백서

Stratus 제품 보안

스트라투스의 보안 프로그램 및 관행에 대한 개요

추상

Stratus는 포괄적인 보안 전략의 일환으로 프로그램 및 관행을 관리 및 실행하여 안전한 제품 개발을 보장하고 기업 전반에 걸쳐 보안 인식을 유도합니다. 확립된 감독 절차를 통해 Stratus는 제품 개발 중 및 이후 제품 보안 위험을 식별하고 완화할 수 있습니다. 이 백서의 목적은 Stratus의 보안 개발 수명 주기 프로그램인 잠재적 인 취약점을 해결하고 제품 무결성을 보장하는 데 도움이 되는 포괄적이고 엄격한 제품 보안 보증 프로세스를 설명하는 것입니다.

스트라투스는 보안을 중요하게 생각합니다.

스트라투스는 풍부한 보안 유산을 가지고 있습니다.

Stratus는 거의 40년 동안 가장 신뢰할 수 있고 안전하며 관리하기 쉬운 플랫폼이 필요한 기업을 위한 컴퓨팅 인프라를 제공하여 가장 중요한 데이터 센터 워크로드에 전력을 공급해 왔습니다. 오늘날 Stratus 솔루션은 전 세계 Fortune 100의 절반 이상이 신용 카드 거래에서 $8.6T를 안전하게 처리하고, 200M 톤의 음식과 음료를 생산하며, 매년 1.5B 항공사 승객을 운송하는 데 사용됩니다.

Edge computing 인프라는 안전해야 합니다.

점점 더 많은 Stratus 솔루션이 기업 네트워크의 가장자리에 배포되고 있습니다. Stratus의 간단하고 보호되고 자율적인 컴퓨팅 플랫폼은 환경 제어 및/또는 기술 리소스가 부족한 위치에서 중요한 에지 애플리케이션을 실행하기 위해 점점 더 모색되고 있습니다.

IoT(사물 인터넷)의 출현과 IT(정보 기술) 및 OT(운영 기술)의 융합은 이전에 "격리된" OT 에지 네트워크를 신규 및 기존 IT 보안 취약점에 노출시키고 있습니다. 또한 이러한 OT 네트워크는 기존의 IT 보안 조치 및 도구를 사용하여 쉽게 보호되지 않습니다.

스트라투스에서 보안이 중요합니다.

데이터 센터에서 에지까지 고객의 컴퓨팅 플랫폼의 보안을 보장하는 것은 Stratus에 가장 중요합니다. 많은 고객이 규제가 심한 산업에서 사업을 운영하고 edge computing 중요한 국가 인프라를 위한 플랫폼. 따라서 실행 가능한 공격 벡터를 줄이고 심층 방어 접근 방식을 지원하는 레이어가 있는 제품을 만드는 것은 위험을 줄이는 중요한 요소입니다. Stratus는 고객과 파트너를 보다 잘 보호하기 위해 보안 업계 모범 사례를 활용하고, 보안을 염두에 두고 제품을 설계 및 구축하고, 알려진 보안 취약성 및 위협에 신속하게 대응하고, 현재의 입장을 지속적으로 평가하고 보안 태세를 개선하기 위한 개선을 포함한 포괄적인 보안 전략을 따릅니다.

Stratus는 보안 업계 모범 사례를 따릅니다.

Stratus는 제품을 설계 하고 건축할 때(안전한 프로세스)를 설계하고 구축할 때 인식된 보안 업계 모범 사례를 따르고 이를 보다 안전하게(안전한 제품)합니다. ISA, NIST 및 OWASP 가이드라인을 통합한 공식적인 SDL(보안 개발 수명 주기) 프로그램은 Stratus가 보안 위험을 식별하고 완화하는 데 도움이 됩니다. OPAF와 같은 조직과 파트너십을 맺어 광범위한 보안 커뮤니티의 리소스를 활용하여 제품 보안을 극대화할 수 있습니다.

ISA에서 시작됩니다.

국제 자동화 협회(ISA)는 1945년에 설립된 비영리 전문 협회입니다. 이 조직은 산업 자동화 및 제어 시스템에 대한 보안 표준을 포함하여 널리 사용되는 글로벌 표준을 개발하고 유지 관리합니다. Stratus는 주로 국제 전기 기술 위원회 (IEC)가 프로세스 및 제품 관점에서 보안을 고려하기 위해 채택 된 두 가지 ISA 지침을 따릅니다.

보안 프로세스

ISA/IEC 62443-4-1
ISA/IEC 62443-4-1은 산업 자동화 및 제어 시스템에 사용되는 제품의 안전한 개발을 위한 공정 요구 사항을 지정합니다. Stratus는 자체 제품을 안전하게 개발하는 이러한 ISA 지침을 따릅니다. 이 지침은 다음을 포함하여 안전한 제품을 개발하고 유지하기 위한 안전한 개발 수명 주기를 정의합니다.

  • 보안 요구 사항 정의
  • 안전한 디자인
  • 보안 구현(코딩 지침 포함)
  • 검증 및 검증
  • 결함 관리
  • 패치 관리
  • 제품 수명 종료

NIST SP 800-37
현재 미국 상무부의 일부인 국립 표준 기술 연구소(NIST)는 산업 경쟁력을 증진하기 위해 설계된 기술, 측정 및 표준을 수립하고 감독하는 정부 기관입니다. NIST 특별 간행물 800-37(SP 800-37)은 연방 정보 시스템에 위험 관리 프레임워크를 적용하는 지침을 제공합니다. Stratus 개발자는 Stratus 중복과 같은 소프트웨어 제품 개발 중에 이러한 추가 지침을 활용합니다. Linux , 에버런, 그리고 VOS.

제품 보안

ISA/IEC 62443-4-2
Stratus는 또한 ISA 기능 요구 사항을 사용하여 제품에 통합할 보안 기능을 정의하는 데 도움을 줍니다. ISA/IEC 62443-4-2는 제어 시스템 기능 보안 수준을 충족하기 위한 7가지 기본 요구 사항(FR)과 관련된 기술 구성 요소 요구 사항(CR)을 자세히 설명합니다. 7가지 기본 요구 사항은 다음과 같습니다.

  • 식별 및 인증 제어
  • 사용 제어
  • 시스템 무결성
  • 데이터 기밀성
  • 제한된 데이터 흐름
  • 이벤트에 적시에 대응
  • 리소스 가용성

예를 들어 ztC Edge 및 everRun과 같은 Stratus 제품은 권한 식별, 인증 및 사용 제어를 위해 액세스 제어 목록, 역할 및 암호를 활용합니다. ztC Edge의 시스템 무결성은 안전하고 신뢰할 수 있는 부팅으로 보장됩니다. ftServer와 ztC Edge는 HTTPS, SSH 및 SMTP와 같은 보안 통신 프로토콜을 암호화와 함께 사용하여 데이터 기밀성을 보장합니다. 경고 로그는 보안 인시던트를 나타낼 수 있는 Stratus 제품의 구성 변경 사항을 즉시 관리자에게 알립니다. 리소스 가용성은 또한 모든 Stratus 제품의 특징입니다.

FIPS 140-2
연방 정보 처리 표준 140-2 (FIPS 140-2)는 컴퓨터 보안 부서 (CSD) 및 응용 사이버 보안 부서 (ACD)가 공동으로 관리하는 또 다른 NIST 표준입니다. 암호화 모듈에 의해 충족될 보안 요구 사항을 지정하여 광범위한 잠재적 응용 프로그램 및 환경을 포괄하기 위한 4가지 증가하고 질적 수준을 제공합니다.

Stratus는 FIPS 140-2 암호화 및 데이터 보안 설계 원칙을 사용하여 제품 보안 요구 사항을 알려줍니다. 예를 들어 현재 Stratus 제품은 웹 서비스에 OpenSSL 1.0.2k-fips 및 TLS v1.2를 사용합니다. 콘솔 액세스를 제공하기 위한 ztC Edge의 웹 서버는 기본적으로 FIPS 140-2 알고리즘을 준수합니다.

Owasp
개방형 웹 응용 프로그램 보안 프로젝트(OWASP)는 소프트웨어 보안을 개선하는 것을 목적으로 하는 비영리 재단입니다. Stratus는 재단의 방법론, 문서, 도구 및 기술을 활용하여 보안을 개선합니다.

스트라투스는 보안을 염두에 두고 제품을 설계하고 구축합니다.

Stratus는 제품 개발 프로세스 중에 보안 위험을 식별하고 완화하는 프로그램과 관행을 수립했습니다. Stratus의 엔지니어링 그룹 내의 제품 보안 팀은 회사 전체에서 보안 이니셔티브를 개발하고 추진하고 보안 에 민감한 문화를 조성하는 책임을 맡고 있습니다. 이 팀은 Stratus의 SDL 프로그램, 보안 사고 대응 노력 및 보안 인증을 담당합니다.

Stratus의 SDL은 Stratus 엔지니어가 안전한 제품을 안전하게 개발할 수 있도록 도와주는 폐쇄루프 보안 보증 프로그램입니다. 주요 목적은 개발 중및 배포 모두에서 제품의 취약점의 수와 심각도를 줄이는 것입니다. 이를 통해 선불 교육, 요구 사항 수집, 설계, 구현, 검증, 릴리스 및 사후 응답을 포함하여 제품의 수명 주기 및 민첩한 개발 문화의 모든 측면에 보안을 주입하여 이를 달성할 수 있습니다.

Stratus는 ISA, NIST 및 OWASP에서 제공하는 보안 업계 모범 사례, 지침, 표준 및 도구를 활용하는 것 외에도 각 SDL 프로그램 단계에서 보안 위험을 완화하기 위한 추가 보안 관행을 통합합니다.

훈련
Stratus 엔지니어는 개발 프로세스 및 제품에 보안 문제의 도입을 최소화하기 위해 보안 동향과 업계의 진화하는 위협 환경에 대한 최신 유지를 정기적으로 받습니다. Stratus의 보안 팀은 역할 기반 및 기술 특정 보안 커리큘럼을 관리 및 유지 관리하여 주기적으로 업데이트합니다. 현재 보안 개념, 보안 설계 및 테스트, 보안 코딩 기술 및 보안 도구에 대한 교육 과정이 있습니다.

요구 사항 수집
요구 사항 수집 및 계획 단계에서 제품의 초기 보안 프로필이 평가됩니다. 이는 제품의 보안 프로필이 알려진 보안 요구 사항 집합과 비교되는 몇 가지 이정표 중 첫 번째입니다. 이러한 요구 사항은 고객의 요청또는 업계 표준에서 제품 소유자에서 발생할 수 있지만 보안 팀에서 심사및 유지 관리합니다. 현재 인증, 권한 부여, 암호화, 인증서 관리, 네트워크 보안, 가상화, 책임, 소프트웨어 패키징 및 납품과 같은 표준이 포함됩니다. 또한 중요한 데이터 보안, 악성 코드 방지 및 공격 표면 감소와 같은 항목에 대해 더 높은 수준의 보안 요구 사항이 있습니다.

디자인
제품의 설계 단계에서는 릴리스 전에 보안 문제를 식별하고 수정하기 위한 병렬 작업이 수행됩니다. 잠재적인 취약점, 시스템 결함 및 잘못된 설계 가정을 식별하는 위협 모델 또는 아키텍처 도면이 초안이 작성됩니다. 개발 프로세스 초기에 이 활동을 수행함으로써 개발 팀은 설계 관련 보안 문제를 해결할 충분한 시간을 갖습니다.

구현
이 단계에서 개발 팀은 자동화된 도구를 사용하여 보안 관련 결함을 포함한 결함을 감지합니다. SAST(정적 응용 프로그램 보안 테스트)는 보안 취약점을 나타내는 코딩 및 설계 조건에 대한 응용 프로그램 소스 코드, 바이트 코드 및 바이너리를 분석하는 데 사용됩니다. 이 단계에서도 취약점 스캐닝이 수행됩니다.

또한 보안 팀은 안전한 소싱을 사용합니다. 제품에 통합된 모든 OSS(오픈 소스 소프트웨어) 및 TPS(타사 소프트웨어)의 이름 및 릴리스 수준을 문서화하여 알려진 취약점을 검사합니다. Stratus가 고객에게 전달되는 보안 문제의 위험을 완화하기 위해 Stratus가 업계 표준으로 개발된 안전한 제품을 수신할 수 있도록 공급업체 하드웨어 및 소프트웨어에 대한 보안 평가가 수행됩니다.

확인
이 수명 주기 단계에서 개발 팀은 자동화된 도구를 사용하여 네트워크에서 실행되는 컴퓨팅 시스템의 보안 취약점을 검사하여 시스템을 위협하거나 악용할 수 있는 구체적인 방법이 있는지 확인합니다. 또한 악의적인 침입자가 제품 또는 솔루션을 성공적으로 공격할 수 있는지 여부를 확인하기 위해 침투 테스트를 수행할 수 있습니다. 이러한 테스트는 격리된 테스트 환경에서 수행되며 제품 아키텍처 및 소스 코드 검토를 포함하고 다양한 상업적 또는 내부 취약성 탐지 도구를 활용할 수 있습니다.

또한 이 단계에서 최종 보안 검토를 수행하여 제품이 모든 SDL 프로그램 활동을 거쳤는지 확인하고 이전 보안 검토에서 제기된 문제가 해결되었습니다. 이 최종 보안 검토는 RC(릴리스 후보) 이정표가 충족되기 전에 완료됩니다.

릴리스 및 사후 응답
GA(일반적으로 사용 가능한) 제품은 제품 수명 주기의 생산 단계에 들어갑니다. 그들은 EOL (수명이 다할 때까지)까지이 단계에 남아 있습니다. Stratus의 제품 보안 사고 대응 팀(PSIRT)은 Stratus 제품과 관련된 보안 문제에 대한 보고에 대해 기술 환경을 모니터링할 책임이 있습니다. 글로벌 팀 중 하나는 보고된 취약점을 조사하고 해당 팀에 내부적으로 정보를 제공하는 것입니다. 또 다른 역할은 Stratus 제품의 취약점을 보고하는 보안 연구원, 고객, 파트너 및 기타 외부 당사자를 위한 Stratus 연락처지점(product.security@stratus.com)이되는 것입니다.

Stratus는 보안 취약점 및 위협에 신속하게 대응합니다.

PSIRT가 Stratus 제품에 대한 문제를 감지하거나 보고하면 PSIRT는 Stratus 개발 팀과 협력하여 문제를 조사합니다. PSIRT는 문제의 내부 및 외부적으로 적절한 제품 및 지원 팀과 개선 및 커뮤니케이션을 지속적으로 조정하고 있습니다. 또한 PSIRT는 모든 보안 권고사항을 전달하고 배포하고 Stratus 웹 사이트에서 이러한 기록을 보관할 책임이 있습니다.

Stratus는 다른 기술 공급업체 및 정부 기관(예: 인텔, AMD, IBM, Microsoft, Red Hat, Google, Facebook, Amazon, MITRE, CISA 등)과 함께 알려진 보안 취약점에 대한 정보를 지속적으로 식별, 자격 및 게시하는 보안 연합에 속합니다. 연합 회원이 잠재적인 취약점에 대한 경고를 받으면 작업이 이 문제를 검증하고 진단하기 시작합니다. 연합 회원국간에 정보가 공유되고 회원들은 공동 작업을 통해 수정 사항을 만듭니다. 결국 Stratus는 보안 패치를 만들어 PSIRT에서 고객과 파트너에게 배포합니다.

Stratus는 지속적으로 보안 태세를 평가하고 개선합니다.

Stratus의 SDL 프로그램은 위험을 식별하고 완화하는 능력에 대해 주기적으로 평가되며, 새로운 프로세스와 도구가 성숙하고 자격을 갖추면서 프로그램에 추가됩니다.

또한 Stratus의 민첩한 방법론은 각 개발 단계의 취약성 유형과 수준에 부합하는 보안 테스트를 위한 자동화된 프로세스가 포함됩니다. 통합 DevSecOps 접근 방식은 보안이 Stratus의 신속하고 빈번한 제품 개발 주기에 통합되도록 도와주며, 이전 주기에서 얻은 교훈을 미래의 제품에 신속하게 적용할 수 있습니다.

자세한 내용

자세한 내용을 보거나 취약점을 보고하려면 product.security@stratus.comStratus의 PSIRT에 문의하십시오. Stratus의 보안 권고에 대한 자세한 내용은 support.stratus.com방문하십시오. Stratus가 제품의 보안을 보장하는 방법에 대한 자세한 내용은 stratus.com/security 또는 stratus.com방문하십시오.

참조

  • 국제 자동화 협회 (ISA): isa.org
  • 국제 전기 기술위원회 (IEC): iec.ch
  • 국립 표준 기술 연구소 (NIST): nist.gov
  • 웹 응용 프로그램 보안 프로젝트 열기): owasp.org
  • 개방형 프로세스 자동화 포럼(OPAF): opengroup.org/forum/open-process-automation-forum
  • 사이버 보안 및 인프라 보안 국(CISA): us-cert.gov

참고 자료

위로 스크롤