1.4. 보안 및 컴플라이언스

NIST Cybersecurity Framework 와 일치하는 Red Hat의 정보 보안 지침은 경영진의 승인을 받았습니다. Red Hat은 전 세계적으로 분산된 인증 정보 보안 전문가로 구성된 전용 팀을 운영하고 있습니다. 다음 리소스를 참조하십시오.

Red Hat은 고객과 비즈니스를 보호하기 위한 엄격한 내부 정책과 관행을 보유하고 있습니다. 이러한 정책과 관행은 기밀입니다. 또한, 당사는 데이터 프라이버시와 관련된 것을 포함하여 모든 관련 법률 및 규정을 준수합니다.

Red Hat의 정보 보안 역할과 책임은 제3자가 관리하지 않습니다.

Red Hat은 기업 정보 보안 관리 시스템(ISMS)에 대한 ISO Cryostat 인증을 유지하며, 이는 모든 사용자가 어떻게 작동하는지, 기업 엔드포인트 장치, 인증 및 권한 부여 관행을 관리합니다. Red Hat은 Red Hat이 사용하는 모든 인프라, 제품, 서비스 및 기술에 대해 ESS(Red Hat Enterprise Security Standard)를 구현함으로써 이에 대한 표준화된 접근 방식을 취했습니다. ESS 복사본은 요청 시 사용할 수 있습니다.

RHACS Cloud Service는 AWS(Amazon Web Services)에서 호스팅되는 OpenShift Dedicated 인스턴스에서 실행됩니다. OpenShift Dedicated는 ISO Cryostat, ISO Cryostat17, ISO Cryostat18, PCI DSS, SOC 2 유형 2 및 HIPAA를 준수합니다. 강력한 프로세스 및 보안 제어는 업계 표준과 일치하여 정보 보안을 관리합니다.

RHACS 클라우드 서비스는 OpenShift Dedicated에 정의된 동일한 보안 원칙, 지침, 프로세스 및 제어를 따릅니다. 이러한 자격증은 당사의 서비스 플랫폼, 관련 운영 및 관리 관행이 핵심 보안 요구 사항에 어떻게 부합하는지 보여줍니다. 당사는 빌드 파이프라인 보안을 포함하여 NIST에서 정의한 대로 SSDF(Solid Secure Software Development Framework) 관행을 준수하여 이러한 요구 사항을 대부분 충족합니다. SSDF 제어의 구현은 모든 제품 및 서비스에 대해 당사의 Secure Software Management Lifecycle (SSML)을 통해 구현됩니다.

Red Hat의 검증된 경험 많은 글로벌 사이트 신뢰성 엔지니어링 (SRE) 팀은 24x7을 사용할 수 있으며 RHACS 클라우드 서비스의 호스팅 구성 요소와 관련하여 클러스터 라이프 사이클, 인프라 구성, 확장, 유지 관리, 보안 패치 및 사고 대응을 적극적으로 관리합니다. Red Hat SRE 팀은 RHACS 클라우드 서비스 컨트롤 플레인에 대한 HA, 가동 시간, 백업, 복원 및 보안을 관리합니다. RHACS 클라우드 서비스는 전화 또는 채팅을 통해 99.95% 가용성 SLA 및 24x7 RH SRE 지원을 제공합니다.

OpenShift Container Platform 환경 내의 보안 클러스터 구성 요소의 정책 구현, 취약점 관리 및 배포를 포함하여 제품을 사용해야 합니다. Red Hat SRE 팀은 다음과 같이 이전에 명시된 규정 준수 프레임워크와 일치하는 테넌트 데이터가 포함된 컨트롤 플레인을 관리합니다.

모든 Red Hat SRE 및 개발자는 엄격한 보안 개발 라이프사이클 교육을 거칩니다.

자세한 내용은 다음 리소스를 참조하십시오.

Red Hat은 빌드 프로세스 중에 당사 제품의 취약점을 스캔하고, 당사의 전용 제품 보안 팀은 새로 발견된 취약점을 추적하고 평가합니다. Red Hat Information Security는 실행 중인 환경에서 취약점을 검사합니다.

심각 및 중요한 보안 권고 (RHSA) 및 긴급하고 높은 우선 순위의 버그 수정 권고 (RHBA)는 사용 가능하게 되면 릴리스됩니다. 사용 가능한 다른 모든 수정 사항 및 패치는 정기적인 업데이트를 통해 릴리스됩니다. 수정 사항이 있는 즉시 심각 또는 중요한 심각도 결함의 영향을 받는 모든 RHACS 클라우드 서비스 소프트웨어가 업데이트됩니다. 심각하거나 우선 순위가 높은 문제 해결에 대한 자세한 내용은 Red Hat의 제품 보안 사고 대응 계획 이해 를 참조하십시오.

RHACS 클라우드 서비스는 현재 외부 보안 인증 또는 인증을 보유하고 있지 않습니다.

Red Hat 정보 위험 및 보안 팀은 정보 보안 관리 시스템(ISMS)에 대한 ISO Cryostat:2013 인증을 취득했습니다.

RHACS 클라우드 서비스는 레지스트리, CI 시스템, 알림 시스템, ServiceNow 및 Jira와 같은 워크플로우 시스템, SIEM(Security Information and Event Management) 플랫폼과의 통합을 지원합니다. 지원되는 통합에 대한 자세한 내용은 통합 설명서를 참조하십시오. 사용자 정의 통합은 API 또는 일반 Webhook를 사용하여 구현할 수 있습니다.

RHACS 클라우드 서비스는 고객의 사이트와 Red Hat 간의 모든 inflight 트래픽 인증 및 엔드 투 엔드 암호화 모두에 인증서 기반 아키텍처(mTLS)를 사용합니다. VPN은 필요하지 않습니다. IP 허용 목록은 지원되지 않습니다. 데이터 전송은 mTLS를 사용하여 암호화됩니다. Secure FTP를 포함한 파일 전송은 지원되지 않습니다.

RHACS 클라우드 서비스는 RHCOS(Red Hat Enterprise Linux CoreOS)에 배포됩니다. RHCOS의 사용자 공간은 읽기 전용입니다. 또한 모든 RHACS 클라우드 서비스 인스턴스는 RHACS에 의해 런타임에서 모니터링됩니다. Red Hat은 Windows 및 Mac 플랫폼을 위한 상업적으로 제공되는 엔터프라이즈급 안티바이러스 솔루션을 사용합니다. 이 솔루션은 중앙에서 관리하고 로깅합니다. Linux 기반 플랫폼의 안티바이러스 솔루션은 추가 취약점을 일으킬 수 있으므로 Red Hat 전략의 일부가 아닙니다. 대신 플랫폼을 보호하기 위해 내장 툴(예: SELinux)을 강화하고 사용합니다.

Red Hat은 개별 엔드포인트 보안에 SentinelOne 및 osquery를 사용하며 벤더에서 사용할 수 있는 대로 업데이트가 제공됩니다.

모든 타사 JavaScript 라이브러리는 게시되기 전에 취약점을 스캔하는 빌드 이미지에 다운로드 및 포함됩니다.

Red Hat은 안전한 개발 라이프사이클 관행을 따릅니다. Red Hat 제품 보안 관행은 가능한 모든 오픈 웹 애플리케이션 보안 프로젝트(Open Web Application Security Project) 및 ISO12207:2017에 부합합니다. Red Hat은 제품의 일반적인 보안 상태를 높이기 위한 기타 보안 소프트웨어 개발 관행과 함께 OW#187 프로젝트 권장 사항을 다룹니다. OW Cryostat 프로젝트는 선택된 CWE 취약점을 기반으로 하는 Red Hat의 자동화된 스캔, 보안 테스트 및 위협 모델에 포함되어 있습니다. Red Hat은 당사 제품의 취약점을 모니터링하여 문제가 악용되기 전에 문제를 해결하고 취약점이 됩니다.

자세한 내용은 다음 리소스를 참조하십시오.

애플리케이션은 정기적으로 스캔되며 제품의 컨테이너 검사 결과를 공개적으로 사용할 수 있습니다. 예를 들어 Red Hat Ecosystem Catalog 사이트에서 rhacs-main 과 같은 구성 요소 이미지를 선택하고 보안 탭을 클릭하여 상태 색인 및 보안 업데이트 상태를 확인할 수 있습니다.

Red Hat 정책의 일환으로 Red Hat이 사용하는 타사 구성 요소에 대해 지원 정책 및 유지 관리 계획이 발행됩니다.

Red Hat은 핵심 Red Hat 제품을 위한 SBOM(Software bill of materials) 파일을 게시했습니다. SBOM은 소프트웨어 구성 요소의 시스템에서 읽을 수 있는 포괄적인 인벤토리이며 라이센스 및 검증된 정보를 사용한 종속성입니다. SBOM 파일은 소프트웨어 애플리케이션 및 라이브러리 세트에 대한 구매 및 감사 검토를 지원합니다. VEX( Vulnerability Exploitability eXchange)와 함께 SBOM은 조직이 취약점 위험 평가 프로세스를 해결하는 데 도움이 됩니다. 함께 잠재적인 위험이 존재하는 위치(취약한 아티팩트가 포함된 위치, 이 아티팩트와 구성 요소 또는 제품 간의 상관관계)와 알려진 취약점 또는 악용과의 현재 상태에 대한 정보를 제공합니다.

Red Hat은 다른 공급업체와 함께 CSAF(Common Security Advisory Framework)-VEX 파일과 상관 관계가 있는 유용한 SBOM을 게시하기 위한 특정 요구 사항을 정의하고 소비자와 파트너에게 이러한 데이터를 사용하는 방법에 대해 알리기 위해 노력하고 있습니다. 현재 RHACS 클라우드 서비스용 SBOM을 포함하여 Red Hat에서 게시한 SBOM 파일은 고객 테스트용 베타 버전으로 간주되며 https://access.redhat.com/security/data/sbom/beta/spdx/ 에서 사용할 수 있습니다.

Red Hat 보안 데이터에 대한 자세한 내용은 Red Hat 보안 데이터의 미래를 참조하십시오.

다음 타사 공급자는 Red Hat에서 서브스크립션 지원 서비스를 제공하는 데 사용됩니다.