메인 콘텐츠로 건너뛰기
Hero ImageHero Image
백서

스트라투스 제품 보안

스트라투스의 보안 프로그램 및 관행에 대한 개요

초록

포괄적인 보안 전략의 일환으로 Stratus는 보안 제품 개발을 보장하고 기업 전반에 걸쳐 보안 인식을 제고하기 위한 프로그램과 관행을 관리하고 실행합니다.확립된 감독 절차를 통해 Stratus는 제품 개발 중 및 이후에 제품 보안 위험을 식별하고 완화할 수 있습니다.이 백서의 목적은 잠재적 취약성을 해결하고 제품 무결성을 보장하는 데 도움이 되는 포괄적이고 엄격한 제품 보안 보증 프로세스인 스트라투스의 보안 개발 라이프사이클 프로그램을 설명하는 것입니다.

Stratus는 보안을 중요하게 생각합니다

Stratus는 풍부한 보안 유산을 보유하고 있습니다.

거의 40년 동안 Stratus는 가장 중요한 데이터 센터 워크로드를 지원하기 위해 매우 안정적이고 안전하며 관리 가능한 플랫폼이 필요한 기업에 컴퓨팅 인프라를 제공해 왔습니다.오늘날 전 세계 Fortune 100대 기업의 절반 이상이 Stratus 솔루션을 사용하여 860조 달러의 신용 카드 거래를 안전하게 처리하고 2억 톤의 식음료를 생산하며 연간 15억 명의 항공사 승객을 운송하고 있습니다.

엣지 컴퓨팅 인프라는 안전해야 합니다

Stratus 솔루션은 기업 네트워크의 엣지에 점점 더 많이 배포되고 있습니다.스트라투스의 단순하고 보호된 자율 컴퓨팅 플랫폼은 환경 제어 및/또는 기술 리소스가 부족한 지역에서 중요한 엣지 애플리케이션을 실행하기 위해 점점 더 많이 사용되고 있습니다.

IoT (사물 인터넷) 의 등장과 IT (정보 기술) 와 OT (운영 기술) 의 융합으로 인해 이전에 “격리된” OT 에지 네트워크는 신규 및 기존 IT 보안 취약점에 노출되고 있습니다.또한 이러한 OT 네트워크는 기존 IT 보안 조치 및 도구로는 쉽게 보호되지 않습니다.

Stratus에서는 보안이 중요합니다

데이터 센터에서 엣지에 이르기까지 고객 컴퓨팅 플랫폼의 보안을 보장하는 것은 Stratus에게 가장 중요합니다.많은 고객이 규제가 심한 산업에서 사업을 운영하고 있으며 주요 국가 인프라에 엣지 컴퓨팅 플랫폼을 사용합니다.따라서 실행 가능한 공격 벡터를 줄이고 심층 방어 접근 방식을 지원하는 계층으로 제품을 만드는 것이 위험을 줄이는 데 중요한 요소입니다.고객과 파트너를 더 잘 보호하기 위해 Stratus는 보안 업계 모범 사례 활용, 보안을 염두에 둔 제품 설계 및 구축, 알려진 보안 취약점 및 위협에 신속하게 대응, 현재 상태를 지속적으로 평가하고 보안 상태를 개선하기 위한 개선을 포함하는 포괄적인 보안 전략을 따릅니다.

Stratus는 보안 업계 모범 사례를 따릅니다

Stratus는 제품을 설계 및 구축 (보안 프로세스) 하고 보안을 강화할 때 (보안 제품) 인정된 보안 업계 모범 사례를 따릅니다.Stratus는 ISA, NIST 및 OWASP 지침을 통합하는 공식 SDL (보안 개발 수명 주기) 프로그램을 통해 보안 위험을 식별하고 완화할 수 있습니다.OPAF와 같은 조직과 협력하면 광범위한 보안 커뮤니티의 리소스를 활용하여 제품 보안을 극대화할 수 있습니다.

ISA에서 시작합니다.

국제 자동화 협회 (ISA) 는 1945년에 설립된 비영리 전문가 협회입니다.이 조직은 산업 자동화 및 제어 시스템의 보안 표준을 포함하여 널리 사용되는 글로벌 표준을 개발하고 유지합니다.Stratus는 주로 프로세스 및 제품 관점에서 보안을 고려하기 위해 국제 전기 기술 위원회 (IEC) 에서도 채택한 두 가지 ISA 지침을 따릅니다.

보안 프로세스

ISA/IEC 62443-4-1
ISA/IEC 62443-4-1은 산업 자동화 및 제어 시스템에 사용되는 제품의 안전한 개발을 위한 프로세스 요구 사항을 지정합니다.Stratus는 자체 제품을 안전하게 개발할 때 이러한 ISA 지침을 따릅니다.이 지침은 다음을 포함하여 보안 제품을 개발하고 유지하기 위한 보안 개발 라이프사이클을 정의합니다.

  • 보안 요구 사항 정의
  • 보안 설계
  • 보안 구현 (코딩 지침 포함)
  • 검증 및 검증
  • 결함 관리
  • 패치 관리
  • 제품 수명 종료

미스트 스파 800-37
현재 미국 상무부 소속인 국립 표준 기술 연구소 (NIST) 는 산업 경쟁력 증진을 위해 설계된 기술, 측정 및 표준을 수립하고 감독하는 정부 기관입니다.NIST 특별 간행물 800-37 (SP 800-37) 은 위험 관리 프레임워크를 연방 정보 시스템에 적용하기 위한 지침을 제공합니다.스트라투스 개발자는 스트라투스 리던던트 리눅스, everRun 및 VOS와 같은 소프트웨어 제품을 개발하는 동안 이러한 추가 지침을 활용합니다.

제품 보안

ISA/IEC 62443-4-2
또한 Stratus는 ISA 기능 요구 사항을 사용하여 제품에 통합할 보안 기능을 정의하는 데 도움을 줍니다.ISA/IEC 62443-4-2에는 제어 시스템 기능 보안 수준을 충족하기 위한 7가지 기본 요구 사항 (FR) 과 관련된 기술 구성 요소 요구 사항 (CR) 이 자세히 설명되어 있습니다.7가지 기본 요구 사항은 다음과 같습니다.

  • 식별 및 인증 제어
  • 사용 제어
  • 시스템 무결성
  • 데이터 기밀성
  • 제한된 데이터 흐름
  • 이벤트에 대한 적시 대응
  • 리소스 가용성

예를 들어 ztC Edge 및 everRun과 같은 Stratus 제품은 최소한의 권한 식별, 인증 및 사용 제어를 위해 액세스 제어 목록, 역할 및 암호를 활용합니다.ztC Edge의 시스템 무결성은 안전하고 신뢰할 수 있는 부팅을 통해 보장됩니다.FTServer와 ztC Edge는 모두 HTTPS, SSH 및 SMTP와 같은 보안 통신 프로토콜을 암호화와 함께 사용하여 데이터 기밀성을 보장합니다.경고 로그는 보안 사고를 나타낼 수 있는 Stratus 제품의 구성 변경 사항을 관리자에게 즉시 알립니다.리소스 가용성은 모든 스트라투스 제품의 특징이기도 하며, 높은 가용성과 내결함성을 제공하여 다양한 유형의 서비스 거부 이벤트에 대한 복원력과 비즈니스 크리티컬 서비스의 연속성을 제공합니다.

팁 140-2
연방 정보 처리 표준 140-2 (FIPS 140-2) 는 컴퓨터 보안 부서 (CSD) 와 응용 사이버 보안 부서 (ACD) 가 공동으로 관리하는 또 다른 NIST 표준입니다.암호화 모듈이 충족할 수 있는 보안 요구 사항을 명시하여 광범위한 잠재적 애플리케이션 및 환경을 포괄하기 위한 네 가지 향상된 질적 수준을 제공합니다.

Stratus는 FIPS 140-2 암호화 및 데이터 보안 설계 원칙을 사용하여 제품 보안 요구 사항을 알립니다.예를 들어, 현재 스트라투스 제품은 웹 서비스에 OpenSSL 1.0.2k-fips 및 TLS v1.2를 사용합니다. ztC Edge의 콘솔 액세스를 제공하는 웹 서버는 기본적으로 FIPS 140-2 알고리즘을 준수합니다.

올말벌
오픈 웹 애플리케이션 보안 프로젝트 (OWASP) 는 소프트웨어 보안 개선을 목적으로 하는 비영리 재단입니다.Stratus는 재단의 방법론, 문서, 도구 및 기술을 활용하여 보안을 개선합니다.

Stratus는 보안을 염두에 두고 제품을 설계하고 구축합니다.

Stratus는 제품 개발 프로세스 중에 보안 위험을 식별하고 완화하는 프로그램과 관행을 수립했습니다.스트라투스의 엔지니어링 그룹 내 제품 보안 팀은 회사 전체에서 보안 이니셔티브를 개발 및 추진하고 보안을 중시하는 문화를 조성하는 일을 담당합니다.이 팀은 스트라투스의 SDL 프로그램, 보안 사고 대응 활동 및 보안 인증을 담당합니다.

Stratus의 SDL은 Stratus 엔지니어가 보안 제품을 안전하게 개발할 수 있도록 지원하는 폐쇄형 루프 보안 보증 프로그램입니다.주요 목표는 개발 중이거나 배포 중인 제품 모두에서 취약점의 수와 심각도를 줄이는 것입니다.이는 사전 교육, 요구 사항 수집, 설계, 구현, 검증, 출시 및 출시 후 대응을 포함하여 제품 라이프사이클과 애자일 개발 문화의 모든 측면에 보안을 도입함으로써 이를 달성합니다.

Stratus는 ISA, NIST 및 OWASP에서 제공하는 보안 업계 모범 사례, 지침, 표준 및 도구를 활용하는 것 외에도 각 SDL 프로그램 단계 전반에 걸쳐 추가 보안 관행을 통합하여 보안 위험을 완화합니다.

트레이닝
Stratus 엔지니어는 정기적으로 보안 교육을 받으며 보안 동향과 업계의 진화하는 위협 환경에 대한 최신 정보를 파악하여 개발 프로세스 및 제품에 보안 문제가 도입되는 것을 최소화합니다.스트라투스의 보안 팀은 역할 기반 및 기술별 보안 커리큘럼을 관리 및 유지하며 정기적으로 업데이트합니다.현재 보안 개념, 보안 설계 및 테스트, 보안 코딩 기법, 보안 도구 등의 강좌가 있습니다.

요구 사항 수집
요구 사항 수집 및 계획 단계에서 제품의 초기 보안 프로필이 평가됩니다.이는 제품의 보안 프로필을 일련의 알려진 보안 요구 사항과 비교하는 몇 가지 중요 시점 중 첫 번째 단계입니다.이러한 요구 사항은 제품 소유자가 고객의 요청으로 제시하거나 업계 표준을 기반으로 한 것일 수 있지만 보안 팀에서 심사하고 유지 관리합니다.현재 여기에는 인증, 권한 부여, 암호화, 인증서 관리, 네트워크 보안, 가상화, 책임, 소프트웨어 패키징 및 제공과 같은 표준이 포함됩니다.또한 민감한 데이터 보호, 악성 코드 방지, 공격 표면 감소와 같은 항목에 대한 더 높은 수준의 보안 요구 사항이 있습니다.

디자인
제품 설계 단계에서는 출시 전에 보안 문제를 식별하고 해결하기 위한 병행 활동이 수행됩니다.잠재적 취약성, 시스템 결함 및 잘못된 설계 가정을 식별하는 위협 모델 또는 아키텍처 도면이 작성됩니다.개발 프로세스 초기에 이 작업을 수행함으로써 개발 팀은 설계 관련 보안 문제를 해결할 충분한 시간을 확보할 수 있습니다.

구현
이 단계에서 개발 팀은 자동화된 도구를 사용하여 보안 관련 결함을 비롯한 결함을 탐지합니다.SAST (정적 애플리케이션 보안 테스트) 는 보안 취약점을 나타내는 코딩 및 설계 조건을 위해 애플리케이션 소스 코드, 바이트 코드 및 바이너리를 분석하는 데 사용됩니다.취약점 스캐닝도 이 단계에서 수행됩니다.

또한 보안 팀은 보안 소싱을 사용합니다.제품에 통합된 모든 OSS (오픈 소스 소프트웨어) 및 TPS (타사 소프트웨어) 의 이름과 릴리스 수준을 문서화하여 알려진 취약점을 검사합니다.공급업체 하드웨어 및 소프트웨어에 대한 보안 평가는 보안 문제가 고객에게 전달될 위험을 완화하기 위해 Stratus가 업계 표준에 맞게 개발된 보안 제품을 공급받고 있는지 확인하기 위해 수행됩니다.

검증
이 라이프사이클 단계에서 개발 팀은 자동화된 도구를 사용하여 소프트웨어 제품을 검사하여 네트워크에서 실행되는 컴퓨팅 시스템의 보안 취약점을 찾아내고 시스템이 위협받거나 악용될 수 있는 구체적인 방법이 있는지 확인합니다.또한 침투 테스트를 수행하여 악의적인 침입자가 제품 또는 솔루션을 성공적으로 공격할 수 있는지 확인할 수 있습니다.이러한 테스트는 격리된 테스트 환경에서 수행되며 제품 아키텍처 및 소스 코드 검토를 포함할 수 있으며 다양한 상용 또는 내부 취약성 탐지 도구를 활용할 수 있습니다.

또한 이 단계에서 최종 보안 검토를 수행하여 제품이 모든 SDL 프로그램 활동을 거쳤는지, 이전 보안 검토에서 제기된 문제가 해결되었는지 확인합니다.이 최종 보안 검토는 RC (출시 후보) 마일스톤이 충족되기 전에 완료됩니다.

출시 및 출시 후 대응
GA (일반 구매 가능) 제품은 제품 라이프사이클의 생산 단계에 들어갑니다.이들은 EOL (수명 종료) 까지 이 단계에 머물러 있습니다.보안 팀의 일부인 Stratus의 제품 보안 사고 대응팀 (PSIRT) 은 Stratus 제품과 관련된 보안 문제에 대한 모든 보고에 대해 기술 환경을 모니터링하는 역할을 합니다.글로벌 팀의 역할 중 하나는 보고된 취약점을 조사하고 해당 팀에 내부적으로 정보를 제공하는 것입니다.Stratus 제품의 취약점을 보고하는 보안 연구자, 고객, 파트너 및 기타 외부 당사자를 위한 Stratus 연락 담당자 (product.security@stratus.com) 역할을 하는 것도 이 회사의 또 다른 역할입니다.

Stratus는 보안 취약성 및 위협에 신속하게 대응합니다.

PSIRT가 Stratus 제품의 문제를 감지하거나 보고를 받으면 PSIRT는 Stratus 개발 팀과 협력하여 문제를 조사합니다.PSIRT는 적절한 제품 및 지원 팀과 함께 내부 및 외부적으로 문제의 해결 및 커뮤니케이션을 지속적으로 조정합니다.또한 PSIRT는 모든 보안 권고를 전달 및 배포하고 스트라투스 웹 사이트에 기록을 유지할 책임이 있습니다.

스트라투스는 다른 기술 공급업체 및 정부 기관 (예: 인텔, AMD, IBM, 마이크로소프트, 레드햇, 구글, 페이스북, 아마존, MITRE, CISA 등) 과 함께 알려진 보안 취약점에 대한 정보를 지속적으로 식별, 검증 및 게시하는 보안 연합에 속해 있습니다.연합 구성원이 잠재적 취약점에 대해 경고를 받으면 문제를 검증하고 진단하는 작업이 시작됩니다.연합 구성원 간에 정보가 공유되고 구성원이 협력하여 수정 사항을 만듭니다.결국 Stratus는 보안 패치를 만든 다음 PSIRT에서 고객 및 파트너에게 배포합니다.

Stratus는 보안 상태를 지속적으로 평가하고 개선합니다.

스트라투스의 SDL 프로그램은 위험을 식별하고 완화하는 능력에 대해 정기적으로 평가되며, 성숙하고 검증되면 새로운 프로세스와 도구가 프로그램에 추가됩니다.

또한 스트라투스의 애자일 방법론에는 각 개발 단계의 취약성 유형 및 수준에 맞는 보안 테스트를 위한 자동화된 프로세스가 포함됩니다.통합된 DevSecOps 접근 방식은 보안을 스트라투스의 빠르고 빈번한 제품 개발 주기에 통합하여 이전 주기에서 배운 교훈을 미래 주기에 신속하게 적용할 수 있도록 합니다.

자세한 내용은

자세한 내용을 보거나 취약점을 보고하려면 스트라투스의 PSIRT (product.security@stratus.com) 에 문의하십시오.스트라투스의 보안 권고에 대한 자세한 내용은 support.stratus.com을 참조하십시오.스트라투스가 제품의 보안을 보장하는 방법에 대한 자세한 내용은 stratus.com/security를 참조하십시오. 또는 스트라투스닷컴.

참고 문헌

  • 국제 자동화 협회 (ISA): isa.org
  • 국제 전기 기술위원회 (IEC): iec.ch
  • 국립 표준 기술 연구소 (NIST): nist.gov
  • 오픈 웹 애플리케이션 보안 프로젝트 (OWASP): owasp.org
  • 오픈 프로세스 자동화 포럼 (OPAF): opengroup.org/포럼/오픈 프로세스 자동화 포럼
  • 사이버 보안 및 인프라 보안국 (CISA): us-cert.gov
Hero ImageHero Image
백서

스트라투스 제품 보안

스트라투스의 보안 프로그램 및 관행에 대한 개요

백서 다운로드

복잡성 해결.결과 가속화.

Penguin Solutions는 엣지, 코어, 클라우드의 연속체를 아우르는 솔루션 및 서비스를 통해 HPC, AI, IoT의 신기술을 활용하여 디지털 전환을 가속화합니다.

연락하기

1-415-954-2800
45800 Northport Loop W.
Fremont, CA 94538
문의하기
투자자 관계
홍보
미디어 키트
윤리, 규정 준수 및 헬프라인

파트너

프로그램 개요
얼라이언스 파트너
채널 파트너
시스템 통합업체
파트너 디렉토리
파트너 로그인

회사

회사 소개
ESG 임팩트
투자자
뉴스룸
커리어
서포트
서드파티 온보딩
약관 및 조건
개인정보 보호 정책
© YYYYY 펭귄 솔루션.모든 권리 보유.|
 정보를 판매하거나 공유하지 마십시오
 | 
쿠키 기본 설정