Security365 SaaS 서비스 사용을 위한 보안성 검토 체크리스트
| 분류 | 상세 내용 | 답변 |
|---|---|---|
| 암호화 | 암호화 키의 안전한 생성, 사용, 저장, 배포, 복구, 폐기를 관리하는 절차가 있습니까? | 키볼트(KMS)라는 별도의 키를 저장하고 관리하는 서비스를 통해 암호화하여 관리합니다. |
| 접근통제 | IP관리/화이트리스팅, 엔드포인트 인증 등 접근 고나리 절차를 적용하고 있습니까? | SaaS 서비스이며 별도의 접근을 통제하지는 않습니다. |
| 네트워크 분할 (DMZ, 서버프레임, DB Zone, Dev Zone 등)을 적용하고 비즈니스 목적 및 중요도에 따라 접근통제를 구현하고 있습니까? | SaaS 서비스이며 별도의 네트워크 분할은 적용하지 않습니다. | |
| 각 사용자의 역할 기반 요구사항에 따라 애플리케이션에 대한 접근 권한을 제한하고 불필요하거나 중요한 정보의 표시를 최소화 하고 있습니까? | 관리자만 접근하여 정책 및 로그 조회 가능. 사용자는 DS6 사용 시에만 자동으로 접근 (직접 접근 불가) | |
| 벤더의 서비스가 SAML2.0 IdP에 의지하지 않는 자체적인 IP 범위 기반 제한 기능이 있습니까? | IP기반의 조건부정책 제공 | |
| 필요할 경우 벤더의 서비스에 대한 API 또는 Webhook 호출을 제한할 수 있습니까? | 벤더의 서비스에 대한 API 또는 Webhook은 인증인가의 인증토큰을 통해 제어되고, 3rd party 통신 제한이 가능합니다. | |
| 정보를 민감도(예: 높음, 중간, 낮음 등)에 따라 분류하고 이를 기준으로 적절한 보안 통제를 결정하고 적용합니까? | 민간도에 따라 분류하지 않습니다. | |
| 인터넷을 통한 정보 유출, 악성코드 감염 및 이에 따른 내부망 침투 방지를 위해, 인터넷이나 P2P, 웹하드, 메신저 등의 서비스에 대한 접근을 역할별 단말(핵심업무 수행, 개인정보 처리용 단말 등)로 제한하고 있습니까? | 자사 제품에서 지원하지 않는 서비스입니다. | |
| 인증 및 권한 관리 | 시스템 사용자를 등록/해제하고 시스템 접근 권한을 부여/변경/회수하는 절차가 있습니까? | 사용자는 MS 계정 기반으로 등록 및 회수됩니다. |
| 사용자/관리자의 시스템 접근 권한에 대한 변경 사항이 해당 사용자에게 안내됩니까? | 별도의 알림 기능은 제공하지 않고 있습니다. | |
| 사용자/관리자가 시스템에 로그인할 때 안전한 인증을 거치도록 되어 있습니까? | MS에 OpenID를 통한 사용자 인증을 지원하고 있습니다. | |
| 로그인 시도 횟수를 제한하고, 무단 로그인 시도에 대해 경고를 보여주는 등의 보안조치를 적용하고 있습니까? | MS에 정책이 설정되어 있는 경우 보안 조치가 가능합니다. | |
| 사용자에게 세션 타임아웃을 기본적으로 적용합니까? | 설정이 가능하며, 자동 로그아웃 기능을 제공합니다. | |
| Okta 연동을 지원합니까? | 지원하고 있습니다. (OAuth2, SAML2.0) | |
| 시스템 및 서비스 보안 | 벤더의 시스템 및 네트워크에 대한 무단 침입을 방지, 감지, 대응 할수 있는 통제 수단이 있습니까? | MS Azure에서 지원하고 있습니다. (클라우드 지원 제품인 경우) |
| 바이러스, 웜, 트로이목마, 랜섬웨어 등의 악성코드를 방지, 감지, 대응할 수 있는 통제 수단이 있습니�까? | MS Azure에서 지원하고 있습니다. (클라우드 지원 제품인 경우) | |
| 소프트웨어 취약점의 패치가 되었는지 확인할 수 있는 패치관리 프로세스가 있습니까? 패치가 불가능한 경우 이에 상응하는 통제수단을 통해 조치하도록 하고 있습니까? | 서비스 코드 체크인 시 소나큐브, 디펜던시 체크 등을 통해 보안 취약점을 점검한 후 체크인하고 있습니다. (이미 서비스되고 있는 프로세스에 대해서는 별도의 조치가 없습니다.) | |
| 사고예방 및 대응 | 시스템의 위험도 여부를 평가하기 위해 정기적으로 취약점 평가를 수행합니까? | 위와 동일한 절차를 따르고 있습니다. |
| 식별된 리스크 및 취약점을 즉시 조치합니까? | 위와 동일한 절차를 따르고 있습니다. | |
| 새롭게 등장하는 취약점을 선제적으로 추적하고 식별된 이슈가 있으면 조치합니까? | 위와 동일한 절차를 따르고 있습니다. | |
| 내/외부 행위자의 침해 시도와 부정행위를 신속하게 탐지하고 대응하기 위해 네트워크 및 데이터 흐름 정보를 수집 및 분석 합니까? | MS Azure에서 지원하고 있습니다. (클라우드 지원 제품인 경우) | |
| 시스템 개발 보안 | 운영 시스템에 대한 무단 접근 또는 변경의 리스크를 줄이기 위해 운영 시스템으로 부터 개발 또는 테스트용 시스템을 분리하고 있습니까? | 개발, 테스트, 사내 운영(벤더사 전용 클러스터), 국내 운영 클러스터로 분리하여 운영 및 관리하고 있습니다. |
| 시스템을 테스트하는 과정에서 운영데이터가 유출되지 않도록 테스트 데이터의 생성, 사용, 관리, 파기, 보호 절차��를 적용하고 있습니까? | 개개발, 테스트, 사내 운영(벤더사 전용 클러스터), 국내 운영 클러스터로 분리하여 운영 및 관리하고 있습니다. | |
| 소스 프로그램에 대한 접근을 인가된 사용자로 제한하고, 소스 프로그램을 운영환경에 보관하지 않도록 하고 있습니까? | Azure DevOps의 프로젝트에 인가된 사용자만 접근하도록 제한하고 있으며, 소스 프로그램은 운영 환경에 보관되지 않습니다. | |
| 데이터 유출 방지 | 비인가자가 회사의 정보에 접근하지 못하도록 보안 통제를 적용하고 있습니까? | 외부 VPN 또는 외부 접속 솔루션(SHIELDGate)을 통한 보안 통제를 적용하고 있으며, MFA도 추가로 적용하고 있습니다. |
| 로그 관리 | 벤더의 서비스는 관리자를 위한 보안 감사로그를 제공하고, 이 로그가 고객사의 SIEM(Splunk)으로 전송될 수 있도록 지원합니까? | ElasticSearch에 로그가 저장되지만, SIEM에도 로그를 syslog로 전송할 수 있습니다. |
| 로그 공급 또는 로그 정의에 관한 API 문서가 있습니까? (RESTful API, SFTP, AWS S3버킷, Redshift 등) | 로그 공급 및 로그 정의 API 문서는 벤더사 내부에서만 사용되며, 외부에 유출하지 않습니다. | |
| 로그 전송을 현재 지원하지 않는다면, 향후 지원할 계획이 있습니까? | 필요에 따라 지원이 가능합니다. | |
| 벤더의 서비스는 고객사의 CASB(PaloAlto Prisma Access)와의 연동을 지원합니까? | 현재는 연동을 지원하지 않고 있습니다. |