ClickCease 클라우드 서비스 FedRAMP 규정 준수 유지 및 막대한 벌금 방지 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

클라우드 서비스 FedRAMP 규정 준수 유지 및 막대한 벌금 방지

2020년 11월 10일 TuxCare 홍보팀

클라우드 서비스 FedRAMP 규정 준수 유지 및 막대한 벌금 방지최근에도 악의적인 공격자들은 정부 기관을 지속적으로 표적으로 삼고 있습니다. 표적화 기술의 발전과 함께 정부 기관을 겨냥한 공격이 증가하고 있습니다. 2019년에 거의 두 배로 증가 증가했습니다. 가장 주목할 만한 점은 정찰 활동과 애플리케이션별 공격이 모두 크게 증가했다는 점입니다. 이는 시민들이 지역 또는 지역 지원을 받을 수 있도록 설계된 인터넷 제공 서비스의 증가에 기인합니다. 안타깝게도 이러한 인터넷 지원 애플리케이션은 공격자들에게 추가적인 공격 기회를 제공했으며 미국 연방 및 주 정부 기관에 영향을 미치는 대규모 데이터 유출을 초래했습니다.

 

콘텐츠:

  1. 공공 부문의 미패치 레거시 애플리케이션
  2. FedRAMP란 무엇인가요?
  3. 연방 기관을 지원하는 클라우드 공급업체에게 필수적인 FedRAMP
  4. KernelCare를 사용하여 FedRAMP 규정 준수 유지
  5. 결론

 

공공 부문의 미패치 레거시 애플리케이션

공공 부문의 미패치 레거시 애플리케이션

애플리케이션 공격과 함께 지방 정부는 서비스 거부(DoS) 및 랜섬웨어 공격으로 인해 상당한 피해를 경험했습니다. 이러한 공격은 고객에게 숨기기가 어려울 수 있으며, 소규모 관공서에는 심각한 서비스 중단에 대처할 수 있는 리소스가 거의 없습니다.

 

정부를 겨냥한 수많은 국가 지원 위협에 대처할 수 있도록 클라우드는 규정 준수에 필요한 액세스 제어 및 모니터링 도구와 함께 안정적이고 확장 가능한 서비스를 실행할 수 있는 기술을 제공합니다. 이러한 도구는 정부 기관(및 기타 기업 고객)이 사용할 수 있지만, 일반적으로 부적절하게 사용되거나 잘못 구성되는 경우가 많습니다. 이러한 오류는 사람의 실수로 간주되지만, 지금까지 발생한 가장 큰 데이터 유출 사고 중 일부는 사람의 실수로 인해 발생했습니다. 

 

규정을 준수하는 클라우드 호스팅 서비스는 공동의 책임이 있으므로 클라우드 제공업체는 데이터 보호에 필요한 모든 도구를 제공하지만 이러한 서비스를 올바르게 구성하는 것은 사용자의 책임입니다. 클라우드 도구의 작동 방식에 익숙하지 않은 관리자는 보안 구성에서 중대한 오류를 범하기 쉽습니다. 최근 2020 보고서 에 따르면 지난 2년간 클라우드 설정 오류로 인해 300억 개의 레코드가 노출된 것으로 나타났습니다.

 

클라우드 관리자에게는 잘못된 구성이 문제일 뿐만 아니라 오래된 소프트웨어는 정부 시스템에서 흔히 볼 수 있습니다. 정부는 온프레미스에서 레거시 애플리케이션을 실행하는 것으로 악명이 높습니다. 많은 클라우드 제공업체(예: Google Cloud Platform)는 오래된 소프트웨어에서 더 나은 컴퓨팅 성능을 제공하기 위해 레거시 마이그레이션 서비스를 제공하지만, 많은 기관은 여전히 수십억 달러의 세금이 드는 온프레미스 구식 기술을 사용하고 있습니다. A 보고서 에 따르면 일부 정부 기관은 플로피 디스크 드라이브와 같이 수십 년 된 기술을 사용하고 있는 것으로 나타났습니다. 더욱 우려스러운 점은 12개 정부 기관이 지원되지 않는 운영 체제를 사용하고 있다는 사실입니다. 오래되고 지원되지 않는 소프트웨어는 더 이상 보안 패치를 받지 못하기 때문에 사이버 범죄자들의 완벽한 표적이 됩니다.

 

최근 패치되지 않은 소프트웨어로 인해 어떤 일이 발생할 수 있는지 보여주는 최근 사례는 여러 미국 정부 기관에서 로컬로 호스팅하는 셀프 서비스 결제 포털로 사용되는 Click2Gov 결제 소프트웨어입니다. 이 소프트웨어는 2017년에 취약한 것으로 밝혀져 패치가 배포되었지만, 해커들은 패치되지 않은 버전의 Click2Gov 소프트웨어를 노리고 여러 정부 기관을 침해할 수 있었습니다. 그 여파로 미국 여러 카운티의 주민들이 신원 사기의 피해자가 되었고, 그들의 정보가 다크넷 마켓에서 판매되었습니다.

 

 

FedRAMP란 무엇인가요?

FedRAMP란 무엇인가요?

연방 위험 및 관리 프로그램(FedRAMP)은 정부 기관이 클라우드 리소스를 사용하고 있지만 부적절한 제어로 인해 공공 데이터가 공격자에게 노출될 수 있다는 우려를 해결하기 위해 만들어졌습니다. 첫째, FedRAMP 승인을 받은 클라우드 서비스 제공업체만 정부 기관과 협력할 수 있다고 명시하고 있습니다. 승인 을 받으려면 긴 보안 제어 목록이 필요하며 개인 식별 정보(PII)를 보호하기 위해 데이터 개인 정보 보호 기능을 마련해야 합니다.

 

FedRAMP를 준수하지 않는 데이터 센터를 보유한 클라우드 제공업체는 연방 정부 데이터를 호스팅할 수 없으므로 수익 손실이 발생할 수 있습니다. 다른 규정 준수 문제도 의료(HIPAA) 또는 전자 상거래(PCI-DSS)와 같은 다른 고객을 방해할 수 있지만, FedRAMP 보안 제어는 클라우드 호스트에게 중요한 다른 많은 규정 준수 표준과 겹칩니다.

 

 

연방 기관을 지원하는 클라우드 공급업체에게 필수적인 FedRAMP

연방 기관을 지원하는 클라우드 공급업체에게 필수적인 FedRAMP

 

FedRAMP는 엄격한 절차를 거치며, 승인된 제공업체로 인증을 유지하려면 엄격한 사이버 보안 보호가 필요합니다. 제공업체는 다음을 수행해야 합니다.준수해야 합니다. NIST SP 800-53을 준수해야 하며, 이는 공급업체가 인프라를 설계하고 유지 보수하는 방식을 정의하는 사이버 보안 프레임워크입니다. 적절한 보안 제어 및 보호 조치가 마련되지 않으면 정부 기관은 해당 제공업체를 사용할 수 없으며, 이는 여러 연방 기관을 지원하는 조직에 치명적일 수 있습니다.

 

일반적인 FedRAMP 요건은 클라우드 제공업체가 데이터를 보호하기 위한 합리적인 보호 조치를 갖추고 있어야 한다는 것입니다. 패치되지 않은 소프트웨어, 특히 서버 운영 체제는 클라이언트에게 안전한 환경을 제공하지 않습니다. 패치가 적용되지 않은 소프트웨어에서 발견된 취약점은 PII 노출에 악용될 수 있으며, 이는 클라우드 제공업체에 막대한 벌금으로 이어질 수 있고 잠재적으로 매출 및 고객 손실을 초래할 수 있습니다.

 

 

KernelCare를 사용하여 FedRAMP 규정 준수 유지

KernelCare를 사용하여 FedRAMP 규정 준수 유지

규정을 준수하려면 취약한 소프트웨어를 업데이트해야 하며, 그렇지 않으면 벌금이 부과될 수 있습니다. FedRAMP의 결함 수정(SI-2)에 따르면 조직은 "시스템 결함을 식별, 보고 및 수정"해야 합니다. 악성 코드 보호(SI-3)은 조직이 "정보 시스템 출입 지점에서 악성 코드 보호 메커니즘을 사용하여 악성 코드를 탐지하고 근절"해야 하는 요건이기도 합니다. 이 두 가지 요건은 취약성 스캐너와 패치 솔루션을 사용하여 충족할 수 있습니다.

 

관리자는 서버를 스캔하여 FedRAMP 요구 사항을 준수할 수 있지만 패치 적용이 종종 문제가 됩니다. 패치를 적용하려면 테스트와 재부팅이 필요하며, 이는 곧 다운타임으로 이어집니다. KernelCare는 모든 스캔 솔루션에 통합되어 취약한 소프트웨어가 있는 서버를 패치하며, 패치가 완료된 후 재부팅할 필요가 없습니다. SI-2 및 SI-3 FedRAMP 요구 사항을 충족하는 하나의 완벽한 패치 솔루션입니다. 

 

클라우드 제공업체가 준수해야 하는 표준 규정은 FedRAMP만이 아닙니다. 예를 들어 SOC 2 규정 준수 는 클라이언트 애플리케이션과 데이터를 호스팅하는 데이터센터에 매우 중요합니다. 사베인즈-옥슬리, PCI-DSS, HIPAA 및 기타 규정 준수 표준에 따라 조직은 데이터를 선제적으로 보호하는 사이버 보안 조치를 포함해야 하며, 그렇지 않으면 막대한 벌금을 물어야 합니다. 이러한 데이터센터는 KernelCare를 사용하여 데이터 보안을 감독하는 모든 규제 표준을 준수합니다.

 

 
결론

클라우드 제공업체는 실수로 규정 준수에 실패해서는 안 됩니다. 이는 비용이 많이 들 뿐만 아니라, 규정 준수 인프라가 지원되는 호스팅을 사용해야 하는 정부 고객과 다른 모든 고객의 손실을 의미합니다. 엔터프라이즈 조직, 데이터 센터, 클라우드 제공업체는 KernelCare를 사용하여 위협 위험을 줄이는 프로토콜을 따르고 재부팅이나 다운타임 없이 패치되지 않은 소프트웨어를 관리할 수 있습니다.

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기