http-requests

동적이며 신원 기반의 안전한 샌드박스 인증 (새 탭에서 열림)

AI 에이전트와 같은 신뢰할 수 없는 워크로드를 안전하게 실행하기 위해서는 샌드박스 환경이 필수적이지만, 외부 서비스와의 통신 시 보안과 편의성을 동시에 확보하는 것은 어려운 과제였습니다. 이를 해결하기 위해 도입된 '아웃바운드 워커(outbound Workers)'는 프로그래밍 가능한 이그레스 프록시를 통해 샌드박스 내부로 비밀 키를 노출하지 않고도 안전하고 유연한 인증을 구현합니다. 이 방식은 제로 트러스트 원칙을 준수하면서도 개발자에게 강력한 통제권과 관찰 가능성을 제공하여 AI 워크로드의 보안 수준을 획기적으로 높여줍니다. ### 샌드박스의 핵심 가치와 아웃바운드 워커의 역할 * 샌드박스는 마이크로VM 기술을 활용해 신뢰할 수 없는 사용자나 LLM이 호스트 시스템이나 다른 워크로드를 침해하지 못하도록 격리하는 보안 기능을 제공합니다. * 단순한 격리를 넘어, 사용자가 이전 상태를 빠르게 복구할 수 있는 속도와 플랫폼이 샌드박스 내부 동작을 제어할 수 있는 통제권이 핵심입니다. * 아웃바운드 워커는 샌드박스에서 나가는 모든 트래픽을 가로채는 프록시 역할을 하며, 이를 통해 외부 서비스 연결, 로깅 추가, 동적 인증 주입 등을 프로그래밍 방식으로 처리합니다. ### 기존 에이전트 인증 방식의 문제점 * **표준 API 토큰:** 환경 변수나 파일로 토큰을 직접 주입하는 방식은 가장 단순하지만, 샌드박스가 탈취되거나 에이전트가 실수로 토큰을 노출할 경우 보안에 치명적입니다. * **워크로드 ID 토큰(OIDC):** 보안성은 높으나 많은 외부 서비스가 이를 직접 지원하지 않아, 토큰 교환을 위한 별도의 서비스를 구축해야 하는 등 통합의 유연성이 떨어집니다. * **커스텀 프록시:** 높은 유연성을 제공하지만 모든 트래픽을 효율적이고 동적으로 가로채는 시스템을 직접 설계하고 운영하는 것은 기술적 난이도가 매우 높습니다. ### 아웃바운드 워커를 통한 지능형 인증 매커니즘 * **제로 트러스트 구현:** 샌드박스 내부의 에이전트에게 토큰을 절대 전달하지 않습니다. 대신 프록시 계층에서 요청을 가로채 인증 헤더(예: `x-auth-token`)를 안전하게 삽입합니다. * **세밀한 통제와 관찰:** 자바스크립트 코드를 통해 특정 호스트(예: `github.com`)에 대해서만 인증을 적용하거나, GET 요청 이외의 동작을 차단하고 로깅하는 정책을 손쉽게 설정할 수 있습니다. * **성능과 투명성:** 프록시가 샌드박스와 동일한 머신에서 실행되므로 지연 시간이 거의 없으며, 샌드박스 내부의 워크로드는 프록시의 존재를 모른 채 평소처럼 통신하면 됩니다. * **동적 정책 변경:** 런타임 중에 인증 규칙이나 접근 권한을 즉시 변경할 수 있어, 에이전트의 작업 단계에 따른 유연한 권한 관리가 가능합니다. AI 에이전트가 외부 도구와 상호작용해야 하는 환경을 구축한다면, 에이전트에게 직접 권한을 부여하기보다 아웃바운드 워커와 같은 투명한 프록시 계층을 활용하는 것이 권장됩니다. 이를 통해 보안 사고의 위험을 원천 차단하면서도 개발 복잡성을 획기적으로 줄일 수 있습니다.

로그 탐색기에서 멀티 (새 탭에서 열림)

Cloudflare Log Explorer는 애플리케이션 서비스와 Cloudflare One(Zero Trust) 포트폴리오를 아우르는 14개 이상의 데이터셋을 통합하여 다중 벡터(multi-vector) 공격에 대한 360도 가시성을 제공합니다. 보안 분석가는 애플리케이션 계층의 HTTP 요청, 네트워크 계층의 DDoS 및 방화벽 로그, 제로 트러스트 인증 이벤트를 상호 연관시켜 분석함으로써 평균 탐지 시간(MTTD)을 획기적으로 단축할 수 있습니다. 결과적으로 이 플랫폼은 정교하게 설계된 다층적 공격의 실체를 신속하게 파악하고 대응할 수 있는 강력한 포렌식 환경을 구축합니다. ### 클라우드 스택 전체를 위한 '비행 기록 장치' * Log Explorer는 애플리케이션의 모든 상호작용, 공격 시도, 성능 병목 현상을 캡처하는 '비행 기록 장치(Flight Recorder)' 역할을 수행하며, 중앙 집중화된 인터페이스를 통해 신속한 조사를 지원합니다. * Cloudflare는 사용자와 서버 사이의 에지(Edge)에서 작동하므로, 요청이 실제 기업 인프라에 도달하기 전에 모든 이벤트를 로깅하여 보안 사각지대를 제거합니다. ### 영역(Zone) 기반의 외부 트래픽 보안 로그 * **HTTP Requests & Firewall Events:** 애플리케이션 계층 트래픽의 기본 기록으로서 세션 활동을 재구성하고, WAF 규칙이나 IP 평판에 의해 차단된 위협의 구체적 증거를 제공합니다. * **DNS & Spectrum Logs:** DNS 캐시 포이즈닝 시도나 도메인 하이재킹을 식별하며, SSH/RDP와 같은 비웹(L4) 프로토콜에 대한 무차별 대입 공격을 모니터링합니다. * **Page Shield & Zaraz Events:** 사이트 내 자바스크립트의 무단 변경을 감시하고 제3자 스크립트의 데이터 상호작용을 감사하여 클라이언트 측 보안과 개인정보 보호를 강화합니다. ### 계정(Account) 기반의 내부 및 제로 트러스트 로그 * **Access & Gateway Logs:** 사용자의 신원 기반 인증 이벤트를 추적하고, 네트워크 전체(DNS/HTTP/L3)의 트래픽을 모니터링하여 섀도우 IT나 악성 페이로드 다운로드를 탐지합니다. * **Magic IDS & IPSec:** 네트워크 계층(L3/L4)에서 침입 탐지 시그니처를 대조하여 알려진 익스플로잇 패턴이나 터널 상태, BGP 라우팅 변경 등을 감시합니다. * **Device Posture & DEX:** 연결된 기기의 보안 준수 상태를 확인하고, 사용자 관점의 성능 지표를 통해 보안 사고와 단순 성능 저하를 구분합니다. * **CASB & Email Security:** SaaS 애플리케이션(Google Drive, MS 365 등)의 설정 오류와 데이터 노출 위험을 진단하고, 게이트웨이 단계에서 피싱 및 이메일 기반 공격 유입을 추적합니다. ### 단계별 공격 탐지 및 포렌식 활용 * **정찰 단계(Reconnaissance) 탐지:** `http_requests` 로그에서 특정 IP가 401, 403, 404 상태 코드를 과도하게 생성하거나 `/.env`, `/wp-admin` 같은 민감한 경로에 접근하는 패턴을 쿼리하여 스캐닝 도구를 식별합니다. * **네트워크 계층 분석:** `magic_ids_detections` 로그를 사용하여 단일 소스 IP가 짧은 시간 내에 여러 포트에서 시그니처 기반 탐지를 유발하는지 분석함으로써 Nmap 스캔이나 SYN 스텔스 스캔을 파악합니다. * **내부 이동 추적:** 자격 증명이 탈취된 경우, `Access` 및 `Audit` 로그를 통해 공격자가 내부 네트워크에서 이동한 경로와 변경한 구성 설정을 추적하여 피해 범위를 확정합니다. 보안 팀은 Log Explorer를 활용해 외부에서 유입되는 정찰 활동부터 내부망에서의 수평 이동(Lateral Movement)에 이르기까지 공격의 전 과정을 단일 플랫폼에서 시각화할 수 있습니다. 특히 다양한 로그 소스를 상호 참조함으로써 개별적으로는 무해해 보이는 활동들이 결합되어 발생하는 정교한 보안 위협을 효과적으로 차단할 것을 권장합니다.