Subscribe to receive notifications of new posts:

Zone Holds로 도메인 보호

04/06/2023

7 min read

오늘 기업 고객을 위한 새로운 기능인 Zone Holds를 발표합니다. 이 기능을 사용하여 다른 사람이 동일한 영역을 다른 Cloudflare 계정에 추가할 수 있는지 여부와 시기를 제어할 수 있습니다. 회사 내 여러 팀에서 Cloudflare를 사용하려는 경우 한 팀에서 실수로 다른 팀의 영역을 침범하여 두 개의 계정에서 동일한 영역을 관리하려고 할 수 있습니다. Zone Holds는 영역의 계정 소유자가 명시적으로 권한을 부여하지 않는 한 하위 도메인이나 사용자 지정 호스트 네임을 선택적으로 포함하여 하나의 계정에만 특정 도메인을 포함시킬 수 있도록 하여 이러한 일이 발생하는 것을 방지합니다.

오늘 잘못될 수 있는 일

Cloudflare에서는 이미 전역 네트워크를 통해 트래픽을 프록시하기 전에 DNS를 통해 영역을 인증하도록 요구하고 있습니다. 이렇게 하면 도메인 소유자만 Cloudflare를 통해 전송 및 제어할 트래픽을 승인할 수 있습니다. 그러나 저희 고객 중 많은 수가 웹 자산을 보호하고 가속화하려는 여러 팀을 보유한 대규모 조직입니다. 이러한 경우, 한 팀에서 특정 도메인이 이미 Cloudflare로 보호되고 있다는 사실을 인지하지 못할 수 있습니다. Cloudflare에서 해당 팀이 동일한 도메인의 두 번째 인스턴스를 활성화하면 다른 팀에서 이미 관리하고 있던 원래 영역을 Cloudflare로 대체하게 됩니다. 이로 인해 원래 영역이 다시 활성화될 때까지 다운타임이나 보안 문제가 발생할 수 있습니다. 이 두 팀이 서로에 대해서 알고 소통하기만 했다면 대부분의 경우 하위 도메인, 사용자 정의 호스트 네임 등 여러 옵션 중 하나를 통해 문제를 피할 수 있었을 것입니다. 이러한 팀에서 이러한 실수를 저지르기 전에 잠재적인 위험을 인식하도록 하려면 어떻게 해야 할까요?

Zone Holds로 고객을 보호하는 방법

Zone Holds를 사용하면 보류 중인 도메인을 추가하려고 시도할 경우 도메인 소유자에게 먼저 문의해야 한다는 오류 메시지가 반환됩니다. Zone Holds는 모든 엔터프라이즈 영역에 대해 기본적으로 사용 설정되어 있습니다. 보류는 Zone Overview 화면에서 관리할 수 있습니다. 선택적으로, 보류를 확장하여 하위 도메인과 사용자 정의 호스트 네임에 적용할 수 있습니다. 보류를 비활성화할 때 설정한 시간 후에 보류가 다시 활성화되도록 설정할 수 있습니다. 이렇게 하면 실수로 보류를 영구 비활성화 상태로 두는 일이 발생하지 않습니다. Zone Holds가 고객을 어떻게 지원하는지 이해를 돕기 위해 예를 들어 보겠습니다.

하위 도메인 보호를 포함하지 않는 활성 영역 보류

예시 기업 - Zone Holds 이전

예시 기업은 대규모 Cloudflare 고객입니다. 구체적으로, 이 기업의 인프라 팀에서는 Cloudflare를 사용하여 example.com의 모든 트래픽을 보호합니다. 여기에는 마케팅 사이트(www.example.com)와 고객 대면 API(api.example.com)가 포함됩니다. Cloudflare에 온보딩할 때 이 기업에서는 모든 DNS를 관리하는 IT 부서에서 등록 기관에 DNS 레코드를 설정하여 example.com의 모든 트래픽이 Cloudflare를 통해 라우팅되도록 했습니다.

1년 후, 이 기업의 마케팅 부서에서 www.example.com 트래픽을 위해 Cloudflare의 봇 관리 솔루션을 도입하려고 합니다. 마케팅 부서에서는 example.com을 등록하고 자체 IT 부서에 연락하여 등록 기관에 제공된 NS 레코드를 설정합니다. IT 부서에서는 Cloudflare를 이미 사용하고 있다는 사실을 알지 못하므로 인프라팀에서 관리하는 기존 영역에 영향을 미칠 수 있다는 사실을 파악하지 못합니다. 새 영역이 활성화되고 www.example.com 뿐만 아니라 API.example.com에 대한 트래픽도 영향을 받으므로 사고가 발생합니다. Zone Holds를 사용했다면 이 사고는 피할 수 있었을 것입니다. 그 방법을 살펴보겠습니다.

예시 기업 - 이제 Zone Holds 사용

예시 기업에서는 Cloudflare에 가입하고 계정에 example.com을 ENT 영역으로 추가합니다. 도메인에 자동으로 Zone Holds가 활성화되어 다른 Cloudflare 계정이 example.com을 추가할 수 없게 됩니다. 또한 example.com 도메인 아래의 모든 하위 도메인 또는 사용자 정의 호스트 네임에 대한 보류가 활성화됩니다.

나중에 ACME의 마케팅 부서에서 www.example.com에 대하여 Cloudflare를 사용하려고 합니다. 해당 도메인을 Cloudflare에 추가하려고 하면 도메인 소유자에게 문의해야 한다는 오류 메시지가 표시됩니다.

ACME의 마케팅 부서에서는 내부적으로 인프라 팀이 이 도메인을 관리하고 있으며 이 영역을 활성화하면 사고가 발생할 수 있다는 사실을 알게 됩니다! 대신, 두 팀에서 모두 마케팅팀에서 마케팅 사이트를 제어할 수 있도록 www.example.com 하위 도메인을 추가해야 한다고 결정합니다. 인프라팀에서는 acme.com의 하위 도메인 보류를 해제하고 마케팅팀에서는 www.example.com 을 자체 계정에 추가합니다.

설정하고 활성화하고 나면 이제 봇 관리를 활용하여 마케팅 사이트를 보호하고 예상치 못한 영향이 발생하지 않도록 할 수 있습니다.

Zone Holds 시작하기

이제 모든 엔터프라이즈 영역에서 Zone Holds를 사용할 수 있으며 도메인 수준에서 기본적으로 사용하도록 설정됩니다. 모든 엔터프라이즈 영역의 Zone Overview 화면에서 Zone Holds를 관리할 수 있습니다. 선택적으로, 보류를 확장하여 하위 도메인과 사용자 정의 호스트 네임에 적용할 수 있습니다. 보류를 비활성화할 때 설정한 시간 후에 보류가 다시 활성화되도록 설정할 수 있습니다. 이렇게 하면 실수로 보류를 영구 비활성화 상태로 두는 일이 발생하지 않습니다.

We protect entire corporate networks, help customers build Internet-scale applications efficiently, accelerate any website or Internet application, ward off DDoS attacks, keep hackers at bay, and can help you on your journey to Zero Trust.

Visit 1.1.1.1 from any device to get started with our free app that makes your Internet faster and safer.

To learn more about our mission to help build a better Internet, start here. If you're looking for a new career direction, check out our open positions.
Dashboard (KO)Product News (KO)한국어

Follow on X

Cloudflare|@cloudflare

Related posts