예. OMB의 지침에 따라 연방 기관에서 사용하는 모든 클라우드 서비스에는 FedRAMP 인증이 필수입니다.
FedRAMP®(Federal Risk and Authorization Management Program)는 미국 연방 정부가 클라우드 서비스를 평가, 인증, 모니터링하기 위해 표준화된 접근 방식을 수립합니다. 미국 연방 기관과 협력하려는 모든 클라우드 서비스 사업자(CSP)는 FedRAMP를 준수하고 클라우드 솔루션에 대한 인증을 획득해 연방 클라우드 보안 표준을 준수함을 입증해야 합니다.
GSA(General Services Administration) 내 FedRAMP PMO(Program Management Office)에서 관리하는 이 프로그램은 클라우드에서 연방 정보 시스템을 보호하기 위해 미국 OMB(Office of Management and Budget)에서 규정한 요구사항을 구현합니다. 클라우드 환경을 표적으로 삼는 사이버 위협이 증가함에 따라 정부 기관은 모든 CSP의 보안 체계와 연방 정보를 보호하는 제어 장치를 철저히 평가해야 합니다.
2011년에 수립된 FedRAMP는 여러 연방 기관에서 통제된 미분류 정보를 처리하기 위해 클라우드 기술에 대한 보안 인증을 발행하는 공식 프로세스 역할을 합니다.
FedRAMP 인증의 역사과 목적은 무엇인가요?
FedRAMP를 구축하기 전에 클라우드 공급업체가 정부와 협력할 때 다음과 같은 중요한 과제에 직면했습니다.
- 각 연방 기관에서 정보 시스템에 대한 자체 보안 평가 방법론을 요구함
- 부서 간 보안 표준이 일관되지 않게 서로 다름
- 공급업체가 중복된 문서화 및 평가를 수행함
- 클라우드 도입 프로세스가 느리고 비용이 많이 듬
- 기관에 따라 보안 가시성이 서로 다름
미국 정부는 보안 평가, 인증, 지속적인 모니터링을 표준화하는 '한 번 실행으로 여러 번 사용'하는 프레임워크를 구축함으로써 이러한 문제를 해결하기 위해 FedRAMP를 만들었습니다. OMB는 2011년 연방 기관 클라우드 배포 시 FedRAMP 컴플라이언스를 의무화했으며, 2022년 FedRAMP 인증 법에서 해당 프로그램을 공식적으로 성문화하면서 이 접근 방식의 정당성은 더욱 공고해졌습니다.
FedRAMP 인증을 받는 방법: 요구사항 및 프로세스
FedRAMP 인증은 전 세계에서 가장 엄격한 인증 중 하나입니다. 이 프로세스는 다음과 같은 세 가지 영향 등급(IL)에서 NIST(National Institute of Standards and Technology) SP 800-53 보안 제어를 기반으로 상세한 방법론을 따릅니다.
- FedRAMP Low(낮음) 영향: 리스크 허용 범위가 낮은 시스템
- FedRAMP Moderate(중간) 영향: 리스크 허용 범위가 중간 시스템의 경우
- FedRAMP High(높음) 영향: 리스크 허용 범위가 높은 시스템의 경우
중요한 FedRAMP 인증 단계로 무엇이 있나요?
- 준비 상태 평가: 기업은 공식 프로세스를 시작하기 전에 상황에 따라 FedRAMP 준비 상태 평가를 완료해 준비 상태를 평가할 수 있습니다.
- 시스템 보안 계획(SSP) 개발: NIST 지침에 따라 정보 시스템에 대한 모든 보안 제어 및 구축을 문서화합니다.
- 보안 제어 구축: FedRAMP 컴플라이언스 요구사항을 충족하도록 시스템을 설정하고 기술, 운영, 관리 제어를 구축합니다.
- 보안 패키지 준비: 검토를 위해 SSP, 보안 평가 계획, 지원 아티팩트를 포함한 포괄적인 문서를 작성합니다.
- 3PAO 평가: 써드파티 평가 기업이 보안 제어가 제대로 구축되고 작동하는지 확인하기 위해 독립적인 테스트를 수행합니다.
- POA&M 생성: 식별된 문제에 대한 조치 계획과 이정표를 수립하며 문제 해결 활동을 위한 일정을 세웁니다.
- 보안 인증: 2024년 8월을 기점으로 FedRAMP 프로그램에서 인증 경로를 통합했습니다. CSP는 FedRAMP Ready 보안 패키지를 직접 제출하거나 후원 기관을 통해 제출해 FedRAMP 인증 상태를 확보할 수 있습니다.
- 지속적인 모니터링: 자동화된 모니터링 툴과 정기적인 컴플라이언스 검증을 통해 지속적인 보안 평가 및 보고 체계를 구축합니다.
FedRAMP PMO는 기업이 클라우드 솔루션에 대한 FedRAMP 컴플라이언스 상태를 확보할 수 있도록 템플릿, 문서 리소스, 요구사항에 대한 명확한 설명을 제공하면서 이 프로세스 전반에 대한 지침을 제공합니다.
FedRAMP와 DoD 클라우드 컴퓨팅 보안 요구사항은 무엇인가요?
국방부(DoD)는 FedRAMP를 기반으로 클라우드 컴퓨팅 보안 요구사항 가이드(CC SRG)의 추가 요구사항을 더해 클라우드 보안을 위한 DoD IL을 구축했습니다.
- IL2: 제어되지 않는 미분류 정보
- IL4: 제어되는 미분류 정보(CUI)
- IL5: 강화된 보안이 필요한 미션 크리티컬 CUI
- IL6: 최대 비밀(SECRET) 등급의 기밀 정보
이러한 프레임워크 간의 관계는 보안에 대한 표준화된 접근 방식을 보여줍니다.
- FedRAMP Moderate(중간) = IL2
- FedRAMP High(높음) + DoD 전용 제어 = IL4/IL5
- FedRAMP High(높음) + 광범위한 추가 제어 = IL6
정부 및 업계에서 FedRAMP 인증의 이점은 무엇인가요?
정부 기관의 이점:
- 표준화된 평가 방법론을 통해 보안 유출 리스크 감소
- 기존 보안 인증을 사용해 시간 및 리소스 절감
- 클라우드 배포 전반에 걸쳐 일관된 보안 표준
- 지속적인 모니터링을 통해 보안 체계 강화
- GSA 인증 차량을 통해 보안 클라우드 기술의 신속한 조달
- 자동화된 툴을 통해 지속적인 보안 모니터링 및 컴플라이언스
클라우드 공급업체의 이점:
- 간소화된 인증 프로세스: 한 번 인증으로 여러 번 사용
- GSA Schedule 계약을 통해 연방 시장 진출 확대
- 보안 신뢰성 및 포지셔닝 강화
- 포괄적인 평가를 통해 전반적인 보안 체계 개선
- 민간 부문의 신뢰도 향상
- FedRAMP Marketplace의 가시성
FedRAMP.gov 리소스
고객이 Akamai를 선택하는 이유
Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업입니다. 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 어디서나 기업 데이터와 애플리케이션을 보호하기 위한 심층적 방어 기능을 제공합니다.
