FedRAMP(Federal Risk and Authorization Management Program)

정의

클라우드 제품 및 서비스에 적용되는 보안 평가, 인증 및 지속적인 모니터링의 표준화된 접근 방식을 제공하는 미국 정부 차원의 프로그램

의의

• 미국 정부와 클라우드 공급자 간 투명성
• 자동화 및 거의 실시간 지속적 모니터링
• 평가 및 인증의 재사용을 통한 안전한 클라우드 솔루션 채택

거버넌스 주체

• JAB(Joint Authorization Board)
  • FedRAMP의 주 관리 감독/의사 결정 기구
• 기획예산처(OMB)
  • OMB에서는 연방 정보 기술에 관한 지침, 방향, 정책을 제공
• FedRAMP PMO(Program Management Office)
  • 프로그램의 프레임워크를 개발하고 컴플라이언스 활동을 관리하며 서비스 제공업체를 관리 감독하는 책임을 맡음
• CIO 협의회(CIO Council)
  • 클라우드 컴퓨팅 활동과 관련하여 각 기관에 방향을 제시하고 조언하는 위원회
• 국토안보부(DHS)
  • '운영 승인' 프로세스를 통해 클라우드 서비스 제공업체에 대한 기술 및 사이버 보안 평가를 수행

규정 준수 유형

클라우드 서비스 공급자(CSP)가 FedRAMP 규정을 준수함을 입증하는 방법에는 2가지가 있음

• 공동 인증 위원회(JAB)의 인증
  • FedRAMP JAB P-ATO(공동 인증 위원회 잠정적 운영 권한)
• 기관 인증
  • FedRAMP ATO(기관 인증)

컴플라이언스 카테고리

• Low Impact(낮은 영향) 레벨
• Moderate Impact(중간 영향) 레벨
• High Impact(높은 영향) 레벨

인증 절차

인증 유형에 관계없이 일반적인 4단계로 구성

• 패키지 개발
  • 인증 킥오프 미팅을 갖고, 이어서 제공업체는 시스템 보안 계획을 작성
  • 그런 다음 FedRAMP가 승인한 외부 평가 기관에서 보안 평가 계획을 마련
• 평가
  • 보안 평가 조직에서 평가 결과 및 권장 사항을 자세히 기술하는 리포트를 제출
  • 서비스 제공업체는 리포트에 제시된 문제점을 시정하기 위해 주요 일정이 포함된 문제 해결 계획을 마련
• 인증
  • JAB 또는 승인 기관에서 리스크가 낮은 수준이라고 판단하면 FedRAMP PMO에 운영 승인서를 보냄
  • 그런 다음 제공업체의 이름이 FedRAMP 마켓플레이스에 등재
• 모니터링
  • 보안 서비스를 이용하는 각 기관은 월별 모니터링 리포트를 받게 됨

출처(참고문헌)

링크