Cloudflare는 Zero Trust 인프라 액세스 플랫폼인 BastionZero가 Cloudflare에 합류하게 되었다는 소식을 발표하게 되어 기쁘게 생각합니다. 이번 인수로 Cloudflare는 서버, Kubernetes 클러스터, 데이터베이스 등의 인프라에 대한 네이티브 액세스 관리를 통해 당사의 Zero Trust 네트워크 액세스(ZTNA) 흐름을 확장할 수 있었습니다.
보안팀은 사용자가 기업 리소스와 상호 작용하고 외부 위협이 네트워크에 침투하는 주요 경로인 앱과 인터넷 액세스를 보호하는 것을 우선시하는 경우가 많습니다. 앱은 일반적으로 조직의 디지털 풋프린트에서 가장 눈에 잘 띄고 접근하기 쉬운 부분이므로 사이버 공격의 표적이 되는 경우가 많습니다. 싱글 사인온(SSO) 및 MFA(다단계 인증) 등의 방법을 통해 앱 액세스를 보호하면 사용자 보안을 즉각적이고 실질적으로 개선할 수 있습니다.
하지만 인프라 액세스도 마찬가지로 중요하며, 많은 팀이 서버, 데이터베이스, Kubernetes 클러스터 등의 인프라를 보호하기 위해 아직 성과 해자 스타일의 네트워크 제어 및 로컬 리소스 권한에 의존하고 있습니다. 보안 제어가 수백 개나 수천 개의 대상에 분편화되어 있기 때문에 어렵고 위험 요소가 많은 작업입니다. 악의적인 행위자들은 상당히 많은 앱을 동시에 중단시키거나 중요한 데이터를 훔치기 위한 수단으로 인프라 리소스를 표적으로 삼는 데 점점 더 집중하고 있습니다. Cloudflare는 사용자 및 장치 기반 정책과 다단계 인증을 통해 인프라를 기본적으로 보호하는 Cloudflare One의 Zero Trust 네트워크 액세스를 확장하게 되어 매우 기쁘게 생각합니다.
앱 액세스와 인프라 액세스의 비교
앱에 액세스하려면 일반적으로 웹 기반 또는 클라이언트-서버 앱과 상호 작용해야 합니다. 이러한 앱은 사용자 인증을 간소화하고 보안을 강화하는 싱글사인온(SSO)과 같은 최신 인증 메커니즘을 지원하는 경우가 많습니다. SSO는 ID 공급자(IdP)와 통합되어 원활하고 안전한 로그인 경험을 제공하므로 비밀번호 피로와 자격 증명 도용의 위험이 줄어듭니다.
반면, 인프라 액세스에는 서버, 데이터베이스, 네트워크 장치 등 더 광범위하고 다양한 범위의 시스템이 포함됩니다. 이러한 시스템은 관리 액세스를 위해 SSH(보안 셸), RDP(원격 데스크톱 프로토콜), Kubectl(Kubernetes) 등의 프로토콜에 의존하는 경우가 많습니다. 이러한 프로토콜의 특성으로 인해 인프라 액세스 보안을 더욱 어렵게 만드는 복잡성이 더해집니다.
- SSH 인증: SSH는 Linux 및 Unix 기반 시스템에 액세스할 수 있는 기본 도구입니다. SSH 액세스는 일반적으로 공개 키 인증을 통해 진행되며, 사용자는 대상 시스템이 수락하도록 구성된 공개/개인 키 쌍을 받게 됩니다. 이러한 키는 신뢰할 수 있는 사용자에게 배포해야 하고, 자주 교체해야 하며, 유출 여부를 모니터링해야 합니다. 키가 실수로 유출된 경우, 악의적인 행위자는 SSH에 액세스할 수 있는 리소스를 직접 제어할 수 있는 권한을 부여받을 수 있습니다.
- RDP 인증: RDP는 Windows 기반 시스템에 대한 원격 액세스에 광범위하게 사용됩니다. RDP는 비밀번호 기반 인증과 인증서 기반 인증 등 다양한 인증 방법을 지원하지만, 무차별 대입 및 자격 증명 스터핑 공격의 표적이 되는 경우가 많습니다.
- Kubernetes 인증: Kubernetes는 컨테이너 오케스트레이션 플랫폼으로, 자체적인 인증 문제가 있습니다. Kubernetes 클러스터에 액세스하려면 사용자 인증서와 함께 역할, 서비스 계정, kubeconfig 파일을 관리해야 합니다.
지금 Cloudflare One을 통한 인프라 액세스
Cloudflare One은 기존 VPN을 뛰어넘는 접근 방식을 사용하여 인프라 리소스에 대한 Zero Trust 네트워크 액세스(ZTNA)를 용이하게 합니다. 관리자는 ID, 장치, 네트워크 인식 정책 집합을 정의하여 사용자가 특정 IP 주소, 호스트 이름 및/또는 포트 조합에 액세스할 수 있는지 여부를 지정할 수 있습니다. 이를 통해 “ID 공급자 그룹 ‘개발자’의 사용자만 회사 네트워크에서 포트 22(기본 SSH 포트)를 통해 리소스에 액세스할 수 있습니다”와 같은 정책을 만들 수 있으며, 이는 이미 기본 방화벽 정책이 있는 VPN보다 훨씬 정교한 제어 기능을 제공합니다.
그러나 이 접근 방식은 기업 인프라의 프로비저닝 및 관리 방식에 대한 일련의 가정에 의존하기 때문에 여전히 한계가 있습니다. 인프라 리소스가 다음과 같이 가정한 네트워크 구조 외부에 구성된 경우, 예를 들어 비표준 포트를 통한 SSH는 허용되지만, 전체 네트워크 수준 제어는 우회될 수 있습니다. 즉, 해당 리소스에 대한 보호는 특정 프로토콜의 기본 인증 보호만 가능하므로 SSH 키 또는 데이터베이스 자격 증명이 유출되면 더 광범위한 시스템 중단이나 침해로 이어지는 경우가 많습니다.
많은 기업들은 더 복잡한 네트워크 구조인 베스천 호스트 모델이나 복잡한 권한 액세스 관리(PAM) 솔루션을 사용하여 심층 방어 전략을 구현합니다. 그러나 이러한 방식은 IT 보안팀의 비용 및 관리 오버헤드를 크게 늘리고, 최소 권한 액세스와 관련된 문제를 복잡하게 만들 수도 있습니다. 시간이 지남에 따라 정책이 확장, 변경되거나 회사의 보안 기준과 맞지 않게 되면서, 베스천 호스트나 PAM 솔루션과 같은 도구의 최소 권한은 결국 약화됩니다. 그 결과 사용자는 중요한 인프라에 대한 액세스 권한을 잘못 보유하게 됩니다.
BastionZero가 적합한 이유
Cloudflare의 목표는 수년 동안 모든 규모의 조직이 가능한 한 간단하고 빠르게 VPN을 대체할 수 있도록 지원하는 것이었습니다. 이제 BastionZero는 Cloudflare의 VPN 교체 솔루션 범위를 확장하여 앱과 네트워크를 넘어 Zero Trust 제어를 인프라 리소스로 확장하기 위해 동일한 수준의 단순성을 제공하고자 합니다. 이를 통해 보안팀은 표준 Zero Trust 관행을 사용하여 DevOps 팀의 생산성과 보안을 유지하면서 더 많은 하이브리드 IT 환경을 중앙 집중식으로 관리할 수 있습니다. Cloudflare와 BastionZero를 함께 사용하면 조직은 VPN뿐만 아니라 베스천 호스트, SSH, Kubernetes 또는 데이터베이스 키 관리 시스템, 중복 PAM 솔루션도 대체할 수 있습니다.
BastionZero는 SSH, RDP, Kubernetes, 데이터베이스 서버와 같은 주요 인프라 액세스 프로토콜 및 대상과 네이티브 방식으로 통합됩니다. 따라서 네트워크 수준의 제어에 의존하지 않고 특정 사용자의 연결을 허용하도록 대상 리소스를 구성할 수 있습니다. 따라서 관리자는 IP 주소와 포트가 아닌 리소스와 대상의 관점에서 생각할 수 있습니다. 또한 BastionZero는 OpenID Connect(OIDC)를 사용하여 ID를 암호화 키에 바인딩하는 오픈 소스 라이브러리인 OpenPubkey를 기반으로 구축됩니다. OpenPubkey는 SSO를 사용하여 인프라에 대한 액세스 권한을 부여할 수 있습니다. BastionZero는 다중 신뢰 루트를 사용하여 SSO가 중요한 서버와 기타 인프라의 단일 손상 지점이 되지 않도록 합니다.
BastionZero는 다음 기능을 Cloudflare의 SASE 플랫폼에 추가할 예정입니다.
- 새로운 임시 분산형 접근 방식을 사용하여 자격 증명 관리(예: SSH 키, kubeconfig 파일, 데이터베이스 비밀번호)를 최신화하는 원활한 인프라 권한 액세스 관리(PAM) 기능을 통해 수명이 긴 키/자격 증명을 제거합니다.
- DevOps 접근 방식으로 SSH 연결을 보호하면 최소 권한 액세스를 보장하고 세션을 기록하며 모든 명령을 기록할 수 있습니다. 이를 통해 규정 준수 요건을 지원하기 위한 가시성이 향상됩니다. 팀은 IP 주소나 네트워크 대신 자동 검색된 대상을 기준으로 운영할 수 있으므로 저스트 인 타임 액세스 정책을 정의하고 워크플로를 자동화할 수 있습니다.
- 클라이언트리스 RDP를 통해 사용자 장치에 클라이언트를 설치하는 오버헤드와 번거로움 없이 데스크톱 환경에 대한 액세스를 지원합니다.
BastionZero의 다음 계획
BastionZero 팀은 인프라의 접근 제어를 Cloudflare One에 직접 통합하는 데 집중할 것입니다. 올해 다가오는 3분기와 4분기에 Cloudflare One을 통해 Zero Trust 인프라 액세스를 가능하게 하는 몇 가지 새로운 주요 기능을 발표할 예정입니다. 올해 제공되는 모든 기능은 사용자 50명 미만의 조직을 위한 Cloudflare One 무료 등급에 포함될 계획입니다. Cloudflare는 모든 사람이 세계적인 수준의 보안 제어를 이용할 수 있어야 한다고 생각합니다.
인프라 액세스와 관련하여 원하는 사항에 대해 피드백을 제공해 주실 초기 베타 테스터 팀을 찾고 있습니다. 자세한 내용을 알고 싶으시다면 여기에서 등록하세요.