CIO Week의 일환으로, Cloudflare는 DNS 필터링 솔루션과 파트너 테넌트 플랫폼 간에 새로운 통합을 발표할 예정입니다. 이 통합은 Cloudflare 파트너 생태계 및 직거래 고객의 상위-하위 정책 요구 사항을 지원합니다. Cloudflare의 테넌트 플랫폼은 2019년에 출시되었으며, Coudflare 파트너는 이 플랫폼으로 수백만 고객 계정에서 Cloudflare 솔루션을 쉽게 통합할 수 있습니다. Cloudflare Gateway는 2020년에 도입되었으며, 개인 네트워크를 보호하다 불과 몇 년 만에 Fortune 500 기업을 보호할 정도로 성장했습니다. 이러한 두 솔루션 간 통합으로, Cloudflare는 관리형 서비스 공급자(MSP)가 온라인 위협으로부터 원활하게 글로벌 직원을 보호하는 상위-하위 정책 구성과 계정 수준 정책 재정의를 통해 다중 테넌트를 대규모로 배포할 수 있도록 지원할 수 있습니다.
관리형 서비스 공급자와 협력해야 하는 이유는?
관리형 서비스 공급자(MSP)는 많은 CIO 툴킷에서 중요한 부분을 차지합니다. 기술이 파괴적이고, 하이브리드 업무가 이루어지며, 비즈니스 모델이 변화하는 시대에서, IT 운영과 보안 운영을 아웃소싱하는 것은 모든 규모의 조직에서 전략적 목표를 추진하고 비즈니스 성공을 보장할 근본적인 결정이 될 수 있습니다. MSP는 고객의 정보 기술(IT) 인프라와 최종 사용자 시스템을 원격으로 관리하는 타사입니다. MSP는 랜섬웨어, 맬웨어, 기타 온라인 상의 다양한 위협으로부터 보호할 수 있게 보안 솔루션에 대한 심층적인 기술 지식, 위협 통찰력, 숙련된 전문 지식을 약속합니다. 내부 팀에서는 MSP와 파트너십을 체결하여 보다 전략적인 이니셔티브에 집중할 수 있으며, 쉽게 배포할 수 있고 가격 경쟁력이 뛰어난 IT 솔루션과 보안 솔루션을 이용할 수 있습니다. Cloudflare는 고객이 MSP와 협업하여 완벽한 Zero Trust 혁신을 배포하고 관리하기 쉽도록 노력해왔습니다.
적절한 MSP를 선택하기 위한 결정 기준은 파트너가 보유한 최고의 기술과 보안, 비용 이익을 고려할 수 있는 공급자의 능력입니다. MSP는 가능한 한 혁신적이고 저렴한 보안 솔루션을 활용하여 조직에 최고의 가치를 제공해야 합니다. 하이브리드 업무로 인해 공격 표면이 더 넓어졌기 때문에, 최신 솔루션과 특별히 제작된 솔루션에 비해 오래된 기술의 구현 비용과 유지 비용은 빠르게 높아질 수 있습니다. Zero Trust처럼 개발이 이루어지고 있는 영역에서, 효과적인 MSP라면 전역적으로 배포될 수 있고, 대규모로 관리될 수 있으며, 전역적인 기업 정책을 사업부 전체에 효과적으로 적용할 수 있는 벤더를 지원할 수 있어야 합니다. Cloudflare는 다양한 MSP와 협업해 왔습니다. 그 중에서 대규모 Zero Trust 보안 정책을 비용 효율적으로 구현하고 관리한 MSP 몇 곳을 오늘 집중 조명하겠습니다.
Cloudflare가 집중 조명할 MSP에서는 Zero Trust 액세스 제어 전략의 일환으로 포트폴리오를 보완하기 위해 Cloudflare Gateway DNS 필터링을 배포하기 시작했습니다. DNS 필터링은 랜섬웨어, 맬웨어, 피싱, 기타 인터넷 위협으로부터 보호하려는 조직에게 가치를 빠르게 창출해줍니다. DNS 필터링은 도메인 네임 시스템을 사용하여 악의적 웹 사이트를 차단하고 사용자가 인터넷에서 유해하거나 부적절한 콘텐츠에 접근하지 못하게 하는 프로세스입니다. 이렇게 하면 회사 데이터가 안전하게 유지되고, 회사에서 관리하는 네트워크와 장치에서 직원들이 무엇에 액세스할 수 있는지 회사가 제어할 수 있습니다.
필터링 정책은 서비스 공급자의 자문을 받아 조직에서 설정하는 경우가 많습니다. MSP나 고객이 계정 수준이나 사업부 수준에서 독립적으로 이러한 정책을 관리해야 할 때도 있습니다. 다시 말해, 장치나 사무실 위치, 사업부에 개별적으로 적합하도록 기업 수준 규칙을 균형 있게 배포하려면 상위-하위 관계가 필요한 경우가 아주 많습니다. 이 구조는 수백만 개의 장치와 계정에 액세스 정책을 배포하는 MSP에 매우 중요합니다.
함께 사용하면 더 좋은 Zero Trust ❤️ 테넌트 플랫폼
MSP가 적절한 액세스 제어와 정책 관리를 통해 수백만 개의 계정을 관리할 수 있도록 Cloudflare에서는 상위-하위 구성을 제공하는 새로운 기능과 함께 Cloudflare Gateway를 기존 테넌트 플랫폼과 통합했습니다. 이를 통해 MSP 파트너는 계정을 생성 및 관리하고, 기업 전역의 보안 정책을 설정하며, 개별 사업부나 팀 수준에서 적절하게 관리하거나 재정의할 수 있습니다.
MSP는 테넌트 플랫폼을 사용하여 재량에 따라 수백만 개의 최종 고객 계정을 생성하고 온보딩과 구성을 구체적으로 지원할 수 있습니다. 그러면 고객 간의 소유권도 적절하게 분리되고, 필요할 때 고객이 직접 Cloudflare 대시보드에 액세스할 수도 있게 됩니다.
생성된 각 계정은 MSP 최종 고객이 구독한 리소스(Zero Trust 정책, 영역, Workers 등)를 포함하는 개별 컨테이너입니다. 자율적으로 관리하는 데 필요한 만큼 각 계정에 고객 관리자를 초대할 수 있지만, MSP도 각 계정에 설정된 기능을 계속 제어할 수 있습니다.
이제 MSP에서는 대규모로 계정을 설정하고 관리할 수 있게 되었으니, Cloudflare Gateway와의 통합으로 이러한 계정에서 확장 DNS 필터링 정책을 어떻게 관리할 수 있는지 알아보겠습니다.
계층형 Zero Trust 계정
MSP에는 각 MSP 최종 고객마다 개별 계정이 있으므로, 배포를 완전하게 관리하거나 Cloudflare 구성 API로 지원되는 셀프 서비스 포털을 제공할 수 있습니다. 구성 포털을 지원한다는 것은 최종 사용자가 이 도메인에 대한 액세스를 차단하지 못하게 하겠다는 뜻이기도 합니다. 그래서 MSP는 최종 사용자가 온보딩할 때 숨겨진 정책을 모든 최종 고객 계정에 추가할 수도 있고, 이는 간단한 일회성 API 호출일 것입니다. 문제는 이러한 정책에 업데이트를 푸시해야 할 때 생깁니다. 모든 MSP 최종 고객과 일부 MSP를 대상으로 한 번씩 정책을 업데이트해야 하므로 API 호출을 100만 번 넘게 해야 할 수도 있습니다.
Cloudflare는 이 상황을 단 한 번의 API 호출로 바꿀 수 있게 '상위 계정'이라는 최상위 계정 개념을 도입했습니다. MSP는 이 상위 계정으로 '하위 계정 정책'이라고 하는 후속 MSP 최종 고객 정책보다 먼저 모든 DNS 쿼리에 적용되는 전역 정책을 설정할 수 있습니다. 이 구조를 통해 MSP는 모든 하위 계정에 자체 전역 정책을 설정할 수 있으며, 각 하위 계정은 다른 하위 계정에 영향을 주지 않고도 요구 사항에 따라 DNS 쿼리를 추가로 필터링할 수 있습니다.
이 구조는 단순한 정책 이상으로 확장되어, 각 하위 계정에서 자체 사용자 정의 차단 페이지를 생성하고 자체 인증서를 업로드하여 이러한 차단 페이지를 표시하며 Gateway 위치를 통해 자체 DNS 엔드포인트(IPv4, IPv6, DoH, DoT)를 설정할 수도 있습니다. 하위 계정은 비 MSP Gateway 계정과 정확히 같으므로 상위 계정이나 하위 계정별로 정책, 위치 또는 목록의 기본 제한 수에 하한 값 역시 없습니다.
관리형 서비스 공급자 통합
생동감 있게 전달하기 위해 Cloudflare 고객이 새로운 관리형 서비스 공급자 기능을 사용하여 어떻게 조직을 보호하는지 보여주는 실제 사례를 들어보겠습니다.
미국 연방 정부
미국 연방 정부는 여러 가지 같은 서비스로 100개 이상의 민간 기관에 보호 DNS 서비스를 지원해야 하며, IT 운영과 보안 운영 대부분을 Accenture Federal Services(AFS)와 같은 서비스 공급자에게 아웃소싱하는 경우도 많습니다.
2022년, 사이버보안 및 인프라 보안국(CISA)과 미국 국토안보부(DHS)는 연방 정부가 사이버공격을 막아내는 데 도움이 되는 공동 솔루션을 개발하기 위해 Cloudflare와 AFS를 선택했습니다. 이 솔루션은 연방 정부의 사무실과 위치에서 DNS 쿼리를 필터링하고 Accenture의 플랫폼으로 이벤트를 직접 스트리밍하여 통합 관리와 로그 스토리지를 제공하는 Cloudflare의 보호 DNS 확인자로 구성되어 있습니다.
Accenture Federal Services는 DNS 필터링 정책을 조정할 수 있는 중앙 인터페이스를 각 부서에 제공하고 있습니다. 이 인터페이스는 Cloudflare의 테넌트 플랫폼 및 Gateway 클라이언트 API와 함께 작동하며, 새로운 상위-하위 구성을 사용하여 보안 정책을 관리하는 정부 직원에게 원활한 고객 경험을 제공합니다. 상위 계정인 CISA에서는 자체적으로 전역 정책을 설정할 수 있고, 하위 계정인 기관에서는 선택된 전역 정책을 우회하고 자체적으로 기본 차단 페이지를 설정할 수 있습니다.
Cloudflare는 상위-하위 구조와 함께 DNS 위치 일치 및 필터링 기본값에서 몇 가지를 개선했습니다. 현재 모든 Gateway 계정에서는 전용 IPv4 확인자 IP 주소를 구입할 수 있는데, 고객에게 정적 소스 IP 주소가 없거나 자체 IPv4 주소를 사용하여 솔루션을 호스팅하려는 경우에 유용합니다.
CISA는 전용 IPv4 주소뿐만 아니라 상위 계정에서 하위 계정까지 동일한 주소를 할당하고 싶어 했습니다. 이렇게 하면 모든 기관에 CISA의 기본 IPv4 주소가 할당되므로 온보딩 부담을 덜 수 있습니다. 다음으로 CISA는 장애 시 폐쇄할 수 있는 기능도 필요로 했습니다. 즉, DNS 쿼리가 어떤 위치와도 일치하지 않는 경우(소스 IPv4 주소/네트워크가 구성되어야 함), 쿼리를 삭제하는 기능이었습니다. 이 기능으로 CISA는 IPv4가 구성된 네트워크에서만 보호 서비스에 액세스할 권한을 가지게 할 수 있습니다. 마지막으로 IPv6, DoH, DoT DNS 엔드포인트는 생성된 모든 DNS 위치에 사용자 지정되므로 이 문제는 해결할 필요가 없었습니다.
Malwarebytes
Malwarebytes는 실시간 사이버 보호 분야의 리더로서, 최근 Cloudflare와 통합하여 Nebula 플랫폼에서 DNS 필터링 모듈을 제공하고 있습니다. Nebula 플랫폼은 경고부터 수정까지 모든 맬웨어 인시던트나 랜섬웨어 인시던트 제어를 관리하는 클라우드 호스팅 보안 운영 솔루션입니다. Malwarebytes 고객은 이 새로운 모듈을 사용하여 콘텐츠 범주를 기준으로 필터링하고 장치 그룹에 대한 정책 규칙을 추가할 수 있습니다. 주요 요구 사항은 현재 장치 클라이언트와 쉽게 통합할 수 있고, 계정을 개별적으로 관리할 수 있으며, Cloudflare 브라우저 격리와 같은 추가적인 Zero Trust 서비스 전체에서 미래에 필요한 만큼 확장할 여유가 있어야 한다는 것이었습니다.
Cloudflare는 Malwarebytes 플랫폼에 쉽게 통합되는 포괄적인 솔루션을 제공할 수 있었습니다. 여기에는 DNS-over-HTTP(DoH)를 사용하여 사용자를 각기 다른 위치에 분할하고 장치마다 고유한 토큰을 추가하여 장치 ID를 올바르게 추적하며 올바른 DNS 정책을 적용하는 기능이 포함되었습니다. 마지막으로, Cloudflare 테넌트 API를 사용하여 통합을 완료했으므로 Malwarebytes에서 현재 사용하는 워크플로우 및 플랫폼과 원활하게 통합할 수 있었습니다. Malwarebytes는 Cloudflare의 Zero Trust 서비스와 테넌트 플랫폼을 결합하여 비즈니스 내에서 새로운 부문을 신속하게 시장에 출시할 수 있었습니다.
“오늘날, 조직에서 악성 사이트에 대한 액세스를 관리하고 최종 사용자의 안전과 생산성을 유지하기란 어렵습니다. Malwarebytes의 DNS 필터링 모듈은 클라우드 기반 보안 플랫폼을 웹 보호로 확장합니다. 다른 Zero Trust 공급자를 평가한 결과, Cloudflare는 IT 팀과 보안 팀에 필요한 포괄적인 솔루션을 제공하는 동시에 번개처럼 빠른 성능을 제공할 수 있다는 것이 분명했습니다. 이제 IT 팀과 보안 팀은 모든 범주의 사이트를 차단하고, 알려진 의심스러운 웹 도메인에 미리 점수를 정의해 둔 광범위한 데이터베이스를 활용하며, 핵심 웹 기반 애플리케이션을 보호하고, 특정 사이트 제한을 관리하며, 사이트 액세스를 감독하면서 생기는 골칫거리를 없앨 수 있게 되었습니다.” - Malwarebytes 최고 제품 책임자 Mark Strassman
거대한 글로벌 ISP
Cloudflare는 최근 대규모 글로벌 ISP와 협업하여 DNS 필터링을 지원하고 있습니다. 이는 가정용으로 제공되는 대규모 보안 솔루션의 일부로, 불과 1년 만에 백만 개 이상의 계정을 지원하고 있습니다! 이 ISP는 최소의 엔지니어링 노력으로 현재 플랫폼과 사용자 경험에 원활하게 통합할 수 있게 Cloudflare의 테넌트와 Gateway API를 활용합니다. 향후 몇 개월 동안 이 구현에 대해 자세한 내용을 공유할 수 있길 고대합니다.
다음 단계
이전 사례에서 강조한 바와 같이, MSP는 모든 규모와 성숙도를 가진 조직의 다양한 생태계를 보호하는 데 핵심적인 역할을 합니다. 모든 규모의 기업은 똑같이 복잡한 위협 환경에 맞서 고군분투하고 있으며, 적절한 보안 상태를 유지하고 제한된 리소스와 제한된 보안 도구로 위험을 관리해야 한다는 어려움을 안고 있습니다. MSP는 기업의 위험 측면을 줄일 수 있도록 추가적인 리소스, 전문 지식, 고급 보안 도구를 제공합니다. Cloudflare는 MSP가 고객에게 Zero Trust 솔루션을 쉽게 효과적으로 제공할 수 있도록 노력하고 있습니다.
MSP가 고객에게 중요하며 파트너 네트워크가 지속적으로 성장하고 있다는 점을 고려하여, Cloudflare는 MSP 파트너를 더 효과적으로 지원하는 몇 가지 기능을 2023년부터 제공할 계획입니다. 첫째, 로드맵의 핵심 사항은 계정 관리와 사용자 관리를 개선하기 위해 새로워진 테넌트 관리 대시보드를 개발하는 것입니다. 둘째, MSP가 대규모 보안 하이브리드 작업 솔루션을 쉽게 구현할 수 있도록 다중 테넌트 구성을 Zero Trust 솔루션 세트 전반으로 확장하려고 합니다.
마지막으로, 계층식 액세스를 효과적으로 지원하기 위해서 MSP 파트너가 현재 사용할 수 있는 사용자 역할과 액세스 모델을 확장하여 팀이 다양한 계정을 더 쉽게 지원하고 관리할 수 있도록 할 계획입니다. Cloudflare는 사용 편의성에 항상 자부심을 가지고 있으며, Cloudflare를 전 세계 서비스 및 보안 공급자가 선택하는 Zero Trust 플랫폼으로 만드는 것이 목표입니다.
CIO Week 내내, Cloudflare의 파트너가 어떻게 보안 상태를 최신화하여 파트너의 고객이 하이브리드 업무와 하이브리드 멀티 클라우드 인프라로 변화된 세상에 맞출 수 있도록 지원하는지 살펴보았습니다. 궁극적으로, Cloudflare Zero Trust는 제품, 기능, 파트너 네트워크의 조합으로부터 강점을 이끌어내어 구성 가능한 통합적 플랫폼으로 존재할 때 위력을 발휘할 수 있습니다.
MSP 파트너가 되는 방법을 자세히 알아보려면, https://www.cloudflare.com/partners/services를 참조하세요.
DNS 필터링 및 Zero Trust를 통한 보안 개선에 대해 자세히 알아보거나 지금 시작하려면, 여기서 등록하고 무료 사용자 50명으로 플랫폼을 직접 테스트해 보세요.