cloudflare클라우드플레어

실행 가능한 보안 인사이트를 제공하는 새로운 대시보드 출시!

by DD
2개월 전
조회수 20

기존 보안 대시보드의 과도한 정보 제공 문제를 해결하기 위해, 실행 가능한 보안 항목(Security Action Items)을 중심으로 하는 새로운 대시보드를 개발

취약점(Vulnerabilities)을 우선순위에 따라 분류하고, 클라우드플레어(Cloudflare) 보안 스택의 상태를 한눈에 파악할 수 있도록 지원

체커(Checkers)라는 마이크로서비스(Microservices) 기반 아키텍처를 통해, 매일 1,000만 개 이상의 실행 가능한 인사이트를 생성하고 갱신

DNS 레코드(DNS Records) 분석을 통해, 중단된 리소스(S3 버킷, 클라우드 인스턴스)를 식별하고, 트래픽 볼륨 및 인프라 소유자 정보를 제공하여 상세한 컨텍스트(Context)를 제공

향후 계정 수준의 통합 뷰를 제공하여, 보안 팀(Security Teams)이 모든 클라우드플레어(Cloudflare) 도메인에서 가장 중요한 위험을 파악하고 해결할 수 있도록 지원할 예정

실행 가능한 보안 항목(Security Action Items)의 역할

본문에서 제시된 새로운 보안 개요 대시보드는 '무엇을 고쳐야 하는가?'에 집중하여, 보안 분석가의 업무 효율성을 높인다.

취약점(Vulnerabilities)을 심각도에 따라 Critical, Moderate, Low로 분류하여, 우선순위 기반의 대응(Priority-based Response)을 지원

Suspicious Activity 카드를 통해, 의심스러운 활동을 감지하고, Security Analytics 페이지로 직접 연결하여 분석 시간 단축

Detection Tools 모듈을 통해, 보안 도구의 활성 상태를 한눈에 파악하여, 설정 오류(Configuration Errors)로 인한 보안 공백(Security Gap)을 방지

마이크로서비스(Microservices) 기반의 체커(Checkers) 아키텍처

본 글에서는 대규모 데이터 처리와 다양한 보안 검사를 위해, 체커(Checkers)라는 마이크로서비스(Microservices) 기반 아키텍처를 활용한다.

각 체커(Checkers)는 특정 영역(DNS, SSL 등)의 전문 지식을 갖춘 독립적인 서비스로, 확장성(Scalability) 및 유지보수성(Maintainability) 확보

Scheduled checksEvent handlers를 통해, 정기적인 검사(Scheduled Checks)와 실시간 이벤트 처리(Real-time Event Handling)를 모두 지원

DNS 체커(DNS Checker)는 DNS 레코드(DNS Records)의 상태를 검사하고, Dangling A/AAAA/CNAME record와 같은 문제를 식별하여, 서브도메인 탈취(Subdomain Takeover)와 같은 위험을 방지

DNS 레코드(DNS Records) 분석을 위한 2단계 프로세스

본문에서는 DNS 레코드(DNS Records)의 문제를 식별하기 위해, Active VerificationContext Enrichment의 2단계 프로세스를 사용한다.

Active Verification: 실제 네트워크 외부에서, HTTP/HTTPS 연결 시도(HTTP/HTTPS Connection Attempt)를 통해, A/AAAA 레코드(A/AAAA Records)의 유효성을 검증

CNAME 레코드(CNAME Records)의 경우, 최종 목적지(Final Destination)를 추적하고, 클라우드 서비스 제공업체(Cloud Service Provider)를 식별하여, 탈취 가능성을 확인

Context Enrichment: 트래픽 볼륨(Traffic Volume), 인프라 소유자(Infrastructure Owner), DNS TTL(Time To Live) 정보를 제공하여, 문제 해결(Remediation)을 위한 정보 제공

Contextual Insights를 통한 보안 위협 완화

본 글에서는 단순한 알림을 넘어, '왜(Why)''어떻게(How)'에 대한 정보를 제공하는 Contextual Insights를 강조한다.

Dangling DNS record에 대한 인사이트(Insight)를 제공하며, 트래픽 볼륨(Traffic Volume)을 통해, 문제의 심각성을 판단

인프라 소유자(Infrastructure Owner) 정보를 제공하여, 문제 해결을 위한 담당자를 식별하고, 대응 시간(Response Time) 단축

DNS TTL(Time To Live) 값을 제공하여, 변경 사항의 전파 시간을 예측하고, 예상치 못한 문제 발생 방지

향후 보안 개요 대시보드의 발전 방향

본문에서는 도메인 수준(Domain Level)에서, 계정 수준(Account Level)으로의 확장을 계획하고 있음을 밝힌다.

계정 수준(Account Level) 통합 뷰를 통해, 여러 도메인(Domain)에 걸쳐 있는 보안 위험을 한눈에 파악하고, 중앙 집중식 관리(Centralized Management) 지원

실시간 데이터(Real-time Data)를 기반으로, 가장 시급한 보안 문제(Critical Risks)에 집중하여, 효율적인 대응 전략 수립

궁극적으로, 보안 팀(Security Team)이 선제적인 방어(Proactive Defense)를 할 수 있도록 지원하고, 공격자(Attacker)보다 앞서는 보안 체계 구축

Building a security overview dashboard for actionable insights
원문 읽기