.png)
공통 기준이란 무엇이며 인증을 받는 방법
거의 2년 전, 저는 운 좋게도 일루미오 팀에 연방 제품 관리자로 합류할 수 있었습니다. 가장 먼저 해야 할 일은 FIPS 140-2 및 GSA 섹션 508 준수 등 연방 정부에서 요구하는 필수 제품 인증을 획득하는 것이었습니다. 최근 일루미오 코어는 공통 평가 기준이라는 또 다른 중요한 정부 보안 인증을 획득했습니다. 이 인증을 통해 Illumio는 액세스 제어 정책 정의 및 관리에 중점을 둔 기업 보안 관리를 위한 국가 정보 보증 파트너십(NIAP)의 표준 보호 프로필, 정책 관리 v2.1을 준수하는 최초의 기업 보안 공급업체가 되었습니다.
정부 기관(및 비연방 기관)이 지능형 지속적 위협으로부터 고가의 자산을 보호하고자 함에 따라 호스트 기반 세분화를 효과적으로 배포하기 위해 네트워크 아키텍처에서 보안을 분리해야 할 필요성이 최우선 과제가 되었습니다. 일루미오 코어는 네트워크와 호스트의 세그먼트에서 보안을 분리하여 고객이 중요한 애플리케이션이 실행되는 모든 곳에서 보호하는 세그먼트 정책을 생성하고 적용할 수 있도록 지원합니다.
그렇다면 공통 기준이란 정확히 무엇일까요? NIAP 보호 프로필이란 무엇인가요? 이것이 연방 정부에 중요한 이유는 무엇일까요? 조금 더 자세히 살펴봅시다...
공통 기준이란 무엇인가요?
공통 기준은 상용 공급업체가 정부에 제공하는 IT 제품의 정보 보증(IA)을 평가하는 데 사용되는 국제적으로 인정된 보안 표준을 나열합니다. CCRA(공통 기준 인정 협정)는 미국, 호주, 프랑스, 영국, 독일, 네덜란드, 한국 등을 포함한 30개 회원국으로 구성되어 있습니다. CCRA에 따라 평가된 IT 제품은 모든 회원국에서 상호 인정되므로 기업은 한 번의 평가로 여러 국가에 제품을 판매할 수 있습니다. 이는 보증 요구 사항에 대한 IT 보안 제품의 기능 및 기능 평가의 일부입니다.
보안 평가는 엄격하고 포괄적이며 승인된 제3자 독립 연구소에서 수행합니다. IA 테스트는 평가 대상 제품에 들어오고 나가는 정보 또는 데이터의 사용, 처리, 저장 및 전송과 관련된 위험을 평가하기 위해 고안되었습니다. 보호 프로필의 일부는 제품이 모든 PP 요구 사항을 준수해야 한다는 것입니다.
공통 기준에는 몇 가지 중요한 핵심 개념이 있습니다:
- 보안 대상: 평가 대상 프로젝트의 기능을 명시적으로 명시해야 합니다.
- 보호 프로필: 특정 클래스의 관련 제품에 대한 표준 요구 사항 집합에 사용되는 템플릿입니다.
- 평가 보증 수준: 제품 및 테스트 방식을 정의합니다. EAL 범위는 1에서 7까지이며, 7이 최대, 1이 최소입니다.
- 평가 대상: 공통 기준 인증을 위해 검토할 시스템 또는 장치
- 보안 기능 요구 사항: 고유한 보안 기능을 참조하는 요구 사항
일루미오 코어의 경우, 평가의 중요한 부분은 풍부한 감사 및 보안 기능 세트에 중점을 두었습니다. 공통 기준에서 벤더는 보안 목표 초안을 작성하여 평가할 보안 기능 클레임을 정의합니다. 보안 목표 내에서 평가의 범위는 평가 대상(TOE)을 통해 식별됩니다. 일루미오 코어의 경우, TOE(또는 평가 범위)에는 정책 컴퓨트 엔진(PCE) 과 가상 시행 노드(VEN)가 포함되었습니다.
NIAP 보호 프로필이란 무엇인가요?
2009년, 미국의 공통 기준 평가 제도인 국가 정보 보증 파트너십(NIAP)은 모든 공통 기준 인증이 승인된 NIAP 보호 프로필의 보안 요구 사항을 직접 준수하도록 정책을 업데이트했습니다. 이전에는 공통 기준 기능 요구사항이 개별 공급업체에서 EAL(평가 보증 수준) 프레임워크를 통해 정의되었습니다. NIAP 보호 프로필로 변경됨에 따라 공통 기준 기능 요구 사항은 특정 기술 클래스(예: 정책 관리, 방화벽, VPN)의 보안 및 테스트 요구 사항을 해결하도록 맞춤화되었습니다.
보호 프로필에 대한 평가를 받는 제품은 보호 프로필에 지정된 기능 요구 사항을 100% 준수해야 합니다. 인증을 통과하려면 보호 프로필 중 99개% 만 준수하는 것은 허용되지 않으며, 완전하고 완전한 준수가 필요합니다. 완벽한 엔드포인트 보안을 통해 보호 수준을 높일 수 있습니다. 엄격한 보안 요건은 위에서 언급한 공통 기준 인증의 엄격하고 포괄적인 특성을 말해줍니다. 이제 마지막 요점을 말씀드리겠습니다...
정부가 공통 기준 및 보호 프로필에 관심을 갖는 이유는 무엇인가요?
첫째, 미국 국방 기관의 경우, 공통 기준 인증은 미국 정부의 정보 보증 및 IA 지원 IT 제품 획득을 규율하는 미국 국가 보안 정책 NSTISSP #11에 의해 의무화되어 있습니다. 결론적으로, 국가 보안 시스템(NSS)을 보호할 목적으로 국방부에 제품을 판매하려는 IT 또는 보안 공급업체는 반드시 공통 기준을 충족해야 합니다.
다음으로, 미국 국방부(DoD)는 2019 회계연도에 기밀해제된 정보 기술 계약에 380억 달러를 지출할 예정이라고 미국 관리예산처의 IT 대시보드에 나와 있습니다. 상업용 공급업체가 국방부에 IT 제품을 판매하기 위해 극복해야 하는 가장 큰 장애물 중 하나는 공통 기준과 같은 필수 정부 규정 준수 및 제품 보안 인증을 획득하는 것입니다. NIAP에서 언급했듯이: "미국 정부의 보호 프로필을 준수한다고 주장하는 NIAP 제품 준수 목록(PCL)에 등재된 제품은 NIST 및 NSA에서 적절하다고 간주하는 최소 보안 수준을 충족하며 일반적으로 이러한 주장을 하지 않는 제품보다 선호되어야 합니다."
또한 NIAP는 다음과 같이 명시하고 있습니다: "특정 기술 영역에 대해 승인된 미국 정부의 보호 프로필이 존재하지만 해당 보호 프로필을 준수하는 검증된 제품을 사용할 수 없는 경우, 구매 기관은 구매 전에 공급업체가 승인된 보호 프로필에 대한 평가 및 검증을 위해 제품을 제출하도록 요구해야 합니다."
보시다시피, NIAP 보호 프로필에 기반한 공통 기준 인증은 상용 제품 및 솔루션 구매 시 미국 정부에 중요한 IT 규정 준수 점검 역할을 합니다.
마지막으로, 이 중요한 성과를 달성한 Illumio 제품 개발 및 엔지니어링 팀의 모든 직원과 Illumio의 NVLAP 연구소로서 뛰어난 성과를 거둔 Cygnacom Solutions의 재능 있는 팀에게 감사와 축하를 전합니다.
Illumio의 공통 기준 및 기타 정부 보안 인증에 대한 자세한 내용은 여기를 참조하세요:
.webp)
