소개
HP WXP(Workforce Experience Platform)는 IT 팀이 디지털 마찰을 줄이고 보안을 강화하며 장치 문제를 사전에 해결할 수 있도록 지원하는 클라우드 기반 엔터프라이즈 솔루션입니다. 안전하고 확장 가능한 플랫폼을 통해 데스크톱, 노트북 및 기타 연결된 자산과 같은 조직의 PC 제품군에 대한 중앙 집중식 가시성과 관리를 제공합니다.
WXP는 디바이스 및 애플리케이션의 거의 실시간 텔레메트리 데이터를 분석하여 문제를 식별하고, 상태를 모니터링하고, 문제 해결을 권장합니다. IT 관리자는 장치 상태를 보고, 정책을 정의하고, 보고서를 생성하고, 원격 작업을 시작하여 운영 및 보안 요구 사항을 지원할 수 있습니다.
이 문서에서는 매니지드 PC 디바이스에 중점을 두고 WXP의 보안 및 개인 정보 보호 아키텍처에 대해 간략하게 설명합니다. 데이터가 수집, 전송, 저장 및 보호되는 방법을 설명하고 플랫폼의 데이터 보호 표준 준수 여부를 설명합니다. 대상 그룹에는 플랫폼의 데이터 처리 관행을 평가하는 IT 관리자, 서비스 제공업체 및 보안 검토자가 포함됩니다.
WXP 경험 아키텍처
디바이스, 데이터 및 사용자를 위한 원스톱 클라우드 기반 분석 플랫폼인 WXP는 아키텍처 및 개발 프로세스 전반에 걸쳐 업계에서 입증된 서비스 수준 보안을 통합합니다. 주요 서비스는 다음과 같습니다.
여러 운영 체제에서 디바이스 원격 분석 수집 및 분석
HP 고객 및 관리 서비스 제공업체가 보고서를 생성하고 인시던트를 관리할 수 있도록 지원
SaaS(Software-as-a-Service) 모델을 통해 다양한 타사 서비스 통합
사용자 및 역할
WXP의 대시보드는 다음 다이어그램과 같이 여러 유형의 사용자 및 역할을 제공합니다.
역할 | 범위 |
|---|---|
지역 관리자 | 이 계정은 HP의 비즈니스 운영 관리자가 직접 고객과 파트너 모두를 위한 새 테넌트를 만드는 데 사용됩니다. 지역 루트 관리자 계정은 제어되며 직접 고객 및 파트너 테넌트를 관리하고 탐색할 수 있는 액세스 권한이 있습니다. 일반적으로 각 지역에 대해 별도의 루트 관리자 계정이 존재합니다. 현재 WXP는 두 개의 AWS 리전 데이터 센터에서 운영되고 있습니다.
|
파트너 | 파트너 테넌트에는 파트너 관리자, 서비스 전문가 및 영업 전문가 역할이 포함될 수 있습니다. 이러한 테넌트는 여러 고객 계정에 액세스하고 대신 디바이스, 사용자 및 일상 작업을 관리할 수 있습니다. 또한:
|
HP 지원 | HP 지원 계정은 여러 회사에 동시에 액세스하고 문제 해결을 위해 고객을 대신하여 장치, 사용자 및 일상적인 작업을 관리할 수 있습니다. 이러한 작업은 HP의 비즈니스 운영 팀에서 관리합니다. HP 지원 계정에는 지원 관리자와 지원 전문가의 두 가지 유형의 사용자가 있습니다. 지원 관리자는 추가 지원 관리자 또는 지원 전문가 계정을 만들 수 있습니다. |
회사 소유자 | 회사가 생성되면 루트 관리자가 기본 회사 소유자 를 할당합니다. 기본적으로 이 사용자에게는 회사 내에서 사용자 및 장치를 관리할 수 있는 IT 관리자 역할도 부여됩니다. 회사 소유자는 자신의 권한에 따라 사용자를 관리하고, 장치 관련 작업을 처리하고, 보고서 및 기타 관리 기능에 액세스할 수 있습니다. MSP(관리 서비스 공급자)는 여러 회사의 사용자를 관리하는 반면, 회사 소유자는 회사 내에서 사용자를 독립적으로 관리합니다. |
회사 사용자 | WXP에서 사용자는 작업을 수행할 수 있는 역할이 할당된 엔터프라이즈 회사 테넌트 내의 개인입니다. 사용자는 다음과 같은 방법으로 생성할 수 있습니다.
|
IT 관리자 | IT 관리자 역할은 고객 또는 자체 관리 회사 내의 사용자에게 할당됩니다. 이를 통해 사용자는 사용자 및 장치 관리와 같은 주요 관리 작업을 수행할 수 있습니다. MSP가 사용할 수 있는 역할과 기능은 유사하지만 IT 관리자 액세스는 자체 회사로 제한됩니다. |
보고서 관리자 | 기본적으로 회사 소유자는 보고서에 액세스할 수 있습니다. 모든 회사 사용자에게도 보고서 액세스 권한을 부여할 수 있습니다. 보고서 관리자 역할은 읽기 전용이며 사용자가 WXP 보고서의 정보를 볼 수 있도록 합니다. |
커넥터 관리자 | 이 역할을 사용하면 WXP 내에서 통합을 안전하게 관리할 수 있습니다. 이 역할은 지원되는 모든 커넥터에서 통합 작업에 대한 액세스를 제어합니다. 승인된 사용자만 통합 위젯 및 연결 설정을 구성하고 관리할 수 있습니다. |
주요 기능
커넥터 관리자는 WXP 내에서 다음 작업을 수행할 수 있습니다.
통합 위젯을 구성하고 관리합니다.
ServiceNow, Teams, Graph API 등을 포함한 타사 통합을 연결 및 연결 해제합니다.
관련 통합 문서를 보고 액세스합니다.
다음 다이어그램은 Insights 기능에 대한 개략적인 개요를 제공합니다.
HP Workforce Experience 장치
WXP 아키텍처는 공격자가 디바이스를 제어하지 못하도록 설계되었습니다. 하드웨어 및 운영 체제에 따라 프로비저닝 프로세스 중에 디바이스 소프트웨어를 설치해야 합니다.
디바이스를 추가하려면 회사의 IT 관리자 또는 MSP(Managed Service Provider)가 할당된 회사 PIN을 사용하여 WXP에 디바이스를 안전하게 등록해야 합니다. 등록하는 동안 서버와 장치 간에 비대칭 키 교환이 발생합니다. 각 장치는 장치가 식별될 때 고유한 키 쌍을 생성한 다음 장치는 12시간 동안 유효한 액세스 토큰을 받습니다. 이 기간이 지나면 디바이스는 새 액세스 토큰에 대한 ID를 증명하는 서명을 서버에 보내야 합니다.
기업의 동의 하에 등록된 디바이스는 매일 텔레메트리 데이터를 WXP 분석 파이프라인에 업로드합니다. 하루 종일 WXP로부터 명령과 제어 신호도 수신합니다. 모든 통신은 위에서 언급한 액세스 토큰으로 보호됩니다.
Microsoft Windows®용 WXP는 모든 통신에 포트 443을 통해 HTTPS/TLS 1.2 프로토콜을 사용합니다. 인증서를 설치하거나 Windows 운영 체제 인증서 저장소를 수정하지 않습니다.
HP 인력 경험 플랫폼
WXP는 미국(AWS-OR)과 유럽 연합(AWS-DE)의 두 가지 리전에서 AWS(Amazon Web Services)에서 호스팅됩니다.
등록 국가에 따라 회사 테넌트가 해당 지역 데이터 센터에 생성됩니다. IT 관리자는 디바이스 등록, 인증 및 통신을 위한 인터페이스를 제공하는 웹 브라우저를 통해 WXP에 액세스합니다.
다음 섹션에서는 보안에 대한 디자인 결정에 대해 설명합니다.
ID 관리
현재 지원되는 IdP(ID 공급자)는 HP HPID(Common Identity System) 및 Microsoft Entra ID입니다. HP Common Identity System에서 관리하는 ID의 경우 암호 품질을 구성할 수 없으며 암호 정책은 HP ID 가입 페이지에서 설정됩니다. 암호는 8자 이상이어야 하며 다음 기준 중 3개 이상을 포함해야 합니다.
대문자 1개
소문자 1개
숫자
기호 또는 특수 문자
Microsoft Entra ID에서 관리하는 ID는 Entra ID 계정의 관리자가 설정한 정책을 따릅니다. 여기에는 다단계 인증, 암호 복잡성 등이 포함되지만 이에 국한되지는 않습니다.
세션 관리
사용자가 가질 수 있는 동시 세션 수에는 제한이 없습니다. 그러나 각 세션은 30분 동안 사용하지 않으면 자동으로 종료됩니다. 장치의 경우 세션은 12시간마다 만료되고 자동으로 갱신됩니다. 인증 및 권한 부여는 OAuth 2.0 프로토콜을 사용하여 구현되고 세션 기반 메커니즘을 통해 관리됩니다. 이 기능은 JWT(JSON 웹 토큰)를 사용합니다. 각 WXP 마이크로서비스는 서명 유효성 및 토큰 만료에 대한 JWT 확인을 적용합니다.
권한 부여
JWT 토큰 확인 외에도 모든 API에 대해 테넌시 검사가 발생합니다. 이렇게 하면 적절한 테넌트 데이터가 호출자에게 전달됩니다. 또한 모든 중요한 작업에 대해 역할 검사가 발생합니다.
자세한 내용은 섹션을 Users and Roles 참조하십시오.
다중 테넌시
WXP는 클라우드 기반의 멀티 테넌트 솔루션입니다. 테넌트 데이터는 관계형 데이터베이스를 사용하여 논리적으로 분리되고 테넌시 권한 검사를 통해 적용됩니다. 각 테넌트는 데이터 격리 및 추적성을 보장하는 UUID(Universally Unique Identifier)와 연결됩니다.
미사용 데이터
디바이스, 사용자 및 관련 데이터와 같은 회사 정보는 AWS Relational Database Service(RDS) MySQL 데이터베이스 및 MongoDB 데이터 스토어에 저장됩니다. AWS RDS MySQL 데이터베이스와 MongoDB 데이터 스토어는 모두 암호화됩니다. 키 및 토큰과 같은 민감한 필드도 AWS Key Management Service(KMS)를 사용하여 암호화됩니다. 마스터 키는 HP의 사이버 보안 지침에 따라 순환됩니다.
전송 중인 데이터
WXP와의 모든 외부 통신은 HTTPS/TLS1.2 프로토콜을 사용합니다. AWS Virtual Private Cloud(VPC) 내의 서비스는 일반 텍스트를 사용하여 통신합니다.
자세한 내용은 섹션을 Operational Security 참조하십시오.
타사 통합
WXP는 ServiceNow, PowerBI, Tableau, EntraID와 같은 다양한 타사 서비스와 통합됩니다. 서버 간 통신은 파트너 시스템에서 제공하는 인증 방법을 사용하여 HTTPS를 통해 발생합니다.
타사 통합에 대한 자세한 내용은 HP 서비스 전문가에게 문의하십시오.
UI(사용자 인터페이스) 검증
UI 필드 검증은 WXP 에이전트의 입력 필드를 보호합니다. 유효성 검사는 데이터 유형(예: 문자열, 날짜/시간, 통화) 및 비즈니스 규칙(예: 필수 또는 권장 필드)을 기반으로 적용됩니다. 필드는 사용자 역할 및 허용된 작업(읽기/쓰기)에 따라 보호될 수도 있습니다. 스크립팅 함수를 통해 추가 유효성 검사를 적용할 수 있습니다.
HP 인력 경험 분석 플랫폼
WXP 분석 플랫폼은 AWS에서 호스팅되며 WXP의 데이터 처리 백본 역할을 합니다. 분석 플랫폼의 대부분의 구성 요소는 내부에 있으며 외부 액세스에 노출되지 않습니다.
데이터 수집
분석 플랫폼은 장치에서 데이터를 안전하게 업로드하기 위한 인터페이스를 제공합니다. 인증된 API 게이트웨이를 사용하여 데이터를 수신합니다. 이 전송 모드에서는 연결, 명령 및 정책이 디바이스로 전송되거나 디바이스에서 수집되지 않으므로 디바이스에서 클라우드로의 단방향 통신이 보장됩니다.
미사용 데이터
비정형 저장 데이터는 AWS S3에 보관됩니다. 그러나 구조화된 데이터는 AWS RedShift에 저장됩니다. 정형 데이터와 비정형 데이터 모두 분석 플랫폼에서 암호화됩니다.
HP 인력 경험 운영 보안
이 섹션에서는 WXP가 서비스 수준 보안을 적용하여 다양한 통신 계층에서 보안을 보장하는 방법에 대해 설명합니다.
데이터 센터
WXP는 Amazon Web Services(AWS), 특히 Amazon Elastic Compute Cloud(Amazon EC2)에서 호스팅합니다. Amazon EC2는 AWS 클라우드에서 확장 가능한 컴퓨팅 용량을 제공합니다. WXP는 미국 오레곤(AWS-OR)과 독일 프랑크푸르트(AWS-DE)에 데이터 센터를 유지 관리합니다. 유럽 국가에 위치한 고객의 데이터는 독일 데이터 센터에서 호스팅될 수 있습니다. 다른 모든 국가의 고객에 대한 데이터는 미국 데이터 센터에서 호스팅할 수 있습니다.
물리적 계층에서는 시설과 네트워크를 보호하기 위해 마련된 제어 장치를 해결하는 것이 중요합니다. 고객 및 디바이스 데이터는 중복성을 제공하기 위해 지리적으로 분산된 AWS 데이터 센터에 저장됩니다. AWS는 클라우드 호스팅 분야에서 인정받는 리더입니다. WXP는 AWS와의 파트너십을 통해 현재 사용 가능한 가장 유연하고 안전한 클라우드 컴퓨팅 환경 중 하나로 설계된 클라우드 인프라를 상속합니다. 주요 보안 특성 중 일부는 다음과 같습니다.
보안을 위한 설계
AWS의 클라우드 인프라는 보안에 가장 민감한 고객의 요구 사항을 충족하도록 설계된 AWS 데이터 센터에 보관되어 있습니다.
AWS 인프라는 고가용성을 제공하는 동시에 고객 개인 정보 보호 및 데이터 분리를 위한 강력한 보호 장치를 제공하도록 설계되었습니다.
미국 애널리틱스 관리 데이터 센터로 전송되는 기기, 애플리케이션 및 위치 데이터에는 사용자 이름이나 이메일 주소가 포함되지 않습니다. 대신 데이터는 장치 일련 번호 및 시스템 생성 식별자와 연결되며 HP의 데이터 보호 표준에 따라 저장 시 암호화됩니다.
WXP의 모든 정형 및 비정형 데이터는 HP의 사이버 보안 지침에 따라 AWS KMS와 같은 AWS 네이티브 암호화 메커니즘을 사용하여 저장 시 암호화됩니다. 고도로 자동화됨
AWS는 대부분의 보안 도구를 의도적으로 구축하여 AWS의 고유한 환경 및 규모 요구 사항에 맞게 조정합니다.
이러한 보안 도구는 데이터 및 애플리케이션을 최대한 보호하도록 구축되었습니다. 즉, AWS 보안 전문가는 일상적인 작업에 소요되는 시간을 줄여 AWS 클라우드 환경의 보안을 강화할 수 있는 사전 조치에 더 집중할 수 있습니다.
고가용성
AWS는 시스템 중단에 대한 복원력을 극대화하기 위해 여러 지리적 리전과 각 리전 내의 여러 가용 영역에 데이터 센터를 구축합니다.
AWS는 심각한 중단이 발생할 경우 나머지 사이트로 트래픽을 로드 밸런싱할 수 있는 충분한 용량을 확보할 수 있도록 상당한 초과 대역폭 연결로 데이터 센터를 설계합니다.
높은 인증
인증은 감사자가 특정 보안 제어가 시행되고 의도한 대로 작동하는지 확인했음을 의미합니다.
특정 정부, 산업 및 회사 보안 표준 및 규정을 충족하는 데 도움을 받기 위해 AWS 계정 담당자에게 문의하여 해당 규정 준수 보고서를 볼 수 있습니다.
AWS는 AWS 클라우드 인프라가 ISO 27001, SOC, PCI(Payment Card Industry) 데이터 보안 표준, FedRAMP, ASD(Australian Signals Directorate) 정보 보안 매뉴얼 및 싱가포르 다중 계층 클라우드 보안 표준(MTCS SS 584)을 포함한 광범위한 글로벌 보안 표준 목록의 요구 사항을 어떻게 충족하는지 설명하는 인증 보고서를 제공합니다.
AWS가 준수하는 보안 규정 및 표준에 대한 자세한 내용은 AWS 규정 준수 웹 페이지를 참조하세요.
물리적 및 환경 보안, AWS 액세스 및 네트워크 보안에 대한 자세한 내용은 보안, 자격 증명 및 규정 준수를 위한 AWS 모범 사례를 참조하십시오.
네트워크
방화벽 및 기타 경계 장치를 포함한 네트워크 장치는 네트워크의 외부 경계와 네트워크 내의 주요 내부 경계에서 통신을 모니터링하고 제어하기 위해 마련되어 있습니다. 이러한 경계 장치는 규칙 세트, ACL(액세스 제어 목록) 및 구성을 사용하여 특정 정보 시스템 서비스에 대한 정보 흐름을 적용합니다.
ACL 또는 트래픽 흐름 정책은 각 관리형 인터페이스에 설정되어 트래픽 흐름을 적용합니다. ACL 정책은 Amazon Information Security의 승인을 받습니다. 이러한 정책은 AWS의 ACL-Management 도구를 사용하여 자동으로 푸시되므로 이러한 관리형 인터페이스가 최신 ACL을 적용하도록 합니다.
보안 강화 액세스 포인트
AWS는 인바운드 및 아웃바운드 통신과 네트워크 트래픽을 보다 포괄적으로 모니터링할 수 있도록 제한된 수의 액세스 포인트를 클라우드에 전략적으로 배치했습니다. 이러한 고객 액세스 포인트를 API 엔드포인트라고 하며, AWS 내의 스토리지 또는 컴퓨팅 인스턴스와의 통신 세션을 보호하는 HTTP 액세스(HTTPS)를 허용합니다. 또한 AWS는 인터넷 서비스 공급자(ISP)와의 인터페이스 통신을 관리하는 데 전념하는 네트워크 디바이스를 구현했습니다. AWS는 AWS 네트워크의 각 인터넷 연결 엣지에서 둘 이상의 통신 서비스에 대한 중복 연결을 사용합니다. 모든 연결에는 각각 전용 네트워크 장치가 있습니다.
애플리케이션, 호스트 및 관리자 보안
논리 계층에서는 호스트 시스템, 해당 시스템에서 실행 중인 응용 프로그램 및 호스트 시스템 및 관련 응용 프로그램을 관리하는 관리자를 위해 다양한 컨트롤이 사용됩니다.
WXP 및 고객 데이터에 대한 IT 관리자의 액세스는 제한되며 엄격하게 관리됩니다. 작업을 수행하는 데 필수적인 개인만 적절한 신원 조회 및 계정 관리 요구 사항을 충족하는 경우 액세스가 허용됩니다.
데이터 보안
WXP와 교환되는 데이터는 업계 표준 SSL(Secure Sockets Layer) 프로토콜의 최신 형태인 TLS(Transport Layer Security) v1.2의 AWS 구현을 사용합니다. TLS는 서버 인증, 데이터 암호화 및 데이터 무결성을 제공하여 여러 수준에서 데이터를 보호하는 데 도움이 됩니다. TLS는 애플리케이션 계층 아래에서 구현되기 때문에 사용자의 추가 단계나 절차에 의존하지 않는 수동 보안 메커니즘입니다. 사용자가 보안 통신에 대한 지식이 거의 또는 전혀 없는 경우에도 애플리케이션은 공격자로부터 더 잘 보호됩니다.
이러한 기능은 우발적인 손상 및 악의적인 공격으로부터 데이터를 보호하는 데 도움이 되며 일반적인 웹 기반 위협을 방지하기 위한 것입니다. 클라이언트와 서버 간의 네트워크 통신을 위한 SSL 암호화 외에도 HP는 서버 데이터베이스에 저장된 로그 및 미사용 데이터를 암호화합니다.
WXP 디바이스에는 시스템 요구 사항에 설명된 운영 체제 및 디바이스 소프트웨어가 있어야 합니다. HP 서비스 전문가는 관리 설정에 따라 장치에 보안 정책을 적용하는 데 도움을 줄 수 있지만 장치에 WXP 소프트웨어를 배포하기 위한 추가 보안 요구 사항은 없습니다. 직원의 이메일 주소 및 비밀번호와 같은 로그인 자격 증명은 WXP에 액세스할 때만 필요합니다.
독립적인 검증
WXP에서는 두 가지 위협 인텔리전스 모델링 기술이 수행됩니다.
WXP는 릴리스되는 모든 새로운 기능에 대해 위협 인텔리전스 모델링을 수행하고 기존 기능에 대한 모든 사소한 개선 사항에 대해 주기적으로 위협 인텔리전스 모델링을 수행합니다. 새로운 기능의 소프트웨어 개발을 시작하기 전에 WXP는 HP Cyber Security의 보안 아키텍처 검토도 거칩니다.
수행된 최소 보안 테스트:
WXP에서:
교차 사이트 스크립팅
피싱 공격
인증 토큰 도용
입력 퍼징
이메일 스푸핑
SQL 인젝션
교차 사이트 요청 위조(CSRF)
기타 일반적인 웹 취약점
WXP 클라우드 서비스 및 분석 인프라(마이크로 서비스 포함)에서:
인증 및 권한 부여를 위한 인터페이스 테스트
적절한 데이터가 권한 있는 사용자에게만 전달되도록 테넌트 ID 변경
SQL 인젝션
원격 코드 삽입
DOS 공격
입력 퍼징
Windows 와 같은 운영 체제의 WXP에서 Android 및 MAC:
설치 소스 및 응용 프로그램 무결성,
권한 에스컬레이션
MITM 공격
입력 퍼징
데이터 무결성 검사를 통한 명령 검증
인증서 저장소 중독
깨진 인증
보안 구성 등
WXP 개발팀은 안전한 소프트웨어 개발 프로세스를 따릅니다. 여기에는 보안, 위협 모델링 및 분석에 중점을 둔 일반 아키텍처 및 코드 검토 외에도 보안 검토가 포함됩니다. 또한 WXP 팀은 Nessus 에이전트와 같은 도구를 통해 정기적인 인프라 검사 및 완화를 수행합니다. 이 모든 것은 WXP에 ISO 27001 인증을 부여하는 동안 Coalfire의 독립적인 감사를 받습니다.
HP의 Security by Design 프레임워크의 일부인 WXP는 주요 시스템[IS1] 변경 사항 및 새로운 기능에 대해 HP Cybersecurity에서 수행하는 지속적인 내부 침투 테스트를 거칩니다.
또한 외부 침투 테스트는 독립적인 타사 보안 회사에서 매년 실시합니다. 이러한 평가의 범위에는 모든 인터넷 연결 구성 요소, WXP 에이전트 및 관련 클라우드 인프라 구성 요소가 포함됩니다.
HP 규정 준수 및 보안 프레임워크
WXP는 강력하고 공인된 정보 보안 및 위험 관리 프로그램을 구현하여 고객에 대한 HP의 약속을 보여줍니다. 모든 보안 규정 준수 프레임워크의 핵심은 고객이 HP에 맡기는 고객 데이터 보호입니다. 전략적 방향의 일환으로 WXP는 이 데이터를 보호하기 위한 적절한 절차와 보안 도구의 구현을 보장합니다.
세계적으로 인정받는 업계 인증을 통해 독점, 운영, 일반 및 개인 정보를 포함한 모든 고객 데이터를 엄격하게 검토하여 WXP의 보안 제어가 확립된 규정 준수 프레임워크와 일치하는지 확인합니다.
ISO 27001:2022 인증
정보 시스템 및 비즈니스 크리티컬 정보의 보안에는 지속적인 측정과 관리가 필요합니다. 독립 심사원 Coalfire가 발행한 ISO 27001:2022 인증은 운영 연속성 및 데이터 보호를 제공하려는 HP의 약속을 입증합니다.
ISO(International Organization for Standardization)는 제품, 서비스 및 시스템에 대해 국제적으로 인정받는 여러 표준 개발을 담당합니다. ISO 27001:2022 인증은 공인된 인증 기관의 외부 심사를 완료하면 수여되며 자산 기반(정보, 프로세스, 인력 및 기술)입니다. HP는 Managed Print 및 Personal Systems Services 모두에 대해 원격 모니터링 및 관리 서비스 환경 전반에 걸쳐 ISO 인증을 획득했습니다.
ISO 27001은 조직의 맥락에서 정보 보안 관리 시스템(ISMS)을 구축, 구현, 유지 및 지속적으로 개선하기 위한 요구 사항을 지정합니다. ISMS는 기밀성, 무결성 및 가용성의 원칙에 따라 정보가 안전하게 유지되도록 민감한 회사 정보를 관리하는 체계적인 접근 방식입니다. 이 접근 방식은 사람, 프로세스 및 IT 시스템을 포함하며 구현 및 인증 경로를 정의하는 여러 지원 문서와 지침으로 구성됩니다.
ISO 27001:2022 인증은 다음을 다룹니다.
정보 보안 정책
운영 보안
정보 보안 조직
통신 보안
인적 자원 보안
시스템 획득, 개발 및 유지 관리
자산 관리
공급업체 관계
액세스 제어
정보 보안 사고 관리
암호화
비즈니스 연속성 관리의 정보 보안 측면
물리적 및 환경적 안보
컴플라이언스
HP는 ISO 인증을 다음으로 확장했습니다.
ISO 27701:2019(개인 정보 관리 시스템 PIMS)
ISO 27017:2015(클라우드 서비스 정보 보안 제어)
ISO 27701:2019 인증
지속적인 모니터링을 위해 WXP를 사용하는 고객 및 파트너는 클라우드 서비스 제공업체를 사용할 때 데이터가 보호된다는 확신을 얻습니다. ISO 27017:2015는 특히 클라우드 서비스 고객 및 공급자를 위한 정보 보안 제어에 대해 업계에서 인정하는 표준을 정의합니다.
SOC 2 유형 2
SOC2 증명은 고객에게 WXP가 보안, 기밀성, 개인 정보 보호 및 가용성에 대해 전 세계적으로 인정받는 표준을 준수한다는 확신을 제공합니다. SOC 2는 HP가 반복 가능하고 지속적인 노력을 통해 고객의 개인 데이터를 관리, 저장 및 처리하는 방법에 대한 고객 및 파트너의 검증을 제공합니다. 고객은 위험에 대한 허용 범위를 지원하기 위해 추가 프레임워크를 요구하고 있습니다. HP는 미래를 위해 지속적으로 개선하고 고객 요구를 충족하기 위해 매년 SOC 2 인증을 추구하기 시작했습니다.
HP SSDL(Secure Software Development Lifecycle)
애플리케이션 보안에 대한 업계 접근 방식은 일반적으로 사후 대응적이었고 업계 접근 방식은 품질 분야의 교훈을 적용하지 못했습니다. 널리 사용되는 두 가지 접근 방식은 다음과 같습니다.
모래에 머리를 묻다: 이는 사후 대응 보안 패치가 특징입니다. 이 접근 방식은 취약점 유입을 방지하거나 최소화하기 위한 작업이 거의 없는 CVE(Common Vulnerabilities and Exposures)에 의존합니다. 이는 보안 관련 규제 부담이 최소화된 산업 부문에서 가장 흔히 볼 수 있습니다.
보안 테스트: 이는 애플리케이션에 설계된 복원력이 부족하여 눈에 띕니다. 대신 보안 패치와 함께 테스트 중에 취약점을 찾아 수정하기 위한 노력이 적용됩니다. 이 접근 방식은 공공 부문, 보안 규제 산업 및 의료에서 더 일반적으로 나타납니다. 이러한 세그먼트는 미국 연방 정보 보안 관리법(FISMA), 결제 카드 산업 데이터 보안 표준(PCI-DSS), 건강 정보 이동성 및 책임법(HIPAA), 경제 및 임상 건강을 위한 건강 정보 기술(HITECH)을 포함한 규정을 준수해야 합니다. 그러나 품질 속성으로서의 보안은 반세기 전에 품질 분야에서 배운 것과 동일한 방식으로 수명 주기의 모든 단계에 적용되어야 합니다.
주요 테넌트는 다음과 같습니다.
품질은 테스트할 수 없습니다. 설계 및 구축 및 테스트해야합니다.
보안 결함 및 취약성은 비용 비용을 위해 수명 주기에서 더 빨리 발견되어야 합니다.
HP는 소프트웨어 보안을 매우 중요하게 생각하며 HP는 SSDL(Secure Software Development Lifecycle)을 채택했습니다. 다음을 포함하여 몇 가지 목표가 SSDL 프로세스와 연결되어 있습니다.
보안 소프트웨어 아키텍처를 통해 사이버 공격 표면 감소
코드로 인한 취약성 최소화
고객 데이터 및 ID의 개인 정보 보호 및 보안
HP는 SSDL 프로세스에 특정 보안 관련 절차를 포함하고, 보안 프로세스가 성공적으로 완료되었는지 확인하기 위해 마일스톤 검토를 수행하며, 소프트웨어 설계자, 개발자, 테스트 엔지니어, 프로그램 관리자 및 리더십 팀에 지속적인 보안 교육을 제공합니다.
SSDL 프로세스의 7단계는 다음과 같습니다.
교육 (1단계) – SSDL 프로세스, 보안 강화 설계, 위협 모델링 및 보안 코딩을 다루는 공식 과정입니다.
요구 사항 (2단계) – 기능별 보안 위험 평가를 포함하여 소프트웨어 프로젝트 초기에 보안을 계획합니다.
설계 (3단계) – 보안 아키텍처를 정의하고 문서화합니다. 중요한 보안 구성 요소를 식별합니다.
구현 (4단계) – 동료 코드 검토 및 검증과 함께 설계된 보호 체계 및 완화 접근 방식을 실행합니다.
검증 (5단계) – 동적 코드 분석, 퍼지 테스트(퍼징) 및 공격 표면 검토를 수행합니다.
릴리스 (6단계) – SSDL 요구 사항이 충족되었으며 알려진 취약점이 없는지 확인합니다.
응답( 7단계) – 릴리스 단계에서 설명된 응답 작업을 실행합니다.
데이터 수집
WXP에서 수집하는 데이터 유형은 고객이 직접 제공하거나 클라우드 기반 WXP에서 자동으로 수집됩니다. 디바이스의 데이터는 디바이스에 설치된 WXP 에이전트를 사용하여 수집됩니다. WXP는 계약 서비스를 실행하기 위해 다음 데이터를 수집합니다.
데이터 수집의 목적 | 수집된 데이터 | 수집된 데이터에 대한 설명 |
계정 관리 | 계정 데이터 | 고객 구매 또는 WXP 서비스 가입과 관련된 정보, WXP에서 생성된 인시던트와 관련된 지원 기록, 계정 관리와 같은 거래 서비스를 수행하기 위한 WXP 계정과 관련된 기타 모든 정보. |
WXP 및 서비스가 제대로 작동하는지 확인 | 애플리케이션 데이터 | 각 매니지드 디바이스에서 WXP 에이전트의 버전 번호, 설치 상태 및 업데이트 기록을 포함합니다. |
계정 설정, ID 관리 및 권한 유효성 검사 | 연락처 데이터 | 이름, 성, 우편 주소, 전화번호, 팩스 번호, 이메일 주소 및 WXP 고객 계정 설정 및 검증, 서비스 권한, 사고 및 서비스와 관련된 이메일 알림에 사용되는 기타 유사한 연락처 세부 정보를 포함한 개인 및/또는 비즈니스 연락처 데이터. |
사전 예방적 IT 서비스 유지 관리 및 관리, 고객 중심 보고서/대시보드 제공 | 장치 데이터 | 장치 이름, 운영 체제, 메모리 용량, 장치 유형, 디스크 크기, 지역 설정, 언어 설정, 시간대 설정, 모델 번호, 초기 시작 날짜, 장치 사용 기간, 장치 제조 날짜, 브라우저 버전, 장치 제조업체, 보증 상태, 고유 장치 식별자 및 모델에 따라 다른 추가 기술 정보와 같은 기본 장치 정보. BIOS, 디스플레이, GPU, 스토리지, 시스템 슬롯, 메모리, 실시간 클럭, 시스템의 하드웨어 사용률 데이터(CPU, GPU, 메모리 및 디스크 I/O), 드라이버, 열, 팬, PnP 장치, RPOS 주변 장치, HP Sure Recover 설정, HP 진단 테스트, 도킹 스테이션(HP만 해당), 도킹 스테이션에 연결된 주변 장치, 배터리 상태, 전원 구성 및 상태, 시스템 절전 진단, 기본/외부 디스크 속성, 디스크 사용률, 인텔 플랫폼 서비스 레코드(인텔 v프로 필요), 시스템 전력 소비, PCM별 시스템 전력 소비(HP 비즈니스 PC G11 이상 필요), 메모리의 인텔 SoC 마진(HP 비즈니스 PC G12 이상만 해당) 및 노트북의 키보드 상태(HP 비즈니스 PC G12 이상만 해당) 설치된 응용 프로그램 목록, 응용 프로그램 실행 시간, 응용 프로그램 오류, 응용 프로그램별 하드웨어 사용률 데이터(CPU 및 메모리)와 같이 장치에 설치된 소프트웨어 응용 프로그램.
WXP의 설정 페이지에 미리 구성된 URL의 페이지 방문 횟수, 페이지 로드 시간 및 페이지 로드 오류와 같은 브라우저의 웹 애플리케이션. 기본적으로 웹 애플리케이션에 대한 데이터 수집은 비활성화되어 있지만 WXP > 설정 페이지에서 활성화할 수 있습니다. WXP는 브라우저의 웹 애플리케이션에서 콘텐츠를 스캔하거나 수집하지 않습니다. 운영 체제는 OS 이벤트, 누락된 Windows 업데이트, 프로세스 및 서비스 모니터링, 시작/절전/최대 절전 모드/종료 시간, 장치 사용 시간, 장치 로그온 시간, 전체 부팅 및 빠른 부팅 시간, 마지막 재시작 날짜 및 시스템 충돌 - Windows OS에서 블루 스크린 충돌과 같은 장치에 대한 정보를 생성했습니다. 참고: 기본적으로 시스템 충돌에 대한 크래시 덤프 수집은 비활성화되어 있습니다. 그러나 WXP 설정 페이지에서 활성화할 수 있습니다. 네트워크 인터페이스, MAC 주소, IP 주소, SSID, 신호 강도, 연결 속도, 네트워크 인증 설정, 네트워크 오류, 네트워크 소비, 네트워크 사용률, 패킷 손실, 지터 및 프로세스별 대기 시간, 네트워크 연결 및 연결 끊김과 같은 네트워크 정보입니다.
TPM(신뢰할 수 있는 플랫폼 모듈), 바이러스 백신 상태, 방화벽 상태, BitLocker 암호화 상태 및 보안 부팅 상태와 같은 보안 정보입니다. WXP에 디바이스를 등록하는 고객 사용자의 사용자 정보(예: 마지막으로 로그인한 사용자 정보 및 Active Directory 가입 사용자 정보).
장치의 실시간 지리적 위치 및 자산 위치와 같은 장치 위치 정보(장치가 속한 위치를 나타내기 위해 사용자가 설정). 참고: 기본적으로 디바이스 위치에 대한 데이터 수집은 비활성화되어 있지만 WXP 설정 페이지에서 활성화할 수 있습니다. |
HP를 사용하는 계정 및 서비스에 대한 사용자 액세스 인증 및 권한 부여 | 보안 자격 증명 | WXP 클라우드 기반 포털 계정 및 서비스에 대한 액세스 권한을 부여하기 위한 인증에 필요한 사용자 비밀번호, 비밀번호 힌트 및 유사한 보안 정보입니다. (HP ID를 사용하는 경우에만) |
데이터 그룹화
WXP 1 에서 수집한 디바이스 데이터에는 다음 그룹이 포함될 수 있습니다.
데이터 그룹 | 묘사 |
하드웨어 | 배터리, BIOS, 디스크, 디스플레이/모니터, 그래픽, 인벤토리, 메모리, 네트워크 인터페이스, 플러그 앤 플레이(PnP), 프로세서, 시스템 클럭, 시스템 슬롯, 열 및 시스템 성능 데이터를 포함합니다. |
소프트웨어 응용 프로그램 | 규정 준수, 오류, 인벤토리, 성능, 사용률 및 웹 애플리케이션 사용률 데이터를 포함합니다. |
안전 | 보고되지 않는 디바이스, 운영 체제 패치 검색/관리, 디바이스 위치, 디바이스 경보, 잠금 및 초기화, 보안 정책 설정, 보안 정책 적용, 보안 위협, 스토리지 암호화, 사용자 보안 설정, Wi-Fi 프로비저닝 및 Windows Information Protection 위반 데이터 포함 |
Windows 이벤트 로그 | Windows 이벤트 로그는 관리자가 시스템 문제를 진단하고 향후 문제를 예측하는 데 사용하는 Windows 운영 체제 에 저장된 시스템, 보안 및 응용 프로그램 알림에 대한 자세한 기록을 제공합니다. |
HP 보증 및 케어 팩 | HP 케어 팩은 표준 보증이 만료된 이후의 제품에 적용되는 HP 컴퓨터 또는 프린터에 대한 연장 보증입니다. |
WXP에서 수집하는 사용자 데이터에는 다음이 포함됩니다.
사용자 이메일 주소
마지막으로 로그온한 사용자 계정
WXP는 다음 유형의 데이터를 수집하지 않습니다.
인구통계학적 정보(국가 또는 언어 기본 설정 제외)
금융 계좌 정보, 신용 카드 또는 직불 카드 번호, 신용 기록 또는 결제 데이터
소셜 미디어
사회 보장, 사회 보험 번호 또는 정부 발급 ID와 같은 정부 발급 식별자
건강 정보
민족, 정치적 신념, 노동조합 가입, 건강 데이터, 성적 지향 및 유전 데이터와 같은 민감한 데이터
데이터 개인 정보 보호
HP는 개인 정보 보호 및 데이터 보호 분야에서 오랫동안 업계를 선도해 왔습니다. 강력한 제품 및 서비스 포트폴리오를 통해 개인 데이터 보호를 위한 고객과 파트너의 노력을 지원합니다. WXP 분석과 관련하여 HP는 데이터 프로세서 역할을 합니다. HP Privacy Central의 데이터 프로세서 섹션을 참조하십시오. 글로벌 기업으로서 귀하가 제공하는 모든 정보는 HP 개인 정보 보호 정책 및 국제 데이터 전송 섹션에 나열된 국제 개인 정보 보호 프로그램에 따라 전 세계 HP 법인으로 전송되거나 액세스 될 수 있습니다.
데이터 개인 정보 보호는 전 세계 국가의 경우 관리 HP Privacy Policy 됩니다. 이 정책은 주기적으로 업데이트되며 다음 주제를 다룹니다.
당사의 개인 정보 보호 원칙
국제 데이터 전송(EU-미국 프라이버시 실드 정보 포함)
데이터 사용 방법
수집하는 데이터
아동의 개인 정보 보호
귀하의 데이터를 안전하게 유지하고 유지하는 방법
데이터 공유 방법
HP 커뮤니케이션
귀하의 권리 행사 및 당사에 연락하기
개인 정보 보호 정책의 변경
데이터 보존
데이터 보존은 모든 규정 준수 프로그램의 중요한 부분이며 데이터의 적절한 관리를 수행하는 데 필요합니다. HP의 데이터 보존 정책에는 다음과 같은 데이터 보존 모범 사례가 포함되어 있습니다.
필요 기간보다 짧은 기간 동안 데이터를 유지하면 계약 또는 법적 요구 사항을 위반하거나 보안에 영향을 미칠 수 있습니다.
필요한 기간보다 더 오래 데이터를 유지하는 것은 개인 정보 보호 규정을 위반할 수 있으며 고객의 가장 큰 관심사이자 영업 문의입니다.
데이터가 삭제되면 고객이나 법 집행 기관에 제공할 의무가 없습니다.
미국 및 독일 지역 데이터 센터의 모든 데이터는 고객이 WXP에서 비활성화한 후 30일 이내에 영구적으로 삭제됩니다.
U.S. Analytics 데이터 센터의 데이터는 데이터 생성일로부터 2년 후 또는 정형 및 비정형 스토리지 모두에 대해 고객이 WXP에서 비활성화한 후 30일 이내에 영구적으로 삭제됩니다. WXP 애플리케이션의 분석 패키지는 많은 HP 애플리케이션에서 단일 공유 패키지이므로 동일한 고객이 다른 HP 애플리케이션에 등록되어 있을 수 있기 때문에 고객이 WXP에서 비활성화된 경우 미국 분석 데이터 센터의 데이터는 영구적으로 삭제되지 않습니다. 데이터 생성 데이터에서 3년 후에야 삭제됩니다.
참고: 미국 애널리틱스 데이터 센터로 전송되는 텔레메트리 데이터는 기기 일련 번호 및 시스템 생성 ID에 연결됩니다. 이 데이터는 저장 시 암호화되며 HP의 데이터 보호 및 보안 표준에 따라 처리됩니다. .
데이터 스토리지
WXP의 데이터 저장은 유료 가입자의 사용자 및 장치 정보로 제한됩니다.
개인 데이터를 저장하는 미국 및 독일 지역 데이터 센터의 모든 데이터베이스는 암호화됩니다.
개인 데이터를 저장하는 미국 ID 관리 데이터 센터의 모든 데이터베이스는 암호화됩니다.
미국 애널리틱스 데이터 센터의 모든 데이터베이스 및 비정형 스토리지는 암호화됩니다.
다음 데이터 유형은 서로 다른 데이터 센터에서 전송 및 저장됩니다.
데이터 범주 | 미국 지역 데이터 센터1 | 독일 지역 데이터 센터2 | 미국 분석 데이터 센터3 | 미국 신원 관리 데이터 센터3 |
계정 데이터 | 예 | 예 | 아니요 | 아니요 |
애플리케이션 데이터 | 예 | 예 | 예 | 아니요 |
연락처 데이터 | 예 | 예 | 아니요 | 예(HP ID를 사용하는 경우) |
장치 데이터 | 예 | 예 | 예 | 아니요 |
위치 데이터 | 예 | 예 | 예 | 아니요 |
보안 자격 증명 데이터 | 아니요 | 아니요 | 아니요 | 예(HP ID를 사용하는 경우) |
유럽에 기반을 두지 않는 고객의 경우
유럽 기반 고객의 경우
모든 고객을 위해
서비스 모니터링 및 보고
WXP는 고객에게 최신 기능과 업데이트를 제공하기 위해 정기적으로 서비스 업데이트를 제공합니다. 또한 WXP는 예약되거나 예약되지 않은 업데이트 및 서비스 변경에 대한 다양한 방법을 통해 고객에게 알립니다. 서비스 유지 관리와 같은 계획된 서비스 중단 이벤트의 경우 고객에게 8시간 전에 통보됩니다.
최적의 서비스를 제공하기 위해 HP는 지속적인 서비스 모니터링 및 보고를 수행합니다.
서비스 모니터링
WXP 및 에이전트는 안정성과 성능을 위해 24x7x365 기준으로 모니터링됩니다. 또한 네트워크 성능 및 가용성 모니터링은 지속적으로 수행됩니다. 모든 모니터링 도구는 모든 문제, 경고 및 문제를 서비스 엔지니어에게 직접 라우팅합니다. 예외는 승인이 필요한 우선 순위가 높은 작업 항목으로 내부 티켓팅 시스템에 자동으로 발생합니다.
임계값을 초과하면 다음과 같은 자동 에스컬레이션 프로세스가 발생합니다.
이메일 알림이 해당 대기 지원 엔지니어에게 전송됩니다
대기 중인 엔지니어의 모바일 장치로 푸시 알림이 전송됩니다
전자 메일이 운영 팀 배포 목록으로 전송됩니다
WXP는 다음과 같은 다양한 모니터링 툴을 활용합니다.
New Relic: 시스템의 다양한 구성 요소를 모니터링하고 더 중요한 것은 병목 현상이 나타날 때 이를 식별하고 디버깅하는 데 도움이 됩니다. 대부분의 애플리케이션/서비스는 Splunk용으로 계측되어 지속적인 데이터 수집과 거의 실시간 성능 메트릭을 제공합니다.
Amazon CloudWatch: 프로비저닝, 서비스 장애 및 임계값 달성(예: 메모리 소비)과 관련된 이벤트를 모니터링합니다. 인시던트를 검토하고 분류하여 가장 중요한 문제 영역을 식별합니다. 우선 순위에 따라 즉시 조치를 취하거나 이후 개발을 위해 조치를 취하도록 예약합니다. 사후 서비스 품질(QoS) 회의를 개최하여 결과를 검토하고, 근본 원인을 식별하고, 개선을 위한 변경 사항을 구현합니다.
결론
HP는 위협 환경이 빠르게 변화하고 있음을 인식하고 있습니다. 사이버 공격의 진화는 1990년대 후반 파일 삭제와 웹사이트 훼손으로 시작되어 자격 증명 도난과 랜섬웨어로 수익 창출 단계로 이동했습니다. 가장 최근에는 자금이 매우 풍부하고 전력망을 무너뜨리고 수만 대의 컴퓨터와 모바일 장치를 작동하지 않게 하려는 의도를 가진 민족 국가에 의해 공격이 수행되고 있습니다.
이러한 위험을 해결하는 것은 HP가 40여 년 전에 착수한 임무입니다. 보안 위협 탐지 및 보호에 대한 HP의 혁신 유산과 지속적인 보안 중심 투자는 WXP와 같은 애플리케이션 설계에 영향을 미칩니다. 그 결과 애플리케이션, 물리적 데이터 센터 및 최종 사용자 액세스를 포괄하는 통합 보안 플랫폼을 기반으로 구축된 안전한 클라우드 기반 IT 관리 솔루션이 탄생했습니다.
HP Proactive Insights, HP Active Care 및 WXP에서 제공하는 기타 서비스를 통해 사용할 수 있는 내장된 보안 기능을 갖춘 WXP는 조직에 여러 강력한 보안 계층을 통해 장치, 데이터 및 사용자의 일상적인 관리를 단순화할 수 있는 신뢰할 수 있는 도구를 제공합니다.