2022년 4월
데이터 보안은 개인 정보 보호 및 규정 준수를 위한 토대가 됩니다. NetApp Trust Center에서는 고객이 NetApp에 제공하는 데이터와 자체 시스템의 보안 관리 방식을 규정하는 데이터 보안 정책 및 절차가 명확히 명시되어 있습니다.
NetApp은 데이터의 저장, 전송 및 처리를 위한 합당한 보안 조치를 요구하는 글로벌 데이터 보안법의 요구사항을 준수합니다. 암호화, 인증 및 권한 부여 제어, 위반 보고, 데이터 손실 방지 및 패치 관리를 비롯하여 필수적이고 적절한 것으로 광범위하게 인식되는 보안 조치를 취하고 있습니다.
NetApp은 암호화 키 관리뿐만 아니라 다양한 암호화 솔루션을 제공합니다. 그 밖에도, 랜섬웨어 위협에 대한 조직의 복원력을 유지하는 데 도움이 되는 다양한 전략과 툴, 데이터 최소화를 지원하는 엄격한 데이터 보존 및 삭제 정책을 제공합니다. NetApp 보안 연구원은 소프트웨어 버그 및 보안 취약점을 탐지, 완화 및 해결하기 위해 심혈을 기울이고 있습니다.
NetApp은 이러한 보호 수단을 구현하여 정보 시스템과 그 시스템에 저장된 데이터를 보호합니다. 또한, 공동 책임 모델에 따라 고객도 동일한 작업을 수행할 수 있도록 전략, 툴 및 서비스를 제공합니다.
NetApp은 고객이 자신 있게 성장할 수 있도록 설계된 안전하고 민첩한 플랫폼을 구축하기 위해 최선을 다하고 있습니다.
Bill Miller, 수석 부사장 겸 CIO, NetApp
조직이 온프레미스 인프라에서 하이브리드, 프라이빗 또는 퍼블릭 클라우드 인프라로 전환하는 경우, 데이터 보안에 대한 책임을 클라우드 서비스 공급자와 공유하는 것이 이 근본적인 전환의 핵심입니다. 공동 책임 모델은 이 클라우드 컴퓨팅 환경에서 어느 당사자가 데이터의 보안, 즉 기밀성, 무결성 및 가용성을 관리할 책임이 있는지를 설명합니다.
서비스 공급자인 NetApp은 NetApp 데이터 센터의 물리적 보안, SaaS 솔루션의 취약점 제거 패치 등 NetApp 클라우드 서비스의 안전한 운영을 담당합니다.
암호 복잡성과 같은 기업 정책이 온프레미스 환경과 마찬가지로 가상 배포 전반에서 구현되고 준수되도록 하는 것과 같이 클라우드 내 보안 운영에 대한 책임은 고객에게 있습니다.
NetApp은 또한 Amazon Web Services, Microsoft Azure, Google Cloud를 포함하여 다양한 파트너 클라우드 인프라 공급자 중에서 솔루션의 보안 운영을 관리하는 공급자를 선택할 수 있는 옵션을 제공합니다.
글로벌 개인 정보 보호법은 개인 정보를 저장, 전송 및 처리하기 위한 합당한 보안 조치를 요구합니다. 미국의 경우, 합당한 보안은 재무, 건강 및 기타 개인 데이터와 같은 특정 분류의 정보에 대한 법적 요구사항입니다. 이는 EU GDPR과 같은 미국 이외 지역의 개인 정보 보호법과 공정한 사업 관행을 관리하는 법률을 뒷받침하고 있습니다.
합당한 보안과 관련하여 정의된 표준 또는 엔지니어링 통제 수단은 없지만, 규제 기관과 법원은 특정 조치를 필수적인 것으로 인식합니다. 이러한 조치로는 암호화, 인증 및 권한 부여 제어, 위반 보고, 데이터 손실 방지 및 패치 관리가 있습니다.
NetApp은 이러한 안전 장치를 구현하여 정보 시스템과 저장된 데이터를 보호하고 고객도 동일한 작업을 수행할 수 있도록 제품과 서비스를 구축합니다.
조직의 보안과 데이터 가용성에 위협이 되는 랜섬웨어 공격을 받으면 요구되는 몸값보다 훨씬 더 많은 비용을 치러야 합니다. 게다가 복구, 운영 중단 및 매출 손실, 법적 피해 가능성, 브랜드 가치 상실로 인한 비용도 듭니다.
랜섬웨어 대응 전략은 이러한 공격에 대비하는 데 매우 중요하며, 데이터 백업 및 복구를 포함한 비즈니스 연속성 계획은 랜섬웨어 공격의 영향을 줄이는 데 중요한 역할을 할 수 있습니다. 공격 범위에서 격리된 실행 가능한 백업은 운영을 이어갈 수 있는 시스템의 핵심 구성 요소이며, 감염되지 않은 데이터 포인트에 대한 복구 시점 목표를 간소화하면 시스템 재감염을 방지하는 데 도움이 됩니다.
데이터 스토리지 부문의 글로벌 리더인 NetApp은 랜섬웨어 위협에 대응해 복원력을 유지하고, 복구 작업을 완화하며, 복구 시간을 단축하는 데 도움이 되는 광범위한 전략, 툴 및 서비스를 제공합니다.
보안 취약점은 컴퓨터 업계 전반과 전 세계 기업 및 조직에서 널리 인식하고 있는 문제입니다. NetApp은 SDL(Secure Development Lifecycle)을 구축하여 보안 취약점을 해결했습니다. NetApp의 SDL은 업계 모범 사례 및 표준을 기반으로 보안 소프트웨어를 개발하기 위한 반복 가능한 6단계 프로세스입니다. 제품 팀이 모든 NetApp 제품 및 서비스를 개발할 때 잠재적인 보안 취약점을 평가하고 대응하는 데 도움이 되는 프레임워크와 프로세스를 제공합니다.
엄격한 보안 교육 및 보안 챔피언 임명은 SDL의 토대를 마련합니다. SDL 프로세스는 보안 평가 및 규정 준수와 테스트 계획 릴리즈에서 시작됩니다. 또한, 제품 보안 취약점에 대한 철저한 평가, 솔루션 구현 및 식별된 취약점이 모두 해결되었는지 검증합니다. 이 절차는 위험 관련 커뮤니케이션 절차와 제품 보안 사고 대응 팀(PSIRT)을 통한 모니터링으로 마무리됩니다.
패치는 일반적으로 소프트웨어 버그나 보안 취약점과 같은 소프트웨어 또는 데이터의 알려진 문제를 해결하기 위해 릴리즈됩니다. NetApp 보안 연구원들은 제품과 서비스를 보호하기 위해 열심히 노력하고 있습니다. 이들은 공개된 취약점을 추적하는 보안 커뮤니티에 참여합니다. 또한, 이러한 커뮤니티 외부의 고객과 연구원이 잠재적인 보안 취약점에 관한 정보를 제출하는 프로그램을 관리합니다. NetApp은 취약점 처리 정책에 따라 이러한 제출 내용을 평가 및 추적하고 보안 권고를 통해 패치를 정기적으로 릴리즈합니다.
네트워크와 데이터를 보호하는 데 필요한 합당한 보안 조치를 취하는 데 있어 이러한 패치의 관리는 필수적인 부분입니다. NetApp의 취약점 및 패치 관리 작업은 공동 책임 모델의 모든 위치에서 고객을 지원하도록 설계되었습니다.
암호화는 개인 정보 보안의 토대로 널리 알려져 있습니다. 미국 IRS Publication 1075와 같은 일부 규제에서는 데이터가 저장된 상태이거나 전송 중인 동안 특정 기술을 사용하여 특정 정보를 암호화하도록 요구합니다. EU GDPR 및 CCPA(California Consumer Privacy Act)와 같은 기타 규제는 암호화를 요구하지 않지만, 개인 정보와 관련된 데이터 침해를 완화하는 데 있어 중요한 역할을 한다는 점을 인식하고 있습니다.
NetApp은 다양한 암호화 솔루션을 제공합니다. 여기에는 볼륨 또는 디스크 레벨의 하드웨어 및 소프트웨어 암호화와, 데이터 암호화 및 암호 해독에 사용되는 키 관리를 위한 암호화 키 관리가 모두 포함됩니다.
데이터 보안의 기본 원칙은 조직이 필요 이상으로 개인 정보를 수집하거나 보유해서는 안 되며, 승인된 목적이 아니면 더 이상 필요하지 않은 데이터를 삭제해야 한다는 것입니다. 이러한 데이터 최소화 원칙을 적용해 규정 준수 복잡성을 줄이고 보안 위반 시 데이터 손상을 방지합니다.
데이터를 최소화하는 가장 일반적인 방법은 회사에서 유지해야 하는 정보, 보존 기간, 삭제 시기 및 방법을 지시하는 데이터 보존 및 데이터 삭제 정책을 수립하고 적용하는 것입니다.
NetApp의 자체 데이터 삭제 정책은 고객이 반환하는 드라이브에 저장된 데이터의 데이터 최소화를 뒷받침합니다. 지침을 통해 고객은 반환할 미디어에 저장된 데이터를 반환하기 전에 모두 삭제, 암호화 또는 복구 불가능하게 변환합니다.