FIPS 140-3 규정 준수의 딜레마
FIPS 140-3은 엄격한 인증 프로세스를 사용하여 민감한 정보를 처리하는 일관되고 안전한 방법을 제공하는 것을 목표로 하는 미국 국립표준기술연구소(NIST)에서 발행한 표준입니다. 미국과 캐나다의 특정 조직은 이 표준을 준수해야 하지만, 많은 조직에서는 특별히 요구되지 않더라도 이 표준을 모범 사례로 채택하고 있습니다.
그러나 FIPS 140-3을 준수하는 것은 복잡하고 시간이 많이 소요될 수 있습니다. 운영 체제의 유효성을 검증받기 위한 인증 절차는 엄격하고 시간이 오래 걸립니다.
조직이 취약점을 해결하기 위해 FIPS 인증을 받은 운영 체제를 업데이트하면 해당 시스템은 비인증 상태가 되어 다시 한 번 인증 절차를 거쳐야 합니다. 이러한 문제로 인해 조직은 패치를 미루게 되고, FIPS 인증을 받은 시스템을 계속 사용하되 보안을 위험에 빠뜨릴 것인지 아니면 FIPS 인증을 깨고서라도 최신 취약점으로부터 시스템을 보호할 것인지 결정해야 합니다.
하지만 조직이 인증과 보안 중 하나를 선택해야 할까요? 사실 대부분의 조직은 그렇지 않습니다. 이 블로그 게시물에서는 이러한 문제를 자세히 살펴보고 지속적인 보안 및 규정 준수를 제공하는 AlmaLinux 전용 지원 서비스인 ESU(확장 보안 업데이트)와 같이 조직에서 사용할 수 있는 대안을 살펴봅니다.
FIPS 140-3이란 무엇인가요?
FIPS 140-3은 하드웨어 및 소프트웨어에 사용되는 암호화 모듈에 대한 보안 요구 사항을 지정합니다. 알마리눅스와 같은 운영 체제에서 암호화 모듈은 커널, OpenSSL, GnuTLS, NSS, Libgcrypt 등 시스템 패키지 및 라이브러리의 특정 부분으로, 민감한 정보를 보호하는 데 사용되는 하나 이상의 암호화 알고리즘 및 보안 조치의 구현이 포함되어 있습니다. FIPS 140-3의 요구 사항을 충족하는 것으로 인증된 암호화 모듈은 이러한 정보를 보호하는 안전하고 신뢰할 수 있는 솔루션으로 간주됩니다.
간단히 말해, 소프트웨어 또는 하드웨어 제품에 FIPS 140-3 인증서가 있으면 암호화 효과에 대한 기본 요구 사항을 충족하고 신뢰할 수 있는 제품이라는 뜻입니다.
필수품인가요, 아니면 그냥 있으면 좋은가요?
캐나다 및 미국 연방 정부 기관, 정부 계약업체, 미국 연방 정부에 서비스를 제공하는 기업은 이 표준을 의무적으로 준수해야 합니다. 그 외의 조직에서는 민감한 데이터와 자산을 보호하고 제품 및 서비스 보안에 대한 고객과 기타 이해관계자의 신뢰를 높이는 데 도움이 될 수 있으므로 FIPS 140-3을 준수하는 것이 모범 사례입니다.
아웃소싱 대 DIY
FIPS 인증 배포가 필요한 조직 또는 유사한 요건을 갖춘 컴플라이언스 체제(예: PCI DSS, HIPAA)에서 운영되는 조직은 애플리케이션을 직접 인증할지, 이미 인증된 구성 요소를 사용하여 구축할지 선택할 수 있습니다. 전자의 경우 NIST에서 인증한 제3자 연구소의 검증이 필요하기 때문에 상당한 투자, 암호화 전문 지식, 시간이 필요합니다. 애플리케이션이 복잡할수록 더 많은 노력이 필요합니다.
인증 또는 보안?
암호화 모듈이 포함되어 있고 민감한 정보를 처리하는 운영 체제는 FIPS 140-3 인증을 받아야 합니다. 암호화 모듈은 커널 암호화 API와 같이 특정 시스템 패키지 및 라이브러리의 작은 구성 요소에 불과하지만, 이러한 구성 요소는 필수적인 부분으로 인증받아야 합니다. 즉, FIPS 인증을 유지하려면 이러한 패키지와 라이브러리를 업데이트할 때마다 재인증을 받아야 합니다.
재인증에 필요한 시간과 노력을 고려할 때, 조직은 최신 취약점으로부터 신속하게 자신을 보호하는 대신 현재 OS 버전을 고수해야 하는 경우가 많으며, 결국 FIPS 인증을 유지하는 것을 선택하게 됩니다. 동시에 중요한 보안 업데이트 구현이 지연되면 조직은 사이버 공격에 취약해지며 이는 심각한 보안 문제가 됩니다.
일부 조직과 기관은 위험 관리 전략을 신중하게 평가하고 FIPS 표준 준수와 관련된 잠재적 위험과 비용을 비교하여 이 문제를 해결합니다. 이들은 운영 체제의 취약성으로 인한 영향을 완화하기 위해 네트워크 세분화와 같은 대체 보안 조치의 구현을 고려할 수 있습니다. 하지만 더 좋은 방법이 있습니다.
트레이드 오프는 필요하지 않습니다.
첫째, FIPS 140-3 인증은 매우 긴 과정이며 인증서를 받을 때쯤이면 인증된 암호화 모듈이 포함된 패키지와 라이브러리가 오래되었을 것입니다. FIPS 140-3 인증 프로세스가 시작된 이후 발견된 취약점에 대한 보안 패치가 누락되어 있을 것입니다. 업데이트하지 않으면 FIPS 인증에서 설정한 보안 기준값이 손상될 수 있습니다.
둘째, 대부분의 중요도가 높고 중요한 보안 업데이트는 검증된 암호화에 영향을 미치지 않습니다(NIST 용어에서 "영향을 미치는 암호화"는 FIPS 코드에 국한됩니다). 지난 4년간의 AlmaLinux 8 수명 주기를 예로 들면, 모든 중요한 CVE가 비암호화 코드(인증서/ASN.1 파싱, 보안 검사 우회, TLS 패킷 처리)에 있었다는 것을 알 수 있습니다. 심지어 가장 과장되고 중요한 OpenSSL 취약점인 하트블리드 - 조차도 암호화와는 아무런 관련이 없습니다. 즉, FIPS 인증 패키지 및 라이브러리의 대부분의 취약점 수정은 검증된 모듈이나 해당 모듈이 제공하는 암호화에도 영향을 미치지 않습니다. 즉, 업데이트된 패키지와 라이브러리는 FIPS를 완벽하게 준수하는 상태를 유지합니다.
대부분의 조직은 FIPS를 준수하는 것만으로도 충분합니다. 검증된 암호화를 기반으로 시스템을 실행하는 동시에 최신 보안 수정 사항의 혜택을 누릴 수 있기 때문입니다. 군대나 정보 기관과 같이 정적이고 패치를 적용하지 않는 엄격한 FIPS 인증 구현이 필요한 매우 특정한 사용 사례가 있습니다. 그러나 암호화 취약점을 패치하는 경우 FIPS 인증 시스템에 보안 수정 사항을 적용하기로 선택한 조직은 운영 체제를 신속하게 재인증할 수 있는 방법을 찾아야 합니다.
미국 및 캐나다 정부의 표준을 준수하거나 규제가 엄격한 환경에서 운영하기 위한 엔터프라이즈급 Linux 배포를 찾고 있다면 지속적인 보안을 제공하는 동시에 필요한 데이터 보호 표준을 충족할 수 있는 솔루션을 고려해야 합니다.
FIPS 검증 구성 요소, 비암호화 CVE에 대한 보안 업데이트, 암호화 취약점 발생 시 빠른 재인증을 제공하는 배포판이 있다면 이 배포판이 가장 적합할 것입니다. 확장 보안 업데이트(ESU)는 AlmaLinux를 위해 특별히 설계된 지원 서비스로, 바로 그 역할을 합니다. 검증된 암호화를 건드리지 않는 보안 패치를 제공하고 필요 시 FIPS 140-3 재인증을 제공할 뿐만 아니라 실시간 패치로 보안을 강화할 수 있어 100% 가동 시간을 유지하면서 FIPS 인증을 받은 시스템을 패치할 수 있습니다.
AlmaLinux용 ESU(확장 보안 업데이트)
알마리눅스 라이프사이클에 익숙하다면 6개월마다 새로운 마이너 릴리스가 출시되어 5년차까지 새로운 기능을 제공합니다. 그러나 FIPS 인증 버전은 인증을 유지하기 위해 안정적이고 가능한 한 적은 수의 업데이트를 도입해야 합니다. 현재 FIPS 140-3 인증을 위해 계획된 AlmaLinux 버전은 9.2. TuxCare의 확장 보안 업데이트를 사용하면 검증된 마이너 버전을 유지하면서 5년 동안 검증된 코드에서 FIPS를 준수하는 보안 업데이트를 안전하게 실행할 수 있습니다.
이 서비스는 FIPS를 준수하는 암호화로 실행할 수 있도록 맞춤화된 패키지 업데이트 형태로 중요 보안 업데이트와 중요 보안 업데이트의 조합을 제공합니다. 기능 업데이트와 함께 번들로 제공되지 않으며, 암호화되지 않은 취약성에 대한 수정 사항을 제공하여 안정성을 제공하는 동시에 고객이 대부분의 보안 업데이트를 받을 수 있도록 합니다. 또한 라이브 패치를 추가하면 패치 관련 재부팅이나 유지 관리 기간 없이도 인증된 AlmaLinux 시스템에 패치를 적용할 수 있습니다.
동시에 암호화 취약점이 있는 경우 새로운 패키지 커널을 제공하여 문제를 해결합니다. 고객은 이 커널을 재부팅하고 설치하여 시스템을 업데이트할 수 있습니다. 저희는 암호화를 수정하는 모든 새 커널을 CVE 수정을 위해 설계된 재인증 프로세스를 통해 받는 것이 훨씬 빠릅니다. 이렇게 하면 암호화에 대한 취약점 수정이 포함된 새 커널이 FIPS 140-3 요구 사항을 준수하는 것으로 입증됩니다.
확장 보안 업데이트의 모든 이점에 대해 자세히 알아보려면 제품 페이지에서 확인하세요. 제품 페이지.