국방부(DoD) 데이터의 처리, 저장 및 전송을 위해 AWS의 유틸리티 기반 클라우드 서비스를 도입하는 군 조직의 고객들이 늘고 있습니다.
AWS는 군대 조직을 비롯해 조직의 계열사들이 안전한 AWS 환경을 사용해 DoD 데이터를 처리, 유지 및 저장할 수 있도록 지원합니다. AWS는 Defense Information Systems Agency(DISA)로부터 잠정 인증을 획득했습니다.
AWS는 두 환경, 즉 미국 동부와 서부 리전 및 AWS GovCloud(US) 리전에서 DoD 잠정 인증을 획득하여 유지하고 있습니다(자세한 내용은 아래 FAQ 참조).
- 미국 동부/서부 리전은 DoD 영향 수준(IL) 2 잠정 인증을 획득했습니다. DoD SRG IL2 인증 범위에 이미 포함된 미국 동부/서부 리전의 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오.
- AWS GovCloud(US) 리전은 영향 수준 2 및 4의 DoD 잠정 인증을 획득했습니다. DoD SRG IL4 및 IL4 인증 범위에 이미 포함된 GovCloud(US) 리전의 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오.
DoD 고객은 다음을 포함하여 AWS 애플리케이션 환경에서 DoD 보안 지침 준수에 따른 책임을 집니다.
• DoD 클라우드 컴퓨팅 보안 요구 사항(SRG) 가이드에서 규정하는 임무 담당자(mission owner) 요구 사항
• 모든 관련 운영 체제의 보안 기술 구현 가이드(STIG)
• 모든 관련 애플리케이션의 STIG
• DoD 포트 및 프로토콜 지침 (DoDI 8551.01)
AWS의 인프라, 거버넌스 및 운영 환경은 FedRAMP와 DoD 인가 절차에 따라 평가 후 승인되었습니다. AWS 인프라에서 애플리케이션을 배포하는 고객에게는 물리적 및 환경적 통제 항목, 그리고 미디어 보호 통제 항목과 관련된 보안 통제 항목이 완전히 상속되며, 더는 이러한 통제 규정을 준수하는 방법에 관해 상세한 설명을 제공할 필요가 없습니다. 그 밖에 DoD Risk Management Framework(RMF) 통제 항목은 AWS와 고객이 서로 분담하며, 각 조직은 공동 IT 보안 모델에서 자신이 맡은 부분에 해당하는 통제 항목을 이행할 책임을 집니다.
AWS 고객은 자체 유틸리티, 소프트웨어 및 애플리케이션을 비롯하여 AWS 기능 또는 타사의 기능을 활용하는 AWS 애플리케이션과 환경을 설계, 배포, 관리 및 모니터링할 책임이 있습니다. AWS와 AWS의 공급업체 에코시스템이 제공하는 보안 기능을 사용하면 고가용성 시스템을 구축하면서 동시에 조직의 관련 정책에 따라 시스템을 엄격히 통제하고 모니터링할 수 있습니다.
DoD 고객과 공급업체는 자신의 인증 및 승인 활동을 촉진하기 위해 Amazon의 FedRAMP 및 DoD 인가를 이용할 수 있습니다. Amazon은 AWS에 호스팅하는 군 시스템의 인가를 지원할 목적으로 보안 설명서와 함께 DoD 보안 담당자를 지원하고 있습니다. 이러한 지원은 800-53 rev4에 규정하고 있는 NIST 통제 규정과 DoD 클라우드 컴퓨팅 보안 요구 사항 가이드(SRG)에 따른 AWS의 보안 및 규정 준수를 입증하는 수단으로 사용됩니다.
또한 DoD 고객을 지원하고자 AWS에서는 보안 지침 및 설명서 패키지를 제공하므로 고객은 AWS를 DoD 호스팅 솔루션으로 사용하면서 보안 및 규정 준수에 대한 이해를 높일 수 있습니다. 특히 NIST 800-53v4를 근거로 개발한 AWS FedRAMP SSP 템플릿을 제공합니다. 이 템플릿에는 FedRAMP 및 DoD 통제 항목의 기준이 미리 입력되어 있습니다. 템플릿에서 상속되는 통제 항목은 AWS에서 미리 입력하지만 공유 통제 항목은 AWS와 고객 책임이고, 마지막으로 온전히 고객 책임인 통제 항목도 몇 가지 있습니다.
DoD 고객을 비롯한 군대 조직 또는 DoD의 도급업체와 관련이 있는 AWS의 보안 설명서에 대한 액세스를 요청하려면 AWS Sales and Business Development에 문의하거나 Amazon 팀에 직접 이메일(awscompliance@amazon.com)을 보내십시오.
정부 고객들은 클라우드로 마이그레이션할 경우 보안 보증(security assurance)을 높일 뿐만 아니라 운영 위험을 줄일 수 있다는 사실을 빠르게 깨닫고 있습니다. 고도의 자동화가 지원되는 환경에서만 일정한 수준의 보안 및 규정 준수를 경험할 수 있다는 점도 AWS 운영 환경을 사용면서 인식하게 되었습니다. AWS 고객은 대부분 DoD 고객이 기존 데이터 센터 내에서 실시하는 "특정 시점"의 환경에 대한 정기적인 인벤토리 및 감사를 시행하는 것이 아니라 지속해서 감사를 시행할 수 있습니다. 이렇게 높은 수준의 환경 가시성을 보유할 경우 고객은 데이터에 대한 통제 권한을 직접적으로 강화하는 동시에 권한이 부여된 사용자만 액세스할 수 있다는 신뢰를 높이는 효과가 있습니다.
DoD 임무 담당자(mission owner)는 DoD 보안 및 규정 준수 지침을 체계적으로 시행하여 애플리케이션에 대한 강력한 통제 권한을 경험할 수 있습니다. 공통 애플리케이션 사용 사례일 경우에는 AWS 기능을 통해 사전에 승인된 템플릿을 생성하여 새로운 애플리케이션의 승인 시간을 줄일 수 있습니다. DoD 조직은 이러한 템플릿을 사용하여 애플리케이션 소유자가 보안 그룹이나 네트워크 ACL 같이 중요한 보안 설정을 변경하지 못하도록 제한하거나 STIG 머신 이미지의 사용을 권장하는 것이 가능합니다. DoD 보안 지침의 체계적인 이행은 시스템 관리자가 수동으로 구성해야 하는 부담을 줄임으로써 잘못된 구성 가능성을 크게 낮추고 결국 DoD의 전반적인 위험을 최소화하는 효과가 있습니다. 연방 정부 고객들은 이미 AWS를 통해 더욱 강력한 보안 보증을 구현하고 있습니다.
다른 규정 준수 프로그램의 고객들 역시 AWS 사용에 따른 직접적인 이점을 경험하면서 다음과 같이 위험 및 규정 준수 목표를 달성하고 있습니다.
• HIPAA 규정 준수: Claritas Genomics는 제한된 예산으로 인해 저렴하면서 동시에 HIPAA 요구 사항을 만족할 수 있는 IT 리소스가 필요했습니다.
• 금융 서비스 규정 준수: 꾸준히 증가하는 시장 규모와 변화하는 규제에 위기를 느낀 FINRA는 AWS로 눈을 돌렸습니다.
• 금융 서비스 규정 준수: NASDAQ은 규제 기관들에게 점차 늘어나는 금융 정보에 액세스할 수 있는 권한을 제공할 필요성을 느꼈습니다.
DoD SRG는 클라우드 서비스 공급업체(CSP)의 DoD 잠정 권한 부여 획득을 위한 표준 평가 및 인가 절차를 알릴 목적으로 게시되었으며, CSP 외에 DoD 고객들도 이용할 수 있습니다. DoD 지침에 따른 잠정 권한 부여는 DoD 표준 규정 준수를 증명하여 DoD 임무 담당자가 AWS에서의 작업을 위해 시스템 중 하나를 평가 및 권한을 부여하는 데 필요한 시간을 단축합니다. 레벨 2, 4, 5 및 6의 보안 관리 기준에 대한 자세한 정의를 포함해 SRG에 대한 자세한 내용은 여기에서 찾을 수 있습니다.
DoD 임무 담당자는 권한 부여 패키지를 작성하여 애플리케이션에 적용되는 보안 통제 항목의 집행에 대해 완전히 정의해야 하는 책임이 따릅니다. 기존 권한 부여 패키지와 마찬가지로 시스템 보안 계획과 함께 보안 통제 항목의 기준을 문서로 작성해야 하며, 이렇게 작성된 계획과 이행 방법은 DoD 조직의 인가 위원에게 심사를 받게 됩니다. 인가 위원 또는 심사관은 애플리케이션 심사의 일환으로 보안 통제 항목의 이행 방법을 철저히 이해할 수 있도록 AWS 권한 부여 패키지를 살펴볼 수 있습니다. AWS와 임무 담당자의 보안 권한 부여 패키지를 살펴본 후 심사관은 애플리케이션의 인가 결정에 필요한 정보를 바탕으로 권한(ATO)을 부여합니다.
AWS를 이용하는 DoD 애플리케이션 소유자의 책임에 대한 자세한 내용은 DoD Compliant Implementations in the AWS Cloud Whitepaper를 참조하십시오.
AWS는 이미 클라우드 서비스 공급업체로서 DoD의 승인을 받았으므로 SRG에서 규정하고 있는 FedRAMP+ 통제 항목에 대한 평가를 받아야 합니다. AWS는 이 평가를 마치고 정식으로 IL4 PA를 받았기 때문에 임무 담당자가 아래와 같이 프로덕션 워크로드를 마이그레이션할 수 있습니다.
- 내보내기 통제 데이터
- 개인 정보
- 개인 건강 정보
- 명확한 CUI 지정이 필요한 기타 정보
- 공식적인 용도로 제한되는 경우
- 공식적인 용도로 제한
- LES(Law Enforcement Sensitive)
- 핵심 기반시설 정보
- 중요 보안 정보
SRG는 클라우드 컴퓨팅의 활용도를 높인다는 연방정부의 목표를 지지할 뿐만 아니라 DoD가 이러한 목표를 지지할 수 있는 수단을 제공하고 있습니다. 2011년 2월 8일 관리예산처(the Office of Management and Budget. OMB)는 연방 클라우드 컴퓨팅 전략을 수립하고 연방 정부 산하 모든 기관들이 클라우드 기술을 도입할 수 있도록 지침을 마련하였습니다. 이 전략을 수립한 후 2011년 12월에는 연방정부 클라우드 보안 프로그램(Federal Risk and Authorization Management Program. FedRAMP)을 마련하여 연방정부의 요구 사항을 발표하였습니다. FedRAMP에서는 낮음, 중간 및 높음 위험 영향 수준에서 연방 기관에 클라우드를 배포하고 서비스 모델을 구축할 것을 요구합니다.
2012년 7월에는 DoD의 CIO가 클라우드 컴퓨팅 전략을 발표하였습니다. 여기에서 합동 정보 환경(JIE)과 DoD 엔터프라이즈 클라우드 환경을 다음과 같이 규정하였습니다. "DoD 클라우드 컴퓨팅 전략은 국방부가 현재 중복 데이터, 번거로운 작업, 그리고 고비용이라는 애플리케이션 사일로 상태를 벗어나 민첩하고 안전하며, 비용 효율적인 최종 서비스 환경으로 전환함으로써 변화하는 임무 요구 사항에 빠르게 대응할 수 있는 방법을 소개하고 있습니다. DoD 최고 정보 책임자(CIO)는 국방부의 클라우드 컴퓨팅 도입을 촉진하는 데 헌신의 노력을 다하고 있습니다..."
DoD SRG는 DoD가 클라우드 서비스 공급업체의 평가 표준을 마련하는 데 FedRAMP 프로그램을 사용합니다. AWS는 FedRAMP의 평가를 거쳐 이미 승인을 받았으며, 미국 동부 및 서부 리전에서는 다수의 Agency Moderate ATO를, 그리고 AWS GovCloud(US)에서는 FedRAMP JAB High Provisional ATO(pATO)를 획득하였습니다. AWS의 FedRAMP 규정 준수에 대한 자세한 내용은 FedRAMP FAQ 페이지에서 확인할 수 있습니다.
예, 그렇습니다. AWS는 클라우드 서비스 공급업체로서 평가를 거쳐 미국 동부 및 서부에서 IL2를, 그리고 AWS GovCloud(US)에서 IL4로 승인을 받았습니다.
• Level 2에서는 모든 AWS US 기반 리전(미국 동부/서부 및 AWS GovCloud(US))이 DISA의 평가를 받았으며 DoD 요구 사항을 준수함을 입증하여 2개의 잠정 인증을 획득하였습니다. AWS는 기존 FedRAMP Agency ATO와 FedRAMP High Baseline pATO를 활용하여 DoD 요구 사항을 준수함을 입증했습니다. 이번 잠정 인증으로 DoD 기관은 AWS의 보안을 평가하고 AWS 클라우드 내에서 다양한 DoD 데이터를 저장, 처리 및 유지할 수 있게 되었습니다.
• Level 4에서는 AWS GovCloud(US)가 DISA로부터 잠정 인증을 획득하였으므로 DoD 고객은 SRG 레벨에 상응하는 강력한 통제 기준으로 프로덕션 애플리케이션을 배포할 수 있습니다. 향후 IL 4 애플리케이션을 배포하려는 DoD 고객들은 DISA에게 문의하여 승인 절차를 시작해야 합니다.
잠정 권한 부여는 AWS GovCloud(US)(레벨 2 및 4)와 AWS US 동부/서부 리전(레벨 2)을 포함하여 미국 내 모든 리전에 적용됩니다.
미국 동부와 미국 서부 리전은 레벨 2로 잠정 권한 부여를 획득하여 임무 담당자가 AWS 권한 부여와 해당 애플리케이션의 ATO를 이용해 두 리전에서 일반 미분류 정보를 배포할 수 있습니다. AWS GovCloud(US) 리전은 현재 레벨 2와 4로 잠정 권한 부여를 획득하여 임무 담당자가 두 레벨에 의거하여 통제하는 미분류 정보 카테고리를 모두 배포할 수 있습니다.
고객은 권한 부여를 통해 AWS가 서비스 보안에 대한 오랜 약속을 이행하고 있음을 확인할 수 있습니다. 또한 권한 부여 절차를 살펴보면 DoD SRG의 보안 통제 항목에 대한 AWS의 고민과 DoD 지침에 따른 관리 실무를 확인할 수도 있습니다. 현재 SRG IL4 레벨 평가를 받아서 DISA에게 IL4 PA를 취득하였습니다.
레벨 2 잠정 인증이란 AWS 서비스를 사용해 DoD 데이터를 저장, 처리 또는 전송하는 DoD 고객은 감사 및 보안 관리를 비롯하여 자체 규정 준수 및 인증을 관리할 때 레벨 2에서 규정하는 모든 요구 사항이 적용된 AWS 인프라에 대한 인증을 신뢰할 수 있다는 것을 의미합니다. DoD IT 환경을 AWS로 이전하면 AWS에서 제공하는 서비스와 기능을 사용해 자체 규정 준수에 대한 관리를 강화할 수 있습니다.
AWS GovCloud (US)에 적용되는 레벨 4 잠정 권한 부여란 DoD 고객이 자신의 프로덕션 애플리케이션을 AWS GovCloud(US)에 배포할 수 있다는 것을 의미합니다. 이를 통해 고객은 DoD 클라우드 컴퓨팅 SRG의 영향 레벨 4를 준수하는 데 필요한 워크로드를 설계, 개발 및 통합하는 활동에 참여할 수 있습니다.
보안 책임 공유의 맥락에서 AWS를 기반으로 애플리케이션을 사용할 경우 DoD 임무 담당자는 보안 통제 항목의 기준을 줄여야 하는 책임이 따릅니다. AWS는 임무 담당자가 애플리케이션을 배포할 때 적용되는 보안 통제 항목을 이용하여 안전한 호스팅 환경을 제공합니다. 하지만 그렇다고 DoD 보안 통제 항목과 규정 준수 정책에 따라 애플리케이션을 안전하게 배포, 관리 및 모니터링해야 하는 임무 담당자의 책임이 면제되지는 않습니다.
AWS를 이용하는 DoD 애플리케이션 소유자의 책임에 대한 자세한 내용은 DoD Compliant Implementations in the AWS Cloud Whitepaper를 참조하십시오. 앞으로 가까운 미래에 SRG에 따라 본 백서를 수정할 예정입니다.
예. 고객은 다른 AWS 서비스가 자신의 워크로드에 적합한지 평가할 수 있습니다. 각 임무 담당자는 고객이 선택하는 모든 서비스의 위험을 평가 및 허용할 수 있는 권한이 있습니다. 보안 규제 및 위험 수용 고려사항에 대한 자세한 정보는 AWS 영업 및 비즈니스 개발 팀에 문의하십시오.
아니요. 어떤 서비스든지 AWS의 규정 준수 프로그램에 따른 비용 인상 계획은 없습니다.
예. 현재 시스템 통합과 기타 제품 및 서비스를 DoD에 제공하는 많은 DoD 기관 및 기타 조직에서 다양한 AWS 서비스를 사용하고 있습니다. AWS는 AWS 시스템과 관련하여 DoD ATO를 획득한 대부분 고객에 대해 공개할 수는 없지만 AWS 기반 DoD 워크로드의 계획부터 배포, 인증 및 승인에 이르기까지 정기적으로 고객 및 고객 평가 기관과 협력하고 있습니다.
아니요. DoD SRG에 따라 DoD 고객들은 실제로 서비스 공급업체의 데이터센터를 살펴보지 않고 AWS 권한 부여만 이용해도 ATO를 획득할 수 있습니다. 또한, 데이터 센터의 물리적 보안에 대한 광범위한 검토를 비롯하여 타사 FedRAMP 평가 기관(3PAO)에서 수행한 작업을 신뢰할 수 있습니다.
AWS 지원 설명서를 요청하려면 AWS Sales and Business Development에게 요청서를 제출하십시오.
전체 서비스 목록을 확인하려면 규정 준수 프로그램 제공 AWS 범위 내 서비스 페이지를 방문하십시오.
