Google Cloud FedRAMP 구현 가이드

GCP에 대한 FedRAMP를 준수하는 정책 및 제어 설정
2020년 3월

주요 대상

연방 위험 및 인증 관리 프로그램(FedRAMP) 요건을 준수해야 하는 고객을 위해 Google Cloud Platform은 FedRAMP 규정 준수를 지원합니다. 이 가이드는 보안 담당자, 규정 준수 담당자, IT 관리자, 그리고 Google Cloud Platform에서 FedRAMP 구현 및 규정 준수를 담당하는 기타 직원을 대상으로 합니다. 이 가이드는 Google에서 FedRAMP 규정 준수를 지원할 수 있는 방법 및 FedRAMP에 따른 책임을 충족하기 위해 구성하는 Google Cloud 도구, 제품, 서비스를 이해하는 데 도움이 됩니다.

개요

Google Cloud Platform은 FedRAMP 규정 준수를 지원하며, Google 보안 백서Google 인프라 보안 설계 개요를 통해 보안 및 데이터 보호에 대한 구체적인 접근법을 제공합니다. Google은 규정을 준수하는 안전한 클라우드 인프라를 제공하지만, 자체 FedRAMP 규정 준수를 평가하고 Google Cloud Platform을 기반으로 빌드하는 환경과 애플리케이션을 FedRAMP 요구사항에 따라 올바르게 구성하고 보호할 책임은 고객에게 있습니다.

이 문서는 FedRAMP 운영 권한(ATO) 단계를 간략히 설명하고, Google Cloud 공유 책임 모델을 설명하고, 고객별 책임을 강조하며, Google Cloud Platform에서 이러한 요구사항 및 가이드라인을 충족하는 방법을 제안합니다.

FedRAMP

연방 위험 및 인증 관리 프로그램(FedRAMP)FISMA(Federal Information System Act)가 클라우드 컴퓨팅에 적용되는 방식을 표준화한 범정부 차원의 프로그램입니다. 클라우드 기반 서비스의 보안 평가, 승인, 지속적인 모니터링에 반복 가능한 접근 방식을 확립합니다.

FedRAMP의 표준과 가이드라인을 통해 클라우드에서 민감하고 업무에 필수적이고 중요한 데이터를 보호하여 사이버 보안 취약점을 신속하게 감지할 수 있습니다.

개략적으로 FedRAMP는 다음을 목표로 합니다.

  • 정부 기관에서 사용하는 클라우드 서비스와 시스템에 적절한 보호 장치가 마련되어 있는지 확인합니다.

  • 중복되는 작업을 삭제하고 위험 관리 비용을 절감합니다.

  • 정부 기관이 빠르고 효율적으로 정보 시스템 및 서비스를 조달할 수 있도록 지원합니다.

연방 정부 기관은 FedRAMP에 따라 다음을 수행해야 합니다.

  • 정부 데이터를 처리, 전송, 저장하는 모든 클라우드 시스템이 FedRAMP 보안 제어 기준을 사용하는지 확인합니다.

  • FISMA에 따라 보안을 승인할 때 보안 평가 프레임워크를 사용합니다.

  • 클라우드 서비스 제공업체(CSP)와의 계약을 통해 FedRAMP 요구사항을 적용합니다.

운영 권한(ATO)

FedRAMP 인증 프로세스의 성공적인 구현 및 실행은 클라우드의 운영 권한(ATO)으로 끝이 납니다. FedRAMP ATO에는 P-ATO 및 대행사 ATO의 두 가지 경로가 있습니다.

P-ATO(잠정적 운영 권한)는 FedRAMP의 합동인증위원회(JAB)에서 부여합니다. JAB는 DHS, GSA 및 DoD의 CIO로 구성되어 있습니다. 여기서는 기본 FedRAMP 보안 제어를 정의하고 타사 평가 조직(3PAO)에 대한 FedRAMP 인증 기준을 수립합니다. 조직 및 대행사는 정보 시스템 보안 패키지를 JAB에서 처리하도록 요청하고, JAB는 이후 클라우드 서비스를 사용하도록 P-ATO를 실행합니다.

대행사 ATO를 통해 내부 조직 또는 대행사는 정보 시스템 보안 패키지의 위험 검토를 수행할 승인 관리자(AO)를 지정합니다. AO는 3PAO 또는 비공인 독립 평가자(IA)가 정보 시스템 보안 패키지 검토에 참여하도록 유도할 수 있습니다. AO와 이후에 대행사 또는 조직은 정보 시스템의 클라우드 서비스 사용을 승인합니다. 보안 패키지는 검토를 위해 FedRAMP Program Management Office(PMO)에도 추가로 전송됩니다. GSA가 FedRAMP의 PMO입니다. PMO는 검토 후 다른 대행사 및 조직에서 사용할 보안 패키지를 게시했습니다.

보안 평가 프레임워크

대행사 및 조직의 승인 관리자(AO)는 FedRAMP 보안 평가 프레임워크(SAF)를 내부 승인 프로세스에 통합하여 클라우드 서비스 사용에 대한 FedRAMP 요구사항을 충족하는지 확인해야 합니다. SAF는 다음 네 가지 단계로 구현됩니다.

보안 평가 단계

1단계: 문서화

조직 또는 대행사는 기밀성, 무결성 및 가용성에 대한 FIPS PUB 199 보안 목표에 따라 정보 시스템을 낮음, 중간, 높음 영향 시스템으로 분류합니다.

시스템의 FIPS 분류에 따라 조직 또는 대행사는 FIPS 199 분류 수준(낮음, 중간, 높음)과 연결되는 FedRAMP 보안 제어 기준을 선택해야 합니다.

그런 다음 정보 시스템 소유자는 각 제어 기준에 포착된 보안 제어를 구현해야 합니다. 제어를 충족할 수 없거나 구현할 수 없는 이유에 대한 대체 구현과 근거도 허용됩니다.

시스템 보안 계획(SSP)에서 보안 제어 구현의 세부정보를 정확히 담아내야 합니다. 시스템 소유자는 FedRAMP 규정 준수 수준(낮음, 중간, 높음)에 따라 SSP 템플릿을 선택해야 합니다.

SSP는 보안 승인 경계를 설명하고, 시스템 구현이 각 FedRAMP 보안 제어를 처리하는 방법을 설명하며, 시스템 역할과 책임을 간략히 설명하고, 예상되는 시스템 사용자 동작을 정의하고, 시스템 설계 방식과 지원 인프라를 보여줍니다.

FedRAMP 승인 검토 템플릿을 사용하여 ATO 진행 상황을 추적합니다.

구현 단계에 대한 자세한 내용은 FedRAMP의 대행사 승인 프로세스를 참조하세요.

클라우드 책임 모델

기존의 인프라 기술(IT)에서는 시스템 및 서비스를 빌드하도록 조직 및 대행사가 물리적 데이터 센터나 코로케이션 공간, 물리적 서버, 네트워킹 장비, 소프트웨어, 라이선스 및 기타 기기를 구매해야 했습니다. 클라우드 서비스 제공업체는 클라우드 컴퓨팅을 통해 물리적 하드웨어, 데이터 센터, 글로벌 네트워킹에 투자하고, 고객이 사용할 수 있도록 가상 장비, 도구, 서비스도 제공합니다.

클라우드 컴퓨팅 모델에는 Infrastructure as a Service(IaaS), Platform as a Service(PaaS), Software as a Service(SaaS)의 3가지 모델이 있습니다.

IaaS 모델에서 CSP는 클라우드에서 기본적으로 가상 데이터 센터를 제공하며 서버, 네트워크, 스토리지와 같은 가상화된 컴퓨팅 인프라를 제공합니다. CSP는 이러한 리소스에 대한 물리적 장비 및 데이터 센터를 관리하지만, 가상 인프라에서 실행되는 플랫폼 또는 애플리케이션 리소스를 구성 및 보호할 책임은 고객에게 있습니다.

PaaS 모델에서 CSP는 인프라 및 가상화 레이어를 제공하고 관리할 수 있을 뿐만 아니라 고객에게 소프트웨어, 애플리케이션, 웹 서비스를 만들기 위해 사전 개발되고 사전 구성된 플랫폼을 제공합니다. PaaS를 사용하면 개발자가 기본 하드웨어의 보안 및 구성에 대해 걱정할 필요 없이 애플리케이션과 미들웨어를 쉽게 만들 수 있습니다.

SaaS 모델에서 CSP는 모든 물리적 및 가상 인프라와 플랫폼 레이어를 관리하는 동시에 고객이 사용할 클라우드 기반 애플리케이션과 서비스를 제공합니다. 웹브라우저에서 직접 실행하거나 웹사이트로 이동하여 실행하는 인터넷 애플리케이션은 SaaS 애플리케이션입니다. 이 모델을 사용하는 조직 및 대행사는 애플리케이션 설치, 업데이트, 지원에 대해 걱정할 필요 없이 시스템 및 데이터 액세스 정책을 관리할 수 있습니다.

아래 그림은 온프렘 및 클라우드 컴퓨팅 모델 전반에서 CSP의 책임과 고객의 책임을 보여줍니다.

FedRAMP 책임

클라우드 IT 스택은 물리적 인프라 레이어, 클라우드 인프라 레이어, 클라우드 플랫폼 레이어, 클라우드 소프트웨어 레이어 등 4개의 레이어를 기준으로 볼 수 있습니다.

클라우드 IT 스택 레이어 구조

FedRAMP ATO와 관련하여 클라우드 IT 스택의 각 계층은 독립적인 제어 경계로 간주되며 각 제어 경계에는 별도의 ATO가 필요합니다. 즉, Google Cloud Platform의 FedRAMP 규정 준수가 있고 FedRAMP가 적용되는 수십 개의 Google Cloud 서비스가 있더라도 고객은 클라우드 시스템 및 워크로드가 FedRAMP 준수 자격을 얻으려면 FedRAMP 보안 기준 제어 및 SAF 프로세스를 구현해야 합니다.

낮음, 중간, 높음 규정 준수 기준에 따라 FedRAMP 보안 제어에는 정보 시스템에 의해 구현된 제어와 조직에서 구현하는 제어의 두 가지 유형이 있습니다. 조직 및 대행사는 Google Cloud에서 FedRAMP 규정 준수 시스템을 빌드하면 Google에서 FedRAMP 인증에 따라 충족하는 물리적 인프라 보안 제어를 상속하게 됩니다. 또한 Google의 FedRAMP 규정 준수 제품 및 서비스로 만든 모든 물리적 인프라, IaaS, PaaS 보안 제어와 Google Workspace를 사용할 때의 모든 SaaS 제어를 상속합니다. 그러나 고객은 FedRAMP 보안 제어 기준에 정의된 대로 IaaS, PaaS, SaaS 수준에서 다른 모든 보안 제어 및 구성을 구현해야 합니다.

Google Cloud에서 제공하는 보안 제어를 활용하려면 JAB의 Google ATO 패키지 사본을 요청하고 패키지에 조직 또는 대행사의 보안 평가 서류를 포함합니다. 또한 FedRAMP 규정 준수에 대한 Google의 증명서를 포함합니다.

FedRAMP 구현 권장사항

앞서 언급했듯이 고객은 클라우드 서비스 제공업체로부터 일부 보안 제어를 상속하지만 나머지는 고객이 구체적으로 구성해야 합니다. 고객이 구성해야 하는 많은 보안 제어는 대행사 및 조직이 제어를 준수하기 위해 조직에서 정의한 정책, 규칙, 규정을 만들어야 합니다. 이 섹션에서는 고객이 조직에서 정의한 정책을 GCP 도구, 서비스, 권장사항에 사용하여 클라우드에서 NIST 800-53 보안 제어를 구현하는 데 도움이 되는 방법을 제공합니다.

참고: 이 섹션에 나열된 서비스 중 별표(*)가 붙은 것은 현재 FedRAMP에서 다루지 않으며, + 표시가 있는 서비스는 기본 제공 Google Cloud 서비스가 아닙니다.

액세스 제어

Google Cloud에서 액세스 제어를 관리하려면 클라우드에서 정보 시스템 계정을 관리할 조직 관리자를 정의합니다. Cloud ID, 관리 콘솔 또는 기타 ID 공급업체(예: Active Directory, LDAP)를 사용해 이러한 관리자를 액세스 제어 그룹에 배치하여 타사 ID 공급업체가 Google Cloud와 페더레이션되도록 합니다. Cloud Identity and Access Management(IAM)를 사용해 관리 그룹에 역할과 권한을 할당하여 최소 권한과 업무 분리를 구현합니다.

클라우드에서 정보 시스템 계정에 대한 조직 전체의 액세스 제어 정책을 수립합니다. 조직에서 정보 시스템 계정을 만들고 사용 설정, 수정, 사용 중지, 삭제할 매개변수 및 절차를 정의합니다.

계정 관리, 업무 분리, 최소 권한

액세스 제어 정책에서 조직에서 정보 시스템 계정을 만들고 사용 설정, 수정, 사용 중지, 삭제할 매개변수 및 절차를 정의합니다. 정보 시스템 계정을 사용해야 하는 조건을 정의합니다.

또한 사용자가 시스템에서 로그아웃해야 하는 비활성 기간(예: x분, x시간 또는 x일 후)을 식별합니다. Cloud ID, 관리 콘솔 또는 애플리케이션 구성을 사용하여 지정된 기간 후에 사용자가 로그아웃하거나 재인증하도록 합니다.

권한이 있는 역할 할당이 더 이상 조직 내 사용자에게 적합하지 않을 때 실행해야 하는 작업을 정의합니다. Google의 *Policy Intelligence에는 조직이 머신러닝을 바탕으로 스마트한 액세스 제어 권장사항을 제시하여 조직이 GCP 리소스의 무단 액세스를 막도록 도와주는 IAM 추천자 기능이 있습니다.

그룹 계정이 적합한 조건을 정의합니다. Cloud ID 또는 관리 콘솔을 사용하여 그룹 또는 서비스 계정을 만듭니다. Cloud Identity and Access Management(IAM)를 사용하여 공유 그룹과 서비스 계정에 역할 및 권한을 할당합니다. 가능하면 서비스 계정을 사용하세요.

조직에 대한 정보 시스템 계정의 비전형적인 사용을 지정하고 Cloud 운영 제품군, *Cloud Security Command Center, *Forseti Security와 같은 도구를 사용하여 비전형적인 사용에 대해 정보 시스템 관리자에게 알림을 보냅니다.

이 가이드라인을 따르면 AC-02, AC-02(04), AC-02(05), AC-02(07), AC-02(09), AC-02(11), AC-02(12), AC-05, AC-06(01), AC-06(03), AC-06(05), AU-2, AU-3, AU-6, AU-12, SI-04, SI-04(05), SI-04(11), SI-04(18), SI-04(19), SI-04(20), SI-04(22), SI-04(23)와 같은 보안 제어를 구현하기 위한 토대가 됩니다.

정보 흐름 시행, 원격 액세스

조직 전체의 액세스 제어 정책에서 조직의 정보 흐름 제어 정책을 정의합니다. 금지되거나 제한된 포트, 프로토콜, 서비스를 식별합니다. 내부 및 외부 시스템과의 상호 연결 요구사항 및 제한사항을 정의합니다. Cloud VPC와 같은 도구를 사용하여 방화벽, 논리적으로 격리된 네트워크 및 서브네트워크를 만듭니다. Cloud Load Balancer, *Traffic Director, VPC 서비스 제어를 구현하여 정보 흐름을 제어할 수 있습니다.

정보 흐름 제어 정책을 설정할 때 조직의 제어 네트워크 액세스 포인트를 식별합니다. Cloud Identity Aware Proxy와 같은 도구를 사용하여 원격 및 현장 사용자에게 클라우드 리소스에 대한 컨텍스트 기반 액세스를 제공합니다. Cloud VPN 또는 Cloud Interconnect를 사용하여 Cloud VPC에 안전하게 직접 액세스할 수 있습니다.

권한이 있는 명령어를 실행하고 원격 액세스를 통해 보안 데이터에 액세스하기 위한 조직 전체의 정책을 설정합니다. Cloud IAMVPC 서비스 제어를 사용하여 민감한 정보 및 워크로드에 대한 액세스를 제한합니다.

이 가이드라인을 따르면 AC-04, AC-04(08), AC-04(21), AC-17(03), AC-17(04), CA-03(03), CA-03(05), CM-07, CM-07(01), CM-07(02)와 같은 보안 제어를 구현하기 위한 토대가 됩니다.

로그온 시도, 시스템 사용 알림, 세션 종료

액세스 제어 정책에서 15분 동안 로그인 시도가 3회 이상 실패하면 사용자가 로그인 프롬프트에 액세스하지 못하도록 지연 시간을 지정합니다. 사용자 세션이 종료되거나 연결이 끊기는 조건 및 트리거를 정의합니다.

Cloud ID Premium Edition 또는 관리 콘솔을 사용하여 BYOD를 비롯하여 네트워크에 연결하는 휴대기기를 관리합니다. 휴대기기에 적용되는 조직 전체의 보안 정책을 만듭니다. 로그인 시도가 연속 실패한 후 휴대기기 삭제 및 완전 삭제를 위한 개요 및 절차를 간략하게 설명합니다.

정보 시스템에 액세스하는 사용자에게 개인정보처리방침, 이용약관 및 보안 알림을 제공하는 조직 전체의 언어 또는 시스템 사용 알림을 수립합니다. 사용자에게 액세스 권한을 부여하기 전에 조직 전체의 알림을 표시할 조건을 정의합니다. Cloud Pub/Sub는 애플리케이션 및 최종 사용자에게 알림을 푸시하는 데 사용할 수 있는 전역 메시징 및 이벤트 수집 시스템입니다. *Chrome Enterprise 제품군(*Chrome 브라우저 및 *Chrome OS 포함)을 *Push API 및 *Notifications API와 함께 사용하여 사용자에게 알림 및 업데이트를 보낼 수도 있습니다.

이 가이드라인을 따르면 AC-07, AC-07(02), AC-08, AC-12, AC-12(01)와 같은 보안 제어를 구현하기 위한 토대가 됩니다.

허용 작업, 휴대기기, 정보 공유

액세스 제어 정책에서 식별 및 인증 없이 정보 시스템에서 수행할 수 있는 사용자 작업을 정의합니다. Cloud IAM을 사용하여 사용자 액세스를 규제하여 특정 리소스를 보고, 만들고, 삭제하고, 수정합니다.

또한 정보 공유를 위한 조직 전체의 정책을 수립합니다. 정보를 공유할 수 있는 상황 및 정보 공유에 사용자 재량이 필요한 경우를 파악합니다. 사용자가 조직 전체에서 정보를 공유하고 공동작업하는 데 도움이 되는 프로세스를 채택합니다. Google Workspace에는 팀 전체의 공동작업 및 참여를 제어하는 데 유용한 기능이 있습니다.

이 가이드라인을 따르면 AC-14, AC-19(05), AC-21과 같은 보안 제어를 구현하기 위한 토대가 됩니다.

인식 및 교육

보안 정책 및 관련 교육 자료를 만들어 1년에 한 번 이상 조직 전체의 사용자 및 보안 그룹에 전달합니다. Google은 사용자에게 클라우드 보안에 대해 교육하기 위한 전문 서비스 옵션을 제공하며, 이 옵션은 Cloud Discover Security 참여와 Google Workspace 보안 평가를 포함하되 이에 국한되지 않습니다.

1년에 한 번 이상 보안 정책 및 교육을 업데이트합니다.

이러한 가이드라인을 따르면 AT-01 보안 제어를 구현하는 데 도움이 됩니다.

감사 및 책임법

클라우드 정보 시스템에 연결된 감사 직원, 이벤트, 작업에 대한 절차 및 구현 요구사항을 해결하는 조직 전체의 감사 정책 및 책임 제어를 만듭니다.

조직 전체의 감사 정책에서 조직의 정보 시스템에서 감사해야 하는 이벤트와 감사 빈도를 간략히 설명합니다. 로깅된 이벤트의 예로는 성공 및 실패 계정 로그온 이벤트, 계정 관리 이벤트, 객체 액세스, 정책 변경, 권한 함수, 프로세스 추적, 시스템 이벤트가 있습니다. 웹 애플리케이션의 경우 관리자 활동, 인증 확인, 승인 확인, 데이터 삭제, 데이터 액세스, 데이터 변경, 권한 변경 등이 있습니다. 조직에 관심 있는 추가 이벤트를 정의합니다.

또한 감사 정책에 따라 조직에 부적절하거나 비정상적인 활동 표시를 지정해야 합니다. 이러한 활동은 정기적으로(일주일에 한 번 이상) 모니터링, 로깅, 신고해야 합니다.

Google의 Cloud 운영 제품군을 사용하여 GCP, 온프레미스 또는 기타 클라우드 환경의 로깅, 모니터링, 알림을 관리합니다. Cloud 운영 제품군을 사용하여 조직의 보안 이벤트를 구성 및 추적합니다. 또한 사용자는 Cloud Monitoring을 사용하여 커스텀 측정항목을 설정해서 감사 레코드에서 조직에서 정의한 이벤트를 모니터링할 수도 있습니다

감사 처리가 실패할 경우 관리자에게 알림을 보내도록 정보 시스템을 사용 설정합니다. 이는 Cloud Pub/SubCloud 알림과 같은 도구를 사용하여 구현할 수 있습니다.

감사 레코드가 설정된 기준 또는 볼륨 용량에 도달하는 경우를 포함하여 시스템 또는 기능 장애가 발생할 경우 설정된 기간(예: 15분 이내) 내에 관리자에게 알리기 위한 표준을 설정합니다. 감사 레코드에 타임 스탬프를 찍고 로깅을 하는 시간 관리에 대한 조직 전체의 세부 사항을 결정합니다. 정보 시스템 감사 추적에서 타임 스탬프를 찍는 레코드의 허용 수준(예: 거의 실시간 또는 20분 이내)을 정의합니다.

VPC 리소스 할당량을 설정하여 감사 레코드 스토리지의 용량 기준을 설정합니다. 리소스 한도 비율에 도달하거나 이를 초과한 경우 관리자에게 알리도록 Cloud 예산 알림을 구성합니다.

감사 로그 가용성 및 보관 요구 사항을 포함하도록 감사 데이터 및 레코드에 대한 조직 전체의 스토리지 요구사항을 정의합니다. Google Cloud Storage를 사용하여 감사 로그를 저장하고 보관처리할 수 있으며 BigQuery를 사용하여 추가 로그 분석을 수행할 수 있습니다.

이 가이드라인을 따르면 AU-01, AU-02, AU-04, AU-05, AU-05(01), AU-06, AU-07(01), AU-08, AU-08(01), AU-09(04), AU-09(04), AU-12, AU-12(01), AU-12(03), CA-07과 같은 보안 제어를 구현하기 위한 토대가 됩니다.

보안 평가 및 승인

조직 보안 평가, 보안 제어, 승인 제어에 대한 절차 및 구현 요구사항을 정의하는 조직 전체의 보안 평가 및 승인 정책을 수립합니다.

보안 평가 및 승인 정책에서 보안 평가팀이 클라우드의 정보 시스템에 대한 공정한 평가를 수행하는 데 필요한 독립성 수준을 정의합니다. 독립 평가자가 평가해야 하는 정보 시스템을 파악해야 합니다.

보안 평가는 최소한 심층 모니터링, 취약점 스캔, 악의적인 사용자 테스트, 내부자 위협 평가, 성능/부하 테스트를 포함해야 합니다. 조직에서 추가 요구사항과 보안 평가 형태를 정의해야 합니다.

보안 평가 및 승인 정책에서 분류되지 않은 국가 외 보안 시스템에 대한 요구사항을 포함하여 보안 시스템 분류 및 요구사항을 지정해야 합니다.

조직에 대한 정보 흐름 제어 정책에서 내부 및 외부 시스템과의 상호 연결 요구사항 및 제한사항을 간략히 서술합니다. Cloud VPC 방화벽 규칙을 설정하여 정보 시스템으로 가는 트래픽을 허용 및 거부하고 VPC 서비스 제어를 사용하여 보안 매개변수를 통해 민감한 정보를 보호합니다.

지속적인 모니터링 요구사항(CA-07)을 시행하는 조직 전체의 감사 및 책임 정책을 설정합니다.

이 가이드라인을 따르면 CA-01, CA-02, CA-02(01), CA-02(02), CA-02(03), CA-03(03), CA-03(05), CA-07, CA-07(01), CA-08, CA-09와 같은 보안 제어를 구현하기 위한 토대가 됩니다.

구성 관리

조직 전체의 구성 관리 제어, 역할, 책임, 범위, 규정 준수에 대한 절차 및 구현 요구사항을 정의하는 조직 전체의 구성 관리 정책을 만듭니다.

조직이 소유한 정보 시스템 및 시스템 구성요소에 대한 구성 설정 요구사항을 표준화합니다. 정보 시스템 구성을 위한 운영 요구사항 및 절차를 제공합니다. 시스템 관리자가 정보 시스템 롤백 지원을 위해 유지해야 하는 기준 구성의 이전 버전 수를 명시적으로 호출합니다. Google의 구성 관리 도구 모음을 사용하여 IT 시스템 구성을 코드로 제어하고 *Cloud Policy Intelligence, *Cloud Security Command Center, *Forseti Security를 사용하여 구성 변경을 모니터링합니다.

조직의 각 정보 시스템 유형에 대한 구성 요구 사항(예: 클라우드, 온프렘, 하이브리드, 비분류, CUI, 분류)을 지정합니다. 또한 조직 소유 및 BYOD 기기의 보안 요구사항을 정의하여 안전한 지리적 위치와 안전하지 않은 지리적 위치 식별을 포함합니다. Cloud Identity Aware Proxy를 사용하여 지리적 위치별 액세스 제어를 포함한 컨텍스트 기반 액세스 제어를 조직 소유 데이터에 적용합니다. Cloud ID Premium Edition 또는 관리 콘솔을 사용하여 회사 네트워크에 연결된 휴대기기에 보안 구성을 적용합니다.

구성 관리 정책에서 변경 제어 위원회와 같은 조직 전체의 구성 변경 제어 요소를 정의합니다. 변경 제어 요소가 조건을 충족하는 빈도와 조건을 문서화합니다. 구성 변경을 검토하고 승인하는 공식 본문을 작성합니다.

조직의 구성 관리 승인 기관을 식별합니다. 이 관리자는 정보 시스템 변경 요청을 검토합니다. 기관이 변경 요청을 승인하거나 비승인해야 하는 기간을 정의합니다. 정보 시스템 변경이 완료되면 변경 구현자가 승인 기관에 알리도록 지침을 제공합니다.

사용하도록 승인되거나 승인되지 않은 소프트웨어의 사양을 포함하도록 조직 전체의 오픈소스 소프트웨어 사용에 대한 제한을 설정합니다. Cloud ID 또는 관리 콘솔을 사용하여 조직에 승인된 애플리케이션 및 소프트웨어를 적용할 수 있습니다. Cloud ID Premium을 사용하여 타사 애플리케이션의 싱글 사인온(SSO) 및 다단계 인증을 사용 설정할 수 있습니다.

Cloud 알림과 같은 도구를 사용하여 구성 변경사항이 로깅될 때 보안 관리자에게 알림을 전송합니다. 관리자에게 *Cloud Security Command Center 또는 *Forseti Security와 같은 도구에 대한 액세스 권한을 부여하여 구성 변경사항을 거의 실시간으로 모니터링합니다. 머신러닝에서 *Cloud Policy Intelligence를 사용하여 조직에서 정의한 구성을 연구하여 구성이 기준에서 변경될 때 인식할 수 있습니다.

정보 흐름 제어 정책을 사용하여 조직 전체에 최소 기능을 적용합니다.

이 가이드라인을 따르면 CM-01, CM-02(03), CM-02(07), CM-03, CM-03(01), CM-05(02), CM-05(03), CM-06, CM-06(01), CM-06(02), CM-07, CM-07(01), CM-07(02), CM-07(05), CM-08, CM-08(03), CM-10(01), CM-11, CM-11(01), SA-10과 같은 보안 제어를 구현하기 위한 토대가 됩니다.

비상 계획

조직 전체의 비상 계획 제어를 위한 절차 및 구현 요구사항을 정의하는 조직의 비상 계획을 수립합니다. 조직 요소 전체의 주요 비상 직원, 역할, 책임을 파악합니다.

조직 내에서 업무상 중요하고 필수적인 정보 시스템 작업을 강조합니다. 비상 계획이 활성화되면 필수 작업 재개를 위한 복구 시간 목표(RTO) 및 복구 지점 목표(RPO)를 간략히 설명합니다.

중요한 정보 시스템 및 관련 소프트웨어를 문서화합니다. 추가 보안 관련 정보를 식별하고 중요한 시스템 구성요소 및 데이터의 백업 사본을 저장하기 위한 안내와 요구사항을 제공합니다. 고가용성을 위해 Google의 전역, 리전, 영역별 리소스전 세계 위치를 배포합니다. 멀티 리전, 리전, 백업, 보관처리 옵션에 Google Cloud Storage 클래스를 사용합니다. Cloud Load Balancer와 함께 글로벌 네트워크 자동 확장 및 부하 분산을 구현합니다.

이 가이드라인을 따르면 CP-01, CP-02, CP-02(03), CP-07, CP-08, CP-09(03)와 같은 보안 제어를 구현하기 위한 토대가 됩니다.

식별 및 인증

조직에서 식별 및 인증 절차, 범위, 역할, 책임, 관리, 항목, 규정 준수를 지정하는 식별 및 인증 정책을 수립합니다. 조직에서 요구하는 식별 및 인증 제어를 지정합니다. Cloud ID Premium 또는 관리 콘솔을 사용하여 조직의 리소스에 연결할 수 있는 회사 기기와 개인 기기를 식별합니다. Cloud Identity Aware Proxy(IAP)를 사용하여 리소스에 대한 컨텍스트 인식 액세스를 적용합니다.

조직의 인증자 콘텐츠 관련 가이드, 인증 재사용 조건, 인증자 보호를 위한 표준, 인증자 변경 또는 갱신을 위한 표준을 포함합니다. 또한 캐시된 인증자를 사용하기 위한 요구사항을 정확히 담아냅니다. 캐시된 인증자를 사용하기 위한 시간 제한을 지정하고 캐시된 인증자를 만료하는 시기를 정의합니다. 조직의 정보 시스템에서 적용해야 하는 최소 및 최대 수명 요건 및 갱신 기간을 정의합니다.

Cloud ID 또는 관리 콘솔을 사용하여 민감도, 문자 사용, 새로운 비밀번호 생성 또는 재사용, 비밀번호 수명, 스토리지 및 전송 요구사항에 대한 비밀번호 정책을 적용합니다.

PIV 카드 및 PKI 요구사항을 포함하되 이에 국한되지 않는 조직 전체의 인증을 위한 하드웨어 및/또는 소프트웨어 토큰 인증 요구사항을 간략하게 설명합니다. *Google Titan 보안 키를 사용하여 관리자 및 권한이 있는 직원에게 추가 인증 요구사항을 적용할 수 있습니다.

식별 및 인증 정책에서 조직에 제3자를 수락하는 데 허용되는 연방 ID, 사용자 인증 정보, 액세스 관리(FICAM) 정보 시스템 구성요소를 간략히 설명합니다. Google의 Identity Platform은 외부 항목에서 액세스 중인 애플리케이션에 ID 및 액세스 관리 기능을 추가하도록 조직을 지원하는 고객 ID 및 액세스 관리(CIAM) 플랫폼입니다.

이 가이드라인을 따르면 IA-01, IA-03, IA-04, IA-05, IA-05(01), IA-05(03), IA-05(04), IA-05(11), IA-05(13), IA-08(03)과 같은 보안 제어를 구현하기 위한 토대가 됩니다.

이슈 대응

이슈 대응 제어를 도모하고 구현하기 위한 절차를 비롯하여 조직의 이슈 응답 정책을 수립합니다. 조직의 이슈 대응팀 및 당국의 보안 그룹을 만듭니다. Cloud 운영 제품군 또는 *Cloud Security Command Center와 같은 도구를 사용하여 이슈 이벤트, 로그, 세부정보를 공유합니다. *Incident Response Management(IRM)를 사용하면 관리자가 정보 시스템 보안 이슈를 포괄적으로 조사하고 해결할 수 있습니다.

성공을 위한 이슈 대응 테스트 계획, 절차 및 체크리스트, 요구사항, 벤치마크를 수립합니다. 조직에서 인식해야 하는 이슈 클래스를 지정하고 이러한 이슈에 대응하기 위해 수행할 관련 작업을 간략히 설명합니다. 정보 유출, 사이버 보안 취약점, 공격 관리 단계와 같이 이슈 발생 시 승인된 직원이 수행해야 하는 특정 작업을 정의합니다. Google Workspace의 기능을 활용하여 이메일 콘텐츠 검사 및 격리, 피싱 시도 차단, 첨부파일에 대한 제한 설정 등을 수행합니다. Cloud Data Loss Prevention을 사용하여 민감한 정보를 검사, 분류, 익명화하여 노출을 제한합니다.

일반 사용자의 학습 요구사항과 권한이 있는 역할 및 책임을 포함하여 이슈 대응 교육에 대한 조직 전반의 요구사항을 지정합니다. 학습에 필요한 기간 요구사항(예: 가입 후 30일 이내, 분기별, 연간)을 적용합니다.

이 가이드라인을 따르면 IR-01, IR-02, IR-03, IR-04(03), IR-04(08), IR-06, IR-08, IR-09, IR-09(01), IR-09(03), IR-09(04)와 같은 보안 제어를 구현하기 위한 토대가 됩니다.

시스템 유지보수

시스템 유지보수 제어, 역할, 책임, 관리, 조정 요구사항 및 규정 준수를 문서화하는 조직의 시스템 유지보수 정책을 수립합니다. 오프사이트 유지보수 및 수리를 위한 승인 프로세스와 조직 전체에서 장애가 발생한 기기 및 부품 교체 소요 시간을 포함한 제어된 유지보수를 위한 매개변수를 정의합니다. 조직에서는 Google Cloud Platform 데이터 및 장비 삭제와 오프사이트 유지보수 및 수리를 위한 Google의 데이터 센터 보안 및 혁신을 통해 데이터 삭제의 혜택을 누릴 수 있습니다.

이 가이드라인을 따르면 MA-01, MA-02, MA-06과 같은 보안 제어를 구현하기 위한 토대가 됩니다.

미디어 보호

Google Cloud FedRAMP ATO의 일환으로 물리적 인프라의 미디어 보호 요구사항을 충족합니다. Google의 인프라 보안 설계보안 개요를 검토하세요. 이후 고객은 가상 인프라 보안 요구사항을 충족해야 합니다.

미디어 제어, 보호 정책 및 절차, 규정 준수 요구사항, 관리 역할 및 책임을 문서화한 조직의 미디어 보호 정책을 개발합니다. 조직 전체에서 미디어 보호를 도모 및 구현하기 위한 절차를 문서화합니다. 미디어 및 보호를 관리하는 데 필요한 직원과 역할을 정의하는 보안 그룹을 만듭니다.

디지털 및 비디지털 미디어 제한을 비롯하여 조직에 승인된 미디어 유형과 액세스를 지정합니다. 또한 제어된 액세스 영역 내부 및 외부의 보안 표시 요구 사항을 포함하여 조직 전체에서 구현해야 하는 미디어 표시 및 미디어 처리 주의사항을 설정합니다. *Google Data Catalog를 사용해 클라우드 리소스 메타데이터를 관리하여 데이터 검색을 간소화합니다. *Google Private Catalog를 사용해 조직 전체의 클라우드 리소스 규정 준수를 제어하여 클라우드 리소스의 배포 및 검색을 규제합니다.

조직에서 관리하는 미디어를 삭제하고 폐기 또는 재사용하는 방법을 식별합니다. 또한 미디어/기기의 삭제, 폐기, 재사용이 필요하거나 허용되는 사용 사례 및/또는 상황을 간략히 설명합니다. 조직에서 사용할 수 있는 것으로 간주되는 미디어 보호 방법 및 메커니즘을 정의합니다.

Google을 사용하면 Google Cloud Platform 데이터 및 장비 삭제와 Google의 데이터 센터 보안 및 혁신통해 데이터 삭제의 혜택을 누릴 수 있습니다. 또한 Cloud KMSCloud HSM은 FIPS 준수 암호화 보호를 제공하고, 사용자는 *Google Titan 보안 키를 사용하여 관리자 및 권한이 있는 직원에게 추가 물리적 인증 요구사항을 적용할 수 있습니다.

이 가이드라인을 따르면 MP-01, MP-02, MP-03, MP-04, MP-06, MP-06(03), MP-07과 같은 보안 제어를 구현하기 위한 토대가 됩니다.

물리적 보안 및 환경 보호

Google Cloud FedRAMP ATO의 일환으로 물리적 인프라의 물리적 및 환경 보호 요구사항을 충족합니다. Google의 인프라 보안 설계보안 개요를 검토하세요. 이후 고객은 가상 인프라 보안 요구사항을 충족해야 합니다.

보호 제어, 보호 항목, 규정 준수 표준, 역할, 책임, 관리 요구사항에 대해 간략히 설명한 조직의 물리적 보호 및 환경 보호 정책을 수립합니다. 조직 전체에서 물리적 및 환경 보호를 구현하는 방법을 간략히 설명합니다.

물리적 및 환경 보호를 관리하는 데 필요한 직원과 역할을 정의하는 보안 그룹을 만듭니다. 민감한 컴퓨팅 리소스에 액세스하는 관리자는 *Titan 보안 키 또는 다른 형태의 MFA를 사용하여 액세스 무결성을 확인해야 합니다.

물리적 및 환경 보호 정책에서 조직의 물리적 액세스 제어 요구사항을 정의합니다. 정보 시스템 사이트의 시설 입구 및 출구 지점을 식별하고 이러한 시설에 대한 액세스 제어 보호 기능 및 인벤토리 요구사항을 파악합니다. *Google Maps Platform과 같은 도구를 활용하여 위치 매핑을 위한 시설과 입구 및 출구 지점을 시각적으로 표시하고 추적합니다. Cloud Resource Manager 및 *Private Catalog를 사용하여 클라우드 리소스에 대한 액세스를 제어하면 리소스를 정리하여 간편하게 검색할 수 있습니다.

Cloud Monitoring을 사용하여 로깅 가능한 이벤트, 액세스, 이슈를 구성합니다. Cloud Logging에 로깅해야 하는 조직 전체의 물리적 액세스 이벤트를 정의합니다. *이슈 대응 관리를 사용하여 트리거된 물리적 보안 이슈를 해결하고 *Cloud Security Command Center에 결과를 통합합니다.

물리적 및 환경 보호 정책을 사용하여 정보 시스템의 응급 상황 시 전원 차단, 비상 전원, 화재 진압, 비상 대응과 같은 비상 상황을 설명합니다. 조직의 현지 응급 구조대 및 물리적 보안 직원을 포함하여 긴급 대응을 위한 연락 창구를 식별합니다. 대체 작업장에 대한 요구사항과 위치를 간략히 설명합니다. 기본 및 대체 작업장에 대한 보안 제어 및 직원을 지정합니다. 고가용성을 위해 Google의 전역, 리전, 영역별 리소스전 세계 위치를 배포합니다. 멀티 리전, 리전, 백업, 보관처리 옵션에 Google Cloud Storage 클래스를 사용합니다. Cloud Load Balancer와 함께 글로벌 네트워크 자동 확장 및 부하 분산을 구현합니다. 선언적 배포 템플릿을 만들어 반복 가능한 템플릿 기반 배포 프로세스를 수립합니다.

이 가이드라인을 따르면 PE-01, PE-03, PE-03(01), PE-04, PE-06, PE-06(04), PE-10, PE-13(02), PE-17과 같은 보안 제어를 구현하기 위한 토대가 됩니다.

시스템 보안 계획

조직의 보안 계획 제어, 역할, 책임, 관리, 보안 계획 항목, 규정 준수 요구사항을 간략히 설명한 조직의 보안 계획 정책을 수립합니다. 조직 전체에서 보안 계획을 구현하는 방법을 간략히 설명합니다.

그룹을 만들어 보안 계획 직원을 정의합니다. 조직의 보안 평가, 감사, 하드웨어 및 소프트웨어 유지보수, 패치 관리, 비상 계획을 위한 보안 그룹을 지정합니다. Cloud 운영 제품군, *Cloud Security Command Center, *Forseti Security와 같은 도구를 사용하여 조직 전체의 보안, 규정 준수, 액세스 제어를 모니터링합니다.

이 가이드라인을 따르면 PL-01, PL-02, PL-02(03)와 같은 보안 제어를 구현하기 위한 토대가 됩니다.

직원 보안

보안 직원, 보안 요원의 역할과 책임, 직원 보안을 구현하는 방법, 조직 전체에 적용할 직원 보안 제어에 대해 간략히 설명하는 직원 보안 정책을 만듭니다. 개인에게 조직의 보안 검색, 재검색, 조사를 거치도록 요구하는 조건을 정확히 담아냅니다. 조직의 보안 승인에 대한 요구사항을 간략히 설명합니다.

직원 해고와 전근에 대한 안내를 포함합니다. 퇴직자 인터뷰와 이러한 인터뷰 중에 논의해야 할 보안 주제에 대한 요구사항과 매개변수를 정의합니다. 조직의 보안 및 관리 항목에 직원 해고, 전근 또는 재보직을 통보할 시점(예: 24시간 이내)을 지정합니다. 직원과 조직이 전근, 재보직 또는 해고 시 완료할 작업을 지정합니다. 또한 공식적 직원 승인을 적용하는 것에 대한 요구사항을 다룹니다. 보안 직원/관리자에게 직원 승인을 통보할 시기와 승인 절차를 설명합니다.

Cloud IAM을 사용하여 직원에게 역할과 권한을 할당합니다. Cloud ID 또는 관리 콘솔에서 직원 프로필과 액세스를 추가, 삭제, 사용 중지, 사용 설정합니다. *Titan 보안 키를 사용하여 관리자와 권한이 있는 직원에게 추가적인 물리적 인증 요구사항을 적용합니다.

이 가이드라인을 따르면 PS-01, PS-03, PS-04, PS-05, PS-07, PS-08과 같은 보안 제어를 구현하기 위한 토대가 됩니다.

위험 평가

위험 관리 직원, 조직 전체에서 적용할 위험 평가 제어, 조직 내에서 위험 평가를 수행하는 절차를 간략히 설명하는 위험 평가 정책을 구현합니다. 위험 평가를 문서화 및 보고하는 방식을 정의합니다. *Forseti Security 및 *Cloud Security Command Center와 같은 도구를 사용하면 보안 직원에게 조직의 보안 위험 및 전체 보안 상태를 자동으로 알립니다.

Cloud Security Scanner, 컨테이너 분석, Cloud Armor, Google Workspace 피싱 및 멀웨어 보호와 같은 Google의 위험 평가 도구를 활용하여 조직의 정보 시스템에서 취약점을 검사하고 보고합니다. 위험 평가 직원과 관리자가 이러한 도구를 제공하여 취약점을 파악하고 제거할 수 있도록 합니다.

이 가이드라인을 따르면 RA-01, RA-03, RA-05와 같은 보안 제어를 구현하기 위한 토대가 됩니다.

시스템 및 서비스 획득

주요 직원의 역할과 책임, 획득 및 서비스 관리, 규정 준수, 항목을 간략히 설명하는 시스템 및 서비스 획득 정책을 수립합니다. 조직의 시스템 및 서비스 획득 절차와 구현 가이드라인을 간략히 설명합니다. 정보 시스템 및 정보 보안을 위한 조직의 시스템 개발 수명 주기를 정의합니다. 정보 보안 역할 및 책임, 직원, 그리고 조직의 위험 평가 정책이 시스템 개발 수명 주기 활동을 주도하는 방식을 간략히 설명합니다.

정보 시스템 문서를 사용할 수 없거나 정의되지 않은 경우 조직 내에서 수행해야 하는 절차를 강조합니다. 필요에 따라 조직의 정보 시스템 관리자 및/또는 시스템 서비스 직원을 참여시킵니다. 조직 내에서 정보 시스템을 구현하거나 액세스하는 관리자 및 사용자에게 필요한 교육을 정의합니다.

*Cloud Security Command Center 및 *Forseti Security와 같은 도구를 사용하여 조직의 보안 규정 준수, 발견 항목, 보안 제어 정책을 추적합니다. Google은 고객에게 Google Cloud의 규정 준수 요구사항 및 법률을 충족하는 방법을 교육하기 위해 모든 보안 표준, 규정, 인증을 간략히 설명합니다. 또한 Google은 고객이 클라우드와 온프레미스 모두에서 정보 시스템, 통신, 데이터를 지속적으로 모니터링할 수 있도록 지원하는 보안 제품군을 제공합니다.

조직의 데이터, 서비스 및 정보 처리에 대한 위치 제한과 데이터를 다른 곳에 저장할 수 있는 조건을 지정합니다. Google은 GCP에서 데이터 저장, 처리, 서비스 사용을 위한 전역, 리전, 영역 옵션을 제공합니다.

구성 관리 정책을 활용하여 시스템 및 서비스 획득 제어에 대한 개발자 구성 관리를 규제하고, 보안 평가 및 승인 정책을 사용하여 개발자 보안 검사 및 평가 요구사항을 적용합니다.

이 가이드라인을 따르면 SA-01, SA-03, SA-05, SA-09, SA-09(01), SA-09(04), SA-09(05), SA-10, SA-11, SA-16과 같은 보안 제어를 구현하기 위한 토대가 됩니다.

시스템 및 통신 보호

주요 인력의 역할과 책임, 시스템 통신 보호 정책의 구현 요구사항, 조직에 필요한 보호 제어를 간략히 설명한 시스템 및 통신 보호 정책을 수립합니다. 조직에서 인식하고 모니터링하는 서비스 거부 공격 유형을 식별하고 조직에 대한 DoS 보호 요구사항을 간략히 설명합니다.

Cloud 운영 제품군을 사용하여 조직의 사전 정의된 보안 공격을 로깅, 모니터링, 알릴 수 있습니다. Cloud Load BalancingCloud Armor와 같은 도구를 구현하여 클라우드 경계를 보호하고 방화벽 및 네트워크 보안 제어와 같은 Cloud VPC 서비스를 활용하여 내부 클라우드 네트워크를 보호합니다.

조직의 리소스 가용성 요구사항을 파악하고, 조직 전체에 클라우드 리소스를 할당하는 방법과 초과 사용률을 제한하기 위해 구현하는 제약조건을 정의합니다. Cloud Resource Manager와 같은 도구를 사용하여 조직, 폴더, 프로젝트, 개별 리소스 수준에서 리소스에 대한 액세스를 제어합니다. Cloud 리소스 할당량을 설정하여 GCP에서 API 요청 및 리소스 사용률을 관리합니다.

정보 시스템 및 시스템 통신에 대한 경계 보호 요구사항을 설정합니다. 내부 통신 트래픽에 대한 요구사항과 내부 트래픽이 외부 네트워크와 상호작용하는 방법을 정의합니다. 프록시 서버 및 기타 네트워크 라우팅 및 인증 구성요소에 대한 요구사항을 지정합니다.

*Cloud Traffic Director를 활용하여 조직의 네트워크 트래픽 및 통신 흐름을 관리합니다. Cloud Identity Aware Proxy를 사용하여 지리적 위치 또는 기기 지문을 포함하여 인증, 승인, 컨텍스트에 기반한 클라우드 리소스에 대한 액세스를 제어합니다. *비공개 Google 액세스, *Cloud VPN, *Cloud Interconnect를 구현하여 네트워크 트래픽과 외부 리소스 간의 네트워크 트래픽과 통신을 보호합니다. Cloud VPC를 사용하면 조직의 클라우드 네트워크를 정의하고 보호하고, 서브네트워크를 설정하면 클라우드 리소스와 네트워크 경계를 더욱 격리할 수 있습니다.

또한 Google은 고가용성과 장애 조치를 위해 멀티 리전, 리전 및 영역 옵션으로 전역 소프트웨어 정의 네트워크를 제공합니다. 정보 시스템이 알려진 상태로 실패할 수 있도록 조직의 오류 요구사항을 정의합니다. 정보 시스템 상태 정보를 유지하기 위한 요구사항을 정확히 담아냅니다. 관리형 인스턴스 그룹 및 Deployment Manager 템플릿을 사용하여 실패 또는 비정상 리소스를 재인스턴스화합니다. 관리자에게 *Cloud Security Command Center 또는 *Forseti Security에 대한 액세스 권한을 부여하여 조직의 기밀성, 무결성, 가용성 상태를 적극적으로 모니터링합니다.

정책에서 키 생성, 배포, 스토리지, 액세스, 폐기에 대한 요구사항을 포함하여 조직의 암호화 키 관리 요구사항을 간략히 설명합니다. Cloud KMSCloud HSM을 사용하여 클라우드에서 FIPS 준수 보안 키를 관리, 생성, 사용, 순환, 저장, 폐기할 수 있습니다.

Google은 기본적으로 저장 데이터를 암호화합니다. 하지만 사용자는 Compute Engine 및 Google Cloud Storage에서 Cloud KMS를 사용하여 암호화 키를 통해 데이터를 추가로 암호화할 수 있습니다. 또한 보안 VM을 배포하여 Compute Engine에서 커널 수준의 무결성 제어를 적용할 수 있습니다.

이 가이드라인을 따르면 SC-01, SC-05, SC-06, SC-07(08), SC-07(12), SC-07(13), SC-07(20), SC-07(21), SC-12, SC-24, SC-28, SC-28(01)과 같은 보안 제어를 구현하기 위한 토대가 됩니다.

시스템 및 정보 무결성

주요 인력의 역할과 책임, 무결성 구현 절차와 요구사항, 규정 준수 표준, 조직의 보호 제어를 간략히 설명한 시스템 및 정보 무결성 정책을 구현합니다. 조직에서 시스템 및 정보 무결성을 담당하는 직원을 위한 보안 그룹을 만듭니다. 조직 및 정보 시스템 전반의 보안 결함을 모니터링하고 평가, 승인, 구현, 계획, 벤치마킹 및 해결하기 위한 지침을 포함하도록 조직의 결함 해결 요구사항을 간략히 설명합니다.

Chrome 브라우저, Cloud Security Scanner, 컨테이너 분석, Google Workspace 피싱 및 멀웨어 보호, Google Workspace 보안 센터, Cloud Armor와 같은 Google의 보안 도구를 활용하여 악성 코드, 사이버 공격 및 일반적인 취약점으로부터 보호하고 스팸을 격리하고 스팸 및 멀웨어 정책을 설정하고 관리자에게 취약점을 알리고 조직 전체에서 중앙 관리를 위한 통찰력을 얻습니다. Cloud 운영 제품군, *Cloud Security Command Center, *Forseti Security와 같은 도구를 사용하여 조직의 보안 제어 및 발견 사항을 중앙에서 관리하고 경고 및 모니터링합니다. 특히, Cloud 운영 제품군을 사용하여 조직 전체에서 권한이 있는 사용자 및 직원이 시작한 관리 작업, 데이터 액세스 및 시스템 이벤트를 기록하고 오류 메시지 및 정보 시스템 오류 처리에 대해 관리자에게 알려야 합니다.

조직의 소프트웨어, 펌웨어 및 정보와 관련된 보안 관련 이벤트를 정의합니다(예: 제로 데이 취약점, 무단 데이터 삭제, 새 하드웨어, 소프트웨어, 펌웨어 설치 등). 이러한 유형의 보안 관련 변경사항이 발생할 때 수행해야 하는 단계를 설명합니다. 관리자가 특별히 주의를 기울여야 하는 모니터링 목표 및/또는 공격 지표를 지정하여 조직 전체의 정보 시스템 내에서 모니터링해야 하는 필수 정보를 포함합니다. 시스템 및 정보 모니터링 역할 및 책임을 정의하고 모니터링 및 보고 빈도(예: 실시간, 15분마다, 매시간, 분기별 보고)를 정의합니다.

조직 전체에서 정보 시스템의 통신 트래픽을 분석하기 위한 요구사항을 정확히 담아냅니다. 모니터링을 위한 시스템 지점을 포함하여 이상치를 발견하기 위한 요구사항을 지정합니다. *Google Network Telemetry 서비스를 사용하면 심층적인 네트워크 성능 및 보안 모니터링을 수행할 수 있습니다. 또한 Google에서는 +Aqua Security 및 +Crowdstrike와 같은 클라우드 엔드포인트 및 호스트를 검사하고 보호하기 위해 GCP와 통합되는 강력한 타사 파트너십을 보유하고 있습니다. 보안 VM을 사용하면 기기를 강화하고 인증을 확인하고 보안 부팅 프로세스를 보장할 수 있습니다.

조직에서 보안 이상치 및 무결성 위반을 확인하고 보호하는 방법을 정의합니다. *Cloud Security Command Center, *Forseti Security, *Cloud Policy Intelligence와 같은 도구를 사용하여 구성 변경을 모니터링하고 감지합니다. +구성 관리 도구 또는 Deployment Manager 템플릿을 사용하여 클라우드 리소스에 대한 변경을 다시 인스턴스화하거나 중지합니다.

또한 시스템 정보 및 무결성 정책에서 조직 내 네트워크 서비스 권한 부여 및 승인에 대한 요구 사항을 지정합니다. 네트워크 서비스에 대한 승인 및 권한 부여 프로세스를 간략히 설명합니다. Cloud VPC는 방화벽을 사용하여 네트워크 경계를 보호하기 위해 클라우드 네트워크 및 서브네트워크를 정의하는 데 필수적입니다. VPC 서비스 제어를 사용하면 클라우드에서 민감한 정보에 추가 네트워크 보안 경계를 적용할 수 있습니다.

이 모든 것 외에 사용자는 Google의 보안 부팅 스택과 신뢰할 수 있는 심층 방어 인프라를 자동으로 상속받습니다.

이 가이드라인을 따르면 SI-01, SI-02(01), SI-02(03), SI-03(01), SI-04, SI-04(05), SI-04(11), SI-04(18), SI-04(19), SI-04(20), SI-04(22), SI-04(23), SI-05, SI-06, SI-07, SI-07(01), SI-07(05), SI-07(07), SI-08(01), SI-10, SI-11, SI-16와 같은 보안 제어를 구현하기 위한 토대가 됩니다.

결론

클라우드의 보안 및 규정 준수는 고객과 클라우드 서비스 제공업체를 대신하여 공동으로 작동합니다. Google이 물리적 인프라 및 해당 서비스가 수십 개의 제3자 표준, 규정 및 인증을 준수하도록 지원하는 동안 고객은 클라우드에서 빌드하는 모든 것이 호환되는지 확인해야 합니다.

Google Cloud는 Google이 인프라를 보호하는 데 사용하는 것과 동일한 보안 제품 및 기능을 고객에게 제공하여 고객의 규정 준수 노력을 지원합니다.

면책조항

이 가이드는 정보 제공만을 목적으로 합니다. Google이 본 가이드에서 제공하는 정보 또는 권장사항은 법적 자문에 해당하지 않습니다. 서비스의 특정한 사용을 적절하게 독립적으로 평가하여 법률 및 규정 준수 의무를 이행할 책임은 각 고객에게 있습니다.