SSH, Kubernetes 및 데이터베이스에 대한 SOC 2 준수
Teleport는 인프라 접근, 변경 관리 및 시스템 운영을 위한 SOC 2 요건을 충족하도록 설계되었습니다. 이 문서는 Teleport가 귀사가 SOC 2 준수를 달성하는 데 어떻게 도움이 되는지에 대한 고급 개요를 설명합니다.
SOC 2 준수 기능은 Teleport Enterprise 및 Teleport Enterprise Cloud에서만 사용할 수 있습니다.
Teleport로 SOC 2 준수 달성하기
SOC 2 또는 서비스 조직 통제는 미국 공인 회계사 협회(AICPA)에 의해 개발되었습니다. 이는 보안, 가용성, 처리 무결성, 기밀성 및 개인 정보 보호의 다섯 가지 신뢰 서비스 기준에 기반합니다.
Teleport가 지원하는 주요 SOC 2 통제는 무엇인가요?
Teleport는 9개의 통제 영역 중 4개를 지원합니다.
CC6 통제 활동
Teleport는 RBAC를 사용하여 직무 분리를 도와주며, 승인된 사용자만 액세스할 수 있도록 제한합니다.
- 단기 인증서를 사용하고 기존 ID 관리 서비스를 통해 역할 기반 액세스 제어(RBAC)를 제공합니다.
CC6 물리적 및 논리적 액세스 통제
Teleport는 사용자 역할에 따라 임시 보안 자격 증명을 발급합니다.
CC7 시스템 운영
Teleport는 액세스를 감사하고 모니터링하는 데 도움을 줍니다.
- 감사 이벤트와 세션 녹화는 변조를 방지하기 위해 안전한 금고에 저장됩니다.
- 로그인, 실행된 명령, 배포 및 기타 이벤트를 구조화된 감사 로그로 변환합니다.
- CLI 또는 브라우저에서 실시간으로 인터랙티브 세션을 모니터링하고 공유하며 참여합니다.
CC8 변경 관리
Teleport는 사건 발생 시 사용자가 권한을 상승시킬 수 있도록 도와주며, RBAC는 승인 필요성을 제한하도록 돕습니다. Teleport Slack 통합을 통해 관리자가 임시 SSH 접근 요청을 신속하게 승인할 수 있습니다.
- 엔지니어가 터미널을 떠나지 않고도 바로 권한 상승 요청을 할 수 있도록 허용합니다.
- Slack 또는 기타 지원되는 플랫폼을 통해 ChatOps 워크플로로 권한 요청을 승인 또는 거부합니다.
- 간단한 API와 확장 가능한 플러그인 시스템으로 권한 상승 워크플로를 확장하고 사용자 지정할 수 있습니다.
Teleport가 충족하는 특정 기준은 무엇인가요?
아래는 AICPA의 공식 "Trust Services Criteria" 참조 문서에서 나열된 원칙과 일반적인 초점 포인트에 대한 표와 Teleport가 이를 충족하는 방법입니다.
각 원칙은 "중점 사항"이 많으며 이는 각기 다른 제품과 조직에 따라 다르게 적용되므로, 귀하의 조직에 어떤 중점 사항이 적용되는지 이해하기 위해 감사자와 상담하세요.
| 원칙 기준 | 중점 사항 | Teleport 기능 |
|---|---|---|
| CC6.1 - 논리적 접근 제한 | 정보 자산, 하드웨어, 데이터(대기 중, 처리 중 또는 전송 중), 소프트웨어, 관리 권한, 모바일 장치, 출력 및 오프라인 시스템 구성 요소에 대한 논리적 접근이 접근 제어 소프트웨어 및 규칙 세트를 사용하여 제한됩니다. | Teleport Enterprise는 다음과 같은 강력한 역할 기반 접근 제어(RBAC)를 지원합니다:
|
| CC6.1 - 사용자 식별 및 인증 | 정보 자산에 접근하기 전, 사람, 인프라 및 소프트웨어는 식별되고 인증됩니다. | 단기 인증서를 사용하고 기존 ID 관리 서비스를 통한 역할 기반 접근 제어(RBAC)를 제공합니다. 지역 또는 원거리 연결은 매우 쉽습니다. |
| CC6.1 - 네트워크 세그먼트 고려 | 네트워크 세그멘테이션은 관련 없는 정보 시스템의 부분을 서로 분리할 수 있게 합니다. | Teleport는 Beyond Corp 네트워크 세그먼테이션을 가능하게 합니다. 방화벽 뒤의 노드에 연결하거나 프록시 서버로 역 터널을 생성합니다. |
| CC6.1 - 접근 지점 관리 | 외부 주체에 의한 접근 지점과 이러한 접근 지점을 통해 흐르는 데이터 종류가 식별 및 관리됩니다. 각 접근 지점을 사용하는 개인 및 시스템의 유형이 식별 및 문서화됩니다. | 노드에 레이블을 지정하여 인벤토리 및 규칙 생성 AWS 태그에서 레이블 생성 Teleport는 클러스터 내의 모든 노드에 대한 실시간 목록을 유지합니다. 이 노드 목록은 사용자(접근 권한이 있는 서브셋만 보고)와 관리자에 의해 언제든지 조회할 수 있습니다. |
| CC6.1 - 정보 자산 접근 제한 | 데이터 분류, 데이터 구조 분리, 포트 제한, 접근 프로토콜 제한, 사용자 식별 및 디지털 인증서를 조합하여 정보 자산에 대한 접근 제어 규칙을 설정합니다. | Teleport는 자격 증명을 사용하여 접근을 부여하고 접근 제어 규칙을 생성합니다. |
| CC6.1 - 식별 및 인증 관리 | 개인 및 정보에 접근하는 시스템을 위한 식별 및 인증 요건이 수립, 문서화 및 관리됩니다. | Teleport는 클라우드와 온프레미스에서 동일한 인증 보안 표준으로 SSH 요구사항을 설정하는 것을 쉽게 만들어줍니다. |
| CC6.1 - 인프라 및 소프트웨어의 자격 증명 관리 | 새 내부 및 외부 인프라 및 소프트웨어는 접근 자격 증명을 부여받기 전에 등록, 승인 및 문서화됩니다. 더 이상 필요하지 않거나 더 이상 사용되지 않는 인프라 및 소프트웨어에 대해 자격 증명이 제거되고 접근이 비활성화됩니다. | 단기 토큰으로 클러스터에 노드를 초대하세요. |
| CC6.1 - 데이터를 보호하기 위한 암호화 사용 | 위험 평가에 따라 적절하다고 판단되면 데이터 보호를 위한 다른 조치를 보완하기 위해 암호화를 사용합니다. | Teleport 감사 로그는 DynamoDB의 대기 중 암호화를 사용할 수 있습니다. |
| CC6.1 - 암호화 키 보호 | 암호화 키를 생성, 저장, 사용 및 파기하는 동안 보호하기 위한 프로세스가 있습니다. | Teleport는 SSH 및 x509 사용자 인증서를 발급하는 인증 기관 역할을 하며, CA에 의해 서명된 인증서는 기본적으로 단기 성격을 가집니다. SSH 호스트 인증서 또한 CA에 의해 서명되며 자동으로 회전됩니다. |
| CC6.2 - 보호된 자산에 대한 접근 자격 증명 제어 | 정보 자산 접근 자격 증명은 시스템의 자산 소유자 또는 승인된 관리자의 승인을 기반으로 생성됩니다. | 명령줄에서 승인 요청 액세스 요청으로 승인 워크플로 빌드 Slack 또는 Jira와 같은 도구에 승인을 전송하는 플러그인 사용 |
| CC6.2 - 적절할 때 보호된 자산에 대한 접근 제거 | 개인이 더 이상 해당 접근이 필요하지 않을 때 자격 증명 접근을 제거하기 위한 프로세스가 있습니다. | Teleport는 직원 역할에 기반하여 임시 자격 증명을 발급하며, 직무 변경, 해고 또는 유지보수 기간 종료 시 자격 증명이 취소됩니다. |
| CC6.2 - 접근 자격 증명의 적절성 검토 | 접근 자격 증명의 적절성은 불필요하거나 부적절한 자격 증명을 가진 개인에 대해 정기적으로 검토됩니다. | Teleport는 클러스터 내의 모든 노드에 대한 실시간 목록을 유지합니다. 이 노드 목록은 사용자(접근 권한이 있는 서브셋만 보고)와 관리자에 의해 언제든지 조회할 수 있습니다. |
| CC6.3 - 보호된 정보 자산에 대한 접근 생성 또는 수정 | 자산 소유자의 승인을 기반으로 보호된 정보 자산에 대한 접근을 생성 또는 수정하기 위한 프로세스가 있습니다. | 액세스 요청으로 승인 워크플로를 빌드하여 자산 소유자로부터 승인을 받습니다. |
| CC6.3 - 보호된 정보 자산에 대한 접근 제거 | 개인이 더 이상 접근이 필요하지 않을 때 보호된 정보 자산에 대한 접근을 제거하기 위한 프로세스가 있습니다. | Teleport는 임시 자격 증명을 사용하며 접근 요청 API를 통해 버전 관리 시스템 또는 HR 시스템과 통합하여 접근을 취소할 수 있습니다. |
| CC6.3 - 역할 기반 접근 제어 사용 | 역할 기반 접근 제어는 상충되는 기능의 분리를 지원하는 데 활용됩니다. | 역할 기반 접근 제어("RBAC")는 Teleport 관리자가 사용자에게 세분화된 접근 권한을 부여할 수 있도록 합니다. |
| CC6.3 - 접근 역할 및 규칙 검토 | 접근 역할 및 접근 규칙의 적절성은 정기적으로 검토되어 불필요하거나 부적절한 개인에 대해 수정됩니다. | Teleport는 클러스터 내의 모든 노드에 대한 실시간 목록을 유지합니다. 이 노드 목록은 사용자(접근 권한이 있는 서브셋만 보고)와 관리자에 의해 언제든지 조회할 수 있습니다. |
| CC6.6 - 접근 제한 | 커뮤니케이션 채널을 통해 발생할 수 있는 활동의 유형이 제한됩니다(예: FTP 사이트, 라우터 포트). | Teleport는 사용자가 서버에 터널링하도록 쉽게 제한할 수 있습니다. Teleport는 다음과 같은 기본 포트를 사용합니다. |
| CC6.6 - 식별 및 인증 자격 증명 보호 | 식별 및 인증 자격 증명은 시스템 경계 외부로 전송되는 동안 보호됩니다. | 네, Teleport는 제로 트러스트 네트워크 아키텍처를 허용하면서 자격 증명을 보호합니다. |
| CC6.6 - 외부 경계에서 시스템에 접근할 때 추가 인증 또는 자격 증명 요구 | 시스템 외부에서 접근할 때 추가 인증 정보 또는 자격 증명이 요구됩니다. | 네, Teleport는 TOTP, WebAuthn 또는 U2F 표준을 사용하여 MFA를 관리하거나 SAML, OAUTH 또는 OIDC를 사용하여 ID 공급자에 연결할 수 있습니다. |
| CC6.6 - 경계 보호 시스템 구현 | 외부 접근 포인트를 무단 접근 시도로부터 보호하기 위해 경계 보호 시스템(예: 방화벽, 비무장 지대 및 침입 탐지 시스템)이 구현되고 그러한 시도를 감지하기 위해 모니터링됩니다. | 신뢰할 수 있는 클러스터 |
| CC6.7 - 데이터를 보호하기 위해 암호화 기술 또는 안전한 통신 채널 사용 | 암호화 기술 또는 안전한 통신 채널을 사용하여 데이터 및 기타 통신의 전송을 보호합니다. | Teleport는 강력한 암호화를 포함하고 있으며, FedRAMP 준수 FIPS 모드가 포함되어 있습니다. |
| CC7.2 - 탐지 정책, 절차 및 도구 구현 | 무단 또는 악의적인 소프트웨어를 나타낼 수 있는 소프트웨어 및 구성 매개변수의 변화를 탐지하기 위한 프로세스가 마련되어 있습니다. | Teleport는 메타데이터와 함께 세부 감사 SSH 로그를 생성합니다. 악성 프로그램 실행을 감지하기 위해 BPF 세션 녹화 사용 |
| CC7.2 - 탐지 조치 설계 | 탐지 조치는 실제 또는 시도된(1) 물리적 장벽의 손상; (2) 승인된 개인의 무단 행동; (3) 손상된 식별 및 인증 자격 증명의 사용; (4) 시스템 경계 외부에서의 무단 접근; (5) 승인된 외부 당사자의 손상; (6) 무단 하드웨어 및 소프트웨어의 구현 또는 연결로 인한 이상 징후를 식별하도록 설계됩니다. | 악성 프로그램 실행을 감지하고 TCP 연결을 캡처하고 시스템에서 파일에 접근하는 프로그램을 기록하기 위해 Enhanced Session Recording을 사용합니다. |
| CC7.3 - 탐지된 보안 이벤트 전달 및 검토 | 탐지된 보안 이벤트는 보안 프로그램 관리를 책임지는 개인에게 전달되고 검토되며, 필요한 조치를 취합니다. | 세션 녹화를 사용하여 의심스러운 세션을 재생 및 검토합니다.. |
| CC7.3 - 보안 사건 분석을 위한 절차 개발 및 구현 | 보안 사건을 분석하고 시스템 영향을 결정하기 위한 절차가 마련되어 있습니다. | 자세한 로그를 분석하고 기록된 세션을 재생하여 영향을 파악하고 사건 중에 어떤 파일이 접근되었는지 확인합니다. |
| CC7.4 - 보안 사건 차단 | 보안 사건이 조직의 목표를 위협할 때 이를 차단하기 위한 절차가 마련되어 있습니다. | Teleport를 사용하여 신속하게 접근을 철회하고 발생 중인 사건을 차단합니다. 공유 세션을 사용하여 여러 온콜 엔지니어가 함께 협력하여 문제를 해결합니다. |
| CC7.4 - 보안 사건이 초래하는 위협 종료 | 지속적인 보안 사건의 영향을 완화하기 위한 절차가 마련되어 있습니다. | Teleport를 사용하여 신속하게 접근을 철회하고 발생 중인 사건을 차단합니다. |
| CC7.4 - 사건의 성격을 이해하고 차단 전략 설정 | 사건 발생 방식 및 영향을 받는 시스템 자원과 같은 사건의 성격과 심각성을 이해하고 적절한 차단 전략을 결정합니다. 이를 통해 (1) 적절한 대응 시간 프레임 결정 및 (2) 차단 접근 방식 결정 및 실행을 포함합니다. | Teleport의 세션 녹화 및 재생 및 로그를 사용하여 사건으로 이어진 조치를 이해합니다. |
| CC7.4 - 사건 대응의 효과 평가 | 사건 대응 활동의 설계를 정기적으로 평가하여 그 효과성을 평가합니다. | 감사 로그와 세션 녹화를 사용하여 사건 대응 계획의 문제를 파악하고 효과성을 개선합니다.. |
| CC7.4 - 사건을 주기적으로 평가 | 주기적으로 관리자는 보안, 가용성, 처리 무결성, 기밀성 및 개인 정보 보호와 관련된 사건을 검토하고 사건 패턴 및 근본 원인에 따라 시스템 변경 필요성을 식별합니다. | 세션 녹화 및 감사 로그를 사용하여 사건으로 이어진 패턴을 찾습니다. |
| CC7.5 - 사건의 근본 원인 결정 | 사건의 근본 원인이 결정됩니다. | 세션 녹화 및 감사 로그를 사용하여 근본 원인을 찾습니다. |
| CC7.5 - 대응 및 복구 절차 개선 | 교훈을 분석하고 사건 대응 계획 및 복구 절차를 개선합니다. | 사후 검토 또는 사후 회의에서 세션 녹화를 재생합니다. |