이 가이드는 보안 담당자, 규정 준수 담당자, IT 관리자, 그리고 Google Cloud에서 연방 위험 및 인증 관리 프로그램(FedRAMP) 구현 및 규정 준수를 담당하는 기타 직원을 대상으로 합니다. 이 가이드는 Google에서 FedRAMP 규정 준수를 지원할 수 있는 방법 및 FedRAMP에 따른 책임을 충족하기 위해 구성하는 Google Cloud 도구, 제품, 서비스를 이해하는 데 도움이 됩니다.
개요
Google Cloud는 FedRAMP 규정 준수를 지원하며, Google 보안 백서 및 Google 인프라 보안 설계 개요를 통해 보안 및 데이터 보호에 대한 구체적인 접근법을 제공합니다. Google은 규정을 준수하는 안전한 클라우드 인프라를 제공하지만 자체 FedRAMP 규정 준수를 평가할 책임은 사용자에게 있습니다. 또한 사용자는 Google Cloud를 기반으로 빌드하는 환경과 애플리케이션을 FedRAMP 요구사항에 따라 적절히 구성하고 보호할 책임도 있습니다.
이 문서는 FedRAMP 운영 권한(ATO) 단계를 간략히 설명하고, Google Cloud 공유 책임 모델을 설명하고, 고객별 책임을 강조하며, Google Cloud에서 이러한 요구사항 및 가이드라인을 충족하는 방법을 제안합니다.
FedRAMP
연방 위험 및 인증 관리 프로그램(FedRAMP)은 FISMA(Federal Information Security Modernization Act)가 클라우드 컴퓨팅에 적용되는 방식을 표준화한 범정부 차원의 프로그램입니다. 클라우드 기반 서비스의 보안 평가, 승인, 지속적인 모니터링에 반복 가능한 접근 방식을 확립합니다.
FedRAMP의 표준과 가이드라인을 통해 클라우드에서 민감하고 업무에 필수적이고 중요한 데이터를 보호하여 사이버 보안 취약점을 신속하게 감지할 수 있습니다.
개략적으로 FedRAMP는 다음과 같은 목표가 있습니다.
- 정부 기관에서 사용하는 클라우드 서비스와 시스템에 적절한 보호 장치가 마련되어 있는지 확인합니다.
- 중복되는 작업을 삭제하고 위험 관리 비용을 절감합니다.
- 정부 기관이 빠르고 효율적으로 정보 시스템 및 서비스를 조달할 수 있도록 지원합니다.
FedRAMP에 따라 연방 정부 기관이 다음을 수행해야 합니다.
- 정부 데이터를 처리, 전송, 저장하는 모든 클라우드 시스템이 FedRAMP 보안 제어 기준을 사용하는지 확인합니다.
- FISMA에 따라 보안을 승인할 때 보안 평가 계획을 사용합니다.
- 클라우드 서비스 제공업체(CSP)와의 계약을 통해 FedRAMP 요구사항을 적용합니다.
운영 권한(ATO)
FedRAMP 인증 프로세스의 성공적인 구현 및 실행은 클라우드의 운영 권한(ATO)으로 끝이 납니다. FedRAMP ATO에는 P-ATO 및 대행사 ATO의 두 가지 경로가 있습니다.
P-ATO(잠정적 운영 권한)는 FedRAMP의 합동인증위원회(JAB)에서 부여합니다. JAB는 미국 국토안보부(DHS), 총무성(GSA), 국방부(DoD)로 구성되어 있습니다. 이 위원회는 기본 FedRAMP 보안 제어를 정의하고 타사 평가 조직(3PAO)에 대한 FedRAMP 인증 기준을 수립합니다. 조직 및 대행사는 정보 시스템 보안 패키지를 JAB에서 처리하도록 요청하고, JAB는 클라우드 서비스를 사용하도록 P-ATO를 실행합니다.
대행사 ATO를 통해 내부 조직 또는 대행사는 정보 시스템 보안 패키지의 위험 검토를 수행할 승인 관리자(AO)를 지정합니다. AO는 3PAO 또는 비공인 독립 평가자(IA)가 정보 시스템 보안 패키지 검토에 참여하도록 유도할 수 있습니다. AO와 이후에 대행사 또는 조직은 정보 시스템의 클라우드 서비스 사용을 승인합니다. 또한 보안 패키지는 검토를 위해 FedRAMP Program Management Office(PMO)에 전송됩니다. GSA가 FedRAMP의 PMO입니다. PMO는 검토 후 다른 대행사 및 조직에서 사용할 보안 패키지를 게시합니다.
보안 평가 계획
대행사 및 조직의 승인 관리자(AO)는 FedRAMP 보안 평가 계획(SAP)을 내부 승인 프로세스에 통합하여 클라우드 서비스 사용에 대한 FedRAMP 요구사항을 충족하는지 확인해야 합니다. SAF는 다음 네 가지 단계로 구현됩니다.
사용자 또는 AO는 기밀성, 무결성 및 가용성에 대한 FIPS PUB 199 보안 목표에 따라 정보 시스템을 낮음, 중간, 높음 영향 시스템으로 분류합니다.
시스템의 FIPS 분류에 따라 FIPS 199 분류 수준(낮음, 중간, 높음)과 연결되는 FedRAMP 보안 제어 기준을 선택합니다. 그런 다음 각 제어 기준에서 포착한 보안 제어를 구현해야 합니다. 제어를 충족할 수 없거나 구현할 수 없는 이유에 대한 대체 구현과 근거도 허용됩니다.
시스템 보안 계획(SSP)에서 보안 제어 구현의 세부정보를 정확히 담아냅니다. FedRAMP 규정 준수 수준(낮음, 중간, 높음)에 따라 SSP 템플릿을 선택하는 것이 좋습니다.
SSP는 다음을 수행합니다.
- 보안 승인 경계를 설명합니다.
- 시스템 구현이 각 FedRAMP 보안 컨트롤을 해결하는 방법을 설명합니다.
- 시스템 역할 및 책임의 개요를 설명합니다.
- 예상되는 시스템 사용자 행동을 정의합니다.
- 시스템 구성 방법과 지원 인프라의 형태를 보여줍니다.
FedRAMP 승인 검토 템플릿을 사용하여 ATO 진행 상황을 추적합니다.
구현 단계에 대한 자세한 내용은 FedRAMP의 대행사 승인 프로세스를 참조하세요.
클라우드 책임 모델
기존의 인프라 기술(IT)에서는 시스템 및 서비스를 빌드하도록 조직 및 기관이 물리적 데이터 센터나 코로케이션 공간, 물리적 서버, 네트워킹 장비, 소프트웨어, 라이선스 및 기타 기기를 구매해야 했습니다. CSP는 클라우드 컴퓨팅을 통해 물리적 하드웨어, 데이터 센터, 글로벌 네트워킹에 투자하고, 고객이 사용할 수 있도록 가상 장비, 도구, 서비스도 제공합니다.
클라우드 컴퓨팅 모델에는 Infrastructure as a Service(IaaS), Platform as a Service(PaaS), Software as a Service(SaaS)의 3가지 모델이 있습니다.
IaaS 모델에서 CSP는 클라우드에서 기본적으로 가상 데이터 센터를 제공하며 서버, 네트워크, 스토리지와 같은 가상화된 컴퓨팅 인프라를 제공합니다. CSP는 이러한 리소스에 대한 물리적 장비 및 데이터 센터를 관리하지만, 가상 인프라에서 실행되는 플랫폼 또는 애플리케이션 리소스를 구성 및 보호할 책임은 사용자에게 있습니다.
PaaS 모델에서 CSP는 인프라 및 가상화 레이어를 제공하고 관리할 수 있을 뿐만 아니라 고객에게 소프트웨어, 애플리케이션, 웹 서비스를 만들기 위해 사전 개발되고 사전 구성된 플랫폼을 제공합니다. PaaS를 사용하면 개발자가 기본 하드웨어의 보안 및 구성에 대해 걱정할 필요 없이 애플리케이션과 미들웨어를 쉽게 만들 수 있습니다.
SaaS 모델에서 CSP는 물리적 및 가상 인프라와 플랫폼 레이어를 관리하는 동시에 고객이 사용할 클라우드 기반 애플리케이션과 서비스를 제공합니다. 웹브라우저에서 직접 실행하거나 웹사이트로 이동하여 실행하는 인터넷 애플리케이션은 SaaS 애플리케이션입니다. 이 모델을 사용하는 조직 및 대행사는 애플리케이션 설치, 업데이트, 지원에 대해 걱정할 필요 없이 시스템 및 데이터 액세스 정책을 관리할 수 있습니다.
다음 그림은 CSP의 책임과 온프레미스 및 클라우드 컴퓨팅 모델 전반에서 사용자의 책임을 보여줍니다.
FedRAMP 책임
물리적 인프라 레이어, 클라우드 인프라 레이어, 클라우드 플랫폼 레이어, 클라우드 소프트웨어 레이어와 관련된 클라우드 IT 스택을 볼 수 있습니다. 다음 다이어그램은 이러한 레이어를 보여줍니다.
다이어그램에서 번호가 매겨진 계층은 다음과 같습니다.
- Software as a service. Google Workspace는 FedRAMP Moderate로 인증되었습니다. 이러한 SaaS 보안 제어를 상속받기 위해 JAB의 Google ATO 패키지 사본을 요청하고 패키지에 Google의 증명서를 포함할 수 있습니다.
- Platform as a Service. Google Cloud의 FedRAMP 인증 물리적 인프라 외에, App Engine, Cloud Storage, 데이터베이스 서비스를 포함하여 추가 PaaS 제품 및 서비스에도 FedRAMP가 적용됩니다. 가능하다면 이처럼 사전 인증된 제품 및 서비스를 사용하세요.
- Infrastructure as a Service. Google Cloud의 FedRAMP 인증 물리적 인프라 외에, Google Kubernetes Engine(GKE) 및 Compute Engine을 포함하여 추가 IaaS 제품 및 서비스에도 FedRAMP가 적용됩니다. 가능하다면 이처럼 사전 인증된 제품 및 서비스를 사용하세요.
- 물리 인프라. Google Cloud는 JAB에서 FedRAMP Moderate로 인증을 받았습니다. 이러한 물리적 보안 제어를 상속받기 위해 Google ATO 패키지의 사본을 요청하고 패키지에 Google의 증명서를 포함할 수 있습니다.
FedRAMP ATO와 관련하여 클라우드 IT 스택의 각 계층은 독립적인 제어 경계로 간주되며 각 제어 경계에는 별도의 ATO가 필요합니다. 즉, Google Cloud의 FedRAMP 규정 준수가 있고 FedRAMP가 적용되는 수십 개의 Google Cloud 서비스가 있더라도 클라우드 시스템 및 워크로드가 FedRAMP 준수 자격을 얻으려면 FedRAMP 보안 기준 제어 및 SAF 프로세스를 구현해야 합니다.
낮음, 중간, 높음 규정 준수 기준에 따라 FedRAMP 보안 제어에는 정보 시스템에 의해 구현된 제어와 조직에서 구현하는 제어의 두 가지 유형이 있습니다. 조직 또는 대행사에서 Google Cloud에 FedRAMP 호환 시스템을 빌드하면 Google이 해당 FedRAMP 인증에 따라 충족하는 물리적 인프라 보안 제어를 상속하게 됩니다. 또한 Google Workspace를 사용할 때 Google의 FedRAMP 호환 제품 및 서비스와 모든 SaaS 제어에 빌드된 모든 물리적 인프라, IaaS, PaaS 보안 제어를 상속합니다. 그러나 사용자는 FedRAMP 보안 제어 기준에 정의된 대로 IaaS, PaaS, SaaS 수준에서 다른 모든 보안 제어 및 구성을 구현해야 합니다.
FedRAMP 구현 권장사항
앞서 언급한 것처럼 CSP에서 일부 보안 제어를 상속합니다. 다른 제어의 경우 각 제어를 충족시키기 위해 이를 구체적으로 구성하고 조직에서 정의한 정책, 규칙, 규정을 만들어야 합니다.
이 섹션에서는 조직에서 정의한 정책을 Google Cloud 도구, 서비스, 권장사항에 사용하여 클라우드에서 NIST 800-53 보안 제어를 구현하는 데 도움이 되는 방법을 제공합니다.
액세스 제어
Google Cloud에서 액세스 제어를 관리하려면 클라우드에서 정보 시스템 계정을 관리할 조직 관리자를 정의합니다. Cloud ID, 관리 콘솔, 기타 다른 ID 공급업체(예: Active Directory 또는 LDAP)를 사용하여 액세스 제어 그룹에 이러한 관리자를 배치하고, 타사 ID 공급업체가 Google Cloud와 제휴되도록 합니다. Identity and Access Management(IAM)를 사용하여 관리 그룹에 역할 및 권한을 할당하여 최소 권한과 업무 분리를 구현합니다.
클라우드에서 정보 시스템 계정을 위해 조직 전체 액세스 제어 정책을 개발합니다. 조직에서 정보 시스템 계정을 만들고, 사용 설정, 수정, 사용 중지, 삭제하는 데 사용할 매개변수 및 절차를 정의합니다.
계정 관리, 업무 분리, 최소 권한
액세스 제어 정책에서 조직에서 정보 시스템 계정을 만들고 사용 설정, 수정, 사용 중지, 삭제할 매개변수 및 절차를 정의합니다. 정보 시스템 계정을 사용해야 하는 조건을 정의합니다.
또한 사용자가 시스템에서 로그아웃해야 하는 비활성 기간(예: *x*분, *x*시간 또는 *x*일 후)을 식별합니다. Cloud ID, 관리 콘솔 또는 애플리케이션 구성을 사용하여 지정된 기간 후에 사용자가 로그아웃하거나 재인증하도록 합니다.
권한이 있는 역할 할당이 더 이상 조직 내 사용자에게 적합하지 않을 때 실행해야 하는 작업을 정의합니다. Google의 *Policy Intelligence에는 스마트한 액세스 제어 권장사항을 만들기 위해 머신 러닝을 사용하여 Google Cloud 리소스에 대해 원치 않는 액세스를 삭제할 수 있게 해주는 IAM 추천자 기능이 포함되어 있습니다.
그룹 계정이 적합한 조건을 정의합니다. Cloud ID 또는 관리 콘솔을 사용하여 그룹 또는 서비스 계정을 만듭니다. IAM을 사용하여 공유 그룹 및 서비스 계정에 역할 및 권한을 할당합니다. 가능하면 서비스 계정을 사용하세요. 조직에 대한 정보 시스템 계정의 비전형적인 사용을 지정합니다. 비전형적인 사용을 감지할 때 Google Cloud Observability 또는 *Security Command Center와 같은 도구를 사용하여 정보 시스템 관리자에게 알림을 보냅니다.
이러한 지침을 따르면 AC-02, AC-02 (04), AC-02 (05), AC-02 (07), AC-02 (09), AC-02 (11), AC-02 (12), AC-05, AC-06 (01), AC-06 (03), AC-06 (05), AU-2, AU-3, AU-6, AU-12, SI-04, SI-04 (05), SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23)와 같은 보안 제어를 구현하는 데 도움이 됩니다.
정보 흐름 적용 및 원격 액세스
조직 전체의 액세스 제어 정책에서 조직의 정보 흐름 제어 정책을 정의합니다. 금지되거나 제한된 포트, 프로토콜, 서비스를 식별합니다. 내부 및 외부 시스템과의 상호 연결 요구사항 및 제한사항을 정의합니다. 가상 프라이빗 클라우드(VPC)와 같은 도구를 사용하여 방화벽, 논리적으로 격리된 네트워크 및 서브네트워크를 만듭니다. Cloud Load Balancing, *Cloud Service Mesh, VPC 서비스 제어를 구현하여 정보 흐름 제어를 돕습니다.
정보 흐름 제어 정책을 설정할 때 조직의 제어 네트워크 액세스 포인트를 식별합니다. IAP(Identity-Aware Proxy)와 같은 도구를 사용하여 원격 및 현장 사용자에게 클라우드 리소스에 대한 컨텍스트 기반 액세스를 제공합니다. Cloud VPN 또는 Cloud Interconnect를 사용하여 VPC에 안전하게 직접 액세스할 수 있습니다.
권한이 있는 명령어를 실행하고 원격 액세스를 통해 보안 데이터에 액세스하기 위한 조직 전체의 정책을 설정합니다. IAM 및 VPC 서비스 제어를 사용하여 민감한 정보 및 워크로드에 대한 액세스를 제한합니다.
이러한 지침을 따르면 AC-04, AC-04 (08), AC-04 (21), AC-17 (03), AC-17 (04), CA-03 (03), CA-03 (05), CM-07, CM-07 (01), CM-07 (02)과 같은 보안 제어를 구현하는 데 도움이 됩니다.
로그온 시도, 시스템 사용 알림, 세션 종료
액세스 제어 정책에서 15분 동안 로그인 시도가 3회 실패하면 사용자가 로그인 프롬프트에 액세스하지 못하도록 지연 시간을 지정합니다. 사용자 세션이 종료되거나 연결이 끊기는 조건 및 트리거를 정의합니다.
Cloud ID Premium Edition 또는 관리 콘솔을 사용하여 BYOD를 비롯하여 네트워크에 연결하는 휴대기기를 관리합니다. 휴대기기에 적용되는 조직 전체의 보안 정책을 만듭니다. 로그인 시도가 연속 실패한 후 휴대기기 삭제 및 완전 삭제를 위한 개요 및 절차를 간략하게 설명합니다.
정보 시스템에 액세스하는 사용자에게 개인정보처리방침, 이용약관 및 보안 알림을 제공하는 조직 전체의 언어 또는 시스템 사용 알림을 수립합니다. 사용자에게 액세스 권한을 부여하기 전에 조직 전체의 알림을 표시할 조건을 정의합니다. Pub/Sub는 애플리케이션 및 최종 사용자에게 알림을 푸시하기 위해 사용할 수 있는 전역 메시징 및 이벤트 수집 시스템입니다. 또한 *Chrome Enterprise 제품군(*Chrome 브라우저 및 *Chrome OS 포함)을 *Push API 및 *Notifications API와 함께 사용하여 사용자에게 알림과 업데이트를 보낼 수도 있습니다.
이러한 지침을 따르면 AC-07, AC-07 (02), AC-08, AC-12, AC-12 (01)와 같은 보안 제어를 구현하는 데 도움이 됩니다.
허용 작업, 휴대기기, 정보 공유
액세스 제어 정책에서 식별 및 인증 없이 정보 시스템에서 수행할 수 있는 사용자 작업을 정의합니다. IAM을 통해 사용자 액세스를 규제하여 특정 리소스를 보고, 만들고, 삭제하고, 수정합니다.
정보 공유를 위한 조직 전체 정책을 개발합니다. 정보를 공유할 수 있는 상황 및 정보 공유에 사용자 재량이 필요한 경우를 파악합니다. 사용자가 조직 전체에서 정보를 공유하고 공동작업하는 데 도움이 되는 프로세스를 채택합니다. Google Workspace에는 팀 전체의 공동작업 및 참여를 제어하는 데 유용한 특성 세트가 있습니다.
이러한 지침을 따르면 AC-14, AC-19 (05), AC-21과 같은 보안 제어를 구현하는 데 도움이 됩니다.
인식 및 교육
보안 정책 및 관련 교육 자료를 만들어 1년에 한 번 이상 조직 전체의 사용자 및 보안 그룹에 전달합니다. Google은 클라우드 보안에 대한 사용자에게 교육을 제공하기 위한 전문 서비스 옵션을 제공하며, 이 옵션은 Cloud Discover Security 참여와 Google Workspace 보안 평가를 포함하되 이에 국한되지 않습니다.
1년에 한 번 이상 보안 정책 및 교육을 업데이트합니다.
이러한 지침을 따르면 AT-01 보안 제어를 구현하는 데 도움이 됩니다.
감사 및 책임법
클라우드 정보 시스템에 연결된 감사 직원, 이벤트, 작업에 대한 절차 및 구현 요구사항을 해결하는 조직 전체의 감사 정책 및 책임 제어를 만듭니다.
조직 전체의 감사 정책에서 조직의 정보 시스템에서 감사해야 하는 이벤트와 감사 빈도를 간략히 설명합니다. 로깅된 이벤트의 예로는 성공 및 실패 계정 로그온 이벤트, 계정 관리 이벤트, 객체 액세스, 정책 변경, 권한 함수, 프로세스 추적, 시스템 이벤트가 있습니다. 웹 애플리케이션의 경우 관리자 활동, 인증 확인, 승인 확인, 데이터 삭제, 데이터 액세스, 데이터 변경, 권한 변경 등이 있습니다. 조직에 관심 있는 추가 이벤트를 정의합니다.
감사 정책에 따라 조직에게 부적절하거나 비정상적인 활동 표시를 지정하는 것이 좋습니다. 이러한 작업을 정기적으로(일주일에 한 번 이상) 모니터링, 로깅, 신고합니다.
Google Cloud Observability를 사용하여 Google Cloud, 온프레미스 또는 기타 클라우드 환경의 로깅, 모니터링, 알림을 관리합니다. Google Cloud Observability를 사용하여 조직의 보안 이벤트를 구성 및 추적합니다. 또한 사용자는 Cloud Monitoring을 사용하여 커스텀 측정항목을 설정해서 감사 레코드에서 조직 정의 이벤트를 모니터링할 수도 있습니다.
감사 처리가 실패할 경우 관리자에게 알림을 보내도록 정보 시스템을 사용 설정합니다. Pub/Sub 및 알림과 같은 도구를 사용하여 이러한 알림을 구현할 수 있습니다.
감사 레코드가 설정된 기준점 또는 볼륨 용량에 도달하는 경우를 포함하여 시스템 또는 기능 장애가 발생할 경우 설정된 기간(예: 15분 이내) 내에 관리자에게 알리기 위한 표준을 설정합니다. 감사 레코드에 타임 스탬프를 찍고 로깅을 하는 시간 관리에 대한 조직 전체의 세부 사항을 결정합니다. 정보 시스템 감사 추적에서 타임 스탬프를 찍는 레코드의 허용 수준(예: 거의 실시간 또는 20분 이내)을 정의합니다.
VPC 리소스 할당량을 설정하여 감사 레코드 스토리지의 용량 기준을 설정합니다. 리소스 한도 비율에 도달하거나 이를 초과한 경우 관리자에게 알리도록 예산 알림을 구성합니다.
감사 로그 가용성 및 보관 요구 사항을 포함하도록 감사 데이터 및 레코드에 대한 조직 전체의 스토리지 요구사항을 정의합니다. Cloud Storage를 사용하여 감사 로그를 저장 및 보관처리하고 BigQuery를 사용하여 추가 로그 분석을 수행합니다.
이러한 지침을 따르면 AU-01, AU-02, AU-04, AU-05, AU-05 (01), AU-06, AU-07 (01), AU-08, AU-08 (01), AU-09 (04), AU-09 (04), AU-12, AU-12 (01), AU-12 (03), CA-07과 같은 보안 제어를 구현하는 데 도움이 됩니다.
보안 평가 및 승인
조직 보안 평가, 보안 제어, 승인 제어에 대한 절차 및 구현 요구사항을 정의하는 조직 전체의 보안 평가 및 승인 정책을 수립합니다.
보안 평가 및 승인 정책에서 보안 평가팀이 클라우드의 정보 시스템에 대한 공정한 평가를 수행하는 데 필요한 독립성 수준을 정의합니다. 독립 평가자가 액세스해야 하는 정보 시스템을 식별합니다.
보안 평가에서는 최소한 다음을 다루어야 합니다.
- 심층 모니터링
- 취약점 스캔
- 악성 사용자 테스트
- 내부자 위협 평가
- 성능 및 부하 테스트
조직에서 추가 요구사항과 보안 평가 형태를 정의해야 합니다.
보안 평가 및 승인 정책에서 분류되지 않은 국가 외 보안 시스템에 대한 요구사항을 포함하여 보안 시스템 분류 및 요구사항을 지정해야 합니다.
조직에 대한 정보 흐름 제어 정책에서 내부 및 외부 시스템과의 상호 연결 요구사항 및 제한사항을 간략히 서술합니다. VPC 방화벽 규칙을 설정하여 정보 시스템으로 가는 트래픽을 허용 및 거부하고 VPC 서비스 제어를 사용하여 보안 매개변수를 통해 민감한 정보를 보호합니다.
지속적인 모니터링 요구사항(CA-07)을 시행하는 조직 전체 감사 및 책임 정책을 설정합니다.
이러한 지침을 따르면 CA-01, CA-02, CA-02 (01), CA-02 (02), CA-02 (03), CA-03 (03), CA-03 (05), CA-07, CA-07 (01), CA-08, CA-09와 같은 보안 제어를 구현하는 데 도움이 됩니다.
구성 관리
조직 전체 구성 관리 제어, 역할, 책임, 범위, 규정 준수에 대한 절차 및 구현 요구사항을 정의한 조직 전체 구성 관리 정책을 만듭니다.
조직이 소유한 정보 시스템 및 시스템 구성요소에 대한 구성 설정 요구사항을 표준화합니다. 정보 시스템 구성을 위한 운영 요구사항 및 절차를 제공합니다. 시스템 관리자가 정보 시스템 롤백 지원을 위해 유지해야 하는 기준 구성의 이전 버전 수를 명시적으로 호출합니다. Google의 구성 관리 도구 모음을 사용하여 IT 시스템 구성을 코드로 제어하고 *Policy Intelligence 또는 *Security Command Center를 사용하여 구성 변경을 모니터링합니다.
조직의 각 정보 시스템 유형에 대해 구성 요구사항(예: 클라우드, 온프레미스, 하이브리드, 비분류, 기밀취급정보(CUI), 분류)을 지정합니다. 또한 조직 소유 및 Bring Your Own Device(BYOD) 기기의 보안 요구사항을 정의하여 안전한 지리적 위치와 안전하지 않은 지리적 위치 식별을 포함합니다. Cloud Identity Aware Proxy를 사용하여 지리적 위치별 액세스 제어를 포함한 컨텍스트 기반 액세스 제어를 조직 소유 데이터에 적용합니다. Cloud ID Premium Edition 또는 관리 콘솔을 사용하여 회사 네트워크에 연결된 휴대기기에 보안 구성을 적용합니다.
구성 관리 정책에서 변경 제어 위원회와 같은 조직 전체 구성 변경 제어 요소를 정의합니다. 위원회에서 조건을 충족하는 빈도와 조건을 문서화합니다. 구성 변경을 검토하고 승인하는 공식 본문을 작성합니다.
조직의 구성 관리 승인 기관을 식별합니다. 이러한 관리자는 정보 시스템 변경사항에 대한 요청을 검토합니다. 기관이 변경 요청을 승인하거나 비승인해야 하는 기간을 정의합니다. 정보 시스템 변경이 완료되면 변경 구현자가 승인 기관에 알리도록 지침을 제공합니다.
사용하도록 승인되거나 승인되지 않은 소프트웨어의 사양을 포함하도록 조직 전체의 오픈소스 소프트웨어 사용에 대한 제한을 설정합니다. Cloud ID 또는 관리 콘솔을 사용하여 조직에 승인된 애플리케이션 및 소프트웨어를 적용합니다. Cloud ID Premium을 사용하여 타사 애플리케이션에 대해 싱글 사인온(SSO) 및 다단계 인증을 사용 설정할 수 있습니다.
알림과 같은 도구를 사용하여 구성 변경사항이 로깅될 때 보안 관리자에게 알림을 전송합니다. 관리자에게 *Security Command Center와 같은 도구에 대한 액세스 권한을 부여하여 구성 변경사항을 거의 실시간으로 모니터링합니다. *Policy Intelligence를 사용하면 머신 러닝을 사용하여 조직에서 정의된 구성을 연구하고, 기준으로부터 구성이 변경되는 시점에 대한 인식 수준을 높일 수 있습니다.
정보 흐름 제어 정책을 사용하여 조직 전체에 최소 기능을 적용합니다.
이러한 지침을 따르면 CM-01, CM-02 (03), CM-02 (07), CM-03, CM-03 (01), CM-05 (02), CM-05 (03), CM-06, CM-06(01), CM-06 (02), CM-07, CM-07 (01), CM-07 (02), CM-07 (05), CM-08, CM-08 (03), CM-10 (01), CM-11, CM-11 (01), SA-10과 같은 보안 제어를 구현하는 데 도움이 됩니다.
비상 계획
조직 전체의 비상 계획 제어를 위한 절차 및 구현 요구사항을 정의한 조직의 연속적인 계획을 수립합니다. 조직 요소 전체의 주요 비상 담당자, 역할, 책임을 파악합니다.
조직 내에서 업무 중요하고 필수적인 정보 시스템 작업을 강조합니다. 비상 계획이 활성화되면 필수 작업 재개를 위한 복구 시간 목표(RTO) 및 복구 지점 목표(RPO)를 간략히 설명합니다.
중요한 정보 시스템 및 관련 소프트웨어를 문서화합니다. 추가 보안 관련 정보를 식별하고 중요한 시스템 구성요소 및 데이터의 백업 사본을 저장하기 위한 안내와 요구사항을 제공합니다. 고가용성을 위해 Google의 전역, 리전, 영역별 리소스와 전 세계 위치를 배포합니다. 멀티 리전, 리전, 백업, 보관처리 옵션에 Cloud Storage 클래스를 사용합니다. Cloud Load Balancing과 함께 전역 네트워크 자동 확장 및 부하 분산을 구현합니다.
이러한 지침을 따르면 CP-01, CP-02, CP-02 (03), CP-07, CP-08, CP-09 (03)와 같은 보안 제어를 구현하는 데 도움이 됩니다.
식별 및 인증
조직에서 식별 및 인증 절차, 범위, 역할, 책임, 관리, 항목, 규정 준수를 지정하는 식별 및 인증 정책을 수립합니다. 조직에서 요구하는 식별 및 인증 제어를 지정합니다. Cloud ID Premium 또는 관리 콘솔을 사용하여 조직의 리소스에 연결할 수 있는 회사 기기와 개인 기기를 식별합니다. IAP(Identity-Aware Proxy)를 사용하여 리소스에 대해 컨텍스트 인식 액세스를 적용합니다.
조직의 인증자 콘텐츠 관련 가이드, 인증 재사용 조건, 인증자 보호를 위한 표준, 인증자 변경 또는 갱신을 위한 표준을 포함합니다. 또한 캐시된 인증자를 사용하기 위한 요구사항을 정확히 담아냅니다. 캐시된 인증자를 사용하기 위한 시간 제한을 지정하고 캐시된 인증자를 만료하는 시기에 대한 정의를 만듭니다. 조직의 정보 시스템에서 적용해야 하는 최소 및 최대 수명 요건 및 새로고침 기간을 정의합니다.
Cloud ID 또는 관리 콘솔을 사용하여 민감도, 문자 사용, 새로운 비밀번호 생성 또는 재사용, 비밀번호 수명, 스토리지 및 전송 요구사항에 대한 비밀번호 정책을 적용합니다.
PIV 카드 및 PKI 요구사항을 포함하되 이에 국한되지 않는 조직 전체의 인증을 위한 하드웨어 및/또는 소프트웨어 토큰 인증 요구사항을 간략하게 설명합니다. *Titan 보안 키를 사용하여 관리자 및 권한이 있는 직원에게 추가 인증 요구사항을 적용할 수 있습니다.
식별 및 인증 정책에서 조직에 제3자를 수락하는 데 허용되는 연방 ID, 사용자 인증 정보, 액세스 관리(FICCA) 정보 시스템 구성요소를 간략히 설명합니다. Google의 Identity Platform은 외부 항목에서 액세스 중인 애플리케이션에 ID 및 액세스 관리 기능을 추가하도록 조직을 지원하는 고객 ID 및 액세스 관리(CIAM) 플랫폼입니다.
이러한 지침을 따르면 IA-01, IA-03, IA-04, IA-05, IA-05 (01), IA-05 (03), IA-05 (04), IA-05 (11), IA-05 (13), IA-08 (03)과 같은 보안 제어를 구현하는 데 도움이 됩니다.
사고 대응
이슈 대응 제어를 도모하고 구현하기 위한 절차를 비롯하여 조직의 이슈 응답 정책을 수립하세요. 조직의 이슈 대응팀 및 당국의 보안 그룹을 만듭니다. Google Cloud Observability 또는 *Security Command Center와 같은 도구를 사용해서 이슈 이벤트, 로그, 세부정보를 공유하세요.
성공을 위한 이슈 대응 테스트 계획, 절차 및 체크리스트, 요구사항, 벤치마크를 수립합니다. 조직에서 인식해야 하는 이슈 클래스를 지정하고 이러한 이슈에 대응하기 위해 수행할 관련 작업을 간략히 설명합니다. 이슈가 발생할 경우 승인된 직원이 수행해야 할 작업을 정의합니다. 이러한 작업은 정보 유출, 사이버 보안 취약점, 공격 관리를 위한 단계일 수 있습니다. Google Workspace의 기능을 활용하여 이메일 콘텐츠 검사 및 격리, 피싱 시도 차단, 첨부파일에 대한 제한 설정 등을 수행합니다. Sensitive Data Protection을 사용하여 민감한 정보를 검사, 분류, 익명화하여 노출을 제한합니다.
일반 사용자의 학습 요구사항과 권한이 있는 역할 및 책임을 포함하여 이슈 대응 교육에 대한 조직 전반의 요구사항을 지정합니다. 학습에 필요한 기간 요구사항(예: 가입 후 30일 이내, 분기별, 연간)을 적용합니다.
이러한 지침을 따르면 IR-01, IR-02, IR-03, IR-04 (03), IR-04 (08), IR-06, IR-08, IR-09, IR-09 (01), IR-09(03), IR-09 (04)와 같은 보안 제어를 구현하는 데 도움이 됩니다.
시스템 유지보수
시스템 유지보수 제어, 역할, 책임, 관리, 조정 요구사항 및 규정 준수를 문서화하는 조직의 시스템 유지보수 정책을 수립합니다. 오프사이트 유지보수 및 수리를 위한 승인 프로세스와 조직 전체에서 장애가 발생한 기기 및 부품 교체 소요 시간을 포함한 제어된 유지보수를 위한 매개변수를 정의합니다. 조직은 Google Cloud 데이터 삭제 및 장비 삭제와 오프사이트 유지보수 및 수리를 위한 Google의 데이터 센터 보안 및 혁신을 통해 이점을 얻습니다.
이러한 지침을 따르면 MA-01, MA-02, MA-06과 같은 보안 제어를 구현하는 데 도움이 됩니다.
미디어 보호
Google Cloud FedRAMP ATO의 일환으로 물리적 인프라의 미디어 보호 요구사항을 충족합니다. Google의 인프라 보안 설계 및 보안 개요를 검토하세요. 이후 사용자가 가상 인프라 보안 요구사항을 충족해야 합니다.
미디어 제어, 보호 정책 및 절차, 규정 준수 요구사항, 관리 역할 및 책임을 문서화한 조직의 미디어 보호 정책을 개발합니다. 조직 전체에서 미디어 보호를 도모 및 구현하기 위한 절차를 문서화합니다. 미디어 및 보호를 관리할 인력과 역할을 식별하는 보안 그룹을 만듭니다.
디지털 및 비디지털 미디어 제한을 비롯하여 조직에 승인된 미디어 유형과 액세스를 지정합니다. 제어된 액세스 영역 내부 및 외부의 보안 표시 요구 사항을 포함하여 조직 전체에서 구현해야 하는 미디어 표시 및 미디어 처리 예외사항을 설정합니다. *Data Catalog를 사용해 클라우드 리소스 메타데이터를 관리하여 데이터 검색을 간소화합니다. *서비스 카탈로그를 사용해 조직 전체의 클라우드 리소스 규정 준수를 제어하여 클라우드 리소스의 배포 및 검색을 규제합니다.
조직에서 관리하는 미디어의 삭제, 폐기, 재사용 방법을 식별합니다. 미디어 및 기기의 삭제, 폐기, 재사용이 필요하거나 허용되는 사용 사례 및 상황을 간략히 설명합니다. 조직에서 허용되는 것으로 간주되는 미디어 보호 방법 및 메커니즘을 정의합니다.
Google을 사용하면 Google Cloud 데이터 및 장비 삭제, Google의 데이터 센터 보안 및 혁신을 통해 데이터 삭제의 혜택을 누릴 수 있습니다. 또한 Cloud KMS 및 Cloud HSM은 FIPS 준수 암호화 보호를 제공하고, 사용자는 *Titan 보안 키를 사용하여 관리자 및 권한이 있는 직원에게 추가 물리적 인증 요구사항을 적용할 수 있습니다.
이러한 지침을 따르면 MP-01, MP-02, MP-03, MP-04, MP-06, MP-06 (03), MP-07과 같은 보안 제어를 구현하는 데 도움이 됩니다.
물리적 보호 및 환경 보호
Google Cloud FedRAMP ATO의 일환으로 물리적 인프라의 물리적 및 환경 보호 요구사항을 충족합니다. Google의 인프라 보안 설계 및 보안 개요를 검토하세요. 이후 사용자가 가상 인프라 보안 요구사항을 충족해야 합니다.
보호 제어, 보호 항목, 규정 준수 표준, 역할, 책임, 관리 요구사항에 대해 간략히 설명한 조직의 물리적 보호 및 환경 보호 정책을 수립합니다. 조직 전체에서 물리적 보호 및 환경 보호를 구현하는 방법을 간략히 설명합니다.
물리적 보호 및 환경 보호를 관리하는 데 필요한 인력과 역할을 식별하는 보안 그룹을 만듭니다. 민감한 컴퓨팅 리소스에 액세스하는 관리자에게 *Titan 보안 키 또는 다른 형태의 MFA를 사용하여 액세스 무결성을 확인해야 합니다.
물리적 보호 및 환경 보호 정책에서 조직의 물리적 액세스 제어 요구사항을 정의합니다. 정보 시스템 사이트의 시설 입구 및 출구 지점을 식별하고 이러한 시설에 대한 액세스 제어 보호 기능 및 인벤토리 요구사항을 파악합니다. *Google Maps Platform과 같은 도구를 활용하여 위치 매핑을 위한 시설과 입구 및 출구 지점을 시각적으로 표시하고 추적할 수 있습니다. Resource Manager 및 *서비스 카탈로그를 사용하여 클라우드 리소스에 대한 액세스를 제어하면 리소스를 정리하여 간편하게 검색할 수 있습니다.
Cloud Monitoring을 사용하여 로깅 가능한 이벤트, 액세스, 이슈를 구성합니다. Cloud Logging에 로깅해야 하는 조직 전체의 물리적 액세스 이벤트를 정의합니다.
물리적 및 환경 보호 정책을 사용하여 정보 시스템의 응급 상황 시 전원 차단, 비상 전원, 화재 진압, 비상 대응과 같은 비상 상황을 설명합니다. 조직의 현지 응급 구조대 및 물리적 보안 직원을 포함하여 긴급 대응을 위한 연락 창구를 식별합니다. 대체 작업장에 대한 요구사항과 위치를 간략히 설명합니다. 기본 및 대체 작업장에 대한 보안 제어 및 직원을 지정합니다. 고가용성을 위해 Google의 전역, 리전, 영역별 리소스와 전 세계 위치를 배포합니다. 멀티 리전, 리전, 백업, 보관처리 옵션에 Cloud Storage 클래스를 사용합니다. Cloud Load Balancing과 함께 전역 네트워크 자동 확장 및 부하 분산을 구현합니다. 선언적 배포 템플릿을 만들어 반복 가능한 템플릿 기반 배포 프로세스를 수립합니다.
이러한 지침을 따르면 PE-01, PE-03, PE-03 (01), PE-04, PE-06, PE-06 (04), PE-10, PE-13 (02), PE-17과 같은 보안 제어를 구현하는 데 도움이 됩니다.
시스템 보안 계획
보안 계획 제어, 역할, 책임, 관리, 조직의 보안 계획 항목, 규정 준수 요구사항을 간략히 설명한 조직의 보안 계획 정책을 개발합니다. 조직 전체에서 보안 계획을 어떻게 구현할지 간략히 설명합니다.
그룹을 만들어 보안 계획 직원을 정의합니다. 조직의 보안 평가, 감사, 하드웨어 및 소프트웨어 유지보수, 패치 관리, 비상 계획을 위한 보안 그룹을 지정합니다. Google Cloud Observability 또는 *Security Command Center와 같은 도구를 사용해서 조직 전체의 보안, 규정 준수, 액세스 제어를 모니터링합니다.
이러한 지침을 따르면 PL-01, PL-02, PL-02 (03)와 같은 보안 제어를 구현하는 데 도움이 됩니다.
직원 보안
보안 직원과 그 직원의 역할 및 책임, 직원 보안을 구현하는 방법, 조직 전체에 적용할 직원 보안 제어를 식별하는 직원 보안 정책을 만듭니다. 개인에게 조직의 보안 검색, 재검색, 조사를 거치도록 요구하는 조건을 정확히 담아냅니다. 조직의 보안 승인에 대한 요구사항을 간략히 설명합니다.
직원 해고와 전근에 대한 안내를 포함합니다. 퇴직자 인터뷰와 이러한 인터뷰 중에 논의해야 할 보안 주제에 대한 요구사항과 매개변수를 정의합니다. 조직의 보안 및 관리 주체에 직원 해고, 전근 또는 재보직을 통보할 시점(예: 24시간 이내)을 지정합니다. 직원과 조직이 전근, 재보직 또는 해고를 위해 완료할 작업을 지정합니다. 또한 공식적 직원 승인을 적용하는 것에 대한 요구사항을 다룹니다. 보안 담당자와 관리자에게 직원 승인을 통보할 예상 시기를 설명하고 승인 절차를 설명합니다.
IAM을 사용하여 직원에게 역할과 권한을 할당합니다. Cloud ID 또는 관리 콘솔에서 직원 프로필과 액세스 권한을 추가, 삭제, 사용 중지, 사용 설정합니다. *Titan 보안 키를 사용하여 관리자 및 권한이 있는 직원에게 추가적인 물리적 인증 요구사항을 적용합니다.
이러한 지침을 따르면 PS-01, PS-03, PS-04, PS-05, PS-07, PS-08과 같은 보안 제어를 구현하는 데 도움이 됩니다.
위험 평가
위험 평가 정책을 구현하여 위험 관리 담당자, 조직 전체에서 적용할 위험 관리 통제 정책, 조직에서 위험 평가를 수행하는 절차를 파악합니다. 위험 평가를 문서화 및 보고하는 방식을 정의합니다. *Security Command Center와 같은 도구를 사용하면 보안 담당자에게 조직의 보안 위험 및 전체 보안 상황을 자동으로 알립니다.
Web Security Scanner, Artifact Analysis, Google Cloud Armor, Google Workspace 피싱 및 멀웨어 보호와 같은 Google의 위험 평가 도구를 활용하여 조직의 정보 시스템에서 취약점을 검사하고 보고합니다. 위험 평가 담당자와 관리자가 이러한 도구를 제공하여 취약점을 파악하고 제거할 수 있도록 합니다.
이 가이드라인을 따르면 RA-01, RA-03, RA-05와 같은 보안 제어를 구현하기 위한 토대가 됩니다.
시스템 및 서비스 획득
주요 인력의 역할과 책임, 획득 및 서비스 관리, 규정 준수 및 주체를 간략히 설명한 시스템 및 서비스 획득 정책을 개발합니다. 조직의 시스템 및 서비스 획득 절차 및 구현을 간략히 설명합니다. 정보 시스템 및 정보 보안을 위한 조직의 시스템 개발 수명 주기를 정의합니다. 정보 보안 역할 및 책임, 담당자, 그리고 조직의 위험 평가 정책이 시스템 개발 수명 주기 활동을 주도하는 방식을 간략히 설명합니다.
정보 시스템 문서를 사용할 수 없거나 정의되지 않은 경우 조직 내에서 수행해야 하는 절차를 강조합니다. 필요에 따라 조직의 정보 시스템 관리자 alc 시스템 서비스 직원을 참여시킵니다. 조직 내에서 정보 시스템을 구현하거나 액세스하는 관리자 및 사용자에게 필요한 교육을 정의합니다.
*Security Command Center와 같은 도구를 사용해서 조직의 보안 규정 준수, 발견 항목, 보안 제어 정책을 추적합니다. Google은 고객에게 Google Cloud의 규정 준수 요구사항 및 법률을 충족하는 방법을 교육하기 위해 모든 보안 표준, 규정, 인증을 간략히 설명합니다. 또한 Google은 고객이 클라우드 및 온프레미스 모두에서 정보 시스템, 통신, 데이터를 지속적으로 모니터링할 수 있도록 보안 제품군을 제공합니다.
조직의 데이터, 서비스 및 정보 처리에 대한 위치 제한과 데이터를 다른 곳에 저장할 수 있는 조건을 지정합니다. Google은 Google Cloud에서 데이터 저장, 처리, 서비스 사용을 위한 전역, 리전, 영역 옵션을 제공합니다.
구성 관리 정책을 활용하여 시스템 및 서비스 획득 제어에 대한 개발자 구성 관리를 규제하고, 보안 평가 및 승인 정책을 사용하여 개발자 보안 검사 및 평가 요구사항을 적용합니다.
이러한 지침을 따르면 SA-01, SA-03, SA-05, SA-09, SA-09 (01), SA-09 (04), SA-09 (05), SA-10, SA-11, SA-16과 같은 보안 제어를 구현하는 데 도움이 됩니다.
시스템 및 통신 보호
주요 인력의 역할과 책임, 시스템 통신 보호 정책의 구현 요구사항, 조직에 필요한 보호 제어를 간략히 설명한 시스템 및 통신 보호 정책을 수립합니다. 조직에서 인식하고 모니터링하는 서비스 거부 공격 유형을 식별하고 조직에 대한 DoS 보호 요구사항을 간략히 설명합니다.
Google Cloud Observability을 사용하여 조직의 사전 정의된 보안 공격을 로깅, 모니터링하고 알립니다. Cloud Load Balancing 및 Google Cloud Armor와 같은 도구를 구현하여 클라우드 경계를 보호하고 방화벽 및 네트워크 보안 제어와 같은 VPC 서비스를 활용하여 내부 클라우드 네트워크를 보호합니다.
조직의 리소스 가용성 요구사항을 파악하고, 조직 전체에 클라우드 리소스를 할당하는 방법과 초과 사용률을 제한하기 위해 구현하는 제약조건을 정의합니다. Resource Manager와 같은 도구를 사용하여 조직, 폴더, 프로젝트, 개별 리소스 수준에서 리소스에 대한 액세스 권한을 제어할 수 있습니다. 리소스 할당량을 설정하여 Google Cloud에서 API 요청 및 리소스 사용률을 관리합니다.
정보 시스템 및 시스템 통신에 대한 경계 보호 요구사항을 설정합니다. 내부 통신 트래픽에 대한 요구사항과 내부 트래픽이 외부 네트워크와 상호작용하는 방법을 정의합니다. 프록시 서버 및 기타 네트워크 라우팅 및 인증 구성요소에 대한 요구사항을 지정합니다.
*Cloud Service Mesh를 활용하여 조직의 네트워크 트래픽과 통신 흐름을 관리합니다. IAP(Identity-Aware Proxy)를 사용하여 지리적 위치 또는 기기 지문을 포함하여 인증, 승인, 컨텍스트에 기반한 클라우드 리소스에 대한 액세스를 제어합니다. *비공개 Google 액세스, *Cloud VPN 또는 *Cloud Interconnect를 구현하여 네트워크 트래픽과 외부 리소스 간의 네트워크 트래픽과 통신을 보호합니다. VPC를 사용하여 조직의 클라우드 네트워크를 정의하고 보호하고, 서브네트워크를 설정하여 클라우드 리소스와 네트워크 경계를 더욱 격리합니다.
Google은 고가용성과 장애 조치를 위해 멀티 리전, 리전 및 영역 옵션으로 전역 소프트웨어 정의 네트워크를 제공합니다. 정보 시스템이 알려진 상태로 실패할 수 있도록 조직의 오류 요구사항을 정의합니다. 정보 시스템 상태 정보를 유지하기 위한 요구사항을 정확히 담아냅니다. 관리형 인스턴스 그룹 및 Deployment Manager 템플릿을 사용하여 실패 또는 비정상 리소스를 재인스턴스화합니다. 조직의 기밀성, 무결성, 가용성 상황을 적극적으로 모니터링할 수 있도록 관리자에게 *Security Command Center에 대한 액세스 권한을 부여합니다.
정책에서 키 생성, 배포, 스토리지, 액세스, 폐기에 대한 요구사항을 포함하여 조직의 암호화 키 관리 요구사항을 간략히 설명합니다. Cloud KMS 및 Cloud HSM을 사용하여 클라우드에서 FIPS 준수 보안 키를 관리, 생성, 사용, 회전, 저장, 폐기할 수 있습니다.
Google은 기본적으로 저장 데이터를 암호화합니다. 하지만 사용자는 Compute Engine 및 Cloud Storage에서 Cloud KMS를 사용하여 암호화 키를 통해 데이터를 추가로 암호화할 수 있습니다. 또한 보안 VM을 배포하여 Compute Engine에서 커널 수준의 무결성 제어를 적용할 수 있습니다.
이러한 지침을 따르면 SC-01, SC-05, SC-06, SC-07 (08), SC-07 (12), SC-07 (13), SC-07 (20), SC-07 (21), SC-12, SC-24, SC-28, SC-28 (01)과 같은 보안 제어를 구현하는 데 도움이 됩니다.
시스템 및 정보 무결성
주요 인력의 역할과 책임, 무결성 구현 절차와 요구사항, 규정 준수 표준, 조직의 보호 제어를 간략히 설명한 시스템 및 정보 무결성 정책을 구현합니다. 조직에서 시스템 및 정보 무결성을 담당하는 직원을 위한 보안 그룹을 만듭니다. 조직 및 정보 시스템 전반의 보안 결함을 모니터링하고 평가, 승인, 구현, 계획, 벤치마킹 및 해결하기 위한 지침을 포함하도록 조직의 결함 해결 요구사항을 간략히 설명합니다.
다음을 포함하며 이에 국한되지 않는 Google의 보안 도구 모음을 활용합니다.
- Chrome 브라우저
- Web Security Scanner
- Artifact Analysis
- Google Workspace 피싱 및 멀웨어 차단
- Google Workspace 보안 센터
- Google Cloud Armor
이러한 도구를 사용하여 다음 작업을 수행할 수 있습니다.
- 악성 코드, 사이버 공격, 일반적인 취약점으로부터 보호합니다.
- 스팸을 격리하고, 스팸 및 멀웨어 정책을 설정합니다.
- 관리자에게 취약점에 대해 알립니다.
- 중앙 관리에 대한 조직 전반의 유용한 정보를 얻습니다.
Google Cloud Observability 또는 *Security Command Center와 같은 도구를 사용해서 조직의 보안 제어 및 발견 항목을 중앙에서 관리하고 경고 및 모니터링합니다. 특히 Google Cloud Observability를 사용하여 조직 전체에서 권한이 있는 사용자 및 직원이 시작한 관리 작업, 데이터 액세스, 시스템 이벤트를 로깅합니다. 관리자에게 오류 메시지 및 정보 시스템 오류 처리에 대해 알립니다.
조직의 소프트웨어, 펌웨어 및 정보와 관련된 보안 관련 이벤트를 정의합니다(예: 제로 데이 취약점, 무단 데이터 삭제, 새 하드웨어, 소프트웨어, 펌웨어 설치). 이러한 유형의 보안 관련 변경사항이 발생할 때 수행해야 하는 단계를 설명합니다. 관리자가 특별히 주의를 기울여야 하는 모니터링 목표 및 공격 지표를 지정하여 조직 전체의 정보 시스템 내에서 모니터링해야 하는 필수 정보를 포함합니다. 모니터링 및 보고 빈도(예: 실시간, 15분마다, 매시간, 분기별)뿐만 아니라 시스템 및 정보 모니터링 역할과 책임을 정의합니다.
조직 전체에서 정보 시스템의 통신 트래픽을 분석하기 위한 요구사항을 정확히 담아냅니다. 모니터링을 위한 시스템 지점을 포함하여 이상치를 발견하기 위한 요구사항을 지정합니다. *Google의 Network Intelligence Center 서비스를 사용하면 심층적인 네트워크 성능과 보안 모니터링을 수행할 수 있습니다. Google은 또한 +Aqua Security 및 +Crowdstrike와 같은 클라우드 엔드포인트 및 호스트를 검사하고 보호하기 위해 Google Cloud와 통합되는 강력한 타사 파트너십을 보유하고 있습니다. 보안 VM을 사용하면 기기를 강화하고 인증을 확인하고 보안 부팅 프로세스를 보장할 수 있습니다.
조직에서 보안 이상치 및 무결성 위반을 확인하고 보호하는 방법을 정의합니다. *Security Command Center 또는 *Policy Intelligence와 같은 도구를 사용해서 구성 변경사항을 모니터링하고 감지합니다. +구성 관리 도구 또는 Deployment Manager 템플릿을 사용하여 클라우드 리소스에 대한 변경을 다시 인스턴스화하거나 중지합니다.
시스템 정보 및 무결성 정책에서 조직 내 네트워크 서비스 권한 부여 및 승인에 대한 요구사항을 지정합니다. 네트워크 서비스에 대한 승인 및 권한 부여 프로세스를 간략히 설명합니다. VPC는 방화벽을 사용하여 네트워크 경계를 보호하기 위해 클라우드 네트워크 및 서브네트워크를 정의하는 데 필수적입니다. VPC 서비스 제어를 사용하면 클라우드에서 민감한 정보에 대해 추가적인 네트워크 보안 경계를 적용할 수 있습니다.
이 모든 것 외에 사용자는 Google의 보안 부팅 스택과 신뢰할 수 있는 심층 방어 인프라를 자동으로 상속받습니다.
이러한 지침을 따르면 SI-01, SI-02 (01), SI-02 (03), SI-03 (01), SI-04, SI-04 (05)입니다. SI-04 (11), SI-04 (18), SI-04 (19), SI-04 (20), SI-04 (22), SI-04 (23), SI-05, SI -06, SI-07, SI-07 (01), SI-07 (05), SI-07 (07), SI-08 (01), SI-10, SI-11, SI-16과 같은 보안 제어를 구현하는 데 도움이 됩니다.
결론
클라우드의 보안 및 규정 준수는 개발자와 CSP를 대신하여 공동으로 작동합니다. Google이 물리적 인프라 및 해당 서비스가 수십 개의 제3자 표준, 규정 및 인증을 준수하도록 지원하는 동안 사용자는 클라우드에서 빌드하는 모든 것이 호환되는지 확인해야 합니다.
Google Cloud는 Google이 해당 인프라를 보호하기 위해 사용하는 것과 동일한 보안 제품 및 기능 집합을 제공하여 규정 준수 업무를 지원합니다.
다음 단계
- Google Cloud에 대한 참조 아키텍처, 다이어그램, 권장사항 살펴보기. Cloud 아키텍처 센터를 살펴보세요.