과제:
제로 트러스트를 통한 직원 접근성 개선

Cloudflare가 설립되었을 때 이 회사는 직원들에게 가상 사설망(VPN)을 통해 내부 응용 프로그램에 대한 액세스 권한을 제공했습니다. VPN 뒤에 있는 일부 애플리케이션에 액세스하려면 일반적으로 Authy 또는 Google Authenticator와 같은 애플리케이션에서 생성된 일회용 암호(OTP)를 사용하여 수행되는 2단계 인증이 필요했습니다.

Cloudflare는 VPN보다 더 안전하고 확장 가능한 접근 방식이 필요하다는 것을 깨닫고 Cloudflare Access를 활용하는 Zero Trust 아키텍처로 전환하는 프로세스를 시작했습니다.

OTP에서 피싱 불가능한 FIDO 인증까지

제로 트러스트 아키텍처로의 마이그레이션의 일환으로 Cloudflare는 2018년부터 FIDO 기반 보안 키를 사용하기 시작했습니다.

FIDO2를 사용하는 목적은 Cloudflare의 제로 트러스트 모델을 가능하게 하는 강력한 인증을 제공하는 것이었습니다.

“저는 피싱되지 않는 것을 원했습니다”라고 Cloudflare의 엔터프라이즈 보안 책임자인 Derek Pitts는 말했습니다. “많은 ID 및 액세스 관리 인프라를 다시 실행하는 데 어려움을 겪는다면 미래 지향적이고 복원력이 있기를 원했습니다.”

선택적 시행을 통한 채택 장벽 극복

Cloudflare가 FIDO 보안 키를 채택하는 길은 완전히 순탄한 길은 아니었습니다. 처음에는 계정 복구 및 분실한 물리적 보안 키 교체에 대한 우려가 있었습니다.

또 다른 문제는 Cloudflare 사용자가 Google Authenticator(Authy)와 함께 OTP 기술을 사용하는 데 익숙하다는 사실이었습니다. 사용자 변경 회피 관리 및 교육은 OTP에서 FIDO 보안 키로 전환하는 데 있어 핵심 구성 요소였습니다. 이로 인해 Cloudflare는 잠재적으로 사용자를 잠글 수 있는 사용자에게 변경을 강요하지 않기 위해 선택적 시행 방식을 취했습니다.

Cloudflare가 한 일은 내부 사용자가 내부 사이트에 액세스하는 데 사용하는 액세스 ID 인식 프록시에 FIDO를 통합하는 것이었습니다. Cloudflare는 모든 내부 사이트에 FIDO를 즉시 요구하는 대신, 처음에는 3개의 사이트에서만 보안 키를 사용하도록 요구했습니다. FIDO 보안 키에 대한 선택적 적용은 2020년 7월 20일에 활성화되었으며, 이는 Twitter가 소셜 엔지니어링 공격의 희생양이 된 날입니다.

“그날은 아수라장이었고 우리는
우리에겐 그런 일이 일어나지 않았어요.” 피츠가 말했다.

Pitts는 가장 민감한 내부 앱 3개에 FIDO2/WebAuthn을 사용하도록 요구함으로써 직원들이 기술에 익숙해질 수 있는 교육의 장을 제공하면서 채택이 증가했다고 말했습니다. 2021년에 Cloudflare는 네트워크 전체에서 FIDO 보안 키를 요구하도록 전환했습니다.

개요


2010년에 설립된 Cloudflare 세계 최고의 중 하나입니다. 인터넷 콘텐츠 전송 및 보안 플랫폼.

개요
Cloudflare는 세계 최고 중 하나입니다. 가장 많이 배포된 보안 및 콘텐츠 전송 플랫폼. Cloudflare의 제품은 다음과 같습니다 다음을 포함한 다양한 서비스 웹 성능, 응용 프로그램 네트워크, 제로 트러스트 및 개발자 서비스.

Cloudflare의 네트워크 핸들 3,600만 개 이상의 HTTP 요청 초당 및 124개 이상의 블록 수 하루에 수십억 건의 사이버 공격이 발생합니다. 이 Cloudflare 네트워크가 끝났습니다. 200개의 접속 지점 지구본.

“선택적 집행은 결국 우리에게 큰 문제가 되었습니다”라고 Pitts는 말했습니다. “그것이 이 프로젝트를 성공으로 이끈 가장 큰 원동력 중 하나였습니다.”

Cloudflare의 블로그 “Cloudflare가 FIDO2 및 Zero Trust를 사용하여 하드웨어 키를 구현하여 피싱을 방지하는 방법”을 읽고 FIDO 인증 구현에 대해 자세히 알아보세요.

교훈:
할 수 있는 작은 승리를 거두세요

처음부터 강력한 인증을 향한 움직임은 Cloudflare의 CEO, CIO 및 CSO의 하향식 지원을 받았습니다. Pitts는 경영진의 동의를 얻는 것이 문제가 발생했을 때 팀이 밀어붙이는 데 도움이 되었기 때문에 중요하다고 말했습니다.

Cloudflare는 크고 복잡한 네트워크 아키텍처를 가지고 있으며 하룻밤 사이에 WebAuth/FIDO2로 이동하지 않았습니다. Pitts는 이 기술이 보안을 개선하는 데 도움이 될 수 있음을 증명하는 데 도움이 된 일련의 점진적인 작은 승리를 기반으로 성공한 다년간의 노력이었다고 말했습니다.

작은 승리 접근 방식은 Cloudflare의 선택적 시행 접근 방식을 통합했습니다. Pitts는 사용자가 보안 키를 사용해 보고 접근 방식에 익숙해질 수 있는 교육장을 마련하는 것이 중요하다고 말했습니다.


More

J:COM, 암호 없는 인증으로 전환

기업 개요 주식회사 제이콤(J:COM)은 전국 568만가구에 케이블TV(전문 채널, BS, 지상파 디지털), 고속 인터넷 접속, 스마트폰,…

자세히 보기 →

HiTRUST, Colatour Travel에 Passkeys 제공

비밀번호 분실이나 해커에 대한 걱정 없이 단 한 번의 터치나 미소로 꿈의 휴가를 예약한다고 상상해…

자세히 보기 →

Wedding Park, 내부 클라우드 서비스 로그인을 위해 전사적 암호 없는 인증 구축

기업 개요: 웨딩파크는 “결혼을 더 행복하게”라는 경영 이념으로 2004년에 설립되었습니다. 2024년 창립 20주년을 맞이하는 웨딩파크는…

자세히 보기 →


12317 다음