Building a security overview dashboard for actionable insights

Context

보안팀은 매일 여러 대시보드를 오가며 로그를 검색해야 하는데, 과도한 데이터 없이는 맥락 없는 알림만 증가하고 있었다. 단일 설정 오류를 식별하기 위해 여러 도구를 오가면서 사건 예방의 시간을 잃고 있었다.

Technical Solution

• 마이크로서비스 기반 체커 시스템 도입: 각 체커는 DNS 레코드, SSL 인증서, AI 봇 설정 등 스택의 특정 부분을 전담하는 주제별 전문가로 구성
• 이중 실행 모드 구현: 스케줄된 설정 검사(오케스트레이터가 주기적으로 작업 배포)와 실시간 리스너(이벤트 발생 즉시 위험 플래깅) 병렬 운영
• Security Action Items 기능 추가: 취약점을 자동으로 표면화해 사냥 작업 제거, Critical/Moderate/Low 3단계로 심각도 분류
• Detection Tools 모듈 신설: 전체 Cloudflare 보안 스택의 고수준 상태를 단일 뷰에서 제공(활성 상태 vs 로그 전용 모드 확인)
• Suspicious Activity 카드 통합: Security Overview와 Security Analytics 페이지 간 직접 링크로 필터 자동 적용, 탭 전환 오버헤드 제거

Impact

엔진이 매일 1천만 개 이상의 실행 가능한 인사이트를 생성 및 갱신한다. CNAME 레코드 분석 시 S3 같은 취약 제공자를 Critical로 표시한다. 높은 TTL(예: 24시간)의 레코드 삭제 후 전 세계 리졸버의 캐시 유지 시간 정보를 제공한다.

Key Takeaway

보안 시스템은 감지와 조사 사이의 기능적 다리를 구축해야 한다. 대규모 데이터 처리는 수평적 확장 가능한 전문화된 마이크로서비스로 분리하고, 실시간과 배치 두 경로를 통해 위험을 감지해야 한다.