Infograb logo
SSH, Kubernetes 및 데이터베이스에 대한 SOC 2 컴플라이언스

Teleport는 인프라 액세스, 변경 관리 및 시스템 운영을 위한 SOC 2 요구 사항을 충족하도록 설계되었습니다. 이 문서는 Teleport를 사용하여 귀사의 SOC 2 준수를 돕는 방법에 대한 전반적인 개요를 설명합니다.

SOC 2 준수 기능은 Teleport Enterprise 및 Teleport Enterprise Cloud에서만 사용할 수 있습니다.

Teleport로 SOC 2 준수 달성하기

SOC 2 또는 서비스 조직 통제는 미국 공인 회계사 협회(AICPA)에서 개발했습니다. 이는 보안, 가용성, 처리 무결성, 기밀성 및 프라이버시의 다섯 가지 신뢰 서비스 기준에 기반합니다.

Teleport가 달성하는 주요 SOC 2 통제는 무엇입니까?

Teleport는 9개 통제 영역 중 4개를 지원합니다.

CC6 통제 활동

Teleport는 RBAC를 사용하여 직무 분리를 지원하고 승인된 사용자만 액세스할 수 있도록 제한합니다.

  • 단기 인증서를 사용하고 기존의 아이덴티티 관리 서비스를 이용한 역할 기반 액세스 제어(RBAC)를 제공합니다.

CC6 물리적 및 논리적 액세스 제어

Teleport는 사용자의 역할에 따라 임시 보안 자격 증명을 발급합니다.

CC7 시스템 운영

Teleport는 액세스를 감사하고 모니터링하는 데 도움을 줍니다.

  • 감사 이벤트 및 세션 녹화는 변조를 방지하기 위해 안전하게 금고에 저장됩니다.
  • 로그인, 실행된 명령, 배포 및 기타 이벤트를 구조화된 감사 로그로 변환합니다.
  • CLI 또는 브라우저에서 실시간으로 대화형 세션을 모니터링, 공유 및 조인합니다.

CC8 변경 관리

Teleport는 사건 발생 시 사용자가 권한을 높일 수 있도록 지원하며, RBAC는 승인 요청의 필요성을 제한하는 데 도움이 됩니다. Teleport Slack 통합은 관리자들이 임시 SSH 액세스 요청을 신속하게 승인할 수 있도록 합니다.

  • 엔지니어가 터미널을 떠나지 않고도 즉석에서 권한을 요청할 수 있습니다.
  • Slack 또는 다른 지원 플랫폼을 통해 ChatOps 워크플로우에서 권한 요청을 승인하거나 거부합니다.
  • 간단한 API 및 확장 가능한 플러그인 시스템을 통해 권한 상승 워크플로우를 확장하고 사용자 지정할 수 있습니다.

Teleport가 충족하는 특정 기준은 무엇입니까?

아래는 AICPA의 공식 "신뢰 서비스 기준" 참조 문서에서 나열한 원칙 및 일반적인 초점과 Teleport가 이를 충족하는 방법을 보여주는 표입니다.

각 원칙에는 다양한 제품과 조직에 다르게 적용될 수 있는 여러 "초점"이 있으며, 귀사의 조직에 어떤 초점이 적용되는지 이해하기 위해 감사인과 상담하십시오.

원칙 기준초점Teleport 기능
CC6.1 - 논리적 접근 제한하드웨어, 데이터(저장, 처리 중 또는 전송 중), 소프트웨어, 관리 권한, 모바일 장치, 출력 및 오프라인 시스템 구성 요소를 포함한 정보 자산에 대한 논리적 접근이 액세스 제어 소프트웨어 및 규칙 세트를 통해 제한됩니다.Teleport Enterprise는 강력한 역할 기반 접근 제어(RBAC)를 지원하여:
  • 사용자가 액세스할 수 있는 또는 할 수 없는 SSH 노드를 제어합니다.
  • 클러스터 수준 구성(세션 기록, 구성 등)을 제어합니다.
  • 사용자가 서버에 로그인할 때 사용할 수 있는 UNIX 로그인을 제어합니다.
CC6.1 - 사용자 식별 및 인증개인, 인프라 및 소프트웨어는 정보 자산에 액세스하기 전에 식별 및 인증됩니다.단기 인증서를 사용하고 기존의 아이덴티티 관리 서비스를 이용한 역할 기반 액세스 제어(RBAC)를 제공합니다. 로컬 또는 원격으로 연결하는 것은 매우 간편합니다.
CC6.1 - 네트워크 세분화 고려네트워크 세분화는 엔터티의 정보 시스템 내의 관련이 없는 부분을 서로 격리할 수 있도록 합니다.Teleport는 회사 너머의 네트워크 세분화를 가능하게 합니다.

방화벽 뒤의 노드에 연결하거나 프록시 서버로의 역터널을 생성합니다.
CC6.1 - 접근 지점 관리외부 엔터티에 의한 접근 지점과 해당 접근 지점을 통해 흐르는 데이터 유형이 식별, 재고화 및 관리됩니다. 각 접근 지점을 사용하는 개인 및 시스템 유형이 식별, 문서화 및 관리됩니다.노드를 레이블을 지정하여 재고화하고 규칙을 생성합니다.

AWS 태그에서 레이블 생성

Teleport는 클러스터 내의 모든 노드에 대한 실시간 목록을 유지합니다. 이 노드 목록은 사용자가(자신이 액세스할 수 있는 하위 집합을 보는) 및 관리자가 언제든지 쿼리할 수 있습니다.
CC6.1 - 정보 자산에 대한 접근 제한데이터 분류, 분리된 데이터 구조, 포트 제한, 접근 프로토콜 제한, 사용자 식별 및 디지털 인증서를 조합하여 정보 자산에 대한 접근 제어 규칙을 설정합니다.Teleport는 인증서를 사용하여 접근을 부여하고 접근 제어 규칙을 생성합니다.
CC6.1 - 식별 및 인증 관리개인 및 시스템이 정보, 인프라 및 소프트웨어에 접근하는 동안 식별 및 인증 요구 사항이 설정, 문서화 및 관리됩니다.Teleport는 클라우드와 온프레미스에서 동일한 인증 보안 기준으로 SSH 요구 사항에 대한 정책 설정을 쉽게 만듭니다.
CC6.1 - 인프라 및 소프트웨어의 자격 증명 관리새로운 내부 및 외부 인프라 및 소프트웨어는 접근 자격 증명이 부여되고 네트워크 또는 접근 지점에서 구현되기 전 등록, 승인 및 문서화됩니다. 접근이 더 이상 필요하지 않거나 인프라 및 소프트웨어가 더 이상 사용되지 않을 때 자격 증명은 제거되고 접근이 비활성화됩니다.단기 토큰을 사용하여 클러스터에 노드를 초대합니다.
CC6.1 - 데이터를 보호하기 위한 암호화 사용엔터티는 평가된 위험에 따라 데이터 보호를 위해 적절하다고 판단되는 기타 조치를 보완하기 위해 암호화를 사용합니다.Teleport 감사 로그는 DynamoDB에서 암호화할 수 있습니다.
CC6.1 - 암호화 키 보호생성, 저장, 사용 및 파기 중 암호화 키를 보호하기 위한 프로세스가 마련되어 있습니다.Teleport는 SSH 및 x509 사용자 인증서를 발급하는 인증 기관 역할을 하며, CA에 의해 서명되고(기본적으로) 단기적입니다. SSH 호스트 인증서도 CA에 의해 서명되고 자동으로 순환됩니다.
CC6.2 - 보호된 자산에 대한 접근 자격 증명 제어정보 자산 접근 자격 증명은 시스템의 자산 소유자 또는 승인된 관리자의 승인에 기반하여 생성됩니다.명령줄에서 승인 요청

액세스 요청으로 승인 워크플로우 구축

승인을 Slack 또는 Jira와 같은 도구로 보내기 위해 플러그인 사용
CC6.2 - 적절할 때 보호된 자산에 대한 접근 제거개별 사용자가 더 이상 그러한 접근이 필요하지 않을 때 자격 증명 접근을 제거하기 위한 프로세스가 마련되어 있습니다.Teleport는 직원의 역할에 따라 임시 자격 증명을 발급하며, 작업이 변경되거나 해고되거나 유지 보수 창이 끝날 때 취소됩니다.
CC6.2 - 접근 자격 증명의 적절성 검토불필요하고 부적절한 개인에 대한 접근 자격 증명이 정기적으로 검토됩니다.Teleport는 클러스터 내의 모든 노드에 대한 실시간 목록을 유지하며, 이 목록은 사용자가(자신이 액세스할 수 있는 하위 집합을 보는) 및 관리자가 언제든지 쿼리할 수 있습니다.
CC6.3 - 보호된 정보 자산에 대한 접근 생성 또는 수정자산 소유자의 승인을 바탕으로 보호된 정보 자산에 대한 접근을 생성하거나 수정하기 위한 프로세스가 마련되어 있습니다.액세스 요청으로 승인 워크플로우 구축하여 자산 소유자로부터 승인을 받습니다.
CC6.3 - 보호된 정보 자산에 대한 접근 제거개인이 더 이상 접근이 필요하지 않을 때 보호된 정보 자산에 대한 접근을 제거하기 위한 프로세스가 마련되어 있습니다.Teleport는 임시 자격 증명을 사용하며, 귀하의 버전 관리 시스템 또는 HR 시스템과 통합하여 Access requests API로 액세스를 취소할 수 있습니다.
CC6.3 - 역할 기반 접근 제어 사용역할 기반 접근 제어는 서로 배제적인 기능의 분리를 지원하는 데 활용됩니다.역할 기반 접근 제어("RBAC")는 Teleport 관리자가 사용자에게 세분화된 접근 권한을 부여할 수 있도록 허용합니다.
CC6.3 - 접근 역할 및 규칙 검토접근 역할과 접근 규칙의 적절성은 정기적으로 검토되며, 불필요하고 부적절한 개인에 대한 접근과 필요에 따라 접근 규칙이 수정됩니다.Teleport는 클러스터 내의 모든 노드에 대한 실시간 목록을 유지하며, 이 목록은 사용자가(자신이 액세스할 수 있는 하위 집합을 보는) 및 관리자가 언제든지 쿼리할 수 있습니다.
CC6.6 - 접근 제한통신 채널을 통해 발생할 수 있는 활동의 유형(예: FTP 사이트, 라우터 포트)이 제한됩니다.Teleport는 21, 22와 같은 일반 포트에 대한 접근을 쉽게 제한하고 사용자가 서버로 터널링하도록 합니다. Teleport는 다음과 같은 기본 포트를 사용합니다.
CC6.6 - 식별 및 인증 자격 증명 보호식별 및 인증 자격 증명은 시스템 경계를 넘어 전송하는 동안 보호됩니다.예, Teleport는 Zero Trust 네트워크 아키텍처를 허용하며, 여러분의 네트워크 외부에서도 자격 증명을 보호합니다.
CC6.6 - 추가 인증 또는 자격 증명 필요시스템 경계를 넘어 접근할 때 추가 인증 정보 또는 자격 증명이 필요합니다.예, Teleport는 TOTP, WebAuthn 또는 U2F 표준으로 MFA를 관리하거나 SAML, OAUTH 또는 OIDC를 사용하여 아이덴티티 공급자에 연결할 수 있습니다.
CC6.6 - 경계 보호 시스템 구현경계 보호 시스템(예: 방화벽, 비무장 지대 및 침입 탐지 시스템)이 외부 접근 지점을 보호하도록 구현되어 있으며, 이러한 시도를 감지하는 모니터링이 이루어집니다.신뢰할 수 있는 클러스터
CC6.7 - 데이터 보호를 위한 암호화 기술 또는 안전한 통신 채널 사용데이터 및 기타 통신의 전송을 보호하기 위해 암호화 기술 또는 안전한 통신 채널이 사용됩니다.Teleport는 FedRAMP 준수를 포함한 강력한 암호화를 포함합니다.
CC7.2 - 감지 정책, 절차 및 도구 구현무단 또는 악성 소프트웨어를 나타낼 수 있는 소프트웨어 및 구성 매개변수의 변경 사항을 감지하기 위한 프로세스가 마련되어 있습니다.Teleport는 메타데이터와 함께 자세한 SSH 감사 로그를 생성합니다.

BPF 세션 녹화를 사용하여 악성 프로그램 실행을 포착합니다.
CC7.2 - 감지 조치 설계감지 조치는 물리적 장벽의 실제 또는 시도된 손상, 승인된 직원의 무단 행동, 손상된 식별 및 인증 자격 증명의 사용, 시스템 경계 외부에서의 무단 접근, 승인된 외부 파트너의 손상 및 무단 하드웨어 및 소프트웨어의 구현 또는 연결을 식별하기 위해 설계되었습니다.향상된 세션 녹화를 사용하여 악성 프로그램 실행을 포착하고, TCP 연결을 캡처하고 시스템에서 파일에 접근하는 프로그램을 기록합니다.
CC7.3 - 탐지된 보안 이벤트 보고 및 검토탐지된 보안 이벤트는 보안 프로그램 관리를 책임지는 개인에게 전달되고 검토되며, 필요할 경우 조치가 취해집니다.세션 녹화를 사용하여 의심스러운 세션을 재생하고 검토합니다..
CC7.3 - 보안 사건 분석을 위한 절차 개발 및 시행보안 사건을 분석하고 시스템 영향을 판단하기 위한 절차가 마련되어 있습니다.자세한 로그를 분석하고 기록된 세션을 재생하여 영향을 판단합니다. 사건 중에 어떤 파일이 접근되었는지 정확히 확인합니다.
CC7.4 - 보안 사건 포함엔터티 목표를 위협하는 보안 사건을 포함하기 위한 절차가 마련되어 있습니다.Teleport를 사용하여 접근을 신속하게 취소하고 활성 사건을 포함합니다.

공유 세션을 사용하여 여러 온콜 엔지니어가 협력하고 함께 화재를 진압할 수 있습니다.
CC7.4 - 보안 사건으로 인한 위협 종료진행 중인 보안 사건의 영향을 완화하기 위한 절차가 마련되어 있습니다.Teleport를 사용하여 접근을 신속하게 취소하고 활성 사건을 포함합니다.
CC7.4 - 사건의 본질에 대한 이해 및 포함 전략 결정사건 발생 방법 및 영향을 받은 시스템 자원과 같은 사건의 본질 및 심각성을 이해하여 적절한 포함 전략을 결정합니다. (1) 적절한 대응 시간 프레임 결정 및 (2) 포함 접근 방식의 결정 및 실행이 포함됩니다.Teleport의 세션 기록 및 재생과 로그를 사용하여 사건으로 이어진 행동을 이해합니다.
CC7.4 - 사건 대응의 효과성 평가사건 대응 활동의 설계가 정기적으로 효과성을 평가받습니다.감사 로그 및 세션 녹화를 사용하여 사건 대응 계획의 문제점을 찾아 효과성을 개선합니다..
CC7.4 - 사건을 정기적으로 평가경영진은 정기적으로 보안, 가용성, 처리 무결성, 기밀성 및 프라이버시에 관련된 사건을 검토하고 사건 패턴 및 근본 원인에 따라 시스템 변화를 식별합니다.세션 녹화 및 감사 로그를 사용하여 사건으로 이어지는 패턴을 찾습니다.
CC7.5 - 사건의 근본 원인 결정사건의 근본 원인이 결정됩니다.세션 녹화 및 감사 로그를 사용하여 근본 원인을 찾습니다.
CC7.5 - 대응 및 복구 절차 개선배운 교훈을 분석하고 사건 대응 계획 및 복구 절차를 개선합니다.사후 행동 검토 또는 포스트모템 회의에서 세션 녹화를 재생합니다.
Teleport 원문 보기