FedRAMP
개요
미국 연방 정부는 미국 국민에게 가장 혁신적이고, 안전하며, 비용 효율적인 방법으로 서비스를 제공하기 위해 최선을 다하고 있습니다. 클라우드 컴퓨팅은 연방 정부가 전국적으로 미션을 수행하기 위해 운영 효율성을 높이고 필요에 따라 혁신할 수 있는 방법에 있어 핵심적인 역할을 합니다. 그것이 바로 현재 많은 연방 기관에서 AWS 클라우드 서비스를 사용하여 연방 정부 데이터를 처리, 저장 및 전송하는 이유입니다.
FAQ
-
FedRAMP란 무엇인가요?
FedRAMP(연방정부 위험 및 인증 관리 프로그램)는 클라우드 제품 및 서비스의 보안 평가, 인증 및 지속적인 모니터링에 대한 표준 접근 방식을 제공하는 미국 정부 차원의 프로그램입니다. FedRAMP 관리 기관에는 미국 관리 예산처(OMB), 미국 총무처(GSA), 미국 국토안전부(DHS), 미국 국방부(DOD), 미국 국립표준기술연구소(NIST) 및 연방 최고 정보 책임자(CIO) 위원회가 있습니다.
미국 정부에 클라우드 서비스 오퍼링(CSO)을 제공하고자 하는 클라우드 서비스 공급자(CSP)는 FedRAMP 규정 준수를 입증해야 합니다. FedRAMP는 NIST 특별 간행물 800 시리즈를 사용하며, 정부 기관이 연방 정보 보안 관리법(FISMA)을 준수하도록 보장하기 위해 클라우드 서비스 공급자가 타사 평가 기관(3PAO)이 수행하는 독립적인 보안 평가를 이행하도록 규정하고 있습니다. 자세한 내용은 FedRAMP 웹 사이트를 참조하세요.
-
FedRAMP가 중요한 이유는 무엇입니까?
클라우드 우선 정책(현 클라우드 스마트 전략)에 대한 대응으로, 미국 관리 예산처(OMB)는 연방 정보 보안 현대화법(FISMA)에 대한 첫 번째 범정부 보안 인증 프로그램을 수립하기 위해 FedRAMP 정책 메모(현 연방 클라우드 컴퓨팅 전략)를 발표했습니다. FedRAMP는 모든 미국 연방 기관 및 모든 클라우드 서비스에 대해 필수입니다. FedRAMP는 다음을 높여주므로 중요합니다.
- NIST(미국 국립 표준 기술 연구소) 및 FISMA에서 정의한 표준을 사용하는 클라우드 솔루션의 보안 일관성과 신뢰도
- 미국 정부와 클라우드 공급자 간 투명성
- 자동화 및 거의 실시간 지속적 모니터링
- 평가 및 인증의 재사용을 통한 안전한 클라우드 솔루션 채택
-
FedRAMP 규정 준수를 위한 요구 사항에는 어떤 것이 있습니까?
클라우드 우선 정책은 모든 연방 기관이 FedRAMP 프로세스를 사용하여 클라우드 서비스의 보안 평가, 인증 및 지속적인 모니터링을 수행하도록 요구합니다. FedRAMP PMO(프로그램 시행 위원회)에서는 FedRAMP 규정 준수에 대한 요구 사항을 다음과 같이 설명했습니다.
- CSP(클라우드 서비스 공급자)에는 미국 연방 기관이 ATO(Authority to Operate)를 부여하거나 JAB(공동 인증 위원회)가 P-ATO(잠정적 운영 권한)를 부여했습니다.
- CSP는 중간 또는 높은 영향 수준에 대한 NIST(미국 국립 표준 기술 연구소) 800-53, Rev. 4 보안 통제 항목 기준에 명시된 FedRAMP 보안 통제 항목 요구 사항을 충족합니다.
- 모든 시스템 보안 패키지는 지정된 FedRAMP 템플릿을 사용해야 합니다.
- CSP는 승인된 타사 평가 기관(3PAO)에서 평가를 받아야 합니다.
- 전체 보안 평가 패키지는 FedRAMP 보안 리포지토리에 게시되어야 합니다.
-
FedRAMP 규정 준수의 유형에는 어떤 것이 있습니까?
클라우드 서비스 공급자(CSP)가 FedRAMP 규정을 준수함을 입증하는 방법에는 2가지가 있습니다.
- 공동 인증 위원회(JAB)의 인증: FedRAMP JAB P-ATO(공동 인증 위원회 잠정적 운영 권한)를 받으려는 CSP는 FedRAMP 공인 3PAO의 평가와 FedRAMP PMO(프로그램 관리 위원회)의 심사를 거쳐 JAB로부터 P-ATO를 받게 됩니다. JAB는 DoD(국방부), DHS(국토안전부) 및 GSA(총무처)의 CIO(최고 정보 책임자)로 구성됩니다.
- 기관 인증: FedRAMP ATO(기관 인증)를 받으려는 CSP는 고객 기관 CIO 또는 위임받은 공무원의 심사와 FedRAMP PMO(프로그램 관리 위원회)의 검증을 거쳐 FedRAMP 준수 ATO를 획득하게 됩니다.
-
기관에서는 AWS FedRAMP 인증을 어떻게 활용합니까?
연방 기관 또는 국방부(DoD) 조직은 AWS 클라우드 서비스 오퍼링(CSO)을 클라우드에 호스팅되는 솔루션의 빌딩 블록으로 활용할 수 있습니다. 각 AWS CSO는 FedRAMP 및 DISA의 연방 및 DoD 사용에 대해 승인을 받으며, 해당 승인은 P-ATO(잠정적 운영 권한)에 문서화됩니다. CSP는 CSO에 대한 ATO(운영 권한)를 받는 대신 P-ATO를 받습니다. PATO는 연방 또는 DoD 조직이 CSO를 사용하기 위한 사전 조달 승인입니다. 연방 기관 또는 DoD 조직은 AWS FedRAMP 보안 패키지를 활용하여 근거 문서를 검토하고 공동 책임 세부 정보를 게재하며 ATO 부여를 위한 자체 위험 기반 결정을 내릴 수 있습니다. 질문이 있거나 추가 정보가 필요하면 AWS 영업 팀 계정 관리자에게 문의하세요.
기관 인증 공무원(AO)은 원하는 AWS FedRAMP 인증 보안 패키지를 사용하여 근거 문서를 검토하고 공동 책임 세부 정보를 게재하며 자체적으로 위험 기반 결정을 내려 AWS에 ATO(기관 인증)를 부여할 수 있습니다. 각 기관은 자체적으로 AWS에 대한 ATO를 발급할 책임이 있으며, 시스템 구성 요소의 전반적인 인증에 대해서도 책임이 있습니다. 질문이 있거나 추가 정보가 필요하면 AWS 영업 팀 계정 관리자 또는 ATO on AWS 팀에 문의하세요.
-
AWS는 운영 권한(ATO)을 가지고 있습니까?
AWS는 클라우드 서비스 오퍼링(CSO)을 제공하는 클라우드 서비스 공급자(CSP)입니다. CSP로서 AWS는 FedRAMP 프로세스에 따라 연방 또는 DoD의 CSO 사용에 대해 승인을 얻습니다. FedRAMP 프로세스는 CSP에 운영 권한(ATO)을 발급하는 대신 잠정적 운영 권한(PATO)을 발급합니다. PATO는 연방 기관 또는 DoD가 CSO를 사용하기 위한 사전 조달 승인입니다. 연방 기관 또는 DoD는 위험 관리 프레임워크(RMF) 프로세스에 따라 자체 ATO를 얻는 경우 PATO 및 PATO와 관련하여 상속된 통제 항목을 사용합니다. FedRAMP 프로세스는 CSP에 ATO를 발급하지 않기 때문에 AWS PATO가 ATO로 업그레이드되지 않는다는 점에 유의하세요. ATO는 RMF 프로세스의 일부로만 발급되며, 연방 기관 또는 DoD 승인 담당자(AO)가 발급합니다. FedRAMP에 대한 자세한 내용은 FedRAMP 웹 사이트에서 확인할 수 있습니다.
-
FedRAMP는 위험 관리 프레임워크(RMF)와 어떻게 다릅니까?
FedRAMP는 연방 기관 또는 DoD가 클라우드에 호스팅되는 시스템에 빌딩 블록을 사용하는 것과 관련하여 클라우드 서비스 오퍼링(CSO)에 대해 승인을 얻도록 하기 위해 클라우드 서비스 공급자(CSP)가 따라야 하는 프로세스입니다. 위험 관리 프레임워크(RMF)는 연방 기관 또는 DoD가 IT 시스템에 대한 운영 권한을 얻기 위해 따라야 하는 프로세스입니다. CSP는 FedRAMP 프로세스만 사용하며, CSP는 RMF 프로세스는 따르지 않습니다. 연방 기관 또는 DoD는 클라우드 서비스(예: MilCloud)를 생성하는 경우에만 FedRAMP 프로세스를 따릅니다.
-
AWS는 FedRAMP 외부 서비스에 대한 기관 ATO(운영 권한)를 지원합니까?
AWS는 기관 고객에게 기존 FedRAMP JAB ATO 및 인증 패키지를 활용하여 자체 운영 권한을 발급할 것을 권장합니다.
-
Amazon Web Services는 FedRAMP를 준수합니까?
예, AWS는 아래와 같은 FedRAMP 규정 준수 서비스를 제공합니다. 이 시스템은 인증을 받았고, NIST SP 800-53에 따라 FedRAMP 보안 통제 요구 사항을 지원하며, 보안 FedRAMP 리포지토리에 게시되어 있는 보안 패키지에 지정된 FedRAMP 템플릿을 사용하고, 공인 3PAO(독립적인 타사 평가자)에게 평가를 받았으며, FedRAMP의 지속적 모니터링 요구 사항을 준수합니다.
- AWS GovCloud(미국) 리전은 높은 영향 수준에 대한 JAB P-ATO(공동 인증 위원회 잠정적 운영 권한) 및 여러 개의 A-ATO(기관 인증)를 취득했습니다. 높은 수준의 보안 범주에 해당하는 AWS GovCloud(미국) JAB P-ATO 범위 내 서비스는 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하세요.
- AWS 미국 동부/서부(버지니아 북부, 오하이오, 오레곤, 캘리포니아 북부) 리전은 높은 영향 수준에 대한 JAB P-ATO(공동 인증 위원회 잠정적 운영 권한) 및 여러 개의 A-ATO(기관 인증)를 취득했습니다. 중간 수준의 보안 범주에 해당하는 AWS 미국 동부/서부 JAB P-ATO 범위 내 서비스는 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하세요.
-
FedRAMP 규정 준수로 인해 AWS 서비스 비용이 증가합니까?
아니요. AWS의 FedRAMP 규정 준수로 인해 서비스 비용이 인상되는 리전은 없습니다.
-
어느 AWS 리전이 해당됩니까?
두 개의 별도 FedRAMP P-ATO를 획득했습니다. 하나는 AWS GovCloud(미국)에 적용되며, 다른 하나는 AWS 미국 동부/서부 리전에 적용됩니다.
-
현재 AWS를 사용하는 미국 정부 기관이 있습니까?
예, 현재 시스템 통합과 기타 제품 및 서비스를 정부 기관에 제공하는 2천 개 이상의 정부 기관 및 기타 기관에서 다양한 AWS 서비스를 사용하고 있습니다. AWS 고객 성공 사례 웹 페이지를 통해 AWS를 사용하는 미국 정부 기관에 대한 사례 연구를 검토할 수 있습니다. AWS에서 어떻게 정부의 높은 보안 요구 사항을 충족하는지 자세히 알아보려면 정부를 위한 AWS 웹 페이지를 참조하세요.
-
인증에 포함된 서비스는 무엇이며 FedRAMP 규정 준수 여부는 어떻게 검증합니까?
FedRAMP 및 DoD SRG 범위에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하세요. FedRAMP 또는 DoD SRG 탭을 클릭하면 AWS 미국 동부-서부 리전의 경우 FedRAMP Moderate 기준 요건(이후 DoD SRG IL2) 및/또는 AWS GovCloud(미국) 리전의 경우 FedRAMP High 기준 요건(이후 DoD SRG IL2, IL4 및 IL5)을 충족하는 것으로 FedRAMP JAB가 승인한 서비스가 “✓”로 표시됩니다. 해당 서비스는 FedRAMP Marketplace에서 AWS에 대한 서비스 설명에 게시됩니다. 서비스가 "3PAO Assessment(3PAO 평가)" 또는 "Under Assessment(평가 중)"로 표시되는 경우 AWS는 해당 서비스가 아직 평가 중이므로 FedRAMP 통제 항목의 이행 또는 유지를 주장하지 않습니다. 서비스가 "JAB Review(JAB 심사)" 또는 "DISA Review(DISA 심사)"로 표시되는 경우, 해당 서비스는 3PAO 평가를 완료한 상태이며 현재 당사 규제 담당자의 대기열에 있습니다. 이러한 서비스의 경우, AWS는 해당 환경을 기반으로 관련 FedRAMP 통제 항목을 이행하고 이에 따른 평가를 실시했지만 아직 JAB의 승인을 얻지 못했습니다. 이 서비스 사용에 대한 자세한 내용이나 다른 서비스에 관심이 있는 경우, AWS 영업 팀 및 비즈니스 개발 팀에 문의하시기 바랍니다.
-
다른 AWS 서비스를 사용할 수 있습니까?
예, 고객은 다른 AWS 서비스가 자신의 워크로드에 적합한지 평가할 수 있습니다. 보안 규제 및 위험 수용 고려사항에 대한 자세한 정보는 AWS 영업 팀 및 비즈니스 개발 팀에 문의하세요.
-
높은 영향 수준의 시스템을 AWS에 배치할 수 있습니까?
예, 고객은 AWS 서비스가 고객의 높은 영향 수준 워크로드에 적합한지 평가할 수 있습니다. 현재, 고객은 높은 영향 수준에 JAB P-ATO(공동 인증 위원회 잠정적 운영 권한)를 부여한 AWS GovCloud(미국) 리전에 높은 영향 워크로드를 배치할 수 있습니다.
-
AWS FedRAMP 보안 패키지에 액세스하려면 어떻게 해야 합니까?
미국 공무원 및 계약자는 패키지 액세스 요청 양식을 작성하여 [email protected]로 제출함으로써 FedRAMP PMO의 AWS FedRAMP 보안 패키지에 대한 액세스를 요청할 수 있습니다.
상용 고객 및 파트너는 AWS FedRAMP 파트너 패키지에 대한 액세스를 요청하여 AWS 오퍼링 기반 구축과 관련된 지침 및 AWS에서 FedRAMP/DoD 규정 준수 서비스를 설계하는 데 필요한 도움을 얻을 수 있습니다. 파트너 패키지는 AWS Artifact를 통해 또는 AWS 계정 관리자를 통해 요청하여 AWS 계정에서 찾아볼 수 있습니다.
-
참조용 FedRAMP ID는 무엇입니까?
AWS 미국 동부/서부 리전의 경우 FedRAMP ID는 AGENCYAMAZONEW입니다. AWS GovCloud(미국) 리전의 경우 FedRAMP ID는 F1603047866입니다.
-
FedRAMP 인증에서는 지속적 모니터링을 어떻게 처리합니까?
인증을 받고 나면 FedRAMP 운영 개념(CONOPS) 내에서 평가 및 인증 프로세스에 따라 CSP의 보안 상태가 모니터링됩니다. 매년 FedRAMP 인증을 재인증받기 위해서는 CSP가 자체의 보안 통제 항목을 모니터링하고 정기적으로 평가하며 제공 중인 서비스 보안 상태가 지속적으로 적절한 수준을 유지하고 있음을 입증해야 합니다. FedRAMP 지속적 모니터링 프로그램을 활용하는 연방 기관, 인증 공무원(AO) 및 지정된 팀은 AWS가 지속적으로 규정을 준수하는지 검토할 책임이 있습니다. 지속적으로 AO 및 지정된 팀은 AWS FedRAMP 지속적 모니터링 프로세스를 통해 제공된 아티팩트와 더불어 FedRAMP 제어 범위를 넘어서 필요한 기관별 제어 항목의 구현 증거를 검토합니다. 자세한 내용은 해당 기관의 정보 시스템 보안 프로그램 또는 정책을 참조하세요.
-
미국 연방 기관인 경우 AWS와 ISA(Interconnection Security Agreement)를 체결해야 합니까?
아니요. 2016년 8월 10일자 FedRAMP Weekly Tips & Cues에 따르면 CSP와 연방 기관 간에는 ISA가 필요하지 않습니다.
-
FedRAMP에 해당하는 조직 내 AWS 워크로드 또는 아키텍처를 AWS와 논의하려면 어떻게 해야 합니까?
AWS FedRAMP 보안 패키지는 AWS Artifact를 통해 고객에게 제공됩니다. AWS Artifact는 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털입니다. AWS 관리 콘솔에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보세요.
FedRAMP 또는 DoD 규정 준수와 관련하여 구체적인 질문이 있는 경우 담당 AWS 계정 관리자에게 문의하거나 AWS 규정 준수 문의 양식을 제출하여 FedRAMP 규정 준수팀에 문의하세요.
-
FedRAMP와 관련된 다른 규정 준수 프로그램에 대한 자세한 내용은 어디에서 찾을 수 있습니까?
해당되는 규정 준수 프로그램에 대한 자세한 내용은 AWS 규정 준수 프로그램 웹 페이지를 참조하세요. 또한 연방 정보 처리 표준(FIPS) 140-2, 국방부 클라우드 컴퓨팅 보안 요구 사항 가이드(DoD CC SRG), 연방 정보 보안 관리법(FISMA) 및 미국 국립 표준 기술 연구소(NIST)에 대한 자세한 내용도 확인할 수 있습니다.
-
FedRAMP와 기타 연방 규정 준수 프로그램(FISMA, DFARS, DoD SRG, NIST SP 800-171, FIPS 140-2)은 어떤 관계가 있습니까?
연방 정부 기관은 감찰국(OIG)의 평가를 받으며 이는 내부적으로 국토안보부(DHS)에서 제공하는 지표를 기반으로 합니다. FISMA OIG 및 CIO 지표의 기준은 NIST SP 800-53에 중점을 둔 NIST SP 800 특별 발간물입니다. 이러한 기관이 CSP의 보안을 신뢰할 수 있도록, FedRAMP는 클라우드 내에서 FISMA 요구 사항을 준수하기 위해 NIST SP 800-53 통제 항목의 기준에 따라 구축된 규정 준수 프로그램입니다.
FedRAMP 규정 준수 프로그램은 DoD가 국방부 클라우드 컴퓨팅 보안 요구 사항 가이드(DoD CC SRG)의 영향 수준을 충족하기 위해 활용하는 것으로, 모두 FIPS 140-2의 특정 암호화 통제 항목을 준수해야 합니다. 국방부 조달 규정 세칙(DFARS)에서는 관리대상 비분류 정보(CUI)를 처리, 저장 또는 전송하는 DoD 계약자들에게 NIST SP 800-171 요구 사항을 포함하는 특정 보안 표준을 이행할 것을 요구하고 있습니다. NIST SP 800-171은 기관들에게 관리대상 비분류 정보(CUI)의 기밀성을 보호하기 위해 권장되는 보안 요구 사항을 제공합니다.