Cloudflare, 위협 인텔리전스 플랫폼(TIP)으로 사이버 위협에 선제 대응
데이터 격리 아키텍처(Data Isolation Architecture)를 통해 복잡한 ETL 파이프라인(ETL Pipelines) 없이 위협 데이터를 처리하며, SQLite 기반의 Durable Objects를 활용
GraphQL(GraphQL) 엔드포인트를 엣지(Edge)에서 직접 실행하여 실시간 위협 대응을 가능하게 하고, 서브 세컨드(Sub-second) 쿼리 응답 시간 보장
Cloudflare Workers를 사용하여 실시간 그래프(Real-time Graphs) 및 다이어그램을 생성하고, 자동화된 규칙(Automated Rules) 및 STIX2(STIX2) 내보내기 지원
SIEM(Security Information and Event Management)을 보완하여 장기적인 위협 추적을 위한 데이터 저장 및 분석 기능 제공
SQLite 기반의 데이터 격리 아키텍처(Data Isolation Architecture)
Cloudflare는 전통적인 중앙 집중형 데이터베이스(Database)의 병목 현상을 해결하기 위해 데이터 격리 아키텍처(Data Isolation Architecture)를 채택했다. 수십억 건의 이벤트를 처리하기 위해 SQLite 기반의 Durable Objects를 활용하여 각 샤드(Shard)를 구성했다.
Durable Objects: 각 샤드는 자체 SQLite 데이터베이스를 가지며, 일관된 트랜잭션 인터페이스(Transactional Interface) 제공
Cloudflare Queues: 비동기적으로(Asynchronously) 텔레메트리(Telemetry)를 수집 및 분산하여 쓰기 처리량(Write Throughput) 병목 방지
R2: 장기 데이터 보존(Long-term Retention)을 위해 사용하며, 핫(Hot) 데이터는 Durable Object의 SQLite에 저장
이러한 아키텍처는 수 밀리초(Milliseconds) 이내의 쿼리 응답 시간(Query Latency)을 보장하며, Cloudflare의 글로벌 네트워크(Global Network)를 활용하여 쿼리를 병렬 처리한다.
엣지(Edge)에서 GraphQL 실행
Cloudflare는 GraphQL 엔드포인트(GraphQL Endpoint)를 엣지(Edge)에서 실행하여 실시간 위협 인텔리전스(Threat Intelligence)를 제공한다. 이는 데이터 수집과 가용성 간의 지연 시간을 없애고, 즉각적인 분석 및 시각화를 가능하게 한다.
Cloudflare Workers: GraphQL 엔드포인트는 Cloudflare Workers에서 실행되며, Smart Placement를 통해 쿼리 처리 워커(Worker)를 데이터와 가깝게 배치
Hyperdrive: 엣지에서 더 높은 성능의 연결 풀링(Connection Pooling)을 유지하여 단일 데이터센터(Datacenter)로의 백홀링(Backhauling) 제거
실시간 시각화: 공격 흐름을 추적하는 Sankey Diagram, 특정 산업 또는 데이터 세트의 공격 분포를 보여주는 시각화 제공
결과적으로, Cloudflare는 엣지 컴퓨팅(Edge Computing)의 장점을 활용하여 위협 인텔리전스 플랫폼(TIP)의 성능과 효율성을 극대화했다.
SIEM(Security Information and Event Management)과의 상호 보완
Cloudflare의 위협 인텔리전스 플랫폼(TIP)은 SIEM(Security Information and Event Management)을 보완하여 장기적인 위협 추적을 지원한다. SIEM은 실시간 로그 집계 및 알림에 특화되어 있지만, 장기적인 데이터 보존 및 심층적인 분석에는 한계가 있다.
TIP의 역할: 장기적인 데이터 저장(Long-term Storage) 및 엣지(Edge)에서 인덱싱(Indexing)을 통해 기술적 텔레메트리(Telemetry)와 실행 가능한 인사이트(Executive Insight) 간의 격차 해소
Cloudflare Managed Defense: TIP과 연동하여 위협 탐지 및 대응(Threat Detection and Response)을 위한 시너지 효과 창출
자동화된 규칙(Automated Rules) 및 STIX2(STIX2) 내보내기: 위협 발견과 방어 간의 루프를 닫고, STIX2 표준으로의 변환을 엣지에서 처리
결론적으로, TIP는 SIEM의 한계를 보완하고, 위협 헌팅(Threat Hunting) 및 사전 방어(Proactive Defense)를 위한 강력한 도구를 제공한다.
자동화된 규칙(Automated Rules) 및 STIX2(STIX2) 내보내기
Cloudflare는 위협 인텔리전스 플랫폼(TIP)을 통해 자동화된 규칙(Automated Rules) 생성 및 STIX2(STIX2) 형식으로의 데이터 변환을 지원한다. 이는 위협 정보를 실행 가능한 형태로 변환하여 보안 시스템의 효율성을 높인다.
STIX2 변환: 내부 SQLite 레코드를 STIX2 JSON 스키마(JSON Schema)로 동적으로 매핑하여, 데이터 변환 지연 시간(Latency) 최소화
자동화된 규칙 생성: Sankey Diagram 또는 특정 Actor 캠페인(Campaign)에서 악성 패턴을 식별하고, Cloudflare Firewall Rules API를 통해 보안 규칙 자동 생성
실시간 알림: 사용자 정의 필터(Custom Filters)와 일치하는 새로운 텔레메트리(Telemetry)가 수신되면, 실시간 알림(Real-time Notification) 전송
결과적으로, Cloudflare는 위협 정보의 자동화된 활용을 통해 보안 팀의 대응 속도를 향상시키고, 위협에 대한 선제적인 방어를 가능하게 한다.
인텔리전스 분석가의 역할
Cloudflare는 자동화된 위협 분석 외에도, 분석가의 전문성을 활용하여 심층적인 위협 조사를 수행한다. 이는 자동화된 시스템의 한계를 보완하고, 보다 정확하고 심층적인 위협 분석을 가능하게 한다.
RFI(Requests for Information) 포털: 분석가에게 심층 조사를 요청하고, 데이터를 풍부하게(Data Enrichment) 하는 파이프라인 역할 수행
분석 과정: 분석가는 TIP 내부 버전을 사용하여 글로벌 데이터 세트(Global Datasets)를 분석하고, 새로운 IOC(Indicators of Compromise) 및 위협 행위자(Threat Actor) 정보를 생성
피드백 루프(Feedback Loop): 분석 결과는 TIP에 다시 통합되어, 자동화된 탐지 로직(Detection Logic)을 개선하고, 실시간 위협 대응(Real-time Threat Response)을 강화
결론적으로, Cloudflare는 자동화와 인적 분석의 시너지를 통해, 지속적으로 진화하는 위협 환경(Evolving Threat Landscape)에 효과적으로 대응한다.
