기업 네트워크를 안전하게 운영하는 것은 정말 어렵습니다. 직원들은 세계 각국에서 재택근무를 하고 있습니다. 애플리케이션은 데이터 센터에서 실행되고 퍼블릭 클라우드에서 호스팅되며 서비스로 제공됩니다. 지속적이고 의욕이 넘치는 공격자는 취약점을 모조리 악용하고 있습니다.
기업은 성과 해자 형식의 네트워크를 구축했습니다. 성벽과 해자는 공격자를 차단하고 데이터를 내부에 유지합니다. 팀원들은 도개교를 통해 들어와 내부에서 머무르곤 했습니다. 성 내부에 있는 사람들은 올바르게 행동한다고 믿었고, 필요한 게 있으면 상대적으로 평온한 보안 네트워크 경계에서 배포했습니다.
인터넷, SaaS, "클라우드"로 인해 이 계획은 바뀌어 버렸습니다. 오늘날, 현대적인 기업의 워크로드는 성 _내부_보다 _외부_에서 실행되는 경우가 더 많습니다. 그렇다면 기업이 더 복잡하면서 비효율적인 해자를 구축하는 데 계속 비용을 들일 필요가 있을까요?
오늘 기업 보안과 네트워킹이라는 어려운 과제를 해결하려는 Cloudflare의 비전, _Cloudflare One™_을 소개하게 되어 기쁩니다.
Cloudflare One에는 직원이 어디에 있든 최상의 작업을 수행할 수 있는 네트워킹 제품과 전역적으로 배포된 일관적인 보안 제어가 결합되어 있습니다.
오늘부터, 보안 장비에 대한 트래픽 백홀을 Cloudflare WARP 및 Gateway로 교체하여 아웃바운드 인터넷 트래픽을 필터링하실 수 있습니다. 사무실 네트워크에 기존의 방화벽 어플라이언스가 필요하지 않도록 Magic Firewall을 포함한 Magic Transit에 차세대 방화벽 기능을 도입할 계획입니다.
Cloudflare를 통한 여러 인터넷 진입로와 백홀 트래픽 제거를 통해, MPLS 및 SD-WAN 모델보다 간단하고 비용 효율적인 방식으로 라우팅을 관리할 계획입니다. Cloudflare Magic WAN은 Cloudflare의 네트워크를 통해 트래픽이 어떻게 라우팅되는지 나타낼 제어창을 제공할 예정입니다.
지금 Cloudflare One을 사용하여 교체할 수 있는 또 다른 VPN 기능은, 사용자를 사설 네트워크에 배치하여 액세스를 제어하는 기능입니다. Cloudflare Access는 사설 네트워크 보안 모델을 대체할 Zero Trust 제어를 제공합니다. 이번 주 후반에는 SaaS 애플리케이션을 포함한 모든 애플리케이션으로 Access 적용 범위를 확장할 수 있는 방법을 발표할 예정입니다 . 이러한 애플리케이션과 연결되는 엔드포인트를 맬웨어로부터 안전하게 유지해주는 브라우저 격리 기술까지 미리 살펴볼 예정입니다.
마지막으로 Cloudflare One 제품은 팀이 문제를 이해하고 해결할 수 있도록 로그와 도구를 제공하는 데 중점을 둡니다. 이번 주 출시하는 Gateway 필터링의 일환으로 조직에서 전송되는 트래픽에 가시성을 제공하는 로그가 포함됩니다. 이번 주 후반에는 침입 시도를 감지하고 차단하는 새로운 침입 감지 시스템을 통해 이러한 로그가 어떻게 더욱 스마트해지는지 공유하려고 합니다.
대부분의 구성 요소는 오늘부터 사용할 수 있고 새로운 일부 기능은 이번 주에 제공되며 기타 기능은 곧 출시될 예정입니다. 이 모든 기능과 함께, 비전과 기업 네트워크의 미래를 공유하게 되어 기쁩니다.
기업 네트워킹 및 보안 문제
기업 네트워크에 대한 요구 사항이 놀라울 정도로 바뀌고 있습니다. IT는 백오피스 직능에서 업무 수행에 필수적인 직능이 되었습니다. 네트워크 통합은 점점 진행되는데, 사용자는 재택 근무를 위해 사무실에서 집으로 흩어지고 있습니다. 이제 애플리케이션은 데이터 센터를 떠나 여러 클라우드에서 실행되거나 인터넷을 통해 공급업체가 직접 제공하게 되었습니다.
급격하게 변화하는 직접 네트워크 경로
직원은 사무실 내부에서 사설 네트워크를 통해 인근 데이터 센터에서 실행되는 애플리케이션에 연결할 수 있었습니다. 팀원이 사무실을 나가더라도 VPN을 사용하여 벽 외부에서 몰래 네트워크로 돌아갈 수 있었습니다. 지사에서는 값비싼 MPLS 링크를 통해 같은 네트워크에 접속했습니다.
애플리케이션이 데이터 센터에서 벗어나고, 사용자도 사무실을 떠나게 되었을 때 조직은 분산된 환경에서도 똑같은 성과 해자 모델을 적용해 대응하려 했습니다. 회사에서는 VPN 라이선스를 더 많이 구입했고 MPLS 링크를 복잡한 SD-WAN 배포로 교체했습니다. 이전 네트워킹 모델을 따라하려 할수록 네트워크는 더 복잡해졌습니다. 실제로는 인터넷이 새로운 기업 네트워크가 되고 있었던 것입니다.
분산된 심층 방어
기업 네트워크를 손상시키려는 공격자는 마음대로 사용할 수 있는 다양한 도구를 갖추고 있으며, 정확한 맬웨어 공격을 실행하거나 네트워크에 방대한 볼류메트릭을 투입할 수도 있고, 그 중간에 속하는 다양한 공격을 수행할 수도 있습니다. 기존에는 데이터 센터에서 실행되는 별도의 특수 하드웨어가 각 공격 계층을 방어했습니다.
모든 사용자와 모든 애플리케이션이 같은 곳에 있었을 때는 비교적 보안 제어가 쉬웠습니다. 직원이 사무실을 떠나고 워크로드가 데이터 센터에서 벗어나자 같은 보안 제어를 적용하기가 어려워졌습니다. 여러 회사에서는 짜깁기한 포인트 솔루션을 배포하여, 하이브리드 환경과 동적 환경 전체의 최상위 부분에 방화벽 어플라이언스를 다시 구축하려 했습니다.
수준 높은 가시성에 필요한 엄청난 노력
짜깁기 보안 모델로 전환한 회사는 심층 방어를 누릴 수 없었고, 네트워크와 애플리케이션에서 무슨 일이 일어나고 있는지 확인할 가시성까지도 잃게 되었습니다. 고객들은 로그 캡처와 표준화가 큰 장애물이 되었다고 얘기합니다. 고객들은 데이터 수집, 분석, 저장, 분석 도구를 비싸게 구입했습니다.
기업은 현재 여러 가지 포인트 솔루션을 사용하고 있으며, 로그 캡처 및 표준화가 가장 큰 장애물 중 하나입니다. 규제가 강화되고 규제 준수 압력이 높아지면서 데이터 보존 및 분석도 더 강조되고 있습니다. 분산된 보안 솔루션으로 인해 데이터를 관리하기가 끔찍하게 힘들어졌습니다.
최선의 추측으로 이루어지는 문제 해결
새로운 네트워킹 모델을 확인할 가시성이 없었던 보안 팀은 문제가 생길 수 있는 부분을 추측해야만 했습니다. "침해 가정" 모델을 채택하려던 조직은 발생할 수 있는 침해의 종류를 판단하기가 어려워, 모든 솔루션을 문제에 적용했습니다.
가상 어플라이언스로 제공되는 새 스캐닝 및 필터링 서비스를 구매하는 기업과 대화해보면, 기업에서는 문제가 무엇인지 확신하지 못하고 있습니다. 이러한 팀은 가시성이 부족하기 때문에 특정 이벤트를 겨냥해 보안 모델을 조정하는 대신 가능성 있는 모든 이벤트를 직접 수정해봐야 합니다.
Cloudflare One은 어떻게 조화를 이룰까요?
Cloudflare는 지난 몇 년간 Cloudflare One의 요소를 구성해 왔습니다. 이러한 문제를 해결할 개별 제품을 한 번에 하나씩 출시했습니다. Cloudflare One로는 이 모두가 어떤 조화를 이루는지, 그 비전을 공유하게 되어 기쁩니다.
유연한 데이터창
Cloudflare는 역방향 프록시로 시작했습니다. 고객은 인터넷에 연결된 자산을 Cloudflare의 네트워크에 배치하고 대상 그룹은 Cloudflare의 네트워크를 통해 특정한 목적지에 연결됩니다. Cloudflare One은 수 년간 출시된 기능이 모여, "역방향"이나 "정방향"으로 흐르는 모든 유형의 트래픽을 네트워크로 처리할 수 있습니다.
2019년, Cloudflare는 Cloudflare WARP를 발표했습니다. 이 제품은 네트워크에 암호화된 연결을 적용해 인터넷 연결 트래픽을 비공개로 유지하면서 더 빠르고 안정적으로 연결하는 모바일 애플리케이션입니다. 현재 Cloudflare는 같은 기술을 기업 버전 패키지로 이번 주에 출시할 예정입니다. 이 제품으로 로밍 직원이 Cloudflare Gateway에 연결할 수 있습니다.
데이터 센터와 사무실에서도 같은 이점을 누릴 수 있어야 합니다. 작년, IP 계층 공격으로부터 네트워크를 보호하기 위해 Magic Transit을 출시했습니다. 처음에 Magic Transit은 온프레미스 네트워크에 동급 최고의 DDoS 완화를 제공하는 것이 목표였습니다. DDoS 공격은 네트워크 운영자에게 지속적으로 불편함을 초래하는데, Magic Transit은 성능을 저하시키지 않고도 공격을 효과적으로 완화합니다. 강력한 이 DDoS 완화는 이미 네트워크에 흐르고 있는 동일한 트래픽에 더 높은 수준의 보안 기능을 구축하여 적용할 수 있는 완벽한 플랫폼입니다.
올해 초 Cloudflare 네트워크 상호 연결(CNI)을 출시했을 때 이 모델을 확장했고, 고객은 지사 및 데이터 센터를 Cloudflare에 직접 상호 연결할 수 있게 되었습니다. Cloudflare One 기능의 일부로 동일한 연결에 아웃바운드 필터링을 적용할 예정입니다.
Cloudflare One은 팀이 인터넷을 기업 네트워크로서 이용하도록 도움을 줄 뿐만 아니라 인터넷보다 빠르게 이용하도록 돕습니다. Cloudflare 네트워크는 통신업체를 가리지 않으며 연결과 피어링이 탁월하고 전 세계에서 동일한 서비스를 제공합니다. Cloudflare는 각각의 연결 지점에 Argo Smart Routing 기술을 기반으로 더욱 스마트한 라우팅을 추가하고 있습니다. 이 기술은 실제 환경에서 대기 시간을 30% 이상 줄이는 것으로 나타났습니다. 함께 사용할 때 더 좋은 보안과 성능을 합쳤습니다.
하나의 통합 제어판
사용자가 지사 및 외부 장치에서 인터넷에 연결하는 경우, 이들은 주로 본사에 위치했던 방화벽 어플라이언스를 모두 우회합니다. 이에 발맞추려면 기업 네트워크에서 벗어나버린 트래픽을 보호할 방법이 필요합니다. Cloudflare One은 연결이 시작된 방법이나 네트워크 스택의 위치에 관계없이 모든 트래픽에 표준 보안 제어를 적용합니다.
Cloudflare Access는 Cloudflare의 네트워크에 ID를 도입하는 것으로 시작됩니다. 팀은 ID 및 컨텍스트에 따라 인바운드 및 아웃바운드 연결 모두를 필터링합니다. 서버나 사용자의 위치에 관계없이 Cloudflare의 네트워크를 통해 모든 로그인, 요청, 응답을 프록시합니다. Cloudflare의 네트워크 규모가 방대하고 위치가 분산되어 있어 성능을 저하시키지 않고도 기업 트래픽을 필터링하고 로그로 남길 수 있습니다.
Cloudflare Gateway는 나머지 인터넷 연결 부분을 안전하게 지켜줍니다. Gateway는 장치 및 네트워크에서 전송되는 트래픽을 검사하여 애플리케이션 계층 연결 내부에 숨어 있는 위협과 데이터 손실 이벤트를 확인합니다. 곧 출시될 Gateway로는 스택의 낮은 계층과 같은 수준의 제어를 전송 계층에 적용할 수 있게 됩니다.
네트워크에서 트래픽을 보내는 방식에도 같은 수준의 제어가 있어야 합니다. 사무실과 데이터 센터를 떠나는 모든 트래픽에 적용될 차세대 방화벽인 Magic Firewall을 기쁜 마음으로 발표합니다. Gateway와 Magic Firewall 제품을 사용하면 규칙을 한 번만 작성하여 모든 곳에서 실행하거나, 하나의 제어판에서 구체적인 사용 사례에 맞게 규칙을 조정할 수 있습니다.
물론 공격을 차단할 필터를 구축하기도 전에 시작하여 필터링할 수 없는 공격도 있습니다. Cloudflare의 격리 브라우저 기술인 Cloudflare 브라우저는 알려져있는 필터를 회피할 수 있는 위협을 강력하게 막아내는 창을 팀에 제공합니다. 이번 주 후반에는 Cloudflare 에지에서 인터넷을 탐색할 수 있는 베타 버전에 가입할 수 있게 고객을 초대합니다. 이를 이용하면 브라우저에서 코드가 나타나 엔드포인트에 감염을 퍼뜨릴 위험이 없습니다.
마지막으로, 네트워크를 보호하는 PKI 인프라는 최신 상태여야 하며 관리가 간편해야 합니다. 고객의 이야기에 따르면, 더 나은 보안 모델로 전환할 때 핵심 문제 중 하나는 인증서 관리였습니다. Cloudflare는 TLS 1.3과 같은 최신 암호화 표준을 거스르는 대신 함께 작동합니다. Cloudflare를 이용하면 클릭 한 번으로 인터넷 사이트에 암호화를 쉽게 추가할 수 있습니다. Cloudflare One에서 실행되는 네트워크 기능도 관리가 간단하도록 적용할 계획입니다.
한 곳에서 로그를 확인하고, 한 위치에서 모든 보안 분석을 수행
Cloudflare 네트워크는 평균적으로 초당 1,800만 건의 HTTP 요청을 처리합니다. Cloudflare는 세계에서 가장 큰 일부 인터넷 자산이 로그를 대규모로 캡처하고 분석할 수 있는 로그 파이프라인을 구축했습니다. Cloudflare One도 같은 기능을 기반으로 구축되었습니다.
Cloudflare Access 및 Gateway는 서버 측 코드 변경이나 고급 클라이언트 측 구성 없이 인바운드 또는 아웃바운드의 모든 요청을 포착합니다. 팀은 Cloudflare Logpush 서비스를 사용하여 선택한 SIEM 공급자로 로그를 내보낼 수 있습니다. 공개 사이트에 대규모 HTTP 요청 이벤트를 내보내는 것과 똑같은 파이프라인입니다. Magic Transit은 이 로깅 기능을 전체 네트워크와 사무실로 넓혀, 모든 위치의 가시성을 확보할 수 있습니다.
이벤트를 단순히 기록하는 기능 이상을 제공할 것입니다. 웹 사이트에서 오늘부터 이용 가능한 Cloudflare Web Analytics를 이용하면 로그를 인사이트로 바꿀 수 있습니다. 이러한 가시성이 네트워크 운영 방식에도 적용되도록 확장할 계획입니다. Cloudflare가 이질적인 네트워크 기능을 수행하는 "임시 방편"을 교체해 잘 결합되고 적응력이 있는 에지로 통합한 것처럼, 단편화되어 사용하기 어렵고 값비싼 보안 분석 생태계도 통합하려고 합니다. 곧 자세한 내용이 발표됩니다.
더 스마트하고 신속한 수정
데이터와 분석을 이용해 팀이 수정할 수 있는 이벤트를 파악할 수 있어야 합니다. 한 번의 클릭으로 수정되는 로그 시스템도 강력한 도구가 될 수 있지만, 수정 조치가 자동으로 수행되도록 만들고자 합니다.
이번 주 후반에 비공개 미리 보기로 출시되는 Cloudflare 침입 감지 시스템(IDS)은 네트워크에서 적극적으로 비정상적인 이벤트를 스캔하고 조치를 권장하며, 심지어는 사용자 대신 문제 해결 조치를 취할 것입니다. Cloudflare Access 및 Cloudflare Gateway에도 똑같이 적극적인 스캔 및 수정 접근 방식을 도입할 계획입니다.
전 세계적 규모의 Cloudflare 네트워크에서 네트워크를 운영하세요
2,500만 개 이상의 인터넷 자산이 Cloudflare의 네트워크로 대상 그룹에 연결됩니다. Fortune 1000대 기업 중 16%를 포함하여, 모든 웹 사이트의 10% 이상이 Cloudflare의 역방향 프록시를 거쳐 연결됩니다. Cloudflare는 전 세계 데이터 센터를 통해 서비스를 제공하여 거대한 인터넷 청크에서 트래픽을 가속화합니다.
Cloudflare One은 바로 이 데이터 센터에서 제공됩니다. 중요한 점은 Cloudflare가 운영하는 모든 데이터 센터에서는 Cloudflare Access, WARP, Magic Transit 또는 WAF, 어떤 제품이든 서비스 세트를 똑같이 제공한다는 점입니다. 예를 들어 고객의 직원이 Cloudflare WARP를 통해 당사의 한 데이터 센터에 연결하는 경우, 실제로는 필요한 사이트나 데이터에 연결하기 위해 Cloudflare의 네트워크나 데이터 센터를 벗어나지 않습니다. 결과적으로 전 세계 어디서나 인터넷을 매우 빠르게 사용할 수 있습니다.
Cloudflare 브라우저를 사용하면 Cloudflare의 에지에서 브라우징이 제공되므로 성능 이점이 더욱 커질 것으로 기대됩니다. Cloudflare의 데이터 센터에서 실행되는 격리 브라우저는 단 몇 센티미터만 떨어져 있는 콘텐츠를 요청할 수 있습니다. 심지어, Cloudflare Workers를 이용하는 웹 자산이 늘어나면 직원으로부터 100ms 이내에 있는 데이터 센터 내부에 전체 워크플로가 위치하게 될 수 있습니다.
다음은?
이러한 기능 대부분을 오늘부터 이용할 수 있으나, 앞으로 며칠 간 Cloudflare Zero Trust 주간을 맞아 몇 가지 새로운 기능을 공개할 예정입니다. 이번 주에는 매일 Cloudflare One 기능 세트에 새로운 부분을 추가하여 발표하니 기대해주세요.