클라우드에서 FedRAMP에 대한 정보를 받고 싶습니다.
FedRAMP AWS

미국 연방 정부는 미국 국민에게 가장 혁신적이고, 안전하며, 비용 효율적인 방법으로 서비스를 제공하기 위해 최선을 다하고 있습니다. 클라우드 컴퓨팅은 연방 정부가 국가 전체에 미션을 진행하기 위해 운영 효율성을 실현하고 요구에 따라 혁신하는 방법에 있어 계속해서 핵심 기폭제가 될 것입니다. 그것이 바로 현재 많은 연방 기관에서 AWS의 유틸리티 기반 클라우드 서비스를 사용하여 연방 정부 데이터를 처리, 저장 및 전송하는 이유입니다.

govcloud_video

Federal Risk and Authorization Management Program(FedRAMP)은 클라우드 제품 및 서비스의 보안 평가, 인증 및 지속적인 모니터링에 대한 표준 접근 방식을 제공하는 미국 정부 차원의 프로그램입니다. FedRAMP 관리 기관에는 미국 관리 예산처(OMB), 미국 총무처(GSA), 미국 국토안전부(DHS), 미국 국방부(DOD), 미국 국립표준기술연구소(NIST) 및 연방 CIO 위원회가 있습니다.

FedRAMP는 NIST 특별 간행물 800 시리즈를 사용하며, 정부 기관이 연방 정보 보안 관리법(FISMA)을 준수하게 하도록 클라우드 서비스 공급자가 타사 평가 기관(3PAO)이 수행하는 독립적인 보안 평가를 받도록 규정하고 있습니다. 미국 정부에 제품과 서비스를 제공하고자 하는 클라우드 공급자는 FedRAMP 규정을 준수함을 입증해야 합니다. FedRAMP 요구 사항에 대한 자세한 내용은 www.FedRAMP.gov를 참조하십시오.

Amazon Web Services(AWS)는 다음과 같은 FedRAMP 규정 준수 시스템을 제공합니다.

AWS GovCloud(US) 리전은 높은 영향 수준에 대한 JAB P-ATO(공동 인증 위원회 잠정적 운영 권한)를 취득했습니다. 인증에 포함된 서비스는 EC2, EBS, IAM, S3 및 VPC입니다.

AWS 미국 동서부 리전은 중간 영향 수준에 대한 여러 정부 기관의 인증을 받았습니다. 인증에 포함된 서비스는 EC2, EBS, IAM, Redshift, S3 및 VPC입니다.

클라우드 우선 정책에 대한 대응으로 미국 관리 예산처(OMB)는 FISMA에 대한 첫 번째 범정부 보안 인증 프로그램을 구성하도록 FedRAMP 정책 메모를 발표했습니다. FedRAMP는 모든 미국 연방 정부 및 모든 클라우드 서비스의 필수 사항입니다. FedRAMP는 다음을 향상하므로 중요합니다.

  • NIST 및 FISMA에서 정의한 표준을 사용하는 클라우드 솔루션의 보안 일관성과 확신
  • 미국 정부와 클라우드 공급자 간에 투명성
  • 자동화 및 거의 실시간 지속적 모니터링
  • 평가 및 인증의 재사용을 통한 안전한 클라우드 솔루션

클라우드 우선 정책은 모든 연방 기관이 FedRAMP 프로세스를 사용하여 클라우드 서비스의 보안 평가, 인증 및 지속적인 모니터링을 수행하도록 요구합니다. FedRAMP 프로그램 사무소에서는 FedRAMP 규정 준수를 위한 5가지 요구 사항을 다음과 같이 간략하게 설명합니다.

1. CSP(클라우드 서비스 공급업체)는 연방 기관에서 운영 권한인 ATO(Authority to Operate)를 취득했습니다.

2. CSP는 중간 영향 수준에 대한 NIST 800-53, Rev. 4 보안 통제 기준에 부합하는 FedRAMP 보안 통제 요구 사항을 지원합니다.

3. 모든 시스템 보안 패키지는 지정된 FedRAMP 템플릿을 사용해야 합니다.

4. CSP는 독립적인 감사자의 평가를 받았습니다.

5. 전체 보안 평가 패키지는 FedRAMP 보안 리포지토리에 게시되어 있습니다.

FedRAMP 요구 사항

CSP가 FedRAMP 규정을 준수함을 입증하는 방법에는 3가지가 있습니다.

1. JAB 잠정적 인증(JAB P-ATO) 방법

FedRAMP P-ATO 방법을 사용하는 CSP는 FedRAMP PMO가 검토하고, FedRAMP 공인 3PAO에서 평가하며, DHS, DOD 및 GSA CIO에서 P-ATO를 인증하게 됩니다.

2. 기관 FedRAMP 인증(A-ATO) 방법

기관 인증 방법을 사용하는 CSP는 고객 기관 CIO 또는 위임 인증 사무관의 검토를 통해 FedRAMP PMO가 검증을 완료한 FedRAMP 규정 준수 ATO를 취득하게 됩니다.

3. CSP 공급 패키지 방법

CSP 공급 패키지 방법을 사용하는 CSP는 FedRAMP 공인 3PAO가 평가한 전체 보안 평가 패키지를 FedRAMP PMO에게 제출합니다.

FedRAMP 클라우드 규정 준수

예. AWS는 아래와 같은 FedRAMP 규정 준수 시스템을 제공합니다. 이 시스템은 인증을 받았고, NIST SP 800-53에 따라 FedRAMP 보안 통제 요구 사항을 지원하며, 보안 FedRAMP 리포지토리에 게시되어 있는 보안 패키지에 지정된 FedRAMP 템플릿을 사용하고, 공인 3PAO(독립적인 타사 평가자)에게 평가를 받았으며, FedRAMP의 지속적 모니터링 요구 사항을 준수합니다.

AWS GovCloud(US) 리전은 높은 영향 수준에 대한 JAB P-ATO(공동 인증 위원회 잠정적 운영 권한) 및 여러 개의 A-ATO(기관 인증)를 취득했습니다. 높은 수준의 보안 범주에 해당하는 AWS GovCloud(US) JAB P-ATO 범위 내 서비스는 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오. AWS GovCloud(US)에 대해 ATO를 인증한 정부 기관의 전체 목록은 FedRAMP 규정 준수 시스템 페이지를 참조하십시오.

AWS 미국 동서부 리전은 중간 영향 수준에 대해 여러 개의 기관 ATO를 받았습니다. AWS 미국 동부/서부 리전의 인증 범위 내 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오. AWS 미국 동부/서부 리전에 대해 ATO를 인증한 정부 기관의 전체 목록은 FedRAMP 규정 준수 시스템 페이지를 참조하십시오.

아니요, AWS가 FedRAMP 규정을 준수함으로 인해 서비스 비용이 인상되는 리전은 없습니다.

두 개의 별도 FedRAMP 기관 ATO를 발급받았습니다. 하나는 AWS GovCloud(미국) 리전에 적용되며, 다른 하나는 AWS 미국 동부/서부 리전에 적용됩니다.

예, 현재 시스템 통합과 기타 제품 및 서비스를 정부 기관에 제공하는 많은 다른 기관 및 정부 기관에서 다양한 AWS 서비스를 사용하고 있습니다.

FIPS AWS
CJIS AWS
FERPA AWS
DoD AWS
FedRAMP 및 DoD SRG 범위에 포함된 AWS 서비스 목록은 규정 준수 프로그램 제공 AWS 범위 내 서비스를 참조하십시오. 이 서비스 사용에 대한 자세한 내용이나 다른 서비스에 관심이 있는 경우, AWS 영업 및 비즈니스 개발 팀에 문의하시기 바랍니다.

예, 고객은 다른 AWS 서비스가 자신의 워크로드에 적합한지 평가할 수 있습니다. 보안 통제 및 위험 수용 고려사항에 대한 자세한 정보는 AWS 영업 및 비즈니스 개발 팀에 문의하십시오.

예, 고객은 AWS 서비스가 고객의 높은 영향 수준 워크로드에 적합한지 평가할 수 있습니다. 현재 FedRAMP는 FISMA 영향 수준이 낮거나 중간인 클라우드 컴퓨팅 시스템에만 적용되지만, AWS에서는 이미 많은 NIST 800-53 높은 수준의 통제 항목도 충족하고 있으며, NIST 중간 기준에서 확장하여 FISMA 준수 수준이 높은 애플리케이션 및 서비스를 구축함으로써 크리티컬 워크로드를 지원하려는 고객을 위해 AWS FISMA 준수 수준이 높은 워크북을 개발했습니다. 보안 통제 및 위험 수용 고려사항에 대한 자세한 정보는 AWS 영업 및 비즈니스 개발 팀에 문의하십시오.

AWS에서는 고객이 연방 및 DoD 보안 지침에 따라 데이터를 보호하는 데 사용할 수 있는 다양한 보안 기능을 제공합니다. AWS에서는 고객에게 제공하는 기존 보안 도구와 지속적으로 통합하고, 기존 보안 기능의 업데이트를 정기적으로 릴리스하고 있습니다. 클라우드에서 데이터를 보안하기 위한 추가 정보와 솔루션은 다음 AWS 보안 지침을 참조하시기 바랍니다.

AWS 고객은 FedRAMP PMO 또는 AWS 영업 지원 담당자를 통해 AWS FedRAMP 보안 패키지에 대한 액세스를 요청할 수 있습니다.

미국 정부 기관 고객은 패키지 액세스 요청 양식을 작성하여 info@fedramp.gov로 제출하거나 AWS 영업 지원 담당자에게 문의하여 FedRAMP PMO의 AWS FedRAMP 보안 패키지에 대한 액세스를 요청할 수 있습니다.

AWS 파트너 및 잠재 고객은 AWS 영업 지원 담당자에게 문의하여 AWS 파트너 FedRAMP 보안 패키지에 대한 액세스를 요청할 수 있습니다.

기관 인증 공무원(AO)은 원하는 AWS FedRAMP 인증 보안 패키지를 사용하여 근거 자료를 검토하고 위험 기반 의사 결정을 내려 AWS에 기관 인증 또는 ATO를 부여할 수 있습니다. 각 기관은 AWS에 대해 자체 ATO를 발부할 책임이 있으며, AWS A-ATO에 포함되지 않은 시스템 구성 요소에 대한 전반적인 인증 책임도 있습니다. AWS 공동 책임 모델에 대한 자세한 내용은 AWS 영업 지원 담당자에게 문의해 주십시오.

AWS와 공급업체 에코시스템에서 제공하는 보안 기능을 사용하면 기관의 보안, 프라이버시 및/또는 엔터프라이즈 위험 관리 정책을 통합하는 가용성 시스템을 구축하는 방법을 통제 및 모니터링할 수 있습니다.

고객, 파트너 및 시스템 통합 사업자가 말하는 AWS를 통해 실현한 가치에 대해 읽어보십시오.

블로그

Appian Cloud에서는 Amazon Web Services의 인프라와 FedRAMP 인증을 활용하고 있습니다. 더 보기

AWS 사례 연구

미국 국무부

미국 식품 의약군(FDA)

미국 질병통제예방센터(CDC)

NASA/JPL의 사막 연구 및 교육 연구

NASA JPL 및 Amazon SWF

NASA/JPL의 화성 탐사 미션

AWS 규정 준수

FedRAMP 운영 개념(CONOPS)을 기반으로 인증이 부여받고 나면 CSP의 보안 상태는 평가 및 인증 프로세스에 따라 모니터링됩니다. 매년 FedRAMP 인증을 재인증받기 위해서는 CSP는 자신의 보안 통제 항목을 모니터링하고 정기적으로 평가하며 제공 중인 서비스 보안 상태가 지속적으로 적절한 수준을 유지하고 있음을 입증해야 합니다. FedRAMP 지속적인 모니터링 프로그램을 활용하는 연방 기관과 인증 공무원(AO) 및 지정된 팀은 AWS가 지속적으로 규정을 준수하는지 검토할 책임이 있습니다. AO 및 지정된 팀은 FedRAMP 통제 항목 이외에 필요한 기관 특정 통제 항목의 구현에 대한 증거와 더불어 AWS FedRAMP 지속적인 모니터링 프로세스를 통해 제공받은 아티팩트를 지속적으로 검토하게 됩니다. 자세한 내용은 해당 기관의 정보 시스템 보안 프로그램 또는 정책을 참조하십시오.

FedRAMP PMO는 ISA가 CSP와 연방 기관 간 사용을 목적으로 작성되지 않았음을 명시하고 있습니다. 자세한 내용은 FedRAMP PMO 웹 사이트를 참조하십시오.

FedRAMP 규정 준수와 관련된 질문이 있는 경우, AWS Artifact 내 FedRAMP 파트너 패키지를 검토하시기 바랍니다. FedRAMP/DoD 규정 준수에 관한 특정 후속 질문이 있는 경우, awscompliance@amazon.com으로 문의하시기 바랍니다. AWS 워크로드/아키텍처에 대한 검토와 논의가 필요한 경우, AWS 영업 대표에게 연락하여 지원을 받으시기 바랍니다.

FedRAMP 리소스

 

AWS에 문의