2020년 10월, Cloudflare는 기업 네트워킹 및 보안의 미래로 추진하고 있는 Cloudflare One을 소개했습니다. 그 이후로 이 플랫폼을 더 많은 부분 제공하는 데 집중해 왔으며 오늘 가장 기본적인 두 가지 요소인 Magic WAN 및 Magic Firewall을 기쁜 마음으로 발표합니다. Magic WAN은 기업 전체 네트워크에 대해 비용 및 운영의 복잡성을 감소시키면서 안전한 고성능의 연결성과 라우팅을 제공합니다. Magic Firewall은 Magic WAN과 원활하게 통합되어 네트워크 내 모든 주체에서 나오는 트래픽 전체에 걸친 네트워크 방화벽 정책을 에지에서 실행합니다.
전통적인 네트워크 아키텍처는 오늘날의 문제를 해결하지 못합니다
역사적으로 기업 네트워크는 몇몇 모델 중 하나를 채택해왔는데, 이러한 모델은 사무실 경계에서 인터넷 액세스를 차단하고 관리하면서 사무실과 데이터 센터 간의 정보 흐름을 보호하도록 설계되었습니다. 애플리케이션이 클라우드로 이동하고 직원이 사무실 외부에 위치하게 되면서, 이와 같은 설계는 효과를 발휘하지 못했습니다. VPN 장비와 같은 미봉책은 기업 네트워크 아키텍처의 핵심 문제를 해결하지 못했습니다.
연결 측면에서 풀 메시 MPLS(다중 프로토콜 레이블 전환) 네트워크는 배포하는 비용이 비싸고 , 시간이 오래 걸리며, 유지 관리가 까다롭고, 기하급수적으로 확장하기 어려우며, 가시성 격차가 큰 경우가 많습니다. 다른 아키텍처에서는 트래픽을 소스로 다시 보내기 전에 중앙 위치를 통해 백홀링해야 하므로, 대기 시간 측면에서 엄청난 불이익이 발생하고 최대 용량을 갖추기 위해 실제 필요한 것보다 값비싼 허브 하드웨어를 구매해야 합니다. 이와 같은 고객들은 대부분, 가장 나쁜 두 가지 상황으로 인해 어려움을 겪고 있습니다. 관리할 수 없는 아키텍처가 수 년, 또는 수십 년에 걸쳐 걸합되어 있는 것입니다. 보안 아키텍트도 마찬가지로 이러한 모델 때문에 어려움을 겪습니다. 서로 다른 공급업체의 보안 하드웨어 장비 스택을 다뤄야 하고, 네트워크가 커지는 만큼 비용, 성능, 보안을 서로 절충하여 조율해야 합니다.
네트워크 경계를 에지로 이동하고 서비스로 보호하세요
Magic WAN을 사용하면 데이터 센터, 사무실, 장치, 클라우드 속성과 같은 모든 트래픽 소스를 Cloudflare의 네트워크에 안전하게 연결하고, 라우팅 정책을 구성하여 하나의 SaaS 솔루션 내에서 필요한 곳에 비트를 전송할 수 있습니다. Magic WAN은 Anycast GRE 터널, Cloudflare 네트워크 상호 연결 , Argo Tunnel, WARP, 다양한 Network On-ramp 파트너 등 다양한 온램프를 지원합니다. 더 이상 MPLS 비용이나 리드 타임, 트래픽 트롬본으로 인한 성능 저하, 서로 얽혀 있는 레거시 솔루션을 관리할 어려움이 사라집니다. Cloudflare의 전역 Anycast 네트워크를 확장하여 내 것처럼 사용하고, 기본 제공되는 훌륭한 성능과 가시성을 누려보세요.
트래픽이 Cloudflare에 연결된 다음, 네트워크 내에서 서로 상호작용하거나 인터넷과 상호 작용하는 엔터티를 어떻게 제어하나요? 여기에 Magic Firewall이 등장합니다. Magic Firewall을 사용하면 전체 네트워크의 정책을 중앙에서 관리할 수 있으며, 모두 에지에서 서비스형으로 수행됩니다. Magic Firewall로 네트워크 안팎이나 네트워크 내부에서 허용된 데이터를 세밀하게 제어할 수 있습니다. 심지어 네트워크를 통해 트래픽이 어떻게 흐르는지 하나의 대시보드로 정확히 파악할 수도 있습니다.
Magic WAN은 Cloudflare One에 포함된 폭넓은 기능 제품군의 기반이 되어주며, 처음부터 원활하게 확장하고 통합할 수 있도록 소프트웨어에 모두 내장되어 있습니다. Magic WAN에서 기본적으로 Magic Firewall을 사용할 수 있으며 고객은 원격 브라우저 격리를 갖춘 보안 웹 게이트웨이, 침입 감지 시스템 , 스마트 라우팅 등 추가적인 Zero Trust 보안 및 성능 기능을 쉽게 활성화할 수 있습니다.
"저희 네트워크 팀은 Magic WAN을 크게 기대하고 있습니다. Cloudflare는 저희 네트워크 팀이 복잡한 에지와 멀티 클라우드 환경을 훨씬 효율적으로 관리할 수 있도록 지원하는 서비스로서의 전역 네트워크 플랫폼을 구축했습니다. 본사, 데이터 센터, 지사, 최종 사용자 위치에 관계없이 보안이 기본 제공되고 빠른 라우팅 기능을 갖춘 하나의 글로벌 WAN을 운영할 수 있다는 것은 WAN 기술의 판도를 바꿀 수 있는 혁신적인 제품입니다."
— FlightRadar24 인프라 최고 관리자 Sander Petersson
구체적으로 어떤 모습일까요? Magic WAN과 Magic Firewall을 사용하여 엔터프라이즈 네트워킹 및 보안 문제를 해결하는 몇 가지 방법을 예시 고객인 Acme Corp를 통해 살펴보겠습니다.
지사와 데이터 센터 간의 MPLS 교체
오늘날, Acme Corp는 지역 데이터 센터와 MPLS를 통해 서로 연결된 지사를 전 세계에 두고 있습니다. 각 데이터 센터는 기업 애플리케이션과 애플리케이션 보안을 유지하기 위한 하드웨어 장비 스택을 호스팅하는데, 전용선으로 한 곳 이상의 다른 데이터 센터와 연결되어 있기도 합니다. 게다가 Acme는 일부 애플리케이션을 클라우드로 마이그레이션하고 있으며, 보안과 안정성을 향상할 수 있게 데이터 센터에서 클라우드 공급자로 직접 연결할 계획입니다.
Acme의 성장에 따라 네트워크 팀은 MPLS 연결을 관리하고 유지하는 데 지속적으로 어려움을 겪고 있습니다. 비용이 많이 들고 배포 시 리드 타임이 길어서, Acme가 새로운 지역(특히 국제적인 지역)으로 확장하거나 인수로 인해 더해진 사무실을 지원할 때 빠르게 진행되기가 어렵습니다. Acme 사무실 직원이 클라우드 공급자 및 SaaS 앱에 연결하려면, 트래픽이 목적지로 전송되기 전에 Acme 데이터 센터를 통과해 하드웨어 장비 스택을 통해 보안 정책을 시행해야 하므로 대기 시간은 불만스러울 만큼 깁니다. IP 전화 통신과 화상 회의 등 사무실 간에 오가는 트래픽에는 보안 정책이 적용되지 않아 Acme의 보안 상태에는 격차가 있습니다.
컴퓨팅 및 스토리지 목적으로 클라우드로 전환하는 과정 동안, Acme는 이러한 비공개 링크를 벗어나 마이그레이션하고 대안으로 인터넷을 안전하게 활용하여 연결하기를 바랍니다. 인터넷을 통해 사이트 사이에 완전 메시형 IPSec VPN 터널을 구축하려고 생각해봤지만, 복잡하여 네트워킹 팀과 다양한 종류의 라우터를 배포하는 데 부담이 되었습니다. Magic WAN은 네트워크 관리를 단순화하고 즉각적인 성능 이점을 제공할 뿐만 아니라 Acme가 MPLS에서 점진적으로 전환할 수 있도록 지원하므로 현재 상황에서 고객에게 맞출 준비가 되어 있습니다.
Magic WAN을 사용한 이 배포 예시에서 Acme는 Anycast GRE 터널을 사용하여 각각의 사무실과 VPC를 Cloudflare에 연결합니다. Acme가 이 아키텍처를 사용할 경우, 허브 앤 스포크형 아키텍처처럼 Cloudflare의 전체 전역 네트워크(전 세계 100개 이상 국가의 200개 이상의 도시에 위치함)로의 연결을 자동 수신하려면 각 사이트/인터넷 연결에 하나의 터널만 설정하면 됩니다. 모든 곳에 허브가 있다는 점만 다릅니다. 이와 더불어 Acme는 Cloudflare 네트워크 상호 연결을 사용하여 자사 데이터 센터에서 전용 비공개 연결을 설정하기로 선택하여, 심도 깊게 상호 연결된 Cloudflare의 네트워크를 통해 훨씬 더 안전하고 안정적으로 트래픽을 전달하고 다른 네트워크/클라우드 공급자와 수준 높게 연결할 수 있습니다.
이러한 터널이 설정되면 Acme는 사설 네트워크(RFC 1918 공간) 내의 트래픽에 허용된 경로를 구성할 수 있고, Cloudflare는 필요한 곳으로 트래픽을 가져와 복원력과 트래픽 최적화를 제공합니다. Acme Corp는 단 몇 시간 만에 쉽게 설정되는 과정을 통해 MPLS에서 마이그레이션을 시작할 수 있습니다. 이에 더해, QoS 및 네트워크용 Argo와 같은 Cloudflare One 기능이 새로 도입되므로 Acme의 네트워크 성능과 안정성은 지속적으로 개선될 것입니다.
비공개 네트워크에 대한 원격 근무자의 액세스 보안
Acme Corp의 직원이 COVID-19 팬데믹으로 인해 갑작스럽게 원격 근무로 바뀌었던 작년, Acme의 IT 조직은 내부 리소스에 액세스할 직원 권한을 유지하기 위해 단기간에 허겁지겁 수정 사항을 찾았습니다. 레거시 VPN으로는 버틸 수 없었습니다. 장비가 설계된 한계를 넘어서면서 Acme의 재택 근무 직원은 연결, 안정성, 성능 문제로 어려움을 겪었습니다.
다행히, 더 훌륭한 솔루션이 있습니다! Acme Corp은 Cloudflare for Teams 및 Magic WAN을 사용하여 직원이 어디서 일하든 자신의 장치로 비공개 네트워크 뒤에 위치한 리소스에 안전하게 액세스할 방법을 제공할 수 있습니다. Acme 직원은 장치에 WARP 클라이언트를 설치하여 Cloudflare 네트워크로 트래픽을 전송합니다. 이 네트워크에서 인증을 받고 GRE 터널(이전 예시에 나와 있음), Argo Tunnel, Cloudflare 네트워크 상호 연결 또는 IPSec(곧 제공 예정)을 통해 Cloudflare에 연결된 데이터 센터나 VPC의 비공개 리소스로 라우팅할 수 있습니다. 이 아키텍처는 Acme가 레거시 VPN에서 경험했던 성능 문제와 용량 문제를 해결합니다. 병목 지점인 하나의 장치로 모든 트래픽을 전송하는 대신, 트래픽은 가장 가까운 Cloudflare 위치로 라우팅되며 목적지까지 최적화된 경로를 따라 전송되기 전에 에지에서 정책이 적용됩니다.
Magic Firewall가 모든 "경로"에 강력하고 세분화된 정책 제어를 적용할 수 있게 Acme Corp 직원들의 장치, 데이터 센터, 사무실에서 나오는 트래픽을 감시할 수도 있습니다. 직원이 휴대폰과 랩톱을 통해 접속하든, Acme 사무실에서 일하든, 같은 장소에서 같은 정책을 적용할 수 있습니다. 이렇게 하면 구성이 간소화되고 Acme의 IT 및 보안 팀이 Cloudflare 대시보드에 로그인하여 한 곳에서 정책을 보고 제어할 수 있으므로 가시성이 개선됩니다. 다른 VPN, 방화벽, 클라우드 서비스 전반에 걸쳐 직원 액세스를 관리했던 것과 비교하면 판도를 바꿔 놓는 것입니다.
Acme는 이 솔루션으로 VPN, 방화벽, 보안 웹 게이트웨이 장비에서 벗어나, 성능을 개선하고 직원이 근무하는 모든 장소에서 나온 트래픽 전체에 걸쳐 정책을 쉽게 관리할 수 있습니다.
네트워크 및 보안 기능을 에지로 마이그레이션
Acme는 여태까지 네트워크 보안을 강화하고 네트워크 상황을 확인하기 위해, 물리적 사무실 및 데이터 센터의 하드웨어 장비 스택으로 인바운드 트래픽이나 아웃바운드 트래픽을 검사하는 전문 방화벽, 침입 감지 시스템, SIEM을 사용해왔습니다. Acme 조직이 클라우드로 이동하고 앞으로의 원격 근무를 고려하면서, Acme 보안 팀은 기존의 성과 해자 아키텍처에서 제공되었던 것보다 보안을 더욱 강화할 지속 가능한 솔루션을 찾고 있습니다.
앞서, Acme가 사무실, 데이터 센터, 클라우드 속성, 장치에서 Cloudflare의 네트워크로 트래픽을 보내도록 Magic WAN을 구성한 방법을 살펴보았습니다. 일단 트래픽이 Cloudflare를 통해 흐르기 시작하면, 액세스 제어 및 필터링 기능을 추가하는 것이 용이하므로, 모든 온프레미스 보안 하드웨어를 보강하거나 교체할 수 있으며 이 모든 것을 단일 제어판에서 관리할 수 있습니다.
Magic Firewall을 사용하는 고객은 지사나 데이터 센터에 설치해 놓은 까다로운 장비를 에지에서 실행되는 하나의 서비스형 방화벽으로 대체할 수 있습니다. Magic Firewall에서는 쉽게 구성을 관리할 수 있을 뿐만 아니라 규정 준수 감사도 간소화할 수 있습니다.
고객은 어떤 트래픽이 어디로 갈 수 있는지 정확하게 판단하는 정책을 적용해 액세스를 제어할 수 있습니다. 예를 들어, Acme는 인터넷에서 포트 80 및 443에 위치한 데이터 센터 내부 웹 서버로 트래픽을 이동시키려고 하지만, 지사 내부의 특정 사설 네트워크에는 SSH 액세스를 차단하려고 합니다.
Acme가 네트워크를 더 복잡하게 차단하려면, Access 및 Gateway를 통해 Zero Trust 액세스 모델을 채택하여 Cloudflare 네트워크를 통해 흐르는 모든 트래픽에 액세스할 수 있는 사람, 대상, 방식을 제어할 수 있습니다. Cloudflare가 곧 공개될 IDS/IPS, DLP 솔루션과 같이 필터링 및 제어 기능을 새로 출시하면 Acme에서는 클릭 몇 번만 해도 더욱 보안을 강화할 수 있습니다.
Acme의 장기 목표는 모든 보안 및 성능 기능을 서비스로 사용되는 클라우드로 전환하는 것입니다. Magic WAN은 원활하게 마이그레이션을 수행할 방법이 되어주어, 레거시 하드웨어를 폐기하는 동안 점차적으로 보안 상태를 강화할 수 있습니다.
최근 원격 근무로 바뀌는 일이 많고 더불어 클라우드 채택도 늘어나면서, MPLS와 같은 기존 네트워크 아키텍처에 부담을 주는 인터넷, SaaS, IaaS 트래픽의 양이 증가했습니다. 글로벌한 규모, 통합된 엔터프라이즈 네트워크 보안 기능, 원격 사용자에게 직접적인 보안 연결 기능을 제공하는 WAN 아키텍처는 운영 민첩성을 향상시키고 총소유비용을 절감하고자 하는 조직에 매우 중요한 요소입니다.
— IDC Research WW Telecom, 가상화 및 CDN 부문 담당 부사장 Ghassan Abdo
고객 네트워크를 확장하는 Cloudflare 네트워크
Cloudflare의 다른 제품과 마찬가지로, Cloudflare One은 자사의 네트워크를 성장시키고 보호하며 경험한 문제의 솔루션이 모여 시작되었습니다. Magic WAN 및 Magic Firewall을 사용하면 Cloudflare가 지난 10년 동안 신중하게 결정한 아키텍처의 이점을 고객들도 확장하여 이용할 수 있습니다.
- 글로벌 규모, 가장 가깝게: 고객의 사무실, 데이터 센터, 사용자가 어디에 있든 Cloudflare는 가까이 있습니다. Cloudflare는 CDN 비즈니스를 통해 열심히 노력하여 근접 네트워크에 뛰어난 연결성을 구축했으며, 집에서 고객의 네트워크에 뛰어난 성능으로 접속하려는 원격 작업자에게 유용합니다. 이와 더불어, 악의적 트래픽이 온프레미스 장비의 용량 한도를 압도해버리는 위험을 감수하는 대신, 소스와 가까운 에지에서 위협을 차단할 수 있습니다.
- 하드웨어 및 이동통신사에 구애받지 않음: 현재 보유한 하드웨어가 무엇이든 Cloudflare에 접속할 수 있고, 이동통신사 연결성을 다양하게 제공하므로 복원력 측면에서 유리합니다.
- 처음부터 함께 작동하도록 구축: Cloudflare의 제품은 쉽게 통합할 수 있도록 처음부터 소프트웨어로 개발되었습니다. Cloudflare는 제품이 만들어지고 발전하는 동안 함께 더 좋은 성능을 내려면 어떻게 통합해야 할지 끊임없이 생각합니다.
지금 시작하세요
Magic WAN은 제한 베타로 제공되고, Magic Firewall은 모든 Magic Transit 고객이 일반적으로 사용할 수 있으며 Magic WAN과 함께 기본 제공됩니다. Magic WAN를 확인해보고 싶거나, 조직에서 레거시 MPLS 아키텍처를 교체하고 원격 작업자용 보안 액세스를 제공하며 총소유비용을 줄이면서 보안 상태를 강화할 수 있게 Cloudflare가 어떻게 돕는지 자세히 알아보려면 문의하세요.