Cloudflare One을 통해 고객은 모든 소스 또는 대상을 연결하고 단일 제어창에서 라우팅, 보안 및 성능 정책을 구성함으로써 더 빠르고 안전한 인터넷에서 기업 네트워크를 구축할 수 있습니다. 오늘 또 다른 퍼즐 조각을 발표하여 기존 네트워크 아키텍처에서 Zero Trust로의 여정에 있는 조직을 돕게 되어 기쁩니다. 여기에는 Magic IP 계층 터널(Anycast GRE, IPsec, 또는 CNI)에 연결된 모든 네트워크에 설치된 경량 로밍 에이전트(WARP)를 갖춘 사용자 장치의 트래픽을 라우팅하는 기능이 포함됩니다. 거기에서 사용자는 시간이 지나 Zero Trust로 업그레이드할 수 있으며, 이는 기존의 성과 해자에서 차세대 아키텍처로 향하는 경로를 제공합니다.
기업 네트워크의 미래
당사가 이야기하는 고객은 10년에서 20년의 지연과 함께 당사가 본 스토리지 및 컴퓨팅의 전환을 반영하는 기업 네트워크용 아키텍처의 뚜렷한 단계 세 가지를 설명합니다. 기존 네트워크("1세대")는 데이터 센터 또는 본사의 벽 안에 존재했으며, 비즈니스 응용 프로그램은 회사 소유 서버에서 호스팅되고 액세스는 주변 보안 장비를 통해 사설 LAN 또는 WAN으로 부여되었습니다. 응용 프로그램이 클라우드로 전환하고 사용자가 사무실을 떠남에 따라 회사에서는 점점 더 단편화되고 인터넷에 의존하는 트래픽을 처리하기 위해 SD-WAN과 가상화된 장비와 같은 "2세대" 기술을 채택했습니다. 이제 남은 것은 오래된 기술과 새로운 기술의 불만스러운 패치워크, 가시성과 보안의 격차, 과로한 IT 및 네트워킹 팀의 골칫거리뿐입니다.
더 나은 미래를 내다볼 수 있다고 생각합니다. Gartner가 SASE라고 설명하는 아키텍처에서는 보안 및 네트워크 기능이 물리적 또는 가상 장비에서 진정한 클라우드 네이티브 서비스로 전환하며, 이는 사용자와 응용 프로그램이 세계 어디에 있든 불과 1000분의 1초 거리에서 제공됩니다. 이 새로운 패러다임은 훨씬 더 안전하고 성능이 뛰어나고 안정적인 네트워크를 의미하며, 사용자에게 더 나은 경험을 제공하고 총 소유 비용을 절감합니다. IT를 바라보는 관점은 비즈니스 변화에 대한 코스트 센터이자 병목 지역이라는 관점에서 혁신과 효율의 원동력이라는 관점으로 전환할 것입니다.
1세대: 성과 해자, 2세대: 가상화된 기능, 3세대: Zero Trust Network
하지만 혁신적인 변화는 하루아침에 일어날 수 없습니다. 많은 조직, 특히 레거시 아키텍처에서 전환하는 조직의 경우 3세대를 완전히 수용하는 데 몇 달 또는 몇 년이 걸릴 것입니다. 좋은 소식은 Cloudflare가 현재 네트워크 아키텍처에서 Zero Trust까지의 여정 중 어느 위치에 있든 하나의 다리를 제공하기 위해 여기에 있다는 것입니다.
어떻게 그곳에 도달하나요?
Cloudflare One은 결합된 Zero Trust 서비스형 네트워크 플랫폼으로, 이를 통해 고객은 필요에 따라 다양한 "온램프(on-ramps)"를 사용하여 모든 트래픽 소스 또는 대상에서 전역 네트워크에 연결할 수 있습니다. 개별 장치를 연결하기 위해 사용자는 WARP 클라이언트를 설치할 수 있으며, 이는 전 세계 사용자가 어디에 있든 가장 가까운 Cloudflare 위치로 트래픽을 터널링하는 포워드 프록시 역할을 합니다. Cloudflare 터널을 사용하면 경량 데몬을 설치하여 원본 서버와 Cloudflare 간에 안전한 아웃바운드 전용 연결을 구축할 수 있습니다.
작년에는 WARP 등록 장치에서 Cloudflare 터널에 연결된 응용 프로그램으로 개인 트래픽을 라우팅하여 모든 TCP 또는 UDP 응용 프로그램에 대한 개인 네트워크 액세스를 활성화하는 기능을 발표했습니다. 이것은 Zero Trust 네트워크 액세스에 권장되는 모범 사례 아키텍처이지만, 레거시 아키텍처를 사용하는 고객에게서 더욱 점진적인 전환을 활성화하는 옵션을 원한다는 의견을 들었습니다.
네트워크 수준(OSI 계층 3) 연결을 위해서는 Cloudflare 트위스트와 함께 표준 기반 GRE 또는 IPsec 옵션을 제공합니다. 이러한 터널은 Anycast인데, 이는 네트워크에서 하나의 터널이 250개 이상의 도시에 있는 Cloudflare의 전체 네트워크에 자동으로 연결되어 중복성을 제공하고 네트워크 관리를 단순화함을 의미합니다. 고객은 또한 Cloudflare Network Interconnect를 활용하는 옵션이 있고, 이를 통해 전 세계 1,600곳 이상의 위치에서 물리적 또는 가상 연결을 통해 Cloudflare 네트워크에 직접 연결할 수 있습니다. 이러한 계층 1~3 온램프를 통해 모든 IP 트래픽을 더 빠르고 탄력 있는 상태로 자동 설정하는 친숙한 기술을 사용하여 공용 및 사설 네트워크를 Cloudflare에 연결할 수 있습니다.
이제 WARP 등록 장치의 트래픽은 IP 계층 온램프와 연결된 모든 네트워크를 통해 자동 라우팅할 수 있습니다. Cloudflare One을 위한 이 추가 "배관 작업"을 통해 사용자가 기존 네트워크 인프라를 연결해야 하는 유연성을 높이고, 조직은 시간이 지남에 따라 응용 프로그램 수준 연결로 기존 VPN 아키텍처에서 Zero Trust로 전환할 수 있습니다.
어떻게 작동하나요?
사용자는 가장 가까운 Cloudflare 위치로 트래픽을 프록시하기 위해 모든 장치에 WARP 클라이언트를 설치할 수 있습니다. 거기에서, 장치가 Zero Trust와 사설 라우팅이 활성화된 Cloudflare 계정에 등록된 경우, 해당 트래픽은 계정의 격리된 전용 네트워크 "네임스페이스"로 전달되며, 이는 단일 고객 전용 Linux 네트워킹 스택의 논리적 사본입니다. 이 네임스페이스는 모든 Cloudflare 데이터 센터의 모든 서버에 존재하며 고객의 연결된 네트워크를 위한 모든 라우팅과 터널 구성을 갖추고 있습니다.
트래픽이 고객 네임스페이스에 도달하면 구성된 GRE, IPsec 또는 CNI 터널을 통해 대상 네트워크로 라우팅됩니다. 고객은 라우팅 우선순위를 설정하여 여러 터널을 통해 트래픽 부하를 분산하고 각 Cloudflare 위치에서 가장 정상적인 트래픽 경로를 통해 자동으로 장애를 극복할 수 있습니다.
반환 경로에서는 고객 네트워크에서 Cloudflare로의 트래픽이 Anycast를 통해 가장 가까운 Cloudflare 위치로 라우팅되지만, 이 위치는 WARP 세션의 위치와 다르므로 이 반환 트래픽은 WARP 세션이 활성화된 서버로 전달됩니다. 이를 위해 네트워크의 모든 서버의 데이터 공유를 허용하는 Hermes라는 새로운 내부 서비스를 활용합니다. Quicksilver 서비스가 핵심 인프라의 키-값 데이터를 네트워크 전체에 전파하는 것처럼, Hermes를 사용하면 서버가 다른 서버에서 읽을 수 있는 데이터를 기록할 수 있습니다. WARP 세션이 설정될 때 해당 위치가 Hermes에 기록됩니다. 그리고 반환 트래픽이 수신될 때 Hermes에서 WARP 세션의 위치를 읽어 트래픽을 적절하게 터널링합니다.
다음은?
이 온램프 방식은 오늘부터 모든 Cloudflare One 고객이 사용할 수 있습니다. 계정 팀에 문의하여 설정하세요! 연결된 네트워크 트래픽 위에 추가 보안 정책을 계층화하고 조직이 Zero Trust 연결로 마이그레이션할 응용 프로그램의 우선순위를 설정하는 데 도움이 되는 서비스 탐색을 제공하는 등 고객이 Zero Trust로 훨씬 더 쉽게 전환할 수 있도록 더 많은 기능을 추가하게 되어 기쁩니다.