Cloudflare, 비관리 기기(Unmanaged Device)에도 제로 트러스트(Zero Trust) 보안을!
Cloudflare는 관리되지 않는 기기(Unmanaged Devices)의 보안 강화를 위해 게이트웨이 인증 프록시(Gateway Authorization Proxy)를 출시함
기존 IP 기반 인증 방식의 한계를 극복하고, Cloudflare Access를 활용하여 사용자 기반 인증을 구현함
JWT 쿠키(JWT Cookie)를 사용하여 사용자 신원을 유지하며, PAC 파일 호스팅(PAC File Hosting) 기능을 제공함
가상 데스크톱(VDI), M&A 환경, 소프트웨어 설치 제약 환경에서 제로 트러스트(Zero Trust) 보안을 실현
IP 기반 인증의 한계와 사용자 기반 인증으로의 전환
본문에 따르면 기존 Cloudflare Gateway는 IP 주소(IP Address) 기반으로 사용자를 식별하여, 익명 로그(Anonymous Logs), 유연성 부족(Brittle Policies), 수동 관리(Manual Maintenance) 등의 문제점을 야기했다.
IP 주소는 사용자의 위치 변경에 취약하며, 정책 관리의 어려움(Policy Management Difficulty)을 초래
게이트웨이 인증 프록시는 Cloudflare Access를 활용하여 사용자 기반 인증을 도입, 진정한 사용자 신원(True Identity)을 보장
결과적으로, 사용자 단위의 세분화된 정책 적용과 로그 분석(Log Analysis) 정확도 향상을 기대할 수 있다.
JWT 쿠키(JWT Cookie) 기반 인증 방식의 기술적 구현
게이트웨이 인증 프록시는 JWT(JSON Web Token) 쿠키를 사용하여 사용자의 신원을 유지하며, 최초 방문 시에는 Cloudflare Access를 통해 인증을 수행한다.
최초 방문 시: 사용자는 Cloudflare Access를 통해 인증 후, 해당 도메인에 대한 보안 토큰(Secure Token) 발급
반복 방문 시: 쿠키를 통해 즉시 인증, 리다이렉션(Redirection) 불필요
Cloudflare의 글로벌 엣지 네트워크(Global Edge Network)를 통해 밀리초(Milliseconds) 단위의 빠른 인증 속도 제공
이러한 방식으로, 사용자 기기에 별도의 소프트웨어 설치 없이 개인별 트래픽 로깅(Per-person Traffic Logging) 및 접근 제어(Access Control)를 구현한다.
PAC 파일 호스팅(PAC File Hosting)을 통한 관리 편의성 증대
Cloudflare는 PAC 파일(Proxy Auto-Configuration File) 호스팅 기능을 제공하여, 사용자가 직접 PAC 파일을 관리해야 하는 번거로움을 해소했다.
PAC 파일: 브라우저가 프록시 서버(Proxy Server)를 찾기 위한 설정 파일
Cloudflare는 PAC 파일 템플릿(PAC File Template)과 AI 어시스턴트 Cloudy를 제공하여, 설정 및 관리의 편의성을 높임
결과적으로, 관리자는 PAC 파일 관리에 소요되는 시간과 노력을 절감하고, 보안 정책(Security Policy)에 집중할 수 있다.
이는 Cloudflare Zero Trust 환경 구축을 더욱 용이하게 한다.
Cloudflare Zero Trust 환경 구축을 위한 확장성
Cloudflare는 게이트웨이 인증 프록시를 통해 클라이언트리스(Clientless) 보안 옵션을 확장하고, 다양한 인증 방식을 지원할 예정이다.
지원 예정: Kerberos, mTLS, 사용자 이름/비밀번호 인증
가상 데스크톱(VDI), M&A 환경, 규제 준수(Compliance)가 필요한 환경에 적합
Cloudflare One Client와 함께 사용 시, 더욱 강력한 제어(Greater Control)와 최상의 사용자 경험(Best User Experience) 제공
향후 Cloudflare는 인증 방식 확장을 통해 다양한 환경에서 제로 트러스트(Zero Trust) 보안을 실현할 수 있도록 지원할 것이다.
