보안 개요

Mattermost 소프트웨어의 보안은 조직 내에서 소프트웨어를 배포하는 개발자, IT 관리자 및 보안 연구원들에 의해 계속적으로 검토됩니다.

여러 차례의 침투 테스트와 보안 분석은 내부 리뷰와 함께 다수의 보안 기능, 프로세스, 정책 및 규정 준수 기능의 긴 목록을 만들어 냈습니다.

보안 기능

Mattermost는 사설 클라우드 통신을 안전하게 유지하는 데 도움이 되는 다양한 기능을 제공합니다.

안전한 모바일 앱을 통한 사설 클라우드 배포

중앙 집중식 보안 및 관리

전송 보안

  • Mattermost는 LAN 및 인터넷을 통해 Mattermost 클라이언트 애플리케이션과 Mattermost 서버 간의 AES-256 및 2048비트 RSA를 사용한 TLS 암호화를 지원합니다.

  • 호출에 대한 연결은 다음과 같이 보안됩니다.

    • TLS: 기존 WebSocket 채널을 사용하여 신호 경로를 보안합니다.

    • DTLS v1.2 (필수): 초기 키 교환에 사용됩니다. TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA 알고리즘을 지원합니다.

    • SRTP (필수): 모든 미디어 패킷(음성 또는 화면 공유를 포함하는 패킷)을 암호화하는 데 사용됩니다. AEAD_AES_128_GCMAES128_CM_HMAC_SHA1_80 알고리즘을 지원합니다.

  • Active Directory/LDAP에 대한 연결은 선택적으로 TLS 또는 stunnel로 보호될 수 있습니다 (Mattermost Enterprise 및 Mattermost Professional).

  • 메시지의 암호화는 Mattermost 데이터베이스에 적용된 하드웨어 및 소프트웨어 디스크 암호화 솔루션을 통해 사용할 수 있으며, 이 데이터베이스는 본사의 인프라 내부에 위치한 별도의 서버에 있습니다. 사용자가 메시지 기록의 검색 및 규정 준수 보고를 위해 암호화를 사용하려는 경우, Mattermost는 데이터베이스 내의 암호화를 제공하지 않습니다.

  • 로컬 저장소 또는 MinIO를 통해 저장된 파일에 대한 암호화는 하드웨어 및 소프트웨어 디스크 암호화 솔루션을 적용하여 사용할 수 있습니다.

  • Amazon의 독자적인 S3 시스템에 저장된 파일에 대한 데이터 암호화는 사용자가 오픈 소스 옵션을 사용하지 않기로 선택한 경우 Amazon S3 관리 키를 사용한 서버 측 암호화 을 통해 사용할 수 있습니다.

  • 엄격한 규정 준수 정책과 같은 것에 따라 푸시 알림에서 메시지 내용을 제외할 수 있습니다 .

  • 잠긴 모바일 화면이나 iOS 또는 Android 모바일 앱으로 알림을 보낼 때 메시지의 내용을 푸시 알림에 포함하거나 제외할 수 있습니다 (HIPAA와 같은 규정 준수 표준과 관련됩니다).

무결성 및 감사 통제

인증 보호장치

접근 제어 정책

계정 열거를 방지하기 위해 사용자가 로그인하고 잘못된 로그인 정보를 입력하면 일반적인 오류가 표시됩니다.

보안은 Mattermost를 사설 네트워크에 배포하는 조직에 대한 최우선 과제입니다. 사설 네트워크의 기존 정책 및 인증 프로토콜에 따라 실행되는 동안 우리는 사설 네트워크의 사용자가 계정을 열거하는 것을 방지하는 것보다 로그인 시 사용자에게 무엇이 잘못되었는지 알려주는 것이 사용자 경험을 개선하는 것을 우선시합니다.

Mattermost는 높은 보안 환경에서 배포할 수 있도록 최적화되어 있습니다. 그러나 관리자는 배포 환경에 대한 선택권을 가지고 있습니다.

Mattermost가 방화벽 밖에 배포된 경우, 관리자는 시스템이 공용 클라우드 배포의 고유한 문제에 노출된다는 점을 인식해야 합니다. 이 경우 우리는 일반적으로 주요 온라인 서비스의 표준을 따릅니다. 예를 들어, Gmail은 이메일 계정이 존재하는지 확인하는 뿐만 아니라 기본적으로 사용자의 프로필 사진을 표시하는 API를 제공합니다.

Mattermost는 광범위한 침투 테스트, 보안 검토, 그리고 보안 업데이트 를 거칩니다. 더 자세한 내용 및 이전 토론은 GitHub 스레드에서 확인하세요 . 추가로 다음 정책도 제공됩니다:

  • 특정 사용자, 비공개 채널 또는 팀 전체 공개 채널로의 통신 제한.

  • 시스템 보안 향상을 위해 이메일 주소 목록에서 이메일 기반 계정 생성을 제한하는 것 등과 같은 기능 활성화 가능.

  • 교차 출처 요청 활성화 또는 제한 선택.

  • 계정 생성 또는 파일 및 이미지 공유를 위한 공용 링크의 사용이 활성화된 경우, 시스템 콘솔에서 소금 재생성을 통해 링크 무효화 가능 .

  • 선택 사항으로 고급 비밀번호 요구 사항 추가. 기호, 숫자, 소문자 및 대문자 문자의 최소 개수와 같은 것을 설정할 수 있습니다.

  • 팀 Admins, 시스템 Admins 또는 엔드 사용자를 위한 채널, 비공개 채널 및 통합 생성, 이름 변경, 보관을 제한하거나 활성화하는 것 선택 사항 (Mattermost Enterprise 및 Mattermost Professional).

보안 업데이트

보안 업데이트는 보안 연구 커뮤니티에서 Mattermost, Inc.에 보고된 최신 공격에 대응합니다. 발표는 통상적으로 Mattermost 책임 있는 공개 정책에 따라 기밀적으로 이루어지며, Mattermost, Inc.가 공개 전 커뮤니티에 보안 업데이트를 제공할 수 있도록 합니다.

더 많은 정보는 다음을 참조하세요:

보안 정책

내부 보안 정책, 개발 가이드라인, 업무 연속성 계획, 그리고 기업에서의 일반적인 보안 관련 질문에 관한 자세한 내용은 보안 정책 문서를 참조하세요.

또한, Mattermost는 소프트웨어에 대해 매년 최소 한 번의 침투 테스트를 수행합니다. 고객은 다섯 (5)일 전 서면 통지를 통해 언제든지 침투 테스트 결과의 사본을 요청할 수 있지만, 매년 한 번을 초과해서는 안 됩니다.

HIPAA 준수

HIPAA 준수 IT 인프라의 일부로 Mattermost를 배포하는 것은 HIPAA 준수 요구 사항과 표준에 대한 배포 팀의 교육을 필요로 합니다.

  • Mattermost는 다음과 같은 HIPAA와 관련된 기술 보증 을 제공합니다:

  • HIPAA 준수 배포는 다음을 일반적으로 고려합니다:

    • 모바일 푸시 및 이메일 알림에서 메시지 내용 제외.

      • 푸시 알림 내용 옵션이 메시지 스니펫 전송 으로 설정된 경우, 메시지에 포함된 개인 건강 정보 (PHI)가 사용자의 잠긴 전화에 알림으로 표시될 수 있습니다. 이를 피하기 위해 옵션을 사용자 채널 이름이 있는 일반 설명 전송 이나 보낸 사람 이름만 있는 일반 설명 전송 으로 설정하세요.

      • 비슷하게, 이메일 알림 내용 의 설정을 보낸 사람 이름만 있는 일반 설명 전송 으로 하면 이메일 알림에는 팀 이름과 메시지 내용이 포함되지 않습니다.

  • 기술 보증 외에도, HIPAA 준수 배포에는 다음이 필요합니다:

    • 관리적 보증

    • 물리적 보증

    • 조직 요구 사항과 기타 표준.

더 알아보려면, 미국 건강 및 인간 서비스부의 HIPAA 요구 사항을 확인하세요 .

FINRA 준수

Mattermost Enterprise 기능은 사용자가 기존 운영 시스템의 일환으로 미국 금융 산업 규제 기관 (FINRA)의 사이버 보안 요구 사항을 준수하는 데 도움을 줍니다. 이는 기술 지배, 시스템 변경 관리, 위험 평가, 기술적 제어, 사고 대응, 공급업체 관리, 데이터 유출 방지 및 직원 교육을 포함합니다.

FINRA는 기업이 민감한 고객 정보의 기밀성, 무결성 및 가용성을 보호할 수 있는 능력을 검토합니다. 이것은 각 기업이 다음과 같은 SEC 규정을 준수하는 것을 포함합니다:

  • Regulation S-P (17 CFR §248.30) 을 포함하여 고객 정보를 사이버 공격 및 기타 형태의 무단 접근으로부터 보호하기 위한 서면 정책 및 절차를 채택해야 합니다.

  • Regulation S-ID (17 CFR §248.201-202) 은 회사의 신원 도난을 탐지, 예방 및 완화하는데 관한 의무를 개요화하고 있습니다.

  • 1934년 증권 거래법 (17 CFR §240.17a-4(f)) 는 회사가 전자적으로 저장된 기록을 변경할 수 없는 형식으로 보존해야 한다고 요구합니다.

Mattermost는 고객의 통합 운영의 일환으로 FINRA 준수를 지원합니다.

  • 지속적인 아카이빙: 시스템에 입력된 모든 메시지 및 파일의 수정 불가능, 삭제 불가능한 레코드 시스템으로 구성합니다. 또한 자동 준수 내보내기 및 Smarsh/Actiance 및 Global Relay와의 통합을 통해 제3자 eDiscovery 옵션을 제공합니다.

  • 안전한 배포: 기존의 FINRA 준수 보호장치 및 인프라를 갖춘 사설, 공용, 온프레미스 네트워크 내 배포를 지원하여 고객 정보를 사이버 공격으로부터 보호합니다.

  • 침입 탐지 지원: 인증 시스템부터 응용 프로그램 서버, 데이터베이스 액세스까지 다층 침입 탐지를 지원하며, 프록시, 응용프로그램, 데이터베이스 로깅 구성을 통해 시스템 상호 작용을 철저히 감사할 수 있습니다.

  • 다층 재해 복구: 고가용성 구성, 자동 데이터 백업, 기업 정보 아카이빙 통합을 통해 데이터 손실을 예방하고 재해로부터 복구합니다.

*면책 성명: MATTERMOST는 제품을 “보증된 준수 솔루션”으로 위치시키지 않습니다. MATTERMOST 제품을 사용하여 규정 준수를 달성할 수 있음을 보증하지 않습니다. 귀하가 규정을 해석하고 그 요구 사항을 준수하기 위해 취하는 조치에 따라 귀하의 규정 준수 성공 수준이 달라집니다. 개인 및 기업에 따라 이러한 요소가 다르기 때문에 귀하의 성공을 보장할 수 없으며, 귀하의 조치에 대한 책임을 지지 않습니다. MATTERMOST를 사용하거나 당사 웹사이트에 포함된 권장 사항으로부터 어떠한 특정한 규정 준수 결과도 보장되지 않으며, 그에따라 귀하의 법률 및 규정 준수 대표자와 상의하는 것을 대체해서는 안 됩니다.