Google Cloud의 FedRAMP 구현 안내

Last reviewed 2026-02-10 UTC

이 문서에서는 FedRAMP 규정 준수 요구사항을 지원하는 방법을 설명하고 FedRAMP 요구사항을 충족하도록 서비스를 구성하기 위한 리소스를 안내합니다. Google Cloud 이 문서는 에서 FedRAMP 구현 및 규정 준수를 담당하는 보안, 규정 준수, IT 담당자를 대상으로 합니다. Google Cloud

공유 책임 모델에 따라 규정 준수 및 보안 요구사항을 이해하고 환경을 적절하게 구성하는 것은 사용자의 책임입니다.Google Cloud FedRAMP 지원을 구현할 때는 FedRAMP 책임과 관련된 독립적인 법적 조언을 구하는 것이 좋습니다.

FedRAMP 정보

연방 위험 및 인증 관리 프로그램(FedRAMP) 프레임워크는 모든 정부 기관에서 클라우드 제품 및 서비스의 보안 평가, 승인, 지속적인 모니터링을 표준화하기 위해 미국 연방 정부에서 마련했습니다. 2022년 의회는 FedRAMP를 '기관에서 사용하는 미분류 정보를 처리하는 클라우드 컴퓨팅 제품 및 서비스의 보안 평가 및 승인에 대한 표준화되고 재사용 가능한 접근 방식을 제공하는 정부 차원의 프로그램'으로 규정했습니다.

2025년 FedRAMP는 FedRAMP 20x 이니셔티브의 일환으로 중요한 프로그램 개정을 시작했습니다. 이러한 변경사항은 연방 정보 시스템의 최소 보안 요구사항을 충족하기 위해 상업용 보안 권장사항의 자동화된 모니터링 및 시행을 채택하는 것을 목표로 합니다. FedRAMP는 비용이 많이 들고 비효율적이며 수동으로 컴파일된 문서에서 벗어나 업계 주도의 데이터 기반 보안 보고로 전환하고 있습니다. Google에서 FedRAMP 20x 이니셔티브를 지원하는 방법에 대한 자세한 내용은 FedRAMP 20x 가속화: Google Cloud가 규정 준수를 자동화하는 방법을 참고하세요. Google Cloud

FedRAMP는 국립표준기술연구소 (NIST) SP 800-53 표준을 기반으로 하며, FedRAMP 제어 및 제어 개선사항으로 보강되었습니다. 특정 온프레미스 프라이빗 클라우드를 제외한 모든 연방 정부 기관의 클라우드 배포와 서비스 모델은 NIST FIPS 199 가이드라인에 따라 적절한 위험 영향 수준 (낮음, 중간, 높음)의 FedRAMP 요구사항을 충족해야 합니다. 영향 수준이 증가함에 따라 해당 기준의 NIST SP 800-53 제어 수가 증가합니다. 예를 들어 FedRAMP 중간 기준에는 325개의 제어가 있는 반면 FedRAMP 높음 기준에는 421개의 제어가 있습니다.

FedRAMP는 일회성 인증 또는 공인이 아닌 평가 및 승인 프로그램입니다. 여기에는 클라우드 서비스 제품의 보안 제어 효과를 보장하고 진화하는 위협 환경과 시스템 환경 변화에 적응하기 위한 지속적인 모니터링이 포함됩니다.

Google Cloud FedRAMP 승인

FedRAMP 위원회 (이전 명칭: 합동인증위원회 또는 JAB)는 FedRAMP의 주요 관리 기구입니다. FedRAMP 위원회에는 국방부 (DoD), 국토안보부 (DHS), 총무성 (GSA)의 CIO가 포함됩니다.

FedRAMP 위원회는 Google Cloud와 기본 Google 공통 인프라 (GCI)에 FedRAMP 높음 잠정적 운영 권한 (P-ATO)을 발급했습니다. Google Cloud FedRAMP 높음 승인은 FedRAMP 규정 준수의 가장 높은 기준을 나타냅니다.

FedRAMP 20x 개선사항에 따라 GSA는 Google Cloud의 승인 기관이 되었으며, 는 정기적으로 FedRAMP 높음 승인을 위해 추가 서비스를 GSA에 제출합니다. FedRAMP 중간 제어 기준은 FedRAMP 높음 제어 기준의 하위 집합입니다. 따라서 FedRAMP 높음 승인은 모든 FedRAMP 중간 제어 요구사항을 포괄적으로 다룹니다.

FedRAMP 규정 준수에 대한 자세한 내용은 FedRAMP 규정 준수를 참고하세요. Google Cloud

감사 범위의 서비스

Google Cloud Google Cloud는 150개 이상의 클라우드 서비스를 포괄하는 포괄적인 FedRAMP 높음 P-ATO를 유지합니다. 이 범위를 사용하면 Google Cloud에서 광범위한 애플리케이션을 빌드하고 기본 플랫폼에서 보안 제어를 상속하여 FedRAMP ATO를 획득할 수 있습니다. Google Cloud Google Cloud 예를 들어 배포에서 AI 에이전트, 생성형 AI, 멀티모달 AI를 비롯한 머신러닝 (ML) 모델과 인공지능 (AI) 서비스를 사용할 수 있습니다. Google Cloud

Google Cloud FedRAMP 감사 범위에 대한 자세한 내용은 FedRAMP 및 DoD 규정 준수 범위 Google Cloud FedRAMP Marketplace를 참고하세요.

AI 및 LLM

Google Cloud Google Cloud는 ML 모델과 AI 애플리케이션이 포함된 워크로드의 FedRAMP 규정 준수 요구사항을 충족하는 데 도움이 될 수 있습니다. Google Cloud Gemini Enterprise 에이전트 플랫폼의 생성형 AI Gemini Enterprise 에이전트 플랫폼 추론: 일괄 및 온라인과 같은 FedRAMP 승인 서비스를 사용하여 Model Garden에서 제공되는 200개 이상의 퍼스트 파티, 서드 파티, 오픈소스 대규모 언어 모델 (LLM)과 상호작용할 수 있습니다. 자세한 내용은 Model Garden에서 지원되는 모델을 참고하세요.

개별 LLM은 FedRAMP에 따라 독립적으로 승인되지 않으며 FedRAMP Marketplace에 승인 기록이 없습니다. 대신 Marketplace에는 Google에서 승인을 위해 제출하는 에이전트 플랫폼의 생성형 AI 및 에이전트 플랫폼 추론: 일괄 및 온라인과 같은 클라우드 서비스의 승인이 반영됩니다. 그러나 LLM 배포에 사용되는 기본 클라우드 인프라는 지속적인 모니터링에 사용되는 인프라를 비롯하여 FedRAMP 규정 준수 요구사항을 준수해야 합니다. 이 요구사항은 프로비저닝된 처리량을 지원하는 Google 퍼스트 파티 LLM (예: Gemini 모델 제품군) 및 Anthropic의 파트너 모델과 같은 Google 관리형 모델에 대해 충족됩니다. 따라서 FedRAMP 높음 승인 에이전트 플랫폼 서비스를 사용하면 FedRAMP 높음 환경에서 이러한 지원되는 모델과 상호작용할 수 있습니다.

Google은 Google 관리형 인프라에서 호스팅되는 더 많은 LLM에 대한 모니터링 조항을 계속 구현하고 있습니다. Google은 오픈소스 모델을 배포하기 위한 제공 인프라와 맞춤설정된 컨테이너를 승인할 책임이 있지만 오픈소스 모델의 보안은 사용자의 책임입니다.

자체 배포된 LLM에 대한 자세한 내용은 자체 배포된 모델 개요를 참고하세요. 자체 테넌트 인프라에 LLM을 배포하는 경우 Google Cloud FedRAMP ATO 평가가 개별 LLM이 아닌 해당 인프라를 포괄하는지 확인합니다. 예를 들어 LLM 배포를 위해 프로비저닝하는 Google Cloud 인프라에 대한 지속적인 모니터링 요구사항을 충족해야 합니다. 서드 파티 평가 조직 (3PAO) 및 Google과 협력하여 ATO를 획득할 수 있습니다.

FedRAMP ATO 획득

진행 중인 FedRAMP 20x 변경사항에 따라 FedRAMP 승인을 위한 사용 가능한 경로는 개정판 5 대행사 ATO입니다. ATO로 이어지는 단계를 완료하려면 Google 및 3PAO와 협력해야 합니다. 대행사 승인 플레이북과 같은 중요한 리소스 링크를 비롯한 대행사 ATO 프로세스에 대한 자세한 내용은 FedRAMP 웹사이트를 참고하세요.

Google Cloud 서비스를 사용하여 FedRAMP 높음 규정 준수 의무를 충족하려면 FedRAMP 높음의 데이터 경계를 사용해야 합니다. Google Cloud FedRAMP 중간 제어 기준은 FedRAMP 높음 제어 기준의 하위 집합입니다. 따라서 Google Cloud에 배포된 솔루션에 대해 FedRAMP 중간 ATO를 획득하려는 경우 FedRAMP 중간 승인 경계 내에서 FedRAMP 높음 승인 Google Cloud 서비스를 사용할 수 있습니다.Google CloudGoogle Cloud FedRAMP 높음 ATO에 대해 평가해야 하는 제어에 비해 FedRAMP 중간 ATO에 대해 평가해야 하는 제어 수가 적습니다.

FedRAMP ATO를 지원하기 위해 Google은 기밀유지 협약 (NDA)에 따라 다음과 같은 Google Cloud FedRAMP 높음 규정 준수 문서를 제공할 수 있습니다.

  • 고객 책임 규정 (CRM): FedRAMP 높음 제어 기준에서 NIST SP 800-53 제어를 구현할 때의 책임에 대한 자세한 설명입니다.
  • 시스템 보안 계획 (SSP): 보안 승인 경계 및 시스템 설계 방식입니다. 이 문서에서는 FedRAMP 높음 제어 기준에 적용되는 NIST SP 800-53 제어 요구사항 및 Google Cloud 제어 구현 세부정보에 대한 심층적인 설명도 제공합니다.

Google 영업팀 또는 Google Cloud Google Cloud 담당자가 문서에 액세스할 수 있도록 도움을 드릴 수 있습니다. 연방 정부 기관인 경우 FedRAMP 패키지 액세스 요청 양식을 사용하여 Google의 FedRAMP 패키지를 요청할 수도 있습니다.

안내 및 자동화

Google은 이 섹션에 설명된 대로 FedRAMP 규정 준수 의무를 지원하기 위해 안내 문서 및 자동화 솔루션을 제공합니다.

제어 매핑 가이드

포괄적인 Google Cloud FedRAMP High CRM과 달리 제어 매핑 가이드 (CMG)는 서비스별로 제공됩니다. 이 가이드는 Google Cloud 서비스의 자세한 제어 범위를 제공하므로 FedRAMP 높음 요구사항을 충족하도록 서비스를 구성할 수 있습니다. Google Cloud CMG는 사용자가 기술 구성을 해야 하는 관련 NIST SP 800-53 제어를 다룹니다. CMG는 또한 이러한 책임을 투명하게 보장하기 위해 특정 서비스 (및 지원 Google Cloud Google Workspace 서비스)에 대해 따라야 하는 단계를 명확히 설명합니다.

CMG는 BigQuery, Data Studio Pro, 에이전트 플랫폼의 생성형 AI, 에이전트 플랫폼의 에이전트 검색, Cloud Logging, Compute Engine, Identity and Access Management (IAM) 등 일부 Google Cloud 서비스에서 사용할 수 있습니다. Google Cloud 기밀유지 협약 (NDA)에 따라 이 문서에 액세스하려면 Google 영업 팀 또는 Google Cloud 담당자 Google Cloud 에게 문의하세요.

FedRAMP 높음 구현 가이드

FedRAMP 높음 구현 가이드는 보호된 데이터를 저장하는 데 적합한 영향을 받는 서비스 기능 및 데이터 필드를 비롯하여 FedRAMP 높음 범위에 있는 서비스별 API를 다루기 위한 것입니다. 예를 들어 이러한 가이드에서는 FedRAMP 높음 요구사항을 충족하는 서비스별 API를 설명하고 FedRAMP 높음 워크로드에 특정 서비스와 함께 사용하는 추가 구성 세부정보를 제공합니다. Google Cloud이러한 구성은 기본적으로 적용되지 않으며 사용자가 관리해야 합니다.

FedRAMP 높음 구현 가이드는 Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), 에이전트 플랫폼의 생성형 AI, 에이전트 플랫폼의 에이전트 검색, Cloud Storage 등 일부 Google Cloud Google Cloud 서비스에서 사용할 수 있습니다. NDA에 따라 이 문서에 액세스하려면 Google 영업팀 또는 Google Cloud Google Cloud 담당자에게 문의하세요.

데이터 상주 및 SA-9(5) 규정 준수

Google Cloud에 애플리케이션을 배포할 때 Google CloudFedRAMP 데이터 상주 요구사항은 FedRAMP 높음 제어 기준에 의해서만 의무화됩니다. 이러한 요구사항을 적용하려면 FedRAMP 높음의 Assured Workloads 데이터 경계를 선택해야 합니다. FedRAMP 중간 승인을 획득하고 FedRAMP 중간의 Assured Workloads 데이터 경계를 선택하는 경우 요구사항이 적용되지 않으므로 데이터 상주 제어가 없습니다.

Google Cloud Google Cloud는 특정 데이터 위치를 사용하도록 서비스를 구성할 수 있는 리전 서비스에 대한 데이터 상주 계약 약정을 제공합니다. 이러한 약정은 FedRAMP 높음 데이터가 미국 리전에 저장되고 미국에 남아 있으며 미국 외 다른 리전으로 이동하지 않도록 보장하는 데 도움이 됩니다. FedRAMP 높음 데이터의 예로는 법 집행 기관, 응급 서비스, 금융 서비스, 의료 및 공중 보건 시스템 또는 16개 주요 인프라 부문 중 하나에 속하는 데이터가 있습니다.

일부 Google Cloud 서비스는 설계상 비리전 또는 전역이며 서비스가 배포되는 리전을 지정할 수 없습니다. Google Cloud 이 설계 접근 방식은 전역 서비스가 올바르게 작동하는 데 필요합니다. 이러한 비리전 또는 전역 서비스 중 일부는 FedRAMP 높음 데이터의 처리, 전송 또는 저장과 관련이 없습니다. 비리전 또는 전역 서비스의 데이터 상주 기능은 제한됩니다.

2020년 7월 FedRAMP는 FedRAMP 높음 기준 SA-9(5) 제어를 업데이트하여 높음 영향 데이터 정보 서비스의 지리적 위치를 미국 또는 미국 관할권에 있는 지역으로 제한했습니다. 이 업데이트 후 일부 Google Cloud Google Cloud 서비스는 FedRAMP Marketplace에서 별표와 함께 다음과 같은 설명으로 표시되었습니다. "별표 (*)로 표시된 서비스는 SA-9(5) 요구사항을 충족하지 않습니다. 자세한 내용은 JAB P-ATO 서한을 참고하세요.'

FedRAMP Marketplace에서 SA-9(5) 요구사항을 충족하지 않는 것으로 표시된 일부 Google Cloud 서비스는 업데이트된 SA-9(5) 증거와 함께 GSA에 다시 제출하기 위해 아직 3PAO에서 검토하지 않았습니다. Google은 FedRAMP Marketplace에서 SA-9(5) 설명을 삭제하는 것을 목표로 하는 이러한 제출을 적극적으로 추진하고 있습니다. 이러한 서비스의 상태에 대한 자세한 내용은 FedRAMP 높음 CRM 문서의 SA-9(5) 탭을 참고하세요.

SA-9(5) 설명으로 FedRAMP 높음 승인 Google Cloud 서비스를 재평가하는 프로세스가 진행 중인 동안 Google은 RMF 가이드라인에 설명된 대로 완화 제어를 구현하여 FedRAMP 높음 데이터의 지리적 제한을 해결하는 것이 좋습니다. 예를 들어 이 섹션의 나머지 부분에서 설명한 대로 데이터 암호화를 사용하여 FedRAMP 높음 데이터를 단독으로 제어할 수 있습니다.

디지털 주권 및 데이터 상주

Google은 물리적 위치와 관계없이 데이터를 보호하는 개념인 디지털 주권을 강조합니다. 이 접근 방식은 Assured Workloads소프트웨어 정의 커뮤니티 클라우드를 기반으로 합니다. 데이터 상주를 강조하는 기존의 물리적 주권과 대조적으로 디지털 주권 제어는 향상된 데이터 보호를 제공합니다. Google Cloud

디지털 주권은 데이터 보호에 대한 권한을 부여하여 클라우드 제공업체 또는 서드 파티 평가자의 보증에 의존할 필요가 없습니다. 디지털 주권은 데이터 암호화 키의 독점적 소유권을 통해 데이터에 대한 액세스를 단독으로 제어할 수 있음을 의미합니다.

RMF 가이드라인에 따라 Google은 네트워킹 인프라를 통과하는 동안 또는 미국 외 클라우드 리전에 저장될 가능성이 있는 동안 FedRAMP 높음 데이터에 액세스할 위험을 해결하기 위해 완화 제어를 구현하는 것이 좋습니다. 액세스 제한의 기본 메커니즘은 전송 중 및 저장 데이터 암호화입니다.

FedRAMP 높음 데이터를 보호하고 승인된 사용자만 액세스할 수 있도록 제한하려면 저장 데이터 암호화에 고객 관리 암호화 키를 사용할 수 있습니다. Google Cloud Google Cloud는 또한 전송 중 데이터 암호화를 제공합니다. 다음 섹션에서는 Google Cloud에서 사용할 수 있는 데이터 암호화 기술을 설명합니다 Google Cloud. 데이터 암호화는 전송 중에 FedRAMP 높음 데이터를 읽거나 저장 중에 다른 테넌트 및 Google 직원이 액세스하는 것을 방지하는 데 도움이 됩니다.

고객 관리 암호화 키

Google Cloud (Cloud KMS)의 고객 관리 암호화 키(CMEK)를 사용하면 Google Cloud에서 저장 데이터를 보호하는 키에 대한 소유권 과 제어권이 부여됩니다 Google Cloud. 사용자 키를 사용할 수 있는 Google Cloud 서비스에는 CMEK 통합이 있습니다.Google Cloud이러한 CMEK를 직접 관리하거나 Cloud KMS Autokey를 통해 관리할 수 있습니다. CMEK 통합을 지원하는 Google Cloud 서비스는 Cloud KMS 키를 사용하여 데이터 암호화 키(DEK)를 암호화하거나 래핑합니다. 키 암호화 키 (KEK)로 DEK를 래핑하는 것을 봉투 암호화라고 합니다. 자세한 내용은 CMEK 사용 권장사항 을 참고하세요. CMEK를 지원하는 서비스 목록은 호환되는 서비스를 참고하세요.

Cloud 외부 키 관리자 (Cloud EKM)를 사용하면 외부에서 관리하는 암호화 키를 사용하여 Google Cloud 내에서 데이터를 보호할 수 있습니다 Google Cloud Google Cloud. 지원되는 CMEK 통합 서비스에서 또는 Cloud Key Management Service API를 직접 호출하여 저장 데이터를 보호할 수 있습니다.

Google은 Cloud KMS의 암호화 키 보안과 관련하여 다음과 같은 보증을 제공합니다.

  • 복호화된 키 자료는 API 인터페이스 또는 다른 사용자 인터페이스를 통해 내보내거나 볼 수 없습니다.
  • Google 직원은 암호화되지 않은 고객 키 자료에 액세스할 수 없습니다. 또한 키 자료는 키 저장소에서 KMS 마스터 키로 암호화되며 Google 직원은 KMS 마스터 키에 액세스할 수 없습니다.
  • 하드웨어 보안 모듈(HSM)에서 Cloud KMS API 작업은 복호화된 상태의 키 자료를 액세스하지 않습니다. Google Cloud에서 사용할 수 있는 HSM은 FIPS 140 검증을 받았습니다. Google Cloud
  • Google 시스템 운영자는 표준 운영 절차에 정의된 대로 업무를 수행하는 동안 고객 키 자료에 대해 액세스, 사용, 추출을 수행하지 못하도록 방지됩니다.

FIPS 140 검증 은 FedRAMP 승인을 위해 필요합니다. 예를 들어 SC-13 암호화 보호 제어는 FIPS 140 검증 암호화 또는 NSA 승인 암호화의 사용을 의무화합니다. Google은 FIPS 140 검증이 적용된 저장 데이터 및 전송 중 데이터 암호화를 위한 암호화 모듈을 제공합니다.

저장 데이터 암호화

Google Cloud Google Cloud는 기본적으로 저장 데이터를 암호화합니다. Google Cloud Google Cloud는 FIPS 140 검증 AES-256 대칭 블록 암호화를 사용하여 스토리지 서비스에 투명한 서버 측 암호화를 제공합니다. Cloud KMS로 관리하고 클라우드 기반 또는 외부 HSM에 저장하는 자체 암호화 키를 만들 수도 있습니다.

Cloud HSM을 사용하면 FIPS 140 검증 HSM 클러스터에서 암호화 키를 호스팅하고 암호화 작업을 수행할 수 있습니다. Cloud HSM은 Cloud KMS를 프런트엔드로 사용하여 CMEK 통합 기능과 Cloud KMS에서 제공하는 기타 기능에 액세스할 수 있도록 합니다. Google Cloud는 강력한 FIPS 140 검증 암호화를 사용하므로 암호화된 데이터는 CMEK를 보유한 사용자만 액세스할 수 있습니다. Google Cloud

Google Cloud Google Cloud는 또한 가상 머신에 연결된 디스크를 암호화하기 위한 고객 관리 키를 지원합니다. 또한 Google Cloud는 클라우드로 전송하기 전에 자체 애플리케이션 환경 내에서 데이터를 암호화할 수 있는 Google Cloud 클라이언트 측 암호화를 지원합니다.

전송 중 데이터 암호화

Google Cloud Google Cloud는 다음과 같이 전송 중 데이터 암호화를 지원합니다.

전송 중 데이터 암호화에는 최종 사용자와 Google 간의 전송 중 암호화와 Google 네트워크 내의 전송 중 암호화가 포함됩니다. 자세한 내용은 Google Cloud의 전송 중 데이터 암호화를 Google Cloud 참고하세요.

다음 단계

배포의 FedRAMP 승인을 시작하려면 다음을 검토하세요. Google Cloud