미 국방정보시스템연구원(DISA) 잠정 승인

미 국방정보시스템연구원(DISA)은 미 국방부(DoD)의 클라우드 서비스 평가 및 승인을 관리합니다. DISA 클라우드 서비스 지원팀은Google Cloud에 DoD 영향 수준 5(IL5) 잠정 승인(PA)을 부여했습니다. IL5의 승인을 받으면 Google Cloud 전용 제품을 사용하여 통제 대상 비기밀 정보와 국가 보안 시스템(NSS) 정보를 처리하고 저장할 수 있습니다.

Google Cloud의 DISA IL2, IL4, IL5 PA에서 고객은 Assured Workloads 고급 또는 프리미엄 지원을 사용해야 합니다. Google Workspace의 DISA IL4 PA에서 고객은 Assured Controls 및 Assured Support를 사용해야 합니다. 구성 프로세스에 대한 자세한 내용은 영업팀에 문의하세요.

Google Cloud의 DISA IL 규정 준수

DISA는 DoD 클라우드 컴퓨팅 보안 요구사항 가이드(SRG)의 개발 및 유지관리를 담당하는 DoD의 기관입니다. 클라우드 컴퓨팅 SRG는 DoD에서 클라우드 서비스 제품(CSO)의 보안 상황을 평가하는 데 사용되는 기본 보안 요구사항을 정의하고 클라우드 서비스 제공업체(CSP)가 DoD 임무를 호스팅할 수 있도록 허용하는 DoD PA 부여 결정을 지원합니다. 이는 이전에 게시된 DoD 클라우드 보안 모델(CSM)을 통합, 대체, 취소하고 DoD 위험 관리 프레임워크(RMF)에 매핑합니다.

DISA는 DoD 기관 및 부서에서 CSO 사용을 계획하고 승인하도록 안내합니다. 또한 CSO가 SRG를 준수하는지 평가합니다. SRG는 CSP가 DoD 표준 준수를 설명하는 문서를 제공할 수 있는 승인 프로세스입니다. 필요한 경우 DoD PA를 발급하므로 DoD 기관과 지원 조직이 자체적으로 전체 승인 프로세스를 거치지 않고 클라우드 서비스를 사용할 수 있으므로 시간과 노력을 절약할 수 있습니다.

2022년 Google Cloud는 IL5 잠정적 권한을 부여받아 소프트웨어 정의 커뮤니티 클라우드에 대한 DISA 승인을 받은 최초의 하이퍼스케일러 중 하나가 되었습니다. 소프트웨어 정의 격리 접근 방식은 리전 배포, 확장성 및 비용 측면에서 기존 정부 클라우드보다 더 높은 유연성을 의미합니다.

ILx 패키지 요청 DoD ILx 패키지는 DoD 관련 추가 제어 기능이 포함된 FedRAMP 높음 패키지를 기반으로 합니다. ILx 패키지는 Google에서 공유할 권한이 없으며 DISA에서 다른 당사자에 제공해야 합니다. 정부 기관이 FedRAMP P-ATO 패키지에서 다루는 내용보다 DoD PA 패키지에 대한 세부정보를 찾는 경우 클라우드 평가 부서(DISA Ft Meade RE Mailbox Cloud팀: disa.meade.re.mbx.cloud-team@mail.mil)에 문의할 수 있습니다.

Google Cloud 및 IL2

IL2 데이터에는 공개를 위해 삭제되는 모든 데이터인 비통제 비기밀 정보와, 통제 대상 비기밀 정보(CUI)로 지정되지 않은 일부 기밀성이 낮은 비기밀 정보가 포함됩니다. 이 영향 수준은 CNSSI 1253 국가 보안 시스템을 위한 보안 분류 지정 및 제어 선택에 따른 비CUI 분류를 낮은 기밀성 및 중간 무결성(L-M-x)까지 충족해야 합니다.

상업용 클라우드 컴퓨팅 서비스의 인수 및 사용에 대한 업데이트된 안내에 관한 2014년 12월 15일 DoD CIO 메모에는 "FedRAMP는 모든 DoD 클라우드 서비스의 최소 보안 기준이 된다"라고 명시되어 있습니다. SRG는 모든 정보 IL로 FedRAMP 중간 기준을 사용하며 일부의 경우 상위 기준을 고려합니다.

클라우드 컴퓨팅 SRGFedRAMP 보안 제어의 DoD 사용 섹션 5.1.1에서는 FedRAMP 중위 또는 상위 잠정적 운영 권한을 최소한으로 유지하는 CSO에서 IL2 정보가 호스팅될 수 있다고 설명합니다. FedRAMP 중위 또는 상위 기준 제어만 DoD IL2 PA에 대해 평가됩니다. IL2 PA의 경우 DoD는 FedRAMP의 합동인증위원회(JAB)에서 발급한 FedRAMP 중위 또는 상위 잠정적 운영 권한(P-ATO)과의 완전한 상호성을 허용합니다. Google Cloud의 FedRAMP 규정 준수에 대한 자세한 내용은 FedRAMP 페이지를 참조하세요. 

Google Cloud에서 IL4 또는 IL5 워크로드 호스팅

IL4 및 IL5 워크로드는 Assured Workloads를 통해 배포할 수 있으므로 강화된 데이터 상주 및 지원 요구사항을 충족하는 보안 제어가 가능합니다. 또한 Assured Workloads는 대규모 조직이 규정을 준수하는 데 도움이 되는 개발자 가드레일을 적용합니다. 

IL4 또는 IL5 승인 서비스를 선택하면 Google의 Professional Services Organization과 직접 소통할 때 서비스별 구성 가이드를 통해 솔루션을 구성할 수 있습니다. 또한 Google은 고객에게 Terraform 코드가 포함된 IL4 스프링보드 배포 가이드를 제공합니다.

IL4 및 IL5 환경에서 Google Cloud를 사용하여 솔루션을 배포하려는 고객은 Assured Workloads를 사용해야 합니다. Assured Workloads를 사용하는 고객은 민감한 워크로드를 안심하고 보호 및 구성하여 Google Cloud 서비스를 통해 규정 준수 및 보안 요구사항을 충족할 수 있습니다. Assured Workloads는 퍼블릭 클라우드 데이터 센터와 별개의 물리적 인프라에 의존하지 않습니다. 대신 비용, 속도, 혁신적 이점을 제공하는 소프트웨어 정의 커뮤니티 클라우드를 제공합니다. 

Assured Workloads를 통해 제공되는 IL4 및 IL5 승인 서비스는 IL4 및 IL5 보안 제어를 구현하고 고객이 Google Cloud의 기능을 사용하여 조직의 니즈를 충족하도록 지원합니다. 또한 Assured Workloads는 Assured Workloads 모니터링을 통해 IL4 및 IL5 워크로드의 규정 준수 상태에 대한 가시성을 제공합니다. 이 도구를 사용하면 규정 준수 위반을 찾아 해결할 수 있으며 규정 준수 상태 감사 기관에 제어 증명을 제공할 수 있습니다.

Assured Workloads는 Google Cloud 인프라 IL5 잠정적 권한에서 충족하는 제어 외에도 IL4 및 IL5 정부 데이터를 처리하는 고객을 위해 다음과 같은 주요 IL4 및 IL5 제어 기능을 기본적으로 구현합니다. 

  1. IL4 및 IL5 고객 데이터 위치를 미국으로 제한하는 가드레일을 설정합니다.
  2. 기술 지원 담당자를 미국 내 IL4 및 IL5 심사 직원으로 제한합니다.
  3. FIPS-140-2를 준수하는 저장 데이터 및 전송 중 데이터의 암호화 사용을 적용합니다.
  4. 고객 데이터에 정기적으로 액세스하는 직원에 대해 IL4 및 IL5 필수 직원 액세스 제어를 구현합니다.
  5. 개발자가 IL4 및 IL5 규정 준수 제품 및 서비스만 사용하도록 제한합니다.
  6. IL4 및 IL5 요구사항을 충족하기 위한 범위 내 규정 준수 경계를 논리적으로 세분화합니다.

Google Workspace 및 IL4

Google Workspace Enterprise Plus 버전은 미 국방부(DOD)의 영향 수준 4 승인을 획득했습니다. 생산성 및 공동작업 솔루션을 위해 Google Workspace를 배포하려는 고객은 조직이 클라우드 서비스 제공업체 액세스를 정밀하게 제어할 수 있게 해주는 부가기능 제품 기능인 Assured Controls를 사용해야 합니다.

Assured Controls가 포함된 Google Workspace Enterprise Plus에는 DoD 고객이 IL4 규정 준수를 달성하고 자체 운영 권한(ATO)을 발급할 수 있도록 보안 제어 및 기능 집합이 내장되어 있습니다. IL4 규정 준수를 지원하는 주요 Google Workspace 기능은 다음과 같습니다.

  • 데이터 리전을 사용하여 미국 리전으로만 데이터를 제한하는 기능
  • Google 직원의 지원 작업을 Assured Controls 액세스 관리를 사용하는 미국인 직원으로만 제한하는 기능
  • 민감한 정보의 암호화 요구사항을 충족하기 위해 저장 데이터 및 전송 중 데이터의 고급 암호화. Google Workspace 암호화 자료에서 자세히 알아보세요.
  • 도메인에 영향을 주는 보안 문제에 대한 고급 보안 정보 및 분석 자료를 제공하는 Google Workspace 보안 센터 

미 국방부 고객은 eMASS 또는 해당 DISA 담당자를 통해 Google Workspace IL4 문서를 요청할 수 있습니다. Google Workspace에서는 이 문서를 고객에게 직접 제공할 수 없습니다.

대상 서비스 범위

Calendar

Docs

Drive

Forms

Gmail

Google Chat(Google Drive 봇, Meet 봇 포함)

Google Meet

Sheets

Slides

고객은 구현 가이드라인을 참조하여 IL4에 대해 승인된 Workspace 서비스 목록을 확인할 수 있습니다. 

FAQ

정부 워크로드에 Google Cloud를 사용할 때의 이점 중 하나는 Google의 기본 인프라와 Assured Workloads에서 이미 여러 가지 필수 제어 기능을 처리하고 있다는 것입니다. 따라서 승인을 위해 IL4 또는 IL5 패키지를 제출할 때 Google에서 관리하는 제어 기능을 설명하는 Google의 SSP도 포함됩니다. 영업팀에 문의하여 Google Cloud SSP 사본을 요청하세요(NDA 필요).

Google Cloud에서 고객은 승인된 제품에 이미 존재하는 암호화 기능을 저장 데이터와 사용 중 데이터 모두에 활용할 수 있으며, 대부분의 경우 별도의 조치를 취하지 않아도 됩니다. Google Cloud의 스토리지 시스템과 네트워크 모두 IL4 및 IL5 PA를 지원하므로 Google Cloud 고객이 관리해야 하는 책임이 줄어듭니다.

승인된 시스템에 저장된 저장 데이터는 FIPS 140-2 인증 라이브러리(즉, 인증서 #3678, #3383, #3384)를 사용하여 자동으로 암호화됩니다. 이 시스템에서 사용되는 암호화 키도 NIST 800-57에 따라 저장 및 보호되며 Google의 독점 KMS 시스템 내부에 안전하게 보호됩니다. 고객은 Cloud KMS를 통해 이 시스템을 제어할 수 있습니다.

Google Cloud VPC 내 데이터 전송도 IL4 및 IL5에서 승인되며 암호화, 인증, 승인으로 자동 보호됩니다. VPC 내 연결에 대한 추가 조치는 필요하지 않습니다. Google API 연결은 트래픽 암호화에 TLS 1.2 이상을 활용합니다. 고객이 제어하는 리소스(예: Cloud 부하 분산기 또는 Cloud VPN)를 검토하는 환경 내부 및 외부(레이어 3 또는 7)의 기타 연결에 대한 책임은 고객 본인에게 있습니다.

Google은 상업용 퍼블릭 클라우드 제품 부문에서 IL4 및 IL5를 달성한 최초의 하이퍼스케일 상업용 클라우드 제공업체 중 하나이며, IL4 및 IL5 서비스를 가장 큰 규모로 제공하는 업체 중 하나입니다.

다음 단계 수행

$300의 무료 크레딧과 20여 개의 항상 무료 제품으로 Google Cloud에서 빌드하세요.

Google Cloud
  • ‪English‬
  • ‪Deutsch‬
  • ‪Español‬
  • ‪Español (Latinoamérica)‬
  • ‪Français‬
  • ‪Indonesia‬
  • ‪Italiano‬
  • ‪Português (Brasil)‬
  • ‪简体中文‬
  • ‪繁體中文‬
  • ‪日本語‬
  • ‪한국어‬
콘솔
Google Cloud