Cloudflare, 위협 인텔리전스를 실시간 WAF 규칙으로 자동 전환
알웨이즐온(always-on) 탐지 프레임워크를 WAF에 적용하여 "로그 vs. 차단" 트레이드오프를 해소하고 실시간 위협 메타데이터를 HTTP 요청에 Enrichment
새로운 WAF 필드(`cf.intel.ip.*`)를 통해 위협 행위자(Threat Actor) 명칭, 표적 산업, 출발지/목적지 국가 기반 규칙 작성 가능
O(1) 상수 시간 조회를 활용한 마이크로초 단위 지연 시간으로 성능 저하 없이 위협 인텔리전스 적용
Threat Events 대시보드에서 원클릭(One-click) 규칙 생성 및 Saved Views를 WAF로 직접 내보내기 가능
Cloudforce One 구독 필수이며, Terraform/API 연동을 통한 IaC(Infrastructure as Code) 워크플로우 지원
알웨이즐온 탐지가 "로그 vs. 차단" 트레이드오프를 해소하는 원리
기존 WAF 운영에서 보안팀은 로그 모드(Visibility)와 차단 모드(Protection) 중 하나를 선택해야 했다. 차단 시 해당 요청에 대한 다른 시그니처의 평가 결과를 확인할 수 없어, 방어 강화를 위한 인사이트를 잃게 된다.
본 기능은 탐지(Detection)와 완화(Mitigation)의 분리를 통해 이 문제를 해결한다. 요청 처리 초기 단계에서 위협 인텔리전스 필드를 Enrichment하고, 규칙 매치 여부와 관계없이 모든 시그니처의 평가 결과를 기록한다. 이로 인해 로그 모드에서도 차단 결정에 필요한 데이터를 확보할 수 있다.
Cloudforce One 구독자라면 Threat Events 분석에서 어떤 위협 행위자가 사이트를 공격하는지, 해당 IP가 평소 어떤 산업을 표적으로 하는지 확인한 후 "스위치 전환"으로 차단을 활성화할 수 있다.
O(1) 상수 시간 조회가 수백만 위협 지표를 어떻게 처리하는가
본문의 핵심 아키텍처 언급에 따르면, 위협 인텔리전스 데이터셋은 고성능 압축 포맷으로 변환되어 전 세계 모든 클라우드플레어 데이터 센터에 분산된다. 요청이 네트워크에 도달하면 WAF는 로컬 데이터셋에 대해 O(1) 상수 시간 조회를 수행한다.
지연 시간 오버헤드: 마이크로초 단위로 측정되어 성능에 사실상 영향 없음
확장성: 10개 지표를 확인하든 1,000만 개를 확인하든 동일한 지연 시간
다중 매치 처리: 단일 IP가 여러 위협 벡터에 연관될 수 있으므로, 첫 번째 매치에서 멈추지 않고 연관된 전체 시그니처 세트를 동시 평가
결과적으로 "Attacker = RU" AND "Target Industry = Banking" 같은 규칙이 단일 패스에서 속성 교집합을 평가하여 계산 복잡도 증가 없이 다중 벡터 행위자에 대한 최대 커버리지를 제공한다.
cf.intel.ip.* 필드 구조와 WAF 규칙 작성 패턴
새로 공개된 WAF 필드는 5가지 유형의 신호를 WAF 엔진에 직접 제공한다.
`cf.intel.ip.attacker_names`: 위협 그룹 명칭(예: CRAVENFLEA, BLACKBASTA)
`cf.intel.ip.target_industries`: IP가 표적으로 하는 산업(예: Cryptocurrency, Automotive, Banking & Financial Services)
`cf.intel.ip.attacker_countries` / `cf.intel.ip.target_countries`: 출발지/목적지 국가
`cf.intel.ip.datasets`: 데이터 소스 피드(예: ddos, waf)
단일 IP가 여러 위협 행위자나 표적 산업에 연관될 수 있으므로, 이 필드들은 배열(Array)로 표현된다. 규칙 작성 시 `any()` 함수와 `[*]` 와일드카드를 사용하여 배열 내 모든 값을 확인한다.
본문에 따르면 Terraform 및 Cloudflare API를 통해 표준 WAF 필드로 완전히 지원되므로, IaC 워크플로우에 통합하기 용이하다.
Cloudforce One 구독 계층별 접근 권한과 도입 고려사항
본 기능은 Cloudforce One 구독 필수이며, 세 가지 계층으로 구성된다.
Essentials: Threat Events의 기본 데이터셋 접근, 지표 검색, 위협 헌팅(Threat Hunting) 조사 가능
Advantage: Threat Intelligence Analyst의 커스텀 인사이트를 요청 정보(RFI) 형태로 활용 가능
Elite: 전체 패키지로 브랜드 보호, 다수의 RFI 요청, 모든 Threat Events 데이터셋 접근 포함
도입 시 고려사항:
1. IaC 전환 비용: Terraform을 사용하지 않는 팀은 UI 기반rule builder로 시작 가능하지만, 대규모 배포 시 Terraform 전환 필요
2. 현재 IP 기반 매칭만 지원: JA3 핑거프린트 및 도메인 기반 매칭은 향후 확장 예정이므로, IP 로테이션 공격 대응에는 추가 대기 필요
3. 로그 분석 의존성: Threat Events 데이터의 가치를 극대화하려면 Security Analytics에 대한 투자와 분석 문화가 뒷받침되어야 한다.
