구독해서 새 게시물에 대한 알림을 받으세요.

Cloudflare Gateway에서 수행하는 HTTP/3 검사

2022-06-24

3분 읽기
이 게시물은 English, 日本語, Español简体中文로도 이용할 수 있습니다.

오늘, 종합 보안 웹 게이트웨이인 Cloudflare Gateway를 통해 HTTP/3 검사를 곧 지원하게 된다는 소식을 발표하게 되어 기쁩니다. HTTP/3는 현재 인터넷의 25%에서 구동되며 보안 손상 없이 브라우징 경험을 더욱 빠르게 해줍니다. 지금까지는 관리자가 HTTP/3 지원 웹 사이트나 API를 필터링하고 검사하려면 HTTP/2로 폴백하여 성능을 저하시키거나 검사를 우회하여 가시성을 포기해야만 했습니다. Cloudflare Gateway에서 HTTP/3를 지원하면 모든 트래픽에 완전한 가시성을 확보하고 가장 빠른 검색 경험을 누리실 수 있습니다.

HTTP/3 inspection on Cloudflare Gateway

HTTP/3를 이용하는 웹이 늘어나는 이유는 무엇일까요?

HTTP는 인터넷을 구동하는 오래된 기술입니다. 1996년 당시, 보안과 성능은 고려 대상이 아니었고 암호화는 관리 전송 계층의 책임이었습니다. 이 모델은 최신 인터넷의 성능 요구 사항에 적합하지 않으므로 HTTP는 HTTP/2에 이어 현재는 HTTP/3으로 업그레이드되었습니다.

HTTP/3는 기본적으로 항상 암호화되는 최신 전송 프로토콜인 QUIC를 사용해 검색 활동을 빠르게 만들어줍니다. 사용자와 웹 서버 간의 왕복을 줄여 성능이 더 빨라지며 연결이 불안정한 사용자의 성능도 개선됩니다. HTTP/3의 성능 이점에 대한 자세한 내용은 여기 이전 블로그를 참조하세요.

HTTP/3 개발 및 채택

Cloudflare의 사명은 더 나은 인터넷을 만들도록 돕는 것입니다. Cloudflare는 HTTP/3가 인터넷을 더 빠르고 더 안전하게 만들어 줄 핵심 구성 요소라고 생각합니다. 당사는 IETF와 긴밀히 협업하여 HTTP/3 및 QUIC 표준 문서 작업을 거듭 진행했습니다. 이러한 활동과 더불어 Chrome 및 Firefox 등 많이 사용되는 브라우저가 QUIC를 기본 사용하도록 진행한 결과, 현재 모든 웹 사이트 중 25% 이상이 더욱 철저한 분석을 위해 HTTP/3를 사용하고 있습니다.

Cloudflare는 지난 몇 년간 HTTP/3를 폭넓게 지지해왔습니다. 2018년 9월에 처음으로 기본 전송 계층 QUIC에 대한 지원을 도입했고, 다음 해인 2019년 9월에는 역방향 프록시 서비스에 HTTP/3 지원을 도입하려고 노력했습니다. 그 이후로도 꾸준히 노력하여 현재는 RFC 9114에서 최종 “h3” 식별자에 해당하는 최신 개정 HTTP/3를 지원하게 되었습니다.

HTTP/3 검사 장애물

HTTP/3에 장점이 많긴 하지만, HTTP/3 도입에 따라 관리자가 네트워크에서 HTTP 트래픽을 필터링하고 검사하려면 배포 복잡성과 보안을 절충해야 했습니다. HTTP/3의 HTTP 요청 및 응답 시맨틱은 친숙하지만, QUIC를 사용하면 "연결 시" 모양과 동작이 바뀝니다. QUIC는 UDP로 실행되므로 기존의 TCP 기반 프로토콜과 구조적으로 다르며, 기존 보안 웹 게이트웨이의 지원이 부족합니다. 이 두 가지가 합쳐져, 관리자가 사용자의 기대만큼 성능을 유지하고 인터넷 트래픽에 대한 가시성과 제어 능력을 확보하는 동시에, 진화하는 기술 환경까지 따라가기가 어려워졌습니다.

HTTP/3에 적절한 보안 웹 게이트웨이가 지원되지 않으면, 관리자는 사용자의 보안과 성능, 둘 중 하나나 둘 모두를 타협할지 결정해야 합니다. 보안을 절충하는 방법으로는 UDP 트래픽을 검사하지 않거나, 더욱 심각하게는 인라인 바이러스 방지 스캐닝, 데이터 손실 방지, 브라우저 격리 및/또는 트래픽 로깅과 같이 중요한 보안 기능을 포함하지 않는 방법이 있습니다. 물론 보안에 민감한 조직에서 보안과 가시성을 포기하는 방식은 받아들여지지 않습니다. 이 경우 관리자는 최종 사용자 장치에서 미리 HTTP/3를 비활성화해야 했습니다. 사용자 웹 브라우저 내에서 QUIC 지원을 비활성화해야 하므로 배포가 복잡해지고 성능이 저하됩니다.

HTTP/3 검사를 활성화하는 방법

올해 후반부터 일부 브라우저에서 HTTP/3 검사가 지원되면 대시보드를 통해 HTTP/3 검사를 활성화할 수 있게 됩니다. Zero Trust 대시보드에 로그인하여 프록시를 켜고 UDP 트래픽 상자를 클릭한 다음, 설정 > 네트워크 > 방화벽에서 TLS 복호화 기능을 활성화합니다. 설정을 활성화한 다음에는 HTTP 정책을 통해 조직의 모든 프록시 HTTP 트래픽에 AV 스캐닝, 원격 브라우저 격리, DLP, HTTP 필터링을 적용할 수 있습니다.

다음 단계

기술 환경이 진화하더라도 관리자가 보안을 희생시킬 필요가 없으며, 조직과 팀을 보호하는 데 집중할 수 있습니다. HTTP/3 검사를 이용할 수 있게 되면 모든 Cloudflare One 고객에게 알려드릴 예정입니다. 관리자가 보안 웹 게이트웨이를 단순하게 배포할 수 있게 되어 기쁩니다.

HTTP/3 트래픽 검사는 모든 유형의 요금제를 이용하는 관리자 모두가 이용할 수 있습니다. 아직 가입하지 않았다면 여기를 클릭하여 시작하세요.

Cloudflare에서는 전체 기업 네트워크를 보호하고, 고객이 인터넷 규모의 애플리케이션을 효과적으로 구축하도록 지원하며, 웹 사이트와 인터넷 애플리케이션을 가속화하고, DDoS 공격을 막으며, 해커를 막고, Zero Trust로 향하는 고객의 여정을 지원합니다.

어떤 장치로든 1.1.1.1에 방문해 인터넷을 더 빠르고 안전하게 만들어 주는 Cloudflare의 무료 앱을 사용해 보세요.

더 나은 인터넷을 만들기 위한 Cloudflare의 사명을 자세히 알아보려면 여기에서 시작하세요. 새로운 커리어 경로를 찾고 있다면 채용 공고를 확인해 보세요.
Cloudflare One WeekCloudflare GatewayHTTP3Cloudflare OneCloudflare Zero TrustZero Trust

X에서 팔로우하기

Ankur Aggarwal|@Encore_Encore
Cloudflare|@cloudflare

관련 게시물

2024년 10월 23일 오후 1:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

2024년 10월 15일 오후 1:00

Protect against identity-based attacks by sharing Cloudflare user risk scores with Okta

Uphold Zero Trust principles and protect against identity-based attacks by sharing Cloudflare user risk scores with Okta. Learn how this new integration allows your organization to mitigate risk in real time, make informed access decisions, and free up security resources with automation....

2024년 10월 08일 오후 1:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...