FedRAMP

개요

FedRAMPLogoSmall

미국 연방 정부는 미국 국민에게 가장 혁신적이고, 안전하며, 비용 효율적인 방법으로 서비스를 제공하기 위해 최선을 다하고 있습니다. 클라우드 컴퓨팅은 연방 정부가 전국적으로 미션을 수행하기 위해 운영 효율성을 높이고 필요에 따라 혁신할 수 있는 방법에 있어 핵심적인 역할을 합니다. 그것이 바로 현재 많은 연방 기관에서 AWS 클라우드 서비스를 사용하여 연방 정부 데이터를 처리, 저장 및 전송하는 이유입니다.

  • FedRAMP란 무엇입니까?

    FedRAMP(연방정부 위험 및 인증 관리 프로그램)는 클라우드 제품 및 서비스의 보안 평가, 인증 및 지속적인 모니터링에 대한 표준 접근 방식을 제공하는 미국 정부 차원의 프로그램입니다. FedRAMP 관리 기관에는 미국 관리 예산처(OMB), 미국 총무처(GSA), 미국 국토안전부(DHS), 미국 국방부(DOD), 미국 국립표준기술연구소(NIST) 및 연방 최고 정보 책임자(CIO) 위원회가 있습니다.

    미국 정부에 제품과 서비스를 제공하고자 하는 클라우드 서비스 공급자는 FedRAMP 규정을 준수함을 입증해야 합니다. FedRAMP는 NIST 특별 간행물 800 시리즈를 사용하며, 정부 기관이 연방 정보 보안 관리법(FISMA)을 준수하도록 보장하기 위해 클라우드 서비스 공급자가 타사 평가 기관(3PAO)이 수행하는 독립적인 보안 평가를 받도록 규정하고 있습니다. 자세한 내용은 FedRAMP 웹 사이트를 참조하십시오.

  • FedRAMP가 중요한 이유는 무엇입니까?

    클라우드 우선 정책에 대한 대응으로 미국 관리 예산처(OMB)는 FISMA에 대한 첫 번째 범정부 보안 인증 프로그램을 구성하도록 FedRAMP 정책 메모를 발표했습니다. FedRAMP는 모든 미국 연방 정부 및 모든 클라우드 서비스의 필수 사항입니다. FedRAMP는 다음을 향상하므로 중요합니다.

    • NIST 및 FISMA에서 정의한 표준을 사용하는 클라우드 솔루션의 보안 일관성과 확신
    • 미국 정부와 클라우드 공급자 간에 투명성
    • 자동화 및 거의 실시간 지속적 모니터링
    • 평가 및 인증의 재사용을 통한 안전한 클라우드 솔루션
  • FedRAMP 규정 준수를 위한 요구 사항에는 어떤 것이 있습니까?

    클라우드 우선 정책은 모든 연방 기관이 FedRAMP 프로세스를 사용하여 클라우드 서비스의 보안 평가, 인증 및 지속적인 모니터링을 수행하도록 요구합니다. FedRAMP PMO(프로그램 시행 위원회)에서는 FedRAMP 규정 준수에 대한 요구 사항을 다음과 같이 설명했습니다.

    1. CSP(클라우드 서비스 공급자)에는 미국 연방 기관이 ATO(Authority to Operate)를 부여하거나 JAB(공동 인증 위워회)가 P-ATO(잠정적 운영 권한)를 부여했습니다.
    2. CSP는 중간 또는 높은 영향 수준에 대한 NIST 800-53, Rev. 4 보안 제어 기준에 명시된 FedRAMP 보안 제어 요구 사항을 충족합니다.
    3. 모든 시스템 보안 패키지는 지정된 FedRAMP 템플릿을 사용해야 합니다.
    4. CSP는 타사 평가 기관(3PAO)에서 평가를 받아야 합니다.
    5. 전체 보안 평가 패키지는 FedRAMP 보안 리포지토리에 게시되어야 합니다.
  • FedRAMP 규정 준수의 유형에는 어떤 것이 있습니까?

    CSP가 FedRAMP 규정을 준수함을 입증하는 방법에는 2가지가 있습니다.

    1. JAB 인증

    FedRAMP JAB P-ATO(공동 인증 위원회 잠정적 운영 권한)를 받으려는 CSP는 FedRAMP PMO(프로그램 관리 위원회)의 검토와 FedRAMP 공인 3PAO의 평가를 거쳐, JAB로부터 P-ATO를 받게 됩니다. JAB는 DoD(국방부), DHS(국토안전부) 및 GSA(총무처)의 CIO(최고 정보 책임자)로 구성됩니다.

    2. 기과 인증

    FedRAMP ATO(기관 인증)를 받으려는 CSP는 고객 기관 CIO 또는 위임받은 공무원의 검토와 FedRAMP PMO(프로그램 관리 위원회)의 검증을 거쳐 FedRAMP 준수 ATO를 획득하게 됩니다.

  • Amazon Web Services는 FedRAMP를 준수합니까?

    예. AWS는 아래와 같은 FedRAMP 규정 준수 시스템을 제공합니다. 이 시스템은 인증을 받았고, NIST SP 800-53에 따라 FedRAMP 보안 통제 요구 사항을 지원하며, 보안 FedRAMP 리포지토리에 게시되어 있는 보안 패키지에 지정된 FedRAMP 템플릿을 사용하고, 공인 3PAO(독립적인 타사 평가자)에게 평가를 받았으며, FedRAMP의 지속적 모니터링 요구 사항을 준수합니다.

    AWS GovCloud(US) 리전은 높은 영향 수준에 대한 JAB P-ATO(공동 인증 위원회 잠정적 운영 권한) 및 여러 개의 A-ATO(기관 인증)를 취득했습니다. 높은 수준의 보안 범주에 해당하는 AWS GovCloud(US) JAB P-ATO 범위 내 서비스는 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오.

    AWS 미국 동부/서부 리전은 높은 영향 수준에 대한 JAB P-ATO(공동 인증 위원회 잠정적 운영 권한) 및 여러 개의 A-ATO(기관 인증)를 취득했습니다. 중간 수준의 보안 범주에 해당하는 AWS 미국 동부/서부 JAB P-ATO 범위 내 서비스는 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오.

  • FedRAMP 규정 준수로 인해 AWS 서비스 비용이 증가합니까?

    아니요. AWS의 FedRAMP 규정 준수로 인해 서비스 비용이 인상되는 리전은 없습니다.

  • 어느 AWS 리전이 해당됩니까?

    두 개의 별도 FedRAMP 기관 ATO를 획득했습니다. 하나는 AWS GovCloud(US) 리전에 적용되며, 다른 하나는 AWS 미국 동부/서부 리전에 적용됩니다.

  • 현재 AWS를 사용하는 미국 정부 기관이 있습니까?

    예. 현재 시스템 통합과 기타 제품 및 서비스를 정부 기관에 제공하는 2천 개 이상의 정부 기관 및 기타 기관에서 다양한 AWS 서비스를 사용하고 있습니다. 미국 국무부, 미국 식품의약국(FDA), 미국 질병통제예방센터(CDC), NASA/JPL의 D-RATS(Desert Research and Training Studies), NASA JPL 및 Amazon SWFNASA/JPL의 Mars Curiosity Mission을 비롯하여 AWS를 사용하는 미국 정부 기관에 대한 사례 연구를 살펴볼 수 있습니다. 제공되는 모든 사례 연구는 AWS 고객 성공 사례 웹 페이지를 참조하십시오. AWS에서 어떻게 정부의 높은 보안 요구 사항을 충족하는지 자세히 알아보려면 정부를 위한 AWS 웹 페이지를 참조하십시오.

  • 인증에 포함된 서비스는 무엇입니까?

    FedRAMP 및 DoD SRG 범위에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오. 이 서비스 사용에 대한 자세한 내용이나 다른 서비스에 관심이 있는 경우, AWS 영업 및 비즈니스 개발 팀에 문의하시기 바랍니다.

  • 다른 AWS 서비스를 사용할 수 있습니까?

    예. 고객은 다른 AWS 서비스가 자신의 워크로드에 적합한지 평가할 수 있습니다. 보안 규제 및 위험 수용 고려사항에 대한 자세한 정보는 AWS 영업 및 비즈니스 개발 팀에 문의하십시오.

  • 높은 영향 수준의 시스템을 AWS에 배치할 수 있습니까?

    예, 고객은 AWS 서비스가 고객의 높은 영향 수준 워크로드에 적합한지 평가할 수 있습니다. 현재 FedRAMP는 FISMA 영향 수준이 낮거나 중간인 클라우드 컴퓨팅 시스템에만 적용되지만, AWS에서는 이미 많은 NIST 800-53 높은 수준의 통제 항목도 충족하고 있으며, NIST 중간 기준에서 확장하여 FISMA 준수 수준이 높은 애플리케이션 및 서비스를 구축함으로써 크리티컬 워크로드를 지원하려는 고객을 위해 AWS FISMA 준수 수준이 높은 워크북을 개발했습니다. 보안 통제 및 위험 수용 고려사항에 대한 자세한 정보는 AWS 영업 및 비즈니스 개발 팀에 문의하십시오.

  • AWS FedRAMP 보안 패키지에 액세스하려면 어떻게 해야 합니까?

    AWS 고객은 FedRAMP PMO 또는 AWS 영업 지원 담당자를 통해 AWS FedRAMP 보안 패키지에 대한 액세스를 요청할 수 있습니다.

    미국 정부 기관 고객은 패키지 액세스 요청 양식을 작성하여 info@fedramp.gov로 제출하거나 AWS 영업 지원 담당자에게 문의하여 FedRAMP PMO의 AWS FedRAMP 보안 패키지에 대한 액세스를 요청할 수 있습니다.

    AWS 파트너와 잠재 고객은 AWS Artifact를 사용하여 AWS 파트너 FedRAMP 보안 패키지에 대한 액세스를 요청할 수도 있습니다.

  • 기관에서는 AWS FedRAMP 인증을 어떻게 활용합니까?

    기관 인증 공무원(AO)은 원하는 AWS FedRAMP 인증 보안 패키지를 사용하여 근거 자료를 검토하고 자체적으로 위험 기반 의사 결정을 내려 AWS에 ATO(기관 인증)를 부여할 수 있습니다. 각 기관은 AWS에 대해 자체 ATO를 발부할 책임이 있으며, AWS ATO에 포함되지 않는 시스템 구성 요소의 전반적인 인증에 대한 책임도 있습니다. 질문이 있거나 추가 정보가 필요하면 AWS 영업 담당자에게 문의해 주십시오.

  • FedRAMP 인증에서는 지속적 모니터링을 어떻게 처리합니까?

    인증을 받고 나면 FedRAMP 운영 개념(CONOPS) 내에서 평가 및 인증 프로세스에 따라 CSP의 보안 상태가 모니터링됩니다. 매년 FedRAMP 인증을 재승인받으려면 CSP가 자신의 보안 제어 항목을 모니터링하고 정기적으로 평가하며 제공 중인 서비스 보안 상태가 지속적으로 적절한 수준을 유지하고 있음을 입증해야 합니다. FedRAMP 지속적 모니터링 프로그램을 활용하는 연방 기관, 인증 공무원(AO) 및 지정된 팀은 AWS가 지속적으로 규정을 준수하는지 검토할 책임이 있습니다. 지속적으로 AO 및 지정된 팀은 AWS FedRAMP 지속적 모니터링 프로세스를 통해 제공된 아티팩트와 더불어 FedRAMP 제어 범위를 넘어서 필요한 기관별 제어 항목의 구현 증거를 검토합니다. 자세한 내용은 해당 기관의 정보 시스템 보안 프로그램 또는 정책을 참조하십시오.

  • 미국 연방 기관인 경우 AWS와 ISA(Interconnection Security Agreement)를 체결해야 합니까?

    아니요. FedRAMP PMO는 CSP와 연방 기관 간에 ISA가 필요하지 않음을 명시합니다.

  • FedRAMP에 해당하는 조직 내 AWS 워크로드 또는 아키텍처를 AWS와 논의하려면 어떻게 해야 합니까?

    AWS FedRAMP 보안 패키지는 AWS Artifact를 통해 고객에게 제공됩니다. AWS Artifact는 AWS 규정 준수 보고서에 대한 온디맨드 액세스를 제공하는 셀프 서비스 포털입니다. AWS Management Console에서 AWS Artifact에 로그인하거나 AWS Artifact 시작하기를 통해 자세히 알아보십시오.

    FedRAMP 또는 DoD 규정 준수에 관한 특정 후속 질문이 있는 경우, awscompliance@amazon.com으로 이메일을 보내시기 바랍니다.

compliance-contactus-icon
질문이 있으십니까? AWS 영업 담당자와 연결
규정 준수 역할을 찾고 계십니까?
지금 신청하십시오 »
AWS 규정 준수 업데이트를 받으시겠습니까?
Twitter 팔로우하기 »