오늘은 Security Week 2025의 마지막 날입니다. 다양한 주제에 대한 블로그 게시물로 가득한 주간을 보낸 후 Cloudflare의 데이터 보안 제품에 대한 최신 정보를 공유하게 되어 기쁩니다.
이번 발표에서는 기업 보안 및 IT 팀에서 직원, 애플리케이션, 타사 도구의 보안을 모두 한 곳에서 관리하는 데 사용하는 Cloudflare의 SASE 플랫폼인 Cloudflare One에 대해 설명합니다.
오늘부터 Cloudflare One 사용자는 CASB(클라우드 액세스 보안 브로커) 제품을 사용하여 Amazon Web Services(AWS) S3 및 Google Cloud Storage를 통합하고 상태 및 데이터 손실 방지(DLP) 관련 보안 문제를 검사할 수 있습니다. 무료 계정을 생성하여 확인해 보세요.
사용자는 특정 시점에 연속적으로 스캔하여 ID 및 액세스 관리(IAM), 버킷, 개체 설정의 구성 오류를 식별하고 정규식을 사용하여 클라우드 스토리지 개체에서 사회보장번호, 신용 카드 번호, 기타 패턴 등의 중요한 정보를 감지할 수 있습니다.
지난 몇 년 동안, 주로 보안 및 IT 팀의 고객이 CASB의 단순성과 SaaS 보안 제품의 효과에 대해 감사하다는 뜻을 전해왔습니다. 다양한 지원되는 통합의 수, 설정의 용이성, Microsoft 365에서 공개적으로 공유된 파일과 Google Workspace에서 노출된 중요한 데이터 등 인기 있는 SaaS 플랫폼에서 중요한 문제를 빠르게 식별하는 기능 덕분에 많은 사람이 이 솔루션을 선택합니다.
하지만 고객과의 대화를 통해 한 가지 분명해진 사실은 모니터링되지 않거나 노출된 미사용 데이터의 위험은 SaaS 환경에만 국한되지 않는다는 것입니다. 지적 재산, 고객 데이터, 개인 식별자 등의 중요한 정보가 잘못된 사람의 손에 넘어가면 조직의 평판과 고객에 대한 의무에 큰 타격을 받을 수 있습니다. 많은 고객의 경우, AWS, GCP 등의 클라우드 공급자에게 저장된 데이터의 보안은 SaaS 도구의 데이터 보안보다 훨씬 더 중요합니다.
그래서 저희는 Cloudflare CASB를 확장하여 Cloud 데이터 손실 방지(DLP) 기능을 포함함으로써 사용자가 Amazon S3 버킷과 Google Cloud Storage의 개체를 스캔하여 중요한 데이터가 일치하는지 확인할 수 있도록 했습니다.
Cloudflare DLP를 사용하면 일반적인 데이터 유형(예: 사회보장번호 또는 신용 카드 번호)을 찾는 미리 구축된 감지 프로필 중에서 선택하거나 정규 표현식을 사용하여 사용자 지정 프로필을 만들 수 있습니다.. DLP 프로필과 일치하는 개체가 감지되는 즉시 파일의 세부 정보를 파악하고, 파일의 컨텍스트를 이해하며, 파일 소유자를 확인하는 등의 작업을 수행할 수 있습니다. 이러한 기능 덕분에 데이터를 신속하게 보호하고 노출을 방지하는 데 필요한 인사이트가 실시간으로 제공됩니다.
모든 CASB 통합과 마찬가지로 이 새로운 기능에는 상태 관리 기능도 함께 제공되므로 AWS나 GCP를 사용하든 공개적으로 액세스 가능한 버킷이나 중요한 로깅 설정이 비활성화된 버킷, 회전이 필요한 액세스 키 또는 다중 인증(MFA)이 없는 사용자와 같이 데이터를 취약하게 만들 수 있는 잘못된 구성 및 기타 클라우드 보안 문제를 식별하는 데 저희가 도움을 드립니다. 여기에는 모든 기능이 포함되어 있습니다.
기본적으로 단순하며 원하는 위치에서 구성 가능
Cloudflare CASB 및 DLP는 기본적으로 사용이 간편하므로 즉시 쉽게 시작할 수 있습니다. 또한 구성이 가능하기 때문에 특정 요구 사항에 맞게 스캐닝 프로필을 유연하게 미세 조정할 수 있습니다.
예를 들어, 스캔할 스토리지 버킷이나 파일 유형을 조정하고 분석을 위해 개체의 일정 비율만 샘플링할 수도 있습니다. 스캔은 자체 클라우드 환경에서도 실행되므로 데이터가 인프라를 벗어나지 않습니다. 이러한 접근 방식을 통해 클라우드 스토리지를 안전하게 유지하고 비용을 관리하면서 조직의 고유한 규제 준수 및 보안 요구 사항에 맞춰 솔루션을 조정할 수 있습니다.
향후 로드맵에는 Azure Blob Storage 및 Cloudflare R2와 같은 추가 클라우드 스토리지 환경으로 지원을 확대하여 포괄적인 멀티클라우드 보안 전략을 더욱 확장하는 것도 포함됩니다. 자세한 내용은 계속 지켜봐 주세요!
Cloudflare는 처음부터 클라우드 환경 전반에서 DLP 기능을 제공하려면 노출된 중요한 데이터를 실시간으로 감지할 수 있는 효율적이고 확장 가능한 설계가 필요하다는 것을 알고 있었습니다.
간소화된 처리를 위한 서버리스 아키텍처
초기 설계에서는 서버리스 아키텍처 접근 방식을 활용하여 중요한 데이터 검색의 효율성과 확장성을 모두 보장하기로 결정했습니다. 그 작동 방식은 다음과 같습니다.
컴퓨팅 계정: 전체 프로세스는 컴퓨팅 계정이라고 하는, 귀사 조직에서 소유한 클라우드 계정 내에서 실행됩니다. 이러한 설계 덕분에 데이터가 경계 내에 유지되므로 비용이 많이 드는 클라우드 송신료를 피할 수 있습니다. 제공된 Terraform 템플릿을 사용하여 15분 이내에 컴퓨팅 계정을 시작할 수 있습니다.
컨트롤러 기능: 매분 클라우드 환경의 가벼운 서버리스 컨트롤러 기능이 Cloudflare의 API와 통신하여 Cloudflare One 계정에서 최신 DLP 구성 및 보안 프로필을 가져옵니다.
크롤러 프로세스: 컨트롤러에서 개체 검색 작업이 트리거되며, 이 작업은 크롤러라고 하는 두 번째 서버리스 기능에 의해 처리됩니다. 크롤러는 API 를 통해 AWS S3 또는 Google Cloud Storage와 같은 클라우드 스토리지 계정을 쿼리하여 새 개체를 식별합니다. Redis는 컴퓨팅 계정 내에서 아직 평가되지 않은 개체를 추적하는 데 사용됩니다.
중요한 데이터 스캔: 새로 발견된 개체는 대기열을 통해 스캐너라는 세 번째 서버리스 기능으로 전송됩니다. 이 기능에서 개체가 다운로드되고 해당 콘텐츠가 컴퓨팅 계정의 DLP 엔진으로 스트리밍되어 사전 정의된 DLP 프로필 또는 사용자 지정 DLP 프로필과 일치하는 항목이 검색됩니다.
결과 생성 및 알림: DLP와 일치하는 항목이 발견되면 컨텍스트 및 소유권 세부 정보 등 개체에 대한 메타데이터가 대기열에 게시됩니다. 이 데이터는 Cloudflare에서 호스팅하는 서비스에서 수집되고 Cloudflare Dashboard에 결과로 표시되어 보안 팀에서 신속한 조치를 취하는 데 필요한 가시성이 제공됩니다.
확장 가능하고 안전한 설계
DLP 파이프라인은 개인정보 보호 우선 접근 방식으로 중요한 데이터가 클라우드 환경을 벗어나지 않도록 보장합니다. 컴퓨팅 계정과 Cloudflare의 API 간의 모든 통신은 컨트롤러에 의해 시작되므로 수신 트래픽을 허용하기 위해 구성을 추가로 실행할 필요가 없습니다.
시작하려면 귀사의 계정 팀에 문의하여 이 새로운 데이터 보안 기능과 Cloudflare의 로드맵에 대해 자세히 알아보세요. 직접 사용해보고 싶으시면 Cloudflare One 대시보드에 로그인하고(무료 계정이 없는 경우 여기에서 생성) CASB 페이지로 이동하여 첫 번째 통합을 설정할 수 있습니다.