ECS: CAS 규정 준수

컴플라이언스

전자 기록 스토리지에 대한 정부 및 업계 표준을 지원하는 ECS 기능을 설명합니다.

ECS는 Cohasset Associates Inc.가 인증한 다음 표준의 스토리지 요구 사항을 충족합니다.

• SEC(Securities and Exchange Commission) 규정 17 C.F.R. 240.17a-4(f)
• 상품선물거래위원회(CFTC) 규정 17 C.F.R. 1.31(b)-(c)

규정 준수에는 세 가지 구성 요소가 있습니다.

• 플랫폼 강화: 일반적인 보안 취약성 해결.
• 정책 기반 레코드 보존: 보존 중인 레코드에 대한 보존 정책을 변경하는 기능을 제한합니다.
• 규정 준수 보고: 시스템 에이전트의 정기 보고는 시스템의 규정 준수 상태를 기록합니다.

플랫폼 강화 및 규정 준수

다음 ECS 보안 기능은 규정 준수 표준을 지원합니다.

ECS 플랫폼 보안 기능:

• 노드에 대한 사용자 루트 액세스가 비활성화됩니다(사용자 루트 로그인은 허용되지 않음).
• ECS 고객은 최초 설치 시 설정된 admin 사용자를 통해 노드에 액세스할 수 있습니다.
• admin 사용자는 sudo를 사용하여 노드에서 명령을 실행합니다.
• sudo 명령에 대한 전체 감사 로깅이 있습니다.
• ESRS는 노드에 대한 모든 원격 액세스를 종료할 수 있습니다. ESRS 정책 관리자에서 원격 터미널 시작 작업을 Never Allow로 설정합니다.
• 불필요한 포트(ftpd, sshd)가 모두 닫힙니다.
• Lock Administrator 역할을 가진 emcsecurity 사용자는 클러스터의 노드를 잠글 수 있습니다. 이는 SSH를 통한 네트워크를 통한 원격 액세스가 비활성화됨을 의미합니다. 그런 다음 Lock Administrator는 노드를 잠금 해제하여 원격 유지 보수 작업 또는 기타 권한이 부여된 액세스를 허용합니다.

규정 준수 및 보존 정책

규정 준수가 활성화된 ECS 시스템에서 레코드 보존에 대한 개선된 규칙을 설명합니다. ECS는 오브젝트, 버킷 및 네임스페이스 레벨에서 오브젝트 보존 기능을 켜기로 설정합니다. 규정 준수는 보존 중인 오브젝트에 대한 보존 설정에 수행할 수 있는 변경 사항을 제한하여 이러한 기능을 강화합니다. 규칙은 다음과 같습니다.

• 규정 준수는 네임스페이스 수준에서 설정됩니다. 즉, 네임스페이스의 모든 버킷에는 0보다 큰 보존 기간이 있어야 합니다. CAS의 경우 오브젝트의 보존 정보 적용 설정이 켜져 있으면 보존이 0인 버킷을 생성할 수 있습니다.
• Compliance는 네임스페이스를 생성할 때만 켤 수 있습니다. (기존 네임스페이스에는 Compliance를 추가할 수 없습니다.)
• 규정 준수가 켜지면 끌 수 없습니다.
• 네임스페이스의 모든 버킷은 보존 기간이 0보다 커야 합니다.
  참고: 오브젝트 레벨 보존 기간을 할당하는 애플리케이션이 있는 경우 ECS를 사용하여 애플리케이션 보존 기간보다 긴 보존 기간을 할당하지 마십시오. 이 작업으로 인해 애플리케이션 오류가 발생합니다.
• 데이터가 있는 버킷은 보존 값에 관계없이 삭제할 수 없습니다.
• 버킷에 Infinite 옵션을 적용하면 Complianceenabled 네임스페이스의 버킷에 있는 오브젝트를 영구적으로 삭제할 수 없게 됩니다.
• 오브젝트의 보존 기간은 삭제하거나 단축할 수 없습니다. 따라서 버킷의 보존 기간을 삭제하거나 단축할 수 없습니다.
• 오브젝트 및 버킷 보존 기간을 늘릴 수 있습니다.
• 어떤 사용자도 보존 중인 오브젝트를 삭제할 수 없습니다. 여기에는 CAS privilegeddelete 권한이 있는 사용자가 포함됩니다.

규정 준수 에이전트

규정 준수 에이전트의 작업에 대해 설명합니다.

규정 준수 모니터링을 제외하고 규정 준수 기능은 기본적으로 켜져 있습니다. 모니터링이 켜져 있는 경우 에이전트는 주기적으로 메시지를 기록합니다.