클라우드 서비스 사업자의 경우 IL5 인증은 최고 수준의 보안 표준을 준수하는 클라우드 서비스가 필요한 정부 기관과의 계약을 확보할 더 많은 기회를 제시합니다. IL5 인증 프로세스를 통해 정부 기관은 보다 빠르고 효율적으로 CSP를 찾고 계약할 수 있습니다. 민간 부문의 기업은 IL5 인증을 획득한 CSP와 협력함으로써 이점을 누릴 수 있습니다. 이러한 차별화를 통해 공급업체는 최고 수준의 보안을 제공하기 위해 노력하고 기업이 사이버 안정성을 달성하는 데 효과적으로 도움을 줄 수 있기 때문입니다.
IL5는 클라우드 서비스 사업자(CSP)가 국방부(DoD)의 가장 민감한 데이터 중 일부를 저장하고 처리할 수 있도록 승인하는 미 국방부의 인증입니다. IL5 인증은 CSP가 미션 크리티컬 정보로 간주되는 제어되는 미분류 정보(CUI)를 안전하게 처리할 수 있는 수준의 제어, 프로토콜 및 기술을 보유하고 있음을 나타냅니다. IL5 인증에 필요한 보안 제어는 클라우드 서비스 업계에서 가장 엄격한 수준에 해당합니다.
DoD 영향 수준이란 무엇인가요?
미 국방부는 클라우드 인프라와 서비스에 의존해 정보를 공유하고, 방어 애플리케이션을 실행하며, 모든 종류의 군사 작전에 대한 전투 지원을 제공합니다. 클라우드 환경에 대한 위협이 상시 존재하기 때문에 DoD는 DoD 데이터와 함께 작동하는 모든 CSP가 다양한 보안 요구사항을 준수하고 특정 제어 및 보호 기능을 갖추도록 요구합니다.
DoD는 '영향 수준' 시스템을 사용해 정보의 민감도와 데이터의 손실, 노출, 도난 또는 감염 시 입을 수 있는 피해 정도에 따라 데이터를 분류합니다.
DoD는 데이터 분류 외에도 영향 수준을 통해 CSP가 제공하는 특정 클라우드 서비스 제품(CSO)의 보안 체계를 평가할 수 있습니다. 영향 수준 인증은 다양한 데이터 보안 요구사항에 사용할 수 있는 CSP 및 CSO를 이해하기 위한 수단입니다.
영향 수준 5(IL5)는 분류되지 않았지만 매우 민감하고 중요한 정보에 부여된 분류 등급입니다. (IL-6이 가장 높은 분류 등급이며 비밀(SECRET)로 분류된 정보 시스템과 데이터에 예약되어 있습니다.) 벤더는 IL5 인증을 통해 제어되는 미분류 정보(CUI), 미션 크리티컬 정보, 국가 보안 시스템 정보를 저장하고 처리할 수 있습니다. 여기에는 잠재적으로 인명 손실이나 국방부의 작전 수행 능력에 심각한 손상을 입히거나 국가 안보에 치명적인 손상을 입힐 수 있는 데이터가 포함됩니다.
영향 수준은 서로 어떻게 다른가요?
현재 DoD 영향 수준은 서로 다른 데이터 민감도 수준을 나타내는 네 가지로 구분됩니다.
- 영향 수준 2(IL2)는 공개용으로 승인된 DoD 정보에 해당됩니다.
- 영향 수준 4(IL4)는 DoD의 제어되는 미분류 정보(CUI)에 해당합니다.
- 영향 수준 5(IL5)는 국방부 CUI 및 국가 보안 시스템(NSS)에 해당됩니다.
- 영향 수준 6(IL6)은 최대 비밀(SECRET) 분류의 DoD 분류 정보에 해당됩니다.
IL5 인증을 관리하는 기관은 어디인가요?
DISA(Defense Information Systems Agency)는 DoD의 소속 기관으로, DoD 클라우드 컴퓨팅 보안 요구사항 가이드(CC SRG)의 개발 및 유지 관리를 담당합니다. 이 문서는 CSO의 보안 체계를 평가하기 위한 기본 보안 요구사항을 정의하고 CSP가 DoD 미션을 호스팅할 수 있도록 임시 권한(PA)을 부여하는 의사 결정 프로세스를 지원합니다.
FedRAMP는 IL5 인증과 어떤 관련이 있나요?
FedRAMP(Federal Risk and Authorization Management Program)는 CSP의 제품 및 서비스를 평가, 승인, 지속적으로 모니터링하기 위한 표준화된 접근 방식을 개발 및 관리하는 정부 차원의 프로그램입니다. FedRAMP는 CSP가 다양한 연방 기관과 협력하고 다양한 수준의 민감한 정보를 저장 및 처리하도록 인증하는 평가 및 권한 부여 프로세스(Low(낮음), Moderate(보통), High(높음) 임시 권한 포함)를 감독합니다. 연방 정부 및 해당 기관과 협력하려는 모든 CSP는 FedRAMP 인증을 받아야 합니다. 그러나 IL5 인증을 원하는 기업은 추가 조치를 취하고 더욱 강력한 보안 제어를 통합해야 합니다.
IL5 인증이 필요한 정보 유형은 무엇인가요?
CSP는 다음과 같은 데이터를 다루기 위해 IL5 인증을 획득해야 합니다.
- DoD IL4에서 제공하는 것보다 더 높은 수준의 보안이 필요한 CUI. 여기에는 중요 인프라, 국방, 수출 통제, 첩보, 법 집행, 금융, 핵, 개인 정보 보호 등에 대한 정보을 비롯해 다양한 범주의 정보가 포함됩니다.
- NSS(National Security Systems)에 포함된 정보. 여기에는 첩보 활동의 일부인 정보, 국가 안보와 관련된 암호화 활동, 군대의 지휘 및 통제에 사용되는 정보, 무기 시스템의 핵심 역할을 하는 장비에 대한 정보, 군사 또는 첩보 임무의 직접적인 수행에 중요한 기능을 지원하는 데이터가 포함됩니다.
IL5 인증에는 어떤 종류의 보안 제어가 필요한가요?
IL5 인증을 획득하려면 엄격한 보안 평가를 거치고 가장 엄격한 물리적, 논리적, 암호화 격리 제어를 도입해야 합니다. 여기에는 FedRAMP High(높음) 권한을 획득하는 데 필요한 제어와 NSS(National Security Systems)를 보호하고 CUI에 최고 수준의 보안을 제공하는 데 필요한 여러 추가 요구사항이 포함됩니다.
IL5 인증에는 여러 범주에서 다양한 제어가 필요합니다.
- 인프라 설계 및 보안 아키텍처: CSP는 네트워크 세그멘테이션, 침입 탐지 시스템, 강력한 방화벽 설정, 암호화된 통신 채널을 구축해야 할 수 있습니다.
- ID 및 접속 관리 제어: 멀티팩터 인증(MFA), 역할 기반 접속 제어, 권한 기반 접속 관리 기능은 권한이 없는 사용자가 중요한 데이터와 시스템에 접속하지 못하도록 차단합니다.
- 데이터 암호화: 노출된 정보를 읽을 수 없도록 하려면 저장 데이터, 전송 중 데이터, 사용 중인 데이터에 강력한 암호화 메커니즘이 필수적입니다.
- 지속적인 모니터링: 침입 탐지 및 보안 정보 및 이벤트 관리(SIEM) 시스템을 사용한 지속적인 모니터링은 위협을 신속하게 탐지하고 방어하는 데 도움이 됩니다.
- DevOps 보안 관행: CSP는 보안 코딩 관행 및 방법론을 도입하고, 정기적이고 자동화된 보안 테스트를 수행해 취약점을 식별하고 해결함으로써 개발 프로세스의 보안 취약점을 차단할 수 있습니다.
- 업데이트 및 패치 관리: 주기적으로 보안 패치를 적용하고 시스템을 업데이트하는 작업은 매우 중요합니다. 모의 해킹 및 취약점 평가는 공격자가 악용할 수 있는 취약점을 발견하는 데 도움이 될 수 있습니다.
- 문서화 및 보고: CSP는 정책, 절차, 감사와 관련된 세부 기록을 포함해 보안 제어 및 컴플라이언스 노력에 대한 포괄적인 문서를 제공해야 합니다.
- 써드파티 리스크 관리: 써드파티 리스크 평가는 보안 격차를 식별하고 기업의 공급망 내에서 발생할 수 있는 위협을 차단하는 데 매우 중요합니다.
자주 묻는 질문(FAQ)
IL5 인증은 미국 공공 부문 고객의 워크로드를 지원하려는 기업에 필수적입니다.
FedRAMP 인증과 DoD 영향 수준은 모두 클라우드 제품 및 서비스의 보안 기능 평가와 관련이 있지만 이러한 인증의 범위와 초점은 서로 다릅니다. FedRAMP는 정부 데이터를 저장하고 처리하는 클라우드 기반 시스템의 보안을 보장하기 위해 설계된 정부 차원의 프로그램이며, FedRAMP 인증은 모든 DoD 클라우드 서비스의 최소 보안 기준입니다. 영향 수준은 미션 크리티컬 평가를 보호하기 위해 DoD가 요구하는 사이버 보안 표준에 특화되어 있습니다.
고객이 Akamai를 선택하는 이유
Akamai는 온라인 비즈니스를 지원하고 보호하는 사이버 보안 및 클라우드 컴퓨팅 기업입니다. 시장을 대표하는 보안 솔루션, 탁월한 위협 인텔리전스, 글로벌 운영팀이 어디서나 기업 데이터와 애플리케이션을 보호하기 위한 심층적 방어 기능을 제공합니다. Akamai의 풀스택 클라우드 컴퓨팅 솔루션은 세계에서 가장 분산된 플랫폼에서 성능과 경제성을 제공합니다. 글로벌 기업들은 비즈니스 성장에 필요한 업계 최고의 안정성, 확장성, 전문성을 제공하는 Akamai를 믿고 신뢰합니다.