search
Knowledge BaseRelease NotesRequest Demo

보안 및 개인정보

안전 및 데이터 보안은 Panther Labs 팀에게 매우 높은 우선순위입니다.

당사 애플리케이션에서 보안 취약점을 발견하셨다면 책임 있는 방식으로 이를 공개해 주시기 바랍니다. Panther Labs가 유지 관리하는 모든 오픈 소스 코드베이스나 당사의 상업적 제공에 식별된 보안 문제는 [email protected]으로 이메일을 통해 보고해 주십시오.

Panther Labs는 연구자들과 협력하고 패치 과정 전반에 걸쳐 그들에게 업데이트를 제공하는 데 전념하고 있습니다. 책임 있게 유효한 보안 문제를 보고한 연구자들은 원할 경우 그들의 노력에 대해 공개적으로 공로가 인정됩니다.

hashtag
Panther 위협 모델

Panther를 통해 전달되는 모든 데이터는 항상 귀하의 제어 하에 있으며 전송 중 및 저장 시 모두 암호화됩니다. AWS 인프라 지원은 최소 권한 원칙을 따르며 AWS CloudFormation으로 배포됩니다.

우리는 강력한 보안 태세를 확립하는 것의 일부가 위협 모델을 수립하는 것이라고 믿습니다.

Panther의 경우 위협 모델에는 Panther를 운영하는 조직 외부의 공격자뿐만 아니라 Panther에 접근 권한이 없는 조직 내부의 공격자도 포함됩니다. Panther는 이러한 위협들이 Panther UI에 접근하거나 Panther가 배포된 AWS 계정에 대한 관리자 권한을 갖고 있지 않는 한 시스템을 악용하거나 우회하려는 악의적 행위자로부터 안전하도록 설계되었습니다. 이 접근 권한을 가진 공격자는 Panther 배포를 우회, 파괴, 비활성화하거나 악용할 수 있는 능력을 갖습니다. 특히, 임의의 정책/규칙을 편집하거나 생성할 수 있는 능력이 있는 공격자는 Panther가 처리하는 모든 데이터에 대해 완전한 접근 권한을 가진 것으로 간주해야 합니다.

hashtag
귀하의 책임

Panther는 모든 로그와 클라우드 인프라에서 임의의 Python 규칙과 정책을 실행하는 핵심 기능을 제공하면서 가능한 한 안전하게 설계되었습니다.

임의의 Python 코드를 작성할 수 있는 권한은 Panther를 거의 어떤 일이든 수행하도록 악용될 수 있습니다. 귀하 환경에서 실행되는 정책과 규칙이 귀하에 의해 신뢰받도록 하는 것은 귀하의 책임이며, 이를 돕기 위해 다음 모범 사례를 권장합니다:

  1. Panther 배포에 대한 접근 권한을 누구에게 부여하는지 매우 신중하게 결정하십시오. 다시 말씀드리지만, 정책이나 규칙을 편집할 수 있는 Panther 자격 증명을 가진 모든 사용자는 Panther가 처리하는 모든 데이터에 접근할 수 있습니다!

  2. Panther 자격 증명을 공유하거나 재사용하지 마십시오. 당사는 안전한 로그인 강화를 위해 최선을 다하고 있지만, 자격 증명 공유는 악의적 행위자가 이를 탈취할 가능성을 높이고 누가 시스템에 어떤 변경을 했는지 감사할 수 있는 능력을 저하시킵니다.

  3. 정책이나 규칙을 실행하기 전에 매우 신중하게 검토하십시오. Panther 정책/규칙 형식은 개방되어 있어 누구나 정책 및 규칙 팩을 작성하여 온라인에 게시할 수 있습니다. 다른 사람이 작성한 정책이나 규칙을 실행하기 전에 해당 항목들이 무엇을 하는지 이해했는지 주의 깊게 검토하십시오.

  4. Panther 백엔드 서비스를 직접 액세스/수정할 때는 주의하십시오. Panther가 오픈 소스라는 점의 큰 장점 중 하나는 코드베이스의 어떤 부분이라도 수정할 수 있다는 점이며, 이러한 커스터마이징을 적극 권장합니다! 그러나 백엔드 서비스를 수정할 때는 임의적이거나 불필요해 보이는 제어를 제거하지 않도록 주의하십시오. 그러한 제어는 시스템의 명백하지 않은 악용을 방지하기 위해 설정되어 있을 수 있습니다.

circle-info

의문이 있을 경우 언제든지 Panther 팀에 문의하십시오: [email protected].

이러한 모범 사례와 기본적인 보안을 따르면 과도한 위험에 노출되지 않고도 Panther를 사용해 환경을 보호할 수 있습니다.

hashtag
개인정보

오류 보고에 가입한 경우 웹 애플리케이션 예외 또는 충돌이 발생했을 때 다음 정보가 Panther 팀으로 전송됩니다:

  • 브라우저, 운영체제 및 Panther 설치 버전

    이는 문제를 재현하는 방법을 이해하는 데 도움이 됩니다.

  • 오류 유형, 관련 스택 트레이스 및 오류가 발생한 페이지의 URL.

    이는 문제와 관련된 코드를 식별하고 이전의 함수 호출에 대한 통찰을 얻는 데 도움이 됩니다. 모든 민감한 매개변수나 변수는 제외됩니다.

Panther 팀은 설치에서 발생하는 런타임 문제를 이해함으로써 큰 이득을 얻으며 이를 통해 문제를 신속하게 해결할 수 있습니다. 오류 보고 설정은 언제든지 일반 설정 페이지를 참조하세요.

hashtag
관련 콘텐츠:

Previous운영NextAWS 외부 ID 없이 보안 유지하기

Last updated

Was this helpful?