Translated message

A translation of this page exists in English.

Red Hat의 제품 보안 사고 대응 계획 이해

업데이트됨 -

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에 걸쳐 채택할 수 있는 안전하고 강화된 오픈 소스 솔루션을 제공하기 위해 최선을 다하고 있습니다. Red Hat은 투명하고 책임감 있는 운영을 통해 오픈 소스 커뮤니티에서 촉매 역할을 하여 고객이 유연하고 강력한 IT 인프라 솔루션을 구축할 수 있도록 지원합니다.

Red Hat 제품 보안 팀은 Red Hat 제품 팀과 긴밀하게 협력하여 안전한 개발 관행 및 산업 표준을 기반으로 하는 솔루션을 구축하고 있습니다. 보안 개발 프로세스의 최종 단계는 보안 사고 대응과 Red Hat이 제품 및 지원 서비스를 개선하기 위해 취해야 하는 필수 단계에 중점을 둡니다. 취약점이 공개적으로 게시 및 확인되면 Red Hat의 PSIRT(Product Security Incident Response Team)는 이러한 취약점을 신속하게 평가하고 개선하여 고객, 고객의 플랫폼 및 에코시스템에 대한 제품을 안전하게 보호합니다.

PSIRT는 모든 Red Hat 제품에 대한 취약점 대응을 조정하고 Red Hat Product Security Incident Response Plan(IRP)을 따릅니다. 이 계획에서는 내부 이해 관계자에게 주요 알림을 제공하고 취약점을 해결하기 위해 서브스크립션을 보유한 고객에게 수정 사항을 배포하는 데 필요한 리소스를 할당하도록 지원합니다.

Red Hat 제품 보안팀은 IRP에 따라 Red Hat의 제품 및 서비스와 관련된 보안 문제를 효과적으로 처리할 수 있도록 적극적으로 지원합니다. 전체 프로세스는 4 가지 단계로 나뉩니다.

  1. 통지 및 심사
  2. 평가 및 조정
  3. 수정 및 릴리스
  4. 복구 및 종료

Red Hat 제품 보안팀은 다음 4단계에 따라 Red Hat 제품 및 서비스와 관련된 보안 문제를 적절하게 처리할 수 있습니다. 이 프로세스를 통해 고객, 파트너 및 기타 이해 관계자에게 정보를 적시에 제공할 수 있습니다. IRP는 보안 취약점의 심각도에 관계없이 Red Hat의 대응에 대해 "누가, 어디서, 무엇을, 왜, 어떻게"에 대해 자세히 설명합니다.



이 다이어그램은 Red Hat 제품 보안 사고의 분류 및 해결에 관련된 고급 단계와 고객에게 제공되는 결과를 보여줍니다.

Red Hat 제품 보안팀은 Red Hat 제품 또는 서비스에서 사용하는 프로젝트 및 패키지에 영향을 미치는 보안 취약점을 검토합니다. 경우에 따라 보안 취약점이 큰 문제로 인식되거나 상당한 미디어의 관심을 불러일으킬 수 있습니다. 이러한 문제는 이름, 로고, 웹사이트 등에서 브랜드화 될 수 있으며 이미 악용되고 있거나 제품의 핵심 패키지 또는 운영에서 심각한 문제가 될 수 있습니다.

보안 사고 대응 계획은 Red Hat 담당자가 취약점을 인지하고 이를 확산시킬 수 있도록 지원합니다. 이러한 보안 사고 대응 계획의 목표는 패치를 신속하게 전달하는 것일 뿐 아니라 특정 문제가 초래하는 실제 위험 수준에 대해 명확하고 정확한 정보를 제공하여 대중이 문제를 인지했을 때 그 영향을 신중히 평가하고 사려 깊은 계획을 실행하여 문제를 완화하고 해결할 수 있도록 하기 위함입니다.

이 계획에서는 문제의 해결 및 상태에 대한 명확한 프로세스를 제공하고 관련 담당자를 지정합니다. 이러한 대응 및 진단 정보는 Red Hat 고객 포털의 취약점 대응 센터 (Vulnerability Response Center)를 통해 추적됩니다. 여기에서 취약점에 대한 전체 세부 정보를 명확하게 볼 수 있고 심각도 등급에 대한 세부 정보 및 CVE 정보에 액세스할 수 있습니다. 보안 공지에 대한 빠른 링크도 제공됩니다.

알림 및 패치와 함께 Red Hat 제품 보안팀은 사용 가능한 완화 방법, 사용자가 자체 환경 내에서 다운로드하여 사용할 수 있는 감지 스크립트, 취약점을 발견하고 해결하기 위해 활용할 수 있는 Ansible 플레이북을 제공합니다.

관련 수정 사항이 제공되면 Red Hat 제품 보안팀은 다양한 커뮤니케이션 채널을 사용하여 기존 지식 베이스 문서, 이메일 알림, 소셜 미디어 알림 등으로 관련 정보를 사용자에게 제공합니다. Red Hat Insights 구독자는 문제에 대해 즉시 알림을 받으며 보안 취약점의 정확한 범위와 해결 옵션도 제공됩니다.

Comments