Replace your hardware firewalls with Cloudflare One

오늘, 고객이 하드웨어 방화벽 어플라이언스에서 차세대 네트워크용으로 구축된 진정한 클라우드 네이티브 방화벽으로 전환하도록 지원하는 새로운 기능을 발표하게 되어 기쁘게 생각합니다. Cloudflare One은 관리자들이 모든 사용자와 리소스에 대해 일관된 보안 정책을 적용할 수 있도록 보안이 가능하고 성능 기준에 맞는 Zero Trust 활성화 플랫폼을 제공합니다. 무엇보다도 이 제품은 우리 전역 네트워크를 바탕으로 구축되므로 확장, 배치나 종단 보안 하드웨어 관리에 대해 걱정할 필요가 없습니다.

Cloudflare는 이 발표의 일환으로 오늘, 고객들이 레거시 하드웨어를 앞서가는 데 도움을 주는 Oahu 프로그램을 시작했습니다. 이 게시물에서 이전 방화벽 세대의 문제점을 해결하고 IT 팀의 시간과 비용을 절약해주는 새로운 기능들을 세분하여 다루겠습니다.

여기에 어떻게 도달했을까요?

현재 우리의 위치를 이해하려면 IP 방화벽의 간단한 역사로 시작해보는 게 도움이 될 것 같습니다.

사설망을 위한 무상태 패킷 필터링

1세대 네트워크 방화벽은 주로 사설망의 보안 요구사항을 충족하도록 설계되었는데, 이것은 어제 게시물에서 1세대로 정의한 성 및 해자 아키텍처로 시작했습니다. 방화벽 관리자는 OSI 모델 의 3 및 4 계층(주로 IP와 포트)에서 이용할 수 있는 신호를 중심으로 정책을 만들 수 있었는데, 이것은(예를 들면) 사무용 빌딩의 한 층에 있는 직원들이 LAN을 통해 서버에 액세스하도록 하는 데는 완벽한 방법이었습니다.

이 패킷 필터링 기능은 인터넷 연결 등으로 네트워크가 더 복잡해질 때까지는 충분했습니다. IT 팀은 외부의 악의적인 사람들로부터 기업망을 보호할 필요가 생겼고 여기에는 더 정교한 정책이 필요했습니다.

유상태 및 심층 패킷 검사를 통한 보호 강화

방화벽 하드웨어는 유상태 패킷 검사와 초기 버전의 심층 패킷 검사를 포함하는 데까지 진화했고, 방화벽을 통과하는 연결의 상태를 추적함으로써 기본적인 방화벽 개념을 확장했습니다. 이렇게 해서 관리자들은(예를 들면) 이미 존재하는 발신 연결에 묶여 있지 않은 모든 착신 패킷을 차단할 수 있었습니다.

이 새 기능들은 공격자들로부터 보다 정교한 보호를 제공했습니다. 하지만 발전에 따라 비용이 추가되었습니다. 보다 높은 수준의 보안을 지원하려면 더 많은 컴퓨팅 및 메모리 리소스가 필요했습니다. 이 요구사항은 보안 및 네트워크 팀이 각각의 신규 장치에 필요한 용량을 더 잘 산정하고 비용과 네트워크 중복성 간에 절충을 해야 한다는 것을 의미했습니다.

비용 상충관계 외에도 이러한 새 방화벽은 네트워크가 사용되는 방식에 대한 일부 통찰력밖에 제공하지 못했습니다. 사용자가 198.51.100.10의 80 포트에 액세스하는 것은 알 수 있었지만, 해당 사용자가 무엇에 액세스하고 있는지를 추가로 조사하려면 해당 IP 주소의 리버스 룩업을 수행해야 했습니다. 이것만으로는 공급자의 표면적인 상황만을 파악할 수 있었을 뿐이며, 액세스하는 대상, 도메인/호스트의 평판, "이 보안 이벤트를 추가로 조사할 필요가 있는가?"라는 질문에 답하기 위한 추가 정보에 대한 통찰력은 전혀 없었습니다. 여기서는 출발지를 결정하는 것도 어려워서 DHCP를 통해 전달된 사설 IP 주소를 장치와 연관시킨 다음 사용자와 연관시켜야 했습니다(긴 리스 타임을 설정했고 장치를 공유하지 않은 경우).

차세대 방화벽을 통한 응용 프로그램 인식

이러한 난점을 수용하기 위해 업계에서는 차세대 방화벽(NGFW)을 도입했습니다. 이 방화벽은 오래 군림했으며 일부 경우에는 아직도 업계 표준으로, 기업 측 보안 장치로 사용됩니다. 여기서는 이전 세대의 모든 기능을 채택하면서 관리자가 보안 구역을 통과하는 내용에 대한 통제권을 더 많이 확보할 수 있도록 응용 프로그램 인식을 추가했습니다. NGFW는 벤더 제공 또는 외부 제공 응용 프로그램 지능의 개념, 트래픽 특성으로부터 개별 응용 프로그램을 식별할 수 있는 능력을 도입했습니다. 그런 다음 지능이 사용자가 어떤 응용프로그램으로 할 수 있는 것과 할 수 없는 것을 정의하는 정책으로 연결되었습니다.

더 많은 응용 프로그램이 클라우드로 이동함에 따라 NGFW 벤더들은 제품의 가상화된 버전을 제공하기 시작했습니다. 이렇게 해서 관리자들이 더 이상 다음 하드웨어 버전의 리드 타임에 대해 걱정할 필요가 없게 되었고 여러 위치에 배치할 때 더 많은 유연성을 확보하게 되었습니다.

지난 수년 간 위협 지형이 계속 진화되고 네트워크가 더욱 복잡해짐에 따라 NGFW는 추가적인 보안 기능을 구축하기 시작했으며 이 중 일부는 여러 장치를 강화하는 데 기여했습니다. 벤더에 따라 여기에는 VPN 게이트웨이, IDS/IPS, 웹 응용 프로그램 방화벽, 봇 관리 및 DDoS 방어 등의 기능도 포함되었습니다. 하지만 이런 기능들에도 불구하고 NGFW는 단점이 있었습니다. 관리자들이 여전히 중복성 있는(최소한 주요/보조) 장치를 설계 및 구성하고 방화벽이 있는 위치를 선택하며 다른 위치에서 거기로 들어오는 역수송 트래픽에 성능 페널티를 부과하는 데 시간을 소비해야 했습니다. 그리고 아직 의사 ID를 적용하기 위한 정책을 만들 때 세심한 IP 주소 관리가 필요했습니다.

사용자 수준 컨트롤을 추가하여 Zero Trust를 향해 이동

방화벽 벤더들이 더욱 정교한 컨트롤을 추가하면서, 병행하여, 응용 프로그램과 사용자가 인터넷을 위한 “성채”를 떠남에 따라 유발된 보안 우려를 다루기 위해 네트워크 아키텍처의 패러다임 전환이 이루어졌습니다. Zero Trust 보안 은 누구도 네트워크 내부 또는 외부로부터 기본적으로 신뢰받지 못하며 네트워크 리소스에 액세스하려는 사람은 누구라도 검증을 거쳐야 함을 의미합니다. 방화벽은 ID 공급자(IdP)와 통합되고 사용자가 사용자 그룹에 근거한 정책을 만들도록 함으로써(“재무와 인사만 급여 시스템에 접근할 수 있습니다”) Zero Trust 원칙을 통합하기 시작했고 그에 따라 보다 미세한 통제가 가능해지고 IP에 의존하여 ID를 대략적으로 파악해야 할 필요성이 줄어들었습니다.

이러한 정책은 조직들이 네트워크를 잠그고 Zero Trust에 가까워지도록 하는 데 기여했지만, CIO에게는 아직 문제가 남아 있습니다. 다른 조직의 ID 공급자와 통합해야 할 경우 어떻게 될까요? 어떻게 하면 협력업체의 기업 리소스에 대한 접근 권한을 안전하게 부여할 수 있을까요? 그리고 이 새로운 컨트롤은 하드웨어 관리와 관련된 기본적인 문제를 해결하지 못하는데, 이 문제는 아직 존재하며 기업들이 위치를 추가 또는 삭제하거나 혼합 형태의 업무를 수용하는 등 비즈니스 변화를 겪으면서 더욱 복잡해지고 있습니다. CIO는 필요한 측면 중 일부만을 해결하는 솔루션을 테이프로 묶는 것처럼 하기보다는 미래의 기업망에 대해 작동하는 솔루션을 필요로 합니다.

차세대 네트워크를 위한 클라우드 네이티브 방화벽

Cloudflare는 네트워크 연결성과 Zero Trust 보안을 통합하여 고객들이 미래의 기업망을 구축하도록 돕습니다. Cloudflare One 플랫폼을 채택하는 고객은 하드웨어 방화벽을 버리고 클라우드 네이티브 접근법을 선택하여 이전 세대의 문제를 해결함으로써 IT 팀의 업무를 더 쉽게 만들어줄 수 있습니다.

유연한 온램프를 통한 모든 출발지 또는 목적지 연결

사용 사례별로 다른 장치를 관리하기보다는 네트워크를 경유하는 모든 트래픽(데이터 센터, 사무실, 클라우드 속성, 사용자 장치 등)이 단일한 글로벌 방화벽을 통해 흘러갈 수 있어야 합니다. Cloudflare One을 사용하면 네트워크 계층(GRE 또는 IPsec 터널), 응용 프로그램 터널, 직접 연결, BYOIP, 장치 클라이언트 등 유연한 온램프 방법을 활용하여 Cloudflare 네트워크에 연결할 수 있습니다. Cloudflare에 대한 연결은 우리의 전역 네트워크 전체에 대한 액세스를 의미하므로 물리적 또는 가상화된 하드웨어와 관련된 난점 중 많은 부분이 제거됩니다.

  • 용량 계획 불필요: 방화벽의 용량이 Cloudflare 전역 네트워크의 용량입니다(현재 >100Tbps이며 계속 증가하고 있음).
  • 위치 계획 불필요: Cloudflare의 Anycast 네트워크 아키텍처는 트래픽이 출발지에 가장 가까운 위치로 자동 연결되도록 합니다. 지역을 선택하거나 주요/백업 장치의 위치에 대해 걱정할 필요가 없습니다. 중복성과 대체 작동이 기본적으로 구성됩니다.
  • 유지보수 정지 시간 불필요: Cloudflare의 방화벽 기능 개선은 다른 제품들과 마찬가지로 글로벌 에지에서 연속적으로 배치됩니다.
  • DDoS 방어 내장: 방화벽을 괴롭히는 DoS 공격을 걱정할 필요가 없습니다. Cloudflare 네트워크는 출발지에 가까운 곳에서 공격을 자동으로 차단하고 깨끗한 트래픽만 목적지로 보냅니다.

패킷 필터링에서 Zero Trust까지 포괄적인 정책 구성

Cloudflare One 정책은 모든 트래픽 램프에서 조직의 트래픽을 안전하게 하고 경로를 설정하는 데 사용할 수 있습니다. 이러한 정책은 기존 NGFW를 통해 가능한 것과 동일한 속성을 사용하여 만들거나 Zero Trust 속성도 포함하도록 확장될 수 있습니다. 이러한 Zero Trust 속성은 하나 이상의 IdP나 엔드 포인트 보안 공자를 포함할 수 있습니다.

OSI 모델의 3~5계층을 엄격히 살펴보면 정책은 무상태유상태 방식으로 IP, 포트, 프로토콜, 기타 속성에 근거할 수 있습니다. 또한, 이러한 속성은 ID 속성 및 Cloudflare 장치 클라이언트와 결합하여 사용될 경우 Cloudflare에 귀사의 사설망을 구축하는 데도 사용할 수 있습니다.

또한, Cloudflare는 IP 허용/차단 목록 관리의 부담을 덜어주기 위해 무상태 및 유상태 정책 모두에 적용할 수 있는 관리 목록 세트를 제공합니다. 보다 복잡한 종단에서는 심층 패킷 검사를 수행하고 프로그래머블 패킷 필터를 작성하여 포지티브 보안 모델을 시행하고 대부분의 공격을 좌절시킬 수 있습니다.

Cloudflare의 지능은 당사의 계층 7 정책에 대한 응용 프로그램 및 콘텐츠 범주를 구동하는 데 기여하며 이러한 정책을 사용하여 보안 위협으로부터 사용자를 보호하고 데이터 유출을 방지하며 기업 리소스의 사용을 감사할 수 있습니다. 이는 우리의 보호된 DNS 서버로 시작되는데, 이것은 우리의 성능 선도적인 컨슈머 1.1.1.1 서비스를 바탕으로 구축됩니다. 관리자는 보호된 DNS를 사용하여 사용자들이 알려져 있거나 잠재적인 보안 위험을 탐색하거나 리졸빙하지 못하게 할 수 있습니. 도메인이 리졸빙되면 관리자가 HTTP 정책을 적용하여 사용자 트래픽을 가로채고 검사하고 필터링할 수 있습니다. 그리고 이러한 웹 응용 프로그램이 자체 호스팅되거나 SaaS 활성화된 경우 웹 기반 ID 프록시 역할을 하는 Cloudflare 액세스 정책을 사용하여 이들을 보호할 수도 있습니다.

마지막으로, 관리자들은 데이터 유출을 방지하기 위해 원격 브라우저 격리를 활용하여 외부 HTTP 응용 프로그램에 대한 액세스를 잠글 수 있습니다. 그리고 조만간 관리자들은 사용자가 SSH 세션을 통해 실행할 수 있는 명령을 로깅하고 필터링할 수 있게 됩니다.

정책 관리 간소화: 원클릭으로 모든 곳에 규칙 전파

기존의 방화벽은 각각의 장치에서 정책을 배포하거나 이 절차에 도움이 되는 통합 도구를 구성하고 관리해야 했습니다. 이와 달리, Cloudflare는 간단한 대시보드나 API로부터 네트워크 전체의 정책을 관리하거나 Terraform을 사용하여 인프라를 코드로 배치할 수 있도록 합니다. 우리의 Quicksilver 기술 덕분에 몇 초만에 에지로 변경 사항이 전파됩니다. 사용자는 로그를 통해 방화벽을 통과하는 트래픽에 대한 가시성을 얻을 수 있으며, 이제 로그를 구성할 수 있습니다.

여러 방화벽 사용 사례를 하나의 플랫폼에 통합

방화벽은 나쁜 착신 트래픽을 차단하고, 발신 연결을 필터링하여 직원과 응용 프로그램이 안전한 리소스에만 액세스하도록 보장하고, 내부(“이스트/웨스트”) 트래픽 흐름을 검사하여 Zero Trust를 시행하는 등 다양한 보안 필요를 충족하기 위해 무수한 트래픽 흐름을 다뤄야 합니다. 다양한 하드웨어는 흔히 다양한 위치의 하나 또는 복수의 사용 사례를 커버합니다. 당사에서는 이들을 최대한 통합하여 사용 편의성을 개선하고 방화벽 정책의 단일한 신뢰원을 만드는 것이 의미가 있다고 생각합니다. 하드웨어 방화벽으로 충족되었던 몇 가지 사용 사례를 살펴보고 IT 팀이 Cloudflare One을 사용해 어떻게 이들을 충족시킬 수 있는지 설명하겠습니다.

지사 보호

기존에 IT 팀은 사무실 위치당 하나 이상의 하드웨어 방화벽을 제공해야 했습니다(중복성 필요 시 여러 개). 여기에는 해당 지사의 트래픽 양을 예측하고 장치를 주문, 설치, 유지하는 작업이 수반됩니다. 이제, 고객들은 이미 보유 중인 하드웨어와 관계없이 지사 트래픽을 Cloudflare에 연결하고(GRE 또는 IPsec을 지원하는 표준 라우터면 모두 작동합니다) Cloudflare 대시보드에서 모든 트래픽에 대한 필터링 정책을 관리할 수 있습니다.

1단계: GRE 또는 IPsec 터널 구축

대부분의 메인스트림 하드웨어 제공자는 터널링 방식으로 GRE 및/또는 IPsec을 지원합니다. Cloudflare는 우리 쪽의 터널 엔드 포인트로 사용할 Anycast IP 주소를 제공하며 추가적인 단계 없이 표준 GRE 또는 IPsec 터널을 구성할 수 있습니다(이 Anycast IP는 모든 Cloudflare 데이터 센터에 대한 자동 연결을 제공합니다).

2단계: 네트워크 계층 방화벽 규칙 구성

모든 IP 트래픽은 패킷 특성(예를 들면, 출발지 또는 목적지 IP, 포트, 프로토콜, 국가, 비트 필드 매치)에 근거해 정책을 구성할 수 있는 능력을 포함하는 Magic Firewall을 통해 필터링할 수 있습니다. Magic Firewall은 IP 목록과도 통합되며 프로그래머블 패킷 필터링 등 고급 기능도 포함합니다.

3단계: 응용 프로그램 수준 방화벽 규칙을 위한 트래픽 업그레이드

TCP와 UDP 트래픽은 Magic Firewall을 통과한 후에는 Cloudflare Gateway를 통한 미세 필터링을 위해 “업그레이드”될 수 있습니다. 이 업그레이드는 응용 프로그램 및 컨텐츠 인식, ID 집행, SSH/HTTP 프록싱, DLP를 포함한 완전한 필터링 기능 세트를 적용합니다.

Before: deploying hardware firewalls at every branch; managing different models and sometimes different vendors. After: traffic connected to global Anycast network; firewall policies deployed in one place propagate globally

고 트래픽 데이터 센터 또는 VPC 보호

고 트래픽 본사나 데이터 센터 위치에서 데이터를 처리하는 데 사용되는 방화벽은 IT 팀 예산에서 최대 자본 지출 가운데 일부를 차지할 수 있습니다. 기존에는 데이터 센터가 고용량을 매끄럽게 처리할 수 있는 비대한 장치로 보호되었으며 이는 비용 증가를 초래합니다. Cloudflare 아키텍처를 사용하면 네트워크의 모든 서버가 고객 트래픽 처리 부담을 공유할 수 있으므로 어떤 한 장치가 병목 현상을 초래하거나 값비싼 전문 구성 요소가 필요하지 않습니다. 고객들은 표준 터널 메커니즘인 BYOIP나 Cloudflare Network Interconnect를 통해 트래픽을 Cloudflare로 진입시키고 방화벽 규칙을 통해 초당 수 테라비트에 이르는 트래픽을 매끄럽게 처리할 수 있습니다.

Before: traffic through the data center needed to flow through expensive appliance(s) that could keep up with volume. After: traffic balanced across thousands of commodity servers; malicious traffic blocked close to its source

이동 또는 혼성 인력의 보호

기존 네트워크 아키텍처 사용자들은 기업 리소스에 연결하거나 인터넷 보안 액세스를 확보하기 위해 자신의 장치에서 방화벽이 있는 중앙 위치까지 VPN 연결을 설정합니다. 거기서 트래픽이 처리된 다음 최종 목적지에 도달하도록 허용됩니다. 이 아키텍처는 성능 페널티를 유발하며 최신 방화벽은 사용자 수준 컨트롤을 가능하게 하지만, 반드시 Zero Trust를 달성하는 것은 아닙니다. Cloudflare는 고객들이 장치 클라이언트를 Zero Trust 정책의 진입 수단으로 사용할 수 있도록 합니다. 이번 주 말 클라이언트를 대규모로 매끄럽게 배치하는 방법에 관한 업데이트를 기대해주세요.

Before: user traffic backhauled to firewall device over VPN; after: policy enforced at the edge location closest to the user.

다음 단계

이 플랫폼을 계속 발전시켜 새로운 사용 사례들에 적용할 것으로 기대됩니다. 우리는 Cloudflare One을 통해 NAT 게이트웨이 기능을 확장하는 데 관심이 있거나 우리의 방화벽 기능에서 더 풍부한 분석, 보고, 사용자 경험 모니터링을 원하거나 Cloudflare 네트워크를 통과하는 자사의 모든 트래픽에 대해 완전한 DLP 기능 세트를 채택하려는 고객들로부터 많은 의견을 청취하고 있습니다. 이러한 분야 등에 관한 업데이트가 조만간 있을 예정입니다(계속 관심을 가져주세요).

현재 Cloudflare의 새로운 방화벽 기능은 Enterprise 고객들이 사용할 수 있습니다. 자세한 내용을 여기서 알아보고 Oahu 프로그램을 통해 하드웨어 방화벽에서 Zero Trust로 이동하는 방법을 확인하거나 귀사의 계정 팀에 연락하여 지금 바로 시작하세요.