인터넷을 이용하는 귀하의 경험은 시간이 지나면서 개선되어 왔습니다. 더 빠르고 안전하고 신뢰할 수 있게 되었습니다. 하지만 직장에서는 이와 달리 더 안 좋은 인터넷 환경을 이용해야 할 때가 있을 수도 있습니다. 인터넷 자체는 계속 더 좋아지고 있지만 기업과 그 직원들은 자체 프라이빗 네트워크에 묶여 있는 것입니다.
이런 네트워크에서는 자체 응용 프로그램을 호스팅하고, 자체 데이터를 저장하며, 프라이빗 네트워크 주변으로 커다란 성을 구축해이 모든 것을 보호했습니다. 이 모델은 내부 관리 리소스를 VPN 장비와 온프레미스 방화벽 하드웨어 뒤에 감추었습니다. 사용자와 관리자 모두에게 그 경험은 끔찍했습니다. 인터넷의 다른 부분은 더 우수해지고 더 믿을 수 있게 되어가는 반면, 기업 사용자들은 다른 세상에 발이 묶여 있었습니다.
이러한 낡은 접근법은 보안이 취약하고, 팀이 원하는 만큼의 속도를 내지 못했지만 기업의 경계는 대부분 단단히 자리를 지켰습니다. 하지만 클라우드 기반 응용 프로그램이 대두되면서 그 경계도 허물어지기 시작했습니다. 기업들은 이전에는 커다란 성으로둘러 싸여 있었던 소프트웨어를 SaaS 버전으로 옮겼습니다. 사용자들은 업무를 보기 위해 공용 인터넷에 접속해야 했고, 공격자들은 예측할 수 없는 정교한 방식으로 인터넷을 안전하지 않은 곳으로 만들었습니다. 결국 모든 기업이 무한한 위험의 신세계에 노출되었습니다.
기업 보안은 어떻게 대응했을까요? 새로운 문제를 기존 솔루션으로 해결하려고 하고, 인터넷을 프라이빗 기업 네트워크 전용 장비로 제한했습니다. SaaS 응용 프로그램의 속도와 가용성의 이점을 누리는 대신, 사용자들은 프라이빗 네트워크를 참담하게 만들었던 바로 그 레거시 박스를 통해 인터넷으로 향하는 트래픽을 백홀해야 했습니다.
결국 팀은 대역폭 비용이 급증하는 것을 지켜봐야 했습니다. 지사에서 인터넷으로 보내는 트래픽이 더 많아지면서 값비싼 전용 링크로 트래픽이 더욱 몰리게 되었죠. 결국 관리자들은 사용자를 위해 프라이빗 네트워크와 전체 인터넷 접속을 모두 동일한 하드웨어를 이용해 관리해야 했습니다. 더 많은 트래픽은 결국 더 많은 하드웨어를 필요로 했고, 사이클은 지속 불가능해졌습니다.
Cloudflare의 1세대 제품들은 무료 사용자부터 인터넷 사용량이 가장 많은 사용자들까지 고객들로 하여금 하드웨어 스택을 Cloudflare의 네트워크로 교체할 수 있도록 하여 해당 사이트들의 보안과 속도를 개선했습니다. 우리는 거의 모든 회사가 자리를 잡을 수 있도록 이전에는 불가능했던 확장 가능 용량을 제공했습니다. 전 세계 200여 개 도시에 데이터 센터를 구축하여 어디에서든 사용자들에게 다가갈 수 있게 되었습니다.
우리는 사이트들이 자체 성장에 맞춰 인터넷상의 인프라를 보호하는 방법을 확장할 수 있도록 해주는 고유한 네트워크를 구축했습니다. 하지만 내부적으로는 기업과 직원들이 자체 프라이빗 네트워크에 묶여 있었습니다.
박스를 교체하여 조직들이 인프라를 보호할 수 있도록 지원한 것과 마찬가지 일을 우리는 그 팀과 그 데이터에 대해서도 할 수 있습니다. 오늘 우리는 기업 팀들을 위해 인터넷을 더 빠르고 안전하게 만들어줄 새로운 네트워크 플랫폼과 모든 노하우를 발표할 예정입니다.
Cloudflare for Teams는 사용자 성능을 손상시키지 않으면서 모든 연결의 보안을 확보하여 기업과 장치, 데이터를 보호합니다. 보안 인프라에 적용한 속도, 안정성, 보호 성능이 귀하의 팀이 인터넷에서 수행하는 모든 일에까지 확대됩니다.
기존의 기업 보안 세계
모든 조직은 네트워크 레벨에서 해결해야 할 세 가지 공통 문제를 가지고 있습니다.
- 내부 관리 응용 프로그램에 대한 팀원 액세스 보호
- 인터넷상의 위협으로부터 팀원 보호
- 양쪽 환경에 존재하는 기업 데이터 보호
각각의 문제는 모든 팀에게 실질적인 위험이 됩니다. 어느 한 부분이 손상되면 전체 비즈니스가 취약해질 수 있습니다.
내부 관리 응용 프로그램
첫 번째 과제인 내부 관리 응용 프로그램을 해결하는 것은 내부 리소스 주위로 경계를 치는 것부터 시작되었습니다. 관리자들은 프라이빗 네트워크에 응용 프로그램을 배포했고, 사무실 외부의 사용자들은 현장의 VPN 장비를 통해 클라이언트 VPN 에이전트를 이용하여 이 네트워크에 접속했습니다.
사용자들의 불만은 높았고, 이 방법으로는 업무를 처리하기가 더 어려웠기 때문에 지금도 불만은 여전합니다. 택시를 타고 고객 방문을 위해 이동 중인 영업팀원은 단지 미팅 자료 검토가 필요할 뿐인데도 휴대폰에서 VPN 클라이언트를 켜야 했습니다. 원격으로 작업 중인 엔지니어는 개발자 도구에 대한 모든 연결이 중앙 VPN 장비를 통해 백홀될 때까지 마냥 기다려야 했습니다.
관리자와 보안 팀 역시 이 모델에서는 문제가 있습니다. 사용자가 프라이빗 네트워크에 접속하고 나면 보통 별도의 인증 없이 여러 리소스에 액세스할 수 있습니다. 아파트 건물 입구에 들어갈 수 있다고 해서 각 가정에 들어갈 수 있다는 의미는 아닙니다. 하지만 프라이빗 네트워크에서는 프라이빗 네트워크의 경계 내에 추가 보안 조치를 실행하려면 그렇게 하는 것이 가능하다고 해도 복잡한 세분화가 필요했습니다.
인터넷상의 위협
두 번째 문제는 공용 인터넷상의 SaaS 도구와 퍼블릭 클라우드의 응용 프로그램에 연결하는 사용자의 보안을 보장하려면 보안팀이 성과 해자 밖으로 나가는 사용자를 알려진 위협과 잠재적인 제로 데이 공격으로부터 보호해야 했다는 것입니다.
대부분의 회사들은 어떻게 대응했을까요? 지사 또는 원격 사용자로부터 나가는 모든 트래픽을 다시 헤드쿼터를 거치도록 하고, 프라이빗 네트워크를 보호하는 동일한 하드웨어를 사용하여 인터넷, 최소한 사용자가 액세스한 인터넷 주위에 경계를 구축하려고 노력했습니다. 예를 들어, 아시아 지사에서 인터넷을 향하는 모든 트래픽은 유럽의 중앙에서전송됩니다. 그 목적지가 바로 길 건너라고 해도 말이죠.
조직은 이러한 연결을 안정적으로 만들고, 음성 및 영상 같은 특정 기능에 우선순위를 주어 유료 이동통신사가 전용 다중 프로토콜 레이블 스위칭(MPLS) 링크를 지원하도록 해야 했습니다. MPLS는 다운스트림 라우터가 IP 조회를 수행할 필요 없이 포워딩할 수 있는 트래픽에 레이블 스위칭을 적용해서 성능을 개선했지만 그 비용이 엄청나게 비쌌습니다.
데이터 보안
세 번째 문제는 계속 이동하는 데이터를 안전하게 보호하는 일이었습니다. 조직은 기업 네트워크의 프라이빗 도구와 Salesforce 또는 Office 365 같은 SaaS 응용 프로그램에 존재하고 그 사이를 이동하는 데이터를 일관된 방식으로 안전하게 보호해야 했습니다.
해답은 무엇일까요? 크게 다르지 않습니다. 팀은 MPLS 링크를 통하는 트래픽을 데이터를 검사할 수 있는 위치로 백홀했습니다. 하지만 이로 인해 대기 시간이 길어지고 유지 관리할 하드웨어가 증가했죠.
무엇이 바뀌었을까요?
SaaS 응용 프로그램이 소규모 기업과 포춘지 선정 500대 기업 등의 새로운 기본 접근법으로 자리잡으면서 내부 트래픽과 외부 트래픽의 균형이 바뀌기 시작했습니다. 이제 사용자들은 점점 더 채택률이 높아지고 있는 Office 365 같은 도구를 이용해 인터넷에서 대부분의 작업을 처리합니다. 이러한 도구의 인기가 점점 많아지면서 더 많은 데이터가 커다란 성을벗어나 공용 인터넷에서 사용되고 있습니다.
사용자 행동 역시 바뀌었습니다. 사용자들은 사무실을 벗어나 관리형 및 비관리형의 여러 장치를 이용해 작업하고 있습니다. 팀은 더욱 분산된 형태를 띠게 되었고, 경계는 최대한으로 확장되었습니다.
결국 기존 접근법은 실패로 귀결
기업 보안에 대한 기존 접근법은 커다란 성을 구축하는모델을 더욱 확장시켰습니다. 하지만 이 모델은 사용자가 현재 인터넷에서 작업하는 방식에 맞춰 확장할 수가 없습니다.
내부 관리 응용 프로그램
프라이빗 네트워크는 사용자들에게 골칫거리지만 동시에 끊임없이 복잡한 유지 보수가 필요한 것이기도 합니다. VPN은 점점 더 많은 사용자가 사무실을 벗어나면서 업그레이드 또는 확장이 필수인 값비싼 장비를 필요로 하며, 장비의 규모도 커져야 합니다.
결국 사용자들이 VPN 사용에 어려움을 겪으면서 IT 헬프데스크 티켓이 밀리게 되었고, 다른 한편으로 관리자와 보안팀은 임기응변식으로 대응하게 됩니다.
인터넷상의 위협
초반에는 SaaS 도구로 옮겨가면서 비용을 절감했지만 트래픽이 증가하고 대역폭 비용이 증가하면서 점점 더 많은 비용을 쓰게 되었습니다.
또한, 위협은 진화합니다. 헤드쿼터로 다시 전송되는 트래픽은 하드웨어 게이트웨이를 이용하는 정적 스캐닝 및 필터링 모델을 통해 보호됩니다. 사용자들은 여전히 이러한 온프레미스 조치가 미처 차단하지 못한 새로운 유형의 위협에 취약했습니다.
데이터 보안
양쪽 환경 모두에서 데이터를 보호하는 비용 역시 증가했습니다. 보안팀은 지사 트래픽을 온프레미스 하드웨어를 통해 백홀하여 인터넷을 향하는 트래픽을 대상으로 위협과 데이터 손실을 검사했고, 이는 속도 저하와 대역폭 비용 증가로 이어졌습니다.
훨씬 더 위험한 일은 이제 데이터가 커다란 성 구축모델을 영구적으로 벗어났다는 것이었습니다. 조직은 경계를 우회하여 SaaS 응용 프로그램을 직접 겨냥하는 공격에 취약해졌습니다.
Cloudflare는 이러한 문제를 어떻게 해결할 수 있을까요?
Cloudflare for Teams는 Cloudflare Access 및 Cloudflare Gateway의 두 가지 제품으로 구성되어 있습니다.
Cloudflare는 지난 해 Access를 출시하여 이를 Cloudflare for Teams에 통합하게 되어 매우 기쁩니다. Cloudflare Access는 기업 보안팀이 마주한 첫 번째 문제, 내부 관리 응용 프로그램 보호를 해결해줍니다.
Cloudflare Access는 Cloudflare의 네트워크로 기업 VPN을 대체합니다. 프라이빗 네트워크에 내부 도구를 배치하는 대신 하이브리드나 멀티클라우드 모델을 포함하는 모든 환경에 이를 배포할 수 있으며, Cloudflare 네트워크를 이용해 일관된 보안 기능을 유지할 수 있습니다.
Access를 배포하기 위해 기업 방화벽에 새로운 구멍을 뚫을 필요가 없습니다. 응용 프로그램과 하드웨어를 Cloudflare에 연결하기 위해 회사의 인프라 내에서 실행되는 안전한 외부 연결 솔루션인 Argo Tunnel을 통해 자산을 Access에 연결합니다. 이 터널은 Cloudflare 네트워크를 향해 아웃바운드 전용 호출을 생성하고, 조직은 복잡한 방화벽 규칙을 단 하나의 규칙, 즉 모든 인바운드 연결 비활성화라는 규칙으로 대체할 수 있습니다.
또한, 관리자는 규칙을 작성해 인증자를 결정하고 Access로 작성되는 도구를 이용할 수 있습니다. 이 리소스가 비즈니스 작업을 구동하는 가상 머신이든 Jira 또는 iManage 같은 내부 웹 응용 프로그램이든 사용자가 연결해야 하면 먼저 Cloudflare를 거치게 됩니다.
사용자가 Access 너머의 도구에 연결해야 하면 팀의 SSO로 인증하라는 메시지가 표시되고, 인증이 되면 지연 시간 없이 즉시 해당 응용 프로그램에 연결됩니다. 내부 관리 앱이 마치 SaaS 제품처럼 느껴지고, 로그인 경험은 매끄럽고 익숙한 경험이 됩니다.
한편, 이 내부 도구에 대한 모든 요청은 ID 기반 정책을 시행하는 Cloudflare에 먼저 도착합니다. Access가 이 앱에 대한 모든 요청의 ID를 평가 및 기록하여 관리자에게 더 풍부한 가시성을 제공하고, 전통적인 VPN보다 더 강력한 보안을 제공합니다.
전 세계 200개 도시에 존재하는 모든 Cloudflare 데이터 센터가 전체 인증 검사를 수행합니다. 사용자들은 어디에서 작업하든 트래픽을 홈 오피스로 백홀할 필요 없이 더 빠르게 연결됩니다.
또한, Access는 관리자의 시간도 절약해줍니다. IT 부서는 복잡하고 오류가 발생하기 쉬운 네트워크 규칙을 구성하는 것이 아니라 ID 공급자를 사용하여 인증을 실행하는 규칙을 작성하게 됩니다. 보안 리더는 단일 제어판에서 내부 응용 프로그램에 액세스할 수 있는 사용자를 제어하고 하나의 소스에서 포괄적인 로그를 감사할 수 있습니다.
지난 해, 우리는 팀이 Access를 사용할 수 있는 방법을 확장하여 VPN의 필요성을 완전히 없앨 수 있게 해주는 기능을 출시했습니다. RDP, SSH에 대한 지원을 추가했고, 정적 키를 대체하는 단기 인증서에 대한 지원 기능을 출시했습니다. 하지만 팀은 Box 및 Office 365 같은 SaaS 응용 프로그램처럼 직접 제어하는 인프라에서 실행되지 않는 응용 프로그램을 사용합니다. 이 문제를 해결하기 위해서 새로운 제품인 Cloudflare Gateway를 출시할 예정입니다.
Cloudflare Gateway는 모든 아웃바운드 트래픽에 대해 팀과 가까운 곳에 있는 Cloudflare 데이터 센터를 최우선 목적지로 설정하여 팀을 보호합니다. 이 제품은 인터넷을 기존 현장 하드웨어로 처리하는 대신, 사용자와 인터넷 간에 Cloudflare의 전역 네트워크를 배치합니다.
Cloudflare Gateway의 첫 번째 기능은 세계에서 가장 빠른 DNS 확인자와 Cloudflare의 위협 인텔리전스를 결합하여 사용자를 피싱 스캠 또는 맬웨어 사이트로부터 보호하는 것으로 시작합니다. Gateway 확인자는 단 몇 분이면 오피스 네트워크와 사용자 장치에 배포할 수 있습니다. 일단 구성을 마치면 Gateway는 잠재적인 맬웨어 및 피싱 사이트를 사전 차단하는 동시에 관리자가 구성하는 정책에 따라 콘텐츠 필터링을 적용합니다.
하지만 위협은 또 다른 정상적인 호스트 이름 뒤에 숨을 수 있습니다. 보다 진화한 위협으로부터 사용자를 보호하기 위해 Gateway는 가능한 경우 URL을 검사하고, 패킷을 조사하여 잠재적인 공격이 장치 또는 오피스 네트워크를 침해하기 전에 찾아냅니다. 이와 동일한 심층 패킷 검사를 적용하여 우발적 또는 악의적인 데이터 내보내기를 방지할 수도 있습니다.
조직은 Gateway의 첨단 위협 방지 기능을 두 가지 모델로 추가할 수 있습니다.
- GRE 터널을 통해 오피스 네트워크를 Cloudflare 보안 패브릭에 연결하고,
- 모바일 장치에 포워드 프록시 클라이언트를 배포하는 것입니다.
Cloudflare Magic Transit을 통해 구현되는 첫 번째 모델은 기업에게 현재 워크플로우에 영향을 미치지 않고 Gateway로 옮겨갈 수 있는 방법을 제공합니다. 오피스 트래픽을 중앙 온프레미스 하드웨어로 백홀하는 대신, 팀은 GRE 터널을 통해 트래픽을 Cloudflare로 돌릴 수 있습니다. 아웃바운드 트래픽이 Cloudflare에 도착하고 나면 Gateway가 연결 성능에 영향을 미치지 않고 파일 형식 컨트롤, 인라인 검사, 데이터 손실 보호 기능을 적용할 수 있습니다. 이와 동시에 Magic Transit은 기업 IP 네트워크를 인바운드 공격으로부터 보호합니다.
사용자가 오피스를 벗어나면 Gateway의 클라이언트 응용 프로그램이 같은 수준의 인터넷 보안을 제공합니다. 장치로부터의 모든 연결이 먼저 Cloudflare를 거치고, 여기에서 Gateway가 위협 방지 정책을 적용할 수 있습니다. 또한, Cloudflare는 WireGuard 프로토콜 같은 새로운 기술을 구현하고 Cloudflare의 인기 있는 개별 포워드 프록시인 Cloudflare Warp 기능들을 통합하여 사용자 경험을 해치지 않고 보안을 제공할 수 있습니다.
두 환경 모두에서 가장 일반적인 공격의 매개체 중 하나는 여전히 브라우저입니다. 제로 데이 위협은 브라우저를 코드 실행을 위한 매개체로 이용하여 장치를 손상시킬 수 있습니다.
기존의 브라우저 격리 솔루션은 1) 픽셀 푸싱 및 2) DOM 재구성의 두 가지 방법 중 하나로 이 문제의 해결을 시도합니다. 두 가지 접근법 모두 성능과 보안 측면에서 타협을 해야 합니다. 픽셀 푸싱은 속도를 저하시키고 사용자에게 세션을 스트리밍하는 비용을 증가시킵니다. DOM 재구성은 잠재적으로 유해한 콘텐츠를 사용자에게 전송하기 전에 이를 제거하려고 시도합니다. 이 전략은 알려진 취약성에 의존하는 전략으로, 격리 도구가 해결하게 되어 있는 제로 데이 위협에 여전히 노출됩니다.
Cloudflare Gateway는 사용자를 제로 데이 위협으로 보호할 뿐 아니라, 인터넷 브라우징 속도까지 높여주는 상시 격리 기능을 갖추고 있습니다. 이 솔루션은 특허 출원된 접근법을 적용하여 장치에 에이전트를 설치할 필요 없이 브라우저가 렌더링할 수 있는 벡터 명령을 전송합니다. 사용자의 브라우저 세션은 대신 Cloudflare 데이터 센터에서 실행되기 때문에 Gateway가 각 세션 종료 시 인스턴스를 파기하여 성능 저하 없이 사용자 장치에서 맬웨어를 방지할 수 있습니다.
배포 시, 원격 브라우저 세션은 Cloudflare의 200개 데이터 센터 중 한 곳에서 실행되어 기존 접근법에서와 같은 타협 없이 사용자를 더 빠르고 안전한 인터넷 탐색 모델로 연결해줍니다. 브라우저 격리에 대한 이 접근법을 자세히 알아보고 싶다면 이 주제에 대한 Darren Remington의 블로그 게시글을 읽어보세요.
왜 Cloudflare를 사용해야 할까요?
인프라를 더 안전하게, 웹 자산을 더 빠르게 만들기 위해 Cloudflare는 세계 최대 규모의 가장 정교한 네트워크 중 하나를 구축했습니다. Cloudflare for Teams는 동일한 플랫폼에서 실행되고, 이 모든 독특한 이점을 그대로 갖추고 있습니다.
빠른 속도
보안은 항상 성능과 함께 가야 합니다. Cloudflare의 인프라 제품은 더 나은 보호를 제공하면서 속도까지 향상시켰습니다. 우리가 구축한 네트워크 덕분에 가능한 일입니다. 배포와 네트워크에 관한 노하우가 결합되어 Cloudflare는 요청 및 연결을 최적화할 수 있습니다.
Cloudflare for Teams는 동일한 네트워크와 라우팅 최적화를 사용하여 최종 사용자에게도 같은 속도를 선사합니다. 또한, Cloudflare는 이 새로운 플랫폼의 주요 기능이 될 업계 최고 수준의 구성 요소를 구축했습니다. 이 모든 구성 요소는 Cloudflare의 네트워크 및 규모를 이용하여 사용자 성능을 개선합니다.
Gateway의 DNS 필터링 기능은 세계에서 가장 빠른 확인자인 Cloudflare의 1.1.1.1 퍼블릭 DNS 확인자를 기반으로 합니다(DNSPerf 참고). 전체 연결을 보호하기 위해 Cloudflare for Teams는 경쟁제품 대비 일관되게 더 나은 평가를 받고 있는 새로운 유형의 VPN인 Warp를 기반으로 하는 동일한 기술을 배포합니다.
방대한 확장 가능성
Cloudflare의 30 TBps 네트워크 용량은 거의 모든 기업의 니즈를 충족할 만큼 확장할 수 있습니다. 고객은 조직의 니즈를 충족하기 위해 충분한 하드웨어를 구입할 걱정을 하지 않아도 되고, 대신 Cloudflare로 대체할 수 있습니다.
어디서나 글자 그대로 사용자 가까이에서
Cloudflare의 네트워크는 전 세계 90여 개 국가, 200개 도시에서 운영되기 때문에 사용자는 어디에서 작업하든 Cloudflare의 보안 및 성능을 가까운 곳에서 이용할 수 있습니다.
이 네트워크는 런던과 뉴욕 같은 글로벌 헤드쿼터뿐만 아니라 전통적으로 서비스가 부족했던 전 세계 지역에도 분산되어 있습니다.
Cloudflare 데이터 센터는 선진국의 경우 인터넷에 연결된 99% 인구를 대상으로 100 밀리초 이내에 동작하며, 전 세계 범위에서는 인터넷에 연결된 94% 인구를 대상으로 100 밀리초 이내에 동작합니다. 모든 최종 사용자는 기존에 헤드쿼터에서만 가능했던 성능을 경험할 수 있을 것입니다.
더욱 간편한 관리
보안 제품이 복잡하면 팀이 실수를 저질러 사고가 발생하곤 합니다. Cloudflare의 솔루션은 직관적이고 배포도 간단합니다. 대부분의 시장 내 보안 공급자는 먼저 주요 기능부터 개발하고, 사용성이나 실행 편의성은 전혀 고려하지 않습니다.
Cloudflare Access는 한 시간 이내에 배포할 수 있고, Gateway의 주요 기능은 대시보드 및 워크플로우에서 구현할 수 있습니다. Cloudflare for Teams는 인프라를 보호하는 도구의 편의성을 사용자, 장치 및 데이터를 보호하는 새로운 제품에 제공합니다.
더 향상된 위협 인텔리전스
Cloudflare의 네트워크는 2천만 개 이상의 인터넷 자산을 이미 보호하고 있고, 매일 720억 회의 사이버 위협을 차단하고 있습니다. 우리는 초당 평균 1천 1백만 개 HTTP 요청을 보호하면서 수집한 위협 데이터를 이용해 제품을 개발합니다.
다음은?
Cloudflare Access는 지금 바로 사용할 수 있습니다. 오늘 바로 팀의 VPN을 Cloudflare의 네트워크로 대체하는 작업을 시작할 수 있습니다. Cloudflare Gateway의 특정 기능은 현재 베타로 이용 가능하며, 다른 기능들은 차차 베타에 추가될 예정입니다. 지금 Gateway에 대한 알림을 신청하세요.