InfoGrab Docs

SSH, Kubernetes, 데이터베이스를 위한 SOC 2 컴플라이언스

요약

Teleport는 인프라 접근, 변경 관리, 시스템 운영 목적으로 SOC 2 요구사항을 충족하도록 설계되었습니다. SOC 2 컴플라이언스 기능은 Teleport Enterprise 및 Teleport Enterprise Cloud에서만 사용 가능합니다.

Teleport는 인프라 접근, 변경 관리, 시스템 운영 목적으로 SOC 2 요구사항을 충족하도록 설계되었습니다. 이 문서는 귀사가 SOC 2 컴플라이언스를 달성하는 데 Teleport를 어떻게 활용할 수 있는지에 대한 개략적인 개요를 설명합니다.

경고

SOC 2 컴플라이언스 기능은 Teleport Enterprise 및 Teleport Enterprise Cloud에서만 사용 가능합니다.

Teleport로 SOC 2 컴플라이언스 달성#

SOC 2 또는 서비스 조직 제어는 미국 공인회계사협회(AICPA)에 의해 개발되었습니다. 이는 보안, 가용성, 처리 무결성, 기밀성, 프라이버시의 5가지 신뢰 서비스 기준을 기반으로 합니다.

Teleport는 어떤 주요 SOC 2 제어를 달성하는 데 도움이 됩니까?#

Teleport는 9개 제어 영역 중 4개에 도움을 줍니다.

CC6 제어 활동#

Teleport는 RBAC를 사용하여 직무 분리를 지원하고 권한이 있는 사용자에게만 접근을 제한합니다

  • 단기 인증서와 기존 아이덴티티 관리 서비스를 사용하여 역할 기반 접근 제어(RBAC)를 제공합니다.

CC6 물리적 및 논리적 접근 제어#

Teleport는 사용자의 역할에 따라 임시 보안 자격 증명을 발급합니다.

CC7 시스템 운영#

Teleport는 접근 감사 및 모니터링을 지원합니다.

  • 감사 이벤트 및 세션 녹화는 변조를 방지하기 위해 안전하게 저장됩니다.
  • 로그인, 실행된 명령, 배포 및 기타 이벤트를 구조화된 감사 로그로 변환합니다.
  • CLI 또는 브라우저에서 실시간으로 대화형 세션을 모니터링, 공유 및 참여할 수 있습니다.

CC8 변경 관리#

Teleport는 사용자가 인시던트 중에 권한을 상승시키는 데 도움을 주며, RBAC는 승인 필요성을 제한합니다. Teleport Slack 통합을 통해 관리자가 임시 SSH 접근 요청을 신속하게 승인할 수 있습니다.

  • 엔지니어가 터미널을 벗어나지 않고 즉석에서 상승된 권한을 요청할 수 있습니다
  • Slack 또는 기타 지원 플랫폼을 통한 ChatOps 워크플로로 권한 요청을 승인하거나 거부합니다.
  • 간단한 API와 확장 가능한 플러그인 시스템으로 권한 상승 워크플로를 확장하고 사용자 정의합니다.

Teleport는 어떤 구체적인 기준을 충족하는 데 도움이 됩니까?#

아래는 AICPA의 공식 "신뢰 서비스 기준" 참조 문서에 나열된 원칙과 공통 집중점 표와 Teleport가 이를 충족하는 데 어떻게 도움이 되는지를 보여줍니다.

각 원칙에는 다양한 제품과 조직에 따라 다르게 적용될 "집중점"이 많이 있습니다. 귀 조직에 어떤 집중점이 적용되는지 정확히 이해하려면 감사인과 상담하세요.

원칙 기준 집중점 Teleport 기능
CC6.1 - 논리적 접근 제한 하드웨어, 데이터(저장, 처리 중 또는 전송 중), 소프트웨어, 관리 권한, 모바일 장치, 출력 및 오프라인 시스템 구성 요소를 포함한 정보 자산에 대한 논리적 접근은 접근 제어 소프트웨어 및 규칙 집합을 통해 제한됩니다. Teleport Enterprise는 다음을 위한 강력한 역할 기반 접근 제어(RBAC)를 지원합니다:
  • 사용자가 접근할 수 있거나 없는 SSH 노드 제어.
  • 클러스터 수준 구성 제어(세션 녹화, 구성 등)
  • 서버에 로그인할 때 사용자가 사용할 수 있는 UNIX 로그인 제어.
CC6.1 - 사용자 식별 및 인증 사람, 인프라, 소프트웨어는 로컬 또는 원격으로 정보 자산에 접근하기 전에 식별되고 인증됩니다. 단기 인증서와 기존 아이덴티티 관리 서비스를 사용하여 역할 기반 접근 제어(RBAC)를 제공합니다. 로컬 또는 원격 연결이 동일하게 쉽습니다.
CC6.1 - 네트워크 분할 고려 네트워크 분할을 통해 엔터티 정보 시스템의 관련 없는 부분을 서로 격리할 수 있습니다. Teleport는 비욘드 코프 네트워크 분할을 가능하게 합니다

방화벽 뒤의 노드에 연결하거나 프록시 서버에 역방향 터널을 생성합니다
CC6.1 - 접근 지점 관리 외부 엔터티의 접근 지점과 접근 지점을 통해 흐르는 데이터 유형이 식별, 목록화 및 관리됩니다. 각 접근 지점을 사용하는 개인 및 시스템의 유형이 식별, 문서화 및 관리됩니다. 노드에 레이블을 지정하여 목록화하고 규칙을 생성합니다

AWS 태그에서 레이블을 생성합니다

Teleport는 클러스터 내 모든 노드의 실시간 목록을 유지합니다. 이 노드 목록은 사용자(접근 가능한 부분 집합을 볼 수 있음)와 관리자가 언제든지 쿼리할 수 있습니다.
CC6.1 - 정보 자산에 대한 접근 제한 데이터 분류, 별도의 데이터 구조, 포트 제한, 접근 프로토콜 제한, 사용자 식별, 디지털 인증서의 조합이 정보 자산에 대한 접근 제어 규칙을 설정하는 데 사용됩니다. Teleport는 인증서를 사용하여 접근을 부여하고 접근 제어 규칙을 생성합니다
CC6.1 - 식별 및 인증 관리 엔터티 정보, 인프라, 소프트웨어에 접근하는 개인 및 시스템에 대한 식별 및 인증 요구사항이 설정, 문서화 및 관리됩니다. Teleport는 동일한 인증 보안 표준으로 클라우드와 온프레미스에서 작동하므로 SSH 요구사항에 대한 정책 설정을 쉽게 만듭니다.
CC6.1 - 인프라 및 소프트웨어에 대한 자격 증명 관리 새로운 내부 및 외부 인프라와 소프트웨어는 네트워크 또는 접근 지점에서 접근 자격 증명을 부여하고 구현하기 전에 등록, 승인 및 문서화됩니다. 접근이 더 이상 필요하지 않거나 인프라 및 소프트웨어가 더 이상 사용되지 않을 때 자격 증명이 제거되고 접근이 비활성화됩니다. 단기 토큰으로 클러스터에 노드를 초대합니다
CC6.1 - 암호화를 사용하여 데이터 보호 엔터티는 평가된 위험을 기반으로 이러한 보호가 적절하다고 판단될 때 저장 시 데이터를 보호하는 데 사용되는 다른 수단을 보완하기 위해 암호화를 사용합니다. Teleport 감사 로그는 DynamoDB 저장 시 암호화를 사용할 수 있습니다.
CC6.1 - 암호화 키 보호 생성, 저장, 사용, 파기 중에 암호화 키를 보호하는 프로세스가 있습니다. Teleport는 CA에 의해 서명되고 (기본적으로) 단기적인 SSH 및 x509 사용자 인증서를 발급하기 위해 인증 기관으로 작동합니다. SSH 호스트 인증서도 CA에 의해 서명되고 자동으로 교체됩니다
CC6.2 - 보호된 자산에 대한 접근 자격 증명 제어 정보 자산 접근 자격 증명은 시스템의 자산 소유자 또는 권한 있는 관리인의 승인을 기반으로 생성됩니다. 명령줄에서 승인 요청

접근 요청으로 승인 워크플로 구축

플러그인을 사용하여 Slack 또는 Jira와 같은 도구에 승인을 보냅니다
CC6.2 - 적절할 때 보호된 자산에 대한 접근 제거 개인이 더 이상 접근이 필요하지 않을 때 자격 증명 접근을 제거하는 프로세스가 있습니다. Teleport는 직원의 역할을 기반으로 임시 자격 증명을 발급하며, 직무 변경, 퇴직 또는 유지보수 기간 종료 시 취소됩니다
CC6.2 - 접근 자격 증명 적절성 검토 접근 자격 증명의 적절성은 자격 증명이 있는 불필요하고 부적절한 개인에 대해 주기적으로 검토됩니다. Teleport는 클러스터 내 모든 노드의 실시간 목록을 유지합니다. 이 노드 목록은 사용자(접근 가능한 부분 집합을 볼 수 있음)와 관리자가 언제든지 쿼리할 수 있습니다.
CC6.3 - 보호된 정보 자산에 대한 접근 생성 또는 수정 자산 소유자의 승인을 기반으로 보호된 정보 자산에 대한 접근을 생성하거나 수정하는 프로세스가 있습니다. 자산 소유자로부터 승인을 받기 위해 접근 요청으로 승인 워크플로를 구축합니다.
CC6.3 - 보호된 정보 자산에 대한 접근 제거 개인이 더 이상 접근이 필요하지 않을 때 보호된 정보 자산에 대한 접근을 제거하는 프로세스가 있습니다. Teleport는 임시 자격 증명을 사용하며, 버전 제어 시스템이나 HR 시스템과 통합하여 접근 요청 API로 접근을 취소할 수 있습니다
CC6.3 - 역할 기반 접근 제어 사용 역할 기반 접근 제어는 양립할 수 없는 기능의 분리를 지원하는 데 활용됩니다. 역할 기반 접근 제어("RBAC")는 Teleport 관리자가 사용자에게 세분화된 접근 권한을 부여할 수 있도록 합니다.
CC6.3 - 접근 역할 및 규칙 검토 접근 역할 및 접근 규칙의 적절성은 접근이 있는 불필요하고 부적절한 개인에 대해 주기적으로 검토되며 접근 규칙은 적절하게 수정됩니다. Teleport는 클러스터 내 모든 노드의 실시간 목록을 유지합니다. 이 노드 목록은 사용자(접근 가능한 부분 집합을 볼 수 있음)와 관리자가 언제든지 쿼리할 수 있습니다.
CC6.6 - 접근 제한 통신 채널(예: FTP 사이트, 라우터 포트)을 통해 발생할 수 있는 활동 유형이 제한됩니다. Teleport는 21, 22와 같은 일반 포트에 대한 접근을 쉽게 제한하고, 사용자가 Teleport를 사용하여 서버에 터널링하도록 합니다. Teleport는 다음 기본 포트를 사용합니다.
CC6.6 - 식별 및 인증 자격 증명 보호 식별 및 인증 자격 증명은 시스템 경계 외부로 전송할 때 보호됩니다. 네트워크 외부의 자격 증명을 보호하여 제로 트러스트 네트워크 아키텍처를 가능하게 합니다
CC6.6 - 추가 인증 또는 자격 증명 요구 시스템 경계 외부에서 시스템에 접근할 때 추가 인증 정보나 자격 증명이 필요합니다. Teleport는 TOTP, WebAuthn 또는 U2F 표준으로 MFA를 관리하거나 SAML, OAUTH 또는 OIDC를 사용하여 아이덴티티 공급자에 연결할 수 있습니다
CC6.6 - 경계 보호 시스템 구현 경계 보호 시스템(예: 방화벽, 비무장지대, 침입 탐지 시스템)이 외부 접근 지점을 접근 시도와 무단 접근으로부터 보호하기 위해 구현되며 이러한 시도를 탐지하기 위해 모니터링됩니다. 신뢰할 수 있는 클러스터
CC6.7 - 데이터 보호를 위한 암호화 기술 또는 보안 통신 채널 사용 연결 접근 지점 너머로 데이터 및 기타 통신 전송을 보호하기 위해 암호화 기술 또는 보안 통신 채널이 사용됩니다. Teleport는 FedRAMP 호환 FIPS 모드를 포함한 강력한 암호화를 제공합니다
CC7.2 - 탐지 정책, 절차, 도구 구현 보안되지 않거나 악의적인 소프트웨어를 나타낼 수 있는 소프트웨어 및 구성 매개변수의 변경을 탐지하는 프로세스가 있습니다. 메타데이터가 포함된 상세한 SSH 감사 로그를 생성합니다

BPF 세션 녹화를 사용하여 악의적인 프로그램 실행을 감지합니다
CC7.2 - 탐지 수단 설계 탐지 수단은 (1) 물리적 장벽 침해; (2) 권한 있는 직원의 무단 행위; (3) 손상된 식별 및 인증 자격 증명 사용; (4) 시스템 경계 외부에서의 무단 접근; (5) 권한 있는 외부 당사자 침해; (6) 권한 없는 하드웨어 및 소프트웨어의 구현 또는 연결로 인한 실제 또는 시도된 이상을 식별하도록 설계됩니다. 향상된 세션 녹화를 사용하여 악의적인 프로그램 실행을 감지하고, TCP 연결을 캡처하고, 접근하면 안 되는 시스템의 파일에 접근하는 프로그램을 기록합니다.
CC7.3 - 탐지된 보안 이벤트 통신 및 검토 탐지된 보안 이벤트는 보안 프로그램 관리를 담당하는 개인에게 전달되어 검토되며 필요한 경우 조치가 취해집니다. 세션 녹화를 사용하여 의심스러운 세션을 재생하고 검토합니다.
CC7.3 - 보안 인시던트 분석 절차 개발 및 구현 보안 인시던트를 분석하고 시스템 영향을 결정하는 절차가 있습니다. 상세한 로그를 분석하고 녹화된 세션을 재생하여 영향을 파악합니다. 인시던트 중에 접근된 파일을 정확히 확인합니다.
CC7.4 - 보안 인시던트 봉쇄 엔터티 목표를 적극적으로 위협하는 보안 인시던트를 봉쇄하는 절차가 있습니다. Teleport를 사용하여 신속하게 접근을 취소하고 활성 인시던트를 봉쇄합니다

공유 세션을 사용하여 여러 온콜 엔지니어가 협력하여 문제를 해결할 수 있습니다.
CC7.4 - 보안 인시던트로 인한 위협 종료 진행 중인 보안 인시던트의 영향을 완화하는 절차가 있습니다. Teleport를 사용하여 신속하게 접근을 취소하고 활성 인시던트를 봉쇄합니다
CC7.4 - 인시던트 성격 이해 및 봉쇄 전략 결정 인시던트가 발생한 방법 및 영향을 받은 시스템 리소스 등 보안 인시던트의 성격과 심각성을 이해하여 적절한 봉쇄 전략을 결정합니다. Teleport의 세션 녹화 및 재생과 로그를 사용하여 인시던트로 이어진 행동을 이해합니다.
CC7.4 - 인시던트 대응 효과성 평가 인시던트 대응 활동의 설계는 주기적으로 효과성을 평가합니다. 감사 로그와 세션 녹화를 사용하여 인시던트 대응 계획의 문제점을 찾고 효과성을 개선합니다.
CC7.4 - 주기적 인시던트 평가 경영진은 보안, 가용성, 처리 무결성, 기밀성, 프라이버시와 관련된 인시던트를 주기적으로 검토하고 인시던트 패턴과 근본 원인을 기반으로 시스템 변경의 필요성을 파악합니다. 세션 녹화와 감사 로그를 사용하여 인시던트로 이어지는 패턴을 찾습니다.
CC7.5 - 이벤트의 근본 원인 결정 이벤트의 근본 원인을 결정합니다. 세션 녹화와 감사 로그를 사용하여 근본 원인을 찾습니다.
CC7.5 - 대응 및 복구 절차 개선 교훈을 분석하고 인시던트 대응 계획과 복구 절차를 개선합니다. '사후 검토' 또는 포스트모텀 회의에서 세션 녹화를 재생합니다
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 시스템 수명 주기 전반에 걸쳐 변경 사항을 관리합니다. 인프라 코드 도구와의 통합을 통해 문서화된 소프트웨어 개발 수명 주기를 가능하게 합니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 변경 사항 승인, 시스템 변경 사항 식별 및 평가. 인프라 코드 통합을 통해 GitOps 플랫폼을 사용하여 변경 사항을 승인할 수 있습니다. 접근 요청은 상승된 권한에 대한 승인을 가능하게 합니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 변경 사항 설계 및 개발. 인프라 코드 통합을 통해 인프라 접근 제어를 코드로 지정할 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 변경 사항 문서화. 인프라 코드 통합을 통해 버전 제어 시스템 로그에 구성 변경 사항을 문서화하고, 알림 시스템을 통해 최종 사용자에게 시스템 변경 사항을 알릴 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 시스템 변경 사항 추적. 인프라 코드 통합 및 감사 로깅을 통해 구성 변경 이력과 접근 요청 승인을 Teleport 클러스터에서 추적할 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 소프트웨어 구성. 인프라 코드 지원을 통해 동적 리소스 구성을 추적할 수 있습니다. Helm 지원을 통해 Kubernetes의 Teleport 서비스 구성을 추적할 수 있습니다. 또한 버전 제어를 사용하여 Teleport YAML 구성 파일을 관리할 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 시스템 변경 사항 테스트. Teleport의 인프라 코드 지원 및 gRPC API를 통해 Teleport 구성에서 변경 사항에 대한 스테이징 환경 및 자동화된 테스트를 설정할 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 시스템 변경 사항 승인. 접근 요청은 제안된 권한 변경에 대한 승인을 허용하며, 인프라 코드 지원을 통해 구성에 대한 승인 시스템을 설정할 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 시스템 변경 사항 배포. API 리소스에 대한 RBAC 보호를 통해 구성 변경을 권한 있는 지속적 배포 실행자로 제한할 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 인시던트 해결을 위해 필요한 인프라, 데이터, 소프트웨어, 절차의 변경 사항 식별. 인프라 코드 지원을 통해 변경 사항을 되돌릴 수 있습니다. 자체 호스팅 클러스터에서 Auth Service 백엔드를 백업할 수도 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. IT 기술의 기준 구성 생성. 인프라 코드 지원을 통해 코드 저장소에 기준 구성을 설정할 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 긴급 상황에 필요한 변경 사항 제공. 관리자는 접근 요청을 사용하여 긴급 상황에서 변경 사항을 제공하기 위해 일시적으로 상승된 권한을 얻을 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 패치 변경 관리. 인프라 코드 지원을 통해 구성에 대한 정기적인 패치 변경이 가능합니다.

SSH, Kubernetes, 데이터베이스를 위한 SOC 2 컴플라이언스

원문 보기
요약

Teleport는 인프라 접근, 변경 관리, 시스템 운영 목적으로 SOC 2 요구사항을 충족하도록 설계되었습니다. SOC 2 컴플라이언스 기능은 Teleport Enterprise 및 Teleport Enterprise Cloud에서만 사용 가능합니다.

Teleport는 인프라 접근, 변경 관리, 시스템 운영 목적으로 SOC 2 요구사항을 충족하도록 설계되었습니다. 이 문서는 귀사가 SOC 2 컴플라이언스를 달성하는 데 Teleport를 어떻게 활용할 수 있는지에 대한 개략적인 개요를 설명합니다.

경고

SOC 2 컴플라이언스 기능은 Teleport Enterprise 및 Teleport Enterprise Cloud에서만 사용 가능합니다.

Teleport로 SOC 2 컴플라이언스 달성#

SOC 2 또는 서비스 조직 제어는 미국 공인회계사협회(AICPA)에 의해 개발되었습니다. 이는 보안, 가용성, 처리 무결성, 기밀성, 프라이버시의 5가지 신뢰 서비스 기준을 기반으로 합니다.

Teleport는 어떤 주요 SOC 2 제어를 달성하는 데 도움이 됩니까?#

Teleport는 9개 제어 영역 중 4개에 도움을 줍니다.

CC6 제어 활동#

Teleport는 RBAC를 사용하여 직무 분리를 지원하고 권한이 있는 사용자에게만 접근을 제한합니다

  • 단기 인증서와 기존 아이덴티티 관리 서비스를 사용하여 역할 기반 접근 제어(RBAC)를 제공합니다.

CC6 물리적 및 논리적 접근 제어#

Teleport는 사용자의 역할에 따라 임시 보안 자격 증명을 발급합니다.

CC7 시스템 운영#

Teleport는 접근 감사 및 모니터링을 지원합니다.

  • 감사 이벤트 및 세션 녹화는 변조를 방지하기 위해 안전하게 저장됩니다.
  • 로그인, 실행된 명령, 배포 및 기타 이벤트를 구조화된 감사 로그로 변환합니다.
  • CLI 또는 브라우저에서 실시간으로 대화형 세션을 모니터링, 공유 및 참여할 수 있습니다.

CC8 변경 관리#

Teleport는 사용자가 인시던트 중에 권한을 상승시키는 데 도움을 주며, RBAC는 승인 필요성을 제한합니다. Teleport Slack 통합을 통해 관리자가 임시 SSH 접근 요청을 신속하게 승인할 수 있습니다.

  • 엔지니어가 터미널을 벗어나지 않고 즉석에서 상승된 권한을 요청할 수 있습니다
  • Slack 또는 기타 지원 플랫폼을 통한 ChatOps 워크플로로 권한 요청을 승인하거나 거부합니다.
  • 간단한 API와 확장 가능한 플러그인 시스템으로 권한 상승 워크플로를 확장하고 사용자 정의합니다.

Teleport는 어떤 구체적인 기준을 충족하는 데 도움이 됩니까?#

아래는 AICPA의 공식 "신뢰 서비스 기준" 참조 문서에 나열된 원칙과 공통 집중점 표와 Teleport가 이를 충족하는 데 어떻게 도움이 되는지를 보여줍니다.

각 원칙에는 다양한 제품과 조직에 따라 다르게 적용될 "집중점"이 많이 있습니다. 귀 조직에 어떤 집중점이 적용되는지 정확히 이해하려면 감사인과 상담하세요.

원칙 기준 집중점 Teleport 기능
CC6.1 - 논리적 접근 제한 하드웨어, 데이터(저장, 처리 중 또는 전송 중), 소프트웨어, 관리 권한, 모바일 장치, 출력 및 오프라인 시스템 구성 요소를 포함한 정보 자산에 대한 논리적 접근은 접근 제어 소프트웨어 및 규칙 집합을 통해 제한됩니다. Teleport Enterprise는 다음을 위한 강력한 역할 기반 접근 제어(RBAC)를 지원합니다:
  • 사용자가 접근할 수 있거나 없는 SSH 노드 제어.
  • 클러스터 수준 구성 제어(세션 녹화, 구성 등)
  • 서버에 로그인할 때 사용자가 사용할 수 있는 UNIX 로그인 제어.
CC6.1 - 사용자 식별 및 인증 사람, 인프라, 소프트웨어는 로컬 또는 원격으로 정보 자산에 접근하기 전에 식별되고 인증됩니다. 단기 인증서와 기존 아이덴티티 관리 서비스를 사용하여 역할 기반 접근 제어(RBAC)를 제공합니다. 로컬 또는 원격 연결이 동일하게 쉽습니다.
CC6.1 - 네트워크 분할 고려 네트워크 분할을 통해 엔터티 정보 시스템의 관련 없는 부분을 서로 격리할 수 있습니다. Teleport는 비욘드 코프 네트워크 분할을 가능하게 합니다

방화벽 뒤의 노드에 연결하거나 프록시 서버에 역방향 터널을 생성합니다
CC6.1 - 접근 지점 관리 외부 엔터티의 접근 지점과 접근 지점을 통해 흐르는 데이터 유형이 식별, 목록화 및 관리됩니다. 각 접근 지점을 사용하는 개인 및 시스템의 유형이 식별, 문서화 및 관리됩니다. 노드에 레이블을 지정하여 목록화하고 규칙을 생성합니다

AWS 태그에서 레이블을 생성합니다

Teleport는 클러스터 내 모든 노드의 실시간 목록을 유지합니다. 이 노드 목록은 사용자(접근 가능한 부분 집합을 볼 수 있음)와 관리자가 언제든지 쿼리할 수 있습니다.
CC6.1 - 정보 자산에 대한 접근 제한 데이터 분류, 별도의 데이터 구조, 포트 제한, 접근 프로토콜 제한, 사용자 식별, 디지털 인증서의 조합이 정보 자산에 대한 접근 제어 규칙을 설정하는 데 사용됩니다. Teleport는 인증서를 사용하여 접근을 부여하고 접근 제어 규칙을 생성합니다
CC6.1 - 식별 및 인증 관리 엔터티 정보, 인프라, 소프트웨어에 접근하는 개인 및 시스템에 대한 식별 및 인증 요구사항이 설정, 문서화 및 관리됩니다. Teleport는 동일한 인증 보안 표준으로 클라우드와 온프레미스에서 작동하므로 SSH 요구사항에 대한 정책 설정을 쉽게 만듭니다.
CC6.1 - 인프라 및 소프트웨어에 대한 자격 증명 관리 새로운 내부 및 외부 인프라와 소프트웨어는 네트워크 또는 접근 지점에서 접근 자격 증명을 부여하고 구현하기 전에 등록, 승인 및 문서화됩니다. 접근이 더 이상 필요하지 않거나 인프라 및 소프트웨어가 더 이상 사용되지 않을 때 자격 증명이 제거되고 접근이 비활성화됩니다. 단기 토큰으로 클러스터에 노드를 초대합니다
CC6.1 - 암호화를 사용하여 데이터 보호 엔터티는 평가된 위험을 기반으로 이러한 보호가 적절하다고 판단될 때 저장 시 데이터를 보호하는 데 사용되는 다른 수단을 보완하기 위해 암호화를 사용합니다. Teleport 감사 로그는 DynamoDB 저장 시 암호화를 사용할 수 있습니다.
CC6.1 - 암호화 키 보호 생성, 저장, 사용, 파기 중에 암호화 키를 보호하는 프로세스가 있습니다. Teleport는 CA에 의해 서명되고 (기본적으로) 단기적인 SSH 및 x509 사용자 인증서를 발급하기 위해 인증 기관으로 작동합니다. SSH 호스트 인증서도 CA에 의해 서명되고 자동으로 교체됩니다
CC6.2 - 보호된 자산에 대한 접근 자격 증명 제어 정보 자산 접근 자격 증명은 시스템의 자산 소유자 또는 권한 있는 관리인의 승인을 기반으로 생성됩니다. 명령줄에서 승인 요청

접근 요청으로 승인 워크플로 구축

플러그인을 사용하여 Slack 또는 Jira와 같은 도구에 승인을 보냅니다
CC6.2 - 적절할 때 보호된 자산에 대한 접근 제거 개인이 더 이상 접근이 필요하지 않을 때 자격 증명 접근을 제거하는 프로세스가 있습니다. Teleport는 직원의 역할을 기반으로 임시 자격 증명을 발급하며, 직무 변경, 퇴직 또는 유지보수 기간 종료 시 취소됩니다
CC6.2 - 접근 자격 증명 적절성 검토 접근 자격 증명의 적절성은 자격 증명이 있는 불필요하고 부적절한 개인에 대해 주기적으로 검토됩니다. Teleport는 클러스터 내 모든 노드의 실시간 목록을 유지합니다. 이 노드 목록은 사용자(접근 가능한 부분 집합을 볼 수 있음)와 관리자가 언제든지 쿼리할 수 있습니다.
CC6.3 - 보호된 정보 자산에 대한 접근 생성 또는 수정 자산 소유자의 승인을 기반으로 보호된 정보 자산에 대한 접근을 생성하거나 수정하는 프로세스가 있습니다. 자산 소유자로부터 승인을 받기 위해 접근 요청으로 승인 워크플로를 구축합니다.
CC6.3 - 보호된 정보 자산에 대한 접근 제거 개인이 더 이상 접근이 필요하지 않을 때 보호된 정보 자산에 대한 접근을 제거하는 프로세스가 있습니다. Teleport는 임시 자격 증명을 사용하며, 버전 제어 시스템이나 HR 시스템과 통합하여 접근 요청 API로 접근을 취소할 수 있습니다
CC6.3 - 역할 기반 접근 제어 사용 역할 기반 접근 제어는 양립할 수 없는 기능의 분리를 지원하는 데 활용됩니다. 역할 기반 접근 제어("RBAC")는 Teleport 관리자가 사용자에게 세분화된 접근 권한을 부여할 수 있도록 합니다.
CC6.3 - 접근 역할 및 규칙 검토 접근 역할 및 접근 규칙의 적절성은 접근이 있는 불필요하고 부적절한 개인에 대해 주기적으로 검토되며 접근 규칙은 적절하게 수정됩니다. Teleport는 클러스터 내 모든 노드의 실시간 목록을 유지합니다. 이 노드 목록은 사용자(접근 가능한 부분 집합을 볼 수 있음)와 관리자가 언제든지 쿼리할 수 있습니다.
CC6.6 - 접근 제한 통신 채널(예: FTP 사이트, 라우터 포트)을 통해 발생할 수 있는 활동 유형이 제한됩니다. Teleport는 21, 22와 같은 일반 포트에 대한 접근을 쉽게 제한하고, 사용자가 Teleport를 사용하여 서버에 터널링하도록 합니다. Teleport는 다음 기본 포트를 사용합니다.
CC6.6 - 식별 및 인증 자격 증명 보호 식별 및 인증 자격 증명은 시스템 경계 외부로 전송할 때 보호됩니다. 네트워크 외부의 자격 증명을 보호하여 제로 트러스트 네트워크 아키텍처를 가능하게 합니다
CC6.6 - 추가 인증 또는 자격 증명 요구 시스템 경계 외부에서 시스템에 접근할 때 추가 인증 정보나 자격 증명이 필요합니다. Teleport는 TOTP, WebAuthn 또는 U2F 표준으로 MFA를 관리하거나 SAML, OAUTH 또는 OIDC를 사용하여 아이덴티티 공급자에 연결할 수 있습니다
CC6.6 - 경계 보호 시스템 구현 경계 보호 시스템(예: 방화벽, 비무장지대, 침입 탐지 시스템)이 외부 접근 지점을 접근 시도와 무단 접근으로부터 보호하기 위해 구현되며 이러한 시도를 탐지하기 위해 모니터링됩니다. 신뢰할 수 있는 클러스터
CC6.7 - 데이터 보호를 위한 암호화 기술 또는 보안 통신 채널 사용 연결 접근 지점 너머로 데이터 및 기타 통신 전송을 보호하기 위해 암호화 기술 또는 보안 통신 채널이 사용됩니다. Teleport는 FedRAMP 호환 FIPS 모드를 포함한 강력한 암호화를 제공합니다
CC7.2 - 탐지 정책, 절차, 도구 구현 보안되지 않거나 악의적인 소프트웨어를 나타낼 수 있는 소프트웨어 및 구성 매개변수의 변경을 탐지하는 프로세스가 있습니다. 메타데이터가 포함된 상세한 SSH 감사 로그를 생성합니다

BPF 세션 녹화를 사용하여 악의적인 프로그램 실행을 감지합니다
CC7.2 - 탐지 수단 설계 탐지 수단은 (1) 물리적 장벽 침해; (2) 권한 있는 직원의 무단 행위; (3) 손상된 식별 및 인증 자격 증명 사용; (4) 시스템 경계 외부에서의 무단 접근; (5) 권한 있는 외부 당사자 침해; (6) 권한 없는 하드웨어 및 소프트웨어의 구현 또는 연결로 인한 실제 또는 시도된 이상을 식별하도록 설계됩니다. 향상된 세션 녹화를 사용하여 악의적인 프로그램 실행을 감지하고, TCP 연결을 캡처하고, 접근하면 안 되는 시스템의 파일에 접근하는 프로그램을 기록합니다.
CC7.3 - 탐지된 보안 이벤트 통신 및 검토 탐지된 보안 이벤트는 보안 프로그램 관리를 담당하는 개인에게 전달되어 검토되며 필요한 경우 조치가 취해집니다. 세션 녹화를 사용하여 의심스러운 세션을 재생하고 검토합니다.
CC7.3 - 보안 인시던트 분석 절차 개발 및 구현 보안 인시던트를 분석하고 시스템 영향을 결정하는 절차가 있습니다. 상세한 로그를 분석하고 녹화된 세션을 재생하여 영향을 파악합니다. 인시던트 중에 접근된 파일을 정확히 확인합니다.
CC7.4 - 보안 인시던트 봉쇄 엔터티 목표를 적극적으로 위협하는 보안 인시던트를 봉쇄하는 절차가 있습니다. Teleport를 사용하여 신속하게 접근을 취소하고 활성 인시던트를 봉쇄합니다

공유 세션을 사용하여 여러 온콜 엔지니어가 협력하여 문제를 해결할 수 있습니다.
CC7.4 - 보안 인시던트로 인한 위협 종료 진행 중인 보안 인시던트의 영향을 완화하는 절차가 있습니다. Teleport를 사용하여 신속하게 접근을 취소하고 활성 인시던트를 봉쇄합니다
CC7.4 - 인시던트 성격 이해 및 봉쇄 전략 결정 인시던트가 발생한 방법 및 영향을 받은 시스템 리소스 등 보안 인시던트의 성격과 심각성을 이해하여 적절한 봉쇄 전략을 결정합니다. Teleport의 세션 녹화 및 재생과 로그를 사용하여 인시던트로 이어진 행동을 이해합니다.
CC7.4 - 인시던트 대응 효과성 평가 인시던트 대응 활동의 설계는 주기적으로 효과성을 평가합니다. 감사 로그와 세션 녹화를 사용하여 인시던트 대응 계획의 문제점을 찾고 효과성을 개선합니다.
CC7.4 - 주기적 인시던트 평가 경영진은 보안, 가용성, 처리 무결성, 기밀성, 프라이버시와 관련된 인시던트를 주기적으로 검토하고 인시던트 패턴과 근본 원인을 기반으로 시스템 변경의 필요성을 파악합니다. 세션 녹화와 감사 로그를 사용하여 인시던트로 이어지는 패턴을 찾습니다.
CC7.5 - 이벤트의 근본 원인 결정 이벤트의 근본 원인을 결정합니다. 세션 녹화와 감사 로그를 사용하여 근본 원인을 찾습니다.
CC7.5 - 대응 및 복구 절차 개선 교훈을 분석하고 인시던트 대응 계획과 복구 절차를 개선합니다. '사후 검토' 또는 포스트모텀 회의에서 세션 녹화를 재생합니다
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 시스템 수명 주기 전반에 걸쳐 변경 사항을 관리합니다. 인프라 코드 도구와의 통합을 통해 문서화된 소프트웨어 개발 수명 주기를 가능하게 합니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 변경 사항 승인, 시스템 변경 사항 식별 및 평가. 인프라 코드 통합을 통해 GitOps 플랫폼을 사용하여 변경 사항을 승인할 수 있습니다. 접근 요청은 상승된 권한에 대한 승인을 가능하게 합니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 변경 사항 설계 및 개발. 인프라 코드 통합을 통해 인프라 접근 제어를 코드로 지정할 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 변경 사항 문서화. 인프라 코드 통합을 통해 버전 제어 시스템 로그에 구성 변경 사항을 문서화하고, 알림 시스템을 통해 최종 사용자에게 시스템 변경 사항을 알릴 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 시스템 변경 사항 추적. 인프라 코드 통합 및 감사 로깅을 통해 구성 변경 이력과 접근 요청 승인을 Teleport 클러스터에서 추적할 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 소프트웨어 구성. 인프라 코드 지원을 통해 동적 리소스 구성을 추적할 수 있습니다. Helm 지원을 통해 Kubernetes의 Teleport 서비스 구성을 추적할 수 있습니다. 또한 버전 제어를 사용하여 Teleport YAML 구성 파일을 관리할 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 시스템 변경 사항 테스트. Teleport의 인프라 코드 지원 및 gRPC API를 통해 Teleport 구성에서 변경 사항에 대한 스테이징 환경 및 자동화된 테스트를 설정할 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 시스템 변경 사항 승인. 접근 요청은 제안된 권한 변경에 대한 승인을 허용하며, 인프라 코드 지원을 통해 구성에 대한 승인 시스템을 설정할 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 시스템 변경 사항 배포. API 리소스에 대한 RBAC 보호를 통해 구성 변경을 권한 있는 지속적 배포 실행자로 제한할 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 인시던트 해결을 위해 필요한 인프라, 데이터, 소프트웨어, 절차의 변경 사항 식별. 인프라 코드 지원을 통해 변경 사항을 되돌릴 수 있습니다. 자체 호스팅 클러스터에서 Auth Service 백엔드를 백업할 수도 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. IT 기술의 기준 구성 생성. 인프라 코드 지원을 통해 코드 저장소에 기준 구성을 설정할 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 긴급 상황에 필요한 변경 사항 제공. 관리자는 접근 요청을 사용하여 긴급 상황에서 변경 사항을 제공하기 위해 일시적으로 상승된 권한을 얻을 수 있습니다.
CC8.1 - 목표를 달성하기 위해 인프라, 데이터, 소프트웨어, 절차에 대한 변경 사항을 승인, 설계, 개발 또는 획득, 구성, 문서화, 테스트, 승인 및 구현합니다. 패치 변경 관리. 인프라 코드 지원을 통해 구성에 대한 정기적인 패치 변경이 가능합니다.