테일스케일은 어떻게 작동하는가

많은 분들이 테일스케일이 어떻게 작동하는지 궁금해 하십니다. 그래서, 테일스케일의 작동 원리를 처음부터 끝까지 디테일하게 설명드리려고 합니다. 여기서 설명된 노드 소프트웨어는 오픈소스이며, 테일스케일은 유연한 무료 플랜을 제공합니다. 

 

데이터플레인: WireGuard®

테일스케일은 와이어가드(WireGuard), 특히 유저스페이스 고(userspace Go) 의 변형인, 와이어 가드-고(wireguard-go)를 기본으로 합니다. 와이어가드는 컴퓨터, VM 또는 컨테이너 (와이어가드에서는 "종료점"(endpoint)라고 부름, 우리는 “노드"(node)라 칭함), 그리고 네트워크안의 다른 노드간에 매우 가벼운 암호화 된 터널 세트를 만듭니다.

와이어가드 사용자를 포함한 VPN 사용자는 대부분 "허브 앤 스포크"(hub and spoke)아키텍처를 구축하여 각 클라이언트 장치(예를들어, 노트북 컴퓨터)가 중앙 "집선 장치"또는 VPN 게이트웨이에 연결되게 합니다.

 

허브 앤 스포크 네트워크

그림1. 기존의 허브 앤 스포크 VPN

허브 앤 스포크 네트워크는 노드를 직접 연결하려는 각 노드의 공용 키, 공용 IP 주소 및 포트 번호를 알아야하기 때문에 와이어가드를 설정하는 가장 쉬운 방법입니다. 반면에, 10개의 노드를 완전히 연결하려면, 각 노드는 9개의 피어 노드, 즉, 90 개의 개별 터널을 구축해야 합니다. 허브 앤 스포크에는 하나의 중앙 허브 노드와 9 개의 아웃라이어가 바큇살 모양으로 연결되어 있어 훨씬 간단합니다. 허브 노드는 일반적으로 고정 IP 주소를 가지고 방화벽(firewall)에 연결되어 있어, 외부에서 쉽게 이 고정 IP주소를 찾아낼 수 있습니다. 이러한 취약점은, 방화벽 밖의 외부 노드 또한 클라이언트-서버 인터넷 프로토콜과 같은 방식으로 허브에 연결 될 수 있게 합니다.

 

허브 앤 스포크 구조는 잘 작동하지만 단점이 있습니다. 우선, 오늘날 대부분의 기업은 여러 사무실, 클라우드 데이터 센터, 지사,  리전, VPC(Virtual Private Cloud:가상 사설 클라우드) 등이 여러 곳에 분포되어 있어 허브로 지정할 만한 단일 장소가 없습니다. 기존의 VPN 설정에서 기업은 단일 VPN 집중 장치를 구성한 후 위치 간에 보조 터널 (주로, IPsec 사용)을 구축합니다. 따라서, 원격 사용자는 어딘가에  한곳에 위치해 있는 VPN 집중 장치에 도착한 다음 또 다시 최종 목적지로 트래픽을 전달합니다.

 

이런 기존의 방법은 확장성이 낮습니다. 우선, 원격 사용자는 VPN 집중 장치에 가까이 있거나 멀리 위치해 있을 수 있습니다. 만약, 사용자가  멀리 떨어져 있으면 연결 시간이 길어집니다. 그 뿐만아니라, 사용자가 도달하고자하는 데이터 센터가 VPN 집중 장치에서 가깝지 않을 수도 있습니다. 멀리 떨어져 있으면 다시 긴 대기 시간이 발생합니다. 예를들어, 뉴욕에있는 직원이 샌프란시스코 본사에있는 회사의 VPN 집중 장치 또는 BeyondCorp 프록시를 통해 뉴욕에있는 서버에 접속하려고 한다고 상상해보십시오.

그림2(a). 기존 VPN 집중 장치를 통한 비효율적인 라우팅

다행히 와이어가드는 다릅니다. 위에서 언급 한 "초경량 터널"을 만들었던 방법을 기억하십니까? 터널은 매우 가볍기 때문에 별 문제없이 멀티 허브를 구축할 수 있습니다.

그림2(b). 와이어가드의 멀티 포인트 VPN은 트래픽을 보다 효율적으로 라우팅합니다.

유일한 문제는 이제 각 데이터 센터에 고정 IP 주소, 열린 방화벽 포트 및 와이어가드 키 세트가 필요하다는 것입니다. 새 사용자를 추가 할 때 새 키를 5 대의 서버 모두에 배포해야합니다. 새 서버를 추가 할 때도 새로운 서버의 키를 모든 사용자에게 배포해야합니다. 이는 하나의 허브보다 약 5 배 많은 작업을 필요로 하지만, 와이어가드를 사용하면 그것은 어려운 일이 아닙니다.

 

메시 네트워크

허브 앤 스포크 네트워크를  와이어가드와 병합하는 것은 약간 지루하지만 어려운 일은 아니며, 안전한 키 관리를 위한 방법은 아래에서 설명하도록 하겠습니다.

 

허브 앤 스포크 구조에는 근본적으로 어색한 점이 있는데, 그것은 개별 노드가 서로 대화하지 못하게 한다는 것입니다. 혹시 컴퓨터가 클라우드를 통하지 않고 파일을 직접 교환하던 때를 기억하십니까? 예전에는 인터넷이 모두 이런 방법으로 작동했었습니다. 하지만, 안타깝게도, 현대 인터넷 아키텍처는 거의 우연히 이런 종류의 허브 앤 스포크 디자인으로 발전해 왔기 때문에 개발자들은 피어 투 피어 앱 구축을 중단했습니다.

 

위에서 언급한 “매우 가벼운”와이어가드 터널을 기억하십니까? 모든 노드를 다른 모든 노드에 직접 연결할 수 있다면 좋지 않을까요? 이를 메시 네트워크라고 부릅니다.

그림3. Tailscale 포인트 투 포인트 메시 네트워크는 대기 시간을 최소화합니다. 

이 메시네트워크를 통해 피어 투 피어 응용 프로그램을 디자인 할 수는 있지만, 이는 매우 까다로울 수있습니다. 왜냐하면, 위에서 언급한 것처럼, 10개의 노드 네트워크에는 10 x 9 = 90 와이어가드 터널이 필요하며 모든 노드는 자신의 고유 키 뿐만 아니라 다른 9개 노드 네트워크의 키 또한 알아야 하기 때문입니다. 더불어, 키를 변경,추가,삭제 하거나, 사용자를 추가,삭제 할때에도 각 노드를 업데이트해야합니다. 

 

게다가, 노드는 모두 어떻게든 다른 노드들을 찾아야합니다. 대부분 고정 IP 주소를 가지고 있지 않은 사용자 장치들 중 하나가 움직일 때마다 다시 연결해야 함을 뜻합니다.

 

그리고, 사용자는 카페, 호텔, 공항에서 들어오는 연결을 허용하기 위해 모든 단일 노드에 대해 방화벽 포트를 쉽게 열 수 없습니다.

 

또한, 위의 과정을 통과 했다 해도, 기업 규정 요구 사항이있는 경우, 더 이상 모든 노드가 중앙 장치를 통과하지 않더라도 모든 노드 간의 트래픽을 차단하고 감사(Audit) 할 수 있어야합니다. 

 

테일 스케일은 이 모든 것을 가능하게 합니다! 앞으로, 어떻게 그것을 가능하게 하는 지 방법에 대해 이야기하겠습니다. 여기서부터는 조금 복잡해집니다.

 

컨트롤 플레인(Control plane) : 키 교환 및 조정

지금까지 와이어가드로 한 번에 여러 항목을 연결했습니다. 이제, 모든 것이 다른 모든 것에 연결되는 메쉬 네트워크를 구축하려고합니다.

 

쉬운 설명을 위해, 복잡한 방화벽과 동적 IP 주소는 뒤로 미뤄두고, 현재 전 세계가 고정 IP(IPv6)를 사용하며 방화벽이 존재하지 않거나 포트를 쉽게 열 수 있다고 가정해 봅시다.

 

어떻게 간단하고 안전한 형태의 인증서인 와이어가드 ‘암호화 키’ 를 모든 장치에 제공할 수 있을까요?

 

테일스케일은 오픈 소스 Tailscale 노드 소프트웨어를 사용 하여, 공개 키를위한 공유 드롭 박스 인“조정 서버”(login.tailscale.com)와 접촉합니다.

그림 4. Tailscale 공개 키 및 메타 데이터는 중앙 조정 서버를 통해 공유됩니다.

잠깐, 다시 허브 앤 스포크 구조로 돌아온 것일까요? 정확히는 아닙니다. 소위 "컨트롤 플레인"은 허브와 스포크이지만 트래픽이 없고, 단지 몇 가지 작은 암호화 키 교환 및 정책 설정을 할 뿐이기 때문입니다. 여전히, 데이터 평면은 메쉬입니다.

 

(테일스케일은 이 하이브리드 중앙 분산 모델을 선호합니다.왜냐하면, 기업들은 일반적으로 중앙 제어를 원하지만 데이터에 대한 중앙 병목 현상을 원하지 않기 때문입니다. 기존의 VPN 집중 장치는 중앙제어를 함과 동시에 데이터 역시 집중화하기 때문에 특히 트래픽이 많을 때는 더욱 성능이 제한됩니다. 반대로, 테일스케일의 데이터처리 능력은 노드 수 증가와 함께 증가합니다.)

 

아래 설명은 테일스케일의 작동 방법입니다. 

1. 각 노드는 자체 노드에 임의의 공개/개인 키 쌍을 생성하고 공개 키와 해당 아이덴티티를 연결시킵니다 (아래의 로그인 참조).

2. 노드는 조정 서버에 접속해 공개 키와 현재 해당 노드를 찾을 수있는 위치 및 그 노드가 어떤 도메인에 있는지에 대한 메모를 남깁니다.

3. 노드는 다른 노드에 의해 조정서버에 남겨진 공개 키 및 주소 목록을 자신의 도메인에 다운로드합니다.

4. 노드는 적합한 공개 키 세트를 사용하여 와이어가드 인스턴스를 구성합니다.

개인 키는 절대 노드를 떠나지 않습니다. 이는 개인 키가 와이어가드 세션을 협상 할 때 해당 노드를 가장(impersonate)하는 데 사용될 수있는 유일한 방법이기 때문에 중요합니다. 결과적으로 해당 노드만이 자체에서 주소가 지정된 패킷을 암호화하거나 자체로 주소가 지정된 패킷을 해독 할 수 있습니다. 테일 스케일 노드 연결은 엔드 투 엔드 암호화 (제로 트러스트 네트워킹)로 구성됩니다.

 

허브 앤 스포크 네트워크와 달리 암호화되지 않은 패킷은 유선을 통해 전송할 필요가 없고, 어떤 중개자도 이를 검사 할 수 없습니다. (단, 서브넷을 사용하는 경우는 예외입니다. 서브넷은 점진적 배포에 유용하며, 테일스케일을 통해 구현 가능합니다. 사용자는 새로운 스타일의 메시 연결과 제로 또는 더 오래된 방식인 패킷을 해독하는 "허브"를 결합한 하이브리드 네트워크를 구성하고, 이를 기존의 물리적 레거시 네트워크로 보낼 수 있습니다.)

 

로그인 및 이중인증(2FA)

조정서버는 어떻게 어떤 공개 키가 어떤 노드에 전송되어야 하는지 알 수 있을까요? 공개 키는 말 그대로 공개키이기 때문에 다른 사람에게 유출되거나 공개 웹 사이트에 게시된다고 해도 무해합니다. 이는 인증키(authorized_keys) 파일이있는 ssh 서버와 정확히 같은 상황이므로 공개 ssh 키를 비밀로 유지할 필요는 없지만 여전히 ​​어떤 공공 키를 인증키에 넣는지는 조심해야 합니다.

 

인증을 하는데는 여러 가지 방법이 있습니다. 잘 알려진 방법은 PSK (사전 공유 키)라고도하는 ‘사용자 이름 + 암호’ 시스템을 구축하는 것입니다. 노드를 설정하려면 서버에 연결하고 사용자 이름과 비밀번호를 입력 한 다음 공개 키를 업로드하고 사용자의 계정 또는 사용자의 도메인에 있는 다른 계정에서 다른 공개 키를 다운로드합니다. 만약, 더 강화된 보안을 원한다면 SMS, Google Authenticator, Microsoft Authenticator 등과 같은 2 단계 인증 (2FA, MFA라고도 함)을 추가 할 수도 있습니다.

 

또한, 시스템 관리자는 장치 인증서(Machine certificate)를 사용하여 시스템을 설정할 수도 있습니다. 이는 사용자 계정이 아닌 장치에 영구적으로 (또는 반영구적으로) 키를 속하게 하는 것입니다. 따라서, 올바른 사용자 이름과 암호를 사용하더라도 신뢰할 수없는 장치가 조정 서버에 새 키를 게시 할 수 없도록 보호 할 수 있습니다.

 

Tailscale은 위에 설명한 개념을 기반으로 조정 서버를 운영합니다. 그러나, 사용자 인증은 자체적으로 처리하지 않고, OAuth2, OIDC (OpenID Connect) 또는 SAML 공급자에게서 아웃소싱합니다. 가장 인기 있는 업체들은 Gmail, GSuite 및 Office365입니다.

그림 5. 컨트롤 플레인의 테일스케일 2FA 인증 흐름.

인증 공급자는 도메인의 사용자 목록, 비밀번호, 2FA 설정 등을 유지 관리합니다. 이를 통해 VPN에 대해 별도의 사용자 계정 또는 인증서를 유지할 필요가 없습니다. 사용자는 Google 문서, Office 365 및 기타 웹 앱에 사용하기 위해 이미 설정한 인증을 사용할 수 있습니다. 또한, 모든 개인 사용자 계정 및 로그인 데이터가 다른 서비스에서 호스팅되므로 테일스케일은 사용자의 개인 식별 정보 (PII)를 최소한으로 유지하면서 매우 안정적인 중앙 조정 서비스를 운영 할 수 있습니다. (자세한 내용은 개인 정보 보호 정책을 참고바랍니다.)

 

또한 테일스케일은 단일 인증, 계정 생성 및 제거, 암호 복구 및 2FA 설정 방법을 변경할 필요가 없습니다. 왜냐하면, 그것은 사용자가 이미 가지고있는 것과 정확히 같기 때문입니다.

 

그리고, 이 모든 것 덕분에 테일스케일 도메인은 로그인하는 순간 즉시 활성화 가능합니다. 예를 들어, App Store에서 macOS 또는 iOS 앱을 다운로드하여 계정에 로그인하면 도메인에 대한 보안 키 드롭 상자가 즉시 생성되어, Windows 또는 Linux 서버와 같이 해당 계정 또는 도메인의 다른 장치와 공개 키를 교환 할 수 있습니다.

 

그리고 방금 살펴본 바와 같이 공개 키가 각 노드에 다운로드되고 각 노드가 서로에 대한 초경량 터널을 사용하여 와이어가드를 구성합니다. 짜잔! 2 분안에 메시 네트워크 구성되었습니다!

 

NAT traversal

위에서 우리는 모든 노드에 고정 IP 주소와 들어오는 와이어가드 트래픽을위한 개방형 방화벽 포트가 있다고 가정했습니다. 하지만, 실제로는 그럴 가능성이 적습니다. 많은 경우, 노드는 카페나 비행기안, 혹은 달리는 차안에 있습니다. 그 중, 최악의 경우에는 다음과 같습니다.

그림 6. 두 노드 모두 별도의 NAT 방화벽 뒤에 위치해 있어도 테일스케일은 이둘을 연결할 수 있습니다.

이것은 포트가없는 두 개의 NAT입니다. 기존에는 일반적으로 방화벽에서 uPnP를 활성화하려고 시도했지만 이는 거의 작동하지 않으며, 혹 작동할 시에는, 관리자가 끄기 전까지는 위험할정도 ’잘’  작동합니다.

 

깊게 들어가자면 내용이 매우 길어지므로, 일단, Tailscale은 STUN 및 ICE 인터넷 표준을 기반으로 여러 가지 고급 기술을 활용하여, 위와 같은 연결을 가능하게 한다고 말해둡시다. 또한, 방화벽 구성이나 자유롭게 접근 가능한 개방형 포트가 필요 없으므로 인적 오류 가능성이 크게 줄어 듭니다.

 

암호화 된 TCP 릴레이 (DERP)

간혹 어떤 네트워크는 UDP를 완전히 차단하거나, 혹은 매우 엄격한 기준 때문에 STUN 및 ICE를 사용하여 연결 할 수 없습니다. 이러한 경우, 테일스케일은 DERP 서버 (지정된 암호화 릴레이 패킷) 를 제공합니다. 이를 통해, ICE 표준에서의 TURN 서버와 동일한 역할을 수행하지만 쓸모없어진 구식의 TURN 권장 사항 대신 HTTPS 스트림 및 와이어가드 키를 사용합니다.

DERP를 통한 릴레이는 다음과 같습니다.

그림 7. Tailscale은 각 수신자에게 가장 가까운 DERP를 통해 트래픽을 비대칭으로 라우팅합니다.

여담으로, 위의 예는 간단한 표현을 위해 미국의 경우를 보여주고 있지만, 실제로 테일스케일은 전세계에 분산 된 릴레이 서버 네트워크를 보유하고 있습니다.

 

테일 스케일 개인 키는 키가 생성된 노드를 떠나지 않습니다. 이는 DERP 서버가 트래픽을 해독 할 수있는 방법이 없음을 의미하며, 이미 암호화 된 트래픽을 한 노드에서 다른 노드로 전달하는 역할만을 합니다. 또한, 남용을 방지하기 위해 난이도가 조금 더 높은 프로토콜을 사용하지만, 인터넷의 다른 라우터들과 같은 역할을 합니다.

 

인터넷상의 많은 사람들은 OpenVPN처럼 와이어가드가 TCP를 지원하는지 궁금해합니다. 현재 이 기능은 와이어가드 자체에 내장되어 있지 않지만 오픈 소스 Tailscale 노드 소프트웨어에는 DERP 지원이 포함되어 있으며, 이 기능도 추가되었습니다. 시간이 지나면 와이어가드 자체에이 기능을 포함하도록 코드를 리팩터링 할 가능성도 있습니다. (테일스케일은 이미 ‘와이어가드-고’에 대한 여러 수정 및 개선에 기여했습니다) 또한, 여러분들은 오픈 소스인 (간단한) DERP 릴레이 서버 코드 를 통해 작동 방식을 정확히 알아 볼 수 있습니다.

 

보너스 : ACL 및 보안 정책

사람들은 종종 VPN을 "보안"소프트웨어라고 생각합니다. VPN은 암호화 및 공개키/개인 키 및 인증서로 채워져 있기 때문에 이러한 분류는 분명해 보입니다. 그러나 VPN은 실제로 "연결성"소프트웨어 범주에 적합합니다. 왜냐하면, VPN은 개인 네트워크에 연결할 수있는 장치 수를 증가시킬뿐, 보안 소프트웨어처럼 감소시키지 않기 때문입니다.

 

결과적으로 VPN 집중 장치 (허브 및 스포크 모델)는 일반적으로 방화벽과 연결되며, 때로는 함께 판매되기도합니다. 모든 트래픽은 개별 클라이언트 장치에서 발생하고, VPN 집중 장치를 통과 한 다음 방화벽으로 흘러 들어가 IP 주소를 기반으로 액세스 제어를 적용하고 마지막으로 네트워크 자체에 적용됩니다.

 

이 모델은 효과가 있지만 고통이 따릅니다. 우선, 방화벽 규칙은 일반적으로 사용자나 역할이 아닌 IP 주소를 기반으로하므로 안전하게 구성하기가 매우 까다로울 수 있습니다. 그 결과, 전송 또는 응용 프로그램 계층에서 더 많은 인증 계층을 추가해야합니다. 왜 SSH 또는 HTTPS가 필요할까요? 네트워크 계층이 너무 안전하지 않아 신뢰할 수 없기 때문입니다.

 

둘째, 방화벽은 종종 기업 주변에 흩어져 있으므로 개별적으로 구성해야합니다. 다중 허브 네트워크가있는 경우, 예를 들어, 다른 지리적 위치에 다른 VPN 집중 장치가있는 경우에는 각각의 방화벽을 구성해야 하고, 그렇지 못할 시, 보안 침해를 감수해야 합니다.

 

마지막으로, 특정 공급 업체의 VPN/방화벽 장치를 구성하여 다른 공급 업체의 ID 시스템에 대한 VPN 연결을 인증하는 것은 일반적으로 어려운 일입니다. 그렇기 때문에 일부 ID 시스템 공급 업체가 VPN을 판매하려고 시도하고 일부 VPN 공급 업체가 ID 시스템을 판매하려고 시도하는 것입니다.

 

메시 네트워크로 전환하면 문제는 더욱 악화되는 것처럼 보입니다. 중앙 지점이 전혀 없는데 방화벽 규칙을 어디에 배치해야 할까요? 테일스케일의 답은 “모든 단일 노드에”입니다. 각 노드는 암호 해독 시, 허가되지 않은 연결이 들어오는 것을 차단합니다.

 

이를 쉽게하기 위해 회사의 보안 정책은 테일스케일의 조정 서버에 한 곳에 저장되어 자동으로 각 노드에 배포됩니다. 따라서, 정책을 중앙에서 제어 하면서도 효율적이고 분산된 실행이 가능합니다.

그림 8. 중앙 ACL 정책은 각 Tailscale 노드의 수신 패킷 필터에 의해 시행됩니다.

간단하게 설명하자면, 조정 서버(키 드롭 상자)는 각 노드에만 연결되도록 만들어진 각 노드의 공개 키를 제공하여 노드를 보호합니다. 목록에 올바른 공개 키가 없으면 암호화 된 패킷을 해독 할 수 없기 때문에 다른 인터넷 컴퓨터에서는 연결을 요청할 수 조차 없습니다. 말하자면, 허가되지 않은 컴퓨터는 존재하지 않는 것과 같습니다. 이것은 매우 강력한 보호 모델입니다 왜냐하면, 사실상 모든 종류의 프로토콜 레벨의 공격을 방지하는 것이기 때문입니다. 결과적으로, 테일스케일은 더 이상 유지 관리가 되지 않거나, 업데이트가 되지않는 웹 기반이 아닌 기존 서비스를 보호하는 데 특히 좋습니다.

 

감사 로그

규정 준수가 엄격한 회사의 또 다른 문제는 감사 추적입니다. 최신 방화벽은 트래픽을 차단하는 것이 아니라 기록합니다. 테일스케일은 중앙 트래픽 유입 경로가 없는데 어떻게 해야할까요?

 

이에 대한 대답은 다음과 같습니다. 각 노드의 모든 내부 네트워크 연결을 비동기적으로 중앙 로깅 서비스에 기록 할 수 있습니다. 이 디자인의 흥미로운 부작용은 모든 연결이 원본 컴퓨터와 대상 컴퓨터에서 두 번 기록된다는 것입니다. 결과적으로 두 개의 다른 노드에서 동시에 탬퍼링이 필요하기 때문에 로그 탬퍼링을 쉽게 감지 할 수 있습니다.

 

또한, 로그는 일괄처리되지 않고 각 노드에서 실시간으로 스트리밍되기 때문에 노드에서 로컬 로그 변경을 할 수 있는 시간이 수십 밀리 초 단위로 매우 짧아 단일 노드 변경 시도조차 달성하기 어렵습니다.

 

테일스케일의 중앙 로깅 서비스에는 제어 가능한 보존 기간이 있어, 각 노드는 인터넷 사용 또는 개인 정보가 아닌 내부 메시의 설정 방법에 대한 일부 메타 데이터만 기록합니다. (자세한 내용은 개인 정보 보호 정책을 참고부탁드립니다)

테일스케일의 로깅 서비스는 완전한 로그 및 메트릭 파이프 라인을 제공하는 대신 실시간 스트리밍 데이터를 수집하여 기업이 선호하는 SIEM (보안 정보 및 이벤트 관리 시스템)으로 데이터를 스트리밍 할 수 있습니다.( 더 많은 정보를 원하신다면, Tailscale의 초기 로그 수집기 아키텍처에 대한 게시물을 확인 바랍니다)

 

보너스 : 점진적 배치

마지막으로 테일스케일이 기업 내부의 물리적 네트워크와 유사한 VPN인 메쉬 "오버레이"네트워크를 생성한다는 점에서 많이 제기되는 질문이 있습니다. 회사가 한꺼번에 테일스케일로 전환해야 하느냐는 질문입니다. 실제로, 많은 BeyondCorp 및 제로 트러스트 스타일 제품이 그렇게 작동합니다. 그렇다면, 작은 개념 증명으로 시작해서 점진적으로 배치 하는 것도 가능할까요?

 

테일스케일은 놀랍게도 점진적 배치에 적합합니다. 하드웨어나 서버를 전혀 설치할 필요가 없으므로 2 분 안에 시작할 수 있습니다. 테일스케일의 노드 소프트웨어를 두 장치 (Linux, Windows, macOS, iOS)에 설치하고 동일한 사용자 계정 이나 인증 도메인장치를 사용하여 두 장치에 로그인하면됩니다. 짜잔! 이제부터 두 노드는 장치의 이동 방식에 관계없이 안전하게 연결되었습니다. 테일스케일은 기존 네트워크 상층에서 실행되므로 기존 인프라 및 보안 설정을 방해하지 않고 안전하게 배치됩니다.

 

그런 다음 서브넷 경로를 추가하여 기존의 허브 앤 스포크 또는 멀티 허브 VPN을 구축하여 사무실이나 데이터 센터로 네트워크를 확장 할 수 있습니다.

 

이 과정이 만족 스러웠다면, 테일스케일을 더 많은 서버 또는 컨테이너에 설치해 포인트 투 포인트 완전 암호화 연결이 가능합니다. (암호화되지 않은 트래픽은 LAN을 통해 전달되지 않습니다) 이것이 최근에 명성을 얻었지만 지금까지 달성하기는 어려운 "제로 트러스트 네트워킹"입니다. 

 

테일스케일은 한 번에 하나의 직원 장치와 하나의 서버로 "제로 트러스트"를 구축 할 수 있습니다. 점진적 배치가 완료되면 기업의 레거시 또는 암호화되지 않는 액세스 방법들을 안전하게 종료 할 수 있습니다.

 

일러스트레이션을 해주신 디자이너 Ross Zurowski 에게 감사드립니다.

 

글쓴이: 테일스케일 CEO 에이브리 페나런 

번역자: 남궁선 (tailscale.kr@gmail.com)

 

원본 블로그

How Tailscale works