Workday 보안
Workday의 데이터 보호 방식
Workday는 고객의 데이터를 보호하고 투명한 소통을 보장하기 위해 최선을 다합니다. 고객의 데이터, 어플리케이션, 인프라의 안전을 위해 사람, 프로세스, 기술을 포괄하는 강력한 보호 조치를 적용합니다.
고객
고객은 Workday에 입력하는 데이터는 물론 모든 설정과 구성까지 온전히 제어할 수 있습니다. Workday는 교육, 전문 지원, 상세한 자료, 시기적절한 커뮤니케이션, 고객 커뮤니티를 제공하면서 고객이 데이터를 보호하고 강력한 Workday 보안 도구를 제대로 활용하도록 지원합니다.
“Workday를 통해 262개의 시스템을 몇 개의 핵심 어플리케이션으로 줄이는 동시에 보안과 기능성을 강화하면서 혁신의 여정에 속도를 낼 수 있었습니다.”
- 최고정보책임자(CIO)
보호 프로세스
Workday는 고객의 데이터를 보호하기 위해 데이터 센터, 네트워크, 어플리케이션에 대한 세세한 운영 정책, 절차, 프로세스를 마련하고 실행합니다.
Workday 어플리케이션을 호스팅하는 첨단 데이터 센터는 완전히 이중화된 서브시스템과 상호 격리된 보안 구역으로 구성되었습니다. 이 데이터 센터에서는 엄격한 물리적/환경적 보안 조치를 적용합니다. 여러 단계의 인증 절차를 거쳐야 중요 인프라에 액세스할 수 있습니다.
카메라 감시 시스템이 내부 및 외부의 주요 진입 지점에 설치되고, 보안 팀이 데이터 센터를 휴일 없이 24시간 모니터링합니다. 이 데이터 센터는 화재 진압, 전력 관리, 난방, 환기, 에어컨 등을 최소 N+1 이중화로 설정하는 등 이중화된 환경적 보호 기능 및 백업 전원 관리 시스템을 구현했습니다.
Workday 네트워크는 고객 환경의 변칙적인 네트워크 패턴과 계층 및 서비스 간의 트래픽을 모니터링하는 경계 방어, 위협 방지, 위협 감지 도구와 같은 입증된 정책, 절차, 프로세스를 통해 보호됩니다. 연중무휴 24시간 상시 가동되는 글로벌 보안 운영 센터도 있습니다.
타사 전문가가 수행하는 여러 외부 취약성 평가를 통해 방화벽, 라우터, 웹 서버 등 인터넷에 연결되는 자산을 조사하여 무단 액세스를 찾아냅니다. 또한, 내부적으로도 네트워크와 시스템에 대해 공인된 취약점 평가를 수행하여 잠재적 약점 및 종합 시스템 보안 정책에 위배되는 사항을 파악합니다.
어플리케이션 개발, 테스트, 배포 프로세스의 모든 단계는 제품의 보안을 염두에 두고 설계되었습니다. Workday 제품 및 기술 팀은 엔터프라이즈 SSDLC(보안 소프트웨어 개발 라이프사이클) 및 DevSecOps 책임 절차를 따르고 있습니다. 이러한 개발 프로세스에는 심층적인 보안 위험 정밀 평가와 Workday 기능 검토가 포함됩니다. 정적 및 동적 소스 코드 분석을 통해 개발 라이프사이클에 엔터프라이즈 보안을 통합합니다. 개발자를 위한 어플리케이션 보안 교육 및 어플리케이션 침투 테스트로 개발 프로세스를 보강합니다.
각 주요 릴리스의 출시에 앞서 최고의 보안 전문 업체를 고용하여 Workday 웹 및 모바일 어플리케이션을 대상으로 어플리케이션 차원의 보안 취약성 평가를 수행하여 잠재적 문제점을 찾아냅니다. 이 보안 업체는 절차에 따라 테스트를 진행하면서 표준 및 고급 웹 어플리케이션의 보안 취약성을 밝혀냅니다.
보안을 고려해 설계된 기술
아키텍처에서 어플리케이션에 이르기까지 Workday의 기술은 데이터 보안을 우선적으로 고려하며, 리스크에 가장 민감한 고객을 비롯하여 모든 고객의 보안 니즈 해결을 목표로 합니다.
Workday는 강력한 암호화 기술을 사용하여 저장 상태이거나 전송 중인 고객 데이터를 보호합니다. Workday는 데이터 저장 시 암호화를 위해 AES(Advanced Encryption Standard) 알고리즘과 256비트 키를 사용합니다.
TLS(Transport Layer Security)로 인터넷을 통한 사용자 액세스를 보호하면서 네트워크 트래픽에 대한 수동적인 도청, 적극적인 변조, 메시지 위조 시도를 차단합니다. 파일 기반 통합은 PGP 방식으로, 즉 Workday에서 생성한 공개 키/개인 키 쌍과 고객이 생성한 인증서를 사용하여 암호화할 수 있습니다. Workday API와의 웹 서비스 통합을 위해 WS-Security도 지원됩니다.
Workday 키 관리 서비스(KMS)에서는 암호화 키, 즉 고객 데이터 저장 시 암호화 및 그 해독에 쓰이는 키의 라이프사이클 전반을 관리합니다. 고객은 루트 암호화 키를 완전하게 제어하는 BYOK(Bring Your Own Key) 기능을 구현할 수도 있습니다.
Workday는 사용자가 Workday 테넌트를 사용하는 방식에 관한 매우 다양한 리포트를 감사인과 관리자에게 제공합니다. 감사 추적, 사용자 활동 로그 및 로그온 리포트는 Workday 고객 및 감사인이 가장 많이 사용하는 리포트입니다. Workday를 사용하면 모든 비즈니스 트랜잭션을 모니터링하고 과거 데이터 및 구성 변경사항을 쉽게 확인할 수 있습니다.
인증
Workday는 플랫폼에 액세스하는 모든 사용자와 시스템을 인증하는 절차를 마련하여 시행합니다. Workday를 사용하는 고객은 Workday 내에서 최종 사용자 ID를 만들거나 Active Directory와 같은 외부 시스템의 ID를 Workday에 통합할 수 있습니다. Workday 보안 액세스는 역할을 기반으로 합니다. 싱글 사인온(SSO)을 위해 SAML을, 그리고 사용자 및 웹 서비스 통합을 위해 x509 인증서를 사용하는 인증을 지원합니다.
SSO 지원
SAML을 사용하여 고객사 내부 웹 포털과 Workday의 완전한 SSO(Single Sign-On) 경험을 구현할 수 있습니다. Workday는 OIDC(OpenID Connect)도 지원합니다.
Workday 기본 로그인
Workday 엔터프라이즈 제품의 기본 로그인은 비밀번호를 그대로 저장하지 않고 반드시 보안 해시 형식으로 저장합니다. 로그인 시도 실패와 성공한 로그인/로그아웃 활동은 감사를 위해 기록됩니다. 일정 기간 사용자의 활동이 없으면 해당 사용자 세션은 자동으로 만료되는데, 이 기간은 사용자가 직접 구성할 수 있습니다.
고객은 비밀번호의 길이, 복잡성, 만료 시점, 비밀번호가 기억나지 않을 때를 위한 힌트 질문 등을 포함하는 규칙에 따라 비밀번호를 만들 수 있습니다.
구성 가능한 보안
Workday 보안 관리자는 사용자가 액세스할 수 있는 데이터, 그리고 사용자가 고객 테넌트에서 수행할 수 있는 액션을 제어합니다. 역할, 시큐리티 그룹, 비즈니스 프로세스 구성과 같은 도구를 사용하여 관리자가 회사의 보안 정책을 구현하고 확장에 따라 업데이트할 수 있습니다.
적응력 강화