Google Cloud에서 FedRAMP 규정 준수

컬렉션을 사용해 정리하기 내 환경설정을 기준으로 콘텐츠를 저장하고 분류하세요.

면책조항

이 가이드는 정보 제공만을 목적으로 합니다. Google이 본 가이드에서 제공하는 정보 또는 권장사항은 법적 자문에 해당하지 않습니다. 필요한 경우 서비스 사용을 자체적으로 평가하여 법률 준수 의무를 이행할 책임은 각 고객에게 있습니다.

주요 대상

미국 연방 정부의 연방 위험 및 인증 관리 프로그램(FedRAMP) 요구사항이 적용되는 고객에게 Google Cloud는 FedRAMP 중간 수준 규정 준수를 지원합니다. 이 가이드는 보안 담당자, 규정 준수 담당자, IT 관리자, 그리고 Google Cloud에서 FedRAMP 중간 수준 구현 및 규정 준수를 담당하는 기타 직원을 대상으로 합니다. 이 가이드를 통해 Google이 FedRAMP 중간 수준 규정 준수를 지원하는 방식을 이해할 수 있습니다.

개요

클라우드 서비스와 관련된 FedRAMP 승인에는 두 가지 유형이 있습니다.

  • 합동인증위원회(JAB)를 통한 잠정적 운영 권한(P-ATO)
  • 기관 운영 권한(ATO)

P-ATO 절차

FedRAMP P-ATO는 JAB를 통한 CSP 승인 패키지의 초기 승인으로서 기관이 기관 내 클라우드 서비스 획득 및 사용에 대한 ATO를 부여하는 데 활용할 수 있습니다. JAB는 DOD, DHS, GSA의 최고정보책임자(CIO)로 구성되며 각 구성 조직의 지정된 기술 담당자(TR)의 지원을 받습니다. P-ATO는 JAB가 클라우드 서비스의 승인 패키지를 검토하고 연방 기관에서 클라우드 시스템에 ATO를 부여할 때 활용할 잠정적 승인을 제공했음을 의미합니다. 클라우드 서비스의 JAB 절차를 시작하려면 먼저 FedRAMP Connect에서 우선순위에 들어야 합니다.

기관 ATO 절차

기관 승인 절차의 일환으로 CSP가 클라우드 서비스의 보안 패키지를 검토하는 기관 후원자와 함께 직접 작업합니다. 보안 평가를 완료한 후 기관 책임자(또는 피지명자)가 ATO를 부여할 수 있습니다. 두 승인 방법에 대한 자세한 내용은 승인 받기 페이지를 참조하세요.

미국 연방 정부는 클라우드 제품 및 서비스의 보안 평가, 승인 및 지속적인 모니터링에 대한 표준화된 접근 방식을 제공하는 범정부 차원의 프로그램인 연방 위험 및 인증 관리 프로그램(FedRAMP)을 마련했습니다. 특정 온프레미스 프라이빗 클라우드를 제외한 모든 연방 정부 기관의 클라우드 배포와 서비스 모델은 적절한 위험 영향 수준(낮음, 중간, 높음)의 FedRAMP 요구사항을 충족해야 합니다.

Google은 FedRAMP 중간 수준 규정 준수 지원이 필요한 고객을 위해 Assured Workloads를 통해 서비스별 약관을 제공합니다. Google Cloud는 일반적인 온프레미스 보안팀 규모보다 큰 700명 이상으로 구성된 보안 엔지니어링팀의 감독 하에 개발되었습니다. Google이 고객의 데이터를 보호하는 방법과 관련된 조직적, 기술적 통제 수단에 관한 세부정보 등 보안 및 데이터 보호에 대한 Google의 구체적인 접근법은 Google 보안 백서Google 인프라 보안 설계 개요를 참조하세요.

Google은 보안 및 개인정보 보호 설계에 대한 접근법을 문서화할 뿐 아니라, 제3자 기관으로부터 정기적으로 독립 감사를 받아 고객에게 외부 검증 결과를 제공합니다. 이는 독립 감사 기관에서 Google의 데이터 센터, 인프라, 운영 환경에 적용되는 보안 관리 체계를 검토했음을 의미합니다. Google은 요청 시 NDA 작성 고객에게 승인된 FedRAMP 중간 수준 시스템 보안 계획(SSP)을 제공할 수 있습니다.

고객의 책임

고객의 중요한 책임 중 하나는 고객의 목적을 달성하는 데 Google의 FedRAMP 중간 수준 승인이면 충분한지 여부를 판단하는 것입니다.

Google은 위의 설명과 같이 FedRAMP 중간 수준 규제 대상 데이터의 저장 및 처리와 관련하여 규정에 맞는 안전한 인프라를 제공하지만, Google Cloud를 기반으로 고객이 개발하는 환경 및 애플리케이션을 FedRAMP 중간 수준 요구사항에 따라 적절히 구성하고 보안을 적용할 책임은 고객에게 있습니다. 이 방식을 클라우드의 공유 보안 모델이라고 합니다.

필수 권장사항

  • Google Cloud FedRAMP 약관에 동의합니다. FedRAMP 중간 수준 Assured Workloads를 배포할 때 기본적으로 이 과정을 거칩니다.
  • FedRAMP 중간 수준 규제 대상 데이터 관련 작업 시 Google의 FedRAMP 중간 수준 P-ATO에 명시적으로 포함되지 않는 Google Cloud 제품(대상 제품 참조)을 중지하거나 사용하지 않도록 기타 조치를 취합니다.
  • Google Cloud는 다음을 포함한 FedRAMP 고객 패키지를 통해 공유 보안 모델에 대한 안내를 고객에게 제공할 수 있습니다.
    • FedRAMP 중간 보안 제어 가이드
    • FedRAMP SSP 높음 기준 템플릿
    • FedRAMP SSP 중간 기준 템플릿
    • NIST 사이버 보안 프레임워크 가이드
  • 또한 Google Cloud의 FedRAMP 구현 가이드보안 모델 아키텍처에서 Google Cloud의 공유 보안을 위한 추가 권장사항을 제공합니다.

대상 제품

Google Cloud FedRAMP 중간 수준에는 Google Cloud의 전체 인프라(모든 리전, 모든 영역, 모든 네트워크 경로, 모든 접속 지점)와 범위 내 FedRAMP 중간 수준 제품이 포함됩니다.

고유 기능

Google Cloud는 보안 관행을 통해 클라우드만이 아닌 Google Cloud 전체 인프라에 대한 FedRAMP 중간 수준 ATO를 받고 있습니다. 따라서 고객이 확장성, 운영, 아키텍처와 관련된 혜택을 가진 특정 리전만 사용해야 하는 제한이 적용되지 않습니다. 또한 여러 리전 서비스 중복화에 따른 이점을 누리고 선점형 VM을 사용하여 비용을 절감할 수 있습니다.

FedRAMP 중간 수준 규정 준수를 지원하기 위한 보안 및 준법 조치는 Google의 인프라, 보안 설계, 제품에 깊이 뿌리내리고 있습니다. 따라서 FedRAMP 중간 수준의 규제를 받는 고객은 여타 고객과 동일한 제품을 동일한 가격으로 사용하면서 장기 사용 할인 혜택도 동일하게 받을 수 있습니다.

결론

Google Cloud는 고객이 기반 인프라에 신경 쓸 필요 없이 FedRAMP 중간 수준 규제 정보를 안전하게 저장하고 분석 및 통계 처리할 수 있는 클라우드 인프라입니다.

추가 리소스