GigaOM Radar Edge Platform Leader & Outperformer 2024 | Edgio 정보 보안 및 규정 준수 – PCI-DSS 4.0 규정 준수
Edgio의 보안 제품군은 강력한 통합 접근 방식을 통해 웹 애플리케이션을 신속하게 구현하고 보호하며, PCI DSS 보안 제어와 연계하여 포괄적인 보호 및 규정 준수를 보장합니다.
PCI 보안 표준 위원회는 카드 소지자 데이터 생태계 내에서 결제 보안을 강화하기 위한 글로벌 이니셔티브를 주도하고 있습니다. 2004년에 설립된 PCI 데이터 보안 표준(PCI DSS)은 카드 소유자 정보 보안을 위한 범용 벤치마크로 부상했습니다. 카드 소유자 및 민감한 인증 데이터를 처리, 저장 또는 전송하는 모든 조직은 PCI DSS를 준수해야 하며, 카드 소유자의 데이터 환경의 무결성을 보장해야 합니다.
PCI DSS 3.2에서 4.0으로의 업데이트는 표준의 중추적인 발전을 나타냅니다. 2024년 3월 31일에 3.2가 중단됨에 따라 PCI DSS 4.0이 우선적으로 적용됩니다. 조직은 4.0에 기술된 새로운 모범 사례를 채택하고 구현할 수 있는 2년 기간을 부여받습니다. 2025년 3월 31일 이후에는 업데이트된 표준을 준수하기 위해 이러한 관행을 반드시 준수해야 합니다.
지속적인 PCI DSS 규정 준수 유지 방법
Edgio의 보안 솔루션은 PCI DSS 규정 준수를 보장하는 강력하고 포괄적인 솔루션을 제공하여 막대한 벌금, 값비싼 법적 분쟁, 브랜드 손상, 소비자 신뢰 저하 등의 규정 미준수로 인한 영향으로부터 기업을 보호합니다. PCI DSS 4.0으로의 전환은 어려울 수 있지만 Edgio의 보안 솔루션은 프로세스를 간소화하여 기존 보안 도구와 관련된 복잡성과 높은 비용 없이 다양한 환경에서 쉽게 구현할 수 있는 서비스 제품군을 제공합니다.
Akamai의 서비스에는 클라우드 기반 소프트웨어, 분석 및 24시간 내내 환경을 모니터링하는 전문 보안 분석가 팀이 포함됩니다. Akamai는 MDR(Managed Detection and Response) 및 WAF(Managed Web Application Firewall) 솔루션을 통해 다음과 같은 이점을 제공합니다.
- 이벤트 로그 데이터를 분석하여 계정 잠금, 로그인 실패, 새 사용자 계정 및 무단 액세스 시도 등의 잠재적인 보안 사고를 감지합니다.
- 조사, 검토를 위한 통지 및 감사자를 위한 사고 감사 추적 생성이 필요한 사고 식별
- PCI ASV 스캔 보고서를 통한 분쟁 해결을 위한 전문가 검토 및 지원
- 로그 수집 작업 모니터링 및 로그 수집 중이 아닐 때 알림
- 악의적인 웹 트래픽을 차단하기 위한 웹 애플리케이션 방화벽의 구성, 모니터링 및 정기적인 미세 조정
PCI DSS 4.0의 도입으로 웹 애플리케이션 방화벽은 애플리케이션과 API에 대한 “웹 기반 공격을 지속적으로 탐지하고 방지”하기 위한 필수 요건이 되었습니다. Edgio의 Managed WAF는 이러한 요구 사항을 충족할 뿐만 아니라 6.4.3 및 11.6.1의 요구 사항을 충족하고 여러 보안 도구의 필요성을 줄이는 자동화된 제어 기능을 제공합니다. NetApp 솔루션은 비즈니스를 포괄적으로 보호하여 보안 위협에 대비하고 쉽게 규정 준수를 유지할 수 있도록 설계되었습니다.
PCI DSS 4.0 요구 사항 및 Edgio 보안
PCI DSS 4.0 요구 사항 6: 보안 시스템 및 소프트웨어 개발 및 유지 관리
규정 6은 조직이 중요한 보안 패치를 구현하고 안전한 개발 방법을 채택하여 알려진 취약점으로부터 모든 시스템과 소프트웨어를 보호할 것을 요구합니다. 여기에는 최신 소프트웨어 인벤토리 유지 관리, 시스템 구성 요소의 변경 관리를 위한 변경 제어 프로세스 구현, 응용 프로그램 개발에 보안 기능이 포함되도록 하는 작업이 포함됩니다.
Edgio는 다음과 같은 솔루션으로 이러한 요구 사항을 해결합니다.
자산 검색 및 감사: 클라이언트측 보호는 클라이언트에서 사용 중인 자산을 카탈로그로 작성하고 추적합니다.
취약점 분석: 공격에 대한 취약성 관리(ASM)를 통해 조직은 모든 속성과 가능한 취약성을 완벽하게 파악할 수 있습니다. CVE는 소유자에게 할당되고 신속하게 처리 될 수 있습니다.
엔드포인트 감지: API 보안은 API 사용량을 모니터링, 스키마 적용 및 보고합니다.
PCI DSS 4.0 요구 사항 10: 네트워크 리소스 및 카드 소유자 데이터에 대한 모든 액세스 추적 및 모니터링
규정 10은 네트워크 리소스 및 카드 소지자 데이터에 대한 모든 액세스를 추적하고 모니터링하여 보안 사고를 적시에 감지하고 대응하는 것의 중요성에 초점을 맞추고 있습니다. 조직은 로깅 메커니즘을 구현하고 로그를 정기적으로 검토해야 합니다. 이 요구 사항에는 로그가 안전하고 완전하며 정확한지 확인하는 것도 포함됩니다.
Edgio는 다음과 같은 솔루션으로 이러한 요구 사항을 해결합니다.
- 실시간 보고 및 로그: Edgio는 빌드, 서버 및 액세스 로그에 대한 액세스를 제공합니다.
- 클라이언트측 보호: Edgio는 브라우저측 스크립트와 API를 모니터링하여 데이터 유출을 방지합니다.
- 지속적인 모니터링: Edgio는 시스템 전체의 트래픽을 지속적으로 모니터링하고 ML 및 AI를 활용하여 문제를 스크럽하고 경고합니다. 여기에는 전체 네트워크와 그 안에 있는 시스템의 상태가 포함됩니다.
PCI DSS 4.0 요구 사항 11: 보안 시스템 및 프로세스 테스트
규정 11은 조직이 보안 시스템 및 프로세스를 정기적으로 테스트하여 카드 소유자 데이터를 효과적으로 보호할 수 있도록 해야 합니다. 여기에는 보안 취약점을 식별하고 해결하기 위한 취약점 검사, 모의 해킹 및 침입 탐지 테스트가 포함됩니다.
Edgio는 다음과 같은 솔루션으로 이러한 요구 사항을 해결합니다.
- ASM(Attack-Surface Management): Edgio의 ASM 솔루션은 전체 인터넷 연결 아키텍처에 대한 완벽한 뷰를 제공합니다. 여기에는 로깅을 위한 취약점 인벤토리가 포함되며 후속 조치를 위해 소유자에게 할당됩니다.
- WAF(Web Application Firewall): Edgio의 Managed WAF는 취약점을 해결하기 위해 지속적으로 업데이트되는 규칙 집합을 제공합니다. 또한 SQL 인젝션, 크로스 사이트 스크립팅 또는 기타 요청 변조와 같은 것을 포착할 수 있습니다.
- 봇 관리: Edgio는 봇 관리 툴을 제공하여 봇이 인증정보 스터핑과 같은 활동을 통해 페이지를 악용하지 않도록 합니다.
- API 보안: API 호출의 스키마 유효성 검사 적용.
- SOC(Security Operations Center): 비정상적인 동작에 대한 경고를 모니터링하고 유지합니다.
PCI DSS 4.0 요구 사항 12: 정보 보안을 다루는 정책 구현
요구 사항 12는 모든 직원의 정보 보안을 다루는 정책을 유지하는 것입니다. 이 정책에는 보안에 대한 조직의 약속, 보안에 대한 역할 및 책임, 비즈니스 목표 또는 위험 환경의 변경 사항을 반영하기 위해 정기적으로 업데이트되는 운영 절차가 포함되어야 합니다.
Edgio는 다음과 같은 솔루션으로 이러한 요구 사항을 해결합니다.
- SOC(Security Operations Center): Edgio의 SOC는 보안 이벤트에 대한 관리된 감지 및 응답을 위한 전체 프로세스를 유지 관리합니다. 제로데이 취약점이나 공격이 발생할 경우 네트워크 전반에 걸친 규칙을 신속하게 배포할 수 있습니다. 또한 에스컬레이션 및 연중무휴 24시간 응답을 위한 포괄적인 SLA 정책을 유지합니다.
