Cloudflare는 자체 보안을 위해 FIDO를 채택합니다.

과제:
제로 트러스트를 통한 직원 접근성 개선

Cloudflare가 설립되었을 때 이 회사는 직원들에게 가상 사설망(VPN)을 통해 내부 응용 프로그램에 대한 액세스 권한을 제공했습니다. VPN 뒤에 있는 일부 애플리케이션에 액세스하려면 일반적으로 Authy 또는 Google Authenticator와 같은 애플리케이션에서 생성된 일회용 암호(OTP)를 사용하여 수행되는 2단계 인증이 필요했습니다.

Cloudflare는 VPN보다 더 안전하고 확장 가능한 접근 방식이 필요하다는 것을 깨닫고 Cloudflare Access를 활용하는 Zero Trust 아키텍처로 전환하는 프로세스를 시작했습니다.

OTP에서 피싱 불가능한 FIDO 인증까지

제로 트러스트 아키텍처로의 마이그레이션의 일환으로 Cloudflare는 2018년부터 FIDO 기반 보안 키를 사용하기 시작했습니다.

FIDO2를 사용하는 목적은 Cloudflare의 제로 트러스트 모델을 가능하게 하는 강력한 인증을 제공하는 것이었습니다.

“저는 피싱되지 않는 것을 원했습니다”라고 Cloudflare의 엔터프라이즈 보안 책임자인 Derek Pitts는 말했습니다. “많은 ID 및 액세스 관리 인프라를 다시 실행하는 데 어려움을 겪는다면 미래 지향적이고 복원력이 있기를 원했습니다.”

선택적 시행을 통한 채택 장벽 극복

Cloudflare가 FIDO 보안 키를 채택하는 길은 완전히 순탄한 길은 아니었습니다. 처음에는 계정 복구 및 분실한 물리적 보안 키 교체에 대한 우려가 있었습니다.

또 다른 문제는 Cloudflare 사용자가 Google Authenticator(Authy)와 함께 OTP 기술을 사용하는 데 익숙하다는 사실이었습니다. 사용자 변경 회피 관리 및 교육은 OTP에서 FIDO 보안 키로 전환하는 데 있어 핵심 구성 요소였습니다. 이로 인해 Cloudflare는 잠재적으로 사용자를 잠글 수 있는 사용자에게 변경을 강요하지 않기 위해 선택적 시행 방식을 취했습니다.

Cloudflare가 한 일은 내부 사용자가 내부 사이트에 액세스하는 데 사용하는 액세스 ID 인식 프록시에 FIDO를 통합하는 것이었습니다. Cloudflare는 모든 내부 사이트에 FIDO를 즉시 요구하는 대신, 처음에는 3개의 사이트에서만 보안 키를 사용하도록 요구했습니다. FIDO 보안 키에 대한 선택적 적용은 2020년 7월 20일에 활성화되었으며, 이는 Twitter가 소셜 엔지니어링 공격의 희생양이 된 날입니다.

“그날은 아수라장이었고 우리는
우리에겐 그런 일이 일어나지 않았어요.” 피츠가 말했다.

Pitts는 가장 민감한 내부 앱 3개에 FIDO2/WebAuthn을 사용하도록 요구함으로써 직원들이 기술에 익숙해질 수 있는 교육의 장을 제공하면서 채택이 증가했다고 말했습니다. 2021년에 Cloudflare는 네트워크 전체에서 FIDO 보안 키를 요구하도록 전환했습니다.