구독해서 새 게시물에 대한 알림을 받으세요.

Cloudflare로 Cloudflare 보안 확보하기: Zero Trust를 향한 여정

2024-03-05

6분 읽기
이 게시물은 English, 繁體中文, 日本語简体中文로도 이용할 수 있습니다.

Cloudflare에서는 고객에게 업계를 선도하는 네트워크 보안 솔루션을 제공하기 위해 최선을 다합니다. 동시에, Cloudflare에서는 강력한 보안 조치를 수립하려면 중요한 데이터나 개인 데이터를 면밀히 조사하는 것이 포함될 수 있는 프로세스를 사용하여 잠재적인 위협을 식별하는 것이 포함되며, 이는 결국 개인정보 보호에 위험을 초래할 수 있다는 점을 인식하고 있습니다. 따라서 고객에게 제공하고 자체 네트워크에 사용하는 개인정보 보호 우선 보안 솔루션을 구축하여 개인정보 보호와 보안의 균형을 맞추기 위해 최선을 다합니다.

Securing Cloudflare with Cloudflare: a Zero Trust journey

이 게시물에서는 Cloudflare 네트워크를 사용하는 직원을 위해 Cloudflare에서 개인정보 보호에 중점을 두고 Access와 Zero Trust Agent 등의 Cloudflare 제품을 배포한 방법을 살펴봅니다. 글로벌 법적 규제로 인해 직원에게 일반적으로 기업 네트워크에 대한 더 낮은 수준의 개인정보 보호가 적용되어 있지만, Cloudflare에서는 인터넷에서 사용자의 개인정보를 존중하고 보호하는 것에 대한 강력한 문화와 역사를 지니고 있으므로 직원들이 개인정보 보호 선택 사항을 이해할 수 있도록 최선을 다해 노력합니다. 저희는 많은 Cloudflare의 고객이 자체 네트워크를 보호하면서 개인정보도 보호하는 것에 대해 비슷한 생각을 하고 있다는 사실을 알게 되었습니다.

그렇다면 Cloudflare 제품 및 서비스를 사용하여 개인정보 보호에 대한 약속과 기업 내부 환경의 보안 보장 사이에서 균형을 유지하려면 어떻게 해야 할까요? Cloudflare에서는 기본 사항부터 시작합니다. 필요한 최소한의 데이터만 보관하고, 가능한 경우 개인 데이터를 익명화하며, 기업 시스템에 마련한 보안 조치와 직원의 개인정보 선택지에 대해 투명하게 소통하고, 필요한 정보를 가장 짧은 기간 동안 보관합니다.

Cloudflare를 이용하여 Cloudflare를 보호하는 방법

우리는 조직적인 제어와 기술 솔루션을 통해 전 세계에 분산된 하이브리드 인력을 보호하기 위해 포괄적으로 접근합니다. Cloudflare의 조직적인 접근 방식에는 전사적인 사용 목적 정책, 관할권별로 맞춤화된 직원 개인정보 보호 알림, 필수 연례 교육 및 신입 사원 개인정보 보호 및 보안 교육, 역할 기반 액세스 제어(RBAC), 최소 권한 원칙 등의 다양한 조치가 포함됩니다. 이러한 조직적인 제어를 통해 기술적 제어로 구현할 수 있고 로깅 등의 메커니즘을 통해 시행할 수 있는 회사와 직원에 대한 기대치를 전달할 수 있습니다.

당사의 기술적 제어는 Zero Trust 모범 사례에 뿌리를 두고 있으며, 아래에서 설명하는 바와 같이 Cloudflare One 서비스에 집중하여 시작됩니다.

애플리케이션에 대한 액세스 보호

Cloudflare에서는 자체 Zero Trust 네트워크 액세스(ZTNA) 서비스인 Cloudflare Access를 사용하여 원격에서든 사무실에서든 직원이 자체 호스팅 및 SaaS 앱에 대한 액세스를 보호하여 ID를 확인하고 보안 키로 다단계 인증을 시행하며, 모든 요청에 대해 Zero Trust 클라이언트를 사용하여 장치 상태를 평가합니다. 이 접근 방식은 여러 해에 걸쳐 발전해 왔으며 그 덕분에 Cloudflare에서는 늘어나는 인력을 더욱 효과적으로 보호할 수 있게 되었습니다.

사이버 위협 방어

Cloudflare에서는 Cloudflare Magic WAN을 활용하여 사무실 네트워크를 보호하고 Cloudflare Zero Trust 에이전트를 활용하여 직원을 보호합니다. 저희는 이 두 기술을 모두 자체 보안 웹 게이트웨이(게이트웨이라고도 함)에 대한 진입로로 사용하여 증가하는 온라인 위협으로부터 직원을 보호합니다.

하이브리드 근무와 사무실 구성을 발전시켜 나가는 동안, Cloudflare의 보안팀에서는 포워드 프록시로 전달된 인터넷 트래픽에 대한 추가적인 제어 능력과 가시성을 통해 다음과 같은 이점을 누렸습니다.

  • 세밀한 HTTP 제어: Cloudflare 보안팀에서는 HTTPS 트래픽을 검사하여 보안팀에서 악의적이라고 식별한 특정 웹 사이트에 대한 액세스를 차단하고, 바이러스 백신 스캐닝을 수행하며, ID 인식 브라우징 정책을 적용합니다.

  • 선택적인 인터넷 브라우징 격리: 원격 브라우저 격리(RBI) 세션을 통해 모든 웹 코드가 로컬 장치에서 멀리 떨어진 Cloudflare의 네트워크에서 실행되므로 신뢰할 수 없는 악의적 콘텐츠로부터 사용자가 격리됩니다. 현재 Cloudflare에서는 소셜 미디어, 언론 매체, 개인 이메일, 기타 잠재적으로 위험한 인터넷 범주를 격리하고 있으며, 이러한 범주를 세밀하게 조정할 수 있도록 직원들이 이용할 수 있는 피드백 루프를 설정했습니다.

  • 지역 기반 로깅: 아웃바운드 요청이 발생한 위치를 확인하면 보안팀에서 고위험 지역에서 일하는 직원을 비롯하여 인력의 지리적 분포를 파악하는 데 도움이 됩니다.

  • 데이터 손실 방지: 저희 기업 네트워크 내부에 중요한 데이터를 보관하기 위해 이 도구를 사용하면 아웃바운드 HTTP/S 트래픽에서 중요한 것으로 표시된 데이터를 식별하고 네트워크를 벗어나지 못하도록 방지할 수 있습니다.

  • 클라우드 액세스 보안 브로커: 이 도구를 사용하면 SaaS 앱에 잘못된 구성이 있는지, 노출되거나 너무 광범위하게 공유될 수 있는 중요한 데이터가 있는지 모니터링할 수 있습니다.

클라우드 이메일 보안으로 수신함 보호

또한 저희는 직원을 대상으로 할 뿐만 아니라 전 세계 조직을 괴롭히고 있는 증가하는 피싱 및 비즈니스 이메일 손상 공격으로부터 직원을 보호하기 위해 Cloud Email Security 솔루션을 배포했습니다. 저희가 사용하는 주요 기능 중 하나는 RBI 및 이메일 보안 기능을 사용하여 격리된 브라우저에서 잠재적으로 의심스러운 링크를 여는 이메일 링크 격리입니다. 이를 통해 보안을 손상시키지 않으면서도 의심스러운 링크를 좀 더 편하게 차단할 수 있습니다. 이는 직원과 보안팀 모두 대량의 오탐을 처리할 필요가 없으므로 생산성 측면에서 큰 도움이 됩니다.

Cloudflare의 구현에 대한 자세한 내용은 Cloudflare One으로 Cloudflare 보호하기 사례 연구에서 확인할 수 있습니다.

Cloudflare에서 개인정보 보호를 존중하는 방식

Cloudflare에서 개발하고 배포한 이러한 강력한 보안 기술의 본질은 저희가 이 데이터를 처리할 때 개인정보 보호 우선 원칙을 사용해야 하고 데이터가 항상 존중되고 보호되어야 한다는 점을 인식해야 한다는 것입니다.

개인정보 보호를 향한 여정은 제품 자체에서 시작됩니다. 저희는 기본적으로 개인정보 보호 제어 기능이 내장된 제품을 개발합니다. 이를 달성하기 위해 당사의 제품팀에서는 Cloudflare의 제품 및 개인정보 보호 자문과 긴밀히 협력하여 개인정보 보호를 설계에 따라 실천합니다. 이러한 협업의 좋은 예는 보안 웹 게이트웨이 로그에서 개인 식별 정보(PII)를 관리하는 기능입니다. 게이트웨이 로그에서 PII를 완전히 제외하거나 로그에서 PII를 수정하고 Zero Trust PII 역할을 통해 PII에 대한 액세스를 세부적으로 제어할 수 있습니다.

개인정보 보호를 우선시하는 보안 제품을 구축하는 것 외에도 Cloudflare에서는 이러한 보안 제품이 작동하는 방식 및 이러한 보안 제품이 내부 시스템의 트래픽에 대해 볼 수 있는 것과 없는 것에 대해 Cloudflare 직원들과 투명하게 소통하기 위해 최선을 다하고 있습니다. 이를 통해 직원들은 회사 시스템을 이용하는 것에 대해 '우리 대 그들'이라는 사고방식을 적용하기보다는 자신이 보안 솔루션의 일부라고 볼 수 있습니다.

예를 들어, Cloudflare의 직원 개인정보 처리방침 및 이용 목적 제한 정책에서는 직원이 회사 시스템을 이용할 때 데이터가 어떻게 되는지에 대해 직원에게 광범위한 통지를 제공하고 있지만, 저희는 더 자세한 정보를 제공하는 것이 중요하다고 생각했습니다. 그래서 당사의 보안팀에서는 개인정보 보호팀과 협업하여 당사의 보안 도구에서 수집되는 데이터와 수집 이유를 알기 쉽게 설명하는 내부 Wiki 페이지를 마련했습니다. 또한, 직원이 선택할 수 있는 개인정보 보호 관련 선택 사항에 대해서도 설명합니다. 이는 개인 모바일 장치를 사용하는 업무 편의성을 선택한 '개인 소유 장치 활용'(BYOD) 직원에게 특히 중요합니다. BYOD 직원이 Cloudflare 시스템에 액세스하려면 장치에 엔드포인트 관리(타사 제공)와 Cloudflare의 Zero Trust 클라이언트를 설치해야 합니다. Cloudflare에서는 직원들에게 Cloudflare 팀에서 볼 수 있는 장치의 트래픽에 대한 의미를 명확히 설명하고, 순전히 개인적인 목적으로 장치를 사용할 때 개인 정보를 보호하기 위한 조치를 취할 수 있는 방법을 설명했습니다.

Cloudflare의 Zero Trust 서비스를 개발하고 지원하는 팀의 경우, 저희는 데이터가 반드시 알아야 할 엄격한 기준으로만 제공되고 업무의 필수 부분으로 액세스가 필요한 Cloudflare 팀 구성원에게만 데이터가 제공되도록 제한합니다. 액세스 권한이 있는 사람들은 이 데이터를 존중할 책임을 상기시키고 중요한 데이터를 처리하기 위한 모범 사례를 제시하는 교육을 받아야 합니다. 또한 완전한 감사 가능성을 보장하기 위해 이 데이터베이스에 대해 실행된 모든 쿼리와 해당 쿼리를 실행한 사람을 기록합니다.

Cloudflare에서는 데이터가 처리되는 방식이나 용도에 대해 우려되는 사항을 직원이 쉽게 표현할 수 있도록 했습니다. Cloudflare에서는 직원이 Cloudflare 네트워크에서 Zero Trust 보안을 사용하는 것에 대해 질문하거나 우려 사항을 표현할 수 있는 메커니즘을 마련했습니다.

또한 직원이 이러한 도구를 담당하는 리더에게 직접 쉽게 연락할 수 있도록 합니다. 이러한 모든 노력은 Cloudflare에서 어떤 정보를 왜 수집하는지를 더 잘 이해하는 데 도움이 되었습니다. 이를 통해 Cloudflare의 보안 및 개인정보 보호를 위한 강력한 기반을 확장할 수 있었습니다.

모두를 위한 개인정보 보호 우선 보안 장려

Cloudflare에서는 데이터 보호를 보장하기 위해서는 훌륭한 보안이 중요하며, 개인정보 보호와 보안이 조화롭게 공존할 수 있다고 확신합니다. 또한, 저희는 시스템을 사용하는 직원을 존중하는 방식으로 기업 네트워크를 보호할 수 있다는 것도 알고 있습니다.

기업 네트워크를 안전하게 보호하려는 모든 사람에게 저희는 Zero Trust 제품군과 같은 개인 데이터 보호 기능을 갖춘 네트워크 보안 제품 및 솔루션에 집중하는 것을 권장합니다. 여러분의 조직에서 이러한 Cloudflare 서비스를 구현할 방법이 궁금하시다면, 여기에서 자문을 요청하세요.

또한 조직에서 사용자와 명확하게 소통할 것을 권장합니다. 회사 정책을 투명하고 쉽게 공개하도록 만드는 것과 더불어, 직원이 개인정보 보호 선택 사항을 이해할 수 있도록 돕는 것이 중요합니다. 전 세계 거의 모든 관할권의 법률에 따라 회사 장치 또는 회사 시스템에서 개인은 자신의 개인 계정 또는 장치에서보다 낮은 개인정보 보호 수준을 누리게 되므로 직원이 그 차이를 이해할 수 있도록 명확하게 소통하는 것이 중요합니다. 조직에 개인정보 보호 챔피언, 직장 위원회 등 직원 대표 그룹이 있는 경우 이러한 그룹과 조기에 자주 소통하여 직원이 데이터에 대해 어떤 제어 기능을 행사할 수 있는지 이해할 수 있도록 해야 합니다.

Cloudflare에서는 전체 기업 네트워크를 보호하고, 고객이 인터넷 규모의 애플리케이션을 효과적으로 구축하도록 지원하며, 웹 사이트와 인터넷 애플리케이션을 가속화하고, DDoS 공격을 막으며, 해커를 막고, Zero Trust로 향하는 고객의 여정을 지원합니다.

어떤 장치로든 1.1.1.1에 방문해 인터넷을 더 빠르고 안전하게 만들어 주는 Cloudflare의 무료 앱을 사용해 보세요.

더 나은 인터넷을 만들기 위한 Cloudflare의 사명을 자세히 알아보려면 여기에서 시작하세요. 새로운 커리어 경로를 찾고 있다면 채용 공고를 확인해 보세요.
Security Week (KO)API Gateway (KO)Zero TrustPrivacy

X에서 팔로우하기

Ankur Aggarwal|@Encore_Encore
Cloudflare|@cloudflare

관련 게시물

2024년 10월 23일 오후 1:00

Fearless SSH: short-lived certificates bring Zero Trust to infrastructure

Access for Infrastructure, BastionZero’s integration into Cloudflare One, will enable organizations to apply Zero Trust controls to their servers, databases, Kubernetes clusters, and more. Today we’re announcing short-lived SSH access as the first available feature of this integration. ...

2024년 10월 08일 오후 1:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

2024년 9월 25일 오후 1:00

New standards for a faster and more private Internet

Cloudflare's customers can now take advantage of Zstandard (zstd) compression, offering 42% faster compression than Brotli and 11.3% more efficiency than GZIP. We're further optimizing performance for our customers with HTTP/3 prioritization and BBR congestion control, and enhancing privacy through Encrypted Client Hello (ECH)....

2024년 9월 24일 오후 1:00

Cloudflare helps verify the security of end-to-end encrypted messages by auditing key transparency for WhatsApp

Cloudflare is now verifying WhatsApp’s Key Transparency audit proofs to ensure the security of end-to-end encrypted messaging conversations without having to manually check QR codes. We are publishing the results of the proof verification to https://dash.key-transparency.cloudflare.com for independent researchers and security experts to compare against WhatsApp’s. Cloudflare does not have access to underlying public key material or message metadata as part of this infrastructure....