RELIANOID ISO/IEC 15408(공통 기준) 준수

마지막 검토: 2025년 9월
다음 검토 기한: 2026년 9월

ISO/IEC 15408 준수 성명서

공통 기준 보안 정렬 RELIANOID 로드 밸런서 및 조직

RELIANOID 의 원칙과 일치합니다 ISO / IEC 15408 : 2022또한으로 알려진 정보기술 보안평가(CC)를 위한 공통기준이 국제적으로 인정된 표준은 IT 제품의 보안 속성에 대한 체계적인 평가를 가능하게 하며, 정부 및 중요 인프라 조달에 종종 요구됩니다.

DaVinci에는 RELIANOID Common Criteria에 따라 정식 인증을 받지 않았습니다. 조직 통제 부하 분산 플랫폼 아키텍처 강력하게 일치합니다 공통 기준 평가 보증 수준(EAL) 원칙특히, 높은 보증 환경에서의 클라우드 및 온프레미스 배포와 관련하여 그렇습니다.

ISO/IEC 15408란 무엇입니까?

ISO/IEC 15408은 다음을 통해 IT 제품 보안을 평가하기 위한 프레임워크를 제공합니다.

  • 보안 기능 요구 사항(SFR) – 제품이 제공하는 기능 및 보호 기능
  • 보안 보증 요구 사항(SAR) – 해당 기능이 안전하게 구현되는 방식을 보여주는 증거 및 프로세스

이는 널리 채택되었습니다 국가 사이버 보안 기관 규제된 부문 예를 들어 국방, 에너지, 금융, 정부 조달 등입니다.

제품 범위 및 평가 대상(TOE)

The TOE 모든 것을 포괄한다 RELIANOID 엔터프라이즈 구성 요소:

  • 구성 요소 : 하드웨어 어플라이언스, 소프트웨어 플랫폼, 관리 인터페이스(웹 UI, CLI, API).
  • LTS 수명 주기: 모든 Enterprise 버전은 장기 지원됩니다. 현재 주요 버전은 다음과 같습니다. v8 (지원까지 2029년 5월).
  • 운영 체제 : 데비안 북웜.
  • 배포 모델: 주로 온프레미스에서 사용되며, 클라우드 및 하이브리드 환경에서도 지원됩니다.
  • 토폴로지: 독립형, 클러스터형 및 재해 복구(DR) 기능이 있는 듀얼 모드.

공통 기준에 따른 조직적 정렬

RELIANOID ISO/IEC 15408의 핵심 보증 및 수명 주기 원칙을 내부 개발, 배포 및 운영 관행 전반에 걸쳐 따릅니다.

보안 대상 및 위협 모델

우리는 내부를 유지합니다 보안 대상 문서 공통 기준 구조에 맞춰 다음을 정의합니다.

  • 보호되는 자산(예: 네트워크 트래픽, 구성, 자격 증명)
  • 해결된 위협(예: 권한 상승, 중간자 공격, 무단 액세스)
  • 가정 및 환경 고려 사항(예: 보안 네트워크 배치)

설계 및 개발 제어

당사의 보안 소프트웨어 개발 라이프사이클(SSDLC)에는 다음이 포함됩니다.

  • 일일 자동 보안 테스트(SAST, DAST)
  • 타사 라이브러리의 취약점 스캐닝
  • 공식적인 변경 제어 및 버전별 릴리스 문서
  • 코드 서명 및 릴리스 무결성 검사

보안 기능 요구 사항(SFR) 매핑

RELIANOID 로드 밸런서는 다음을 포함하여 광범위한 SFR 동등 제어를 구현합니다.

  • 식별 및 인증(FIA): 사용자는 비밀번호, 키 쌍 또는 SSO를 통해 인증합니다. API 접근은 생성된 토큰을 사용하는 사용자별로 이루어지며, 모든 인터페이스는 보안 인증 흐름을 지원합니다.
  • 출입 통제(AC/FMT/FDP): 역할 기반 액세스 제어는 부하 분산 서비스의 개체별 제어를 포함하여 모든 구성 요소와 인터페이스(웹, CLI, API)에 적용됩니다.
  • 감사 및 책임(FAU): 감사 및 시스템 로그는 기본적으로 7일 동안 저장되며, SIEM 플랫폼으로 내보내거나 통합할 수 있습니다.
  • 암호화 지원(FCS): 긴 키 길이를 갖춘 강력한 암호화. 기본적으로 TLS v1.2 이상(TLS v1.3 권장). 기존 프로토콜/암호는 기본적으로 비활성화되어 있으며 필요한 경우 수동으로 활성화할 수 있습니다. FIPS 140 검증 모듈(선택 사항).
  • 사용자 데이터 보호(FDP): 사용자 데이터는 필요할 때만 저장되며, 저장 중에는 항상 암호화됩니다(예: 사용자 데이터 및 비밀번호).
  • 보안 관리(FMT): 루트 사용자는 기본 관리 계정 역할을 합니다. 추가 사용자, 그룹 및 권한은 RBAC 모듈을 통해 구성할 수 있습니다.
  • TOE 보안 기능 보호(FPT): 보안 부팅, 서명된 커널 모듈, GPG로 보호된 저장소 액세스가 구현되었습니다.
  • 통신 보호(FTP/FTA): 모든 통신은 암호화되며, 세션 관리에는 만료 및 재인증 제어가 포함됩니다.

보안 보증 요구 사항(SAR) 정렬

  • 디자인 및 문서화: 내부 문서(모듈, 아키텍처 다이어그램)는 다음에서 제공됩니다. 기술 자료.
  • 코드 검토 및 스캐닝: 동료의 수동 검토를 통한 자동화 및 AI 지원 코드 스캐닝.
  • 취약점 관리 : 주간 취약점 검사, 분기별 보고서 및 CVE 추적 패치 릴리스가 당사에 게시되었습니다. 타임 라인.
  • 독립 테스트: 애플리케이션, 네트워크 및 인프라 수준에서의 외부 펜테스트 및 검사.
  • 공식 테스트: 각 릴리스 주기마다 적용 범위가 확대된 자동 보안 테스트가 매일 진행됩니다.

개발 및 유지 관리 프로세스

  • SSDLC: 요구사항 → 설계 → 구현 → 테스트 → 검증 → 지속적 개선. Git, Gitea 및 내부 자동화 도구를 사용하여 관리합니다.
  • 변경 및 구성 관리: 승인 워크플로, 롤백 절차 및 여러 환경에 적용된 변경 사항의 문서화.
  • 릴리스 관리: 업데이트는 패키징, 테스트 및 안전하게 배포됩니다. 프로덕션 저장소로 배포하기 전에 사전 프로덕션 검증이 수행됩니다.

운영 보안

  • 사고 대응: 평균 응답 시간이 약 2분인 정의된 에스컬레이션 및 해결 절차가 있습니다.
  • 모니터링 : 통합 침입 탐지/방지 시스템을 통한 실시간 지표를 제공합니다. 위협 정보는 커뮤니티 및 업계 플랫폼과 공유됩니다.
  • 백업 및 DR: 매월 복구 테스트를 실시하고 주간 암호화 백업을 실시합니다.

규제 및 인증 환경에서 사용

공식적으로 인증되지는 않았지만, RELIANOID 지원 :

  • 공통 기준 평가 시스템에 통합
  • EAL 중심 환경에서의 고객 조달 평가
  • 국가 계획(예: CCN-STIC, NIAP, BSI TR)에 맞춰 구성된 문서

보증 조치 및 증거

공통 기준에 따른 보증 목표를 지원하기 위해 다음을 제공합니다.

  • 자세한 변경 로그가 포함된 릴리스 노트
  • 위협 기반 보안 설계 문서
  • 보관된 취약점 스캔 및 패치 보고서
  • 보안 배포 가이드 및 강화 체크리스트

조직적 정렬

  • 보안 거버넌스: CEO, CTO, COO가 이끄는 보안 규정 준수 팀은 안전한 개발, 프로세스 및 규정 준수를 보장합니다.
  • 직원 보안 교육: 분기별 교육 세션을 실시하고 업계 위협에 대한 인식을 지속적으로 높입니다.
  • 내부 보안 감사: 분기별 감사와 개선 사항 추적을 실시합니다. 보고서는 공개적으로 제공됩니다.
  • 정책 : 개인정보 보호, 사고 대응, 비즈니스 연속성, 글로벌 데이터 분리, 제3자 위험, 액세스 제어, 허용 가능한 사용 및 데이터 처리를 다루는 공개 정책입니다.

뒷받침하는 근거

  • 최근 소식 RELIANOID 보안 보고서: 최신 버전으로 확인되었습니다.
  • 기술 자료: 업데이트된 백서, 데이터시트 및 아키텍처 다이어그램: 기술 자료.
  • 고객 보증 성명: 진화하는 사이버 보안 규정에 맞춰 규제 산업에 대한 공개 성명입니다.

공통 기준 원칙에 대한 약속

RELIANOID 다음을 약속합니다:

  • 새로운 기능 개발을 Common Criteria 설계 방법론에 맞춰 조정
  • 고객 주도 평가 활동 지원
  • 위협을 인식하고 안전한 개발 환경 유지
  • 제품 수명 주기 전반에 걸쳐 투명성과 무결성 보장

문서 검토

날짜Comment
10th July 2025ISO/IEC 15408 규정 준수 정렬의 최초 발행
2nd 9월 2025확장된 TOE 범위, 업데이트된 SFR 매핑, SAR 정렬, SSDLC 및 Ops 세부 정보, 조직 거버넌스 및 지원 증거

연락처 및 보증

기술 평가 자료, 보안 목표 요약 또는 공통 기준 조달 프로젝트 지원에 대한 요청을 환영합니다.

규정 준수 및 보안 팀에 문의하세요

최신 보안 보고서 다운로드