본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

Cloud Insights 보안

NetApp에게 제품 및 고객 데이터 보안은 무엇보다도 중요합니다. Cloud Insights는 릴리스 수명 주기 전반에 걸쳐 보안 모범 사례를 준수하면서 고객 정보와 데이터를 가능한 최상의 방식으로 안전하게 보호합니다.

보안 개요

물리적 보안

Cloud Insights 운영 인프라는 AWS(Amazon Web Services)에서 호스팅됩니다. Cloud Insights 운영 서버에 대한 물리적/환경적 보안 관련 제어(건물에 대한 제어 수단, 도어용 잠금 장치 또는 키 포함)는 AWS에서 관리합니다. AWS에 따라: “물리적 액세스는 비디오 감시, 침입 탐지 시스템 및 기타 전자 수단을 활용하는 전문 보안 직원이 경계와 건물 진입점에서 모두 제어합니다. 공인 직원은 다중 요소 인증 메커니즘을 사용하여 데이터 센터 바닥에 액세스합니다.”

Cloud Insights는 의 모범 사례를 준수합니다 "공유 책임 모델" AWS에 의해 설명되고,

제품 보안

Cloud Insights는 Agile 원칙에 따라 개발 수명 주기를 준수하므로, 더 긴 릴리스 주기 개발 방법론에 비해 보안 중심의 소프트웨어 결함을 더욱 신속하게 해결할 수 있습니다. 지속적인 통합 방법을 사용하여 기능 및 보안 변경 사항에 신속하게 대응할 수 있습니다. 변경 관리 절차 및 정책은 변경 발생 시기와 방법을 정의하고 운영 환경의 안정성을 유지하는 데 도움이 됩니다. 영향력 있는 변경 사항은 생산 환경에 배포하기 전에 공식적으로 전달, 조정, 적절하게 검토 및 승인됩니다.

네트워크 보안

Cloud Insights 환경의 리소스에 대한 네트워크 액세스는 호스트 기반 방화벽에 의해 제어됩니다. 각 리소스(예: 로드 밸런서 또는 가상 머신 인스턴스)에는 인바운드 트래픽을 해당 리소스가 기능을 수행하는 데 필요한 포트로만 제한하는 호스트 기반 방화벽이 있습니다.

Cloud Insights는 침입 탐지 서비스를 비롯한 다양한 메커니즘을 사용하여 프로덕션 환경에서 보안 이상을 모니터링합니다.

위험 평가

Cloud Insights 팀은 공식화된 위험 평가 프로세스를 따라 위험 치료 계획을 통해 적절히 관리할 수 있도록 위험을 식별하고 평가하는 체계적이고 반복 가능한 방법을 제공합니다.

데이터 보호

Cloud Insights 운영 환경은 모든 서비스 및 구성 요소에 대해 여러 가용성 영역을 활용하는 고도로 이중화된 인프라에 설정됩니다. 가용성이 높고 이중화된 컴퓨팅 인프라를 활용하는 동시에 중요한 데이터가 정기적으로 백업되고 복원이 정기적으로 테스트됩니다. 공식적인 백업 정책 및 절차는 비즈니스 활동 중단의 영향을 최소화하고 정보 시스템 또는 재해의 실패로부터 비즈니스 프로세스를 보호하며 시기 적절하고 적절한 재개를 보장합니다.

인증 및 액세스 관리

Cloud Insights에 대한 모든 고객 액세스는 https를 통한 브라우저 UI 상호 작용을 통해 수행됩니다. 인증은 타사 서비스인 Auth0을 통해 수행됩니다. NetApp은 이를 모든 클라우드 데이터 서비스의 인증 계층으로 중앙 집중화하고 있습니다.

Cloud Insights는 Cloud Insights 프로덕션 환경에 대한 논리적 액세스에 대해 "최소 권한" 및 "역할 기반 액세스 제어"를 포함한 업계 모범 사례를 따릅니다. 액세스 권한은 엄격한 요구 사항에 따라 제어되며 다중 요소 인증 메커니즘을 사용하는 권한이 있는 일부 직원에게만 부여됩니다.

고객 데이터의 수집 및 보호

모든 고객 데이터는 공용 네트워크를 통해 전송 중에 암호화되고 저장된 데이터는 암호화됩니다. Cloud Insights는 TLS(Transport Layer Security)와 업계 표준 AES-256 알고리즘을 포함하는 기술을 사용하여 시스템의 다양한 지점에서 암호화를 활용하여 고객 데이터를 보호합니다.

고객 프로비저닝 해제

이메일 알림은 고객에게 구독이 만료됨을 알리기 위해 다양한 간격으로 발송됩니다. 구독이 만료되면 UI가 제한되고 데이터 수집을 위한 유예 기간이 시작됩니다. 그러면 고객에게 이메일을 통해 알립니다. 평가판 구독의 경우 14일의 유예 기간이 있으며 유료 구독 계정의 유예 기간은 28일입니다. 유예 기간이 만료된 후 고객은 이메일을 통해 계정을 2일 이내에 삭제할 것이라는 알림을 받습니다. 유료 고객은 서비스 종료 요청을 직접 할 수도 있습니다.

만료된 테넌트 및 모든 관련 고객 데이터는 유예 기간이 끝나거나 고객의 계정 종료 요청이 확인되면 SRE(Cloud Insights Operations) 팀에서 삭제합니다. 두 경우 모두 SRE 팀은 API 호출을 실행하여 계정을 삭제합니다. API 호출은 테넌트 인스턴스와 모든 고객 데이터를 삭제합니다. 동일한 API를 호출하고 고객 테넌트 상태가 "삭제됨"인지 확인하여 고객 삭제를 확인합니다.

보안 사고 관리

Cloud Insights는 알려진 취약점을 찾기, 평가 및 해결하기 위해 NetApp의 PSIRT(제품 보안 문제 대응 팀) 프로세스와 통합됩니다. PSIRT는 고객 보고서, 내부 엔지니어링 및 CVE 데이터베이스와 같이 널리 알려진 소스를 비롯한 여러 채널의 취약점 정보를 포함합니다.

Cloud Insights 엔지니어링 팀에서 문제를 발견한 경우 팀은 PSIRT 프로세스를 시작하고 문제를 평가 및 잠재적으로 해결합니다.

Cloud Insights 고객 또는 연구원이 Cloud Insights 제품의 보안 문제를 식별하고 이 문제를 기술 지원 팀에 보고하거나 NetApp의 문제 대응 팀에 직접 보고할 수도 있습니다. 이러한 경우 Cloud Insights 팀은 PSIRT 프로세스를 시작하고 문제를 평가 및 잠재적으로 해결합니다.

취약점 및 침투 테스트

Cloud Insights는 업계 모범 사례를 따르고 내부 및 외부 보안 전문가와 회사를 통해 정기적인 취약점 및 침투 테스트를 수행합니다.

보안 인식 교육

모든 Cloud Insights 직원은 각 직원이 자신의 역할에서 특정한 보안 중심 과제를 처리할 수 있도록 개별 역할에 맞게 개발된 보안 교육을 받습니다.

규정 준수

Cloud Insights는 외부 허가된 CPA 회사에서 SOC 2 감사 완료를 포함하여 보안, 프로세스 및 서비스를 독립적인 제3자 감사 및 검증을 수행합니다.