NetBird – 오픈소스 제로 트러스트 네트워킹

 (netbird.io)
4P by GN⁺ 19시간전 | ★ favorite | 댓글 2개
  • WireGuard® 기반 오버레이 네트워크제로 트러스트 네트워크 액세스(ZTNA) 를 결합해 안전하고 신뢰성 있는 연결을 제공하는 오픈소스 플랫폼
  • VPN 게이트웨이와 방화벽 설정 없이 빠르게 배포 가능하며, SSO·MFA·기기 보안 검사를 통해 접근 제어 강화
  • 중앙 집중형 네트워크 관리, 세분화된 정책 설정, 실시간 활동 로그 기능으로 기업 네트워크 운영 단순화
  • Linux, Windows, macOS, 모바일, Docker, 라우터 등 다양한 환경에서 작동하며, BSD-3 라이선스로 자체 호스팅 가능
  • 기존 VPN의 복잡성을 제거하고, 보안성과 확장성을 동시에 확보할 수 있는 현대적 네트워크 접근 솔루션

NetBird 개요

  • NetBird는 WireGuard® 기반 피어 투 피어 네트워크제로 트러스트 네트워크 액세스를 통합한 오픈소스 플랫폼
    • 안전하고 신뢰성 있는 원격 연결을 제공
    • 단일 플랫폼에서 네트워크 접근, 인증, 관리 기능을 통합 지원
  • 무료로 시작할 수 있으며, 엔터프라이즈 데모 요청도 가능

주요 기능

Secure Remote Access

  • 최소 권한 원칙에 따라 사용자 및 그룹 프로비저닝, 네트워크 세분화, 정책 정의 가능
    • MFA기기 보안 상태 검사를 통해 접근 제어 강화
    • ID 공급자에서 사용자 및 그룹을 직접 가져와 관리

Zero-Config Deployment

  • 기존 VPN을 대체하는 WireGuard® 기반 P2P 네트워크 제공
    • 방화벽 설정이나 포트 개방 없이 작동
    • SSO 및 MFA를 통한 보안 원격 접근 보장
    • VPC 및 온프레미스 사이트 간 연결을 몇 분 내 구성 가능

Seamless SSO with MFA

  • Okta, Microsoft, Google 등 주요 ID 공급자와 통합
    • 세션 기반 SSO 및 MFA로 네트워크 접근 보호
    • 원격 근무자를 위한 주기적 재인증 지원

Dynamic Posture Checks

  • 보안 규칙을 충족하는 기기만 접근 허용
    • 방화벽, 안티바이러스, 위치 기반 정책 등 다양한 검사 수행
    • MDM 및 EDR 솔루션과 통합 가능

Centralized Network Management

  • 단일 콘솔에서 내부 리소스 그룹화 및 접근 관리
    • DNS 구성, 프라이빗 네임서버 추가, API 자동화 지원
    • 팀 단위 접근 제어 및 리소스 관리 가능

Detailed Activity Logging

  • 네트워크 내 누가, 언제, 무엇을 했는지 추적 가능
    • 구성 변경 및 연결 트래픽 이벤트 기록
    • SIEM 플랫폼으로 실시간 이벤트 스트리밍 지원

고객 사례

  • Select Tech Group은 55개 이상 지점을 운영하며, NetBird로 MFA·SSO·세분화된 접근 제어를 구현
  • Axiros, netgo, DeltaQuad 등 다양한 기업이 기존 VPN 복잡성 제거보안 강화를 경험
  • 사용자들은 간단한 설정, 높은 안정성, 제로 트러스트 원칙 준수를 주요 장점으로 언급

NetBird의 세 가지 핵심 특징

1. 단순하고 안전함

  • 5분 이내 네트워크 생성, 암호화된 연결 제공, 복잡한 방화벽 설정 불필요
  • 승인된 사용자와 기기만 내부 리소스 접근 가능

2. 어디서나 연결 가능

  • Linux, Windows, macOS, 모바일, Docker, 라우터 등 다양한 플랫폼 지원
  • 클라우드 및 온프레미스 환경 간 매끄러운 연결 제공

3. 완전한 오픈소스

  • BSD-3 라이선스로 배포되어 자체 호스팅 가능
  • NetBird Cloud 또는 자체 서버에서 실행 가능
  • 사용자는 코드 검토 및 인프라 내 직접 운영 가능

네트워크 현대화 효과

  • SDN 기반 구조로 VPN 게이트웨이 및 방화벽 관리 복잡성 제거
  • 단일 관리 포털에서 원격 리소스 접근 구성
  • 세분화된 네트워크 분리로 승인된 사용자만 특정 리소스 접근 가능

결론

  • NetBird는 기존 VPN의 한계를 극복하고, 제로 트러스트 모델을 실현하는 오픈소스 네트워킹 솔루션
  • 보안성, 단순성, 확장성을 동시에 제공하며, 개발팀과 IT 운영팀 모두에게 적합한 현대적 접근 관리 도구
hiseob 8시간전  [-]

zerotier 에서 netbird 로 옮겼다가 한달정도 윈도우에서 안되는 문제 생겨서 (주로 집에서 게임하고 가끔 급히 들어갈때만 써서 한달 참을 수 있었음) tailscale 로 옮기고 광명 찾았었죠
어차피 tailscale 열화 카피 느낌이라... headscale 까지 쓰면 netbird는 사실 크게 매력 없더라고요

답변달기
GN⁺ 19시간전  [-]
Hacker News 의견들
  • NetBird 팀은 투명하고 접근성이 좋음
    2년 전 Tailscale에서 NetBird로 완전히 전환해 셀프호스팅 환경으로 운영 중임
    버전 업그레이드도 매끄럽게 진행되어, 클라우드뿐 아니라 셀프호스팅 사용자도 중요하게 생각하는 팀임을 느꼈음
    • 우리 팀은 NetBird를 시도했지만 클라이언트가 셀프호스팅 서버에 등록되지 않았음
      아마 사용자 설정 실수일 가능성이 높음
      문서에서 클라우드 기능과 셀프호스팅 기능의 구분이 불명확해서 주의가 필요함
      커뮤니티 버전에는 일부 기능이 빠져 있으므로 계획적으로 접근해야 함
      그래도 Headscale보다 완성도가 높고, Tailscale처럼 레지스트리 수정이 필요하지 않아 셀프호스팅에는 더 유망한 솔루션이라 생각함
  • NetBird의 액세스 제어 기능을 봤는데, 내가 원하는 기능은 없는 듯함
    사용자가 WireGuard 엔드포인트에 접속하면 기본 서브넷만 접근 가능하고, MFA 인증 후 추가 서브넷 접근이 가능한 구조를 원함
    예를 들어 위키나 사내 채팅만 먼저 접근하고, MFA로 GitLab 같은 민감 자원에 확장 접근하는 방식임
  • 나는 Connet을 개발 중임
    WireGuard 같은 L4 오버레이나 ngrok 같은 L7 공개 엔드포인트 대신, 원격 서비스를 로컬에 투영하는 방식임
    VPS에 Caddy를 두면 ngrok처럼 쓸 수도 있음
    기존 NetBird, Tailscale, frp, rathole 등은 직관적이고 FOSS 기반의 셀프호스팅 P2P 접근을 제공하지 못했음
    Connet은 이를 해결하며, connet.dev 클라우드 버전도 단순히 FOSS 프로젝트를 포장한 형태임
    • 이건 컴퓨터 전용으로 보임
      README를 보니 명령 실행이 필요해서 스마트폰에서는 어렵겠음
      모바일 환경에서는 ngrok 스타일 구성이 더 현실적일 듯함
    • 아이디어는 흥미롭지만 모든 서비스를 localhost로 투영하는 건 보안상 위험이 있음
      Twingate처럼 CGNAT IP 공간을 활용하면 각 서비스에 고유 IP를 부여해 격리할 수 있음
  • 오랜 ZeroTier 사용자였는데 최근 NetBird(Hetzner VPS에 셀프호스팅)로 전환했음
    DNS 기능이 훌륭하고, 액세스 제어 모델이 직관적임
    필요 시 일회성 접근 권한 부여도 쉬움
    다만 Android 앱이 F-Droid에 없고 로밍 시 끊김이 가끔 있음
    그래도 전반적으로 훌륭한 소프트웨어라 계속 발전하길 바람
    • ZeroTier나 NetBird가 WireGuard의 GUI 래퍼 이상을 제공하는지 궁금함
      이미 구성된 WireGuard 메시에 통합하기 쉬운지도 알고 싶음
    • 우리 회사도 ZeroTier를 쓰는데, 최근 간헐적 연결 끊김과 DNS 문제가 생김
      NetBird의 iOS 앱은 어떤지 궁금함
    • 나는 F-Droid의 JetBird 앱을 사용 중인데, 공식 앱은 안 써봤지만 JetBird 경험은 좋았음
  • 흥미로움. Tailscale(또는 Headscale)과 어떤 점이 다른지 궁금함
    기존 WireGuard 구성을 대체하려고 Tailscale을 고려 중이었음
  • Headscale을 추천함
    무료이고, 공식 Tailscale 클라이언트와 호환되며 설정이 매우 쉬움
    https://headscale.net/stable/
    • 어떤 용도로 쓰는지 간단히 설명해줄 수 있는지 궁금함
      Tailscale 사이트의 용어들이 많아 가정용으로 어떤 식으로 활용할지 감이 안 옴
    • 우리는 중국 내에서 약 400대씩 두 개의 네트워크를 Headscale로 관리 중임
      공식 Tailscale DERP가 작동하지 않지만, 내장 DERP 활성화로 문제없이 운영 중임
    • Headscale 요구사항 문서를 보면
      WireGuard용 포트 하나만 여는 대신 여러 포트를 공개해야 함
      tcp/80, tcp/443, udp/3478, tcp/50443 등인데, 이는 보안상 부담이 큼
      리버스 프록시를 써도 노출 포트가 많아지는 건 아쉬움
    • 최근 Postgres 지원이 중단되고 sqlite만 권장
      이는 Tailscale이 Headscale의 사용 범위를 암묵적으로 제한하려는 신호처럼 보임
    • Mullvad 같은 VPN을 exit node로 함께 사용하는 게 가능한지 궁금함
  • 나는 Octelium을 개발 중임
    FOSS 기반의 제로트러스트 보안 접근 플랫폼으로, VPN·ZTNA·API 게이트웨이·PaaS·ngrok 대안 등으로 활용 가능함
    클라이언트 기반/무클라이언트 접근, 비밀번호 없는 SSH, OIDC/SAML, WebAuthn MFA, OpenTelemetry 기반 가시성 등 다양한 기능을 제공함
    README에 자세히 정리되어 있음
    • 정리하자면 Octelium은 OSI 7계층, Tailscale은 3~4계층에서 동작함
    • 프로젝트가 흥미로움
      장기적으로 엔터프라이즈 플랜을 운영할 계획인지, 그리고 외부 기여 시 CLA를 요구하는지도 궁금함
  • 릴리스 주기가 너무 빠름
    Gentoo 오버레이에서 유지 중인데, 버전 업데이트를 하려 하면 또 새 버전이 나와 있음
    일주일 1회 이하로 릴리스 빈도 조절이 필요함
  • 내 셋업에서 Tailscale만 유일하게 비셀프호스팅 구성이라 늘 신경 쓰였음
    Caddy 컨테이너를 Tailnet에 두고, 모든 서브도메인을 그쪽으로 라우팅함
    SSL도 Caddy가 처리함
    Funnel은 쓰지 않고 VPN 뒤에만 서비스 두는 방식임
    다만 Auth Key 90일 만료 제한이 있어 원격 임베디드 장비 관리에 불편함
    지속적이고 자동화된 인증 방식을 찾는 중임
    • Tailscale에서 키 만료 비활성화가 가능함. 나는 게이트웨이에 그렇게 설정함
      모든 내부 장비는 .home 도메인으로 묶고 Tailnet을 통해 라우팅함
    • 공식 문서에 따라
      수동으로 키 만료를 끌 수 있음. 태그 기반으로도 가능함
    • 태그 기반 노드 인증을 쓰면 6개월 만료 유지 또는 완전 비활성화 가능함
    • 우리는 Headscale을 셀프호스팅 제어 플레인으로 쓰고 있으며 안정적으로 동작 중임
    • Tailnet 내 Caddy 구성에 동의함. 우리도 잘 작동 중임
  • 프로젝트의 발전이 인상적임
    유사한 대안으로는 OpenZiti, Headscale, Nebula가 있음
    참고할 만한 자료로 awesome-tunneling을 추천함
답변달기