SOC 2 유형 II 규정 준수

SOC 2 유형 II 보고서

현재 보고 기간 및 범위를 포함하여 MongoDB의 SOC 유형 II 태세에 대한 최신 세부 정보를 보려면 2 이 페이지가 아닌 MongoDB 보안 센터 리소스를 사용해야 합니다. MongoDB Atlas (상업 환경)와 Atlas For Government에는 2 각 환경과 관련된 특정 제어 및 구성을 다루는 자체 SOC 유형 II 보고서가 있습니다.

현재 SOC 2 유형 II 보고서를 요청 하려면 다음을 수행합니다.

• 기존 고객: MongoDB고객 신뢰 포털에서 요청하세요.

• 잠재 고객: MongoDB 팀 에 문의하세요.

SOC 2 유형 II 보고서를 받으려면 현재 MongoDB 고객이거나 MongoDB와 NDA를 체결해야 합니다.

MongoDB Atlas (상업 환경)

• 범위 상용 워크로드를 위한 완전 managed 멀티클라우드 개발자 데이터 플랫폼입니다.

• MongoDB Atlas SOC 2 유형 II 보고서에서 다룹니다.

• 다음과 같은 경우에 적합합니다.

  • FedRAMP 인증 환경이 필요하지 않습니다.

  • 데이터 상주 및 규제 요구 사항은 상용 MongoDB Atlas 리전 및 제어로 충족될 수 있습니다.

  • 여러 사업부에 걸쳐 단일 글로벌 MongoDB Atlas 공간을 표준화하려고 합니다.

이 페이지를 포함하여 Atlas 아키텍처 센터에 있는 대부분의 링크와 예제는 상용 MongoDB Atlas 구성에 중점을 둡니다.

Atlas For Government

• 미국 공공 부문 및 관련 규제 대상 워크로드를 위해 특별히 배포되고 managed 별도의 격리된 MongoDB Atlas 환경입니다.

• 전용 SOC 2 유형 II 보고서 및 추가 공공 부문 컴플라이언스 프레임워크의 적용을 받습니다.

• 일반적으로 다음과 같은 조직에 적합합니다.

  • 미국 정부 호스팅, 연결 또는 인사 심사 요구 사항.

  • SOC 2 유형 II에 추가된 FedRAMP 또는 유사한 프레임워크 요구 사항.

  • 정부 워크로드를 위해 격리된 환경을 요구하는 정책 또는 규정입니다.

Atlas For Government 관련 구성 지침 Atlas For Government 설명서를 참조하세요.

보안(액세스 제어 및 네트워크 보안)

개념: 시스템은 물리적 및 논리적 무단 액세스 로부터 보호됩니다.

다음과 같은 관련 MongoDB Atlas 지침 및 기능이 적용.

ID 및 인증

Atlas 인증에 대한 지침은 다음을 다룹니다.

• MongoDB Atlas UI 인증

• 데이터베이스 인증

• MongoDB Atlas 관리 API 인증

• 페더레이션 인증 (SSO)

• AWS IAM 역할 인증

• MFA(다단계 인증 )

• X.509 클라이언트 인증서

• SCRAM 비밀번호 인증

• 비밀 관리

권한 부여 및 최소 권한

Atlas 권한 부여 지침은 다음을 다룹니다.

• 역할 기반 액세스 제어(RBAC)

• 기본 제공 역할 및 사용자 지정 역할

• 시간이 제한된 데이터베이스 사용자를 위한 JIT(Just-in-Time) 액세스

네트워크 보안 및 격리

Atlas Network Security에 대한 지침은 다음을 다룹니다.

• 필수 TLS/SSL 암호화

• IP 액세스 목록

• 비공개 엔드포인트(AWS PrivateLink, Azure Private Link, GCP Private Service Connect)

• VPC/VNet 피어링 및 네트워크 격리 패턴

SOC 2 유형 II에 대한 보안 제어를 문서 할 때, 이러한 기능이 MongoDB Atlas 컨트롤 플레인 및 데이터 플레인 액세스 에 대해 강력한 인증, 권한 부여 및 네트워크 경계를 시행하다 방법을 참고할 수 있습니다.

기밀 및 개인정보 보호(데이터 보호 및 암호화)

개념: 기밀로 지정된 정보는 보호되며, 개인정보 보호 정책에 따라 개인정보를 수집, 사용, 보유, 공개 및 파기합니다.

다음과 같은 관련 MongoDB Atlas 지침 및 기능이 적용.

전송 중, 미사용 데이터 및 사용 중인 암호화

Atlas 데이터 암호화에 대한 지침은 다음을 다룹니다.

• 전송 중 암호화(TLS)

• cloud 제공자 디스크 암호화 사용한 미사용 데이터 암호화(AES-256)

• 고객 키 관리 통한 미사용 데이터 암호화( KMS 통한 BYOK/ CMK )

• Queryable Encryption 및 CSFLE(클라이언트 측 필드 레벨 암호화 )를 통한 암호화 사용

백업 및 보존

Atlas 백업에 대한 지침은 다음을 다룹니다.

• 스냅샷 및 백업 보존 구성

• 지속적인 클라우드 백업

• 백업 컴플라이언스 정책(write-once-ready-many 스타일의 보존 및 삭제 방지용)

SOC 2 유형 II 제어 설명에서 미사용 데이터 의 기밀성을 주소 제어, 암호화 키 관리, 백업 보호, 데이터 수명 주기 관리 자체 보존 및 개인정보 보호 정책에 맞게 조정하는 제어에 이러한 기능을 매핑할 수 있습니다.

가용성(고가용성, 재해 복구 및 백업)

개념: 시스템을 약정 또는 동의한 대로 운영하고 사용할 수 있습니다.

다음과 같은 관련 MongoDB Atlas 지침 및 기능이 적용.

고가용성 아키텍처

Atlas 고가용성에 대한 지침은 다음을 다룹니다.

• 복제본 설정하다 아키텍처 및 자동 페일오버

• 가용성 목표를 달성하기 위한 클러스터 크기 조정 및 배포서버 패턴

재해 복구 및 RTO/RPO

Atlas 재해 복구 지침은 다음을 다룹니다.

• RTO( 복구 시간 목표 ) 정의 및 검증

• RPO( 복구 시점 목표 ) 정의 및 유효성 검사

• 리전 중복성 및 백업 기반 복구를 사용하는 DR 패턴

백업 및 스냅샷 배포

Atlas 백업에 대한 지침은 다음을 다룹니다.

• 예약된 클라우드 백업 및 연속 백업

• 멀티 리전 스냅샷 배포 및 복원 전략

확장성 및 용량

Atlas 확장성에 대한 지침은 다음을 다룹니다.

• 수직 및 수평 확장 (샤딩 및 계층 변경)

• 컴퓨팅 및 저장 자동 확장

• 데이터 계층화 및 아카이브 전략

• 배포 패러다임 인식 권장 사항

SOC 2 유형 II 가용성 제어의 경우, 조직은 MongoDB Atlas 구성( 예시: 다중 리전 아키텍처, 백업 정책, 유지 관리 기간)을 자체 인시던트 대응 및 DR 런북과 결합할 수 있습니다.

처리 무결성(감사, 모니터링 및 로깅)

개념: 시스템 처리 완전하고 정확하며 시기적절하고 승인된 상태입니다.

다음과 같은 관련 MongoDB Atlas 지침 및 기능이 적용.

데이터베이스 감사

Atlas Auditing 지침은 다음을 다룹니다.

• M10+ 클러스터에서 데이터베이스 감사 활성화

• 감사 필터 만들기 및 개선

• 권장 감사 이벤트(예: 인증, 권한 변경, 스키마 변경)

로깅 및 감사 데이터에 대한 액세스

Atlas 로깅에 대한 지침은 다음을 다룹니다.

• MongoDB 로그 및 감사 로그 다운로드 및 스트리밍

• 로그를 프로그래밍 방식으로 내보내기( 예시: S3 또는 SIEM 플랫폼으로)

• 추가 분석을 위한 통합 포인트

모니터링 및 경고

Atlas 모니터링 및 경고에 대한 지침은 다음을 다룹니다.

• 주요 지표 및 대시보드(성능, 리소스 사용률, 복제)

• 권장 경고 구성

• 외부 모니터링 및 사고 관리 도구와의 통합

• 경고 정책에 대한 자동화 예시

SOC 2 유형 II 컨텍스트에서 이러한 기능은 일반적으로 다음과 같은 제어를 지원 .

• 처리 의 정확성 및 적시성 모니터링.

• 비정상적인 활동을 감지하고 조사합니다.

• 감사 증거를 통해 변경 제어 및 업무 분리를 시행합니다.