월드 투어:
Menlo의 보안 엔터프라이즈 브라우저를 통해 어떻게 공격자보다 한 발 앞서 나갈 수 있는지 실시간으로 살펴보세요.
미국 연방 정부는 지구상에서 가장 민감한 데이터 중 일부를 보유하고 있으며, 이러한 데이터에는 철저한 보안이 필요합니다.그렇기 때문에 연방 정부는 협력하는 클라우드 공급자가 가장 엄격한 보안 표준을 충족하도록 요구합니다.하지만 보안 요구 사항을 이처럼 엄격하게 준수해야 하는 필요성 때문에 점점 더 많은 조직이 리소스와 애플리케이션을 클라우드로 이전함에 따라 연방 기관은 민간 부문보다 뒤쳐지고 있습니다.
FedRAMP를 입력하세요®.보안 요구 사항과 신기술 구현의 균형을 맞춰야 할 필요성을 잘 알고 있던 연방 정부는 2011년에 FedRAMP를 도입하여 연방 기관의 보안 클라우드 솔루션 채택을 가속화했습니다.이 프로그램은 클라우드 서비스 제공업체 (CSP) 솔루션의 보안 평가 및 권한 부여에 대한 표준화된 접근 방식을 제공하여 민감한 정보 및 데이터를 처리하는 연방 기관에서 사용할 수 있을 만큼 안전한 클라우드 서비스를 제공합니다.FedRAMP를 사용하면 CSP가 새로운 연방 기관에 대해 길고 값비싼 개별 인증을 거치지 않고도 연방 기관에 서비스를 제공할 수 있으므로 프로세스가 간소화되고 중복이 없어집니다.
“FedRAMP는 정부 기관이 보안 관점에서 클라우드 기능을 사용할지 여부를 매우 빠르게 결정할 수 있도록 도와줍니다.” 라고 Disa (미국 국방정보시스템국) 의 전 CTO인 데이비드 미헬치치 (David Mihelcic) 는 말합니다.
FedRAMP는 연방 정부의 클라우드 서비스 도입을 가속화하기 위해 만들어졌지만, 이 인증은 공공 부문 외부의 사람들에게도 가치를 제공합니다.CSP와 협력하려는 상업 조직의 경우 FedRAMP는 판도를 바꿀 수 있습니다.
FedRAMP 인증을 통해 조직은 가장 보안에 민감한 조직인 연방 정부와 협력할 수 있습니다.국방부 및 국토안보부와 같은 연방 기관의 경우 연방 정부의 데이터를 안전하게 유지하는 것은 말 그대로 국가 안보의 문제입니다.
멘로 시큐리티의 공공 부문 부사장인 대린 커티스 (Darrin Curtis) 는 “제품은 정부의 보안 표준에 맞게 강화되어야 한다”고 말했다.“연방 기관을 보호하는 데 있어 두 번째 기회는 없습니다.”
제품이 연방 정부에 의해 충분히 안전하다면 다른 산업에서도 충분히 안전할 수 있습니다.어떤 조직이든 제품에 대해 원하는 어떤 주장도 할 수 있지만, FedRAMP 인증은 CSP의 보안 아키텍처가 정부의 엄격한 요구 사항을 충족한다는 것을 증명합니다.
FedRAMP 마켓플레이스에서 FedRAMP 인증 기업으로 등록된 조직은 264개에 불과하지만, FedRAMP 인증을 받은 조직은 독점 클럽에 가입하게 됩니다.공인 자격을 얻으려면 일반적으로 연방 기관의 후원이 필요하며 투자 수익률이 높지 않은 단체를 후원하는 데 시간과 돈을 투자하지 않으려는 데에는 그만한 이유가 있습니다.
Mihelcic은 “정부 기관이 여러분이 제공하는 극단적인 가치를 인정하도록 해야 합니다.” 라고 말했습니다.“그들은 조직을 후원하기 위한 투자를 할 수 있을 만큼 충분한 가치를 알아차려야 합니다.”
FedRAMP 요구 사항은 연방 정부에만 적용되는 것이 아니라 주 및 지방 정부 기관 및 고등 교육 기관에도 적용됩니다.10개 주에서는 StateRamp 요구 사항을 충족하기 위해 주 및 지방 기관과 협력하는 CSP가 StateRamp 요구 사항을 충족하도록 요구하고 있으며, 다른 주에서는 StateRamp를 지침으로 삼고 있습니다.FedRAMP 인증을 받은 CSP는 길고 긴 규정 준수 절차를 다시 거칠 필요가 없습니다. FedRAMP 자료와 함께 StateRamp 이사회에 신청하기만 하면 한 달 이내에 승인을 받을 수 있습니다.
Curtis에 따르면 일본과 호주와 같은 외국 정부에서도 FedRAMP를 벤치마크로 삼고 있지만 자체 규정 준수 요구 사항이 있습니다.제품이 세계 최대 규제 산업인 미국 연방 정부의 사양에 맞게 제작되었다는 사실을 알면 중요 인프라, 의료, 은행 등 민감한 데이터를 취급하고 규제가 엄격한 산업에 속한 조직은 제품 보안에 대한 확신을 가질 수 있습니다.
FedRAMP 인증은 한 번에 끝나는 것이 아닙니다.FedRAMP 인증 상태를 유지하려면 규정 준수를 보장하기 위해 연간 감사 및 FedRAMP의 프로그램 관리 사무소 (PMO) 에 월별 보고서를 제출하는 등 지속적인 모니터링이 필요합니다.
어느 시점에서든 조직의 위험 수준이 높아지거나 FedRAMP 요구 사항을 충족하지 못할 경우 FedRAMP 인증 자격을 취소할 수 있습니다.따라서 FedRAMP 공인 자격은 조직이 특정 시점에 엄격한 보안 요구 사항을 충족했을 뿐만 아니라 해당 요구 사항을 여전히 충족한다는 것을 보증합니다.
대부분의 조직은 FedRAMP 요구 사항을 염두에 두고 제품을 만들지 않았으므로 제품이 즉시 모든 요구 사항을 충족할 가능성은 거의 없습니다.즉, 조직은 데이터를 암호화하고 미국에서 코드를 작성하는 등 FedRAMP 요구 사항을 충족하기 위해 제품의 일부를 재설계하는 데 상당한 시간, 노력 및 자원을 투자해야 합니다.
예를 들어 Curtis에 따르면 Menlo Security는 FedRAMP 요구 사항을 충족하는지 확인하기 위해 Isolation Core™ 로 구동되는 클라우드 보안 플랫폼의 일부를 테스트하고 강화하는 데 상당한 자원을 투자해야 했습니다.이를 통해 Menlo는 제품의 특정 부분을 재평가하고 깨끗한 코드로 다시 구축할 수 있었습니다. 이는 뒤쳐지기보다는 미래를 내다보는 경향이 있는 대부분의 조직에게는 드문 기회였습니다.
FedRAMP 인증을 받는 것은 중요한 사업입니다. 이를 위해서는 다양한 팀 간의 협업과 이사회, 경영진 및 기타 이해 관계자의 동의가 필요합니다.Menlo는 FedRAMP 인증 프로세스의 일환으로 FedRAMP 전문 팀을 구성하고 전문가를 고용했으며 다른 신제품보다 FedRAMP 제품 구축에 우선 순위를 두었습니다.
“이것은 엄청난 노력입니다.커티스는 회사 전체가 이를 뒷받침해야 합니다.” 라고 말했습니다.“그들은 기꺼이 투자하고 노력을 기울여야 인증을 받을 수 있습니다.”이러한 유형의 비용, 시간 및 인건비에 대한 투자는 FedRAMP 공인 조직이 보안과 관련하여 입이 있는 곳에 자금을 투자할 준비가 되어 있음을 보여줍니다.이는 투자할 의사가 있다는 것을 보여줄 뿐만 아니라 해당 투자를 실행할 수 있을 만큼 충분히 조율할 수 있다는 것을 보여줍니다.
FedRAMP는 CSP가 연방 정부와 협력하기 위해 확인해야 하는 특정 요구 사항의 목록 그 이상입니다.이는 최고 수준의 지속적 보안을 나타내는 실질적인 지표이므로 조직은 어떤 CSP와 협력할지 평가할 때 참고하는 것이 좋습니다.
