주요 컨텐츠로 이동

보안 및 보안 센터

여러분의 데이터 보안을 최우선으로 생각합니다

 

 

Trust

고객의 신뢰를 받는 Databricks의 플랫폼은 소프트웨어 개발과 전달 수명 주기 전체에 보안 기능을 포함하여 구축합니다. Databricks는 침투 테스트, 취약성 평가, 강력한 내부 액세스 제어 등 엄격한 운영 보안 관행을 따릅니다. 투명성은 신뢰를 얻기 위한 열쇠입니다. Databricks는 비즈니스 운영 방식뿐 아니라 고객 및 파트너와 긴밀하게 협력하여 보안 문제를 해결하는 방법을 공개적으로 공유합니다. Databricks는 PCI-DSS, HIPAA 및 FedRAMP 규정을 준수하는 제품/솔루션을 제공하며 ISO 27001, ISO 27017, ISO 27018 및 SOC 2 Type II를 준수합니다.

계약상의 약속

보안 및 신뢰 센터에서는 문서와 모범 사례를 제공할 뿐만 아니라, 알기 쉽게 작성된 계약을 통해 모든 고객의 보안을 보장합니다. 이 약정은 고객 계약의 보안 부족에 명시되어 있으며, 여기에서는 Databricks가 고객의 데이터를 안전하게 보호하기 위해 준수하는 보안 조치 및 관행을 설명합니다.

취약성 관리


사용 중인 소프트웨어이 취약성을 탐지하여 신속하게 해결하는 것은 모든 소프트웨어 또는 서비스 제공업체의 가장 중요한 책임 중 하나입니다. Databricks는 이 책임을 중요하게 생각하며 보안 부록에 명시된 복구 일정을 준수하기 위해 최선을 다합니다.

Databricks는 내부 환경의 취약성을 효과적으로 추적하여 우선순위를 지정하고 조정 및 해결하기 위한 자동화된 취약성 관리 프로세스를 갖추고 있습니다. 새 코드와 이미지를 프로덕션으로 승격하기 전에, 신뢰할 수 있는 보안 검사 툴을 사용하여 정적 및 동적 코드 분석(SAST 및 DAST)뿐만 아니라 Databricks 및 Databricks에서 사용하는 타사/오픈소스 패키지에 대해 인증된 취약성 스캔을 매일 수행합니다. Databricks는 공개 사이트를 분석하고 잠재적인 위험을 보고하기 위해 타사 전문가도 고용합니다.

Databricks는 신속하게 새로운 취약성을 모니터링하기 위해 취약성 대응 프로그램에 투자했습니다. 내부 툴, 소셜 미디어, 메일링 리스트, 위협 인텔리전스 소스(예: US-CERT 및 기타 정부, 산업 및 오픈소스 피드)를 사용하여 이 작업을 수행합니다. Databricks는 CVE Trends 및 Open CVDB와 같은 개방형 취약성 플랫폼을 모니터링합니다. 회사, 제품 또는 고객에게 미치는 영향을 신속하게 식별하고 대응하기 위한 프로세스를 수집했습니다. 이 프로그램을 통해 보고된 취약성을 신속하게 다시 만들고 제로데이 취약성을 해결할 수 있습니다.

Databricks는 취약성 관리 프로그램은 심각도 0 취약성(예: 제로데이)을 다른 롤아웃보다 우선시하여 가장 긴급하게 처리하기 위해 노력하고 있습니다.

침투 테스트 및 버그 포상 제도

Databricks는 사내 공격 보안 팀, 자격을 갖춘 타사 침투 테스터, 연중 내내 운영되는 공개 버그 포상 제도를 통해 침투 테스트를 진행합니다. 퍼징, 보안 코드 검토 및 동적 애플리케이션 테스트를 조합해 사용하여 플랫폼의 무결성과 애플리케이션의 보안을 평가합니다. 주요 릴리스, 새로운 서비스 및 보안에 민감한 기능에 대해 침투 테스트를 수행합니다. 공격 보안 팀은 인시던트 대응 팀 및 엔지니어링 내부 보안 전문가와 협력하여 발견 항목의 문제를 해결하고 전사적으로 학습 내용을 전파합니다.

Databricks는 일반적으로 연간 8~10회의 외부 타사 침투 테스트와 15~20회의 내부 침투 테스트를 수행하며, 모든 중요한 결과를 해결해야 테스트에 통과한 것으로 표시할 수 있습니다. 투명성에 대한 노력의 일환으로 Databricks는 플랫폼 전반에 걸친 타사 테스트 보고서를 실사 패키지에 공개적으로 공유합니다.

보안 조사 및 인시던트 대응

우리는 탐지 및 보안 조사를 위해 Databricks를 SIEM 및 XDR 플랫폼으로 사용하여 하루에 9테라바이트 이상의 데이터를 처리합니다. 클라우드 인프라, 장치, ID 관리 시스템, SaaS 애플리케이션에서 로그 및 보안 신호를 수집하고 처리합니다. 구조화된 스트리밍 파이프라인과 Delta Live Tables에서 데이터 기반 접근 방식과 통계적 ML 모델을 사용한 가장 관련성이 높은 보안 이벤트를 식별하여 새로운 알림을 생성하거나, 알려진 보안 제품에서 기존 알림과의 상관관계를 찾고 중복을 삭제하고 우선순위를 지정합니다. MITRE ATT&CK 프레임워크를 사용하여 추적한 공격자 전략, 기법 및 과정(TTP)에 대한 런북을 모델링합니다. 우리 보안 조사 팀은 공동 Databricks 노트북을 사용하여 반복 가능한 조사 프로세스를 생성하고, 인시던트 조사 플레이북을 지속적으로 발전시키고 있으며 비정형 및 반정형 데이터에 대한 복잡한 검색을 처리하는 2페타바이트 이상의 과거 이벤트 로그의 위협을 추적합니다.

인시던트 대응 팀은 최신 상태의 정보를 공유하고 Databricks가 인시던트 관리 시나리오에 대비하도록 다음과 같은 작업을 합니다.

  • SANS와 같은 공급업체에서 주관하는 주요 교육 과정과 fwd:cloudsec, Black Hat, BSides, RSA와 같은 보안 컨퍼런스에 참여합니다.
  • Databricks 제품 및 기업 인프라와 관련된 보안 대응 시나리오를 훈련하기 위해 경영진 및 내부 팀과 주기적인 모의 훈련을 수행합니다.
  • 엔지니어링 팀과 협력하여 효과적인 보안 탐지와 대응이 가능하도록 플랫폼 관측 가능성의 우선순위를 지정합니다.
  • 진화하는 인시던트 대응 기술 및 역량 매트릭스를 기반으로 채용 및 교육 전략을 주기적으로 업데이트합니다.

내부 액세스

Databricks는 내부 직원이 프로덕션 시스템, 고객 환경, 고객 데이터에 액세스하는 데 엄격한 정책을 적용하고 통제합니다.

안전한 소프트웨어 개발 수명 주기

Databricks에는 기능 요청부터 프로덕션 모니터링에 이르기까지 모든 설계, 개발 및 프로덕션 단계에 보안을 적용한 소프트웨어 개발 수명 주기(SDLC)가 있으며, 수명 주기 전반에서 기능을 추적하도록 설계된 맞춤형 툴을 지원합니다. 시스템, 라이브러리, 코드의 보안을 자동으로 스캔하며 취약성을 자동 추적합니다.

보안 정책 및 통신 세부 정보

Databricks는 보안 취약성 처리 및 통신에 대한 RFC 9116, ISO/IEC 30111:2019(E) 그리고 ISO/IEC 29147:2018(E) 표준을 따릅니다. 보안 통신 및 PGP 서명에 대한 자세한 내용은 security.txt 파일을 참조하세요.