미국 국제 무기거래규정(ITAR)
개요
-
ITAR이란 무엇입니까?
국제 무기거래규정(ITAR)은 국방 관련 문서의 수출을 통제하며, 이 규정에서는 미국인이 아닌 사람이 ITAR 환경에 저장된 문서에 물리적 또는 논리적으로 액세스를 할 수 없다고 명시하고 있습니다.
ITAR 미국 군용 물자 목록(USML)에서 다루는 품목에는 특별 승인 또는 예외 조항이 있지 않은 한 미국인하고만 공유할 수 있는 장비, 부품, 자재, 소프트웨어, 기술 정보가 포함됩니다. 미국인이란 미국 그린카드(영주권) 소지자 또는 미국 시민권자인 개인을 말합니다.
-
ITAR 요구 사항은 클라우드에서 어떻게 적용되나요?
클라우드에서의 ITAR 규정 준수는 ITAR 기술 데이터로 간주되는 정보가 적절한 허가 없이 실수로 외국인 또는 외국에 배포되지 않도록 하는 데 주력합니다.
-
AWS에서는 ITAR 수출 규정의 적용을 받는 고객을 어떻게 지원하나요?
AWS에서는 고객에게 미국 지역에서 미국 시민이 관리하는 AWS GovCloud(미국) 리전에 데이터를 저장할 수 있는 옵션을 제공합니다. AWS GovCloud(미국)는 Amazon의 격리된 클라우드 환경으로서, 이 리전에서는 미국 조직을 위해 일하는 미국인에게만 계정이 부여됩니다.
AWS는 고객이 AWS 네트워크에 업로드하는 내용에 대한 가시성이 전혀 없으므로(ITAR 규정의 적용을 받는 데이터인지 아닌지도 알지 못함), AWS GovCloud(US) 내 모든 고객 데이터는 ITAR 데이터로 간주됩니다.
-
고객은 AWS GovCloud(US) 리전이 ITAR 요구 사항을 준수하는지를 어떻게 알 수 있습니까?
공식적인 ITAR 인증서는 존재하지 않습니다. AWS GovCloud(US)는 지속적으로 공인 FedRAMP(연방정부의 위험 및 인증 관리 프로그램) 독립 타사 평가 기관(3PAO)의 감사를 받고 있으며, JAB(공동 인증 위원회)로부터 FedRAMP High Baseline P-ATO(FedRAMP High Baseline 잠정적 운영 권한)을 획득했습니다. JAB는 미국 국방부, 미국 국토안전부 및 미국 총무처의 CIO(최고정보책임자)로 구성됩니다. 자세한 내용은 AWS GovCloud(US)에서 FedRAMP High 규정 준수 획득 페이지를 참조하십시오.
-
고객이 AWS에서 ITAR 데이터를 전송, 처리 및 저장할 때 AWS 공동 책임은 어떻게 적용됩니까?
AWS는 AWS가 제공하는 클라우드 인프라와 핵심 서비스가 논리적 및 물리적으로 규정을 준수하도록 할 책임이 있습니다. 고객은 자체 온프레미스 IT 인프라, 애플리케이션 및 시스템에 대한 책임이 있습니다. JAB(공동 인증 위원회)로부터 획득한 AWS GovCloud의 FedRAMP High Baseline P-ATO(FedRAMP High Baseline 잠정적 운영 권한)는 AWS GovCloud(US) 내에 적절한 제어가 이루어지고 있음을 입증합니다. AWS에서는 AWS에서 ITAR 규정 준수 시스템을 구축하고 있는 고객을 지원합니다. 다음은 고객이 자체 보안 규정 준수 의무를 관리하는 데 도움이 되는 AWS 서비스의 몇 가지 예입니다.
민감한 데이터를 안전하게 보호: 고객은 Amazon S3에서 서버 측 암호화를 통해 민감한 미분류 데이터를 보호하고, AWS CloudHSM을 사용해 보안 키를 저장 및 관리하거나, 1-Click AWS Key Management Service(KMS)를 사용할 수 있습니다.
클라우드 가시성 개선: 고객은 미국인이 관리 및 운영하는 AWS API 로깅 서비스인 Amazon CloudTrail에서 민감한 데이터에 대한 액세스와 사용을 감사할 수 있습니다.
자격 증명 관리 강화: 고객은 사용자, 시간 및 위치별로 민감한 데이터에 대한 액세스를 제한할 수 있습니다. 사용자가 특정 API 호출을 사용할 수 없도록 제한하려면 자격 증명 연동, 간편한 키 교체, 그리고 AWS에서 제공하는 다른 강력한 액세스 제어 테스트 도구를 사용할 수 있습니다.
