애플리케이션 보안
안전한 개발
보안 교육
모든 신입 EcoStruxure IT 소프트웨어 개발자는 입사 직후 그리고 매년 보안 교육에 의무적으로 참가합니다. 또한 본인 선택에 따라 화이트 해트 해커(White Hat Hacker) 교육에 등록, 참가하여 윤리적 해커(Ethical Hacker) 인증을 받을 수 있습니다.
피어 리뷰
EcoStruxure IT 플랫폼의 모든 변경 사항은 적어도 한 명의 다른 엔지니어가 코드 품질, 보안, 성능을 검증하여 코드와 인프라의 변경 내용을 검토하는 피어 리뷰를 반드시 받아야 합니다.
또한 버전 제어 시스템(GIT)이 모든 변경 사항을 추적하여 이력, 추적 가능성, 감사 추적을 보장합니다.
분리된 환경
EcoStruxure IT 테스트 환경은 프로덕션 환경과 물리적으로 분리되어 있습니다.
애플리케이션의 취약점
동적 취약점 검사
Schneider Electric은 몇 개의 타사 보안 툴을 사용하여 지속적으로 EcoStruxure IT 플랫폼의 취약점에 대한 동적 검사를 수행합니다. Schneider Electric에서 운영하는 보안 팀이 검사 결과를 처리하며 문제를 해결하기 위해 엔지니어링 팀과 협력합니다.
정적 코드 분석
소스 코드의 모든 변경 사항은 버그 발생 여부, 보안과 라이선스 문제에 대해 정적 분석 툴로 지속적으로 검사합니다. EcoStruxure IT 기준을 충족하지 못하는 모든 소스 코드는 개발 팀으로 반환하여 개선됩니다.
타사 보안 침투 테스트
Schneider Electric은 지속적으로 타사 인증 해커를 순환 고용하여 EcoStruxure IT(게이트웨이, 모바일, 웹 앱)의 모든 구성 요소에 대해 상세한 침투 테스트를 실시합니다. 새로운 기능이 출시되면 보안 전문가에게 사명 선언문을 배부하고 기능의 보안을 확인하도록 합니다. 당사의 보안 테스트 보고서 공유 정책에 대해 자세히 알아보기.
인시던트 대응
Schneider Electric의 CPCERT(기업 제품 사이버 비상 대응 팀)는 효율적인 인시던트 대응을 보장하기 위한 취약점 관리 프로세스를 구축했습니다.
인시던트 신고는 가까운 고객 관리 센터로 연락하시기 바랍니다.
연구자는 여기에서 사이버 보안 취약점을 신고해 주십시오.
발견된 모든 취약점은 Schneider Electric Cybersecurity Support Portal(사이버 보안 지원 포털)에 신고됩니다..
XSS 보호(입력 유효성)
당사는 업계 모범 사례에 따라 모든 사용자 입력 정보를 보안 처리하여 출력하는 엄격한 절차를 채택합니다. 또한 정적 코드 분석과 신뢰성이 검증된 타사 유명 프레임워크를 통해 시행되고 있습니다.
제품 보안 기능
인증 보안
비밀번호 정책
EcoStruxure IT의 비밀번호 요건 정책은 다음과 같습니다.
- 최소 8자 이상의 길이
- 다음 4가지 유형의 문자 중 최소 3가지 사용:
- 알파벳 소문자(a~z),
- 알파벳 대문자(A~Z),
- 숫자(0~9),
- 특수 문자(예를 들어 !@#$%^&* )
- 동일한 문자는 연속 2개까지만 사용 가능(예를 들어 “aaa”는 허용되지 않음)
EcoStruxure IT는 가장 흔한 10,000가지 비밀번호에 해당하고 본인 이메일 주소의 앞부분과 일치하는 비밀번호 이외의 비밀번호를 승인합니다.
영국 NIST & National Cyber Security Centre의 권장 비밀번호 정책에 따라 비밀번호의 유효기간이 없음을 기억하시기 바랍니다.
다단계 인증
다단계 인증은 귀하의 EcoStruxure IT 계정에 보안 계층을 추가하여 다른 사람이 귀하의 계정에 로그인하는 것을 더욱 어렵게 만듭니다. 고객, 파트너, Schneider Electric 직원 누구든지 EcoStruxure IT에 로그인할 때 다단계 인증이 작동합니다. Schneider Electric은 2단계 인증으로 EcoStruxure IT 앱을 사용하거나 타사 인증자 앱을 사용하는 것을 권장합니다. 마지막 수단으로 단기 일회성 SMS 토큰을 사용할 수 있지만 권장하지는 않습니다.
안전한 자격 증명 저장
Schneider Electric은 EcoStruxure IT의 비밀번호를 일반 텍스트 형태가 아닌 비크립트 해시를 안전하게 솔트 처리한 결과로만 저장함으로써 안전한 자격 증명 저장의 모범 사례를 따릅니다. 비밀번호는 내부 플랫폼에서 분리한 후 인증 관리 전문가가 추천하는 솔루션인 Auth0를 사용하여 저장합니다.
로그인 시도 실패
Schneider Electric은 무차별 대입 방식으로 EcoStruxure IT를 보호합니다. 동일한 IP 주소로 10회 넘게 잘못된 비밀번호를 입력하면 계정에 로그인하는 것이 차단됩니다. EcoStruxure IT에서 이메일로 IP 주소 차단을 해제하는 방법에 대해 안내해 드립니다.
Schneider Electric은 또한 속도 제한을 실행하고 있습니다. 올바른 자격 증명이 있더라도 동일한 사용자가 동일한 장소에서 분당 20회 이상 로그인을 시도하면 속도 제한이 적용됩니다. 그 후에는 분당 10회의 로그인 시도만 가능합니다.
게이트웨이 보안
아웃바운드 연결
Schneider Electric은 귀하의 데이터가 귀하의 손을 떠나기 전부터 데이터 보안 및 보호를 위해 노력합니다. EcoStruxure IT 게이트웨이와 당사 클라우드 간의 모든 연결은 업계 표준 2048비트 RSA 인증을 사용하여 검증하며 데이터는 256비트 AES 암호화를 사용하여 전송 중에 암호화됩니다. EcoStruxure IT 게이트웨이는 귀하 사이트에서의 보안 침해를 피하기 위해 포트 443을 통한 아웃바운드 연결을 사용하며 40.84.62.190, 23.99.90.28, 52.230.227.202, 52.177.161.233, 52.154.163.222를 사용하여 EcoStruxure IT 클라우드와만 통신합니다.
여기서 EcoStruxure IT가 아웃바운드 전용 연결(단방향 통신)을 통해 귀하의 인프라에 업데이트를 적용하는 방법에 대해 자세히 알아보기.
인증
게이트웨이에서 전송되는 모든 요청은 설치 시 생성되어 게이트웨이에 저장된 고유한 개인 키를 사용하여 서명되기 때문에 계정 사용자로 가장하여 로그인하는 일은 불가능합니다.
자동 업데이트
EcoStruxure IT 게이트웨이에는 자동 업데이트 기능이 있어 소프트웨어 보안 패칭이 자동 실행되고 항상 게이트웨이를 최신 상태로 유지합니다. 또한 업데이트 중에도 센서 데이터 통신을 수행하고 클라우드에 경보를 전달하여 다운타임을 최소화합니다.
개인 데이터 보호
GDPR
개인정보보호규정(General Data Protection Regulation, “GDPR”)은 개인 데이터의 처리와 자유로운 이동에 대한 규정입니다. 개인정보보호규정은 EU 내에서 개인 정보의 보안과 보호를 강화하고 EU의 데이터 보호 법률을 하나로 통합하는 것을 목표로 합니다. 이 규정은 개인 데이터를 처리할 때 준수해야 하는 여러 가지 데이터 보호 원칙과 요건을 기술하고 있습니다.
Schneider Electric은 GDPR에 따른 의무 사항을 준수하기 위해 노력하며 타사 데이터 처리업체와는 반드시 알아야 하는 개인 정보만을 공유합니다.
개인 데이터 취급과 저장
Schneider Electric은 귀하가 당사와 공유하기로 선택한 센서 데이터와 경보를 핵심 인프라 장치로부터 수집합니다. Schneider Electric은 장비의 성능에 대한 데이터, 위치나 연식과 같은 메타데이터만을 수집합니다.
귀하의 데이터는 저장소에 저장되기 전에 귀하에게 속한 정보로 태그됩니다. 귀하의 데이터는 적절한 데이터 매칭을 보장하기 위해 시스템이 사용하는 고유한 식별자에 의해 다른 고객의 데이터와 구분됩니다. 또한 클라우드 엔진이 수신한 데이터와 데이터 처리에 대해 완전한 감사 추적을 유지하므로 언제든지 처리 과정을 재추적하고 데이터의 이동 경로와 사용처를 확인할 수 있습니다.
EcoStruxure IT는 귀하의 서버나 저장소에 저장된 데이터에 결코 액세스하지 않으며 귀하의 네트워크를 통과하는 트래픽을 모니터링하지 않습니다. 데이터는 미국 Microsoft Azure에 저장됩니다.
개인 데이터 사용
먼저 Schneider Electric은 귀하가 EcoStruxure IT 앱을 통해 전 세계 어디서든 데이터를 이용할 수 있도록 데이터를 처리하고 저장합니다. 하지만 더 중요한 것은 Schneider Electric과 귀하의 데이터를 공유함으로써 당사가 제공하는 서비스와 제품을 최적화하고 귀하의 데이터 센터 최적화를 지원하며 전 세계의 동종 업계 종사자들을 기준으로 벤치마크 테스트를 할 수 있게 된다는 것입니다.
개인 데이터 자동 삭제
EcoStruxure IT 계정을 비활성화하면 당사 시스템이 자동으로 귀하의 개인 데이터를 삭제합니다.
데이터 센터와 네트워크 보안
물리적 보안
시설
EcoStruxure IT 서버는 ISO 27001, HIPAA, FedRAMP, SOC 1, SOC 2 인증을 획득한 미국 Microsoft Azure Cloud에서 관리합니다. Microsoft Azure의 시설, 부지와 물리적 보안에 대해 자세히 알아보기
네트워크 보안
논리적 액세스
EcoStruxure IT의 프로덕션 네트워크에 대한 액세스는 반드시 필요한 경우에만 허용되며, 최소한의 권한으로 당사의 운영 팀이 모니터링 및 통제합니다. EcoStruxure IT 프로덕션 네트워크에 액세스하는 직원은 다단계 인증을 사용해야 합니다.
DDoS
EcoStruxure IT는 Microsoft Azure에서 운영되기 때문에 Schneider Electric은 Azure의 상시 트래픽 모니터링, 공용 네트워크 계층의 공격에 대한 실시간 완화 대책을 활용하여 Microsoft 온라인 서비스와 동일한 방어 수준을 제공할 수 있습니다.
타사 보안 침투 테스트
Schneider Electric은 지속적으로 타사 인증 해커를 순환 고용하여 EcoStruxure IT 플랫폼 전체에 대해 상세한 침투 테스트를 실시합니다. 당사의 보안 테스트 보고 공유 정책에 대해 자세히 알아보기.
모니터링
EcoStruxure IT는 사이버 보안과 데이터 보호에 대해 매우 엄격한 기준을 가진 핵심 DevOps 팀이 유지 관리하고 운영합니다. 지속적으로 EcoStruxure IT 시스템의 모든 부분을 모니터링하고 검사하여 잠재적인 보안 취약점과 개인 데이터 보호 문제에 대비합니다. DevOps 팀은 24/7 상시 대기 상태로 새로운 위협과 문제에 신속하게 대응할 수 있습니다.
암호화
전송 중 데이터 암호화
EcoStruxure IT 클라우드의 모든 연결은 업계 표준 2048비트 RSA 인증을 사용하여 검증하며 데이터는 256비트 AES 암호화를 사용하여 전송 중에 암호화됩니다. Android 7.0보다 오래된 버전인 경우 Schneider Electric은 Android 플랫폼에 대한 제약으로 인해 128비트 AES 암호화만 보장할 수 있습니다.
저장 데이터 암호화
EcoStruxure IT의 데이터는 256비트 AES 암호화를 통해 암호화됩니다.
가용성 및 연속성
업타임
EcoStruxure IT는 공개적으로 사용 가능한 시스템 상태의 웹페이지를 유지 관리하고 있으며 여기에는 시스템 가용성에 대한 상세 정보, 유지 관리 일정, 서비스 인시던트 이력, 관련 보안 이벤트가 나와 있습니다.
이중화
EcoStruxure IT 플랫폼의 모든 구성 요소는 고가용성 구성 방식으로 배포되어 단일 장애점을 허용하지 않습니다. 데이터 손실을 방지하기 위해 모든 데이터가 별도의 저장소에 백업됩니다.
하위 처리업체 및 하도급 업체
EcoStruxure IT 서비스를 원활하게 제공하는 데 도움이 되는 하위 처리업체 목록을 확인하십시오.