Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Tenable.io FAQ

Tenable.io 사용해 보기

60초 이내에 첫 번째 스캔을 실행합니다.

지금 사용해 보기

일반 질문

Tenable.io®는 무엇입니까?

Tenable.io는 전체 인프라의 보안 위험에 대한 실행 가능한 인사이트를 제공하는 Tenable 사이버 노출 플랫폼의 필수 구성 요소로, 최신 IT 환경에서 취약성과 구성 오류를 빠르고 정확하게 식별하고 조사하며 우선 순위를 지정할 수 있습니다.

Tenable.io로 보안 및 컴플라이언스 포스처를 명확하게 확인할 수 있습니다. Tenable의 선도적 Nessus® 취약성 평가 기술을 기반으로 구축한 Tenable.io는 클라우드 및 컨테이너와 같은 동적 자산을 수용하는 동시에 리소스를 정확하게 추적하는 새로운 자산 기반 접근 방식을 제공합니다. 가시성과 인사이트를 최대화하기 위해 Tenable.io는 취약성의 우선 순위를 효과적으로 지정하는 동시에 환경에 원활하게 통합됩니다.

Tenable.io에서 제공되는 취약성 관리 기능 외에도, Tenable 사이버 노출 플랫폼은 Tenable.io Web Application Scanning 및 Tenable.io Container Security를 포함해 추가적인 특정 보안 요구를 해결하는 애플리케이션을 제공합니다. 이러한 애플리케이션을 개별적으로 라이선스할 수 있으며 사전 요구 사항이나 동시 구매 요구 사항은 없습니다.

Tenable.io에 대해 자세히 알아보려면 어떻게 해야 합니까?

Tenable.io에 대해 자세히 알아보려면 Tenable.io 제품 페이지를 방문하고, 예정된 웨비나에 참석하거나 해당 Tenable 인증 파트너 또는 Tenable 담당자에게 자세한 내용을 문의하시기 바랍니다.

Tenable.io 애플리케이션을 평가하려면 어떻게 해야 합니까?

https://www.tenable.com/try를 방문하여 Tenable.io의 무료 평가에 등록하십시오.

Tenable.io 애플리케이션을 구매하려면 어떻게 해야 합니까?

Tenable.io 애플리케이션은 해당 지역의 Tenable 인증 파트너와 협력하거나 Tenable 담당자에게 문의하거나 tenable.com을 방문하여 구입할 수 있습니다.

Tenable 애플리케이션을 개별적으로 라이선스할 수 있습니까?

예. Tenable 애플리케이션을 개별적으로 라이선스할 수 있습니다. 예를 들면, Tenable.io의 취약성 관리 기능 없이 Tenable.io Container Security 및 Tenable.io Web Application Scanning을 별도로 라이선스할 수 있습니다.

Tenable.io의 가격 및 라이선스 방식은 어떻게 됩니까?

Tenable.io는 연간 구독을 통해 라이선스가 부여되며 IP 주소가 아닌 자산별로 가격이 책정됩니다. 따라서 고객은 중복 계산에 대한 걱정 없이 클라우드와 같은 새로운 기술을 수용할 수 있습니다.

가격 책정 및 라이선싱에 대한 자세한 내용은 아래 섹션을 참조하십시오.

자산은 어떻게 정의됩니까?

자산은 분석할 수 있는 엔터티입니다. 데스크톱, 노트북, 서버, 스토리지 장치, 네트워크 장치, 전화, 태블릿, 가상 컴퓨터, 클라우드 인스턴스 및 컨테이너를 예로 들 수 있습니다.

가격 책정 및 라이선싱에 대한 자세한 내용은 아래 섹션을 참조하십시오.

다른 Tenable.io 애플리케이션의 가격 책정 및 라이선스 부여 방식은 어떻게 됩니까?

Tenable.io Container Security와 Web Application Scanning은 연간 구독을 통해 라이선스가 부여되며 자산 수량으로 가격이 책정됩니다. Tenable.io Container Security는 제품에 의해 평가된 고유한 컨테이너 이미지 계층의 총 스토리지 볼륨에 따라 가격이 책정되며 Tenable.io Web Application Scanning은 제품이 평가하는 정규화된 도메인 이름(FQDN)의 총 수에 따라 가격이 책정됩니다.

가격 책정 및 라이선싱에 대한 자세한 내용은 아래 섹션을 참조하십시오.

Tenable은 Tenable.io에 대해 서비스 수준 계약(SLA)을 제공합니까?

예. Tenable은 Tenable.io에 대한 강력한 서비스 수준 계약(SLA)을 통해 취약성 관리 업계 최초로 가동 시간 보장을 제공합니다. Amazon Web Services와 같은 주요 클라우드 공급업체와 마찬가지로 SLA가 충족되지 않는 경우 서비스 크레딧을 제공합니다.

어디에서 Tenable.io에 대한 설명서는 찾을 수 있습니까?

Tenable.io를 포함한 모든 Tenable 제품에 대한 기술 설명서는 https://docs.tenable.com에서 찾을 수 있습니다.

Tenable은 클라우드에서 스캔하는 데 어떤 IP를 사용합니까?

기본적으로 Tenable.io는 리전별 클라우드 스캐너로 구성됩니다. 자세한 내용은 Tenable 설명서를 참조하십시오.

Tenable.io의 릴리스가 Tenable.sc에 영향을 줍니까?

아니요. Tenable.sc 또는 이 제품을 사용하는 고객에게 영향을 미치지 않습니다. Tenable.io는 클라우드 기반 사이버 노출 플랫폼이며 Tenable.sc는 온프레미스 솔루션을 선호하는 고객을 위한 사이버 노출 플랫폼입니다.

Tenable.sc와 Tenable.io를 모두 사용할 수 있습니까?

예. 두 솔루션을 모두 사용할 수 있으며 많은 Tenable.sc 고객이 Tenable.sc와 함께 Tenable.io Web Application Scanning, Tenable.io PCI/ASV 및/또는 Tenable.io Container Security를 사용하는 데 관심이 있을 것으로 예상됩니다.

Tenable.sc에서 Tenable.io로 마이그레이션할 수 있습니까?

예. 관심 있는 고객은 Tenable 또는 인증 파트너의 모든 지원을 받으면서 Tenable.sc에서 Tenable.io로 원활하게 마이그레이션할 수 있는 다양한 옵션이 있습니다. 자세한 내용은 Tenable 인증 파트너 또는 Tenable 담당자에게 문의하십시오.

외부 공격 표면 관리(EASM)란 무엇입니까?

외부 공격 표면 관리(EASM)는 Tenable에서 제공하는 기능으로, 네트워크 경계 외부의 사각지대에 대한 가시성을 제공합니다. 이 기능을 통해 도메인을 스캔하여 조직에 높은 위험을 가져올 수 있는 이전에 알려지지 않은 인터넷 연결 자산을 찾을 수 있습니다.

Tenable.io에 외부 공격 표면 관리(EASM)가 포함되어 있습니까?

예, Tenable.io는 외부 공격 표면 관리(EASM) 기능을 제공합니다. 결과에 추가 도메인, 빈도 및/또는 메타데이터가 필요하면 Tenable.asm 추가 기능을 구입할 수 있습니다.

Tenable.io Web Application Scanning은 무엇입니까?

Tenable.io Web Application Scanning은 최신 웹 애플리케이션에 대한 포괄적인 취약성 스캐닝을 제공합니다. 정확한 취약성 보안으로 인해 오탐과 미탐이 최소화되어 보안 팀은 웹 애플리케이션의 실제 보안 위험을 이해할 수 있습니다.

이 제품은 심지어 HTML5 및 AJAX 프레임워크를 사용하여 구축된 프로덕션 웹 애플리케이션도 중단되거나 지연되지 않도록 하는 안전한 외부 스캐닝을 제공합니다. 문제가 식별되면 보안 팀은 취약성을 평가하고 관리하는 데 필요한 정보를 제공하는 직관적인 대시보드를 확인 수 있습니다.

어디에서 Tenable.io Web Application Scanning을 평가하거나 자세히 알아볼 수 있습니까?

Tenable.io Web Application Scanning에 대한 자세한 내용은 Tenable.io 제품 페이지를 참조하십시오. tenable.com/try-was를 방문하여 무료 평가에 등록하거나 해당 Tenable 인증 파트너 또는 Tenable 담당자에게 자세한 내용을 문의하시기 바랍니다.

제품이 소스를 스캔하거나 정적 분석을 수행합니까?

아니요. Tenable.io Web Application Scanning은 애플리케이션을 테스트 또는 프로덕션 환경에서 실행하고 있을 때 "외부에서" 웹 애플리케이션을 테스트하는 동적 애플리케이션 보안 테스트(DAST) 솔루션입니다.

Tenable.io Container Security는 무엇입니까?

취약성 관리 플랫폼에 통합된 유일한 컨테이너 보안 제품인 Tenable.io Container Security는 컨테이너 이미지를 지속적으로 모니터링하여 취약성, 맬웨어 및 기업 정책 컴플라이언스를 확인합니다. 컨테이너 빌드 프로세스에 보안을 포함하여 조직은 컨테이너의 숨겨진 보안 위험에 대한 가시성을 확보하고 혁신 주기를 늦추지 않으면서 프로덕션에 도달하기 전에 위험을 수정할 수 있습니다.

FlawCheck 기술을 기반으로 하는 Tenable.io Container Security는 컨테이너 이미지를 저장하고 빌드되는 대로 스캔합니다. 컨테이너 이미지의 지속적 모니터링과 함께 취약성 및 맬웨어 탐지를 제공합니다. Tenable.io Container Security는 컨테이너 이미지를 빌드하는 지속적 통합 및 지속적 배포(CI/CD) 시스템과 통합하여 프로덕션에 도달하는 모든 컨테이너가 안전하고 기업 정책을 준수하도록 보장합니다.

어디에서 Tenable.io Container Security를 평가하거나 자세히 알아볼 수 있습니까?

Tenable.io Container Security에 대한 자세한 내용은 Tenable.io 제품 페이지를 참조하십시오. tenable.com/try-container에서 무료 평가에 등록하거나 Tenable 인증 파트너 또는 Tenable 담당자에게 자세한 내용을 문의하시기 바랍니다.

Tenable.io 내의 Centralized Credential Management(CCM)란 무엇이며 그 이점은 무엇입니까?

Centralized Credential Management(CCM)를 사용하면 자격 증명을 별도로 만든 다음 스캔에 적용할 수 있습니다. Tenable.io는 예전에는 자격 증명을 스캔 정책에 연결했습니다. 새 스캔을 만들 때마다 대상 자산의 자격 증명을 입력해야 했습니다. 여러 스캔이 동일한 자산을 대상으로 하는 경우 자격 증명을 여러 번 입력해야 했습니다. 자격 증명이 변경되면, 해당 자산을 대상으로 하는 모든 스캔에 대해 자격 증명을 변경해야 했습니다.

Centralized Credential Management는 여러 이점을 제공합니다.

  • 자격 증명을 만드는 사용자와 해당 자격 증명을 스캔에 사용할 수 있는 사용자 간의 역할을 분리할 수 있습니다.
  • 자격 증명을 다시 입력하지 않고 여러 번 다시 사용할 수 있습니다. 자격 증명과 스캔 관리자가 조직 내에서 서로 다른 사용자일 때 특히 문제가 됩니다.
  • 자격 증명을 한 번 업데이트하고 해당 자격 증명이 사용되는 모든 스캔(즉, 일대다 관계)에 업데이트가 반영되도록 할 수 있습니다.

Tenable.io 내의 액세스 그룹이란 무엇이며 그 이점은 무엇입니까?

액세스 그룹을 사용하면 엔터프라이즈 고객은 내부 조직 구조에 맞게 조정하는 논리 그룹으로 자산을 세분화할 수 있으므로 사용자는 전용 사일로 내에서만 자산을 관리할 수 있습니다.

액세스 그룹의 이점은 다음과 같습니다.

  • AWS 모니터링/평가 환경에 대한 보다 효율적이고 세분화된 관리 지원 및 자산 분류
  • FQDN 및 IP 주소(예: 사업부별)를 사용하는 미리 정의된 규칙에 따라 엔터프라이즈 전체에 걸쳐 보다 효율적이고 세분화된 관리 지원 및 자산 분류
  • 게시된 API를 사용해 자산을 대량으로 가져오고 수동으로 분류할 수 있는 기능을 바탕으로 관리 간소화
  • 최신 UI 프레임워크에 따라 직관적이고 사용하기 쉬운 UI를 사용하여 액세스 그룹의 관리 간소화

Elastic Asset Licensing 질문

Tenable.io에 기본 제공되는 Elastic Asset Licensing은 오늘날의 탄력적인 IT 환경에 맞춰 취약성 관리 라이선싱을 정렬하는 혁신입니다. Elastic Asset Licensing은 IP 주소가 여러 개 및/또는 변경되는 자산을 이중으로 계산하는 것을 방지합니다. 또한, 사용되지 않는 자산과 의도치 않게 스캔된 자산을 포함하여 최근에 스캔되지 않은 자산에서 라이선스를 자동으로 회수합니다.

Tenable.io Elastic Asset Licensing은 무엇입니까?

Elastic Asset Licensing은 Tenable과 제휴하여 고객과 함께 고객 네트워크를 비용 효율적으로 보호할 수 있게 합니다. 여기에는 다음 기능이 포함됩니다.

  • IP가 아닌 자산: Tenable.io는 IP 주소만이 아니라 여러 자산 특성을 분석하여 자산을 식별합니다. 독점 알고리즘은 새로 검색된 자산을 이미 검색된 자산과 일치시켜 중복 계산을 없애고 보다 정확한 취약성 보고를 보장합니다.
  • 최대 허용 방식이 아닌 균형 라이선싱: Tenable.io는 이전 90일 동안 확인된 자산에만 라이선스를 할당합니다. 서비스가 해제되었거나 의도치 않게 스캔되었거나 자주 활성화되지 않는 자산에 대한 라이선스를 자동으로 회수합니다. Tenable.io는 이러한 자산의 취약성 및 구성 데이터를 유지하므로 자동 라이선스 회수로 인한 단점이 없습니다.
  • 잠금 방식이 아닌 추가 구매: Tenable.io를 통해 고객은 라이선스 사용량을 모니터링하고 조정한 후 필요시 추가 구매할 수 있습니다. 라이선스가 일시적으로 초과된 경우에도 기능이 자동으로 잠기지 않습니다.

Elastic Asset Licensing의 이점은 무엇입니까?

주된 이점은 다음과 같습니다.

  • 고객은 부풀려진 IP 수가 아닌 자산 수량에 따라 적절한 양의 라이선스를 구입합니다.
  • 고객은 서비스 해제되었거나 의도치 않게 스캔된 자산에서 라이선스를 회수하는 데 필요한 시간이 오래 걸리고 종종 부정확한 프로젝트를 피할 수 있습니다.
  • 취약성 관리 메트릭은 IP 주소가 여러 개인 자산에 대한 이중 및 삼중 계산 취약성에 의해 손상되지 않습니다.

Tenable.io 고객은 라이선스가 부여된 것보다 더 많은 자산을 스캔할 수 있습니까?

예, 일시적으로 고객은 라이선스가 부여된 자산 수를 초과할 수 있습니다. 물론, 고객은 라이선스 수가 계속해서 초과될 경우 추가 구매해야 합니다.

Tenable.io 고객은 라이선스 상태를 어떻게 확인할 수 있습니까?

Tenable.io 사용자 인터페이스는 라이선스가 부여된 자산 수와 실제 라이선스 사용량을 모두 표시합니다.

자산은 무엇입니까?

자산은 분석할 수 있는 엔터티입니다. 데스크톱, 노트북, 서버, 스토리지 장치, 네트워크 장치, 전화, 태블릿, VM, 하이퍼바이저 및 컨테이너를 예로 들 수 있습니다.

Tenable.io는 자산을 어떻게 식별합니까?

Tenable.io는 자산을 처음 검색할 때 여러 식별 특성을 수집하며 여기에는 BIOS UUID, 시스템의 MAC 주소, NetBIOS 이름, FQDN, 및/또는 자산을 안정적으로 식별하는 데 사용할 수 있는 기타 특성이 포함됩니다. 또한 인증 스캐닝 및 Nessus 에이전트는 장치에 Tenable UUID를 할당합니다. Tenable.io는 나중에 자산을 스캔할 때 이전에 검색된 자산과 비교합니다. 새로 검색된 자산이 이전에 검색된 자산과 일치하지 않는 경우, 해당 자산은 Tenable.io 자산 인벤토리에 추가됩니다.

자산은 IP와 어떻게 다릅니까?

IP는 일반적으로 자산의 속성이며 많은 자산에는 여러 IP가 할당되어 있습니다(예: DHCP 장치, 유선 및 무선 인터페이스가 모두 있는 시스템 등).

자산 수가 IP 수보다 적을 가능성이 높은 이유는 무엇입니까?

자산에 여러 네트워크 인터페이스 카드가 있는 경우가 빈번하므로 여러 네트워크에 의한 액세스가 가능합니다. 예를 들어, 웹 서버는 프로덕션 네트워크와 관리 네트워크에 동시에 존재하며 노트북에는 흔히 유선 및 무선 네트워크 인터페이스가 모두 있습니다. 또한, 노트북은 한 위치에서 다른 위치로 이동할 때 새 IP를 얻는 경우가 종종 있습니다. 한 IP로 스캔된 다음 다른 IP로 스캔되면 두 번 계산됩니다.

잠재 고객은 자산 수를 어떻게 추정할 수 있습니까?

Tenable.io는 액티브 및 패시브 센서를 모두 사용해 무제한 검색 스캔을 지원합니다. 고객은 이러한 스캔을 사용하여 포괄적으로 모든 자산의 인벤토리 목록을 만들고 적절한 라이선스 크기를 결정할 수 있습니다.

동일한 자산을 여러 번 계산하지 않으려면 어떻게 해야 합니까?

Tenable.io는 동일한 자산을 이중 또는 삼중으로 계산하지 않도록 다양한 방법론을 지원하므로 적절한 라이선싱 크기를 계산할 수 있습니다. 기존 자산에서 Tenable.io는 새로 검색된 자산을 이미 검색된 자산과 일치시키는 독점 알고리즘을 사용하여 중복을 없애고 보다 정확한 취약성 보고를 보장합니다. Docker 컨테이너를 통해 Tenable.io Container Security는 컨테이너 레지스트리에서 여러 번 사용된 Docker 계층을 식별하고 라이선스 계산에서 이를 제거합니다. 다시 말해, Docker 계층이 여러 태그, 여러 이미지 또는 여러 레지스트리에서 사용되는 경우 해당 계층은 제품 라이선스 비용에 대해 한 번만 계산됩니다.

데이터 보안 및 개인 정보 보호 질문

고객 데이터 보안 및 개인 정보 보호는 Tenable의 최우선 사항입니다. 금융 서비스 공급자, 의료 공급자, 리테일, 교육 기관 및 정부 기관을 포함한 수많은 고객사가 취약성 데이터 관리에 대해 Tenable 클라우드 플랫폼을 신뢰합니다.

데이터 보안 및 개인 정보 보호에는 고객이 자신의 데이터 이외의 데이터에 액세스할 수 없도록 하는 것과 고객이 아닌 사용자, 해커, 공격자 또는 권한이 없는 Tenable 담당자가 Tenable.io 서비스에 저장된 고객 데이터를 액세스, 공개, 복사하거나 다른 방법으로 고객 데이터의 개인 정보 보호 및 보호를 침해할 수 없도록 하는 것이 포함됩니다.

Tenable은 또한 Tenable.io 서비스의 가용성과 신뢰성에 중점을 둡니다. 보안 컨트롤이 부적절하면 고객 데이터에 대한 위험은 없지만 서비스 가용성에 영향을 미칠 수 있는 문제가 발생할 수 있기 때문입니다. Tenable은 Tenable.io의 가용성을 높이고 Tenable.io를 공격이나 단순 오류 및 가동 중단으로부터 보호하며 고객이 항상 사용할 수 있도록 조치를 구현하고 적용합니다.

Tenable.io는 최첨단 컨테이너 기술을 사용하여 고객 환경을 만들고 분리합니다. 모든 고객 계정, 취약성 데이터 및 사용자 설정은 각 특정 고객에게 고유하게 할당된 컨테이너 내에 포함됩니다. 하나의 컨테이너에 포함된 데이터는 누출되거나 다른 컨테이너와 섞일 수 없으므로 각 고객 환경의 개인 정보 보호, 보안 및 독립성이 보장됩니다.

Tenable.io는 어떤 고객 데이터를 관리합니까?

궁극적으로, Tenable.io에서 관리하는 고객 데이터의 목적은 단 하나입니다. 바로 고객이 자산 및 취약성을 관리하여 환경을 안전하게 보호할 수 있도록 우수한 환경을 제공하는 것입니다. 이를 위해 Tenable.io는 다음과 같은 세 가지 범주의 고객 데이터를 관리합니다.

  1. 자산 및 취약성 데이터
  2. 환경 성능 데이터
  3. 고객 사용 데이터

Tenable.io는 어떤 고객 자산 및 취약성 데이터를 관리합니까?

Tenable.io는 고객의 네트워크에 자산의 인벤토리를 유지하고 IP 주소, MAC 주소, NetBIOS 이름, 운영 체제 및 버전, 활성 포트 등을 포함하는 자산 특성을 관리합니다.

Tenable.io 자산 데이터
Tenable.io에서 관리하는 샘플 자산 데이터

Tenable.io는 중요도, 악용 가능성, 수정 상태 및 네트워크 활동을 포함할 수 있는 상세한 현재와 과거의 취약성 및 구성 데이터를 수집합니다. 또한 고객이 자산 관리 시스템 및 패치 관리 시스템과 같은 타사 제품에 대한 통합을 통해 Tenable.io 데이터를 개선하는 경우, Tenable.io에서 해당 제품의 데이터를 관리할 수 있습니다.

Tenable.io 취약성 데이터
Tenable.io에서 관리하는 샘플 취약성 데이터

Tenable에서 고객 데이터를 분석하거나 사용합니까?

Tenable은 업계의 추세, 취약성 증가 및 완화 추세, 보안 이벤트의 추세 확인을 위해 고객 데이터를 익명화하여 분석할 수 있습니다. 예를 들어, 취약성의 존재를 악용 가능성과 상관관계 분석하면 Tenable 고객에게 큰 이점이 됩니다. 고급 분석, 고객 데이터와 업계 및 보안 이벤트와 추세 간의 개선된 상관관계 분석과 같은 추가적인 이점도 있습니다. 또한 그러한 데이터를 수집하고 분석하면 고객은 업계 내 또는 전체 산업의 다른 조직에 대해 기준을 확립할 수 있습니다. Tenable은 고객이 원하는 경우 옵트아웃할 수 있는 방법을 제공합니다.

어떤 Tenable.io 상태 데이터를 수집합니까?

Tenable.io 성능과 가용성을 유지하고 가능한 최상의 사용자 경험을 제공하기 위해, Tenable.io는 고객별 애플리케이션 상태 정보를 수집합니다. 여기에는 스캐너가 플랫폼과 통신하는 빈도, 스캔된 자산 수 및 배포된 소프트웨어 버전 및 최대한 빨리 잠재적인 문제를 식별하고 해결하기 위한 기타 일반적인 원격 측정이 포함됩니다.

고객은 상태 데이터 수집에서 옵트아웃할 수 있습니까?

Tenable은 상태 데이터를 사용하여 잠재적인 문제를 적시에 탐지하고 해결하여 SLA 의무를 유지합니다. 따라서 고객은 이 데이터 수집에서 옵트아웃할 수 없습니다.

어떤 Tenable.io 사용 데이터가 수집됩니까?

고객 환경을 평가 및 개선하기 위해 Tenable은 익명화된 사용자 사용 데이터를 수집합니다. 이 데이터에는 페이지 액세스, 클릭 및 기타 사용자 활동이 포함되며 사용자에게 사용자 환경의 간소화 및 개선에 대한 견해를 제공합니다.

사용자는 사용 데이터 수집에서 옵트아웃할 수 있습니까?

예. 고객은 자신의 컨테이너가 더 이상 수집 프로세스의 일부가 되지 않도록 요청할 수 있습니다.

고객 데이터는 어디에서 찾을 수 있습니까?

Tenable은 데이터 센터 및 Amazon Web Services(AWS)의 서비스를 사용하여 고객에게 Tenable.io를 제공합니다. 기본적으로, Tenable은 고객에게 가능한 최상의 환경을 보장하는 데 가장 적합한 리전에서 고객 컨테이너를 만듭니다. 현재 위치는 다음과 같습니다.

  • 미국 동부
  • 미국 서부
  • 미국 중부
  • 런던
  • 프랑크푸르트
  • 시드니
  • 싱가포르
  • 캐나다
  • 일본
  • 브라질
  • 인도

예외적으로, 배포 전에 고객이 특정 AWS 리전을 요청하는 경우 Tenable은 해당 리전에서 고객을 활성화합니다.

모든 고객 데이터는 안전한 리전별 AWS 서비스에 저장되므로, AWS에서 유지 관리하는 EU 데이터 보호에 대한 인증이 Tenable 클라우드에 적용됩니다. 자세한 내용은 https://aws.amazon.com/compliance/eu-data-protection/에서 확인할 수 있습니다.

Tenable.io는 향후 추가 국가를 지원할 예정입니까? 그렇다면, 일정은 언제입니까?

예. 하지만, 추가 위치의 일정은 아직 결정되지 않았습니다.

원래 리전 이외의 AWS 리전에 데이터를 저장할 수 있습니까?

초기 AWS 리전이 아닌 다른 리전에 데이터를 저장할 수 있는 상황이 있습니다.

  • Tenable.io 고객은 여러 AWS 리전에서 사용할 수 있는 공개 공유 스캐닝 풀을 사용하여 외부 스캔을 실행할 수 있습니다. 대상에 가까운 스캐너를 선택하면 일반적으로 스캔 속도가 빠릅니다. 고객이 계정을 호스팅하는 위치와 다른 위치에서 클라우드 스캐너를 사용하는 경우, 스캔 데이터는 일시적으로 계정의 호스팅 위치 외부에 존재하지만 저장되지는 않습니다. 예를 들어, EU/독일에서 계정을 호스팅하는 고객이 미국/북버지니아주에 있는 스캐너로 스캔하는 경우 스캔 데이터는 일시적으로 미국을 통과한 후 프랑크푸르트에 저장됩니다. 데이터 위치가 문제라면, 고객은 해당 리전에 있는 클라우드 스캐너로 외부 스캔을 수행해야 합니다. 스캔별로 쉽게 선택할 수 있습니다.
  • 고객이 Tenable.sc를 사용하는 경우, Tenable.io를 사용하여 전체 인프라의 일부를 스캔한다 하더라도 스캔 데이터는 클라우드에 저장되지 않습니다.
  • 고객이 Tenable.io에서 스캔을 실행하면 Nessus Agent 스캔 데이터는 Tenable.io에 저장됩니다. 고객이 Nessus Manager로 에이전트 스캔을 실행하는 경우, 해당 데이터는 에이전트가 배포된 위치에 관계없이 Tenable.io에 저장되지 않습니다.

고객이 데이터를 특정 위치/국가에 보관하도록 지정할 수 있습니까?

예. 데이터는 계정을 만들 때 선택한 국가에 저장됩니다.

Tenable.io 내에서 고객 데이터는 어떻게 보호합니까?

Tenable은 Tenable.io 데이터 보안 및 개인 정보 보호를 제공하기 위해 여러 보안 수단을 적용합니다.

Tenable은 어떻게 보안 개발을 수행합니까?

Tenable은 Tenable.io 애플리케이션 소프트웨어의 보안을 보장하기 위해 여러 가지 관행을 따릅니다.

테스트는 Tenable 내 3개의 개별 그룹에서 수행합니다.

  • 보안 테스트는 개발 팀에서 수행합니다.
  • Tenable IT Security 팀은 배포 전 그리고 후에 Tenable.io에서 취약성 테스트를 수행합니다(배포 후 테스트는 다른 팀에 대한 사전 경고 없이는 예약되지 않음).
  • Tenable은 배포 전에 소스 코드 및 변경에 대한 추가적인 보안 검토를 제공합니다.

모든 소프트웨어 배포는 기업 LDAP 자격 증명을 통해 인증하는 빌드 시스템 또는 SSH 개인 키를 사용하여 인증하는 Ansible을 통해서만 자동화 및 수행합니다. 모든 배포는 로그 및 추적되며, 배포 작업(계획된 또는 계획되지 않은)에 대한 알림은 Tenable 개발 팀에 자동으로 전송됩니다.

소스 코드에 대한 모든 변경은 추적되고 해당 변경이 설치된 릴리스에 연결됩니다. 이런 추적을 통해 모든 변경, 변경을 수행한 사용자, 변경을 수행한 시간 그리고 마지막으로, 변경이 프로덕션에 배포된 시간에 대한 전체 기록을 확보할 수 있습니다.

각 배포는 적어도 2명 이상의 Tenable 팀원의 승인을 받습니다. 모든 변경 및 배포는 모든 팀원에게 브로드캐스트됩니다. 소프트웨어는 먼저 테스트 환경에 배포된 다음, 일정 기간 동안 "단계적 방식"으로 프로덕션 인스턴스에 배포됩니다.

어떤 고객 애플리케이션 보안을 사용할 수 있습니까?

  • 안전하고 승인된 방식으로 Tenable.io에 액세스할 수 있도록 보장하는 것은 개발 및 운영 팀에 있어 높은 우선 순위입니다. Tenable.io는 고객 데이터를 안전하게 유지하고 액세스를 제어하는 다양한 메커니즘을 제공합니다. Tenable은 로그인 시도가 5회 실패하면 계정을 잠가서 무차별 대입 공격으로부터 보호합니다.
  • 데이터 가로채기로부터 보호하기 위해 플랫폼과 모든 통신은 SSL(TLS-1.2)을 통해 암호화됩니다. 또한 가장 높은 수준의 보호를 보장하기 위해 오래된 안전하지 않은 SSL 협상은 거부합니다.
  • 플랫폼에 대한 액세스를 보호하기 위해 고객은 Twillo에서 제공하는 서비스를 통해 2단계 인증을 구성할 수 있습니다.
  • 고객은 Tenable.io를 고객의 SAML 배포와 통합할 수 있습니다. Tenable.io는 IdP와 SP 시작 요청을 모두 지원합니다. 마지막으로, 사용자는 자신의 이메일 주소를 사용하여 애플리케이션 내부에서 바로 비밀번호를 초기화할 수 있습니다.
  • 고객은 많은 경우 Tenable의 문서화된 API 또는 SDK를 사용하여 Tenable.io에 대한 고객 연결을 구축합니다. 특정 API "키"를 만들어서 액세스를 허용하고 제어할 수 있습니다. 사용자 자격 증명을 공유하지 않아도 각기 다른 통합에 다른 키를 사용하는 것이 지원됩니다.

고객 데이터는 어떻게 보호합니까?

Tenable은 Tenable.io 데이터 보안 및 개인 정보 보호를 제공하기 위해 여러 보안 수단을 적용합니다.

데이터는 어떻게 암호화됩니까?

Tenable.io 플랫폼에 있는 모든 상태의 모든 데이터는 AES-256 이상을 사용해 하나 이상의 암호화 수준으로 암호화됩니다.

보관 중 – 데이터는 하나 이상의 AES-256 암호화 수준을 사용하여 암호화된 미디어에 저장합니다.

일부 데이터 클래스는 파일당 암호화의 두 번째 수준을 포함합니다.

전송 중 – 데이터는 4096비트 키(내부 전송 포함)의 TLS v1.2를 사용하여 전송 중에 암호화합니다.

Tenable.io 센서 통신 – 센서에서 플랫폼으로 가는 트래픽은 항상 센서에 의해 시작되며 포트 443을 통한 아웃바운드 전용입니다. 트래픽은 4096비트 키의 TLS 1.2를 사용하여 SSL 통신을 통해 암호화합니다. 따라서 방화벽을 변경할 필요가 없으며 고객은 방화벽 규칙을 통해 연결을 제어할 수 있습니다.

  • 스캐너-플랫폼 인증
    • 플랫폼은 컨테이너에 연결된 각 스캐너에 대해 256비트 길이의 임의 키를 생성하고 연결 프로세스 동안 해당 키를 스캐너로 전달합니다.
    • 스캐너는 작업, 플러그인 업데이트 및 스캐너 바이너리에 대한 업데이트 요청 시 이 키를 사용해 컨트롤러를 다시 인증합니다.
  • 스캐너-플랫폼 작업 통신
    • 스캐너는 30초마다 플랫폼에 통신합니다.
    • 작업이 있으면, 플랫폼은 128비트의 임의 키를 생성합니다.
    • 스캐너는 플랫폼에서 정책을 요청합니다.
    • 컨트롤러는 키를 사용하여 정책을 암호화하며 여기에는 스캔 중에 사용해야 하는 자격 증명이 포함됩니다.

백업/복제 중 – 볼륨 스냅샷 및 데이터 복제본은 소스와 동일한 암호화(AES-256 이상) 수준으로 저장합니다. 모든 복제는 공급자를 통해 내부에서 수행합니다. Tenable은 실제 오프사이트 미디어 또는 실제 시스템에 어떤 데이터도 백업하지 않습니다.

인덱스 중 – 인덱스 데이터는 하나 이상의 AES-256 암호화 수준을 사용하여 암호화된 미디어에 저장합니다.

자격 증명 스캔 – 컨테이너 AES-256 전역 키 내에서 암호화된 정책 내부에 저장합니다. 스캔이 시작되면 정책은 일회용 임의 128비트 키로 암호화되고 4096비트 키의 TLS v1.2를 사용하여 전송합니다.

키 관리 – 키는 중앙 집중식으로 저장하고 역할 기반의 키로 암호화하며 액세스를 제한합니다. 저장된 모든 암호화된 데이터는 새 키로 회전할 수 있습니다. 데이터 파일 암호화 키는 디스크 수준 키와 마찬가지로 각 리전별 사이트에서 각기 다릅니다. 키 공유는 금지되며 키 관리 절차는 1년 단위로 검토합니다.

고객이 자체 키를 업로드할 수 있습니까?

키 관리는 고객이 구성할 수 없습니다. Tenable에서 키와 키 회전을 관리합니다.

Tenable은 프라이버시 실드 또는 CSA STAR와 같은 개인 정보 보호 인증이나 보안 인증을 취득했습니까?

Tenable Network Security는 EU-미국 프라이버시 실드 프레임워크 및 스위스-미국 프라이버시 실드 프레임워크를 준수합니다. 프라이버시 실드 프레임워크는 미국 상무부가 유럽 연합과 스위스에서 미국으로 이전되는 개인 정보의 수집, 사용 및 보유에 관하여 각각 규정한 협약입니다. Tenable Network Security는 프라이버시 실드 원칙을 준수하는 것으로 상무부의 인증을 받았습니다. 이 개인 정보 보호 정책의 조건과 프라이버시 실드 원칙 간에 상충되는 내용이 있는 경우에 프라이버시 실드 원칙이 적용됩니다. 프라이버시 실드 프로그램에 대해 자세히 알아보고 Tenable 인증을 확인하려면 https://www.privacyshield.gov/를 방문하십시오.

Tenable은 Cloud Security Alliance(CSA) STAR 자체 평가를 완료했습니다. Consensus Assessment Initiative Questionnaire(CAIQ)에 대한 Tenable의 답변은 Tenable.io 잠재 고객, 고객 또는 파트너가 요구할 수 있는 140개 이상의 보안 관련 질문들에 대한 답변입니다. CSA STAR는 클라우드에서의 보안 보증을 위한 업계에서 가장 강력한 프로그램입니다. STAR(Security Trust & Assurance Registry)는 클라우드 제품군의 모범 사례 표시 및 보안 포스처 확인을 포함하여 투명성, 엄격한 감사 및 표준 조화의 주요 원칙을 포함합니다.

개인 식별 정보(PII)는 어떻게 보호합니까?

Tenable.io 플랫폼은 추가 인증 또는 보안 조치가 필요할 수 있는 형식으로 PII 데이터 유형을 수집하지 않기 위해 모든 노력을 기울입니다. 여기에는 신용 카드 번호, 사회 보장 번호 및 기타 사용자 지정 검사가 포함됩니다. Tenable 플러그인이 중요한 정보나 개인 정보를 포함할 수 있는 문자열을 캡처하는 경우, 플랫폼은 자동으로 문자의 최소 50%를 난독 처리하여 민감할 수 있는 데이터를 보호합니다.

고객 데이터는 분리됩니까?

각 고객의 데이터에는 특정 고객 구독에 해당하는 "컨테이너 ID"가 표시됩니다. 이 컨테이너 ID는 고객의 데이터에 대한 액세스가 해당 고객으로만 제한되도록 보장합니다.

Tenable.io를 보호하는 보안 컨트롤은 무엇입니까?

  • 일일 취약성 스캔은 Tenable에서 수행합니다.
  • 방화벽 및 네트워크 세분화를 통해 액세스를 제어합니다.
  • 자동화된 도구와 프로세스가 Tenable.io 플랫폼의 가동 시간, 성능을 모니터링하고 비정상적인 동작을 탐지합니다.
  • 로그는 자동화를 통해 연중무휴 모니터링하며 Tenable 직원은 연중무휴로 이벤트에 응답할 수 있습니다.

Tenable.io 센서의 보안은 어떻게 유지합니까?

플랫폼에 연결되는 센서는 고객의 보안, 취약성 및 자산 정보 수집에 중요한 역할을 합니다. 이 데이터를 보호하고 통신 경로가 안전한지 확인하는 것은 Tenable.io의 핵심 기능입니다. Tenable.io는 현재 다음과 같은 여러 센서를 지원합니다: Nessus 취약성 스캐너, 패시브 스캐너 및 Nessus Agent.

이러한 센서는 암호화로 인증되어 Tenable.io에 연결된 후 Tenable.io 플랫폼에 연결합니다. 연결되면, Tenable.io는 모든 업데이트(플러그인, 코드 등)를 관리하여 센서가 항상 최신 상태를 유지하도록 합니다.

센서에서 플랫폼으로 향하는 트래픽은 항상 센서에 의해 시작되며 포트 443을 통한 아웃바운드 전용입니다. 트래픽은 4096비트 키의 TLS 1.2를 사용하여 SSL 통신을 통해 암호화합니다. 따라서 방화벽을 변경할 필요가 없으며 고객은 방화벽 규칙을 통해 연결을 제어할 수 있습니다.

  • 스캐너-플랫폼 인증
    • 플랫폼은 컨테이너에 연결된 각 스캐너에 대해 256비트 길이의 임의 키를 생성하고 연결 프로세스 동안 해당 키를 스캐너로 전달합니다.
    • 스캐너는 작업, 플러그인 업데이트 및 스캐너 바이너리에 대한 업데이트 요청 시 이 키를 사용해 컨트롤러를 다시 인증합니다.
  • 스캐너-플랫폼 작업 통신
    • 스캐너는 30초마다 플랫폼에 통신합니다.
    • 작업이 있으면, 플랫폼은 128비트의 임의 키를 생성합니다.
    • 스캐너는 플랫폼에서 정책을 요청합니다.
    • 컨트롤러는 키를 사용하여 정책을 암호화하며 여기에는 스캔 중에 사용해야 하는 자격 증명이 포함됩니다.

Tenable.io 가용성은 어떻게 관리합니까?

Tenable.io 서비스는 99.95% 이상의 가동 시간을 제공하기 위해 노력하고 있으며 대부분의 서비스에서 100% 가동 시간을 제공했습니다. Tenable은 모든 사용자가 플랫폼을 사용할 수 있도록 보장한다는 약속과 계획되지 않은 가동 중지 발생 시 고객에게 크레딧을 제공하는 방식을 설명하는 SLA를 발표했습니다.

"Up"(가동중) 상태는 단순히 모든 서비스의 가용성을 주기적으로 테스트하는 제3자가 호스팅하는 공개 가용성 테스트에 의해 결정됩니다. 서비스의 가동 시간(현재와 과거)은 https://uptime.tenable.com/에서 확인할 수 있습니다. 이 링크는 또한 일별, 월별, 분기별 및 연간 가동 시간 비율을 제공합니다.

Tenable.io는 AWS 플랫폼 및 기타 최고의 기술을 광범위하게 사용하여 고객이 가능한 최상의 서비스와 전체 품질을 경험할 수 있도록 보장합니다. 다음은 고객에게 이점을 제공하는 배포된 솔루션의 부분 목록입니다.

  • ElasticSearch 클러스터 - Elasticsearch 클러스터는 가용성이 높으며 서비스 가용성에 영향을 미치지 않고 마스터 노드, lb 노드 및 최소 1개의 데이터 노드의 손실로부터 복구할 수 있습니다.
  • Elastic Block Stores - 매일 스냅샷을 생성하고 8개의 복사본을 저장하는 데 사용됩니다.
  • Kafka 에코시스템 - Kafka 및 Zookeeper 모두 클러스터 전체에서 데이터를 복제하여 재난적 노드 오류가 발생하는 경우 내결함성을 제공합니다.
  • Postgres 인스턴스 - 백엔드 마이크로서비스 프레임워크를 관리하여 30일 분량의 스냅샷을 유지합니다.

데이터는 어디에 복제됩니까?

복제된 데이터는 동일한 리전 내에 저장합니다.

어떤 재해 복구 기능이 마련되어 있습니까?

재해란 하나 이상의 리전에서 복구할 수 없는 데이터 또는 장비의 손실이 발생하는 이벤트입니다.

Tenable.io 재해 복구 절차는 몇 가지 단계로 구성되며, 5년에 한 번에서 50년에 한 번 사이에 발생할 수 있는 상황에 대응하도록 설계되었습니다. 재해의 범위에 따라, 복구 절차에 걸리는 시간은 60분에서 24시간까지 다릅니다.

누가 고객 데이터에 액세스할 수 있습니까?

고객은 직원에게 역할과 권한을 할당하고 Tenable 지원 팀 직원에게 임시로 액세스 권한을 부여하는 등 데이터에 대한 액세스 권한을 갖는 사용자를 제어할 수 있습니다.

사용자 역할 및 권한은 어떻게 관리합니까?

Tenable.io 고객 관리자는 스캔, 정책, 스캐너, 에이전트 및 자산 목록에 대한 액세스를 관리하는 사용자 역할(기본, 표준, 관리자 및 사용 안 함)을 할당할 수 있습니다.

Tenable 직원은 고객 데이터에 액세스할 수 있습니까?

예. Tenable의 글로벌 지원 팀 직원의 티어 3 팀원은 고객의 승인을 받아 사용자 계정을 가장할 수 있으므로, 해당 사용자의 비밀번호 없이도 Tenable.io에서 다른 사용자로 작업을 수행할 수 있습니다. Tenable 지원 팀 직원 또는 고객은 이 기능을 활성화할 것을 요청할 수 있습니다. Tenable 지원 팀 직원은 고객에게 활성 지원 케이스에서 메모를 통해 가장을 "승인"해 줄 것을 요구합니다. 지원 팀에 로그된 모든 문제에 대해 권한이 부여되어야 합니다. Tenable은 어떤 경우에도 모든 문제에 대한 "승인"에 따라 운영하지 않습니다. 사용자 가장으로 인해 데이터가 기본 위치를 벗어날 수 있습니다.

모든 Tenable.io 운영 직원은 타사 신원 조사를 통과해야 합니다. 또한, 모든 선임 팀원은 SaaS 기반 보안 소프트웨어 회사에서 최소 5년 이상 근무한 경험이 있으며 많은 팀원이 CISSP와 같은 보안 인증을 보유하고 있습니다.

Tenable에는 채용 및 고용 종료 프로세스가 규정되어 있습니다. 모든 직원은 채용의 일부분으로 기밀유지 계약에 서명해야 하며 고용 종료 시 모든 계정과 액세스 키가 즉시 철회됩니다.

누가 가장 기능을 사용할 수 있습니까?

Tenable의 티어3 지원 팀 직원만 가장 기능을 사용할 수 있습니다.

가장 활동은 로그됩니까?

예.

Tenable이 기술적인 문제를 해결할 때 데이터가 해당 국가 밖으로 나가게 됩니까?

Tenable은 고객 데이터를 보호하도록 모든 노력을 기울이고 있으며 데이터를 필요한 리전에 유지할 수 있도록 고객과 협력하여 고객 정책을 준수하고 있음을 보장합니다. 하지만 고객이 Tenable에 보고서를 이메일로 보내거나 다른 방식으로 해당 리전 밖에서 이메일을 보내 자체 정책을 위반하는 경우가 있습니다.

Tenable 지원 팀 직원은 고객의 내부 네트워크에 대한 액세스 권한을 갖게 됩니까?

아니요. 모든 트래픽은 스캐너에 의해 시작되며 아웃바운드 전용입니다. 스캐너는 고객의 방화벽 뒤에 설치되고 고객 방화벽을 통해 스캐너의 액세스를 제어할 수 있습니다.

고객 데이터는 Tenable.io 내에서 얼마 동안 유지됩니까?

데이터 보존 기간은 다양한 고객 및 규제 요구 사항을 충족할 수 있도록 고안되었습니다.

액티브 스캔 데이터는 얼마 동안 유지됩니까?

시간 경과에 따른 진행 상황을 측정하는 기능은 Tenable.io 플랫폼의 핵심 기능입니다. Tenable.io는 15개월 동안 고객 데이터를 자동으로 저장하여 고객이 1년 이상 보고할 수 있게 합니다.

고객이 15개월 이상 기간의 스토리지가 필요로 하는 경우, Tenable.io는 고객 데이터를 다운로드할 수 있는 몇 가지 방법을 제공하며 고객은 원하는 대로 데이터를 저장할 수 있습니다.

고객이 Tenable.io 서비스를 중단할 경우 데이터는 얼마 동안 유지됩니까?

고객의 계정이 만료되거나 종료되는 경우, Tenable은 계정 만료 시점부터 180일간 데이터를 유지합니다. 그 이후 이 데이터는 삭제될 수 있으며 복구할 수 없습니다.

PCI 관련 데이터는 얼마 동안 유지됩니까?

PCI 컴플라이언스 확인 프로세스와 관련된 데이터는 PCI 규정에서 요구하는 대로 PCI 증명 날짜로부터 최소 3년까지는 삭제되지 않습니다. 고객이 스캔 또는 계정을 삭제하거나 Tenable.io 서비스를 종료하는 경우에도 Tenable은 이 기간 동안 이 데이터를 유지합니다.

Tenable.io 사용 데이터는 얼마 동안 유지됩니까?

가능한 최상의 환경을 보장하기 위해, Tenable은 고객 컨테이너가 활성 상태로 유지되는 한 이 정보를 수집합니다. 고객이 서비스를 중단하면 데이터는 180일간 유지됩니다.

Tenable.io는 Common Criteria 인증을 받았습니까?

Common Criteria(공통 기준) 인증은 일반적으로 SaaS 솔루션에는 적용되지 않습니다. 업데이트 빈도가 완료에 6~9개월이 소요되는 인증 프로세스에는 적합하지 않기 때문입니다.

고객은 데이터가 저장되는 국가를 선택할 수 있습니까?

예외적으로, 배포 전에 고객이 특정 지리적 위치를 요청하는 경우 Tenable은 해당 위치에서 고객을 활성화합니다. 현재 위치는 다음과 같습니다.

  • 미국
  • 런던
  • 프랑크푸르트
  • 시드니
  • 싱가포르
  • 캐나다
  • 일본
  • 브라질
  • 인도

데이터가 한 국가 내의 여러 위치에 존재합니까?

아니요. Tenable은 현재 한 위치에서 다른 위치로 데이터를 복제하지 않습니다.

PCI ASV

PCI ASV란 무엇입니까?

PCI ASV는 분기별 외부 취약성 스캔을 요구하는 결제 카드 산업(PCI) 데이터 보안 표준(DSS) 요건 및 보안 평가 절차의 요구 사항 11.2.2를 참조하며 이 취약성 스캔은 승인된 스캐닝 공급업체(ASV)에 의해 수행(또는 증명)되어야 합니다. ASV는 PCI DSS 요건 11.2.2의 외부 스캐닝 요구 사항 준수를 확인하기 위한 일련의 서비스 및 도구('ASV 스캐닝 솔루션')를 보유한 조직입니다.

어떤 시스템이 ASV 스캐닝 범위에 포함됩니까?

PCI DSS는 카드 소유자 데이터 환경의 일부인 스캔 고객이 소유하거나 사용하는 모든 외부 액세스 가능(인터넷 연결) 시스템 구성 요소와 카드 소유자 데이터 환경에 대한 경로를 제공하는 모든 외부를 향한 시스템 구성 요소에 대한 취약성 스캐닝을 요구합니다.

ASV 프로세스는 어떻게 진행됩니까?

ASV 스캐닝의 주요 단계는 다음으로 구성됩니다.

  • 범위 지정: 카드 소유자 데이터 환경의 일부인 모든 인터넷 연결 시스템 구성 요소를 포함하기 위해 고객이 수행합니다.
  • 스캐닝: Tenable.io PCI 분기별 외부 스캔 템플릿을 사용합니다.
  • 보고/수정: 중간 보고서의 결과가 수정됩니다.
  • 이의 제기 해결: 고객과 ASV가 함께 분쟁이 일어난 스캔 결과를 문서화하고 해결합니다.
  • 다시 스캔(필요 시): 이의 제기와 예외를 해결하는 통과 스캔이 생성될 때까지 다시 스캔합니다.
  • 최종 보고: 안전한 방식으로 제출 및 전달됩니다.

ASV 스캔은 얼마나 자주 수행해야 합니까?

ASV 취약성 스캔은 최소한 분기별로 한 번 이상 수행하거나 새 시스템 구성 요소 설치, 네트워크 토폴로지 변경, 방화벽 규칙 수정 또는 제품 업그레이드 등 네트워크에서 중요한 변경이 발생한 후에 수행해야 합니다.

승인된 스캐닝 공급업체(ASV)는 인증 보안 평가 업체(QSA)와 어떻게 다릅니까?

ASV는 특히 PCI DSS 11.2에 설명된 외부 취약성 스캔만 수행합니다. QSA는 일반적인 PCI DSS 현장 평가를 수행하기 위해 PCI 보안 표준 위원회(SSC)로부터 인증과 교육을 받은 평가 업체를 말합니다.


Tenable.IO PCI ASV 솔루션 기능

Tenable은 인증된 PCI ASV입니까?

예. Tenable은 판매자 및 서비스 공급자의 인터넷 연결 환경(카드 소유자 데이터를 저장, 처리 또는 전송하는 데 사용)에 대한 외부 취약성 스캔을 검증하는 승인된 스캐닝 공급업체(ASV)로 인증받았습니다. ASV 자격 취득 프로세스는 세 부분으로 구성됩니다. 첫 번째는 공급업체로서 Tenable Network Security의 자격 취득과 관련됩니다. 두 번째는 원격 PCI 스캐닝 서비스를 담당하는 Tenable 직원의 자격 취득과 관련됩니다. 세 번째는 Tenable 원격 스캐닝 솔루션(Tenable.io 및 Tenable.io PCI ASV)에 대한 보안 테스트로 구성됩니다.

승인된 스캐닝 공급업체(ASV)로서 Tenable은 실제로 스캔을 수행합니까?

ASV는 스캔을 수행할 수 있습니다. 단, Tenable은 고객이 PCI 분기별 외부 스캔 템플릿을 사용하여 자체 스캔을 수행하는 것에 의존합니다. 이 템플릿은 고객이 취약성 검사 사용 중지, 심각도 수준 할당, 스캔 매개 변수 변경 등과 같은 구성 설정을 변경할 수 없도록 합니다. 고객은 Tenable.io 클라우드 기반 스캐너를 사용하여 인터넷 연결 환경을 스캔한 다음 증명을 위해 Tenable에 규정 준수 스캔 보고서를 제출합니다. Tenable에서 스캔 보고서를 증명한 다음, 고객은 결제 브랜드의 지시에 따라 취득자 또는 결제 브랜드에 보고서를 제출합니다.

신제품은 기존 제품과 어떻게 다릅니까?

새로운 기능 또는 향상된 기능은 다음과 같습니다.

  • 사용자가 ASV 증명 프로세스를 스캔, 관리, 제출 및 완료할 수 있는 단일 UI
  • 한 명 이상의 사용자가 이의를 제기하고 ASV 인증을 위해 제출할 수 있는 기능
  • 동일한 이의 제기/예외를 여러 IP에 적용할 수 있는 기능 (자산이 아닌 플러그인에 기반하여 이의 제기를 만들 수 있는 기능)
  • IP를 '범위를 벗어남'으로 표시할 수 있는 기능
  • 보완 컨트롤에 주석을 달 수 있는 기능

데이터 주권

Tenable.io PCI ASV는 EU 데이터 주권 요구 사항을 준수합니까?

취약성 데이터는 EU DPD 95/46/EC 데이터가 아니므로, 모든 데이터 보존 요구 사항은 규제 중심이 아닌 고객 중심입니다. EU 주 정부 조직에는 자체 데이터 보존 요구 사항이 있을 수 있지만, 사례별로 평가되어야 하며 PCI-ASV 스캔에 대한 문제는 아닐 수 있습니다.


Tenable.io ASV 가격 책정/라이선싱/주문

Tenable.io에 PCI ASV 라이선스가 포함됩니까?

예, Tenable.io에는 고유한 단일 PCI 자산에 대한 PCI ASV 라이선스가 포함됩니다. 일부 조직은 종종 결제 처리 기능을 아웃소싱하여 PCI의 범위에 포함되는 자산을 제한하기 위해 많은 노력을 기울여 왔습니다. 이런 고객은 거의 틀림없이 "PCI 비즈니스 부문에 속하지 않기" 때문에, Tenable은 구매 및 라이선싱을 단순화했습니다. 고객은 90일마다 자산을 변경할 수 있습니다.

Tenable.io PCI ASV 라이선스는 어떻게 부여됩니까?

고유한 단일 PCI 자산을 둘 이상 보유한 고객의 경우, Tenable.io PCI ASV 솔루션은 Tenable.io 구독에 대한 추가 기능으로 라이선스가 부여됩니다.

고객의 인터넷 연결 PCI 자산 수에 따라 Tenable.io PCI ASV 라이선스가 부여되지 않는 이유는 무엇입니까?

엔터티의 카드 소유자 데이터 환경(CDE) 내에 있거나 이 환경에 대한 경로를 제공하는 인터넷 연결 호스트의 수는 자주 변경될 수 있으며, 따라서 라이선싱 복잡성이 발생할 수 있습니다. Tenable은 보다 간단한 라이선싱 접근 방법을 사용하기로 선택했습니다.

분기별로 고객이 제출할 수 있는 증명은 몇 개입니까?

고객은 분기별 증명을 무제한으로 제출할 수 있습니다.

평가판/평가 고객은 Tenable.io PCI ASV를 평가할 수 있습니까?

예. 평가 고객은 PCI 분기별 외부 스캔 템플릿을 사용해 자산을 스캔하고 결과를 검토할 수 있습니다. 하지만, 스캔 보고서를 증명을 위해 제출할 수는 없습니다.

기존 Tenable.io 고객이 새 기능으로 전환하려면 어떻게 해야 합니까?

새 기능은 2017년 7월 24일에 자동으로 활성화되므로 고객은 다음번 PCI ASV 스캔에 사용할 수 있습니다. 기존 고객은 최소 1년 동안 새 PCI ASV 기능을 라이선스할 필요가 없습니다.

현재 PCI ASV 기능을 라이선스한 Tenable.sc 고객이 새 기능으로 전환하려면 어떻게 해야 합니까?

이미 외부/PCI 스캐닝 라이선스가 있는 Tenable.sc 고객은 Tenable.io PCI ASV가 사용 가능하게 되면 바로 사용을 시작할 수 있습니다. 갱신 시 해당 고객은 기존 SKU를 사용하여 간단하게 갱신할 수 있습니다. 하지만, 갱신하는 대신 Tenable.io PCI ASV 라이선스를 취득하는 것이 유리할 수 있습니다.

tenable.io

비교할 수 없는 정확도로 모든 자산을 확인하고 추적할 수 있는 최신 클라우드 기반 취약성 관리 플랫폼 전체에 액세스하십시오.

Tenable.io Vulnerability Management 평가판에는 Tenable Lumin, Tenable.io Web Application Scanning 및 Tenable.cs Cloud Security도 포함되어 있습니다.

tenable.io 구매

비교할 수 없는 정확도로 모든 자산을 확인하고 추적할 수 있는 최신 클라우드 기반 취약성 관리 플랫폼 전체에 액세스하십시오. 지금 연간 구독을 구매하십시오.

65 자산

구독 옵션 선택:

지금 구매

Nessus Professional 무료로 사용해 보기

7일간 무료

Nessus®는 오늘날 시장에서 가장 포괄적인 취약성 스캐너입니다. Nessus Professional은 취약성 스캔 프로세스를 자동화하고 컴플라이언스 주기에서 시간을 절약하고 IT 팀이 참여할 수 있도록 합니다.

Nessus Professional 구매

Nessus®는 오늘날 시장에서 가장 포괄적인 취약성 스캐너입니다. Nessus Professional은 취약성 스캔 프로세스를 자동화하고 컴플라이언스 주기에서 시간을 절약하고 IT 팀이 참여할 수 있도록 합니다.

여러 해 라이선스를 구매하여 절감하십시오. 연중무휴 전화, 커뮤니티 및 채팅 지원에 액세스하려면 Advanced 지원을 추가하십시오.

라이선스 선택

여러 해 라이선스를 구매하여 절감하십시오.

지원 및 교육 추가

Tenable.io

비교할 수 없는 정확도로 모든 자산을 확인하고 추적할 수 있는 최신 클라우드 기반 취약성 관리 플랫폼 전체에 액세스하십시오.

Tenable.io Vulnerability Management 평가판에는 Tenable Lumin, Tenable.io Web Application Scanning 및 Tenable.cs Cloud Security도 포함되어 있습니다.

Tenable.io 구매

비교할 수 없는 정확도로 모든 자산을 확인하고 추적할 수 있는 최신 클라우드 기반 취약성 관리 플랫폼 전체에 액세스하십시오. 지금 연간 구독을 구매하십시오.

65 자산

구독 옵션 선택:

지금 구매

Tenable.io Web Application Scanning 사용해 보기

Tenable.io 플랫폼의 일부로 최신 애플리케이션을 위해 설계된 최신 웹 애플리케이션 스캐닝 서비스에 대한 전체 액세스 권한을 누리십시오. 많은 수작업이나 중요한 웹 애플리케이션 중단 없이, 높은 정확도로 전체 온라인 포트폴리오의 취약성을 안전하게 스캔합니다. 지금 등록하십시오.

Tenable Web Application Scanning 평가판에는 Tenable.io Vulnerability Management, Tenable Lumin 및 Tenable.cs Cloud Security도 포함되어 있습니다.

Tenable.io Web Application Scanning 구매

비교할 수 없는 정확도로 모든 자산을 확인하고 추적할 수 있는 최신 클라우드 기반 취약성 관리 플랫폼 전체에 액세스하십시오. 지금 연간 구독을 구매하십시오.

5 FQDN

$3,578

지금 구매

Tenable.io Container Security 사용해 보기

취약성 관리 플랫폼에 통합된 유일한 컨테이너 보안 서비스에 대한 전체 액세스 권한을 누리십시오. 컨테이너 이미지에서 취약성, 맬웨어 및 정책 위반을 모니터링합니다. 지속적 통합 및 지속적 배포(CI/CD) 시스템과 통합하여 DevOps 실무를 지원하고 보안을 강화하고 기업 정책 컴플라이언스를 지원합니다.

Tenable.io Container Security 구매

Tenable.io Container Security는 빌드 프로세스와의 통합을 통해 취약성, 맬웨어, 정책 위반 등 컨테이너 이미지의 보안에 대한 가시성을 제공하여 DevOps 프로세스를 원활하고 안전하게 지원합니다.

Tenable Lumin 사용해 보기

Tenable Lumin을 사용하여 Cyber Exposure를 시각화 및 탐색하고 시간 경과에 따른 위험 감소를 추적하고 유사한 조직을 벤치마크하십시오.

Tenable Lumin 평가판에는 Tenable.io Vulnerability Management, Tenable.io Web Application Scanning 및 Tenable.cs Cloud Security도 포함되어 있습니다.

Tenable Lumin 구매

조직 전체에서 인사이트를 얻고 사이버 위험을 관리하는 데 Lumin이 어떻게 도움이 되는지 알아보려면 영업 담당자에게 문의하십시오.

Tenable.cs 사용해 보기

클라우드 인프라 구성 오류를 감지 및 수정하고 런타임 취약성을 볼 수 있는 전체 액세스 권한을 누리십시오. 지금 무료 평가판에 등록하십시오.

Tenable.cs Cloud Security 평가판에는 Tenable.io Vulnerability Management, Tenable Lumin 및 Tenable.io Web Application Scanning도 포함되어 있습니다.

영업 담당자에게 연락하여 Tenable.cs 구매

영업 담당자에게 연락하여 Tenable.cs 클라우드 보안에 대해 자세히 알아보고, 클라우드 계정을 온보딩하는 것이 얼마나 쉬운지 확인하고, 몇 분 내에 클라우드 구성 오류와 취약성에 대한 가시성을 얻으십시오.

Nessus Expert 무료로 사용해 보기

7일간 무료

최신 공격 표면을 방어하기 위해 구축된 Nessus Expert를 사용하면 IT부터 클라우드까지, 더 많은 것을 모니터링하고 조직을 취약성으로부터 보호할 수 있습니다.

Nessus Professional이 이미 있습니까?
7일간 Nessus Expert로 무료 업그레이드하십시오.

Nessus Expert 구매

최신 공격 표면을 방어하기 위해 구축된 Nessus Expert를 사용하면 IT부터 클라우드까지, 더 많은 것을 모니터링하고 조직을 취약성으로부터 보호할 수 있습니다.

라이선스 선택

프로모션 가격은 12월 31일까지 연장되었습니다.
여러 해 라이선스를 구매하여 비용을 더 절감하십시오.

지원 및 교육 추가