CMMC 컴플라이언스

Mattermost가 미국 국방부 계약자 및 하청업자의 CMMC Level 2 요건을 충족하는 방법을 안내합니다.

개요 # 사이버 보안 성숙도 모델 인증(CMMC) 2.0 은 연방 계약 정보(FCI) 또는 통제 미분류 정보(CUI)를 처리하는 모든 계약자, 하청업자 및 공급업체가 인증을 취득하도록 요구하는 미국 국방부(DoD) 프로그램입니다. 귀 조직이 DoD와 직접 협력하거나 방위산업기반(DIB) 공급망의 일환으로 운영되는 경우, 계약 자격을 유지하기 위해 규정 준수를 입증하는 것이 의무적입니다. CMMC 규정 준수 달성은 소프트웨어 범위 외의 적절한 구성, 정책 및 광범위한 조직적 관행에 달려 있으므로 보장되지 않습니다. 그러나 이 문서는 Mattermost의 기능이 미국 국방부 계약자 및 하청업자가 특정 Level 2 요건 을 충족하는 데 어떻게 도움이 될 수 있는지 설명합니다. 접근 제어 및 신원 관리 # Mattermost는 인가된 사용자만 시스템에 접근하고 역할에 허용된 데이터만 볼 수 있도록 강력한 신원 및 접근 관리를 지원합니다. 주요 기능은 다음과 같습니다: 싱글 사인온(SSO) 통합 : Mattermost는 SAML 2.0 , OpenID Connect 및 AD/LDAP 를 통해 엔터프라이즈 아이덴티티 제공자와 통합됩니다. 이를 통해 사용자 계정을 중앙에서 관리하고 엔터프라이즈 인증 정책을 적용할 수 있습니다. 디렉터리에 프로비저닝된(그리고 Mattermost 서비스에 할당된) 사용자만 로그인할 수 있습니다. 이는 검증된 기업 신원을 사용하여 "인가된 사용자에 대한 시스템 접근 제한"(AC 3.1.1) 요건을 충족하는 데 도움이 됩니다. 역할 기반 접근 제어(RBAC) : Mattermost의 세분화된 권한은 사용자가 역할에 허용된 작업만 수행할 수 있도록 합니다. 예를 들어, 일반 사용자는 관리 기능을 수행할 수 없으며, 게스트 계정 은 특정 채널로 제한된 접근을 가집니다. 관리자는 팀 전체 및 채널별 역할/권한 을 구성하여 사용자가 직무에 필요한 데이터와 기능에만 접근할 수 있도록 합니다. 이는 최소 권한 원칙(AC 3.1.5)을 지원하고 사용자의 행동을 인가된 기능으로 제한합니다(AC 3.1.2, AC 3.1.7). 그룹 기반 접근 관리 : Mattermost AD/LDAP 그룹 동기화 는 사용자 프로비저닝 및 프로비저닝 해제를 자동화합니다. 사용자는 디렉터리 그룹 구성원 자격에 따라 Mattermost 팀/채널에 추가되거나 제거될 수 있습니다. 이는 인사 변경 또는 퇴사 시 적시에 접근 권한을 제거하고(AC 3.1.1의 계정 관리 측면 처리) 채널 접근을 조직 역할에 맞춤으로써 직무 분리를 적용하는 데 도움이 됩니다(AC 3.1.4). 세션 관리 및 타임아웃 : Mattermost 관리자는 세션 유휴 타임아웃 및 세션 수명을 포함한 세션 보안 설정을 정의할 수 있습니다. 세션은 비활성 기간 후 또는 요청 시 자동으로 무효화될 수 있습니다. 세션 기간을 제한하고 재인증을 요구함으로써 Mattermost는 방치된 세션을 통한 무단 접근 위험을 줄입니다(세션 잠금에 대한 AC 3.1.6 및 세션 제어에 대한 IA 3.5.2 충족에