Cloudflare는 처음부터 전 세계적인 고객 보호에 집중했습니다. Cloudflare 서비스는 자사뿐만 아니라 고객 트래픽과 데이터를 보호하며 변화하는 인터넷 위협 환경에 대응하기 위해 지속해서 이러한 서비스를 개선하며 확장하고 있습니다. 보안팀은이러한 노력이 다면적 모험임을 증명하는 보안팀은 사람, 증거, 투명성에 집중하여 우리 제품 및 우리 회사와 접촉하고 있으며 신뢰할 수 있다고 느끼도록 노력합니다.
사람들
보안팀은 폭 넓고 최첨단인 지식을 갖추고 있습니다. 보안 회사에서 보안팀으로 일한다는 것은 고도로 기술적이고, 다양하며, 모든 제품을 스스로 테스트하고, 산업 그룹을 통해 지역 및 글로벌 커뮤니티와 지식을 공유하며, 전 세계 콘퍼런스에서 발표하는 것을 의미합니다. 만남과 콘퍼런스를 통해 고객 및 상대방과 연결하여 문제를 공유하고 향후 업계 동향을 알아보며 피드백을 공유하여 고객 경험을 개선할 수 있습니다. Cloudflare에 대해 공식적으로 문서화된 위험 기반 보안 프로그램을 실행하는 것 외에도, 팀 구성원들은 변경 사항 검토 및 조언, 취약점 식별 및 처리, 시스템과 데이터에 대한 권한 부여 및 액세스 제어, 전송 중인 데이터와 저장 데이터 암호화, 위협 및 사고 감지 및 대응 등을 통해 제품과 인프라팀 전반에 걸쳐 지속적인 개선 노력을 추진합니다.
증명
보안 클레임은 모두 훌륭하지만, 우리가 하고 있다고 이야기한 일을 제대로 실행하고 있는지 고객이 어떻게 확신할 수 있을까요? 당사는 1년에 몇 차례씩 감사를 수행하여 제대로 일을 하고 있는지 확인하며, 우리의 보안 관행이 업계 표준을 충족한다는 것을 증명합니다. 현재까지 Cloudflare는 PCI DSS(판매자 및 서비스 공급자로서), SOC 2 유형 II, ISO 27001, ISO 27701 표준 준수를 정기적으로 평가하고 유지했습니다. 고객이 전 세계 어디에 있든 이러한 표준 중 최소한 하나에 의존하여 고객의 정보를 보호해야 합니다. 당사는 그러한 신뢰의 중추가 되는 책임을 존중합니다.
Cloudflare의 고객 기반이 복잡하고 엄격한 요구 사항을 갖추고 더 많은 규제를 받는 산업으로 계속 성장함에 따라, 우리는 올해 세 가지 추가 표준에 대해 전역 네트워크를 평가하기로 결정했습니다.
FedRAMP(미국 연방 위험 및 권한 부여 관리 프로그램)는 클라우드 컴퓨팅 환경에서 미국 기관 데이터 보호 표준에 대한 시스템과 관행을 평가합니다. Cloudflare는 FedRAMP Marketplace의 목록에서 중간 영향 수준의 기관 권한 부여를 위해 "진행 중"으로 나열됩니다. 당사는 감사관으로부터 보안 평가 보고서를 마무리하는 마지막 단계에 있으며 2022년 운영 권한을 부여받는 것을 목표로 하고 있습니다.
ISO 27018은 클라우드 공급자로서 개인 식별 정보(PII)를 보호하기 위한 관행을 검사합니다. ISO 27001 표준에 대한 이러한 확장을 통해 당사의 ISMS(정보 보안 관리 시스템)가 PII 처리와 관련된 위험을 관리할 수 있습니다. 타사 평가를 완료했으며, 다음 달 인증을 받기를 기다리고 있습니다.
C5(Cloud Computing Compliance Criteria Catalog)는 독일 (연방 정보 보안 사무소(BSI)에서 도입하였으며, 이는 클라우드 컴퓨팅을 위해 정의된 기본 보안 수준에 대한 검증입니다. Cloudflare는 현재 타사 감사관으로부터 카탈로그에 대해 평가받고 있습니다. 여기에서 당사의 여정에 대해 더 알아보세요.
투명성
고객과 비즈니스를 위한 보안에 대한 당사의 약속에 따라 당사는 높은 투명성을 유지해야 합니다. 보안 사고를 억제할 때 우리는 대응 계획에 법률, 규정 준수, 커뮤니케이션 등의 팀을 참여시켜 알림 전략을 결정할 뿐만 아니라 아직 복구하는 과정에 있는 경우에도 대응 방법에 대한 자세한 개요를 설명하기 시작합니다.
중요 벤더가 보안 사고가 발생하는 동안 침묵을 지키고 법적 대응을 위한 한 문장밖에 제공하지 못하여 보안 취약점이나 사고로 어떤 영향을 받았는지 밝히지 못하는 것이 얼마나 실망스러울 수 있는지 당사는 직접 경험해봐서 알고 있습니다. 우리 Cloudflare의 DNA에는 투명성에 대한 추구가 있습니다. 당사에서 작성하는 블로그(Verkada Incident, Log4j)에서 이를 확인할 수 있고, 문제에 대한 당사의 대응 방법과 이를 해결하기 위한 노력을 고객에게 얼마나 신속하게 보여줄 수 있는지 확인할 수 있습니다.
사고와 관련하여 고객에게서 가장 자주 받는 질문 중 하나는 타사가 영향을 받았는지에 관한 것입니다. 당사는 Solarwind 및 Log4j와 같은 공급망 취약점으로 인해 모든 중요한 공급업체에 대한 효율적인 조치(예: 자동화된 문의)를 즉시 마련해야 했습니다. 당사의 보안 사고 대응 프로세스의 억제 단계에서 타사 위험팀은 영향을 받는 벤더를 빠르게 식별하고 생산 및 보안 벤더의 우선순위를 지정할 수 있습니다. 당사의 도구를 통해 당사에서는 타사에 대한 문의를 즉시 시작할 수 있으며, 당사 팀은 사고 대응 프로세스에 통합되어 효과적인 의사소통을 보장합니다. 벤더로부터 받은 모든 정보는 보안 준수 포럼에서 공유하여 벤더에 문의하는 다른 회사에서 작업을 반복할 필요가 없도록 합니다.
가치
이러한 반복적인 감사와 평가는 단순한 웹 사이트 배지가 아닙니다. 당사 보안팀에서 증거를 생성하는 것은 감사를 통과하기 위한 것만은 아닙니다. 당사의 프로세스에는 위험 식별, 이러한 위험을 처리하기 위한 통제 및 프로세스 형성, 해당 프로세스의 지속적인 운영, (내부 및 외부 감사 및 테스트의 형태로서) 해당 프로세스의 효율성 평가, 이러한 평가를 기반으로 한 ISMS 개선이 포함됩니다. 프로세스에서 당사를 차별화하는 몇 가지 사항은 다음과 같습니다.
많은 회사가 벤더에 문의하지 않거나 이 프로세스를 사고 대응 절차에 포함시킵니다. log4j의 경우에는 우리 벤더 보안팀이 대응팀과 통화 중이었고 사고가 식별되자마자 벤더 응답에 대한 정기적인 업데이트를 제공했습니다.
많은 회사에서는 당사처럼 고객과 적극적으로 소통하지 않습니다. 당사는 법적으로 요구되지 않은 경우에도 의사소통을 진행하는데, 요구 사항과 관계없이 그렇게 하는 것이 옳다고 믿기 때문입니다.
이러한 부분에서의 도구는 일반적으로 맞춤형 질문지를 벤더에 신속하게 보낼 만큼 유연하지 않습니다. 당사는 자동화를 이루어 이를 즉시 대량으로 내보내고 당면한 취약점에 대한 질문을 맞춤화하고 있습니다.
마지막 단계는 보안 상태의 결과 현황을 고객에게 전달하는 것입니다. 당사의 보안 인증 및 평가 결과는 Cloudflare Dashboard에서 다운로드하거나 계정 팀에 요청하여 고객이 사용할 수 있습니다. 인증과 보고서에 대한 최신 정보가 필요하시면 당사의 Trust Hub에 방문하세요.