.png)
일반적인 기준은 무엇이며 자격증 취득 방법
거의 2년 전, 저는 운 좋게도 연방 제품 관리자로 Illumio 팀에 합류할 수 있었습니다.가장 먼저 해야 할 일은 다음을 포함하여 연방 정부에서 요구하는 필수 제품 인증을 취득하는 것이었습니다. 팁 140-2 및 GSA 섹션 508을 준수합니다.최근 Illumio Core는 공통 기준이라는 또 다른 중요한 정부 보안 인증을 획득했습니다.이번 인증을 통해 Illumio는 다음과 같은 국가 정보 보증 파트너십 (NIAP) 표준 보호 프로필 준수 인증을 받은 최초의 엔터프라이즈 보안 공급업체가 되었습니다. 엔터프라이즈 보안 관리, 정책 관리 v2.1, 액세스 제어 정책 정의 및 관리에 중점을 둡니다..
정부 기관 (및 비연방 조직) 이 고부가가치 자산을 지능적이고 지속적인 위협으로부터 보호하고자 함에 따라 다음과 같은 필요성이 대두되고 있습니다. 디커플링 보안 네트워크 아키텍처에서 호스트 기반 세그멘테이션을 효과적으로 배포하는 것이 최우선 과제가 되었습니다. 일루미오 코어 보안을 네트워크 및 호스트의 세그먼트와 분리하여 고객이 실행 위치에 관계없이 중요한 애플리케이션을 보호하는 세그멘테이션 정책을 만들고 적용할 수 있도록 합니다.
그렇다면 공통 기준은 정확히 무엇일까요?NIAP 보호 프로파일이란 무엇입니까?그리고 이것이 연방 정부에 왜 중요할까요?조금 더 자세히 살펴보죠...
공통 기준이란 무엇입니까?
일반 기준 목록 상용 공급업체가 정부에 제공하는 IT 제품의 정보 보증 (IA) 을 평가하는 데 사용되는 국제적으로 인정받는 보안 표준 세트입니다.공통 기준 인정 협정 (CCRA) 은 미국, 호주, 프랑스, 영국, 독일, 네덜란드, 한국 등을 포함한 30개 회원국으로 구성되어 있습니다.CCRA에 따라 평가된 IT 제품은 모든 회원국에서 상호 인정하므로 기업은 제품을 한 번 평가한 후 여러 국가에 판매할 수 있습니다.이는 보증 요구 사항에 대한 IT 보안 제품의 기능 및 특징 평가의 일부입니다.
보안 평가는 엄격하고 포괄적이며 승인된 타사 독립 연구소에서 실시합니다.IA 테스트는 평가 대상 제품에 들어오거나 나가는 정보 또는 데이터의 사용, 처리, 저장 및 전송과 관련된 위험을 평가하기 위해 고안되었습니다.보호 프로파일의 일부는 제품이 모든 PP 요구 사항을 준수해야 한다는 것입니다.
공통 기준에는 몇 가지 중요한 주요 개념이 있습니다.
- 보안 목표: 평가 대상 프로젝트의 기능을 명시해야 합니다.
- 보호 프로필: 특정 클래스의 관련 제품에 대한 표준 요구 사항 집합에 사용되는 템플릿입니다.
- 평가 보증 수준: 제품 및 테스트 방법을 정의합니다.EAL의 범위는 1~7이며, 최대값은 7이고 최소값은 1입니다.
- 평가 대상: 공통 기준 인증을 위해 검토할 시스템 또는 장치
- 보안 기능 요구 사항: 고유한 보안 기능을 참조하는 요구 사항
Illumio Core의 경우 평가의 중요한 부분인 풍부한 기능의 감사 및 보안 기능에 중점을 두었습니다.Common Criteria에서 공급업체는 보안 목표 초안을 작성하여 평가할 보안 기능 주장을 정의합니다.보안 대상 내에서 평가 범위는 평가 대상 (TOE) 을 통해 식별됩니다.Illumio Core의 경우 TOE (또는 평가 범위) 에는 다음이 포함되었습니다. 정책 컴퓨팅 엔진 (PCE) 그리고 가상 적용 노드 (VEN).
NIAP 보호 프로필이란 무엇입니까?
2009년 미국의 공통 기준 평가 제도인 NIAP (국가 정보 보증 파트너십) 는 모든 공통 기준 인증이 승인된 NIAP 보호 프로필의 보안 요구 사항을 직접 준수하도록 정책을 업데이트했습니다.이전에는 개별 공급업체가 EAL (평가 보증 수준) 프레임워크를 통해 공통 기준 기능 요구 사항을 정의했습니다.NIAP 보호 프로파일이 변경됨에 따라 Common Criteria 기능 요구 사항이 특정 기술 등급 (예: 정책 관리, 방화벽, VPN) 의 보안 및 테스트 요구 사항을 충족하도록 조정되었습니다.
보호 프로필에 대한 평가를 받는 제품은 보호 프로필에 지정된 기능 요구 사항을 100% 준수해야 합니다.보호 프로필의 99% 만 준수하는 것은 허용되지 않습니다. 인증을 통과하려면 완전하고 완전한 규정 준수가 필요합니다..보호 기능을 강화할 수 있는 한 가지 방법은 다음을 완료하는 것입니다. 엔드포인트 보안.엄격한 보안 요구 사항은 위에서 언급한 Common Criteria 인증의 엄격하고 포괄적인 특성을 잘 보여줍니다.이제 마지막 요점으로 넘어가겠습니다...
정부가 공통 기준 및 보호 프로필에 관심을 갖는 이유는 무엇입니까?
첫 번째, 미국 국방 기관의 경우 미국 정부의 정보 보증 및 IA 지원 IT 제품 구입을 규제하는 미국 국가 안보 정책 NSTISSP #11 에 따라 Common Criteria 인증이 의무화됩니다.요컨대, 국가 보안 시스템 (NSS) 보호를 목적으로 국방부에 제품을 판매하려는 IT 또는 보안 공급업체인 경우 공통 기준을 충족해야 합니다.
다음, 관리 예산 사무소의 IT에 따르면 계기반, 미국 국방부 (DoD) 는 지출을 순조롭게 진행하고 있습니다 380억 달러 2019 회계연도의 분류되지 않은 정보 기술 계약에 대해상용 공급업체가 IT 제품을 DoD에 판매하기 위해 극복해야 하는 가장 큰 장애물 중 하나는 Common Criteria와 같은 필수 정부 규정 준수 및 제품 보안 인증을 획득하는 것입니다.에서 언급한 바와 같이니아프: “미국 정부 보호 프로필을 준수한다고 주장하는 NIAP 제품 준수 목록 (PCL) 에 등재된 제품은 NIST 및 NSA에서 적절하다고 간주하는 최소 보안 수준을 충족하므로 일반적으로 그러한 주장을 하지 않는 제품보다 선호됩니다.”
또한,니아프 다음과 같이 명시되어 있습니다. “특정 기술 영역에 대해 승인된 미국 정부 보호 프로필이 존재하지만 해당 보호 프로필을 준수하는 검증된 제품을 사용할 수 없는 경우, 인수 조직은 구매 전에 공급업체가 승인된 보호 프로필과 비교하여 평가 및 검증을 위해 제품을 제출하도록 요구해야 합니다.”
보시다시피, NIAP 보호 프로파일을 기반으로 하는 Common Criteria 인증은 상용 제품 및 솔루션 구입과 관련하여 미국 정부가 중요한 IT 규정 준수 여부를 확인하는 역할을 합니다.
마지막으로, 모든 분들께 많은 감사와 축하의 말씀을 전합니다. 일루미오 제품 이 중요한 성과를 거둔 개발 및 엔지니어링 팀과 Illumio의 NVLAP 연구소로서 뛰어난 성과를 거둔 시그나콤 솔루션의 재능 있는 팀.
Illumio의 공통 기준 및 기타 정부 보안 인증에 대한 자세한 내용은 다음을 참조하십시오.
