[세션 리뷰] 클라우드플레어 “귀사의 보안은 에브리웨어(Everywhere)입니까”

“클라우드플레어는 회사 설립 초기에는 CDN(Content Delivery Network)과 WAF(Web Application Firewall)가 주력이었지만 지금은 대용량 디도스 방어, 개발자를 위한 서버리스 컴퓨팅과 저장 솔루션, 오늘의 주제인 제로 트러스트 SASE까지 다양한 분야의 솔루션을 공급하고 있다. 120여 개국 이상의 국가 310개의 팝을 운영하고 있고, 1만2500개 이상의 통신 사업자, 클라우드 사업자, 대기업과 직접 연결돼 있다.”

“클라우드 플레이어는 세 가지 주요 영역이 있다. 가장 기본이 되는 ▲CDN과 l7 DDoS 방어 솔루션이 포함되어 있는 애플리케이션 서비스 ▲워커스와 R2로 대표되는 개발자 플랫폼 ▲클라우드 플레어 원이라는 이름의 제로 트러스트 세시 솔루션이 있다.”

“클라우드플레어의 모든 솔루션에는 보안이 강화되어 있다. 에브리웨어 시큐리티가 저희의 전략이자 철학이다.”

“보안 위협은 점점 더 증가하고 있고 공격에도 노출되고 있으며, 툴은 점점 더 복잡해지고 있다. 위협도 증가한다. 규제는 점점 더 많아진다. 하드웨어 포인트 솔루션, 접속하는 장소도 다양하고 사용자가 가야 될 목적지도 점점 다양해지고 있다. 트래픽도 일관성이 없다. 전통적인 방식의 보안은 복잡하고 분산되어 있기 때문에 혼란과 위험을 초래하고 있다.”

“클라우드 플레어는 하나의 플랫폼으로 이런 복잡성과 어려움을 한 번에 해결해 드릴 수 있다”

“저희는 이런 보안의 요소들이 4단계 정도에 걸쳐서 발생하고 있다고 보고 있다. 각각 단계마다 다양한 위협이나 요소들이 있다. 공격자는 첫번째 인터넷에 노출돼 있는 방화벽, VPN 앱 네트워크 등을 찾아서 공격하게 된다, 두번째는 취약점을 찾아내고 자격증명을 탈취해서 고객 IT 환경 내부로 진입을 시도한다. 세번째 공격자가 회사 네트워크에 접속하게 되면 사내 인프라 중 더 중요한 요소로 수평 이동을 한다. 최종 단계에서 공격자는 목표 지점에 도달하게 되고 시스템을 장악한다.”

클라우드플레어가 4단계 공격을 막는 방안
1. 고객의 IP와 자산을 인터넷에 공개하지 않고 클라우드플레어가 모든 걸 처리
2. 클라우드플레어가 네트워크 앞단에 존재하면서 인터넷에 연결되는 모든 것을 보호(L3~L7 커버)
3. 제로트러스트 : 사용자 역할과 위치, 영역에 따라서 접속할 수 있는 시스템을 선별적으로 제공
4. 데이터 유출에 대한 위험성을 보호 : 이메일 보안, DLP 등

“클라우드플레어는 310개 이상의 로케이션과 1만3000개 이상의 인터커넥션을 통해 전체 웹 트래픽의 20%를 처리하고 있다. 하루에 처리되는 DNS 쿼리가 2테라바이트에 달한다. 이렇게 많은 트래픽을 처리한다는 것은 보안에 대한 많은 인사이트가 생길 수밖에 없다는 것을 의미한다.”

“어떻게 클라우드 환경에서 보안이 바뀌었을까. 무조건 막고 일부만 열어주는 경계 기반의 보안 모델은 이미 한계에 다달았다. 누군가 몰래 숨어 들어오게 되면 모든 자산을 다 훔쳐보거나 훔쳐갈 수 있다.”

“그래서 나온 개념이 제로트러스트다. 자원의 경계를 구분하고 정해진 권한만큼 활동하도록 하고, 다른 자원에 접근을 요청할 때에는 철저하게 인증을 거치게 된다.”

“왼쪽 화면이 기존 방식이다. 고가의 MPLS 회선을 쓸 수밖에 없고 데이터센터를 거친 이후에는 트래픽 병목현상이 생긴다. 오른쪽은 클라우드플레어의 방식이다. 중간 영역이 클라우드 플레이 원(1)이라는 네트워크 서비스로 바뀌게 된다. 중간에 어떻게 구축하는지 연결하는지는 이용기업은 신경 쓰실 필요가 없다. 모든 유저는 클라우드플레어 팝에 접속하고 인증과 권한을 받아 암호화 통신을 하게 된다. 장비에 신경쓸 필요 없고 100% 업타임이 유지된다.”

“클라우드플레어는 CDN 트래픽과 마찬가지로 애니캐스트 방식을 사용하고 있고, 타사는 유니캐스트 방식을 사용하고 있다. 저희는 애니캐스트가 훨씬 더 어려운 기술이고 진화된 기술이라고 생각한다. 애니캐스트 구조에서는 연결이 끊어지더라도 클라우드 플레이어의 네트워크를 통해서 우회 경로를 자동으로 찾아줘 접속은 끊어지지 않는다.”

“클라우드플레어의 제로트러스트 새시 솔루션의 브랜드는 ‘클라우드 플레이어 원’이다.”

“클라우드플레어는 가트너가 제로 트러스트를 정의할 때 나온 6가지 정도의 카테고리를  모두 다 제공하고 있다. ZTNA는 VPN보다 빠르고 높은 엑세스 솔루션이고, 시큐어 웹 게이트웨이, 인터넷상의 멀웨어 감염 및 피싱 등 위협을 모두 방지한다. 브라우저 격리 솔루션, 클라우드 사스 기반의 솔루션에 접근하기 위한 접근 통제 위협 탐지, 이메일 시큐리티, DLP 등 6가지 카테고리를 모두 제공한다.”

“사용자는 클라우드플레어 팝으로 접속을 하게 된다. IDP 연동을 통해 멀티팩터 인증을 하고, 단말의 무결성도 확인한다. 안티바이러스 실행되는지 방화벽으로 켰는지 등을 살펴보고 안 돼 있으면 접속을 차단한다.”

“사례 1(소프트웨어 공급사) : SSL VPN을 7년 동안 운영하면서 많은 어려움이 있었다. 부서 이동도 있고 퇴사자도 많고 파트너가 다양하게 방문하기 때문에 룰을 설정하는 게 불가능했다. 원격근무가 늘면서 성능도 느려지고, 회선비도 생각해야 했다. 클라우드플레어를 통해 단말에 WAF 에이전트를 설치했다. 그 결과 기존 VPN 대비 42%의 성능이 개선됐다. 관리자는 AD(액티브 디렉토리)만 업데이트 하면 사용자별로 바뀐 정책이 내려간다. 레이어 7 기반의 접속 차단이기 때문에 기존의 레이어 3 기반의 VPN보다 훨씬 더 탄력적으로 접속 권한 제한할 수 있다.”

“사례 2(글로벌 유통사의) : 이 회사는 방화벽, IPS, e메일 보안, VPN 등의 보안 솔루션이 있다. 이곳을 통해서 모든 통신이 이루어지다 보니 특정 구간에 병목현상 생겼다. 지사별 위치별 등으로 다른 정책 필요한데 적용이 힘들었다. 그래서 클라우드플레어 도입했다. 모든 사용자는 클라우드플레어 팝에 엣지로 접속하게 된다. 거기서 모든 검사를 거쳐서 나간다. 74% 성능 개선 효과를 봤다. 위치별로 유해 사이트 차단 등 다른 정책을 적용했다.”

“일본 항공은 에어리어원이라는 이메일 시큐리티 통해서 6개월 동안 2만여 개나 되는 악성 이메일을 차단하고 있고, 카르푸는 여러 가지 포인트 솔루션을 클라우드플레어로 통합하고 70% 이상의 사고 대응 효과를 이뤄냈다. 미국 국토안보부는 클라우드플레어 DNS 필터링 기술을 통해 미국 내에 존재하는 100여 개 이상의 오피스 네트워크를 보호하고 있다.”

“보안 시스템은 통합돼 있어야 하고 컴포저블 해야 하며, 프로그래머블, 스케이러블, 심플해야 한다. 전세계 곳곳에 적용할 수 있어야 하고, 하루 1700억 개 이상의 보안 위협을 방어해야 한다. API를 보호하고, AI를 보호해야 하며 워크포스를 보호해야 한다. 어떤 디바이스든 보호해야 하고, 네트워크를 보호해야 하며, L3부터 L7까지 보호해야 한다. 그것이 아니라면 그것은 모든 곳을 보호하는 것이 아니다.”