메인 콘텐츠로 건너뛰기 탐색으로 건너뛰기 푸터로 건너뛰기
디자인 파트너 프로그램: 무료로 가입하고 평생 BUSINESS 플랜 혜택을 누리세요
By Muhammed Fatih Bayraktar Published Category guide

연간 침투 테스트는 형식적 컴플라이언스입니다. NIS2 Article 21(2)(f)가 이제 그것을 문제로 만들었습니다.

지속적인 효과성 평가, 비용을 낮추는 상수 시간 포크, 그리고 포렌식 수준의 아티팩트 없이는 충족할 수 없는 Article 23 보고 타임라인.

#nis2#sre#dr-testing#effectiveness#incident-reporting

요약. 대부분의 보안 프로그램은 지난여름 어느 시점에 프로덕션에서 분기된 스테이징 환경을 대상으로 연 1회 복구 테스트를 수행합니다. 프로덕션과 동일하지 않은 환경을 대상으로 침투 테스트를 의뢰하고, 깨끗한 보고서를 받아 보관합니다. NIS2 Article 21(2)(f)는 감사자들이 앞으로 강하게 짚고 넘어갈 문구를 새로 도입했습니다. 바로 “조치의 효과성을 평가하는 정책 및 절차”입니다. 연 1회는 지속적이지 않습니다. 오래된 스테이징은 테스트 대상이 아닙니다.

  • 지침의 핵심: 21(2)(e)와 (f)는 함께, 현재 프로덕션 환경을 대상으로 실제로 작동하는 복구 및 보안 테스트를 온디맨드로 요구합니다.
  • Delphix 수준의 툴링, Veeam Instant Recovery, 또는 Rubrik Live Mount로 제대로 하려면 드는 비용이, 대부분의 팀이 스테이징으로 조용히 우회하게 만드는 원인입니다.
  • 프로덕션 포크가 7초면 완료된다면, 경제성이 뒤집힙니다. 주간 훈련이 현실적이 되고, 지속적 효과성이 문서화 가능해집니다.
  • Article 23 보고(24시간 초기 경보, 72시간 통지, 1개월 최종 보고)는 포렌식 수준의 아티팩트 없이는 충족 불가능합니다. 아티팩트는 저희가 제공합니다. SOC, SIEM, ENISA 신고 워크플로는 여전히 귀하의 몫입니다.

중간 규모 SRE 팀 어디에나 들어가서 한 가지 질문을 던져 보십시오. 마지막으로 백업 파일 검증이 아닌, 앱과 데이터베이스와 설정을 갖춘 복구 시스템을 실제로 기동하고 작동을 확인한 전체 엔드투엔드 복구를 언제 수행했습니까? 대부분의 팀에서 솔직한 답은 “작년 테이블톱 훈련 때”입니다. 그리고 모두 다시 업무로 돌아갑니다.

NIS2 Article 21(2)(f)는 감사자들이 앞으로 강하게 짚고 넘어갈 문구를 도입했습니다.

“policies and procedures to assess the effectiveness of cybersecurity risk-management measures”

“연간”이라고 말하지 않습니다. “정책 및 절차”라고 말합니다. 다음을 규정하는 Article 21(2)(e)와 함께 읽으면,

“security in network and information systems acquisition, development and maintenance, including vulnerability handling and disclosure”

이 의무는 주기적이 아닌 지속적입니다. 2024년 ENISA 이행 지침(Implementing Regulation (EU) 2024/2690 부속서 IV) 은 “지속적 평가”와 “레거시 또는 스테이징 스냅샷이 아닌 현재 프로덕션 환경을 포함하는 테스트에 대한 문서화된 증거”와 같은 문구로 이 방향을 확인합니다.

귀하의 효과성 스토리가 “스테이징 대상 연간 침투 테스트”라면, 2026년은 불편한 해가 될 것입니다.

이 포스트는 SRE 리드, 운영 매니저, 그리고 실제로 훈련을 수행하는 보안 엔지니어를 위한 글입니다. 또한 기존 벤더가 어떤 반론에서든 피벗할 핵심 무기를 명시하는 포스트이기도 합니다. 즉, Article 23 타임라인을 위한 관리형 보고 및 SIEM 커넥터 서비스입니다. 저희는 그것을 해결하지 않습니다. 저희는 아티팩트를 제공합니다. 보고 워크플로, SOC, ENISA 신고 엔진은 여전히 귀하의 몫입니다.

21(2)(e)와 (f)를 함께 읽기

Article 21은 열 가지 최소 조치를 나열합니다. 그 중 두 가지는 어떻게 구축하고 어떻게 확인하는지에 관한 것입니다.

(e) 획득, 개발 및 유지보수에서의 보안: 이것은 공급 측 조치입니다. CVE 패치를 수락할 때, 새로운 마이크로서비스를 배포할 때, 유지보수 윈도우를 실행할 때, 변경 사항은 실제로 적용될 환경을 대상으로 검증되어야 합니다. ENISA 지침은 데이터 형태, 규모, 시크릿, 또는 설정에서 프로덕션과 다른 스테이징 환경은 보안 관련 변경에 대한 테스트 의무를 충족하지 않는다고 명시합니다.

(f) 효과성 평가: 이것은 검증 조치입니다. 어떤 통제 수단을 갖고 있든, 그것이 실제로 작동한다는 것을 확인하는 정책과 절차가 필요합니다. “효과성”이라는 표현은 실질적인 역할을 합니다. “백업이 있다”(통제 존재)와 “지난 화요일에 복구 가능함을 증명했고 복구된 시스템이 스모크 테스트를 통과했다”(통제가 효과적)의 차이입니다.

두 조치를 함께 읽으면, 보안 관련 변경 사항은 현재 프로덕션 동등 환경에서 테스트되어야 하고, 테스트는 변경이 작동했다는 증거를 생성해야 합니다. 연 1회는 너무 드뭅니다. 오래된 스테이징은 잘못된 대상입니다. 검증되지 않은 복구는 효과적이지 않습니다.

이 의무에 대한 전통적인 대응은 대부분의 팀이 이미 하는 것입니다. 스테이징이 프로덕션과 유사하다고 선언하고, 연 단위 주기로 스테이징 대상 훈련을 실행하고, 실제 인시던트에서 무슨 일이 일어날지 설명하는 런북을 작성하고, 규제 기관이 너무 많은 질문을 하지 않기를 바랍니다. 규제 기관이 GDPR DPA이고 인시던트가 개인 정보 이벤트였을 때는 효과가 있었습니다. NIS2는 다른 규제 기관을 앉혀놓았습니다(국가 CSIRT, 또는 독일의 BSI, 프랑스의 ANSSI, 이탈리아의 ACN). 그리고 그 규제 기관은 운영상의 질문을 하고 있습니다.

오래된 스테이징의 함정

세 가지가 대부분의 팀이 테스트할 때쯤 스테이징을 프로덕션이 아닌 것으로 만듭니다.

데이터 형태: 프로덕션 데이터에는 롱테일 엣지 케이스가 있습니다. 8,000자 메모 필드를 가진 고객, 다른 모든 행에 값이 있는 곳에 NULL이 있는 레거시 계정, 전체 CRM 이력을 가져온 한 테넌트에 대해 1,200만 행을 반환한 조인 테이블. 스테이징에는 프로덕션 볼륨의 1%만 있고 롱테일은 샘플에 없습니다.

규모: 스테이징에서 10,000행 대상으로 50ms에 반환되는 쿼리는 프로덕션에서 1,200만 행 대상으로 8초가 걸립니다. 스테이징에서 고갈 취약점을 찾지 못하는 침투 테스트 시나리오는 프로덕션에서 즉시 찾아냅니다. 취약점 형태는 데이터 규모에 따라 달라집니다.

설정 드리프트: 프로덕션에는 환경 변수, IAM 역할, 네트워크 정책, 세 번 로테이션된 시크릿, 지난주에 갱신된 SSL 인증서, 3월에 꺼야 했지만 남아있는 기능 플래그가 누적되어 있습니다. 스테이징에는 지난여름 설정의 깨끗한 복사본과 최근 프로젝트를 위해 추가된 것만 있습니다. 그 델타가 바로 보안 버그가 숨어있는 곳입니다.

따라서 패치가 스테이징에서 통과되면 팀의 자신감은 잘못 놓인 것입니다. 침투 테스트가 스테이징 대상으로 깨끗한 결과를 보고하면, 그 보고서는 오해를 불러일으킵니다. 복구 훈련이 스테이징 복구에 성공하면, 팀은 프로덕션 복구를 검증한 것이 아닙니다.

2026년의 감사자들은 스테이징이 충분한지 논쟁하지 않습니다. 그들은 현재 프로덕션 대상 테스트 증거를 요청합니다. 증거는 타임스탬프가 있어야 하고, 테스트 시점에 테스트 대상 시스템이 프로덕션처럼 보였음을 보여야 하며, 테스트가 결과를 생성했음을 보여야 합니다.

대부분의 팀은 현재 프로덕션 대상 훈련을 실행하는 비용이 전통적인 툴링으로는 엄두를 낼 수 없기 때문에 오늘 그 증거를 제출할 수 없습니다.

전통적인 툴링으로 제대로 하는 데 드는 비용

시장에는 답이 있습니다. 그 답은 비쌉니다.

Veeam Instant Recovery: 백업에서 직접 VM을 기동하고, 마운트하고, 네트워크 인터페이스를 연결합니다. 애플리케이션 일관성 있는 복구 테스트에 사용됩니다. 최근 백업 대상 복구 테스트 가능. 스테이징 환경이 복구된 백업이 됩니다. 디스크 읽기가 백업 리포지토리에서 오기 때문에 용량 부담이 적습니다. 비용: Veeam Data Platform Premium 라이선싱은 VM 수에 따라 확장되고, 복구 테스트는 여전히 엔지니어가 계획하고 운영해야 합니다. 대부분의 팀은 분기에 한 번 이를 실행합니다.

Rubrik Live Mount: 유사한 개념으로, 테스트를 위해 백업 스냅샷을 즉시 마운트합니다. 클라우드 네이티브 워크로드와의 통합이 더 좋습니다. 동일한 운영 패턴. 동일한 테스트당 엔지니어링 오버헤드.

Delphix (Perforce DevOps Data): 개발 및 테스트를 위해 소스 데이터베이스의 거의 즉시적인 클론을 생성하는 데이터 가상화 툴. “개발에서 프로덕션 형태의 데이터가 필요하다”는 문제를 해결합니다. 데이터베이스 전용. 애플리케이션 서비스, 설정, 시크릿, 또는 컨테이너 상태를 복제하지 않습니다. 중간 시장 팀에서 연간 라이선스가 여섯 자릿수에 달합니다.

Tonic.ai, Redgate Test Data Manager: 데이터 마스킹 및 합성 데이터 접근 방식. 개발 및 테스트 환경에서 개인 정보 보호 대 현실성 트레이드오프를 해결합니다. 데이터 형태와 규모에 관한 한 프로덕션 현실적입니다. 풀스택 클론이 아닙니다. 애플리케이션 설정이 중요한 보안 테스트 시나리오를 위해 설계되지 않았습니다.

커스텀 빌드: 핫 백업을 가져와 병렬 환경에 복구하고, 테스트를 실행하고, 종료합니다. 개념적으로는 가능합니다. 운영상으로는 훈련당 다일 엔지니어링 작업입니다. 팀이 어쩔 수 없어서 한 번 이를 하고는, 다시는 하지 않습니다.

구조적 문제는 프로덕션 클로닝, 즉 애플리케이션 상태를 포함한 풀스택 클로닝이 역사적으로 (a) 바이트당 데이터 전송(규모에서 느리고 비쌈), (b) 스냅샷 기반 VM 클로닝(IaaS에서 작동, 컨테이너와 Kubernetes에서 실패), 또는 (c) 데이터 가상화(데이터베이스 전용) 중 하나를 필요로 했다는 것입니다. 세 가지 접근 방식 모두 환경 크기에 따라 확장되는 테스트당 비용을 수반합니다.

테스트당 비용이 크기에 따라 확장되면, 훈련은 드문 이벤트가 됩니다. 드문 이벤트는 지속적인 효과성 평가를 충족하지 않습니다.

프로덕션 포크가 7초면 무엇이 달라지는가

Rediacc는 리포지토리 포킹에 BTRFS reflink를 사용합니다. 메커니즘은 파일시스템 수준의 copy-on-write입니다. 포크는 어느 쪽이 새 데이터를 쓸 때까지 부모와 블록을 공유하고, 그 시점에서 변경된 블록만 분기됩니다. 포크 작업 자체는 리포지토리 크기에 관계없이 상수 시간입니다.

저희의 PocketOS 테스트 포스트에서, 128 GB 프로덕션 리포지토리를 엔드투엔드로 7.2초만에 포크했습니다. reflink 자체는 2.3초였습니다. 나머지 대부분은 새로운 Docker 데몬 프로비저닝, LUKS 암호화 볼륨 마운트, 새로운 루프백 IP 서브넷에서 서비스 스택 기동입니다.

포크의 형태는 속도만큼 중요합니다. Rediacc 포크는 풀스택입니다. 포크된 리포지토리에는 다음이 포함됩니다.

  • 모든 데이터 파일과 데이터베이스 상태를 포함하는 LUKS 암호화 볼륨.
  • Docker 데몬 설정과 컨테이너 상태.
  • Rediaccfile 라이프사이클 훅(up, down, info).
  • 리포지토리의 루프백 IP 서브넷(포크를 위해 새로 할당된 /26).
  • 리포지토리의 네트워크 ID, 데몬 소켓, 마운트 네임스페이스.

기본적으로 포함되지 않는 것은 서비스가 외부 SaaS(Stripe, 메일 릴레이, DKIM 키, 웹훅 서명 키)와 통신하는 데 필요한 시크릿입니다. 그것들에 대해, rdc repo secret은 자격 증명을 포크 이미지에서 완전히 제외하므로 포크의 외부 SaaS 호출은 상속이 아닌 명시적입니다. 시크릿 모델에 대해서는 리포지토리를 참조하십시오.

이 형태, 즉 명시적인 시크릿 처리가 있는 풀스택이 포크를 보안 테스트의 대상으로 적합하게 만드는 것입니다. 포크는 현재 프로덕션 데이터, 현재 프로덕션 설정, 현재 컨테이너 상태를 가진, 10초 전의 프로덕션 시스템입니다. 감사자가 테스트 대상으로 원하는 바로 그 시스템입니다.

문서화된 사용 사례에 대해서는 위험 없는 업그레이드튜토리얼: 포킹을 참조하십시오.

주간으로 실행할 수 있는 지속적 효과성 루틴

다음은 프로덕션 리포지토리에 대해 Article 21(2)(e)와 (f)를 충족하는 구체적인 루틴입니다. 단일 SRE가 주간 주기로 실행할 수 있습니다.

1단계: 프로덕션 포크.

rdc repo fork --parent prod-app --tag effectiveness-2026w19 -m hostinger

포크는 ISO 주 번호로 명명되어 감사 로그가 자기 설명적입니다. 리포지토리는 포크 전용 서브도메인(<service>-fork-effectiveness-2026w19.prod-app.<machine>.<basedomain>) 아래에서 기동되고, 부모의 와일드카드 인증서가 이를 포함합니다. 새로운 TLS 핸드셰이크가 없습니다.

2단계: 포크에서 테스트 중인 패치 적용.

rdc repo up --name prod-app:effectiveness-2026w19 -m hostinger
rdc term connect -m hostinger -r prod-app:effectiveness-2026w19 -c "apt-get install -y openssl=3.5.5-1"

term 세션은 비권한 rediacc 사용자(UID 7111)로, 별도의 마운트 네임스페이스에서, DOCKER_HOST가 포크의 데몬 소켓으로 범위 지정된 채 실행됩니다. 크로스 리포지토리 접근은 커널 수준에서 차단됩니다(포크는 프로덕션의 루프백 서브넷에 도달할 수 없습니다). 격리 모델에 대해서는 아키텍처 § Docker 격리를 참조하십시오.

3단계: 포크에 대한 스모크 테스트 실행.

curl -fsS https://app-fork-effectiveness-2026w19.prod-app.hostinger.example.com/health
# (프로젝트 전용 스모크 테스트를 여기에 작성하십시오)

4단계: 복구 훈련 실행. 프로덕션의 가장 최근 핫 백업을 사용하여 포크 정렬 대상으로 가져옵니다.

rdc repo backup pull --from offsite-b2 --name prod-app:restore-2026w19 -m hostinger
rdc repo up --name prod-app:restore-2026w19 -m hostinger
# 복구된 포크가 동일한 스모크 테스트에 응답하는지 확인
curl -fsS https://app-fork-restore-2026w19.prod-app.hostinger.example.com/health

이것이 21(2)(c)와 (f)가 요구하는 복구 테스트입니다. “백업 파일 무결성 검증”이 아니라 “복구된 시스템이 스모크 테스트에 응답”하는 것입니다.

5단계: 결과를 감사 로그에 기록하고 종료.

rdc audit log --since "1 hour ago" > /tmp/effectiveness-2026w19.json
rdc repo destroy --name prod-app:effectiveness-2026w19 -m hostinger --force
rdc repo destroy --name prod-app:restore-2026w19 -m hostinger --force

감사 로그는 모든 단계(포크 생성, repo up, term 세션, 백업 pull, repo destroy)를 캡처합니다. 해시 체인으로 연결되어 있습니다. 운영자의 워크스테이션에서 rdc audit verify를 실행하면 이벤트가 기록된 이후 체인이 수정되지 않았음을 확인합니다. 감사 모델에 대해서는 계정 보안 § AI 에이전트를 위한 CLI 보안 자세를 참조하십시오.

128 GB 리포지토리에서 루틴의 총 실 소요 시간은 15분 미만입니다. 대부분은 스모크 테스트와 백업 pull의 네트워크 왕복 시간입니다. 포크 작업 자체는 각각 몇 초입니다.

단일 SRE가 이것을 주 1회 실행하면 연간 52개의 타임스탬프된, 감사 로그된 효과성 기록이 생성됩니다. 감사자가 요청하는 증거 형태가 바로 이것입니다.

크로스 머신 및 대륙 간 훈련을 포함한 더 넓은 복구 스토리에 대해서는 크로스 백업 전략백업 및 복구를 참조하십시오. 부분 손상 이벤트 중 시점 의미론에 대해서는 시간 여행 복구를 참조하십시오.

Article 23: 아티팩트 없이는 충족할 수 없는 보고 타임라인

NIS2 Article 23은 인시던트 보고 시계입니다. 세 가지 마감 기한이 있습니다.

  • 중요한 인시던트 인지로부터 24시간: 국가 CSIRT 또는 관할 당국에 초기 경보. 인시던트가 발생 중임을 나타내고 국경 간 영향에 대한 초기 정보를 제공합니다.
  • 인지로부터 72시간: 전체 인시던트 통지. 심각도 평가, 초기 침해 지표, 위협 유형 및 알려진 영향을 포함합니다.
  • 통지로부터 1개월: 최종 보고서. 상세한 설명, 근본 원인, 적용된 완화 조치, 진행 중인 위험.

빡빡한 시계입니다. 또한 인시던트가 진행 중인 동안 흐르는 시계이기도 합니다. Article 23의 가장 고통스러운 버전은 팀이 서비스를 복구하고, 포렌식 증거를 보존하고, 법 집행 기관과 조율하고, 경영진에게 브리핑하고, 모두 처음 24시간 안에 초기 경보를 작성하는 경우입니다.

표준 백업 툴은 트레이드오프를 강요합니다. 서비스를 되살리기 위해 시스템을 복구하거나, 조사를 위해 시스템을 보존하거나. 백업에서 복구하면 침해의 라이브 증거가 사라집니다. 조사를 위해 침해된 시스템을 동결하면 고객에게 서비스를 제공하지 못합니다. 둘 다 Article 23 타임라인에서 나쁩니다.

포크 메커니즘이 트레이드오프를 해소합니다. 침해된 상태를 포크할 수 있고(부모 리포지토리가 포렌식 스냅샷이 됩니다), 가장 최근의 깨끗한 백업에서 병렬 포크를 기동하여 트래픽을 처리할 수 있습니다. 포렌식 포크는 분석을 위해 읽기 전용입니다. 서비스 포크는 고객에게 응답합니다. 둘 다 reflink를 통해 블록을 공유하며 동일한 머신에 동시에 존재하기 때문에 이것이 운영상 가능한 것입니다.

구체적으로, 인시던트에서:

# 포렌식을 위해 침해된 상태를 스냅샷. 포크가 스냅샷입니다.
rdc repo fork --parent prod-app --tag forensic-2026-05-09T14-23Z -m hostinger

# 마지막 깨끗한 백업에서 서비스 포크를 기동. 다른 태그.
rdc repo backup pull --from offsite-b2 --name prod-app:serving-2026-05-09T14-30Z -m hostinger
rdc repo up --name prod-app:serving-2026-05-09T14-30Z -m hostinger
# DNS 또는 라우트 서버를 통해 트래픽을 새 서비스 포크로 전환.

포렌식 포크는 60시간째 규제 기관의 질문에 답합니다. “침해 순간 시스템의 정확한 상태를 보여 주십시오.” 서비스 포크는 고객의 질문에 답합니다. 70개 이상의 이벤트 감사 로그는 “누가 언제 무엇을 했는지”를 해시 체인으로 연결된, 검증 가능한 방식으로 답합니다.

그것이 Rediacc가 운영자에게 제공하는 것입니다. 저희가 제공하지 않는 것:

  • SIEM. 저희는 Splunk, Datadog, Sentinel, 또는 자체 제작 스택으로 스트리밍하지 않습니다. 감사 로그는 운영자 워크스테이션의 로컬 JSONL입니다. SIEM으로 파이프하는 것은 운영자의 통합 작업입니다.
  • SOC. 저희는 24x7 탐지 역량을 운영하지 않습니다. 알림을 생성하지 않습니다. 트리아지를 하지 않습니다.
  • 관리형 보고. 저희는 ENISA 보고서를 제출하지 않습니다. 초기 경보 초안을 작성하지 않습니다. 귀하를 대신하여 국가 CSIRT와 조율하지 않습니다.

이것이 기존 벤더가 저희에 맞서 사용할 핵심 무기입니다. Coveware 통합이 있는 Veeam Data Platform, 관리형 서비스 부문이 있는 Rubrik, 그리고 몇몇 전문 IR 리테이너 회사(Mandiant, Kroll, 유럽의 S-RM)는 Rediacc가 갖추지 않은 정확히 그 운영 레이어를 판매합니다. 그렇지 않은 척하는 것이 저희를 곤경에 빠뜨리는 마케팅 행위입니다. 방어 가능한 입장은 이것입니다. Rediacc는 그 서비스들이 스스로 생성할 수 없는 포렌식 수준의 아티팩트를 제공합니다. 그 서비스들은 Rediacc가 제공할 수 없는 운영 보고 레이어를 제공합니다. 상호 보완적입니다. NIS2 프로그램은 둘 다 필요합니다.

Rediacc가 대신 실행하지 않는 것

SRE가 나머지 포스트가 흥미롭다고 결정하기 전에 미리 알아야 할 두 가지.

Rediacc는 침투 테스트를 실행하지 않습니다. 포크-as-a-target은 환경이지, 테스트 역량이 아닙니다. 실제 적대적 침투 테스트는 여전히 귀하의 레드 팀 또는 계약된 테스팅 회사(자율적인 경우 Pentera, Horizon3.ai; 사람이 주도하는 경우 전문 컨설팅 회사)의 몫입니다. Rediacc는 테스트 환경이 비현실적이었다는 변명을 제거합니다. 테스트 비용은 제거하지 않습니다.

Rediacc는 런북을 작성하지 않습니다. 위의 CLI 명령어는 구성 요소입니다. 언제 포크할지, 언제 페일오버할지, 고객과 어떻게 소통할지, 언제 법 집행 기관을 참여시킬지에 대한 결정은 런북 결정입니다. 그것들은 여전히 팀이 작성하고, 훈련하고, 업데이트해야 합니다. NIS2 Article 21(2)(b)(인시던트 처리)는 툴링 의무가 아닌 프로세스 의무이며, 저희는 그 일부를 충족하지 전부가 아닙니다.

조달 측 범위(인증, GRC, 공급업체 등록 통합)에 대해서는 공급망 포스트를 참조하십시오. 비용 측 범위(자체 호스팅 제어 플레인 이후 예산에 남는 것)에 대해서는 실제 청구 포스트를 참조하십시오.

이것들에 대한 올바른 이해: Rediacc는 툴링 레이어이지 보안 프로그램이 아닙니다. 변명을 제거하고 증거를 생성합니다. 프로그램을 대신 실행하지 않습니다.

2026년에 감사자가 보고 싶어하는 것

세 가지 아티팩트입니다. 이것들을 제출하면 Article 21(2)(e)와 (f)에 관한 대화가 짧아집니다.

아티팩트 1: 포크 훈련 주기. 롤링 12개월 동안 주간 또는 격주 주기로 실행된 효과성 훈련의 타임스탬프된 로그. 각 항목은 부모 리포지토리, 포크 태그, 테스트 중인 패치 또는 변경, 스모크 테스트 결과, 종료 타임스탬프를 보여줍니다. rdc audit log --since가 생성하는 감사 로그가 이 모든 것을 캡처합니다.

아티팩트 2: 해시 체인으로 연결된 훈련의 감사 로그. 감사 로그의 해시 체인이 “작년에 47번 훈련을 실행했다”를 주장에서 증거로 바꾸는 것입니다. rdc audit verify가 체인을 엔드투엔드로 검증합니다. 검증 결과는 감사자가 재실행할 수 있는 단일 명령어 출력입니다.

아티팩트 3: 백업 검증 트레일. 예약된 각 백업 전략에 대해, systemd 유닛은 리포지토리별, 실행별로 /var/run/rediacc/cold-backup-<guid>.status.json에 상태 사이드카를 생성하고, 최종 요약 로그 라인을 생성합니다. rdc machine backup status가 둘 다 표시합니다. 위 루틴의 4단계에서 주간 복구 훈련과 결합하면, 감사자에게 “백업 수행” 트레일이 아닌 “백업 및 복구 테스트 완료” 트레일을 제공합니다. 진단 표면에 대해서는 모니터링을 참조하십시오.

아티팩트들이 함께 “통제가 효과적인가”라는 질문에 증명이 아닌 타임스탬프와 해시 체인 증거로 답합니다.

다음 분기 계획 회의에 의미하는 것

팀이 Q3 계획을 앞두고 있고 Article 21(2)(f)가 보안 백로그에 있다면, 세 가지 구체적인 조치가 있습니다.

  1. 현재 효과성 스토리를 감사하십시오. 지난 12개월간의 침투 테스트 보고서, 복구 훈련, 패치 검증 티켓을 꺼내십시오. 그 중 몇 개가 현재 프로덕션을 대상으로 했는지 세십시오. 솔직한 숫자는 보통 다섯 개 미만입니다.
  2. 프로덕션 리포지토리 하나를 선택하고, 한 달 동안 위의 주간 루틴을 실행하십시오. 루틴은 스케줄링 오버헤드 없이 SRE 한 명이 운영할 수 있도록 설계되었습니다. 4주 후에 타임스탬프된 효과성 기록 4개가 생깁니다. 대부분의 팀이 1년에 생성하는 것보다 많습니다.
  3. SIEM, SOC, Article 23 보고 워크플로를 누가 담당할지에 대한 대화를 나누십시오. 답이 “아직 거기까지 오지 않았다”라면, 시작해야 할 곳은 Rediacc가 아니라 24x7 탐지 역량입니다. 저희는 그 대화에 보완적이지, 시작점이 아닙니다.

가장 큰 리포지토리에서 포크 타이밍을 확인하고 싶다면, 제안은 간단합니다. 저희와의 통화에서 실행해 보십시오. 포크가 10초 이상 걸리면, 귀하는 저희에게 아무것도 빚지지 않습니다. 7초가 걸리면, 나머지 통화 시간 동안 귀하의 스택에서 루틴을 안내해 드리겠습니다.

구조적 비용 스토리(보안 스택의 나머지에서 무엇이 통합되고 무엇이 예산 항목에 남는지)는 실제 청구 동반 포스트에 있습니다. 공급업체 등록 및 조달 각도에 대해서는 Article 21(2)(d)와 자체 호스팅을 참조하십시오.

NIS2 조항에 대한 역량의 공개 매핑에 대해서는 NIS2 및 DORA를 참조하십시오.