영어 블로그를 보려면 여기를 클릭하세요.

클라우드 보안 및 데이터 프라이버시 규정 준수

글 Gautam Roy 에서 Automation Anywhere 뉴스 에 2019 년 10 월 19
developer

클라우드가 삶을 변화시키는 리소스가 되면서 퍼블릭 클라우드에 "온 프레미스" 소프트웨어를 배포할 수 있는 기능이 주목받고 있습니다. 하지만 보안에 의문을 제기하는 소비자와 기업에게 클라우드는 논쟁거리입니다.

두 유형의 사용자 요구를 모두 충족하기 위해, 이제 Automation Anywhere는 클라우드 호스팅 제품까지 포함하도록 디지털 인력 플랫폼을 확장하고 있습니다. 당연히 서비스형 소프트웨어(SaaS) 버전에 대해 개인정보, 규제 요건 그리고 아키텍처에 대한 수많은 보안 관련 질문들이 나오고 있습니다 . 다행히, 저희는 개인정보 보호 최우선 정책 과 안전한 클라우드 아키텍처에 중점을 두고 플랫폼을 개발하고 있습니다.

규제 요건

물론, 개인정보 보호 법률은 전 세계에 존재합니다. 영국의 개인정보 보호법, 스위스 연방의 개인정보 보호법 그리고 캐나다 개인 정보 보호 및 전자 문서 법(PIPEDA) 등은 규제 법률 사례의 일부입니다.

유럽 연합은 민감한 개인 정보를 다루는 방법을 규정하고 정보를 볼 권한이 없는 사람들에게 노출되지 않도록(우리가 정의하는 개인정보 보호) 하기 위해 개인정보 보호법(GDPR)을 제정했습니다.

미국 내 일부 주에서도 개인 정보 보호법에 대한 이해와 의지를 나타냈으며 이에 따른 추가 조치를 취하고 있습니다. 예를 들어, 캘리포니아는 거주자의 개인 정보 보호와 소비자 보호를 위해 캘리포니아 소비자 개인 정보 보호법(CCPA)을 제정했습니다.

클라우드 제공업체와 기업은 개인 정보 보호를 위한 합리적인 보안 조치를 이행해야 하며, 저희 또한 고객의 신뢰를 지키기 위해 최선을 다하고 있습니다. Automation Anywhere는 규제 요건 준수를 위해 SOC 2, ISO 27001, GDPR 등의 인증서를 얻기 위해 노력하고 있습니다.

저희 클라우드 서비스는 비밀번호 암호화, 솔트 해시 사용, 사용자 액세스 로그, 사고 관리 등과 같은 다양한 보안 제어 방법을 보유하고 있습니다. 이 외에도 고객사의 IT 관리자가 사용자 권한 부여를 할 수 있고 권한 보유자만 액세스 가능하도록 설정할 수 있습니다. 그런 다음 관리자는 역할 기반 액세스 제어(RBAC)를 통해 기업 사용자에게 세분화된 사용 권한을 부여할 수 있습니다.

Automation Anywhere는 플랫폼 내의 모든 사용자 활동을 감사할 수 있는 감사 기능을 통해 운영 담당자가 수행한 액세스와 활동에 관한 모든 기록을 제공합니다. 최소 권한 원칙이 적용된 보안 제어 및 평가 절차인 NIST AC-6에 정의된 모범사례에 따라, 권한 여부와 상관없이 모든 역할에 대한 감사가 자동으로 적용됩니다. 모든 엔터프라이즈 애플리케이션과 마찬가지로 보안 제어의 일관되고 적절한 사용 방법은 조직에 따라 달라지게 됩니다.

안전한 클라우드 아키텍처

SaaS 애플리케이션은 타사 인프라에서 호스팅되고 타사 소프트웨어 코드를 실행하므로, 위험을 줄일 수 있는 적절한 보안 설계와 아키텍처가 필요합니다. Automation Anywhere 클라우드 아키텍처는 데이터 보호를 위해 자동으로 또는 데이터 소유자의 설정을 통해 제공되는 종합 보안 기능 세트를 갖추도록 처음부터 고려되어 설계되었습니다. 당사의 엔터프라이즈 클라우드는 개인 정보 보호를 강화하고 네트워크 액세스를 제어하기 위해 다양한 보안 기능과 서비스를 제공합니다.

Automation Anywhere cloud architecture 에 포함된 기능은 다음과 같습니다.

  • 네트워크 방화벽 및 웹 애플리케이션 방화벽 기능 — Automation Anywhere 클라우드 운영자가 프라이빗 네트워크를 생성하고 테넌트 인스턴스 및 애플리케이션에 대한 액세스를 제어할 수 있도록 지원합니다
  • 데이터 암호화— 정지 상태의 데이터 암호화와 고객의 온 프레미스 위치와 클라우드 사이에서 전송되는 TLS 암호화 등을 통해 기업 보안 및 규정 준수를 보장합니다
  • Credential Vault — 보안 인증용으로 자동화(봇)가 사용하는 암호화된 자격증명 저장소를 제공합니다
  • 자격증명 및 키 관리 — 신원 확인과 액세스 관리를 통해 유효하고 승인된 직원만 회사의 중요 데이터에 액세스할 수 있습니다
  • 위협 탐지 도구 — 공격에 대한 가시성을 제공하고 보안 위반을 탐지하며 운영 담당자에게 경고를 전송하여 적절한 조치를 취하도록 합니다

또한 다음과 같은 기능이 A2019 클라우드 로드맵에 포함되어 있습니다.

  • 다단계 인증(Multifactor authentication, MFA) — 보조 인증 형식을 요구하고 비밀번호가 갖는 위험을 경감시키며 사용자를 위해 단순함을 유지하는 동시에 데이터와 애플리케이션에 대한 액세스를 보호함으로써 보안을 강화합니다
  • 싱글 사인온(Single Sign-on) — 중앙 집중식 사용자 계정 관리를 가능하게 하고 그룹 구성원 자격에 따라 애플리케이션에 대한 사용자 액세스를 자동으로 추가 또는 제거하여 타사 서비스와 더 원활한 통합 기능을 제공합니다

한 마디로 요약하면, Automation Anywhere 클라우드 솔루션은 강화된 보안을 제공하며 개인 정보 보호 및 규제 법률 준수합니다. 이제 기업은 과거에는 볼 수 없었던 규모와 확장성을 가진 클라우드 상에서 엔터프라이즈 로보틱 프로세스 자동화(RPA)를 실행할 수 있게 되었습니다.

클라우드 기반 RPA 플랫폼에 대해 자세히 알아보기