바로 이동

FedRAMP

미국 연방 정부는 클라우드 제품 및 서비스의 보안 평가, 승인 및 지속적인 모니터링에 대한 표준화된 접근 방식을 제공하는 범정부 차원의 프로그램인 연방 위험 및 인증 관리 프로그램(FedRAMP)을 마련했습니다. 2022년 의회는 FedRAMP를 '기관에서 사용하는 미분류 정보를 처리하는 클라우드 컴퓨팅 제품 및 서비스의 보안 평가 및 승인에 대한 표준화되고 재사용 가능한 접근 방식을 제공하는 정부 차원의 프로그램'으로 규정했습니다.

특정 온프레미스 프라이빗 클라우드를 제외한 모든 연방 정부 기관의 클라우드 배포와 서비스 모델은 적절한 위험 영향 수준(낮음, 중간, 높음)의 FedRAMP 요구사항을 충족해야 합니다.

Google Cloud에서 FedRAMP 승인 서비스를 호스팅하려는 고객은 Assured Workloads를 사용해야 FedRAMP 중간 또는 높음 수준의 영향 수준을 준수할 수 있습니다. 자세한 내용은 아래를 참조하세요.

Google Cloud의 FedRAMP 규정 준수

FedRAMP 위원회(이전 명칭: 합동인증위원회)는 FedRAMP의 주요 관리 기구로서 미국 국방부(DoD), 미 국토안보부(DHS), 미 연방총무청(GSA) 및 GSA 관리자와 FedRAMP 디렉터에 의해 결정되는 기타 기관을 포함합니다.

FedRAMP 위원회는 Google Cloud 인프라와 특정 Google Cloud 서비스 제품(CSO)에 FedRAMP 중간 및 FedRAMP 높음 운영 권한(ATO)을 발급했습니다. Google Cloud는 정기적으로 위원회에 FedRAMP 중간 및 높음 승인을 위한 추가 서비스를 제출합니다.

Google Cloud는 기존 기밀유지 협약(NDA)을 맺은 고객에게 직접 추가 FedRAMP 규정 준수 증거를 제공합니다. NDA가 적용되는 문서는 다음과 같습니다.

  • FedRAMP 고객 책임 규정(CRM)
  • Google Cloud의 시스템 보안 계획(SSP)
  • 침투 테스트 보고서 및 기타 문서

Google 영업팀 또는 Google Cloud 담당자가 추가 문서에 액세스할 수 있도록 도움을 드릴 수 있습니다. 정부 고객은 패키지 요청 양식을 사용하여 FedRAMP 프로그램 관리 부서를 통해 Google의 FedRAMP 패키지를 요청할 수도 있습니다. 

Google 파트너를 통해 구매하는 고객의 경우 Google 파트너에서 구매 이용약관이 제공됩니다.

Google Workspace FedRAMP 규정 준수

Google Workspace는 클라우드 보안 및 개인 정보 보호에 대한 다양한 미국 연방 정부 및 글로벌 표준을 준수합니다. Google Workspace는 FedRAMP 높음 수준 승인을 유지하는 것 외에도 ISO 27017, 27018, 27001 인증을 받았으며, 미국 공인회계사 협회(AICPA) 서비스 조직 제어(SOC) 표준에 따라 감사를 받습니다.

Google Cloud VMware Engine(GCVE)의 FedRAMP 높음 수준의 데이터

2023년 말, FedRAMP 프로그램 관리 부서(PMO)는 타사 평가 조직(3PAO)에서 제공하는 Google Cloud VMware Engine(GCVE) 높은 준비도 평가 보고서(RAR)의 검토를 완료했습니다. 눈에 띄는 기능 약점이 발견되지 않은 긍정적인 검토 결과에 따라 GCVE는 FedRAMP 높음 수준의 준비도 제품(FedRAMP 패키지 ID FR2405153785)으로 승인되었습니다.

FedRAMP 높음 수준의 준비 달성은 GCVE가 FedRAMP 승인을 획득할 가능성이 높다는 것을 미국 연방 정부에 알려줍니다. 또한 GCVE는 ISO 27017, 27018, 27001, PCI-DSS 인증을 받았으며, 미국 공인회계사 협회(AICPA) 서비스 조직 제어(SOC) 표준에 따라 감사를 받습니다.

Google Cloud에서 FedRAMP 중간 및 높음 수준의 워크로드 호스팅

Google Cloud는 Google 인프라의 보안 기반 투자를 통해 고객이 기존의 격리된 정부 클라우드 없이도 다양한 규정 준수 수준을 달성할 수 있도록 보안 제어가 기본 제공 및 사전 구성되도록 보장합니다. 있습니다. 

FedRAMP 중간 및 높음 수준의 환경에서 Google Cloud를 사용하여 솔루션을 배포하려는 고객은 Assured Workloads를 사용해야 합니다. Assured Workloads를 사용하는 고객은 민감한 워크로드를 안심하고 보호 및 구성하여 Google Cloud 서비스를 통해 규정 준수 및 보안 요구사항을 충족할 수 있습니다. Assured Workloads는 퍼블릭 클라우드 데이터 센터와 별개의 물리적 인프라에 의존하지 않습니다. 대신 비용, 속도, 혁신적 이점을 제공하는 소프트웨어 정의 커뮤니티 클라우드를 제공합니다.

Assured Workloads를 통해 제공되는 FedRAMP 승인 서비스는 FedRAMP 보안 제어를 구현하고 고객이 Google Cloud 기능을 사용하여 조직 요구사항을 충족할 수 있도록 합니다. 또한 Assured Workloads는 Assured Workloads 모니터링을 통해 FedRAMP 워크로드의 규정 준수 상태에 대한 가시성을 제공합니다. 이 도구를 사용하면 규정 준수 위반을 찾아 해결할 수 있으며 규정 준수 상태 감사 기관에 제어 증명을 제공할 수 있습니다.

Assured Workloads는 Google Cloud 인프라 FedRAMP 높음 ATO에서 충족하는 제어 외에도 FedRAMP 높음 수준 정부 데이터를 처리하는 고객을 위해 다음과 같은 주요 FedRAMP 높음 수준 제어 기능을 기본적으로 구현합니다. 

  1. FedRAMP 높음 수준 고객 데이터 위치를 미국으로 제한하도록 가드레일 설정
  2. 기술 지원 담당자를 미국 내 FedRAMP 판정 담당자로 제한
  3. FIPS-140-2를 준수하는 저장 데이터와 전송 중 데이터의 암호화 사용 적용
  4. 고객 데이터에 정기적으로 액세스하는 직원에 대해 FedRAMP에서 요구하는 직원 액세스 제어 구현 
  5. 개발자가 FedRAMP 규정 준수 제품 및 서비스만 사용하도록 제한
  6. FedRAMP 중간 및 높음 수준 요구사항을 충족하기 위한 범위 내 규정 준수 경계의 논리적 세분화

Google Workspace에서 FedRAMP 중간 및 높음 수준의 데이터 호스팅

Google Workspace는 고객이 FedRAMP 중간 및 높음 수준의 데이터를 호스팅하는 데 활용할 수 있는 FedRAMP 높음 ATO를 유지합니다. FedRAMP 중간 및 높음 수준의 환경에서 Google Workspace를 배포하려는 고객은 해당 승인을 충족하는 FedRAMP 승인 서비스를 사용 설정해야 합니다. Google Workspace에 대한 서비스를 사용 또는 사용 중지하는 방법 알아보기 

또한 Google Workspace Business 및 Enterprise 버전에는 보안 제어 및 기능 세트가 기본 제공되어 고객이 FedRAMP 높음 수준을 충족하고 자체 ATO를 조정할 수 있습니다. Google Workspace 사용자는 데이터 리전 정책을 사용하여 FedRAMP 데이터 상주 제어를 충족하도록 환경을 구성할 수 있습니다.

FedRAMP 운영 권한(ATO) 획득 프로세스

Google Cloud에서 정부 데이터를 호스팅하는 데 관심이 있는 고객도 자체 운영 권한(ATO)에 관심을 가질 수 있습니다. 조직은 Google Cloud에서 ATO를 달성하기 위해 다음 주요 단계를 고려해야 합니다.

  • 범위 내 데이터에 FedRAMP 중간 또는 FedRAMP 높음 수준이 필요한지 확인
  • 범위 내 Google Cloud 서비스의 경우 Assured Workloads 선택(FedRAMP 중간은 무료 등급, FedRAMP 높음은 프리미엄 구독이 필요함)
  • Google Cloud 내에서 FedRAMP 경계 결정
  • 공유 책임 모델, 고객 책임 규정, 범위 내 Google Cloud 서비스, FedRAMP 가이드라인에 따라 워크로드 구성
  • 제3자 평가 조직(3PAO)과 감사 실시
  • 검토 및 승인을 위해 FedRAMP 위원회 또는 연방 정부 기관에 패키지 제출

ATO 프로세스에 관한 자세한 내용은 FedRAMP 웹사이트를 참조하세요. Google Cloud의 FedRAMP ATO에 대한 추가 지원은 Google Cloud 컨설팅 페이지를 참조하세요. 

FAQ

미국 관리예산국의 최신 FedRAMP 초안 각서는 물리적 분리 대신 논리적 및 소프트웨어 기반 분리에 따른 현대적인 클라우드 접근 방식을 지지하며, 이는 올바른 방향을 위한 큰 진전입니다. Google Cloud는 이러한 접근 방식을 선도해 왔으며 이를 통해 고객이 안전하게 확장하고 혁신할 수 있다고 믿습니다.

FedRAMP에서는 FedRAMP 승인 인프라, 플랫폼, 서비스를 사용하는 클라우드 서비스 제공업체(CSP)에 대해 다양한 상속 수준을 허용합니다. 직접 구현인지 상속된 구현인지에 대한 초기 분석에 따라 CSP로서 준수해야 할 규정 준수 책임 범위가 결정됩니다. 

예를 들어 조직이 애플리케이션의 전체 스택을 빌드하려는 경우 승인 관리자의 평가 기간 중 고객 책임/의무가 더 많이 생깁니다. Platform as a Service 또는 Software as a Service를 사용하면 규정 준수 부담이 덜할 가능성이 높습니다.

FedRAMP 승인 서비스를 선택한 후에는 Google의 도움에 따라 서비스별 구성 가이드를 통해서나 Google Cloud 컨설팅 조직의 FedRAMP 전문가와 직접 소통하여 솔루션을 구성할 수 있습니다.

Google은 상업용 퍼블릭 클라우드 제품 부문에서 FedRAMP 높음 등급을 달성한 최초의 초대형 상용 클라우드 제공업체 중 하나이며, 현재 업계에서 FedRAMP 서비스를 가장 큰 규모로 제공하는 업체 중 하나입니다. 이전에 초대형 서비스 제공업체는 FedRAMP 높음 요구사항을 충족하기 위해 상용 클라우드 제품에서 'govclouds'를 분리했습니다. 이 접근 방식은 규정 준수를 충족할 수 있지만 이러한 개별 환경이 Google 클라우드 인프라가 제공할 수 있는 모든 이점을 제공하지는 않는 경우가 많습니다.

Google Cloud가 FedRAMP 높음 승인을 받으면서 영향력이 큰 워크로드를 처리하는 정부 기관은 상업 고객과 동일한 규모에서 훨씬 빠른 속도로 기술을 도입하고 기능과 용량을 포함한 Google의 고유한 퍼블릭 클라우드 인프라를 활용할 수 있게 되었습니다. Assured Workloads 또는 Assured Controls를 통해 고객은 민감한 워크로드를 안심하고 보호하고 구성하여 클라우드에서 규정 준수 및 보안 요구사항을 지원할 수 있습니다. 보안 설정을 선택하면 Google에서 필요한 클라우드 제어를 적용해 드립니다. 

FedRAMP 승인을 받은 Google Workspace 버전 목록은 아래에 나열됩니다. 다음은 FedRAMP 높음 수준 보안 제어 규정 준수를 지원하기 위해 Google Workspace를 배포하는 구성 가이드입니다. 

예, FedRAMP 중간 또는 FedRAMP 높음 ATO를 달성하려면 Assured Workloads가 필요합니다. Google Cloud는 Assured Workloads를 통해 고객의 연방 워크로드를 식별하고 모든 연방 규제 변경사항에 맞는 기술 가드레일을 적용할 수 있습니다. Google Cloud는 NIST 800-53 버전 5에서 도입된 요건과 Assured Workloads 내에서 실행되는 워크로드의 향후 출시 버전을 포함하여 FedRAMP 규정 준수 요구사항을 유지하기 위해 최선을 다하고 있습니다.

또한 Assured Workloads는 Google Cloud가 FedRAMP 높음 수준의 강화된 지원 및 데이터 상주 요구사항을 충족할 수 있는 유일한 방법입니다. Assured Workloads는 자체 제어 기능이 있는 Google Workspace에는 적용되지 않습니다.

정부 워크로드에 Google Cloud를 사용할 때의 이점 중 하나는 Google의 기본 인프라와 Assured Workloads에서 이미 여러 가지 필수 제어 기능이 마련되어 있다는 것입니다. 따라서 승인을 위해 FedRAMP 위원회에 FedRAMP 패키지를 제출할 때 Google Cloud가 관리하는 제어를 설명하는 Google의 SSP도 포함됩니다. 영업팀에 문의하여 Google Cloud SSP 사본을 요청하세요(NDA 필요).

StateRAMP(주 위험 및 승인 관리 프로그램) 그룹은 StateRAMP 인증을 마련한 비영리단체 멤버십 조직입니다. FedRAMP와 마찬가지로 NIST 800-53 프레임워크를 기반으로 빌드되었으며 FedRAMP를 부분적으로 모델로 삼았습니다. StateRAMP는 또한 FedRAMP 승인 3PAO를 활용하여 평가를 수행합니다. Google Cloud는 Assured Workloads를 통해 향상된 데이터 상주 및 지원 기능을 StateRAMP 정부 고객에게 제공합니다.

FedRAMP Marketplace는 검증된 3PAO 목록을 관리합니다.

Google Cloud의 SSP는 침투 테스트를 위한 Google 소유 리소스를 다루며 고객은 Google Cloud를 사용하여 이 제어를 상속할 수 있습니다. 3PAO 평가 중에 Google Cloud를 사용하여 빌드된 고객의 자체 FedRAMP 환경에 대한 침투 테스트도 수행해야 합니다.

FedRAMP에서는 FedRAMP 승인 인프라, 플랫폼, 서비스를 사용하는 클라우드 서비스 제공업체(CSP)에 대해 다양한 상속 수준을 허용합니다. 직접 구현인지 상속된 구현인지에 대한 초기 분석에 따라 CSP로서 준수해야 할 규정 준수 책임 범위가 결정됩니다. 

예를 들어 조직이 애플리케이션의 전체 스택을 빌드하려는 경우 승인 관리자의 평가 기간 중 고객 책임/의무가 더 많이 생깁니다. Platform as a Service 또는 Software as a Service를 사용하면 규정 준수 부담이 덜할 가능성이 높습니다.

FedRAMP 승인 서비스를 선택한 후에는 Google의 도움에 따라 서비스별 구성 가이드를 통해서나 Google Cloud 컨설팅 조직의 FedRAMP 전문가와 직접 소통하여 솔루션을 구성할 수 있습니다.

Assured Workloads는 고객이 규정 준수 체계를 충족하기 위해 특정 프로젝트 구성을 사용 설정하는 데 사용할 수 있는 Google Cloud 기능입니다. 고객은 Assured Workloads를 사용하지 않고도 조직 정책을 설정하여 직접 규정 준수 요구사항을 충족할 수 있습니다. 제품은 Assured Workloads와 개별적으로 통합되며 조직 정책을 자체적으로 시행합니다.

Google Cloud 콘솔은 고객의 배포를 지원하는 기능이 포함된 간단한 웹 기반 사용자 인터페이스입니다. 고객에게 Google Cloud 애셋을 관리할 수 있는 인터페이스를 제공하는 Google Cloud 인프라에 빌드된 서비스가 아닌 프레임워크입니다. Cloud 콘솔 고객은 개별 Google Cloud 서비스의 API와 직접 상호작용하며 서비스의 API를 사용하여 UI를 렌더링합니다. Cloud 콘솔 자체에는 고객이 상호작용할 수 있는 API가 없습니다. 대신 고객이 개별 Google Cloud 서비스의 API와 직접 상호작용합니다. Cloud 콘솔은 이러한 서비스 API를 사용하여 UI를 렌더링합니다.

대상 서비스 범위

FedRAMP 패키지 ID FR1805751477

*FedRAMP 높음에 해당하는 모든 Google Cloud 서비스는 FedRAMP 중간에도 포함됩니다.

*참고: FedRAMP 중간 및 FedRAMP 높음 플랫폼은 도메인 수준에서 TLS 1.1/1.0 연결을 제한하는 컨트롤을 구현합니다.

Access Context Manager

액세스 투명성

AI Platform Training 및 Prediction(이전 명칭: Cloud Machine Learning Engine)

Anthos Identity Service

Apigee

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video Intelligence

AutoML Vision

Beyondcorp Enterprise

BigQuery Data Transfer Service

Binary Authorization

Care Studio(Cloud Healthcare Search)

CCAI Insights

Certificate Authority Service

Chronicle SIEM(이전 명칭: Chronicle Security)

Cloud Billing API

Cloud Build

Cloud CDN

Cloud Composer

Cloud Data Fusion

Cloud Deployment Manager

Cloud Endpoints

Cloud Error Reporting

Cloud 외부 키 관리자

Cloud Functions

Firebase용 Cloud Functions

Cloud Healthcare API

Cloud IDS

Cloud Interconnect

Cloud Life Sciences(이전 명칭 Google Genomics)

Cloud Load Balancing

Cloud Monitoring

Cloud NAT(네트워크 주소 변환)

Cloud Natural Language API

Cloud Profiler

Cloud Router

Cloud Run(완전 관리형)

Cloud Run for Anthos

Cloud Scheduler

Cloud SDK

Cloud Shell

Cloud Source Repositories

Firebase용 Cloud Storage

Cloud Tasks

Cloud Trace (이전 명칭: Stackdriver Trace)

Cloud Translation

Cloud Vision API

Cloud VPN

구성 관리

연결

Contact Center AI(CCAI)

Data Catalog

Database Migration Service

Datalab

Datastore

Datastream

Dialogflow

Document AI

Earth Engine

Filestore(기본 HDD 및 기본 SSD 등급)

Game Servers

GKE 허브

Google Cloud 앱

Google Cloud Armor

Google Cloud CLI

Google Cloud console

Google Cloud Marketplace

Google Cloud Identity-Aware Proxy

Identity Platform

IoT Core

키 액세스 근거(KAJ)

Looker Studio(Pro 포함, 이전 명칭: Google 데이터 스튜디오)

Network Connectivity Center

네트워크 서비스 등급

Resource Manager API

Secret Manager

Security Command Center(Web Security Scanner 포함)(이전 명칭: Cloud Security Scanner)

Sensitive Data Protection(Cloud Data Loss Prevention 포함)

서비스 디렉터리

Service Infrastructure(이전 명칭: Service Control, Service Management API 및 Service Consumer Management API 포함)

서비스 메시

Speech-to-Text

Storage Transfer Service

Talent Solution

Text-to-Speech

Traffic Director

Video Intelligence API

Vertex AI Workbench 사용자 관리 노트북(이전 명칭: AI Platform Notebooks)

VPC 서비스 제어

Web Risk API

Workflows

직원 ID 제휴

*참고: FedRAMP 중간 및 FedRAMP 높음 플랫폼은 도메인 수준에서 TLS 1.1/1.0 연결을 제한하는 컨트롤을 구현합니다.

Google Workspace Business Plus

Google Workspace Business Standard

Google Workspace Enterprise Plus

Google Workspace Enterprise Standard

FedRAMP 패키지 ID F1206081364

*이제 관리 콘솔 및 Cloud ID가 Google 서비스 패키지에 포함됩니다(FR1805751477).

*참고: FedRAMP 중간 및 FedRAMP 높음 플랫폼은 도메인 수준에서 TLS 1.1/1.0 연결을 제한하는 컨트롤을 구현합니다.

Calendar

Docs

Drive

Forms

Gmail

Google Chat

Google Meet

Keep

새 Sites

Sheets

Slides

Vault

Google Workspace 서비스(FedRAMP 중간)

FedRAMP 패키지 ID F1206081364

*이제 관리 콘솔 및 Cloud ID가 Google 서비스 패키지에 포함됩니다(FR1805751477).

*참고: FedRAMP 중간 및 FedRAMP 높음 플랫폼은 도메인 수준에서 TLS 1.1/1.0 연결을 제한하는 컨트롤을 구현합니다.

Android 및 Chrome 기기 관리

Apps Activity API

Chrome 동기화(Google Workspace for Education 도메인 전용)

클래스룸

Cloud Search(3P 포함)

주소록

Calendar API

Contacts API

Docs API

Drawings

Drive REST API(Documents List API 대체)

Gmail REST API(Email Migration API 대체)

Google Meet 라이브 스트림

Google Tasks

Google Voice

Google Workspace 보안 센터(Enterprise Plus 및 Google Workspace for Education Plus 도메인 전용)

Groups for Business

Jamboard

보안 LDAP

Sheets API

Sites API

Tasks API

FedRAMP 높음에 해당하는 모든 Google Cloud 리전은 FedRAMP 중간에도 포함됩니다.

오리건(us-west1) - FedRAMP 높음

로스앤젤레스(us-west2) - FedRAMP 높음

솔트레이크시티(us-west3) - FedRAMP 높음

라스베이거스(us-west4) - FedRAMP 높음

아이오와(us-central1) - FedRAMP 높음

오클라호마(us-central2) - FedRAMP 높음

사우스캐롤라이나(us-east1) - FedRAMP 높음

북버지니아(us-east4) - FedRAMP 높음

콜럼버스(us-east5) - FedRAMP 높음

댈러스(us-south1) - FedRAMP 높음

몬트리올(northamerica-northeast1) - FedRAMP 중간

상파울루(southamerica-east1) - FedRAMP 중간

벨기에(europe-west1) - FedRAMP 중간

런던(europe-west2) - FedRAMP 중간

프랑크푸르트(europe-west3) - FedRAMP 중간

네덜란드(europe-west4) - FedRAMP 중간

핀란드(europe-north1) - FedRAMP 중간

뭄바이(asia-south1) - FedRAMP 중간

싱가포르(asia-southeast1) - FedRAMP 중간

타이완(asia-east1) - FedRAMP 중간

도쿄(asia-northeast1) - FedRAMP 중간

시드니(australia-southeast1) - FedRAMP 중간

취리히(europe-west6) - FedRAMP 중간

바르샤바(europe-central2) - FedRAMP 중간

자카르타(asia-southeast2) - FedRAMP 중간

오사카(asia-northeast2) - FedRAMP 중간

서울(asia-northeast3) - FedRAMP 중간