인포레터에서 최신 DevOps 트렌드를 격주로 만나보세요!
SSH, Kubernetes 및 데이터베이스에 대한 SOC 2 컴플라이언스
Teleport는 인프라 액세스, 변경 관리 및 시스템 운영을 위한 SOC 2 요구 사항을 충족하도록 설계되었습니다. 이 문서는 Teleport를 사용하여 귀사의 SOC 2 준수를 돕는 방법에 대한 전반적인 개요를 설명합니다.
SOC 2 준수 기능은 Teleport Enterprise 및 Teleport Enterprise Cloud에서만 사용할 수 있습니다.
Teleport로 SOC 2 준수 달성하기
SOC 2 또는 서비스 조직 통제는 미국 공인 회계사 협회(AICPA)에서 개발했습니다. 이는 보안, 가용성, 처리 무결성, 기밀성 및 프라이버시의 다섯 가지 신뢰 서비스 기준에 기반합니다.
Teleport가 달성하는 주요 SOC 2 통제는 무엇입니까?
Teleport는 9개 통제 영역 중 4개를 지원합니다.
CC6 통제 활동
Teleport는 RBAC를 사용하여 직무 분리를 지원하고 승인된 사용자만 액세스할 수 있도록 제한합니다.
- 단기 인증서를 사용하고 기존의 아이덴티티 관리 서비스를 이용한 역할 기반 액세스 제어(RBAC)를 제공합니다.
CC6 물리적 및 논리적 액세스 제어
Teleport는 사용자의 역할에 따라 임시 보안 자격 증명을 발급합니다.
CC7 시스템 운영
Teleport는 액세스를 감사하고 모니터링하는 데 도움을 줍니다.
- 감사 이벤트 및 세션 녹화는 변조를 방지하기 위해 안전하게 금고에 저장됩니다.
- 로그인, 실행된 명령, 배포 및 기타 이벤트를 구조화된 감사 로그로 변환합니다.
- CLI 또는 브라우저에서 실시간으로 대화형 세션을 모니터링, 공유 및 조인합니다.
CC8 변경 관리
Teleport는 사건 발생 시 사용자가 권한을 높일 수 있도록 지원하며, RBAC는 승인 요청의 필요성을 제한하는 데 도움이 됩니다. Teleport Slack 통합은 관리자들이 임시 SSH 액세스 요청을 신속하게 승인할 수 있도록 합니다.
- 엔지니어가 터미널을 떠나지 않고도 즉석에서 권한을 요청할 수 있습니다.
- Slack 또는 다른 지원 플랫폼을 통해 ChatOps 워크플로우에서 권한 요청을 승인하거나 거부합니다.
- 간단한 API 및 확장 가능한 플러그인 시스템을 통해 권한 상승 워크플로우를 확장하고 사용자 지정할 수 있습니다.
Teleport가 충족하는 특정 기준은 무엇입니까?
아래는 AICPA의 공식 "신뢰 서비스 기준" 참조 문서에서 나열한 원칙 및 일반적인 초점과 Teleport가 이를 충족하는 방법을 보여주는 표입니다.
각 원칙에는 다양한 제품과 조직에 다르게 적용될 수 있는 여러 "초점"이 있으며, 귀사의 조직에 어떤 초점이 적용되는지 이해하기 위해 감사인과 상담하십시오.
| 원칙 기준 | 초점 | Teleport 기능 |
|---|---|---|
| CC6.1 - 논리적 접근 제한 | 하드웨어, 데이터(저장, 처리 중 또는 전송 중), 소프트웨어, 관리 권한, 모바일 장치, 출력 및 오프라인 시스템 구성 요소를 포함한 정보 자산에 대한 논리적 접근이 액세스 제어 소프트웨어 및 규칙 세트를 통해 제한됩니다. | Teleport Enterprise는 강력한 역할 기반 접근 제어(RBAC)를 지원하여:
|
| CC6.1 - 사용자 식별 및 인증 | 개인, 인프라 및 소프트웨어는 정보 자산에 액세스하기 전에 식별 및 인증됩니다. | 단기 인증서를 사용하고 기존의 아이덴티티 관리 서비스를 이용한 역할 기반 액세스 제어(RBAC)를 제공합니다. 로컬 또는 원격으로 연결하는 것은 매우 간편합니다. |
| CC6.1 - 네트워크 세분화 고려 | 네트워크 세분화는 엔터티의 정보 시스템 내의 관련이 없는 부분을 서로 격리할 수 있도록 합니다. | Teleport는 회사 너머의 네트워크 세분화를 가능하게 합니다. 방화벽 뒤의 노드에 연결하거나 프록시 서버로의 역터널을 생성합니다. |
| CC6.1 - 접근 지점 관리 | 외부 엔터티에 의한 접근 지점과 해당 접근 지점을 통해 흐르는 데이터 유형이 식별, 재고화 및 관리됩니다. 각 접근 지점을 사용하는 개인 및 시스템 유형이 식별, 문서화 및 관리됩니다. | 노드를 레이블을 지정하여 재고화하고 규칙을 생성합니다. AWS 태그에서 레이블 생성 Teleport는 클러스터 내의 모든 노드에 대한 실시간 목록을 유지합니다. 이 노드 목록은 사용자가(자신이 액세스할 수 있는 하위 집합을 보는) 및 관리자가 언제든지 쿼리할 수 있습니다. |
| CC6.1 - 정보 자산에 대한 접근 제한 | 데이터 분류, 분리된 데이터 구조, 포트 제한, 접근 프로토콜 제한, 사용자 식별 및 디지털 인증서를 조합하여 정보 자산에 대한 접근 제어 규칙을 설정합니다. | Teleport는 인증서를 사용하여 접근을 부여하고 접근 제어 규칙을 생성합니다. |
| CC6.1 - 식별 및 인증 관리 | 개인 및 시스템이 정보, 인프라 및 소프트웨어에 접근하는 동안 식별 및 인증 요구 사항이 설정, 문서화 및 관리됩니다. | Teleport는 클라우드와 온프레미스에서 동일한 인증 보안 기준으로 SSH 요구 사항에 대한 정책 설정을 쉽게 만듭니다. |
| CC6.1 - 인프라 및 소프트웨어의 자격 증명 관리 | 새로운 내부 및 외부 인프라 및 소프트웨어는 접근 자격 증명이 부여되고 네트워크 또는 접근 지점에서 구현되기 전 등록, 승인 및 문서화됩니다. 접근이 더 이상 필요하지 않거나 인프라 및 소프트웨어가 더 이상 사용되지 않을 때 자격 증명은 제거되고 접근이 비활성화됩니다. | 단기 토큰을 사용하여 클러스터에 노드를 초대합니다. |
| CC6.1 - 데이터를 보호하기 위한 암호화 사용 | 엔터티는 평가된 위험에 따라 데이터 보호를 위해 적절하다고 판단되는 기타 조치를 보완하기 위해 암호화를 사용합니다. | Teleport 감사 로그는 DynamoDB에서 암호화할 수 있습니다. |
| CC6.1 - 암호화 키 보호 | 생성, 저장, 사용 및 파기 중 암호화 키를 보호하기 위한 프로세스가 마련되어 있습니다. | Teleport는 SSH 및 x509 사용자 인증서를 발급하는 인증 기관 역할을 하며, CA에 의해 서명되고(기본적으로) 단기적입니다. SSH 호스트 인증서도 CA에 의해 서명되고 자동으로 순환됩니다. |
| CC6.2 - 보호된 자산에 대한 접근 자격 증명 제어 | 정보 자산 접근 자격 증명은 시스템의 자산 소유자 또는 승인된 관리자의 승인에 기반하여 생성됩니다. | 명령줄에서 승인 요청 액세스 요청으로 승인 워크플로우 구축 승인을 Slack 또는 Jira와 같은 도구로 보내기 위해 플러그인 사용 |
| CC6.2 - 적절할 때 보호된 자산에 대한 접근 제거 | 개별 사용자가 더 이상 그러한 접근이 필요하지 않을 때 자격 증명 접근을 제거하기 위한 프로세스가 마련되어 있습니다. | Teleport는 직원의 역할에 따라 임시 자격 증명을 발급하며, 작업이 변경되거나 해고되거나 유지 보수 창이 끝날 때 취소됩니다. |
| CC6.2 - 접근 자격 증명의 적절성 검토 | 불필요하고 부적절한 개인에 대한 접근 자격 증명이 정기적으로 검토됩니다. | Teleport는 클러스터 내의 모든 노드에 대한 실시간 목록을 유지하며, 이 목록은 사용자가(자신이 액세스할 수 있는 하위 집합을 보는) 및 관리자가 언제든지 쿼리할 수 있습니다. |
| CC6.3 - 보호된 정보 자산에 대한 접근 생성 또는 수정 | 자산 소유자의 승인을 바탕으로 보호된 정보 자산에 대한 접근을 생성하거나 수정하기 위한 프로세스가 마련되어 있습니다. | 액세스 요청으로 승인 워크플로우 구축하여 자산 소유자로부터 승인을 받습니다. |
| CC6.3 - 보호된 정보 자산에 대한 접근 제거 | 개인이 더 이상 접근이 필요하지 않을 때 보호된 정보 자산에 대한 접근을 제거하기 위한 프로세스가 마련되어 있습니다. | Teleport는 임시 자격 증명을 사용하며, 귀하의 버전 관리 시스템 또는 HR 시스템과 통합하여 Access requests API로 액세스를 취소할 수 있습니다. |
| CC6.3 - 역할 기반 접근 제어 사용 | 역할 기반 접근 제어는 서로 배제적인 기능의 분리를 지원하는 데 활용됩니다. | 역할 기반 접근 제어("RBAC")는 Teleport 관리자가 사용자에게 세분화된 접근 권한을 부여할 수 있도록 허용합니다. |
| CC6.3 - 접근 역할 및 규칙 검토 | 접근 역할과 접근 규칙의 적절성은 정기적으로 검토되며, 불필요하고 부적절한 개인에 대한 접근과 필요에 따라 접근 규칙이 수정됩니다. | Teleport는 클러스터 내의 모든 노드에 대한 실시간 목록을 유지하며, 이 목록은 사용자가(자신이 액세스할 수 있는 하위 집합을 보는) 및 관리자가 언제든지 쿼리할 수 있습니다. |
| CC6.6 - 접근 제한 | 통신 채널을 통해 발생할 수 있는 활동의 유형(예: FTP 사이트, 라우터 포트)이 제한됩니다. | Teleport는 21, 22와 같은 일반 포트에 대한 접근을 쉽게 제한하고 사용자가 서버로 터널링하도록 합니다. Teleport는 다음과 같은 기본 포트를 사용합니다. |
| CC6.6 - 식별 및 인증 자격 증명 보호 | 식별 및 인증 자격 증명은 시스템 경계를 넘어 전송하는 동안 보호됩니다. | 예, Teleport는 Zero Trust 네트워크 아키텍처를 허용하며, 여러분의 네트워크 외부에서도 자격 증명을 보호합니다. |
| CC6.6 - 추가 인증 또는 자격 증명 필요 | 시스템 경계를 넘어 접근할 때 추가 인증 정보 또는 자격 증명이 필요합니다. | 예, Teleport는 TOTP, WebAuthn 또는 U2F 표준으로 MFA를 관리하거나 SAML, OAUTH 또는 OIDC를 사용하여 아이덴티티 공급자에 연결할 수 있습니다. |
| CC6.6 - 경계 보호 시스템 구현 | 경계 보호 시스템(예: 방화벽, 비무장 지대 및 침입 탐지 시스템)이 외부 접근 지점을 보호하도록 구현되어 있으며, 이러한 시도를 감지하는 모니터링이 이루어집니다. | 신뢰할 수 있는 클러스터 |
| CC6.7 - 데이터 보호를 위한 암호화 기술 또는 안전한 통신 채널 사용 | 데이터 및 기타 통신의 전송을 보호하기 위해 암호화 기술 또는 안전한 통신 채널이 사용됩니다. | Teleport는 FedRAMP 준수를 포함한 강력한 암호화를 포함합니다. |
| CC7.2 - 감지 정책, 절차 및 도구 구현 | 무단 또는 악성 소프트웨어를 나타낼 수 있는 소프트웨어 및 구성 매개변수의 변경 사항을 감지하기 위한 프로세스가 마련되어 있습니다. | Teleport는 메타데이터와 함께 자세한 SSH 감사 로그를 생성합니다. BPF 세션 녹화를 사용하여 악성 프로그램 실행을 포착합니다. |
| CC7.2 - 감지 조치 설계 | 감지 조치는 물리적 장벽의 실제 또는 시도된 손상, 승인된 직원의 무단 행동, 손상된 식별 및 인증 자격 증명의 사용, 시스템 경계 외부에서의 무단 접근, 승인된 외부 파트너의 손상 및 무단 하드웨어 및 소프트웨어의 구현 또는 연결을 식별하기 위해 설계되었습니다. | 향상된 세션 녹화를 사용하여 악성 프로그램 실행을 포착하고, TCP 연결을 캡처하고 시스템에서 파일에 접근하는 프로그램을 기록합니다. |
| CC7.3 - 탐지된 보안 이벤트 보고 및 검토 | 탐지된 보안 이벤트는 보안 프로그램 관리를 책임지는 개인에게 전달되고 검토되며, 필요할 경우 조치가 취해집니다. | 세션 녹화를 사용하여 의심스러운 세션을 재생하고 검토합니다.. |
| CC7.3 - 보안 사건 분석을 위한 절차 개발 및 시행 | 보안 사건을 분석하고 시스템 영향을 판단하기 위한 절차가 마련되어 있습니다. | 자세한 로그를 분석하고 기록된 세션을 재생하여 영향을 판단합니다. 사건 중에 어떤 파일이 접근되었는지 정확히 확인합니다. |
| CC7.4 - 보안 사건 포함 | 엔터티 목표를 위협하는 보안 사건을 포함하기 위한 절차가 마련되어 있습니다. | Teleport를 사용하여 접근을 신속하게 취소하고 활성 사건을 포함합니다. 공유 세션을 사용하여 여러 온콜 엔지니어가 협력하고 함께 화재를 진압할 수 있습니다. |
| CC7.4 - 보안 사건으로 인한 위협 종료 | 진행 중인 보안 사건의 영향을 완화하기 위한 절차가 마련되어 있습니다. | Teleport를 사용하여 접근을 신속하게 취소하고 활성 사건을 포함합니다. |
| CC7.4 - 사건의 본질에 대한 이해 및 포함 전략 결정 | 사건 발생 방법 및 영향을 받은 시스템 자원과 같은 사건의 본질 및 심각성을 이해하여 적절한 포함 전략을 결정합니다. (1) 적절한 대응 시간 프레임 결정 및 (2) 포함 접근 방식의 결정 및 실행이 포함됩니다. | Teleport의 세션 기록 및 재생과 로그를 사용하여 사건으로 이어진 행동을 이해합니다. |
| CC7.4 - 사건 대응의 효과성 평가 | 사건 대응 활동의 설계가 정기적으로 효과성을 평가받습니다. | 감사 로그 및 세션 녹화를 사용하여 사건 대응 계획의 문제점을 찾아 효과성을 개선합니다.. |
| CC7.4 - 사건을 정기적으로 평가 | 경영진은 정기적으로 보안, 가용성, 처리 무결성, 기밀성 및 프라이버시에 관련된 사건을 검토하고 사건 패턴 및 근본 원인에 따라 시스템 변화를 식별합니다. | 세션 녹화 및 감사 로그를 사용하여 사건으로 이어지는 패턴을 찾습니다. |
| CC7.5 - 사건의 근본 원인 결정 | 사건의 근본 원인이 결정됩니다. | 세션 녹화 및 감사 로그를 사용하여 근본 원인을 찾습니다. |
| CC7.5 - 대응 및 복구 절차 개선 | 배운 교훈을 분석하고 사건 대응 계획 및 복구 절차를 개선합니다. | 사후 행동 검토 또는 포스트모템 회의에서 세션 녹화를 재생합니다. |