A new WAF Experience

약 3년 전, 우리는 대시보드 탐색의 방화벽 탭에 여러 기능을 도입했습니다. “우리의 제품과 서비스를 직관적으로 만들겠다”는 의도였죠. 지난 3년간 성능 확장에 쏟은 노력으로 Cloudflare WAF(웹 애플리케이션 방화벽)의 직관성에 대한 새로운 평가를 받아볼 수 있는 기회가 마련되기를 기대합니다.

새로운 WAF로의 길을 이끄는 고객들

보안 업계는 빠르게 변화하고 있습니다. 웹 응용 프로그램의 종류가 시시각각 증가하고 있고, 업계 내에는 WAF가 갖추어야 하는 기능, 제공해야 하는 기능에 대한 다양한 접근법이 존재합니다. Cloudflare는 엔터프라이즈 응용 프로그램뿐만 아니라 수백만 개의 개인 블로그, 커뮤니티 사이트, 소규모 매장까지도 프록시하고 있습니다. 사용 사례가 이렇게 다양한 만큼 우리가 제공하는 정말 다양한 제품들이 쓰이고 있습니다. 하지만 이 제품들은 현재 뿔뿔이 분산되어 있고, 그에 따라 사용 중인 보호 규칙을 명확하게 파악하기 어렵습니다. 따라서 고객의 기대를 충족하는 보다 명확한 제품을 제공함으로써 고객이 WAF에서 최대한의 가치를 누릴 수 있도록 최선을 다해 지원할 수 있는 방법이 무엇인지 숙고하게 되었습니다.

몇 달 전, 우리는 간단한 질문, 'WAF에 속한다는 것이 어떤 의미인가요?'에 대한 답을 찾고자 고객들에게 연락했습니다. 카드 소팅, 트리 테스트, 디자인 평가, 설문까지 아주 다양한 사용자 조사 방법들을 동원했습니다. 이 조사에서 얻은 결과로 고객들이 WAF를 어떻게 생각하는지, WAF가 고객들에게 어떤 의미가 있는지, WAF가 각자의 사용 사례를 어떻게 지원하는지를 파악할 수 있었습니다. 이 결과를 바탕으로 제품팀은 (웹 응용 프로그램) 보안의 범위를 확대하고, 보안이란 것이 단순히 WAF를 넘어 무엇을 의미하는지 다시금 생각해 보게 되었습니다.

수백 명의 고객이 제시해준 의견을 바탕으로 우리의 사용자 조사 및 제품 디자인 팀은 제품 관리 팀과 힘을 모아 보안 경험이란 것에 대해 새롭게 생각해 보았습니다. 우리는 여러 가정을 시험해보고, 다양한 설계 컨셉의 효과를 평가해 보면서 고객의 멘탈 모델을 반영한 구조(또는 정보 아키텍처)를 생성했습니다.

이 새로운 구조에는 방화벽 규칙, 관리 규칙, 속도 제한 규칙이 WAF의 일부로 통합되어 있습니다. 새로운 WAF는 악성 트래픽을 정상 트래픽과 구별해 낼 수 있는, 웹 응용 프로그램 보안을 위한 일종의 원스톱 숍이 되어줍니다.

지금 바로 탐색 화면에서 다음과 같은 변화를 확인할 수 있습니다.

  1. 방화벽의 이름이 보안으로 변경됩니다.
  2. 보안 아래에서 이제 WAF를 볼 수 있습니다.
  3. 방화벽 규칙, 관리 규칙, 속도 제한 규칙이 이제 WAF 아래에 표시됩니다.
이제부터 WAF를 언급할 때는 이 세 가지 구성요소를 모두 지칭하는 것입니다.

또한, 이 구성요소에 몇 가지 중요한 업데이트도 적용될 예정입니다. 보안 주간의 일환으로 고급 속도 제한 규칙이 도입될 예정이며, 모든 고객은 세간의 이목을 끄는 취약점으로부터 모든 트래픽을 보호하기 위한 무료 관리 규칙 집합을 받게 됩니다. 그리고, 앞으로 몇 달 내로 방화벽 규칙이 규칙 집합 엔진으로 이동하면서 새로운 규칙 집합 API를 통한 더 강력한 성능을 제공하게 될 것입니다. 정말 반가운 소식 아닌가요?

고객들이 만들어가는 WAF의 미래

이번 사용자 조사에는 거의 500명의 고객이 참가해 고객의 니즈를 파악하고 사용 환경을 이해하는 데 도움을 주었습니다. 우리는 별도의 제약 조건 없이 네 가지 리서치 기법을 동원해 조사를 진행했습니다. 즉, 전 세계 고객들이 원하는 시간과 장소에서 원격으로 참여할 수 있었습니다.

  • 카드 소팅 테스트에서는 참가자들이 스스로의 판단에 따라 탐색 요소들을 범주별로 그룹화했습니다.
  • 트리 테스트에서는 제안된 탐색 구조가 대상 고객에게 어떤 효과가 있었는지를 평가했습니다.
  • 디자인 평가에서는 과제 기반 접근법을 이용해 디자인 컨셉의 효과와 유용성을 측정했습니다.
  • 설문조사 질문은 그 결과를 더 깊이 있게 분석하고, 참가자들의 의견을 파악하는 데 도움이 되었습니다.

이 네 가지 조사의 결과를 바탕으로 WAF와 보안 모두에 있어 아래에 설명하는 변화의 틀을 잡을 수 있었습니다.

새로운 WAF 경험

최종 결과를 보면 WAF는 보다 광범위한 보안 범주의 일부로 봇, DDoS, API Shield, Page Shield를 포함하는 것으로 나타납니다. 이를 이용해 여러분은 규칙(즉 방화벽 규칙)을 생성하고, Cloudflare 관리 규칙을 배포하며, 속도 제한 조건을 설정하고, 유용한 도구를 활용하여 웹 응용 프로그램을 보호할 수 있죠.

요금제와 상관없이 모든 고객은 이제 아래와 같이 정리된 WAF 제품을 확인할 수 있습니다.

  1. 방화벽 규칙을 통해서는 트래픽을 차단 또는 허용하는 방식으로 HTTP 요청, 그리고 Cloudflare가 계산한 동적 필드(예: 봇 스코어)의 모든 구성요소를 활용하여 맞춤형 사용자 정의 로직을 생성할 수 있습니다.
  2. 속도 제한 규칙에는 2018년에 출시한 전통적인 IP 기반 제품, 그리고 Advanced 요금제(곧 출시)의 ENT 고객을 위한 최신 고급 속도 제한이 포함됩니다.
  3. 관리 규칙의 경우, 고객은 Cloudflare 분석 팀이 관리하는 규칙 집합을 배포할 수 있습니다. 이 규칙 집합에는 “Cloudflare 무료 관리 규칙 집합”이 포함되는데, 이는 현재 FREE 요금제뿐 아니라 모든 유료 요금제를 위한 Cloudflare Managed, OWASP 구현, Exposed Credentials Check까지, 모든 요금제용으로 출시 중에 있습니다.
  4. 도구는 IP Access 규칙, 영역 잠금, 사용자 에이전트 차단에 대한 액세스 권한을 부여합니다. 여전히 활발하게 지원되고 있는 이 제품들은 방화벽 규칙을 사용하여 커버할 수 있는 특정 사용 사례들을 커버합니다. 하지만 이 제품들은 고객 편의를 위해 WAF 툴박스의 일부로 유지됩니다.

새롭게 디자인하는 WAF 경험

게슈탈트 디자인 원칙에 따르면 “서로 인접한 요소들은 유사한 기능 또는 특징을 공유하는 것으로 인식된다”고 합니다. 이 원칙은 고객의 의견과 더불어 우리가 디자인을 결정하는 바탕이 되었습니다.

조사 결과를 검토하면서 우리는 대시보드에서 보안 제품을 쉽게 찾을 수 있도록 하는 것의 중요성, 그리고 특정 제품이 서로 어떤 관계가 있고 어떻게 연동되는지를 명확하게 이해할 수 있게 해야 한다는 필요성을 이해하게 되었습니다.

특히 대시보드 페이지에는 다음과 같은 특징이 갖추어져야 합니다.

  • 우리가 지원하는 각각의 규칙 유형을 표시(즉, 방화벽 규칙, 속도 제한 규칙, 관리 규칙)
  • 각 유형의 사용량을 표시
  • 고객에게 새 규칙을 추가하고 기존 규칙을 관리할 수 있는 기능 제공
  • 고객이 기존의 드래그 앤 드롭 동작으로 규칙 우선순위를 변경할 수 있도록 허용
  • 이후의 WAF 주요 기능 추가 및 통합이 가능하도록 충분한 유연성 제공

우리는 대부분 수직형인 페이지 레이아웃, 테이블 기반 페이지 레이아웃, 아코디언 기반 페이지 레이아웃까지 여러 옵션을 반복 시험했습니다. 하지만 각각의 옵션 모두, 페이지에 비슷한 기능을 가진 버튼을 중복해서 구현해야 했죠. 그래서 우리는 추가적인 혼란이 발생할 위험에도 불구하고 이 옵션들을 포기하고 수평식 탭 기반 페이지 레이아웃을 채택했습니다.

이제 해야 할 일은?

현재 우리는 이 새로운 디자인의 WAF를 모두에게 선보일 예정입니다! 그를 위하여 Cloudflare WAF의 성능을 최대한 활용할 수 있도록 안내해주는 설명서를 업데이트하고 있습니다.

앞으로의 전망

이 변화는 Cloudflare WAF를 강력한 솔루션으로 만드는 것뿐만 아니라 여러분의 니즈에 맞게 조정하는 것도 쉽게 만들기 위한 여정의 시작일 뿐입니다. 우리는 웹 응용 프로그램을 보호할 때 여러분의 의사 결정 프로세스를 강화하기 위한 접근법을 평가하고 있습니다. 점점 많아지는 중요한 정보의 양과 더욱 다양해지는 규칙 생성 기능 속에서, 우리는 여러분이 (보안 개요를 이용하는 등의 방법으로) 위협을 감지하는 순간부터 이 위협을 완화하기 위한 올바른 규칙을 설정하는 순간까지의 경로를 단축하려고 노력하고 있습니다. 계속 관심을 가져주세요!