CMMC 컴플라이언스

Mattermost의 CMMC(사이버 보안 성숙도 모델 인증) 2.0 준수 가이드. 접근 제어, 신원 관리, 다중 인증, 감사 로깅, 인시던트 대응, 통신 보호 및 데이터 보안 기능을 통한 DoD 컴플라이언스 지원 방법을 설명합니다.

개요 # 사이버 보안 성숙도 모델 인증(CMMC) 2.0 은 연방 계약 정보(FCI) 또는 통제된 비분류 정보(CUI)를 처리하는 모든 계약자, 하도급업체 및 공급업체가 인증을 취득하도록 요구하는 미국 국방부(DoD) 프로그램입니다. 귀 조직이 DoD와 직접 협력하거나 방위 산업 기반(DIB) 공급망의 일부로 운영되는 경우, 계약 자격을 유지하기 위해 컴플라이언스를 입증하는 것이 필수입니다. CMMC 컴플라이언스 달성은 소프트웨어 범위 외부의 적절한 구성, 정책 및 광범위한 조직 관행에 따라 달라지므로 보장되지 않습니다. 그러나 이 문서는 Mattermost의 기능이 미국 국방부 계약자 및 하도급업체가 특정 레벨 2 요구사항 을 충족하는 데 어떻게 도움이 될 수 있는지를 설명합니다. 접근 제어 및 신원 관리 # Mattermost는 승인된 사용자만 시스템에 접근하고 자신의 역할에 허용된 데이터만 볼 수 있도록 강력한 신원 및 접근 관리를 지원합니다. 주요 기능은 다음과 같습니다: 싱글 사인온(SSO) 통합 : Mattermost는 SAML 2.0 , OpenID Connect 및 AD/LDAP 를 통해 엔터프라이즈 신원 공급자와 통합됩니다. 이를 통해 사용자 계정을 중앙에서 관리하고 엔터프라이즈 인증 정책을 적용할 수 있습니다. 디렉터리에 프로비저닝된(그리고 Mattermost 서비스에 할당된) 사용자만 로그인할 수 있습니다. 이는 검증된 회사 신원을 사용하여 "승인된 사용자에 대한 시스템 접근 제한"(AC 3.1.1) 접근 제어 요구사항을 충족하는 데 도움이 됩니다. 역할 기반 접근 제어(RBAC) : Mattermost의 세분화된 권한은 사용자가 자신의 역할에 허용된 작업만 수행할 수 있도록 합니다. 예를 들어, 일반 사용자는 관리 기능을 수행할 수 없으며, 게스트 계정 은 특정 채널에 대한 접근이 제한됩니다. 관리자는 팀 전체 및 채널별 역할/권한 을 구성하여 사용자가 자신의 업무에 필요한 데이터 및 기능에만 접근할 수 있도록 합니다. 이는 최소 권한 원칙(AC 3.1.5)을 지원하고 사용자의 작업을 승인된 기능으로 제한합니다(AC 3.1.2, AC 3.1.7). 그룹 기반 접근 관리 : Mattermost AD/LDAP 그룹 동기화 는 사용자 프로비저닝 및 디프로비저닝을 자동화합니다. 사용자는 디렉터리 그룹 멤버십에 따라 Mattermost 팀/채널에 추가되거나 제거될 수 있습니다. 이를 통해 인원이 역할을 변경하거나 떠날 때 접근을 적시에 제거하고(AC 3.1.1의 계정 관리 측면 해결), 채널 접근을 조직 역할에 맞춤으로써 직무 분리(AC 3.1.4)를 적용하는 데 도움이 됩니다. 세션 관리 및 시간 초과 : Mattermost 관리자는 세션 유휴 시간 초과 및 세션 수명을 포함한 세션 보안 설정을 정의할 수 있습니다. 세션은 일정 기간 비활성 후 또는 요청 시 자동으로 무효화될 수 있습니다. 세션 기간을 제한하고 재인증을 요구함으로써, Mattermost는 무인 세션을 통한 무단 접근의 위험을 줄입니다(세션 잠금을 위한 AC