비인간 주체(Non-Human Identities), 즉 에이전트, 스크립트, 서드파티 도구의 보안 취약점(Credential Leaks, User Impersonation)을 해결하기 위한 Cloudflare의 업데이트
토큰 스캔(Token Scanning), OAuth 가시성(OAuth Visibility), 리소스 기반 RBAC(Resource-Based RBAC)를 통해 API 토큰(API Token) 관리 및 권한 제어 강화
GitHub Secret Scanning 프로그램과의 협력을 통해 토큰 유출 감지 및 자동 폐기(Automated Revocation) 기능 제공
OAuth 앱(OAuth Apps) 관리 기능 개선으로 서드파티 앱(Third-party Apps) 접근 권한에 대한 가시성 확보
리소스 기반 권한 설정(Resource-Scoped Permissions) 확대를 통해 최소 권한(Least Privilege) 원칙 준수
본문에서 Cloudflare는 GitHub Secret Scanning 프로그램과 협력하여 API 토큰 유출을 감지하고 자동 폐기하는 시스템을 구축했다.
토큰 형식(Token Format) 변경: `cfk_`, `cfut_`, `cfat_`와 같은 접두어와 체크섬(Checksum)을 추가하여 토큰 식별(Token Identification) 정확도를 높임
GitHub Secret Scanning: GitHub에 토큰이 유출되면 즉시 감지하여 Cloudflare에 알림을 전송하고, Cloudflare는 해당 토큰을 무효화
Cloudflare One 고객 대상 기능: 네트워크 트래픽, 아웃바운드 이메일, 데이터 저장소(Data at Rest)에서 토큰 유출을 방지하는 DLP(Data Loss Prevention) 프로파일 제공
이러한 시스템은 개발자가 실수로 토큰을 유출하더라도 피해를 최소화(Damage Minimization)하는 데 기여한다.
Cloudflare는 OAuth를 통해 연결된 서드파티 애플리케이션(Third-party Application)에 대한 가시성(Visibility)을 강화하여 보안을 향상시켰다.
접근 권한 검토: 서드파티 앱의 이름, 로고, 게시자 정보와 함께 요청하는 권한(Scopes)을 명확하게 표시
권한 관리: 연결된 애플리케이션 목록을 제공하여 권한 취소(Revocation) 및 관리 용이성 증대
최소 권한(Least Privilege) 원칙 준수: 애플리케이션이 실제로 필요한 권한만 요청하도록 유도하여 보안 위험(Security Risk) 감소
이러한 개선 사항은 개발자가 자신의 계정에 접근 권한을 가진 서드파티 앱을 더 잘 이해하고 관리할 수 있도록 돕는다.
Cloudflare는 RBAC(Role-Based Access Control) 시스템을 개선하여 리소스 수준에서 권한을 세분화했다.
권한 구성 요소: Principal, Role, Scope로 구성되며, Scope를 통해 권한 적용 범위(Permission Scope)를 특정 리소스(Resource)로 제한
새로운 역할(New Roles) 추가: Account 및 Zone 수준에서 다양한 제품에 대한 새로운 역할을 추가하여 권한 관리(Permission Management) 유연성 증대
API 토큰 생성 경험 개선: API 토큰 생성 및 관리를 Cloudflare Dashboard에서 간편하게 수행 가능
이러한 변화는 개발자가 최소 권한(Least Privilege) 원칙을 준수하고, 보안 사고 발생 시 피해 범위를 최소화하는 데 기여한다.
Cloudflare는 API 토큰 형식을 변경하여 토큰 식별(Token Identification) 및 관리 효율성을 높였다.
새로운 토큰 형식: `cfk_`, `cfut_`, `cfat_`와 같은 접두어와 체크섬(Checksum)을 추가하여 토큰의 유효성 검증(Token Validation) 및 식별 용이성을 높임
자동화된 스캔(Automated Scanning) 지원: GitHub Secret Scanning과 같은 도구에서 토큰을 더 정확하게 감지할 수 있도록 지원
기존 토큰 호환성: 기존 토큰은 계속 작동하지만, 새로운 토큰 형식을 사용하는 것이 권장됨
이러한 변경은 토큰 유출 시 피해를 최소화(Damage Minimization)하고, 보안 관리의 효율성을 높이는 데 기여한다.
Cloudflare One 고객은 DLP(Data Loss Prevention) 프로파일을 통해 다양한 환경에서 토큰 유출을 방지할 수 있다.
네트워크 트래픽(Network Traffic): Cloudflare Gateway를 통해 네트워크를 오가는 Cloudflare API 토큰을 감지하고 차단
아웃바운드 이메일(Outbound Email): Microsoft 365 고객은 DLP Assist를 통해 이메일 전송 전에 토큰을 감지
데이터 저장소(Data at Rest): Cloud Access Security Broker(CASB)를 통해 SaaS 애플리케이션에서 저장되거나 공유된 토큰을 스캔
AI 트래픽(AI Traffic): Cloudflare AI Gateway를 통해 AI 모델의 프롬프트 및 응답에서 토큰을 실시간으로 스캔 및 차단
이러한 기능들은 Cloudflare One 고객이 다양한 공격 벡터(Attack Vector)로부터 보호받을 수 있도록 돕는다.