지난 10월, Cloudflare는 안전하고 빠르고 안정적이며 기업 네트워크의 미래를 정의하는 포괄적 클라우드 기반 서비스형 네트워크 솔루션인 Cloudflare One을 발표했습니다. Cloudflare One에는 데이터 센터와 지사를 보호하고 인터넷에 연결하는 Magic WAN과 Magic Transit 등의 네트워크 서비스와, 기업 애플리케이션, 장치, 인터넷으로 일하는 직원을 보호하는 Cloudflare for Teams라는 두 가지 구성 요소가 있습니다. 오늘, 기존의 Tanium 통합과 짝을 이룰 VMware Carbon Black, CrowdStrike, SentinelOne과의 새로운 통합을 기쁜 마음으로 발표합니다. 이제 Cloudflare for Teams 고객은 이러한 통합을 사용하여 장치 보안 신호를 기반으로 애플리케이션 액세스를 제한할 수 있습니다.
Cloudflare for Teams로 애플리케이션 보호
COVID-19 전염병이 확산되면서 원격으로 일하는 사람들이 많아졌습니다. 직원들은 사무실을 떠났지만 일하는 데 사용했던 네트워크와 애플리케이션은 사무실을 떠나지 않았습니다. VPN은 트래픽 백홀로 인한 과부하로 인해 빠르게 중단되기 시작했고, 하룻밤 새 방화벽을 재구성하는 작업은 큰 IT 문제가 되었습니다.
이로 인해 많은 조직은 Zero Trust 기반 네트워크 아키텍처를 더욱 시급히 도입하게 되었습니다. Zero Trust란 기업 리소스에 대한 모든 연결 요청을 신뢰하는 대신, 막은 상태로 관리자가 정의한 기준을 충족하는 경우에만 액세스 권한을 부여하는 방식입니다. Cloudflare for Teams가 바로 이렇게 작동합니다. 이 서비스는 200개 이상의 위치에서 실행되는 Cloudflare의 전역 네트워크로 레거시 VPN을 대체하며, 고객의 ID 공급자를 통해 사용자 ID를 확인하고 요청된 애플리케이션에 대한 권한을 교차 확인합니다. 사용자가 ID를 확인하고 액세스 권한이 충분한 경우에만 액세스 권한이 부여됩니다. 결과물은 전역 네트워크로 성능이 개선되고 신뢰하기 보다는 검증을 이용하는 보안 모델입니다.
BYOD—파괴적인 장비를 직접 가져오다(Bring Your Own Destruction)
원격 근무로 회사에는 또 다른 변화가 생겼습니다. 일과 여가 시간의 경계가 모호해지면서, 사용자는 개인 장치 등 다양한 장치로 일하게 되었습니다. 개인 장치나 보호되지 않은 장치는 맬웨어 방지 기능이나 더욱 정교한 엔드포인트 보안 공급자로 보호되지 않기 때문에 맬웨어 등의 위협에 더 많이 노출되는 경우가 많습니다. 보호되지 않은 장치로 회사 이메일에 액세스하거나, 프로덕션 시스템에 코드를 배포하거나, 중요한 정보가 있는 애플리케이션에 액세스하는 것은 위험하고, 회사의 준수 규칙을 위반할 수 있으며, 감염된 장치가 맬웨어를 퍼뜨린다면 시스템을 손상시킬 수 있습니다.
장치 보안에 기반한 새로운 정책
Cloudflare for Teams 고객은 오늘부터 엔드포인트 보안 공급업체가 제공하는 장치 보안 신호를 이용한 새로운 정책을 구성해 애플리케이션 연결을 허용하거나 거부할 수 있습니다. 엔드포인트 보안, 장치 보안, 장치 상태 또는 장치 태세라는 용어는 혼합되어 사용되곤 하지만 의미는 모두 같습니다. 랩톱이나 휴대폰과 같은 특정 장치가 안전한지, 안전하지 않은지 여부를 판단할 수 있게 수집한 신호를 말합니다. 이러한 신호로는 운영 체제 버전, 마지막 패치 날짜, 디스크 암호화 상태, 설치 애플리케이션 인벤토리, 맬웨어 방지 상태나 엔드포인트 보안 공급자의 상태, 마지막 맬웨어 검사 날짜와 같은 신호 및 속성이 포함됩니다.
특히, 회사에서 지급한 모든 장치(장치 집합이라고도 함)에서 이러한 신호를 이해하는 것이 중요하며, 보안 및 IT 팀은 이를 통해 오래되어 패치해야 할 장치나 맬웨어 감염이 발생해 복원해야 하는 경우를 확인할 수 있습니다. Cloudflare for Teams를 사용하면 이러한 신호로 네트워크 액세스 결정을 내릴 수도 있습니다. 예를 들어 회사에서 지급하지 않은 장치로는 중요한 애플리케이션에 액세스하지 못하도록 제한하기 위해, 장치 일련 번호를 회사의 장치 인벤토리와 비교하는 액세스 정책을 만들 수 있습니다. 이때 일련 번호가 일치하는 경우에만 사용자에게 액세스 권한이 부여됩니다.
Cloudflare의 WARP 클라이언트는 일련 번호 및 장치 위치와 같이 이러한 일부 속성과, 트래픽이 WARP로 암호화되었는지 여부를 이미 확인하고 있습니다. 고객은 새로운 이번 통합을 이용해, Cloudflare가 보호하는 리소스에 대한 액세스 권한을 장치에 부여하기 전 CrowdStrike 또는 VMware Carbon Black 에이전트 등을 장치에 실행하도록 요구하여 보안 계층을 추가할 수 있습니다. WARP와 당사 파트너의 엔드포인트 보안 플랫폼의 신호를 결합하면, 회사에서 승인하고 맬웨어가 없는 장치는 보안 장치로 간주할 수 있습니다.
어디에서도 업무를 수행하는 오늘날의 비즈니스 문화에서는 직원들과 그들의 장치들이 사무실 외부의 적대적인 위협 환경에 지속적으로 노출되므로 손상의 위험이 매우 커졌습니다. 당사와 Cloudflare와의 통합을 통해 기업들은 CrowdStrike Falcon 플랫폼의 기능을 활용하여 응용 프로그램에 대한 액세스를 정확하게 실시간으로 조건부 허용하여 모든 엔드포인트, 워크로드, 응용 프로그램에서 처음부터 끝까지 제로 트러스트 보안을 이용함으로써 실시간으로 공격을 차단할 수 있게 되었습니다.
— CrowdStrike 클라우드 엔지니어링 수석 부사장 Patrick McCormack
“VMware Carbon Black Cloud는 다수의 엔드포인트 및 워크로드 보안 제품 및 서비스를 하나의 본원적 클라우드 플랫폼으로 통합합니다. Cloudflare는 VMware Carbon Black Cloud를 활용하여 고객이 회사 클라우드와 Zero Trust 네트워크에 연결하는 장치를 보호하고 관리하도록 지원할 수 있습니다.”
— VMware 보안 사업부 수석 부사장 Tom Corn
기업들은 전통적인 경계의 붕괴라는 개념을 받아들이게 되었습니다. 오늘날의 분산되고 역동적인 경계에는 근본적으로 새로운 보안 접근 방식이 필요합니다. 당사의 AI 기반 사이버 보안 플랫폼은 Cloudflare와 협력하여, 오늘날의 기업들이 의존하고 있는 다양한 장치, 네트워크, 중요한 응용 프로그램에 대해 더욱 확고한 제로 트러스트 보안 솔루션을 제공할 수 있게 되었습니다.
— SentinelOne 사업 및 기업 개발 수석 부사장 Chuck Fontana
제로 트러스트 보안 아키텍처는 네트워크 수준에서의 세분화 및 실행으로 시작했지만, 엔드포인트에 있는 기업 자원과 데이터가 증가하고 있으므로 이제 제로 트러스트 아키텍처에서는 엔드포인트와 네트워크 모두를 고려해야 합니다. 엔드포인트의 ID의 신원을 알고 그것들이 최신 상태를 유지하면서 보안 위협에 대한 대비가 되어 있고 손상되어 있지 않다는 사실을 알고 있으면 조직의 자원에 대한 안전한 액세스를 획기적으로 보장할 수 있습니다.
— Tanium 최고 제품 책임자 Pete Constantine
어떻게 작동하나요?
통합은 간단합니다. Cloudflare Access로 애플리케이션을 보호하는 단계가 첫 단게입니다. Access와 엔드포인트 보안 공급자 간의 통합 과정은 공급업체에 따라 약간 다릅니다.
Tanium
Tanium은 사용자 컴퓨터에 추가 소프트웨어를 설치할 필요가 없습니다. Cloudflare for Teams 대시보드에 Tanium 인증서를 올리고 Tanium 인스턴스에서 엔드포인트 ID를 활성화하기만 하면 됩니다. 그런 다음, 회사에서 승인하고 맬웨어가 없는 장치라는 점을 확인할 수 있게 모든 애플리케이션의 Teams 대시보드에서 정책 검사로 Tanium을 추가할 수 있습니다.
VMware Carbon Black, CrowdStrike, SentinelOne
Tanium과 달리 위의 공급업체는 장치에 WARP 클라이언트를 배포해야 합니다. Teams 대시보드에서 공급자를 구성하기 전, MDM 솔루션을 통해 WARP를 배포하는 것이 좋습니다. 사용자가 WARP 클라이언트를 직접 다운로드할 수도 있습니다.
WARP 클라이언트가 팀에 배포된 다음 Teams 대시보드에서 엔드포인트 보안 공급자를 구성할 수 있습니다. 시작하려면 Teams 대시보드에 로그인하고 내 팀→장치로 이동한 다음 새 탭인 "장치 상태"를 클릭합니다. Cloudflare 파트너의 경우 대부분의 설치 환경에서 사용할 수 있는 값을 미리 구성해 두었습니다.
이제 구성을 완료했으므로 선택한 공급자를 기반으로 규칙을 빌드하고 다른 액세스 정책처럼 애플리케이션에 적용할 수 있습니다. 규칙이 설정되면, WARP는 엔드포인트 보안 소프트웨어가 장치에서 실행 중인지 확인하고 Access로 상태를 전달합니다. 그러면 Access가 장치의 엔드포인트 보안 소프트웨어 상태를 사용하여 보안 애플리케이션 액세스를 허용하거나 거부합니다. 장치가 조직의 엔드포인트 보안 소프트웨어를 실행하고 있다면 액세스 권한이 부여됩니다.
이와 같은 Zero Trust 검사는 MFA 및 사용자 ID 등의 기능과 함께 계층화되어, 자격 증명 탈취나 기타 악의적 액세스 시도를 차단할 수 있습니다.
다음은 무엇일까요?
향후 릴리스에서는 CrowdStrike 및 VMware Carbon Black 위험 점수와 같이 새로 공개된 파트너의 추가 보안 신호를 통합하여, 보호되고 있는 애플리케이션에 액세스할 수 있는 장치를 더욱 세밀하게 제어할 수 있게 됩니다. 이와 더불어 고객이 선택한 공급업체를 유연하게 사용할 수 있도록 더 많은 공급업체와 계속 협력할 예정입니다.
현재 Cloudflare for Teams를 사용 중이고 통합 사용에 관심이 있다면 개발자 문서에서 활성화 방법에 대해 알아보세요. 더 자세히 알고 싶거나 질문이 더 있다면 엔드포인트 보안 파트너십 페이지 양식을 작성해주세요. 빠른 시일 내에 연락 드리겠습니다.