미국 국방연방조달규정(DFARS)
미국 국방연방조달규정(DFARS)은 국방부(DoD)와 계약을 체결하는 기업에 요구되는 일련의 규정입니다.
미국 국방부 계약업체 및 방위 산업 기반(DIB) 고객은 적절한 보안을 위해 관련 DFARS 조항 요구사항을 준수해야 합니다. 이러한 고객은 Google Cloud와 Google Workspace를 사용하여 정의된 FedRAMP 중간 및 FedRAMP 높음 서비스를 사용하여 클라우드 서비스 제공업체(CSP) 관련 DFARS 252.239-7010 및 252.204-7012 조항을 준수할 수 있습니다.
DFARS 252.239-7010 준수
DoD를 대신하여 클라우드 솔루션을 사용하여 데이터를 처리하거나 DoD가 클라우드에서 데이터를 호스팅하거나 처리하기 위해 CSP와 계약하는 경우, 방위 계약업체는 DFARS 252.239-7010, 클라우드 컴퓨팅 서비스 규정을 준수해야 합니다. 클라우드 서비스 제공업체는 DFARS 252.239-7010에 따라 DoD 클라우드 컴퓨팅 보안 요구사항 가이드를 준수해야 합니다.
Google Cloud 및 Google Workspace는 IL2, IL4, IL5 수준에서 승인된 Google Cloud 서비스와 IL2, IL4, IL5에서 승인된 Google Workspace 서비스와 함께 고객이 DoD 클라우드 컴퓨팅 보안 요구사항 가이드를 준수하도록 지원할 수 있습니다. DISA 규정 준수 페이지를 방문하여 지원되는 서비스를 자세히 알아보세요.
DFARS 252.204-7012 준수
적용 대상 국방 정보(CDI)를 처리, 저장 또는 전송하는 정보 시스템을 보유한 방위 계약업체는 NIST SP 800-171, 사이버 이유 보고 의무, 클라우드 서비스 제공업체의 기타 고려 사항에 따라, 통제 대상 비기밀 정보(CUI)의 보호 요건을 명시하는 DFARS 252.204-7012 조항을 준수해야 합니다.
Google Cloud 및 Google Workspace에서 DFARS 지원
고객은 Google Cloud와 Google Workspace를 사용하여 정의된 FedRAMP 중간 및 FedRAMP 높음 제어를 사용하여 CSP 관련 DFARS 252.239-7010 및 252.204-7012 조항을 준수할 수 있습니다.
Google Cloud 및 Google Workspace는 정의된 서비스에 대해 FedRAMP 중위 및 FedRAMP 상위 운영 권한(ATO)을 모두 유지합니다. 모든 FedRAMP 중위 및 FedRAMP 상위 서비스는 NIST 800-171을 준수합니다. 고객은 FedRAMP 규정 준수를 지원하도록 시스템을 구성할 때 Google의 FedRAMP 시스템 보안 계획의 일부인 FedRAMP 고객 책임 매트릭스(CRM)를 사용해야 합니다. Google 영업팀 또는 Google Cloud 담당자가 관련 문서에 액세스할 수 있도록 도움을 드릴 수 있습니다.
모든 FedRAMP 서비스에서 Google은 FedRAMP ATO의 일부로 승인된 Google FedRAMP 시스템 보안 계획(SSP)의 일부인 FedRAMP 이슈 대응 계획(IRP)을 따릅니다. 이슈 대응 표준 절차에 따라, Google은 조사의 일환으로 완료된 모든 관련 악성 소프트웨어, 미디어, 포렌식 분석 및 피해 평가를 보존하고 보호합니다.
미국 내에서만 데이터를 저장해야 하는 고객은 FedRAMP 높음 서비스(Assured Workloads 또는 Assured Controls로 구성됨)와 FedRAMP CRM을 활용해야 합니다. 이렇게 하면 미국 내 Google 데이터 센터 리전에 데이터가 저장됩니다. 고객은 고객 데이터의 데이터 상주를 보장하기 위해 IL2, IL4, IL5용 Google 솔루션을 사용할 수도 있습니다.
Google을 통한 DFARS 252.204-7012 준수
DoD 계약업체 및 DIB 고객은 Google Cloud 및 Google Workspace를 사용하여 DFARS 252.204-7012의 요구사항을 충족할 수 있습니다. 이러한 조직은 Assured Workloads 또는 Assured Controls를 사용 설정하여 Google Cloud 환경 내에서 규정을 준수하는 경계 또는 시스템 엔클레이브를 쉽게 만들 수 있습니다. 아래에 설명된 바와 같이 Google은 FedRAMP 중간 및 FedRAMP 높음 서비스의 CSP와 관련된 DFARS 252.204-7012 플로우다운 요구사항을 수락하기 위해 최선을 다하고 있습니다.
고객은 소프트웨어 정의 경계 내에 배포할 경우 FedRAMP 중간 또는 FedRAMP 높음 규제 제어 패키지를 선택해야 합니다. 위에서 언급했듯이 고객은 FedRAMP 규정 준수를 지원하도록 시스템을 구성할 때 Google의 FedRAMP SSP의 일부인 FedRAMP CRM을 사용해야 합니다.
Google Workspace 고객은 DFARS 252.204-7012를 준수하는 범위 내에서 FedRAMP 중간 또는 FedRAMP 높음 서비스만 사용하도록 해야 합니다. 필요한 경우 고객은 아직 FedRAMP 승인을 받지 않은 서비스를 사용 중지할 수 있습니다. Google에서는 고객이 Google Workspace FedRAMP 구성 가이드에 따라 DFARS 252.204-7012 규정 준수를 지원할 것을 권장합니다. 데이터 위치 및 Assured Controls가 DFARS 252.204-7012를 준수하는 데 명시적으로 필요하지는 않지만, 보다 제한적인 요구사항이 있는 고객을 위한 추가 기능으로 고려할 수 있습니다.
DFARS 7012 조항 요구사항에 따른 Google Cloud 및 Google Workspace 약정
DFARS 7012 조항 요구사항 | Google Cloud 및 Google Workspace 약정 |
(b) 적절한 보안 제공과 관련된 요구사항 | Google Cloud 및 Google Workspace는 적용되는 서비스에 대해 FedRAMP 중간 및 FedRAMP 높음 ATO를 모두 유지합니다. 모든 FedRAMP 중간 및 FedRAMP 높음 서비스는 NIST 800-171을 준수합니다. 고객은 FedRAMP 규정 준수를 지원하도록 시스템을 구성할 때 Google의 FedRAMP SSP의 일부인 FedRAMP CRM을 사용해야 합니다. 고객은 Google Cloud 영업 전문가에게 FedRAMP SSP 및 CRM을 요청할 수 있습니다. |
c) 사이버 이슈 보고 요구사항 | Google은 FedRAMP 책임 및 계약 의무에 따라 데이터 이슈를 보고합니다. Google의 Cloud 데이터 처리 약관에는 '데이터 이슈 알림'을 비롯한 데이터 보안(7항, 데이터 보안) 관련 항이 포함되어 있습니다. 여기에는 Google이 데이터 이슈를 인지한 후 신속하게 지체 없이 즉시 고객에게 알릴 것이라고 명시되어 있습니다(7.2.1항). Google의 통지에는 영향을 받는 고객 리소스를 포함한 이슈의 본질, 이슈를 해결하고 잠재적 위험을 완화하기 위해 Google이 취했거나 취할 계획인 조치, 이슈를 해결하기 위해 Google에서 고객에게 권장하는 조치(있는 경우), 자세한 정보를 얻을 수 있는 연락처의 세부정보가 설명되어 있습니다(7.2.2항). Google에서는 데이터 이슈를 조사하고 식별하기 위한 목적으로 고객 데이터를 평가하지 않습니다. 하지만 고객의 요청에 따라 Google은 고객이 관련 법규에 따른 보안 및 개인 정보 유출 관련 의무를 준수하도록 돕기 위해 합당한 협력과 지원을 추가로 제공할 수 있습니다. Google은 72시간 이내에 적절하게 구성된 데이터 이슈의 Assured Workloads 및 Assured Controls를 사용하여 DFARS 범위에 속하는 영향을 받는 고객에게 즉시 알리기 위해 최선을 다합니다. 이슈 대응에 대한 Google의 접근 방식을 자세히 알아보려면 데이터 이슈 대응 절차를 참조하세요. |
(d) 악성 소프트웨어 | Google 또는 고객이 DFARS의 범위에 속하는 Google Cloud 또는 Google Workspace 고객에게 연결된 악성 소프트웨어를 식별하는 경우, Google은 고객과 협력하여 필요에 따라 DoD 사이버 범죄 센터(DC3)에 악성 소프트웨어를 제출합니다. Google의 인프라는 악성 코드의 배포를 방지하고, 개인이 환경에 일방적으로 영향을 미치지 못하도록 하며, Google의 모든 서비스에 걸쳐 일관된 제어를 시행하는 데 도움이 되는 보안 조치로 설계되었습니다. |
(e) 미디어 보존 및 보호 | 데이터 이슈가 발생하는 경우 사고 관리팀은 Google FedRAMP IRP 프로토콜을 따라 표준 사고 조사 프로세스의 일부로 데이터 수집 및 보존을 보장합니다. 이 프로세스에서 Google은 이슈 대응에 필요하다고 판단되는 경우 물리적 시스템, 가상 시스템 또는 물리적 매체를 보호하고 유지합니다. 모든 모니터링 또는 패킷 캡처 데이터를 수집하고 저장할 책임은 고객에게 있습니다. Google Cloud 및 Google Workspace 고객은 Cloud Logging을 사용하여 고객 감사 로그 데이터를 최소 6개월(또는 DFARS 252.204-7012 의무를 충족하기 위해 최소 90일) 동안 보관하는 것이 좋습니다. 고객은 Google Cloud 영업 전문가에게 FedRAMP SSP 및 CRM(IRP 포함)을 요청할 수 있습니다. |
(f) 포렌식 분석에 필요한 추가 정보 또는 장비에 대한 액세스 | 고객의 요청에 따라 Google은 고객이 관련 법규에 따른 보안 및 개인 정보 유출 관련 의무를 준수하도록 돕기 위해 합당한 협력과 지원을 추가로 제공할 수 있습니다. |
(g) 사이버 이슈 피해 평가 활동 | Google은 FedRAMP IRP의 일환으로 알려진 이슈로 인한 피해 범위를 평가합니다. 이 정보는 DoD 손해 평가의 일환으로 요청 시 제공됩니다. |
DFARS 7012 조항 요구사항
Google Cloud 및 Google Workspace 약정
(b) 적절한 보안 제공과 관련된 요구사항
Google Cloud 및 Google Workspace는 적용되는 서비스에 대해 FedRAMP 중간 및 FedRAMP 높음 ATO를 모두 유지합니다. 모든 FedRAMP 중간 및 FedRAMP 높음 서비스는 NIST 800-171을 준수합니다.
고객은 FedRAMP 규정 준수를 지원하도록 시스템을 구성할 때 Google의 FedRAMP SSP의 일부인 FedRAMP CRM을 사용해야 합니다. 고객은 Google Cloud 영업 전문가에게 FedRAMP SSP 및 CRM을 요청할 수 있습니다.
c) 사이버 이슈 보고 요구사항
Google은 FedRAMP 책임 및 계약 의무에 따라 데이터 이슈를 보고합니다.
Google의 Cloud 데이터 처리 약관에는 '데이터 이슈 알림'을 비롯한 데이터 보안(7항, 데이터 보안) 관련 항이 포함되어 있습니다. 여기에는 Google이 데이터 이슈를 인지한 후 신속하게 지체 없이 즉시 고객에게 알릴 것이라고 명시되어 있습니다(7.2.1항). Google의 통지에는 영향을 받는 고객 리소스를 포함한 이슈의 본질, 이슈를 해결하고 잠재적 위험을 완화하기 위해 Google이 취했거나 취할 계획인 조치, 이슈를 해결하기 위해 Google에서 고객에게 권장하는 조치(있는 경우), 자세한 정보를 얻을 수 있는 연락처의 세부정보가 설명되어 있습니다(7.2.2항).
Google에서는 데이터 이슈를 조사하고 식별하기 위한 목적으로 고객 데이터를 평가하지 않습니다. 하지만 고객의 요청에 따라 Google은 고객이 관련 법규에 따른 보안 및 개인 정보 유출 관련 의무를 준수하도록 돕기 위해 합당한 협력과 지원을 추가로 제공할 수 있습니다.
Google은 72시간 이내에 적절하게 구성된 데이터 이슈의 Assured Workloads 및 Assured Controls를 사용하여 DFARS 범위에 속하는 영향을 받는 고객에게 즉시 알리기 위해 최선을 다합니다.
이슈 대응에 대한 Google의 접근 방식을 자세히 알아보려면 데이터 이슈 대응 절차를 참조하세요.
(d) 악성 소프트웨어
Google 또는 고객이 DFARS의 범위에 속하는 Google Cloud 또는 Google Workspace 고객에게 연결된 악성 소프트웨어를 식별하는 경우, Google은 고객과 협력하여 필요에 따라 DoD 사이버 범죄 센터(DC3)에 악성 소프트웨어를 제출합니다.
Google의 인프라는 악성 코드의 배포를 방지하고, 개인이 환경에 일방적으로 영향을 미치지 못하도록 하며, Google의 모든 서비스에 걸쳐 일관된 제어를 시행하는 데 도움이 되는 보안 조치로 설계되었습니다.
(e) 미디어 보존 및 보호
데이터 이슈가 발생하는 경우 사고 관리팀은 Google FedRAMP IRP 프로토콜을 따라 표준 사고 조사 프로세스의 일부로 데이터 수집 및 보존을 보장합니다. 이 프로세스에서 Google은 이슈 대응에 필요하다고 판단되는 경우 물리적 시스템, 가상 시스템 또는 물리적 매체를 보호하고 유지합니다. 모든 모니터링 또는 패킷 캡처 데이터를 수집하고 저장할 책임은 고객에게 있습니다.
Google Cloud 및 Google Workspace 고객은 Cloud Logging을 사용하여 고객 감사 로그 데이터를 최소 6개월(또는 DFARS 252.204-7012 의무를 충족하기 위해 최소 90일) 동안 보관하는 것이 좋습니다. 고객은 Google Cloud 영업 전문가에게 FedRAMP SSP 및 CRM(IRP 포함)을 요청할 수 있습니다.
(f) 포렌식 분석에 필요한 추가 정보 또는 장비에 대한 액세스
고객의 요청에 따라 Google은 고객이 관련 법규에 따른 보안 및 개인 정보 유출 관련 의무를 준수하도록 돕기 위해 합당한 협력과 지원을 추가로 제공할 수 있습니다.
(g) 사이버 이슈 피해 평가 활동
Google은 FedRAMP IRP의 일환으로 알려진 이슈로 인한 피해 범위를 평가합니다. 이 정보는 DoD 손해 평가의 일환으로 요청 시 제공됩니다.
위에서 설명한 바와 같이, FedRAMP 승인이 적용되는 Google 제품은 방산업체가 DFARS 252.204-7012에 따른 의무를 이행할 수 있도록 CSP에 적용되는 DFARS 252.204-7012 요구사항에 부합합니다.
보안 권장사항 알아보기
권장사항 보기일반적인 문제 해결
보안 사용 사례 동영상 보기파트너 지원
보안 파트너 보기
