팀이 사무실에서 활성화한 제어 기능을 원격 작업자에게까지 확장하는 데 어려움을 겪고 있었습니다. 이에 대응하여 우리는 모든 포트와 프로토콜에서 맬웨어, 랜섬웨어, 피싱, 명령 및 제어, 섀도우 IT 및 기타 인터넷 위험으로부터 고객을 보호하는 Cloudflare Gateway를 출시했습니다. Gateway는 고객이 구현한 정책에 따라 트래픽을 디렉팅 및 필터링합니다.

우리 보안 팀은 모든 사무실에서 DNS 필터링을 구현하기 위해 Gateway로 시작했습니다. Gateway는 세계에서 가장 빠른 DNS 확인자인 1.1.1.1과 동일한 네트워크 위에 구축되었기 때문에 현재 또는 미래의 Cloudflare 사무실은 추가 대기 시간 없이 DNS 필터링을 사용할 수 있게 될 것입니다. 각 사무실은 가장 가까운 데이터 센터에 연결되어 보호됩니다.

원격 사용자를 위한 보안 DNS 배포

Cloudflare의 WARP 클라이언트도 1.1.1.1 DNS 확인자 위에 구축되었습니다. 이 클라이언트는 사무실에서 제공되는 보안 및 성능을 원격 기업 장치로까지 확장해줍니다. WARP 클라이언트가 배포되면 기업 장치가 가장 가까운 Cloudflare 데이터 센터에 연결되고 Cloudflare Gateway로 라우팅됩니다. 회사 장치와 인터넷 사이에 위치하면서 장치의 전체 연결을 안전하게 보호하는 동시에 향상된 속도와 개인 정보 보호 성능을 제공합니다.

우리는 보안 필터링을 원격 직원에게까지 확장하고 싶었기 때문에 엔드포인트 장치 그룹에 Cloudflare WARP 클라이언트를 배포했습니다. 이 배포를 통해 우리 보안 팀은 DNS over HTTPS(DoH)를 통해 DNS 트래픽을 암호화함으로써 개인 정보 보호 성능을 강화했습니다. 또한, Cloudflare Gateway는 우리의 위협 인텔리전스 플랫폼인 Radar를 기반으로 도메인을 범주화합니다. 이를 통해 우리는 세계 모든 곳의 사용자를 위해 고위험 도메인과 의심스러운 도메인을 차단할 수 있습니다.

HTTPS 필터링 및 브라우저 격리 추가

DNS 필터링은 귀중한 보안 도구이지만 전체 도메인을 차단한다는 한계가 있습니다. 우리 팀은 전체 도메인이 아닌 악성 URL만 차단할 수 있는 보다 정밀한 도구를 원했습니다. Cloudflare One은 통합 플랫폼이므로 대부분의 배포가 이미 완료되어 있었습니다. 우리가 할 일은 Cloudflare 루트 CA를 엔드포인트에 추가한 다음, Zero Trust 대시보드에서 HTTP 필터링을 활성화하는 것뿐이었습니다. 이러한 몇 가지 간단한 단계를 통해 보다 세분화된 차단 기능을 구현할 수 있었습니다.

정밀 차단뿐 아니라 HTTP 필터링은 테넌트 제어도 구현할 수 있게 해줍니다. 테넌트 제어를 통해 Gateway HTTP 정책은 기업 SaaS 애플리케이션에 대한 액세스를 규제하고, 이 정책은 사용자 지정 HTTP 헤더를 이용해 구현됩니다. 사용자 지정 요청 헤더가 존재하고, 이 요청이 조직 계정을 향하는 경우에 액세스 권한이 부여됩니다. 요청 헤더가 존재하고, 이 요청이 개인 계정 등의 조직 계정 외 계정을 향하는 경우에는 요청이 차단되거나 격리된 브라우저에서 열릴 수 있습니다.

DNS 및 HTTP 계층에서 사용자 트래픽을 보호한 후 우리는 브라우저 격리를 구현했습니다. 브라우저 격리가 구현되면 모든 브라우저 코드가 Cloudflare 네트워크의 클라우드에서 실행됩니다. 이를 통해 악의적인 공격 및 일반적인 데이터 유출 시도로부터 엔드포인트가 격리되는 것입니다. 일부 원격 브라우저 격리 제품은 대기 시간을 유발하고 사용자의 기대를 저버리기도 합니다. 하지만 Cloudflare의 브라우저 격리는 Cloudflare 네트워크의 힘을 사용하여 직원들에게 원활한 경험을 제공합니다. 결국 사용자 경험을 손상시키지 않으면서 보안 태세를 빠르게 개선할 수 있었습니다.

피싱 공격 방지: Area 1 이메일 보안 온보딩

2020년 초에는 직원들의 피싱 시도 보고 건수가 증가했습니다. 우리의 클라우드 기반 이메일 공급자는 강력한 스팸 필터링 기능을 제공했지만 악의적 위협 및 기타 지능형 공격을 차단하는 데는 부족했습니다. 피싱 공격의 양과 빈도가 증가함에 따라 보다 철저한 이메일 보호 옵션을 모색해야 할 때라고 느꼈습니다.

우리 팀은 이메일 첨부 파일을 스캔하는 기능, 의심되는 악성 링크를 분석하는 기능, 비즈니스 이메일 손상 방지 기능, 클라우드 네이티브 이메일 공급자에 통합된 강력한 API라는 네 가지 주요 요건을 충족하는 공급업체를 찾았습니다. 그렇게 많은 공급업체를 테스트한 후 Area 1이야말로 직원을 보호하기 위한 확실한 선택이라는 확신이 들었습니다. 우리는 2020년 초에 Area 1의 솔루션을 구현했으며 결과는 환상적이었습니다.

이 제품에 대한 압도적으로 긍정적인 반응과 우리의 Zero Trust 포트폴리오를 확장하고자 하는 열망에서 2022년 4월 Cloudflare는 Area 1 이메일 보안을 인수했습니다. 우리는 고객들에게 우리가 직접 사용하고 있는 보안 솔루션을 제공할 수 있어 매우 기쁩니다.

다음 단계: Cloudflare의 CASB 시작하기

2022년 2월 Cloudflare는 Vectrix를 인수했습니다. Vectrix의 CASB는 우리가 Cloudflare One에 추가하고 싶었던 기능을 제공합니다. SaaS 보안은 많은 보안 팀에서 새롭게 걱정하고 있는 사항입니다. SaaS 도구는 점점 더 많은 기밀 기업 데이터를 저장하고 있기 때문에 잘못된 구성과 과도한 액세스는 상당한 위협이 될 수 있습니다. 하지만 이 플랫폼을 보호하는 일 자체가 엄청난 리소스 문제를 야기할 수 있습니다. 잘못된 구성이나 외부 공유 파일을 수동으로 검토하는 작업은 매우 시간 소모적이지만 많은 고객에게 여전히 필요한 과정입니다. CASB는 클릭 몇 번만으로 SaaS 인스턴스를 스캔하고 취약점을 식별해냄으로써 보안 표준을 준수하여 보안 팀의 부담을 줄여줍니다.

우리는 SaaS 보안에 대한 모범 사례를 유지하기를 원하며 많은 고객과 마찬가지로 보호해야 할 SaaS 애플리케이션이 많습니다. 우리는 항상 프로세스를 보다 효율적으로 만들 수 있는 기회를 찾고 있기 때문에 최신 Zero Trust 제품 중 하나를 소개하게 되어 기쁘게 생각합니다.

개선을 위한 쉼없는 노력

Cloudflare는 자체 제품을 배포하고 테스트하는 것을 자랑스럽게 생각합니다. 우리의 보안 팀은 제품 팀과 직접 협력하면서 제품을 가장 먼저 "시험 사용"합니다. 더 나은 인터넷을 구축하는 데 도움을 주는 것이 우리의 사명이며, 이는 곧 내부 팀으로부터 수집한 귀중한 피드백을 고객에게도 제공하는 것을 의미합니다. Cloudflare 제품의 최고의 소비자인 보안 팀은 회사를 안전하게 보호할 뿐만 아니라 고객을 위한 더 나은 제품을 만드는 데에도 크게 기여하고 있습니다.

Cloudflare One Week를 제대로 즐기셨길 바랍니다. 우리의 이야기를 직접 공유할 수 있어 정말 기쁩니다. 이주의 내용을 살펴보려면 Cloudflare TV 세그먼트를 방문하시기 바랍니다.

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Cloudflare One Week (KO)Security (KO)Cloudflare Zero Trust (KO)Zero Trust (KO)Cloudflare Access (KO)Dogfooding (KO)한국어

Follow on X

Tim Obezuk|@obezuk
Cloudflare|@cloudflare

Related posts