ClickCease 규정 준수를 위한 라이브 패치 적용

콘텐츠 표

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

규정 준수를 위한 라이브 패치 적용

2023년 1월 4일 TuxCare 홍보팀

미국 국립표준기술연구소(NIST)는 의료, 연방/주 정부, 금융 서비스 제공업체를 포함한 조직에 엔터프라이즈 패치 관리 도구를 통해 소프트웨어 업데이트를 배포하여 모든 호스트와 애플리케이션에 적용함으로써 관련 위험을 줄일 수 있는 구조화된 방법을 사용하도록 권고했습니다.

연방 정부 외부의 조직은 종종 NIST 800-171 프레임워크는 패치 규정 준수 및 권장 자동화 워크플로우를 포함하여 그 안에 정의된 다양한 제어에 통합된 광범위한 규정 준수 범위와 개인정보 보호 의무로 인해 종종 채택합니다.

Linux Kernel을 재부팅할 필요 없이 자동화된 취약성 패치를 제공하는 TuxCare의 라이브 패치는 Linux 호스트 및 기타 구성 요소에 가속화된 중요 패치를 제공하여 조직이 최신 보안 취약성에 대한 최신 상태를 유지할 수 있도록 지원함으로써 NIST 800-171 프레임워크에 부합합니다.

그렇다면 라이브 패치는 각 규정 준수 체계에 구체적으로 어떻게 도움이 될까요?

FedRamp용 라이브 패치 적용

클라우드 서비스 조달 및 제공을 위한 FedRamp 표준 절차는 연방 정부와 비즈니스를 수행하는 정부 부서 및 조직에 필요한 보안 정보를 제공하는 것을 목표로 합니다. FedRamp는 NIST 800-53을 따르며 모든 연방 정부 부서는 이 프레임워크를 준수해야 합니다.

FedRamp 규정 준수는 엄격하고 비용이 많이 들지만, 모든 규모의 기업이 성장하는 클라우드 시장에 진출할 수 있는 기회를 열어줍니다. 개인 정보 보호와 관련된 기밀성 및 개인 정보 보호를 포함하여 승인된 FedRamp CSP를 사용하여 보안 목표를 달성하는 것이 중요합니다. 패치 관리 규정 준수는 부서가 규제 표준을 충족하는 동시에 다양한 공격 표면에 영향을 미치는 중요한 취약성의 영향을 줄이는 데 도움이 됩니다. 

실시간 패치 솔루션은 정부 기관이 FedRamp 규정의 두 부분인 결함 수정 및 악성 코드 보호 내에서 NIST 800-53을 준수할 수 있도록 지원합니다. FedRamp 규정 준수 제어는 클라우드 컴퓨팅 서비스에만 적용됩니다.

다른 패치 방식과 달리 실시간 패치를 사용하면 시스템을 재부팅할 필요 없이 최신 패치를 자동으로 적용할 수 있으므로 수동 작업과 다운타임을 크게 줄이면서 NIST 800-53 요구 사항을 준수할 수 있습니다.

CMMC 유지 보수 도메인 준수

CMMC를 준수하기 위해 조직은 활동을 검토하고 문서화하여 효과를 평가하고, 고위 경영진에게 문제를 알리고, 조직 전체에서 프로세스가 최적화되도록 해야 합니다.

CMMC 유지 보수 도메인(MD)은 유지 보수의 우선 순위 지정, 구성 및 실행에 대한 지침을 게시합니다:

  • 2.111 규정 준수 표준에서 요구하는 시스템에서 패치 유지 보수를 수행합니다.
  • 2.112 패치 관리 자동화를 포함하여 시스템 유지 보수를 수행하는 데 사용되는 도구, 기술 및 인력에 대한 제어 기능을 제공합니다.
  • 2.113 MFA가 외부 네트워크 연결을 통해 비로컬 유지 보수 세션을 설정하도록 요구합니다.
  • 2.114 필수 액세스 권한이 없는 직원의 유지보수 활동을 감독합니다.

Linux 호스트, OpenSSL, 오픈 소스 데이터베이스 및 기타 중요 라이브러리를 위한 TuxCare의 라이브 패치 솔루션은 고객이 CMMC 유지 보수 도메인 요구 사항을 보다 쉽게 충족할 수 있도록 지원합니다. 중요한 시스템에 패치를 적용하는 것 외에도 TuxCare는 업데이트의 안전한 배포를 위해 에어 갭 폐쇄 루프 네트워크 내에 패치 관리 콘솔을 내부에 배치할 수 있도록 지원합니다.

의료 IT를 위한 예방 의학으로서의 패치 적용

의료 기관은 알려진 취약점으로부터 보호하기 위해 모든 시스템에 지속적으로 패치를 적용해야 합니다. 많은 의료 기관이 패치되지 않은 취약점으로 인해 데이터 유출을 경험한 적이 있다고 인정합니다. 의료 시장의 예산 문제로 인해 많은 조직은 전사적인 패치 관리 프로세스를 갖춘 정의된 취약성 관리 프로그램이 부족합니다. 점점 더 많은 의료 서비스 제공업체가 애플리케이션을 클라우드로 이전함에 따라 고급 취약성 관리의 필요성이 필수적입니다. 

제한된 리소스로 HIPAA 규정 준수 관리하기

HIPAA는 취약성 관리를 구체적으로 다루지는 않지만 취약성 식별을 다루고 있습니다.

규정 45 C.F.R. § 164.308 (a) (5) (ii) (B)와 45 C.F.R. § 164.308 (a) (8)의 평가 표준은 패치 관리 프로세스도 다룹니다.

조직은 45 C.F.R. § 164.308 (a) (1) (i) (A)에 따라 기밀성, 무결성 및 가용성에 부합하는 전자 개인 의료 정보의 잠재적 위반을 결정하기 위해 공식적인 위험 분석을 예약하고 수행합니다. 그 후에는 45 C.F.R. § 164.308 (a) (1) (i) (B)에 명시된 대로 HIPAA를 준수하는 위험 관리 프로세스를 수행해야 합니다.

그러나 조직은 패치되지 않은 소프트웨어로 인한 위험을 식별하고 완화해야 합니다. 보안 공격 완화 계획의 한 구성 요소로 소프트웨어 인벤토리를 포함해야 합니다. 정확한 패치 준수 상태 보고 시스템을 유지하면 의료 기관이 다양한 시스템과 애플리케이션에 대한 위험을 인식하는 데 도움이 됩니다. 

라이브 패치는 복잡한 변경 제어 창 없이 소프트웨어 취약성 업데이트를 완전히 자동화하고 SecOps 리소스를 줄이며 패치 관련 시스템 재부팅을 최소화하여 의료 시스템을 신속하게 보호하는 데 효과적인 것으로 입증되었습니다.

모든 스와이프를 보호하는 PCI 6.2(신용 카드 처리) 패치 적용

결제 카드 데이터를 취급하는 조직은 PCI DSS 요구 사항 6.2를 준수하기 위해 사용 가능한 모든 보안 업데이트를 1개월 이내에 모든 관련 시스템에 설치해야 합니다.

모든 패치 활동은 보안 분석 및 규정 준수 보고를 위해 전사적인 로그 관리 시스템에 보고해야 합니다.

PCI 규정 준수에 패치 적용이 중요한 이유는 무엇인가요?

  • 공격자는 이러한 취약점을 악용하여 시스템을 공격 또는 중단시키거나 민감한 데이터에 무단으로 액세스할 수 있습니다.
  • 조직은 보안 업데이트를 적용할 때 PCI 중요 인프라 시스템 및 장치에 우선순위를 지정해야 합니다.

월별 또는 연간 감사 기간 동안 패치가 적용되지 않았거나 취약한 시스템에서 신용카드를 처리하는 조직은 보안이 해결되고 재감사를 받을 때까지 벌금이 부과되고 신용카드 수락이 정지될 수 있습니다.

추가 PCI 규정 준수 요구 사항; DS6.4를 포함하여 모든 보안 애플리케이션과 시스템은 보안 업데이트 패치 및 신용 카드 시스템을 지원하는 특정 애플리케이션을 포함하여 적절한 변경 관리를 따라야 합니다.

조직이 실시간 패치 방식을 채택하면 Linux 운영 체제를 실행하는 신용 카드 처리 단말기에 패치를 더 자주 적용하고 패치가 제공된 후 더 빨리 적용할 수 있습니다.

PCI 6.4 변경 제어 지원

PCI DSS 요구 사항 6.4에는 시스템 구성 요소의 모든 변경에 대한 변경 제어 프로세스에 관한 절차가 포함되어 있습니다. 

또한 다음 사항에 대한 패치를 권장했습니다:

  • 패치는 라이브 프로덕션 시스템과 유사한 모든 개발, 스테이지 및 QA 환경에 적용되어야 합니다.

조직은 QA 및 개발 환경과 프로덕션 카드 소유자 데이터 사이에 거리를 유지해야 합니다. 보안이 취약한 구성과 QA 또는 개발 플랫폼의 잠재적 취약점으로 인해 프로덕션 카드 소유자 데이터가 손상되는 것을 방지하려면 이 공간이 필요합니다. 

TuxCare를 통한 규정 준수 의무 충족

규정 준수 의무는 대부분의 규제 대상 조직의 지속적인 운영을 위해 매우 중요합니다. IT 시스템, 애플리케이션, 사이버 보안 보호가 FedRamp, CMMC, HIPAA, PCI 등 다양한 규정 준수 의무를 충족해야 하는 규제 대상 시장에서 비즈니스를 수행하는 기업은 라이브 패치 방식을 채택하여 취약성 패치를 자동 실행하고 이러한 규정을 보다 쉽게 준수할 수 있습니다.

뿐만 아니라 TuxCare 는 모든 인기 엔터프라이즈 Linux 배포판에 대해 재부팅 없이 자동화된 라이브 패치를 제공할 뿐만 아니라 취약성 스캐너, 보안 센서, 자동화 및 보고 도구와의 완벽한 상호 운용성을 갖춘 라이브 패치 솔루션입니다.

TuxCare는 엔터프라이즈 Linux Kernel 외에도 공유 라이브러리, 가상화 플랫폼, 오픈 소스 데이터베이스 및 IoT 디바이스뿐만 아니라 CentOS 7과 같은 수명이 다한 Linux에 라이브 패치를 배포합니다.

라이브 패치 접근 방식을 채택하여 조직의 운영 효율성을 개선하는 방법을 알아보기 위해 Linux 패치 전문가와 채팅할 준비가 되셨나요?

TuxCare 전문가에게 문의

 

요약
규정 준수를 위한 라이브 패치 적용
기사 이름
규정 준수를 위한 라이브 패치 적용
설명
라이브 패치는 Linux Kernel을 재부팅할 필요 없이 자동화된 패치를 제공합니다. 각 규정 준수 체계에 어떤 도움이 되나요?
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기