FedRAMP
미국 연방 정부는 클라우드 제품 및 서비스의 보안 평가, 승인 및 지속적인 모니터링에 대한 표준화된 접근 방식을 제공하는 범정부 차원의 프로그램인 연방 위험 및 인증 관리 프로그램(FedRAMP)을 마련했습니다. 2022년 의회는 FedRAMP를 '기관에서 사용하는 미분류 정보를 처리하는 클라우드 컴퓨팅 제품 및 서비스의 보안 평가 및 승인에 대한 표준화되고 재사용 가능한 접근 방식을 제공하는 정부 차원의 프로그램'으로 규정했습니다.
특정 온프레미스 프라이빗 클라우드를 제외한 모든 연방 정부 기관의 클라우드 배포와 서비스 모델은 적절한 위험 영향 수준(낮음, 중간, 높음)의 FedRAMP 요구사항을 충족해야 합니다.
Google Cloud에서 FedRAMP 승인 서비스를 호스팅하려는 고객은 Assured Workloads를 사용해야 FedRAMP 중간 또는 높음 수준의 영향 수준을 준수할 수 있습니다. 자세한 내용은 아래를 참조하세요.
Google Cloud의 FedRAMP 규정 준수
FedRAMP 위원회(이전 명칭: 합동인증위원회)는 FedRAMP의 주요 관리 기구로서 미국 국방부(DoD), 미 국토안보부(DHS), 미 연방총무청(GSA) 및 GSA 관리자와 FedRAMP 디렉터에 의해 결정되는 기타 기관을 포함합니다.
FedRAMP 위원회는 Google Cloud 인프라와 특정 Google Cloud 서비스 제품(CSO)에 FedRAMP 중간 및 FedRAMP 높음 운영 권한(ATO)을 발급했습니다. Google Cloud는 정기적으로 위원회에 FedRAMP 중간 및 높음 승인을 위한 추가 서비스를 제출합니다.
Google Cloud는 기존 기밀유지 협약(NDA)을 맺은 고객에게 직접 추가 FedRAMP 규정 준수 증거를 제공합니다. NDA가 적용되는 문서는 다음과 같습니다.
- FedRAMP 고객 책임 규정(CRM)
- Google Cloud의 시스템 보안 계획(SSP)
- 침투 테스트 보고서 및 기타 문서
Google 영업팀 또는 Google Cloud 담당자가 추가 문서에 액세스할 수 있도록 도움을 드릴 수 있습니다. 정부 고객은 패키지 요청 양식을 사용하여 FedRAMP 프로그램 관리 부서를 통해 Google의 FedRAMP 패키지를 요청할 수도 있습니다.
Google 파트너를 통해 구매하는 고객의 경우 Google 파트너에서 구매 이용약관이 제공됩니다.
Google Workspace FedRAMP 규정 준수
Google Workspace는 클라우드 보안 및 개인 정보 보호에 대한 다양한 미국 연방 정부 및 글로벌 표준을 준수합니다. Google Workspace는 FedRAMP 높음 수준 승인을 유지하는 것 외에도 ISO 27017, 27018, 27001 인증을 받았으며, 미국 공인회계사 협회(AICPA) 서비스 조직 제어(SOC) 표준에 따라 감사를 받습니다.
Google Cloud VMware Engine(GCVE)의 FedRAMP 높음 수준의 데이터
2023년 말, FedRAMP 프로그램 관리 부서(PMO)는 타사 평가 조직(3PAO)에서 제공하는 Google Cloud VMware Engine(GCVE) 높은 준비도 평가 보고서(RAR)의 검토를 완료했습니다. 눈에 띄는 기능 약점이 발견되지 않은 긍정적인 검토 결과에 따라 GCVE는 FedRAMP 높음 수준의 준비도 제품(FedRAMP 패키지 ID FR2405153785)으로 승인되었습니다.
FedRAMP 높음 수준의 준비 달성은 GCVE가 FedRAMP 승인을 획득할 가능성이 높다는 것을 미국 연방 정부에 알려줍니다. 또한 GCVE는 ISO 27017, 27018, 27001, PCI-DSS 인증을 받았으며, 미국 공인회계사 협회(AICPA) 서비스 조직 제어(SOC) 표준에 따라 감사를 받습니다.
Google Cloud에서 FedRAMP 중간 및 높음 수준의 워크로드 호스팅
Google Cloud는 Google 인프라의 보안 기반 투자를 통해 고객이 기존의 격리된 정부 클라우드 없이도 다양한 규정 준수 수준을 달성할 수 있도록 보안 제어가 기본 제공 및 사전 구성되도록 보장합니다. 있습니다.
FedRAMP 중간 및 높음 수준의 환경에서 Google Cloud를 사용하여 솔루션을 배포하려는 고객은 Assured Workloads를 사용해야 합니다. Assured Workloads를 사용하는 고객은 민감한 워크로드를 안심하고 보호 및 구성하여 Google Cloud 서비스를 통해 규정 준수 및 보안 요구사항을 충족할 수 있습니다. Assured Workloads는 퍼블릭 클라우드 데이터 센터와 별개의 물리적 인프라에 의존하지 않습니다. 대신 비용, 속도, 혁신적 이점을 제공하는 소프트웨어 정의 커뮤니티 클라우드를 제공합니다.
Assured Workloads를 통해 제공되는 FedRAMP 승인 서비스는 FedRAMP 보안 제어를 구현하고 고객이 Google Cloud 기능을 사용하여 조직 요구사항을 충족할 수 있도록 합니다. 또한 Assured Workloads는 Assured Workloads 모니터링을 통해 FedRAMP 워크로드의 규정 준수 상태에 대한 가시성을 제공합니다. 이 도구를 사용하면 규정 준수 위반을 찾아 해결할 수 있으며 규정 준수 상태 감사 기관에 제어 증명을 제공할 수 있습니다.
Assured Workloads는 Google Cloud 인프라 FedRAMP 높음 ATO에서 충족하는 제어 외에도 FedRAMP 높음 수준 정부 데이터를 처리하는 고객을 위해 다음과 같은 주요 FedRAMP 높음 수준 제어 기능을 기본적으로 구현합니다.
- FedRAMP 높음 수준 고객 데이터 위치를 미국으로 제한하도록 가드레일 설정
- 기술 지원 담당자를 미국 내 FedRAMP 판정 담당자로 제한
- FIPS-140-2를 준수하는 저장 데이터와 전송 중 데이터의 암호화 사용 적용
- 고객 데이터에 정기적으로 액세스하는 직원에 대해 FedRAMP에서 요구하는 직원 액세스 제어 구현
- 개발자가 FedRAMP 규정 준수 제품 및 서비스만 사용하도록 제한
- FedRAMP 중간 및 높음 수준 요구사항을 충족하기 위한 범위 내 규정 준수 경계의 논리적 세분화
Google Workspace에서 FedRAMP 중간 및 높음 수준의 데이터 호스팅
Google Workspace는 고객이 FedRAMP 중간 및 높음 수준의 데이터를 호스팅하는 데 활용할 수 있는 FedRAMP 높음 ATO를 유지합니다. FedRAMP 중간 및 높음 수준의 환경에서 Google Workspace를 배포하려는 고객은 해당 승인을 충족하는 FedRAMP 승인 서비스를 사용 설정해야 합니다. Google Workspace에 대한 서비스를 사용 또는 사용 중지하는 방법 알아보기
또한 Google Workspace Business 및 Enterprise 버전에는 보안 제어 및 기능 세트가 기본 제공되어 고객이 FedRAMP 높음 수준을 충족하고 자체 ATO를 조정할 수 있습니다. Google Workspace 사용자는 데이터 리전 정책을 사용하여 FedRAMP 데이터 상주 제어를 충족하도록 환경을 구성할 수 있습니다.
FedRAMP 운영 권한(ATO) 획득 프로세스
Google Cloud에서 정부 데이터를 호스팅하는 데 관심이 있는 고객도 자체 운영 권한(ATO)에 관심을 가질 수 있습니다. 조직은 Google Cloud에서 ATO를 달성하기 위해 다음 주요 단계를 고려해야 합니다.
- 범위 내 데이터에 FedRAMP 중간 또는 FedRAMP 높음 수준이 필요한지 확인
- 범위 내 Google Cloud 서비스의 경우 Assured Workloads 선택(FedRAMP 중간은 무료 등급, FedRAMP 높음은 프리미엄 구독이 필요함)
- Google Cloud 내에서 FedRAMP 경계 결정
- 공유 책임 모델, 고객 책임 규정, 범위 내 Google Cloud 서비스, FedRAMP 가이드라인에 따라 워크로드 구성
- 제3자 평가 조직(3PAO)과 감사 실시
- 검토 및 승인을 위해 FedRAMP 위원회 또는 연방 정부 기관에 패키지 제출
ATO 프로세스에 관한 자세한 내용은 FedRAMP 웹사이트를 참조하세요. Google Cloud의 FedRAMP ATO에 대한 추가 지원은 Google Cloud 컨설팅 페이지를 참조하세요.