Tulip IT 보안 가이드

다음은 Tulip의 모든 보안 정책에 대한 안내서입니다.

이 문서는 두 개의 섹션으로 나뉩니다. 첫 번째 섹션인 '애플리케이션 보안'에서는 최종 사용자 관리 및 액세스, 사용자 데이터 보안, 커넥터를 사용하는 인터페이스 등 애플리케이션 수준에서의 보안 고려 사항에 대해 설명합니다. 두 번째 섹션인 "인프라 보안"에서는 Tulip 직원이 클라우드 제공업체 내에서 Tulip 애플리케이션을 실행하고 관리하는 데 사용하는 인프라에 대한 보안에 대해 설명합니다.

애플리케이션 보안

네트워크 액세스

Tulip 애플리케이션에 대한 모든 최종 사용자의 액세스(관리자 인터페이스, Tulip 플레이어 런타임 및 모든 기기 액세스 포함)는 TLS 암호화를 사용하여 알려진 IP 주소로 트랜잭션됩니다. 다른 지역의 IP 주소는 네트워킹 요구사항 문서에서 확인할 수 있습니다.

암호화는 클라이언트에서 사용할 수 있는 가장 강력한 암호를 사용합니다. 프로덕션 데이터를 처리하는 Tulip 서비스는 Qualys SSL Labs 테스트에서 A+를 받았습니다. Tulip에 연결하는 최신 브라우저는 키 교환에 타원 곡선 디피-헬만 임시 암호화(ECDHE)를 사용하여 완벽한 순방향 비밀성(PFS), 인증에 RSA, 암호화에 갈로이스/카운터 모드의 128비트 AES, MAC에 SHA256을 추가합니다. 오래된 암호 모음은 금지되어 있으며, 저희 서버는 RSA_WITH_3DES_EDE_CBC_SHA보다 약한 암호 모음은 사용을 거부합니다.

최종 사용자는 클라이언트 기기, 네트워크, 프록시 등의 보안을 보장할 책임을 져야 합니다.

사용자 신원 관리

Tulip에는 최종 사용자가 Tulip 애플리케이션 내에서 액세스 및 권한을 제어할 수 있는 사용자 관리 기능이 내장되어 있습니다. 비밀번호는 최소한의 복잡성을 충족해야 하며 서버로 전송되기 전에 클라이언트 측에서 SHA256으로 해시되며(TLS로 암호화), 이 시점에서 비밀번호는 영구 저장소에 기록되기 전에 업계 표준 bcrypt로 솔트 및 해시됩니다.

또한 기업 사용자는 외부 ID 공급자(LDAP 또는 SAML)를 사용하여 Tulip 애플리케이션에 대한 액세스를 관리할 수 있으며, 이를 통해 Tulip에 내장된 사용자 관리 기능을 우회할 수 있습니다.

외부 ID 공급자의 보안을 보장하고 Tulip과 ID 공급자 간의 안전한 통신을 보장하는 것은 최종 사용자의 책임입니다.

잘못된 자격 증명으로 로그인을 시도하면 10분 동안 10번 시도한 후 시간 초과가 발생한 후 추가 로그인 시도가 허용됩니다.

단일 로그인 및 인증

Tulip은 각 관리자마다 별도의 로그인을 보장합니다. Tulip 플레이어의 인증은 무작위로 생성된 공유 비밀번호를 기반으로 디바이스별로 이루어집니다. 장치가 Tulip으로 인증되면 운영자는 RFID 배지 또는 자신의 자격 증명을 사용하여 입력하여 장치를 사용할 수 있습니다.

사용자 데이터

Tulip은 내부 데이터베이스에 대한 직접 액세스를 허용하지 않으며, Tulip 애플리케이션 내의 권한에 따라 액세스를 제한합니다. 모든 데이터베이스 호출은 인젝션 공격을 방지하기 위해 매개변수화되어 있습니다. 데이터베이스는 매일 백업됩니다.

사용자 이미지, 동영상 및 기타 비데이터베이스 자산은 오브젝트 스토리지에 저장되며 미사용 시 암호화됩니다. 사용자는 일회용 서명 URL을 통해 이 데이터를 검색합니다.

데이터 송신 및 외부 연결

Tulip에서는 사용자가 HTTP API, SQL 데이터베이스, OPC UA 서버, SMTP 및 SMS 제공업체와 같은 외부 서비스에 대한 연결을 구성할 수 있습니다. 이러한 연결은 Tulip 애플리케이션 내에서 샌드박스가 적용되어 Tulip에 보안 취약점을 유발하지 않지만, 최종 사용자는 이러한 서비스를 통해 전송되는 정보가 적절하게 처리되는지 확인할 책임을 져야 합니다. 여기에는 API 및 데이터베이스 연결에 대한 적절한 암호화를 보장하고 민감한 데이터 또는 규제 대상 데이터가 규제되지 않은 대상으로 전송되지 않도록 하는 것이 포함됩니다.

보안 취약성의 가능성에 대한 고객 중심의 논의는 Tulip 커넥터 호스트에 대한 도움말 문서를 참조하세요.

인프라 보안

Tulip 직원 액세스 권한

Tulip 내부 및 생산 시스템에 대한 액세스는 엄격하게 통제되며 필요한 직원에게만 제공됩니다. Tulip은 직원의 Tulip 정보 시스템에 대한 물리적 및 논리적 액세스를 분리일 이전에 종료합니다.

인프라에 대한 인증

Tulip은 최소 비밀번호 길이, 잠금, 만료 기간, 복잡성, 암호화, 기본 비밀번호 변경, 임시 비밀번호 사용 등의 요건을 포함하여 고객 데이터에 액세스할 수 있는 모든 Tulip 직원 계정에 강력한 비밀번호와 2단계 인증을 사용하도록 요구합니다. 사용자 계정 자격증명(예: 로그인 ID, 비밀번호)은 절대 공유되지 않습니다.

타사 클라우드 호스팅 제공업체

튤립은 서비스 운영에 필요한 하드웨어, 소프트웨어, 네트워킹, 스토리지 및 관련 기술을 제공하기 위해 Amazon Web Services(AWS) 및 Microsoft Azure(AZ)를 사용합니다. 개별 고객 사이트는 기본적으로 Tulip이 선택한 단일 공급업체로 제한되지만, 필요한 경우 고객은 특정 공급업체의 클라우드에 배포를 요청할 수 있습니다.

당사에 제공되는 IT 인프라는 보안 모범 사례 및 다음과 같은 다양한 IT 보안 표준에 따라 설계 및 관리됩니다: SOC 1/SSAE 16/ISAE 3402(이전의 SAS 70), SOC 2, SOC 3, FISMA, DIACAP, FedRAMP, DOD CSM 레벨 1~5, PCI DSS 레벨 1, ISO 9001 / ISO 27001, ITAR, FIPS 140-2, MTCS 레벨 3. Tulip은 내부 표준을 준수하기 위해 호스팅 제공업체의 정책을 지속적으로 평가합니다.

각 제공업체에 대한 추가 정보는 아래 링크에서 확인할 수 있습니다:

• AWS
• AWS GovCloud
• Azure

방화벽/IDS/IPS

모든 Tulip 서버는 방화벽 뒤에 있으며, 방화벽은 Tulip이 제어하는 IP 주소 외부에서의 관리를 제한합니다. 방화벽 및 기타 경계 장치를 포함한 네트워크 장치는 네트워크의 외부 경계와 네트워크 내의 주요 내부 경계에서 통신을 모니터링하고 제어하기 위해 호스팅 제공업체에서 설치합니다. 이러한 경계 장치는 특정 정보 시스템 서비스로의 정보 흐름을 강제하기 위해 규칙 세트, 액세스 제어 목록(ACL) 및 구성을 사용합니다. Tulip은 수신 및 송신 통신 지점에서 비정상적이거나 승인되지 않은 활동 및 상태를 감지하도록 설계된 모니터링 도구를 사용합니다. 이러한 도구는 서버 및 네트워크 사용량, 포트 스캔 활동, 애플리케이션 사용량, 무단 침입 시도를 모니터링합니다. 저희 클라우드 제공업체는 분산 서비스 거부(DDoS) 공격, 중간자 공격(MITM), IP 스푸핑, 패킷 스니핑, 포트 스캐닝 등 기존의 네트워크 보안 문제에 대해 상당한 보호 기능을 제공합니다. 저희는 클라우드 환경의 진입 지점에 IDS 및 IPS 시스템과 같은 추가 보안 제어를 구현합니다.

보안 업데이트

Tulip은 중요하고 보안 수준이 높은 모든 이슈에 대해 패치가 릴리스되는 즉시 패치를 적용하기 위해 최선을 다합니다. 또한 취약점 관리를 위해 자동화된 테스트를 활용하여 취약점을 조기에 발견할 수 있도록 합니다.

데이터베이스 보안

데이터베이스는 각 클라우드 제공업체 내에 위치하며, Tulip VPC 내의 트래픽에 대해서만 개방되어 있습니다. 인증 키는 무작위로 생성됩니다. 인젝션 공격을 방지하기 위해 매개변수화가 사용됩니다. 데이터는 미사용 시 암호화됩니다.

침투 테스트

Tulip은 주기적으로 타사 침투 테스트를 수행합니다. 또한 코드 베이스의 정적 분석을 통해 일반적인 취약점을 지속적으로 점검합니다.

개발 및 테스트 환경

개발 및 테스트 환경은 프로덕션 환경과 물리적, 논리적으로 분리되어 있습니다.

보안 인시던트

Tulip 정보 시스템의 보안 인시던트는 기록되고 즉시 처리됩니다. 이러한 보안 로그는 최소 12개월 동안 정기적으로 검토 및 유지 관리됩니다. Tulip 기술 운영팀은 업계 표준 진단 절차를 사용하여 비즈니스에 영향을 미치는 사건 발생 시 해결을 추진합니다. 운영팀은 연중무휴 24시간 연중무휴로 인시던트를 감지하고 영향 및 해결을 관리합니다. 운영 담당자가 사고나 문제를 처리하는 데 도움이 되고 정보를 제공하기 위해 문서가 유지됩니다. 문제 해결을 위해 협업이 필요한 경우 운영팀은 추가 직원을 호출하고 검토를 위해 커뮤니케이션을 기록하는 전자 회의 기술을 사용하여 협업합니다. 포스트모템은 외부 영향과 관계없이 중대한 운영상의 문제가 발생한 후 소집되며, 근본 원인과 추가적인 기술적 또는 절차적 개선 사항을 파악하여 재발을 방지하기 위한 추가 예방 조치를 시행합니다. Tulip은 모든 직원이 각자의 역할과 책임을 이해하고 중요한 사안을 적시에 알릴 수 있도록 다양한 사내 커뮤니케이션 방법을 시행하고 있습니다. 이러한 방법에는 신규 채용 직원을 위한 오리엔테이션 및 교육 프로그램, 사업 성과 및 기타 사안에 대한 업데이트를 위한 정기 전체 회의, 화상 회의, 전자 메일 메시지, Tulip 내부 커뮤니케이션 채널을 통한 정보 게시 등의 전자적 수단이 포함됩니다.

데이터 복구 및 이중화

고객 데이터의 모든 백업은 최소 두 곳 이상의 별도 시설에 저장되며, 개별 데이터 센터가 손실되는 경우 복구할 수 있습니다. 백업은 모든 백업 데이터를 여러 지역에 이중으로 저장하고 99.999999999%의 내구성과 99.99%의 가용성을 제공하는 AWS S3 또는 Azure Storage를 사용하여 저장됩니다.

변경 관리

Tulip은 문서화된 변경 관리 절차를 구현하여 모든 코드 및 인프라 변경에 대한 불변의 기록과 체계적인 변경 검토를 포함하는 Tulip 정보 시스템의 변경(긴급 변경 포함)을 제어, 구현 및 문서화하기 위한 일관된 접근 방식을 제공합니다. 업무 시간 중 서비스 중단을 방지하기 위해 다운타임 제로 배포 전략을 사용하고 고객 생산 일정에 맞춰 다운타임을 예약하는 등 고객과 서비스 사용에 미치는 영향을 최소화하기 위해 Tulip 코드 및 인프라에 대한 업데이트가 수행됩니다. 예기치 않은 다운타임이 고객의 Tulip 서비스 사용에 영향을 미칠 수 있는 경우 또는 불가피하게 운영 시간 중에 다운타임이 발생해야 하는 경우에는 고객과 소통할 것입니다.

가용성

호스팅 제공업체의 데이터 센터는 전 세계 여러 지역에 클러스터로 구축되어 있습니다. 모든 데이터 센터는 온라인 상태로 고객에게 서비스를 제공하며, "다운된" 데이터 센터는 없습니다. 장애가 발생하는 경우 자동화된 프로세스가 고객 데이터 트래픽을 해당 지역으로부터 멀리 이동시킵니다. 핵심 애플리케이션은 N+1 구성으로 배포되므로 데이터센터에 장애가 발생하더라도 나머지 사이트로 트래픽이 로드 밸런싱될 수 있는 충분한 용량을 확보할 수 있습니다. 데이터센터 전력 시스템은 연중무휴 24시간 운영에 영향을 주지 않고 완벽하게 이중화되고 유지보수가 가능하도록 설계되었습니다. 무정전 전원 공급 장치(UPS)는 시설의 중요하고 필수적인 부하에 전기 장애가 발생할 경우 백업 전원을 제공합니다. 데이터센터는 발전기를 사용하여 전체 시설에 백업 전력을 공급합니다.