미국 국방부 클라우드 컴퓨팅 보안 요구 사항 가이드

개요

• AWS 보안 설명서 및 지침은 어떻게 검토합니까?

  DoD 고객과 공급업체는 AWS의 FedRAMP 및 DoD 인증을 사용하여 자신의 인증 및 증명 활동을 가속화할 수 있습니다. AWS에 호스팅된 군대 시스템의 인증을 지원하기 위해 AWS에서는 설명서와 함께 DoD 보안 인력을 제공합니다. 따라서 고객은 AWS가 해당하는 NIST 800-53(개정안 4) 제어 항목과 DoD 클라우드 컴퓨팅 SRG(버전 1, 릴리스 3)을 준수함을 확인할 수 있습니다.

  AWS에서는 DoD 고객이 AWS를 DoD 호스팅 솔루션으로 사용할 수 있도록 보안 및 규정 준수에 대한 보안 지침 및 설명서 패키지를 제공합니다. 특히 NIST 800-53(개정안 4)을 기반으로 한 AWS FedRAMP SSP 템플릿을 제공합니다. 이 템플릿에는 해당하는 FedRAMP 및 DoD 제어 항목 기준이 미리 입력되어 있습니다. 템플릿에서 상속되는 제어 항목은 AWS에서 미리 입력하지만 공유 제어 항목은 AWS와 고객 모두의 책임이며, 일부 제어 항목은 온전히 고객의 책임입니다.

  국방부와 거래하는 군대 조직 또는 계약업체는 AWS 계정 관리자에게 문의하거나 AWS 규정 준수 문의 양식을 제출하여 AWS 보안 문서에 대한 액세스를 요청할 수 있습니다. AWS 파트너와 같은 비정부 고객은 AWS Artifact를 사용하여 AWS 파트너 FedRAMP 보안 패키지를 다운로드할 수 있습니다.

• AWS로 이전하면 어떤 점이 좋습니까?

  정부 고객이 클라우드로 마이그레이션할 경우 보안 보증 수준을 향상하고 운영 위험을 줄일 수 있습니다. AWS 운영 환경을 통해 고객은 고도의 자동화가 지원되는 환경에서만 가능한 수준의 보안 및 규정 준수를 실현할 수 있습니다. 정기적인 인벤토리 및 ‘특정 시점’ 감사를 수행하는 기존 데이터 센터와는 달리 AWS 고객은 지속적으로 감사를 수행할 수 있습니다. 환경에 대해 이러한 수준의 가시성을 확보하면 데이터 제어가 향상되고 권한이 있는 사용자만 액세스할 수 있다는 보장을 유지하는 데 도움이 됩니다.

  예를 들어 DoD 임무 담당자는 DoD 보안 및 규정 준수 지침을 프로그래밍 방식으로 시행함으로써 애플리케이션에 대한 더 높은 수준의 제어를 실현할 수 있습니다. AWS를 사용하면 일반적인 애플리케이션 사용 사례에 대해 사전에 승인된 템플릿을 생성할 수 있으므로 새로운 애플리케이션 승인에 걸리는 시간을 줄일 수 있습니다. 템플릿을 사용하면 애플리케이션 소유자가 보안 그룹이나 네트워크 ACL과 같은 중요한 보안 설정을 변경하지 않고 STIG 강화 머신 이미지를 사용할 수 있습니다. DoD 보안 지침을 프로그래밍 방식으로 시행하면 수동 구성 작업이 감소하여 부적절한 구성과 DoD의 전반적인 위험을 줄일 수 있습니다.
  

• 임무 담당자가 운영 권한(ATO)을 획득하려면 어떻게 해야 합니까?

  DoD 임무 담당자는 애플리케이션에 적용되는 보안 제어 항목의 구현을 완전히 정의하는 인증 패키지를 구축할 책임이 있습니다. 기존 인증 패키지와 마찬가지로 시스템 보안 계획과 함께 보안 제어 기준을 문서로 작성해야 하며, 이렇게 작성된 계획과 이행 방법은 DoD 조직의 해당 인증 담당자에게 검토를 받게 됩니다. 이 검토의 일환으로 인증 담당자 또는 승인 담당자가 보안 제어 구현을 전체적으로 파악하기 위해 AWS 인증 패키지를 검토할 수 있습니다. 귀사의 보안 인증 패키지와 AWS 보안 인증 패키지를 검토한 후에는 승인 담당자는 애플리케이션의 승인을 결정하고 ATO를 부여하는 데 필요한 정보를 확보하게 됩니다.

  AWS를 사용하는 DoD 애플리케이션 소유자의 책임에 대한 자세한 내용은 AWS 클라우드에서의 DoD 규정 준수 구현 백서를 참조하십시오.
  

• DoD 클라우드 컴퓨팅 SRG가 중요한 이유는 무엇입니까?

  DoD 클라우드 컴퓨팅 SRG는 클라우드 컴퓨팅의 활용도를 높인다는 연방정부의 목표를 뒷받침할 뿐만 아니라 DoD가 이러한 목표를 지원할 수 있는 수단을 제공합니다. 2011년 2월 8일 관리예산처(Office of Management and Budget, OMB)는 연방 클라우드 컴퓨팅 전략을 수립하고 연방 정부 산하 모든 기관들이 클라우드 기술을 도입할 수 있도록 지침을 마련하였습니다. 이 전략을 수립한 후 2011년 12월에는 연방정부 클라우드 보안 프로그램(Federal Risk and Authorization Management Program, FedRAMP)을 마련하여 연방정부의 요구 사항을 발표하였습니다. FedRAMP는 낮음, 중간 및 높음 위험 영향 레벨의 연방 기관 클라우드 배포와 서비스 모델에 필수 요건입니다.

  DoD는 2012년 7월에 DoD 최고 정보 책임자(CIO)의 클라우드 컴퓨팅 전략을 발표하였습니다. 여기에서 합동 정보 환경(JIE)과 DoD 엔터프라이즈 클라우드 환경을 다음과 같이 규정하였습니다. "DoD 클라우드 컴퓨팅 전략은 국방부가 현재 중복 데이터, 번거로운 작업, 그리고 고비용이라는 애플리케이션 사일로 상태를 벗어나 민첩하고 안전하며, 비용 효율적인 최종 서비스 환경으로 전환함으로써 변화하는 임무 요구 사항에 빠르게 대응할 수 있는 방법을 소개하고 있습니다. DoD 최고 정보 책임자(CIO)는 국방부의 클라우드 컴퓨팅 도입을 촉진하는 데 최선을 다하고 있습니다..."

  DoD 클라우드 컴퓨팅 SRG에서는 DoD가 클라우드 서비스 공급자(CSP)의 평가 표준을 마련하는 방법으로 FedRAMP 프로그램을 활용합니다.
  

• AWS 클라우드 서비스는 DoD 요구 사항을 충족합니까?

  예. AWS는 평가를 거쳐 미국 동부 및 미국 서부에서 영향 레벨 2, AWS GovCloud(US)에서 영향 레벨 4 및 5, AWS Secret 리전에서 영향 레벨 6의 클라우드 서비스 공급자로 승인을 받았습니다.

  • 영향 레벨 2에서는 미국 기반 AWS 리전인 미국 동부/서부 및 AWS GovCloud(US)가 DISA의 평가를 받았으며 DoD 요구 사항을 준수함을 입증하여 2개의 잠정 인증을 획득하였습니다. AWS의 DoD 요구 사항 준수는 기존 FedRAMP 공동 인증 위원회(JAB) 잠정적 운영 권한(P-ATO)을 활용하여 획득하였습니다. 잠정 인증은 DoD 기관이 AWS의 보안을 평가하고 AWS 클라우드에서 다양한 DoD 데이터를 저장, 처리 및 유지할 수 있는 기회를 제공합니다.
  • 영향 레벨 4 및 5에서는 AWS GovCloud(US)가 DISA로부터 잠정 인증을 획득하였으므로 DoD 고객은 이러한 SRG 레벨에 해당하는 강화된 제어 기준으로 프로덕션 애플리케이션을 배포할 수 있습니다. 향후 영향 레벨 4 또는 영향 레벨 5 애플리케이션을 사용하려는 DoD 고객들은 DISA에게 문의하여 승인 절차를 시작해야 합니다.
  • 영향 레벨 6에서는 AWS Secret 리전이 보안 정보 레벨까지의 워크로드에 대해 DoD 잠정 인증을 획득했습니다. AWS Secret 리전의 서비스 카탈로그는 AWS 계정 담당자를 통해 확인할 수 있습니다.
    

• 어느 AWS 리전이 해당됩니까?

  AWS에서 받은 잠정 인증에는 AWS GovCloud(US)(영향 레벨 2, 4 및 5), AWS 미국 동부/서부 리전(영향 레벨 2) 및 AWS Secret 리전(영향 레벨 6)을 비롯하여 미국 대륙 내 여러 리전이 포함됩니다.
  

• AWS에서 DoD 시스템은 어떻게 분류됩니까?

  AWS 미국 동부와 미국 서부 리전은 영향 레벨 2의 잠정 인증을 획득했으므로, 임무 담당자가 AWS 인증과 해당 애플리케이션의 ATO를 이용해 해당 AWS 리전에서 일반 미분류 정보를 배포할 수 있습니다. AWS GovCloud는 영향 레벨 2, 4 및 5의 잠정 인증을 획득했으므로 임무 담당자가 이러한 레벨에 의거하여 미분류 제어 정보 카테고리를 모두 배포할 수 있습니다. AWS Secret 리전은 영향 레벨 6의 잠정 인증을 획득했으므로 보안 정보 범주까지 워크로드를 배포할 수 있습니다.
  

• 이 모든 내용이 DoD 임무 담당자에게 어떤 의미입니까?

  AWS가 영향 레벨 2 잠정 인증을 받았으므로 DoD 고객은 규정 준수 범위 내 AWS 인프라와 서비스를 사용하여 공개 릴리스가 허용된 데이터뿐만 아니라 일부 DoD 비공개 미분류 정보와 같은 워크로드를 배포할 수 있습니다. DoD IT 환경을 AWS로 전환하면 AWS에서 지원하는 서비스와 기능을 이용해 자체 규정 준수에 대한 감독을 강화하는 효과도 있습니다.

  AWS GovCloud(US)에 적용되는 영향 레벨 4 및 5 잠정 인증이란 DoD 고객이 자신의 프로덕션 애플리케이션을 AWS GovCloud(US)에 배포할 수 있다는 것을 의미합니다. 이 인증을 통해 고객은 DoD 클라우드 컴퓨팅 SRG의 영향 레벨 4 및 5를 준수해야 하는 워크로드를 설계, 개발 및 통합하는 작업을 수행할 수 있습니다.

  AWS Secret 리전에 대한 영향 레벨 6 잠정 인증이란 DoD 고객이 AWS 서비스를 사용하여 보안 정보 레벨까지 데이터를 저장, 처리 또는 전송할 수 있다는 것을 의미합니다. 고객은 AWS의 잠정 인증을 사용하여 영향 레벨 6에 정의된 모든 인프라 요구 사항을 충족할 수 있으며, 이는 감사 및 보안 관리를 비롯하여 자체 규정 준수 및 인증을 관리하는 데 도움이 됩니다.
  

• AWS 잠정 인증이 임무 담당자의 ATO에 어떤 영향을 미칠 수 있습니까?

  AWS에서 애플리케이션을 운영할 경우 공동 보안 책임을 기반으로 DoD 임무 담당자가 책임져야 하는 보안 제어 기준이 줄어듭니다. AWS는 임무 담당자가 애플리케이션을 운영할 때 적용되는 보안 제어 항목을 갖춘 안전한 호스팅 환경을 제공합니다. 하지만 그렇다고 DoD 보안 제어 항목과 규정 준수 정책에 따라 애플리케이션을 안전하게 배포, 관리 및 모니터링해야 하는 임무 담당자의 책임이 면제되지는 않습니다.

  AWS를 사용하는 DoD 애플리케이션 소유자의 책임에 대한 자세한 내용은 AWS 클라우드에서의 DoD 규정 준수 구현 백서를 참조하십시오.
  

• 다른 AWS 서비스를 사용할 수 있습니까?

  예. 고객은 다른 AWS 서비스가 자신의 워크로드에 적합한지 평가할 수 있습니다. 각 임무 담당자는 고객이 선택하는 모든 서비스의 위험을 평가 및 허용할 수 있는 권한이 있습니다. 보안 제어 항목 및 위험 수용 고려 사항에 대한 자세한 내용은 AWS 규정 준수 팀에 문의하시기 바랍니다.
  

• DoD 규정 준수로 인해 AWS 서비스 가격이 인상됩니까?

  아니요. 어떤 서비스든지 AWS의 규정 준수 프로그램에 따른 비용 인상 계획은 없습니다.
  

• 다른 DoD 기관들도 현재 AWS를 사용하고 있습니까?

  예. 현재 시스템 통합과 기타 제품 및 서비스를 DoD에 제공하는 많은 DoD 기관 및 기타 조직에서 다양한 AWS 서비스를 사용하고 있습니다. AWS는 AWS 기반 시스템과 관련하여 DoD 운영 권한(ATO)을 획득한 많은 고객을 공개할 수는 없지만, AWS 기반 DoD 워크로드의 계획부터 배포, 인증 및 승인에 이르기까지 정기적으로 고객 및 고객 평가 기관과 협력하고 있습니다.
  

• ATO를 획득하려면 실제로 서비스 공급업체의 데이터 센터를 살펴봐야 합니까?

  아니요. DoD 고객은 데이터 센터의 물리적 보안에 대한 광범위한 현장 검토를 비롯하여 AWS의 FedRAMP 타사 평가 기관(3PAO)에서 수행한 작업을 신뢰할 수 있습니다. DoD 클라우드 컴퓨팅 SRG에 따르면 DoD 고객은 이미 인증을 받은 서비스 공급자의 데이터 센터에 대한 물리적 검토 없이 운영 권한(ATO)을 획득할 수 있습니다.
  

• 어떤 AWS 서비스가 포함됩니까?

  전체 서비스 목록을 확인하려면 규정 준수 프로그램 제공 AWS 범위 내 서비스 웹 페이지를 방문하십시오.