| 애플리케이션 제어 | - 워크스테이션에서 운영 체제, 웹 브라우저, 이메일 클라이언트가 사용하는 표준 사용자 프로필 및 임시 폴더 내 실행 파일, 소프트웨어 라이브러리, 스크립트, 설치 프로그램, 컴파일된 HTML, HTML 애플리케이션 및 제어판 애플릿이 실행되지 않습니다.
| - 워크스테이션 및 인터넷 연결 서버에 애플리케이션 제어가 구현되어 있습니다.
- 애플리케이션 제어를 통해 실행 파일, 소프트웨어 라이브러리, 스크립트, 설치 프로그램, 컴파일된 HTML, HTML 애플리케이션 및 제어판 애플릿의 실행이 조직에서 승인한 세트로 제한됩니다.
- 워크스테이션 및 인터넷 연결 서버에서 허용 및 차단된 실행 이벤트가 로그됩니다.
| - 워크스테이션 및 서버에 애플리케이션 제어가 구현되어 있습니다.
- 애플리케이션 제어를 통해 실행 파일, 소프트웨어 라이브러리, 스크립트, 설치 프로그램, 컴파일된 HTML, HTML 애플리케이션, 제어판 애플릿 및 드라이버의 실행이 조직에서 승인한 세트로 제한됩니다.
- Microsoft의 '권장 차단 규칙'이 구현되어 있습니다. Microsoft의 '권장 드라이버 차단 규칙'이 구현되어 있습니다.
- 애플리케이션 제어 규칙 세트가 1년에 1회 이상의 주기로 검증됩니다.
- 워크스테이션 및 서버에서 허용 및 차단된 실행 이벤트가 중앙 집중식으로 로그됩니다.
- 이벤트 로그가 무단 수정 및 삭제로부터 보호됩니다. 이벤트 로그에 침해 징후가 있는지 모니터링하고 침해 징후가 감지되면 조치를 취합니다.
| 프로덕션 환경에서 유틸리티 프로그램 사용이 제한 및 통제됩니다. 모든 서버는 기본 이미지 및 중요 패키지 업데이트에서 일부 패키지를 제거하는 것을 포함하여 표준 운영 환경에 맞게 중앙 집중식 Puppet 구성 시스템을 사용하여 구성됩니다. 모든 서버 역할에는 기본적으로 수신 네트워킹 요청을 모두 거부하는 기능이 있으며, 일부 포트는 기능을 위해 해당 포트에 액세스해야 하는 다른 서버 역할에만 열립니다. Atlassian의 기업 네트워크는 프로덕션 네트워크와 분리되어 있으며, 컴퓨터 이미지는 필요한 포트 및 프로토콜만 허용하도록 보호됩니다. 현재 모든 프로덕션 시스템은 Atlassian Cloud 공급자의 미국 리전 내에서 호스팅됩니다. 보호되는 가상 프라이빗 클라우드 네트워크(VPC) 외부로 전송되는 모든 데이터는 업계 표준 채널을 통해 암호화됩니다.
또한 모든 프로덕션 서버는 IDS 시스템을 갖추고 있습니다. 여기에는 프로덕션 시스템 파일 또는 구성 변경 사항 및 비정상적인 보안 이벤트에 대한 실시간 모니터링 및 알림 기능이 포함됩니다. |
| 애플리케이션 패치 | - 후속 취약성 검사 활동을 위한 자산 탐지를 지원하는 자동화된 자산 검색 방법이 최소 2주마다 사용됩니다.
- 최신 취약성 데이터베이스를 갖춘 취약성 스캐너가 취약성 검사 활동에 사용됩니다. 인터넷 연결 서비스의 취약성에 대한 누락된 패치 또는 업데이트를 확인하는 취약성 스캐너가 최소 매일 사용됩니다.
- 사무 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어 및 보안 제품의 취약성에 대한 누락된 패치 또는 업데이트를 확인하는 취약성 스캐너가 최소 2주마다 사용됩니다.
- 인터넷 연결 서비스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화 조치가 릴리스 후 2주 이내 또는 악용이 존재하는 경우 48시간 이내에 적용됩니다.
- 사무 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어 및 보안 제품의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화 조치가 릴리스 후 한 달 이내에 적용됩니다.
- 인터넷 연결 서비스, 사무 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어, Adobe Flash Player 및 공급업체에서 더 이상 지원하지 않는 보안 제품이 제거됩니다.
| - 후속 취약성 검사 활동을 위한 자산 탐지를 지원하는 자동화된 자산 검색 방법이 최소 2주마다 사용됩니다.
- 최신 취약성 데이터베이스를 갖춘 취약성 스캐너가 취약성 검사 활동에 사용됩니다.
- 인터넷 연결 서비스의 취약성에 대한 누락된 패치 또는 업데이트를 확인하는 취약성 스캐너가 최소 매일 사용됩니다.
- 사무 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어 및 보안 제품의 취약성에 대한 누락된 패치 또는 업데이트를 확인하는 취약성 스캐너가 최소 매주 사용됩니다.
- 기타 애플리케이션의 취약성에 대한 누락된 패치 또는 업데이트를 확인하는 취약성 스캐너가 최소 2주마다 사용됩니다.
- 인터넷 연결 서비스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화 조치가 릴리스 후 2주 이내 또는 악용이 존재하는 경우 48시간 이내에 적용됩니다.
- 사무실 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어 및 보안 제품의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화 조치가 릴리스 후 2주 이내에 적용됩니다.
- 기타 애플리케이션의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화 조치가 릴리스 후 한 달 이내에 적용됩니다.
- 인터넷 연결 서비스, 사무 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어, Adobe Flash Player 및 공급업체에서 더 이상 지원하지 않는 보안 제품이 제거됩니다.
| - 후속 취약성 검사 활동을 위한 자산 탐지를 지원하는 자동화된 자산 검색 방법이 최소 2주마다 사용됩니다.
- 최신 취약성 데이터베이스를 갖춘 취약성 스캐너가 취약성 검사 활동에 사용됩니다.
- 인터넷 연결 서비스의 취약성에 대한 누락된 패치 또는 업데이트를 확인하는 취약성 스캐너가 최소 매일 사용됩니다.
- 사무 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어 및 보안 제품의 취약성에 대한 누락된 패치 또는 업데이트를 확인하는 취약성 스캐너가 최소 매주 사용됩니다.
- 기타 애플리케이션의 취약성에 대한 누락된 패치 또는 업데이트를 확인하는 취약성 스캐너가 최소 2주마다 사용됩니다.
- 인터넷 연결 서비스의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화 조치가 릴리스 후 2주 이내 또는 악용이 존재하는 경우 48시간 이내에 적용됩니다.
- 사무 생산성 제품군, 웹 브라우저 및 확장 프로그램, 이메일 클라이언트, PDF 소프트웨어 및 보안 제품의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화 조치가 릴리스 후 2주 이내 또는 악용이 존재하는 경우 48시간 이내에 적용됩니다.
- 기타 애플리케이션의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화 조치가 릴리스 후 한 달 이내에 적용됩니다.
- 공급업체에서 더 이상 지원하지 않는 애플리케이션이 제거됩니다.
| 또한 모든 제품 및 서비스 제공에 대한 광범위한 버그 수정 프로세스를 보유하고 있습니다(이슈를 캡처하고 요청 해결을 관리하는 데 도움이 되는 자체 제품 Jira를 활용). Atlassian이 준수하는 수많은 보안 버그 수정 정책, 자문 서비스 및 SLO는 이러한 프로세스를 뒷받침합니다. 버그 신고는 지원 채널, 버그 바운티 프로그램, security@atlassian.com을 통해 접수합니다. 보안 버그 수정 SLO에 대한 자세한 내용은 Trust Center에서 확인할 수 있습니다.
Atlassian의 보안 테스트 접근 방식에 관한 자세한 내용은 Trust Center의 외부 보안 테스트 접근 방식에서도 확인할 수 있습니다.
Atlassian 보안 팀은 내부 및 외부 인프라의 취약성을 감지하기 위해 여러 방법을 사용합니다. 취약성을 추적하고 수정하기 위한 Jira 티켓을 만들고, 취약성의 심각도 및 출처를 기준으로 SLO에 따라 기한을 할당합니다. 확인된 취약성 티켓을 시스템 소유자에게 발행하는 절차가 진행 중이며, 보안 관리 팀은 보고된 취약성을 검토하여 조치를 취합니다. |
| Microsoft Office 매크로 설정 구성 | - 입증된 비즈니스 요구 사항이 없는 사용자에 대해 Microsoft Office 매크로가 사용 중지됩니다.
- 인터넷에서 가져온 파일의 Microsoft Office 매크로가 차단됩니다.
- Microsoft Office 매크로 안티바이러스 검사가 사용으로 설정됩니다.
- 사용자가 Microsoft Office 매크로 보안 설정을 변경할 수 없습니다.
| - 입증된 비즈니스 요구 사항이 없는 사용자에 대해 Microsoft Office 매크로가 사용 중지됩니다.
- 인터넷에서 가져온 파일의 Microsoft Office 매크로가 차단됩니다. Microsoft Office 매크로 안티바이러스 검사가 사용으로 설정됩니다.
- Microsoft Office 매크로가 Win32 API를 호출하는 것이 차단됩니다.
- 사용자가 Microsoft Office 매크로 보안 설정을 변경할 수 없습니다.
- 허용 및 차단된 Microsoft Office 매크로 실행 이벤트가 로그됩니다.
| - 입증된 비즈니스 요구 사항이 없는 사용자에 대해 Microsoft Office 매크로가 사용 중지됩니다.
- 샌드박스 환경 또는 신뢰할 수 있는 위치에서 실행되거나 신뢰할 수 있는 게시자가 디지털로 서명한 Microsoft Office 매크로만 실행할 수 있습니다.
- Microsoft Office 매크로에 악성 코드가 없는지 확인할 권한 있는 사용자만 신뢰할 수 있는 위치 내의 콘텐츠에 작성하고 콘텐츠를 수정할 수 있습니다.
- 신뢰할 수 없는 게시자가 디지털로 서명한 Microsoft Office 매크로는 메시지 표시줄 또는 백스테이지 보기를 통해 사용으로 설정할 수 없습니다.
- Microsoft Office의 신뢰할 수 있는 게시자 목록이 1년에 1회 이상의 주기로 검증됩니다.
- 인터넷에서 가져온 파일의 Microsoft Office 매크로가 차단됩니다.
- Microsoft Office 매크로 안티바이러스 검사가 사용으로 설정됩니다.
- Microsoft Office 매크로가 Win32 API를 호출하는 것이 차단됩니다.
- 사용자가 Microsoft Office 매크로 보안 설정을 변경할 수 없습니다.
- 허용 및 차단된 Microsoft Office 매크로 실행 이벤트가 중앙 집중식으로 로그됩니다.
- 이벤트 로그가 무단 수정 및 삭제로부터 보호됩니다.
- 이벤트 로그에 침해 징후가 있는지 모니터링하고 침해 징후가 감지되면 조치를 취합니다.
| Atlassian은 타사 하위 계약업체와 협력하여 웹 사이트, 애플리케이션 개발, 호스팅, 유지 관리, 백업, 스토리지, 가상 인프라, 결제 처리, 분석 및 기타 서비스를 제공합니다. 이 서비스 공급자는 Atlassian에 이러한 서비스를 제공할 목적으로 PII에 액세스하거나 PII를 처리할 수 있습니다. Atlassian은 PII 처리가 시작되기 전에 PII를 처리할 수 있는 하위 계약업체의 사용에 대해 관련 고객에게 알립니다. Atlassian과 협력하는 하위 계약업체의 외부 대상 목록은 데이터 서브 프로세서 목록에 있는 Atlassian 서브 프로세서 페이지에서 확인할 수 있습니다. 이 페이지에서 방문자는 Atlassian이 새 Atlassian 서브 프로세서를 추가할 때마다 알림을 받을 수 있도록 RSS 피드 구독 초대를 받습니다.
Atlassian은 Mac 노트북 장치를 위한 중앙 집중식 시스템 관리 솔루션(모바일 장치 관리)을 구현했습니다.
Atlassian은 Windows 엔드포인트 및 스마트폰을 위한 모바일 장치 관리 솔루션(VMware Workplace ONE)을 구현했습니다. |
| 사용자 애플리케이션 강화 | - 웹 브라우저가 인터넷에서 Java를 처리하지 않습니다.
- 웹 브라우저가 인터넷 웹 광고를 처리하지 않습니다.
- Internet Explorer 11이 인터넷의 콘텐츠를 처리하지 않습니다.
- 사용자가 웹 브라우저 보안 설정을 변경할 수 없습니다.
| - 웹 브라우저가 인터넷에서 Java를 처리하지 않습니다.
- 웹 브라우저가 인터넷 웹 광고를 처리하지 않습니다.
- Internet Explorer 11이 인터넷의 콘텐츠를 처리하지 않습니다.
- 웹 브라우저에 대한 ACSC 또는 공급업체 강화 안내가 구현됩니다.
- 사용자가 웹 브라우저 보안 설정을 변경할 수 없습니다.
- Microsoft Office가 하위 프로세스를 만드는 것이 차단됩니다.
- Microsoft Office가 실행 가능한 콘텐츠를 만드는 것이 차단됩니다.
- Microsoft Office가 다른 프로세스에 코드를 삽입하는 것이 차단됩니다.
- Microsoft Office가 OLE 패키지의 활성화를 방지하도록 구성됩니다.
- Microsoft Office에 대한 ACSC 또는 공급업체 강화 안내가 구현됩니다.
- 사용자가 Microsoft Office 보안 설정을 변경할 수 없습니다.
- PDF 소프트웨어가 하위 프로세스를 만드는 것이 차단됩니다.
- PDF 소프트웨어에 대한 ACSC 또는 공급업체 강화 안내가 구현됩니다.
- 사용자가 PDF 소프트웨어 보안 설정을 변경할 수 없습니다.
- 차단된 PowerShell 스크립트 실행 이벤트가 로그됩니다.
| - 웹 브라우저가 인터넷에서 Java를 처리하지 않습니다.
- 웹 브라우저가 인터넷 웹 광고를 처리하지 않습니다.
- Internet Explorer 11이 사용 중지되거나 제거됩니다.
- 웹 브라우저에 대한 ACSC 또는 공급업체 강화 안내가 구현됩니다.
- 사용자가 웹 브라우저 보안 설정을 변경할 수 없습니다.
- Microsoft Office가 하위 프로세스를 만드는 것이 차단됩니다.
- Microsoft Office가 실행 가능한 콘텐츠를 만드는 것이 차단됩니다.
- Microsoft Office가 다른 프로세스에 코드를 삽입하는 것이 차단됩니다.
- Microsoft Office가 OLE 패키지의 활성화를 방지하도록 구성됩니다.
- Microsoft Office에 대한 ACSC 또는 공급업체 강화 안내가 구현됩니다.
- 사용자가 Microsoft Office 보안 설정을 변경할 수 없습니다.
- PDF 소프트웨어가 하위 프로세스를 만드는 것이 차단됩니다.
- PDF 소프트웨어에 대한 ACSC 또는 공급업체 강화 안내가 구현됩니다.
- 사용자가 PDF 소프트웨어 보안 설정을 변경할 수 없습니다.
- .NET 프레임워크 3.5(.NET 2.0 및 3.0 포함)가 사용 중지되거나 제거됩니다.
- Windows PowerShell 2.0이 사용 중지되거나 제거됩니다.
- PowerShell이 제한된 언어 모드를 사용하도록 구성됩니다.
- 차단된 PowerShell 스크립트 실행 이벤트가 중앙에 로그됩니다.
- 이벤트 로그가 무단 수정 및 삭제로부터 보호됩니다.
- 이벤트 로그에 침해 징후가 있는지 모니터링하고 침해 징후가 감지되면 조치를 취합니다.
| AWS Linux AMI 기반 OS 이미지 빌드는 포트, 프로토콜 및 서비스가 제한됩니다. Atlassian은 적절한 설정을 위해 빌드를 현재 AMI 버전과 비교합니다.
Docker 이미지는 엄격하게 통제된 변경 환경에서 관리되어 모든 변경 사항이 적절하게 검토 및 승인되도록 합니다.
엔드포인트는 사용자 보호를 위해 강화되었지만 하드웨어 포트에 대한 액세스는 제한되지 않습니다.
Atlassian은 Jira/Confluence 공개 엣지에 타사 HTTP 프록시 제품을 사용하고 있으며 여기에 L7 HTTP 보안 규칙을 구현했습니다(WAF라고 부를 수 있으며 기능은 기본적으로 같음). |
| 관리자 권한 제한 | - 시스템 및 애플리케이션에 대한 권한 있는 액세스 요청은 처음 요청 시 검증됩니다.
- 권한 있는 계정(권한 있는 서비스 계정 제외)은 인터넷, 이메일 및 웹 서비스에 액세스할 수 없습니다.
- 권한 있는 사용자는 권한이 있는 운영 환경 및 권한이 없는 운영 환경을 별도로 사용합니다.
- 권한이 없는 계정은 권한 있는 운영 환경에 로그온할 수 없습니다.
- 권한 있는 계정(로컬 관리자 계정 제외)은 권한이 없는 운영 환경에 로그온할 수 없습니다.
| - 시스템 및 애플리케이션에 대한 권한 있는 액세스 요청은 처음 요청 시 검증됩니다.
- 시스템 및 애플리케이션에 대한 권한 있는 액세스는 다시 검증하지 않는 한 12개월 후에 자동으로 사용 중지됩니다.
- 45일 동안 활동이 없으면 시스템 및 애플리케이션에 대한 권한 있는 액세스가 자동으로 사용 중지됩니다.
- 권한 있는 계정(권한 있는 서비스 계정 제외)은 인터넷, 이메일 및 웹 서비스에 액세스할 수 없습니다.
- 권한 있는 사용자는 권한이 있는 운영 환경 및 권한이 없는 운영 환경을 별도로 사용합니다.
- 권한 있는 운영 환경은 권한이 없는 운영 환경 내에서 가상화되지 않습니다.
- 권한이 없는 계정은 권한 있는 운영 환경에 로그온할 수 없습니다.
- 권한 있는 계정(로컬 관리자 계정 제외)은 권한이 없는 운영 환경에 로그온할 수 없습니다.
- 관리 활동은 점프 서버를 통해 수행됩니다.
- 로컬 관리자 계정 및 서비스 계정의 자격 증명은 길고 고유하며 예측할 수 없고 관리됩니다.
- 권한 있는 액세스 이벤트가 로그됩니다.
- 권한 있는 계정 및 그룹 관리 이벤트가 로그됩니다.
| - 시스템 및 애플리케이션에 대한 권한 있는 액세스 요청은 처음 요청 시 검증됩니다.
- 시스템 및 애플리케이션에 대한 권한 있는 액세스는 다시 검증하지 않는 한 12개월 후에 자동으로 사용 중지됩니다.
- 45일 동안 활동이 없으면 시스템 및 애플리케이션에 대한 권한 있는 액세스가 자동으로 사용 중지됩니다.
- 시스템 및 애플리케이션에 대한 권한 있는 액세스는 사용자와 서비스가 작업을 수행하는 데 필요한 수준으로만 제한됩니다.
- 권한 있는 계정은 인터넷, 이메일 및 웹 서비스에 액세스할 수 없습니다.
- 권한 있는 사용자는 권한이 있는 운영 환경 및 권한이 없는 운영 환경을 별도로 사용합니다.
- 권한 있는 운영 환경은 권한이 없는 운영 환경 내에서 가상화되지 않습니다.
- 권한이 없는 계정은 권한 있는 운영 환경에 로그온할 수 없습니다.
- 권한 있는 계정(로컬 관리자 계정 제외)은 권한이 없는 운영 환경에 로그온할 수 없습니다.
- 시스템 및 애플리케이션을 관리하는 데 just-in-time 관리가 사용됩니다.
- 관리 활동은 점프 서버를 통해 수행됩니다.
- 로컬 관리자 계정 및 서비스 계정의 자격 증명은 길고 고유하며 예측할 수 없고 관리됩니다.
- Windows Defender Credential Guard 및 Windows Defender Remote Credential Guard가 사용으로 설정됩니다.
- 권한 있는 액세스 이벤트가 중앙에 로그됩니다.
- 권한 있는 계정 및 그룹 관리 이벤트가 중앙에 로그됩니다.
- 이벤트 로그가 무단 수정 및 삭제로부터 보호됩니다.
- 이벤트 로그에 침해 징후가 있는지 모니터링하고 침해 징후가 감지되면 조치를 취합니다.
| Atlassian은 직무와 책임을 위해 이 액세스 권한이 필요한 직원을 제한합니다. 모든 티어 1 시스템은 Atlassian의 중앙 집중식 SSO(single sign-on) 및 디렉터리 솔루션을 통해 관리됩니다. 사용자에게는 Atlassian의 HR 관리 시스템의 워크플로를 통해 프로필에 따른 적절한 액세스 권한이 부여됩니다. Atlassian은 MFA를 사용하여 모든 티어 1 시스템에 액세스합니다. Atlassian은 하이퍼바이저 관리 콘솔 및 AWS API에 2단계 인증을 사용하고 하이퍼바이저 관리 기능에 대한 모든 액세스를 일일 감사 보고서에 기록합니다. 하이퍼바이저 관리 콘솔 및 AWS API에 대한 액세스 목록은 분기별로 검토됩니다. 또한 HR 시스템과 ID 저장소 간에 8시간 동기화를 유지합니다.
Atlassian은 권한 검토 프로세스에서 중요한 서비스에 대해 연 2회 검토 주기를 유지합니다. 사용자 액세스 검증은 내부 회사 사용자 계정에 대해 시스템 소유자를 통해 정기적으로 이루어집니다. |
| 운영 체제 패치 | - 후속 취약성 검사 활동을 위한 자산 탐지를 지원하는 자동화된 자산 검색 방법이 최소 2주마다 사용됩니다.
- 최신 취약성 데이터베이스를 갖춘 취약성 스캐너가 취약성 검사 활동에 사용됩니다.
- 취약성 스캐너는 인터넷 연결 서비스의 운영 체제에서 누락된 패치 또는 취약성 업데이트를 확인하는 데 최소 매일 사용됩니다.
- 취약성 스캐너는 워크스테이션, 서버 및 네트워크 장치의 운영 체제에서 누락된 패치 또는 취약성 업데이트를 확인하는 데 최소 2주마다 사용됩니다.
- 인터넷 연결 서비스 운영 체제의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화 조치는 릴리스 후 2주 이내 또는 악용이 존재하는 경우 48시간 이내에 적용됩니다.
- 워크스테이션, 서버 및 네트워크 장치 운영 체제의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화 조치는 릴리스 후 1개월 이내에 적용됩니다.
- 공급업체에서 더 이상 지원하지 않는 운영 체제는 교체됩니다.
| - 후속 취약성 검사 활동을 위한 자산 탐지를 지원하는 자동화된 자산 검색 방법이 최소 2주마다 사용됩니다.
- 최신 취약성 데이터베이스를 갖춘 취약성 스캐너가 취약성 검사 활동에 사용됩니다.
- 취약성 스캐너는 인터넷 연결 서비스의 운영 체제에서 누락된 패치 또는 취약성 업데이트를 확인하는 데 최소 매일 사용됩니다.
- 취약성 스캐너는 워크스테이션, 서버 및 네트워크 장치의 운영 체제에서 누락된 패치 또는 취약성 업데이트를 확인하는 데 최소 매주 사용됩니다.
- 인터넷 연결 서비스 운영 체제의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화 조치는 릴리스 후 2주 이내 또는 악용이 존재하는 경우 48시간 이내에 적용됩니다.
- 워크스테이션, 서버 및 네트워크 장치 운영 체제의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화 조치는 릴리스 후 2주 이내에 적용됩니다.
- 공급업체에서 더 이상 지원하지 않는 운영 체제는 교체됩니다.
| - 후속 취약성 검사 활동을 위한 자산 탐지를 지원하는 자동화된 자산 검색 방법이 최소 2주마다 사용됩니다.
- 최신 취약성 데이터베이스를 갖춘 취약성 스캐너가 취약성 검사 활동에 사용됩니다.
- 취약성 스캐너는 인터넷 연결 서비스의 운영 체제에서 누락된 패치 또는 취약성 업데이트를 확인하는 데 최소 매일 사용됩니다.
- 취약성 스캐너는 워크스테이션, 서버 및 네트워크 장치의 운영 체제에서 누락된 패치 또는 취약성 업데이트를 확인하는 데 최소 매주 사용됩니다.
- 인터넷 연결 서비스 운영 체제의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화 조치는 릴리스 후 2주 이내 또는 악용이 존재하는 경우 48시간 이내에 적용됩니다.
- 워크스테이션, 서버 및 네트워크 장치 운영 체제의 취약성에 대한 패치, 업데이트 또는 기타 공급업체 완화 조치는 릴리스 후 2주 이내 또는 악용이 존재하는 경우 48시간 이내에 적용됩니다.
- 운영 체제의 최신 릴리스 또는 이전 릴리스가 사용됩니다. 공급업체에서 더 이상 지원하지 않는 운영 체제는 교체됩니다.
| 또한 모든 제품 및 서비스 제공에 대한 광범위한 버그 수정 프로세스를 보유하고 있습니다(이슈를 캡처하고 요청 해결을 관리하는 데 도움이 되는 자체 제품 Jira를 활용). Atlassian이 준수하는 수많은 보안 버그 수정 정책, 자문 서비스 및 SLO는 이러한 프로세스를 뒷받침합니다. 버그 신고는 지원 채널, 버그 바운티 프로그램 및 security@atlassian.com을 통해 접수합니다. 보안 버그 수정 SLO에 대한 자세한 내용은 Trust Center에서 확인할 수 있습니다.
Atlassian의 보안 테스트 접근 방식에 관한 자세한 내용은 Trust Center의 외부 보안 테스트 접근 방식에서도 확인할 수 있습니다.
Atlassian 보안 팀은 내부 및 외부 인프라의 취약성을 감지하기 위해 여러 방법을 사용합니다. 취약성을 추적하고 수정하기 위한 Jira 티켓을 만들고 취약성의 심각도 및 출처를 기준으로 SLO에 따라 기한 날짜를 할당합니다. 확인된 취약성 티켓을 시스템 소유자에게 발행하는 지속적인 프로세스를 갖추고 있으며 보안 관리 팀은 보고된 취약성을 검토하여 조치를 취합니다. |
| 다단계 인증 | - 다단계 인증은 조직 사용자가 조직의 인터넷 연결 서비스에 인증할 때 사용됩니다.
- 다단계 인증은 조직 사용자가 조직의 중요한 데이터를 처리, 저장 또는 전달하는 타사 인터넷 연결 서비스에 인증할 때 사용됩니다.
- 다단계 인증(사용 가능한 경우)은 조직 사용자가 조직의 중요하지 않은 데이터를 처리, 저장 또는 전달하는 타사 인터넷 연결 서비스에 인증할 때 사용됩니다.
- 조직의 조직 외부 사용자가 조직의 인터넷 연결 서비스에 인증할 때 해당 사용자에 대해 기본적으로 다단계 인증이 사용으로 설정됩니다(하지만 거부할 수 있음).
| - 다단계 인증은 조직 사용자가 조직의 인터넷 연결 서비스에 인증할 때 사용됩니다.
- 다단계 인증은 조직 사용자가 조직의 중요한 데이터를 처리, 저장 또는 전달하는 타사 인터넷 연결 서비스에 인증할 때 사용됩니다.
- 다단계 인증(사용 가능한 경우)은 조직 사용자가 조직의 중요하지 않은 데이터를 처리, 저장 또는 전달하는 타사 인터넷 연결 서비스에 인증할 때 사용됩니다.
- 조직의 조직 외부 사용자가 조직의 인터넷 연결 서비스에 인증할 때 해당 사용자에 대해 기본적으로 다단계 인증이 사용으로 설정됩니다(하지만 거부할 수 있음).
- 다단계 인증은 시스템의 권한 있는 사용자를 인증하는 데 사용됩니다.
- 다단계 인증은 사용자가 가지고 있고 사용자가 알고 있는 것 또는 사용자가 알고 있는 것이나 역할로 잠금 해제되는 것을 사용합니다.
- 다단계 인증 성공 및 실패 이벤트가 로그됩니다.
| - 다단계 인증은 조직 사용자가 조직의 인터넷 연결 서비스에 인증할 때 사용됩니다.
- 다단계 인증은 조직 사용자가 조직의 중요한 데이터를 처리, 저장 또는 전달하는 타사 인터넷 연결 서비스에 인증할 때 사용됩니다.
- 다단계 인증(사용 가능한 경우)은 조직 사용자가 조직의 중요하지 않은 데이터를 처리, 저장 또는 전달하는 타사 인터넷 연결 서비스에 인증할 때 사용됩니다.
- 조직의 조직 외부 사용자가 조직의 인터넷 연결 서비스에 인증할 때 해당 사용자에 대해 기본적으로 다단계 인증이 사용으로 설정됩니다(하지만 거부할 수 있음).
- 다단계 인증은 시스템의 권한 있는 사용자를 인증하는 데 사용됩니다.
- 다단계 인증은 중요한 데이터 리포지토리의 사용자를 인증하는 데 사용됩니다.
- 다단계 인증은 피싱을 방지하며 사용자가 가지고 있고 사용자가 알고 있는 것 또는 사용자가 알고 있는 것이나 역할로 잠금 해제되는 것을 사용합니다.
- 다단계 인증 성공 및 실패 이벤트가 중앙에 로그됩니다.
- 이벤트 로그가 무단 수정 및 삭제로부터 보호됩니다.
- 이벤트 로그에 침해 징후가 있는지 모니터링하고 침해 징후가 감지되면 조치를 취합니다.
| Confluence 및 Jira에서는 개인 계정에 다단계 인증을 사용할 수 있습니다. 다단계 인증을 사용 설정하는 방법에 대한 자세한 내용은 2단계 인증 적용을 참조하세요.
BBC는 2022년 2월 기준으로 여전히 2FA를 지원하며 일반적으로 Atlassian Access와 통합되어 Access를 통해 제공되는 추가 기능을 지원합니다. Atlassian Access을 사용하면 조직 수준에서 다단계 인증 적용을 설정할 수 있습니다. 자세한 내용은 2단계 인증 적용을 참조하세요.
특정 제품의 경우
Bitbucket은 MFA 기반 SSO 옵션 사용을 지원합니다. 자세한 내용은 2단계 인증 적용 | Bitbucket Cloud를 확인하세요.
Halp는 Slack OAuth 및 MS Teams를 통해 SSO를 사용합니다. Slack 및 MS Teams는 여러 다단계 인증 옵션을 제공합니다. 자세한 내용은 SAML single sign-on 및 Azure AD Connect: 원활한 single sign-on을 참조하세요.
Opsgenie는 MFA 기반 SSO 옵션 사용을 지원합니다. 자세한 내용은 Opsgenie에 대한 SSO 구성을 참조하세요.
Statuspage는 MFA 기반 SSO 옵션 사용을 지원합니다.
Trello는 다단계 인증을 지원합니다. 다단계 인증을 사용 설정하는 방법에 대한 자세한 내용은 Trello 계정에 대한 2단계 인증 사용 설정을 참조하세요.
Jira Align은 MFA 기반 SSO 옵션 사용을 지원합니다. |
| 정기적인 백업 | - 중요한 데이터, 소프트웨어 및 구성 설정의 백업은 비즈니스 연속성 요구 사항을 준수하여 빈도 및 보존 기간에 따라 수행 및 보관됩니다.
- 중요한 데이터, 소프트웨어 및 구성 설정의 백업을 동기화하여 공통된 시점으로 복원할 수 있습니다.
- 중요한 데이터, 소프트웨어 및 구성 설정의 백업은 안전하고 복원력 있는 방식으로 보관됩니다.
- 중요한 데이터, 소프트웨어 및 구성 설정을 백업에서 공통된 시점으로 복원하는 것은 재해 복구 연습의 일부로 테스트됩니다.
- 권한이 없는 계정은 다른 계정에 속한 백업에 액세스할 수 없습니다.
- 권한이 없는 계정은 백업을 수정 및 삭제할 수 없습니다.
| - 중요한 데이터, 소프트웨어 및 구성 설정의 백업은 비즈니스 연속성 요구 사항을 준수하여 빈도 및 보존 기간에 따라 수행 및 보관됩니다.
- 중요한 데이터, 소프트웨어 및 구성 설정의 백업을 동기화하여 공통된 시점으로 복원할 수 있습니다.
- 중요한 데이터, 소프트웨어 및 구성 설정의 백업은 안전하고 복원력 있는 방식으로 보관됩니다.
- 중요한 데이터, 소프트웨어 및 구성 설정을 백업에서 공통된 시점으로 복원하는 것은 재해 복구 연습의 일부로 테스트됩니다.
- 권한이 없는 계정은 다른 계정에 속한 백업에 액세스할 수 없습니다.
- 권한 있는 계정(백업 관리자 계정 제외)은 다른 계정에 속한 백업에 액세스할 수 없습니다.
- 권한이 없는 계정은 백업을 수정 및 삭제할 수 없습니다.
- 권한 있는 계정(백업 관리자 계정 제외)은 백업을 수정 및 삭제할 수 없습니다.
| - 중요한 데이터, 소프트웨어 및 구성 설정의 백업은 비즈니스 연속성 요구 사항을 준수하여 빈도 및 보존 기간에 따라 수행 및 보관됩니다.
- 중요한 데이터, 소프트웨어 및 구성 설정의 백업을 동기화하여 공통된 시점으로 복원할 수 있습니다.
- 중요한 데이터, 소프트웨어 및 구성 설정의 백업은 안전하고 복원력 있는 방식으로 보관됩니다.
- 중요한 데이터, 소프트웨어 및 구성 설정을 백업에서 공통된 시점으로 복원하는 것은 재해 복구 연습의 일부로 테스트됩니다.
- 권한이 없는 계정은 다른 계정 또는 자신의 계정에 속한 백업에 액세스할 수 없습니다.
- 권한 있는 계정(백업 관리자 계정 제외)은 다른 계정 또는 자신의 계정에 속한 백업에 액세스할 수 없습니다.
- 권한이 없는 계정은 백업을 수정 및 삭제할 수 없습니다. 권한 있는 계정(백업 관리자 계정 포함)은 보존 기간 동안 백업을 수정 및 삭제할 수 없습니다.
| Atlassian은 여러 유형의 데이터를 유지해야 하는 기간을 지정하는 데이터 보존 및 파기 표준을 준수합니다. Atlassian은 Atlassian 데이터 보안 및 정보 수명 주기 정책에 따라 데이터를 분류하고 이를 기반으로 컨트롤을 구현합니다.
Atlassian 계약이 종료된 고객 데이터의 경우 고객 팀에 속한 고객 데이터가 라이브 프로덕션 데이터베이스에서 제거되고 Atlassian에 직접 업로드된 모든 첨부 파일이 14일 이내에 제거됩니다. 팀 데이터는 암호화된 백업 상태로 남겨지며 이러한 백업이 60일 백업 보존 기간을 초과하면 Atlassian 데이터 보존 정책에 따라 폐기됩니다. 데이터 삭제를 요청한 후 60일 이내에 데이터베이스 복원이 필요한 경우 운영 팀은 라이브 프로덕션 시스템이 완전히 복원된 후 최대한 빨리 데이터를 다시 삭제합니다. 자세한 내용은 스토리지 추적 및 제품 간 데이터 마이그레이션을 참조하세요 |
