DoD SRG

개요

140940_AWS_Multi-Logo Graphic_600x400_DoD

국방부(DoD) 데이터의 처리, 저장 및 전송을 위해 AWS 서비스를 도입하는 군대 고객들이 늘고 있습니다.

AWS는 방위 조직과 관련 비즈니스 협력사들이 안전한 환경을 활용하여 DoD 데이터를 처리, 유지 및 저장할 수 있도록 지원합니다. AWS는 Defense Information Systems Agency(DISA)로부터 잠정 인증을 획득했습니다.

AWS는 DoD 잠정 인증을 획득한 3개의 환경, 즉 미국 동부와 서부 리전, AWS GovCloud(US) 리전 및 AWS Secret 리전을 유지 관리하고 있습니다.

미국 동부/서부 리전은 DoD 영향 수준(IL) 2 잠정 인증을 획득했습니다. DoD SRG IL2 인증 범위에 포함된 미국 동부/서부 리전의 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오.

AWS GovCloud(US) 리전은 영향 수준 2, 4 및 5의 DoD 잠정 인증을 획득했습니다. DoD SRG IL2, IL4 및 IL5 인증 범위에 이미 포함된 GovCloud(US) 리전의 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오.

AWS Secret 리전은 영향 수준 6의 DoD 잠정 인증을 획득했습니다. AWS Secret 리전은 DoD와 정보 기관에서 보안을 분류된 워크로드의 특정 보안 요구 사항을 충족하도록 설계 및 구축되었습니다. 이 리전의 서비스 카탈로그는 AWS 계정 담당자를 통해 확인할 수 있습니다.

DoD 고객은 AWS 애플리케이션 환경에서 다음과 같은 DoD 보안 지침을 준수할 책임이 있습니다.

DoD 클라우드 컴퓨팅 보안 요구 사항 가이드(SRG)에서 규정하는 임무 담당자 요구 사항
• 모든 관련 운영 체제의 보안 기술 구현 가이드(STIG)
• 모든 관련 애플리케이션의 STIG
• DoD 포트 및 프로토콜 지침(DoDI 8551.01)

AWS의 인프라, 거버넌스 및 운영 환경은 FedRAMP와 DoD 인가 절차에 따라 평가 후 승인되었습니다. AWS 인프라에서 애플리케이션을 배포하는 고객에게는 물리적, 환경적 및 미디어 보호와 관련된 보안 제어 항목이 상속되며, 더는 이러한 제어 규정을 준수하는 방법에 관해 상세한 설명을 제공할 필요가 없습니다. 그 밖에 DoD Risk Management Framework(RMF) 제어 항목은 AWS와 고객 간에 공유되며 각 조직은 공동 IT 보안 모델에서 자신이 맡은 부분 내에서 제어 구현에 대한 책임을 집니다.

  • AWS 보안 설명서 및 지침은 어떻게 사용합니까?

    DoD 고객과 공급업체는 자신의 인증 및 승인 활동을 촉진하기 위해 Amazon의 FedRAMP 및 DoD 인가를 이용할 수 있습니다. AWS에 호스팅되는 군 시스템의 인가를 지원할 목적으로 보안 설명서와 함께 DoD 보안 담당자를 지원하고 있습니다. 이러한 지원은 800-53 rev4에 규정하고 있는 NIST 제어 항목과 DoD 클라우드 컴퓨팅 보안 요구 사항 가이드(SRG)에 따른 AWS의 보안 및 규정 준수를 입증하는 수단으로 사용됩니다.

    또한 DoD 고객을 지원하고자 AWS에서는 보안 지침 및 설명서 패키지를 제공하므로 고객은 AWS를 DoD 호스팅 솔루션으로 사용하면서 보안 및 규정 준수에 대한 이해를 높일 수 있습니다. 특히 NIST 800-53v4를 근거로 개발한 AWS FedRAMP SSP 템플릿을 제공합니다. 이 템플릿에는 FedRAMP 및 DoD 제어 항목의 기준이 미리 입력되어 있습니다. 템플릿에서 상속되는 제어 항목은 AWS에서 미리 입력하지만 공유 제어 항목은 AWS와 고객 책임이고, 마지막으로 온전히 고객 책임인 제어 항목도 몇 가지 있습니다.

    DoD 고객, 즉 군 조직 또는 DoD의 도급업체와 관련이 있는 AWS의 보안 설명서에 대한 액세스를 요청하려면 AWS 영업 및 비즈니스 개발 팀에 문의하거나 Amazon 팀으로 직접 이메일(awscompliance@amazon.com)을 보내십시오.

  • AWS로 이전하면 어떤 점이 좋습니까?

    정부 고객이 클라우드로 마이그레이션할 경우 보안 보증 수준을 향상하고 운영 위험을 줄일 수 있습니다. AWS 운영 환경을 통해 고객은 고도의 자동화가 지원되는 환경에서만 가능한 수준의 보안 및 규정 준수를 실현할 수 있습니다. AWS에서는 고객이 정기적인 인벤토리 및 "특정 시점" 감사를 수행하는 것이 아니라 지속적으로 감사를 수행할 수 있습니다. 이는 대부분 DoD 고객이 기존 데이터 센터에서 운영하는 방식입니다. 환경에 대해 이러한 수준의 가시성을 확보하면 데이터 제어가 향상되고 권한이 부여된 사용자만 액세스할 수 있다는 보안 보증을 유지하는 역량을 강화할 수 있습니다.

    예를 들어 DoD 임무 담당자는 DoD 보안 및 규정 준수 지침을 프로그래밍 방식으로 시행함으로써 애플리케이션에 대한 더 높은 수준의 제어를 실현할 수 있습니다. AWS 기능을 사용하면 공통 애플리케이션 사용 사례에 대한 사전에 승인된 템플릿을 생성할 수 있으므로 새로운 애플리케이션 승인에 걸리는 시간을 줄일 수 있습니다. 템플릿을 사용하면 애플리케이션 소유자가 보안 그룹이나 네트워크 ACL과 같은 중요한 보안 설정을 변경하지 않고 STIG 강화 머신 이미지의 사용하도록 할 수 있습니다. 또한, DoD 보안 지침을 프로그래밍 방식으로 시행하면 수동 구성 작업이 줄어들어 부적절한 구성과 DoD의 전반적인 위험을 줄일 수 있습니다.

    다른 규정 준수 프로그램의 고객들 역시 AWS 사용의 이점을 활용하여 다음과 같이 위험 및 규정 준수 목표를 달성하고 있습니다.
    • HIPAA 규정 준수: Claritas Genomics는 제한된 예산으로 인해 저렴하면서 HIPAA 요구 사항을 충족할 수 있는 IT 리소스가 필요했습니다.
    • 금융 서비스 규정 준수: 꾸준히 증가하는 시장 규모와 변화하는 규제 규칙에 위기를 느낀 FINRA는 AWS로 눈을 돌렸습니다.
    • 금융 서비스 규정 준수: NASDAQ은 규제 담당자들에게 갈수록 상세해지는 금융 정보에 액세스할 수 있는 권한을 제공할 필요성을 느꼈습니다.

  • DoD 클라우드 컴퓨팅 SRG란 무엇입니까?

    DoD SRG는 클라우드 서비스 공급업체(CSP)의 DoD 잠정 권한 부여 획득을 위한 표준 평가 및 인가 절차를 알릴 목적으로 게시되었으며, CSP 외에 DoD 고객들도 이용할 수 있습니다. DoD 지침에 따른 잠정 권한 부여는 DoD 표준 규정 준수를 증명하여 DoD 임무 담당자가 AWS에서의 작업을 위해 시스템 중 하나를 평가 및 권한을 부여하는 데 필요한 시간을 단축합니다. 레벨 2, 4, 5 및 6의 보안 관리 기준에 대한 자세한 정의를 포함해 SRG에 대한 자세한 내용은 여기에서 찾을 수 있습니다.

    DoD_Hub_FedRAMP
  • 임무 담당자가 ATO(Authority to Operate)를 획득하는 방법

    DoD 임무 담당자는 애플리케이션에 적용되는 보안 제어 항목의 구현을 모두 정의하는 권한 부여 패키지를 구축할 책임이 있습니다. 기존 권한 부여 패키지와 마찬가지로 시스템 보안 계획과 함께 보안 제어 항목의 기준을 문서로 작성해야 하며, 이렇게 작성된 계획과 이행 방법은 DoD 조직의 인가 위원에게 심사를 받게 됩니다. 인가 위원 또는 심사관은 애플리케이션 심사의 일환으로 보안 제어 항목의 이행 방법을 철저히 이해할 수 있도록 AWS 권한 부여 패키지를 살펴볼 수 있습니다. AWS와 임무 담당자의 보안 권한 부여 패키지를 살펴본 후 심사관은 애플리케이션의 인가 결정에 필요한 정보를 바탕으로 권한(ATO)을 부여합니다.

    AWS를 이용하는 DoD 애플리케이션 소유자의 책임에 대한 자세한 내용은 DoD Compliant Implementations in the AWS Cloud Whitepaper를 참조하십시오.

  • 클라우드 컴퓨팅 SRG의 발행이 현재 AWS PA에게 미치는 영향은 무엇입니까?

    AWS는 이미 클라우드 서비스 공급업체로서 DoD의 승인을 받았으므로 SRG에서 규정하고 있는 FedRAMP+ 제어 항목에 대한 평가를 받아야 합니다. AWS는 이 평가를 마치고 IL4 PA 및 IL5 PA를 받았기 때문에 임무 담당자가 아래와 같이 프로덕션 워크로드를 마이그레이션할 수 있습니다.

    • 제어 데이터 내보내기
    • 개인 정보
    • 개인 건강 정보
    • 그 외 명시적인 CUI(제어 미분류 정보) 지정이 필요한 정보
      • 공식적인 용도로 제한되는 경우
      • 공식적인 용도로 제한
      • LES(Law Enforcement Sensitive)
      • 핵심 기반시설 정보
      • 중요 보안 정보
  • SRG는 왜 중요합니까?

    SRG는 클라우드 컴퓨팅의 활용도를 높인다는 연방정부의 목표를 지지할 뿐만 아니라 DoD가 이러한 목표를 지지할 수 있는 수단을 제공하고 있습니다. 2011년 2월 8일 관리예산처(the Office of Management and Budget. OMB)는 연방 클라우드 컴퓨팅 전략을 수립하고 연방 정부 산하 모든 기관들이 클라우드 기술을 도입할 수 있도록 지침을 마련하였습니다. 이 전략을 수립한 후 2011년 12월에는 연방정부 클라우드 보안 프로그램(Federal Risk and Authorization Management Program. FedRAMP)을 마련하여 연방정부의 요구 사항을 발표하였습니다. FedRAMP에서는 낮음, 중간 및 높음 위험 영향 수준에서 연방 기관에 클라우드를 배포하고 서비스 모델을 구축할 것을 요구합니다.

    2012년 7월에는 DoD의 CIO가 클라우드 컴퓨팅 전략을 발표하였습니다. 여기에서 합동 정보 환경(JIE)과 DoD 엔터프라이즈 클라우드 환경을 다음과 같이 규정하였습니다. "DoD 클라우드 컴퓨팅 전략은 국방부가 현재 중복 데이터, 번거로운 작업, 그리고 고비용이라는 애플리케이션 사일로 상태를 벗어나 민첩하고 안전하며, 비용 효율적인 최종 서비스 환경으로 전환함으로써 변화하는 임무 요구 사항에 빠르게 대응할 수 있는 방법을 소개하고 있습니다. DoD 최고 정보 책임자(CIO)는 국방부의 클라우드 컴퓨팅 도입을 촉진하는 데 최선을 다하고 있습니다..."

    DoD SRG는 DoD가 클라우드 서비스 공급업체의 평가 표준을 마련하는 데 FedRAMP 프로그램을 사용합니다. AWS는 FedRAMP의 평가를 거쳐 이미 승인을 받았으며, 미국 동부 및 서부 리전에서는 다수의 Agency Moderate ATO를, 그리고 AWS GovCloud(US)에서는 FedRAMP JAB High Provisional ATO(pATO)를 획득하였습니다. AWS의 FedRAMP 규정 준수에 대한 자세한 내용은 FedRAMP FAQ 페이지에서 확인할 수 있습니다.

  • AWS 클라우드 서비스는 DoD 요구 사항을 충족합니까?

    예. AWS는 평가를 거쳐 미국 동부 및 미국 서부에서 IL2, AWS GovCloud(US) 리전에서 IL4 및 IL5, AWS Secret 리전에서 IL6 클라우드 서비스 공급업체로 승인을 받았습니다.

    레벨 2에서는 AWS 미국 기반 리전(미국 동부/서부 및 AWS GovCloud(US))이 DISA의 평가를 받았으며 DoD 요구 사항을 준수함을 입증하여 2개의 잠정 인증을 획득하였습니다. AWS의 DoD 요구 사항 준수는 기존 FedRAMP JAB P-ATO를 활용하여 달성되었습니다. 잠정 인증은 DoD 기관이 AWS의 보안을 평가하고 AWS 클라우드 내에서 다양한 DoD 데이터를 저장, 처리 및 유지할 수 있는 기회를 제공합니다.

    레벨 4 및 5에서는 AWS GovCloud(US)가 DISA로부터 잠정 인증을 획득하였으므로 DoD 고객은 SRG 레벨에 해당하는 강화된 제어 기준으로 프로덕션 애플리케이션을 배포할 수 있습니다. 향후 IL4 또는 IL5 애플리케이션을 사용하려는 DoD 고객들은 DISA에게 문의하여 승인 절차를 시작해야 합니다.

    • 레벨 6에서는 AWS Secret 리전이 보안 정보 레벨까지의 워크로드에 대해 IL6 DoD 잠정 인증을 획득했습니다. 이 리전의 서비스 카탈로그는 AWS 계정 담당자를 통해 확인할 수 있습니다.

  • 어느 AWS 리전이 해당됩니까?

    AWS에서 받은 잠정 인증에는 AWS GovCloud(US)(레벨 2, 4 및 5), AWS 미국 동부/서부 리전(레벨 2) 및 AWS Secret 리전(레벨 6)을 비롯하여 미국 대륙 내 여러 리전이 포함됩니다.

  • AWS에서 DoD 시스템은 어떻게 분류됩니까?

    미국 동부와 미국 서부 리전은 레벨 2의 잠정 인증을 획득했으므로, 임무 담당자가 AWS 인증과 해당 애플리케이션의 ATO를 이용해 두 리전에서 일반 미분류 정보를 배포할 수 있습니다. AWS GovCloud(US) 리전은 레벨 2, 4 및 5의 잠정 인증을 획득했으므로 임무 담당자가 두 레벨에 의거하여 미분류 제어 정보 카테고리를 모두 배포할 수 있습니다. AWS Secret 리전은 레벨 6의 잠정 인증을 획득했으므로 보안 정보 범주까지 워크로드를 배포할 수 있습니다.

  • 이러한 인증은 AWS에 어떤 영향을 미칩니까?

    고객은 이러한 인증을 통해 AWS가 서비스 보안에 대한 오랜 약속을 이행하고 있음을 확인할 수 있습니다. 또한 권한 부여 절차를 살펴보면 DoD SRG의 보안 통제 항목에 대한 AWS의 고민과 DoD 지침에 따른 관리 실무를 확인할 수도 있습니다. AWS는 SRG IL4, IL5 및 IL6 레벨 평가를 받았고 DISA로부터 IL4, IL5 및 IL6 PA를 발급받았습니다.

  • 이 모든 내용이 DoD 임무 담당자에게 어떤 의미입니까?

    AWS에서 레벨 2 잠정 인증을 받았으므로 DoD 고객은 규정 준수 범위 내 AWS 인프라와 서비스를 활용하여 공개 릴리스가 허용된 데이터뿐만 아니라 일부 DoD 비공개 미분류 정보와 같은 워크로드를 배포할 수 있습니다. DoD IT 환경을 AWS로 이전하면 AWS에서 제공하는 서비스와 기능을 사용해 자체 규정 준수에 대한 관리를 강화할 수 있습니다.

    AWS GovCloud (US)에 적용되는 레벨 4 및 5 잠정 인증이란 DoD 고객이 자신의 프로덕션 애플리케이션을 AWS GovCloud(US)에 배포할 수 있다는 것을 의미합니다. 이를 통해 고객은 DoD 클라우드 컴퓨팅 SRG의 영향 레벨 4 및 5를 준수해야 하는 워크로드를 설계, 개발 및 통합하는 작업을 수행할 수 있습니다.

    AWS Secret 리전에 적용되는 레벨 6 잠정 인증이란 AWS 서비스를 사용하는 DoD 고객이 보안 정보 레벨까지의 데이터를 저장, 처리 또는 전송하고, 감사, 보안 관리 등 자체 규정 준수 및 인증을 관리하면서 AWS 인프라가 받은 인증을 활용하여 레벨 6에 정의된 모든 요구 사항을 충족할 수 있다는 것을 의미합니다.

  • AWS 잠정 인증이 임무 담당자의 ATO에 어떤 영향을 미칠 수 있습니까?

    보안 책임 공유의 맥락에서 AWS를 기반으로 애플리케이션을 사용할 경우 DoD 임무 담당자는 보안 통제 항목의 기준을 줄여야 하는 책임이 따릅니다. AWS는 임무 담당자가 애플리케이션을 배포할 때 적용되는 보안 통제 항목을 이용하여 안전한 호스팅 환경을 제공합니다. 하지만 그렇다고 DoD 보안 통제 항목과 규정 준수 정책에 따라 애플리케이션을 안전하게 배포, 관리 및 모니터링해야 하는 임무 담당자의 책임이 면제되지는 않습니다.

    AWS를 이용하는 DoD 애플리케이션 소유자의 책임에 대한 자세한 내용은 AWS 클라우드에서 DoD 규정 준수 구현 백서를 참조하십시오. 조만간 SRG에 따라 이 백서를 수정할 예정입니다.

  • 다른 AWS 서비스를 사용할 수 있습니까?

    예. 고객은 다른 AWS 서비스가 자신의 워크로드에 적합한지 평가할 수 있습니다. 각 임무 담당자는 고객이 선택하는 모든 서비스의 위험을 평가 및 허용할 수 있는 권한이 있습니다. 보안 규제 및 위험 수용 고려사항에 대한 자세한 정보는 AWS 영업 및 비즈니스 개발 팀에 문의하십시오.

  • DoD 규정 준수로 인해 AWS 서비스 가격이 인상됩니까?

    아니요. 어떤 서비스든지 AWS의 규정 준수 프로그램에 따른 비용 인상 계획은 없습니다.

  • 다른 DoD 기관들도 현재 AWS를 사용하고 있습니까?

    예. 현재 시스템 통합과 기타 제품 및 서비스를 DoD에 제공하는 많은 DoD 기관 및 기타 조직에서 다양한 AWS 서비스를 사용하고 있습니다. AWS는 AWS 시스템과 관련하여 DoD ATO를 획득한 대부분 고객에 대해 공개할 수는 없지만 AWS 기반 DoD 워크로드의 계획부터 배포, 인증 및 승인에 이르기까지 정기적으로 고객 및 고객 평가 기관과 협력하고 있습니다.

  • ATO를 획득하려면 실제로 서비스 공급업체의 데이터 센터를 살펴봐야 합니까?

    아니요. DoD SRG에 따라 DoD 고객들은 실제로 서비스 공급업체의 데이터센터를 살펴보지 않고 AWS 권한 부여만 이용해도 ATO를 획득할 수 있습니다. 또한, 데이터 센터의 물리적 보안에 대한 광범위한 검토를 비롯하여 타사 FedRAMP 평가 기관(3PAO)에서 수행한 작업을 신뢰할 수 있습니다.

  • AWS 인증 및 설명서에 액세스하려면 어떻게 해야 합니까?

  • 어떤 AWS 서비스가 포함됩니까?

    전체 서비스 목록을 확인하려면 규정 준수 프로그램 제공 AWS 범위 내 서비스 페이지를 방문하십시오.

compliance-contactus-icon
질문이 있으십니까? AWS 규정 준수 담당자에게 문의
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »