Google Cloud의 FedRAMP 구현 안내

이 문서에서는 Google Cloud 가 FedRAMP 규정 준수 요구사항을 지원하는 방법을 설명하고 FedRAMP 요구사항을 충족하도록 서비스를 구성하는 리소스를 안내합니다. 이 문서는Google Cloud에서 FedRAMP 구현 및 규정 준수를 담당하는 보안, 규정 준수, IT 담당자를 대상으로 합니다.

공유 책임 모델에 따라 사용자는 규정 준수 및 보안 요구사항을 이해하고Google Cloud 환경을 적절하게 구성해야 합니다. FedRAMP 지원을 구현할 때는 FedRAMP 책임과 관련된 독립적인 법률 자문을 받는 것이 좋습니다.

FedRAMP 정보

연방 위험 및 인증 관리 프로그램(FedRAMP) 프레임워크는 미국 연방 정부가 모든 정부 기관에서 클라우드 제품 및 서비스의 보안 평가, 승인, 지속적인 모니터링을 표준화하기 위해 마련했습니다. 2022년 의회는 FedRAMP를 '기관에서 사용하는 미분류 정보를 처리하는 클라우드 컴퓨팅 제품 및 서비스의 보안 평가 및 승인에 대한 표준화되고 재사용 가능한 접근 방식을 제공하는 정부 차원의 프로그램'으로 규정했습니다.

2025년, FedRAMP는 FedRAMP 20x 이니셔티브의 일환으로 대대적인 프로그램 개정을 시작했습니다. 이러한 변경사항은 연방 정보 시스템의 최소 보안 요구사항을 충족하기 위해 상업용 보안 권장사항의 자동 모니터링 및 시행을 채택하는 것을 목표로 합니다. FedRAMP는 비용이 많이 들고 비효율적이며 수동으로 컴파일된 문서에서 업계 주도의 데이터 기반 보안 보고로 전환하고 있습니다. Google에서 FedRAMP 20x 이니셔티브를 지원하는 방법에 대한 자세한 내용은 FedRAMP 20x 가속화: Google Cloud 에서 규정 준수를 자동화하는 방법을 참고하세요.

FedRAMP는 미국 국립표준기술연구소 (NIST) SP 800-53 표준을 기반으로 하며 FedRAMP 컨트롤 및 컨트롤 개선사항으로 보강됩니다. 특정 온프레미스 프라이빗 클라우드를 제외한 모든 연방 정부 기관의 클라우드 배포와 서비스 모델은 NIST FIPS 199 가이드라인에 따라 적절한 위험 영향 수준 (낮음, 중간, 높음)의 FedRAMP 요구사항을 충족해야 합니다. 영향 수준이 증가함에 따라 해당 기준의 NIST SP 800-53 컨트롤 수가 증가합니다. 예를 들어 FedRAMP 중간 기준에는 325개의 컨트롤이 있는 반면 FedRAMP 높음 기준에는 421개의 컨트롤이 있습니다.

FedRAMP는 일회성 인증 또는 인증이 아닌 평가 및 승인 프로그램입니다. 여기에는 클라우드 서비스 제품의 보안 컨트롤 효과를 보장하고, 진화하는 위협 환경과 시스템 환경 변화에 적응하기 위한 지속적인 모니터링이 포함됩니다.

Google Cloud FedRAMP 승인

FedRAMP 위원회(이전 명칭: 합동인증위원회(JAB))는 FedRAMP의 기본 관리 기관입니다. FedRAMP 위원회에는 국방부 (DoD), 국토안보부 (DHS), 총무청 (GSA)의 CIO가 포함됩니다.

FedRAMP 위원회는 Google Cloud 및 기본 Google 공통 인프라(GCI) Google Cloud 에 FedRAMP 높음 잠정적 운영 권한(P-ATO)을 발급했습니다. Google Cloud는 정기적으로 위원회에 FedRAMP 높음 승인을 위한 추가 서비스를 제출합니다. FedRAMP 높음 수준 승인은 FedRAMP 규정 준수의 가장 높은 기준을 나타냅니다.

FedRAMP 중간 제어 기준은 FedRAMP 높음 제어 기준의 하위 집합입니다. 따라서 FedRAMP 높음 승인은 모든 FedRAMP 중간 제어 요구사항을 포괄적으로 충족합니다.

Google Cloud FedRAMP 규정 준수에 대한 자세한 내용은 FedRAMP 규정 준수를 참고하세요.

감사 범위 내 서비스

Google Cloud 는 150개가 넘는 클라우드 서비스를 포괄하는 포괄적인 FedRAMP 높음 P-ATO를 유지합니다. 이 범위를 사용하면 Google Cloud 에서 다양한 애플리케이션을 빌드하고 기본 Google Cloud 플랫폼의 보안 제어를 상속하여 FedRAMP ATO를 획득할 수 있습니다. 예를 들어 Google Cloud배포에서 머신러닝(ML) 모델과 인공지능(AI) 서비스(AI 에이전트, 생성형 AI, 멀티모달 AI 포함)를 사용할 수 있습니다.

Google Cloud FedRAMP 감사 범위에 대한 자세한 내용은 범위 내 FedRAMP 서비스Google Cloud FedRAMP 마켓플레이스를 참고하세요.

AI 및 LLM

Google Cloud 는 ML 모델과 AI 애플리케이션이 포함된 워크로드의 FedRAMP 규정 준수 요구사항을 충족하는 데 도움이 됩니다. Vertex AI의 생성형 AIVertex AI 추론: 일괄 및 온라인과 같은Google Cloud FedRAMP 승인 서비스를 사용하여 Google의 Model Garden에서 제공되는 200개가 넘는 퍼스트 파티, 서드 파티, 오픈소스 대규모 언어 모델 (LLM)과 상호작용할 수 있습니다. 자세한 내용은 Model Garden에서 지원하는 모델을 참고하세요.

개별 LLM은 FedRAMP에 따라 독립적으로 승인되지 않으며 FedRAMP 마켓플레이스에 승인 기록이 없습니다. 대신 Marketplace에는 Google에서 승인을 위해 제출하는 Vertex AI의 생성형 AI 및 Vertex AI Inference: 배치 및 온라인과 같은 클라우드 서비스에 대한 승인이 반영됩니다. 하지만 LLM 배포에 사용되는 기본 클라우드 인프라는 지속적 모니터링에 사용되는 인프라를 비롯하여 FedRAMP 규정 준수 요구사항을 준수해야 합니다. 이 요구사항은 Google 퍼스트 파티 LLM (예: Gemini 모델 제품군) 및 Anthropic의 파트너 모델과 같은 Google 관리형 모델에서 충족되며, 이러한 모델은 모두 프로비저닝된 처리량을 지원합니다. 따라서 FedRAMP 높음 승인을 받은 Vertex AI 서비스를 사용하면 FedRAMP 높음 환경에서 지원되는 모델과 상호작용할 수 있습니다.

Google은 Google 관리 인프라에서 호스팅되는 더 많은 LLM에 대한 모니터링 조항을 계속 구현하고 있습니다. Google은 서빙 인프라와 맞춤 빌드 컨테이너를 승인하여 오픈소스 모델을 배포할 책임이 있지만 오픈소스 모델의 보안은 사용자의 책임입니다.

자체 배포된 LLM에 대한 자세한 내용은 자체 배포된 모델 개요를 참고하세요. LLM을 자체 Google Cloud 테넌트 인프라에 배포하는 경우 FedRAMP ATO 평가가 개별 LLM이 아닌 해당 인프라를 다루는지 확인하세요. 예를 들어 LLM 배포를 위해 프로비저닝하는Google Cloud 인프라에 대한 지속적 모니터링 요구사항을 충족해야 합니다. 서드 파티 평가 조직 (3PAO) 및 Google과 협력하여 ATO를 획득할 수 있습니다.

FedRAMP ATO 획득

진행 중인 FedRAMP 20x 변경사항에 따라 FedRAMP 승인을 받을 수 있는 경로는 Rev. 5 기관 ATO입니다. ATO를 획득하기 위한 단계를 완료하려면 Google 및 3PAO와 협력해야 합니다. 대행사 승인 플레이북과 같은 중요 리소스 링크를 포함한 대행사 ATO 프로세스에 대한 자세한 내용은 FedRAMP 웹사이트를 참고하세요.

FedRAMP 높음 규정 준수 의무를 충족하기 위해 Google Cloud 서비스를 사용하려는 경우 FedRAMP 높음용 데이터 경계를 사용해야 합니다. FedRAMP 중간 제어 기준은 FedRAMP 높음 제어 기준의 하위 집합입니다. 따라서Google Cloud에 배포된 솔루션에 대해 FedRAMP 중간 ATO를 획득하려는 경우 FedRAMP 중간 승인 경계 내에서 FedRAMP 높음 승인 Google Cloud 서비스를 사용할 수 있습니다. FedRAMP 높음 ATO에 대해 평가해야 하는 컨트롤에 비해 FedRAMP 중간 ATO에 대해 평가해야 하는 컨트롤이 더 적습니다.

FedRAMP ATO를 지원하기 위해 Google은 기밀유지 협약 (NDA)에 따라 다음과 같은Google Cloud FedRAMP 높음 규정 준수 문서를 제공할 수 있습니다.

  • 고객 책임 규정 (CRM): FedRAMP High 컨트롤 기준에서 NIST SP 800-53 컨트롤을 구현할 때의 책임에 관한 자세한 설명입니다.
  • 시스템 보안 계획 (SSP): 보안 승인 경계 및 시스템 아키텍처 또한 이 문서에서는 FedRAMP High 컨트롤 기준에 적용되는 NIST SP 800-53 컨트롤 요구사항과 Google Cloud 컨트롤 구현 세부정보를 자세히 설명합니다.

Google 영업팀 또는 Google Cloud 담당자가 이 문서에 액세스할 수 있도록 도움을 드릴 수 있습니다. 연방 정부 기관인 경우 패키지 요청 양식을 사용하여 FedRAMP 프로그램 관리 부서를 통해 Google의 FedRAMP 패키지를 요청할 수도 있습니다.

안내 및 자동화

Google은 이 섹션에 설명된 대로 FedRAMP 규정 준수 의무를 준수하는 데 도움이 되는 안내 문서와 자동화 솔루션을 제공합니다.

제어 매핑 가이드

포괄적인 Google Cloud FedRAMP 높음 CRM과 달리 제어 매핑 가이드 (CMG)는 서비스별로 다릅니다. 이 가이드에서는 FedRAMP 높음 요구사항을 충족하도록 서비스를 구성할 수 있도록 Google Cloud 서비스에 대한 자세한 제어 범위를 제공합니다. CMG는 사용자가 기술적으로 구성해야 하는 관련 NIST SP 800-53 컨트롤을 다룹니다. 또한 CMG는 이러한 책임이 투명하게 유지되도록 특정 서비스 (및 지원Google Cloud 및 Google Workspace 서비스)에 대해 따라야 하는 단계를 명확히 합니다.

CMG는 BigQuery, Looker Studio Pro, Vertex AI의 생성형 AI, Vertex AI Search, Cloud Logging, Compute Engine, Identity and Access Management (IAM) 등 일부 Google Cloud 서비스에서 사용할 수 있습니다. 비밀 유지 계약 (NDA)에 따라 이 문서에 액세스하려면 Google 영업팀 또는 Google Cloud담당자에게 문의하세요.

FedRAMP High 구현 가이드

FedRAMP 높음 구현 가이드는 영향을 받는 서비스 기능과 보호된 데이터를 저장하는 데 적합한 데이터 필드를 비롯하여 FedRAMP 높음 범위에 속하는 서비스별 API를 다루기 위한 것입니다. 예를 들어 이러한 가이드에서는 FedRAMP 높음 요구사항을 충족하는 서비스별 API를 설명하고 FedRAMP 높음 워크로드에 특정Google Cloud 서비스와 함께 사용하는 추가 구성 세부정보를 제공합니다. 이러한 구성은 기본적으로 적용되지 않으며 사용자가 관리해야 합니다.

Apigee, BigQuery, Cloud Key Management Service, Logging, Google Kubernetes Engine (GKE), Vertex AI의 생성형 AI, Vertex AI Search, Cloud Storage 등 일부 서비스에 FedRAMP High 구현 가이드가 제공됩니다. Google CloudNDA에 따라 이 문서에 액세스하려면 Google 영업팀 또는Google Cloud 담당자에게 문의하세요.

데이터 상주 및 SA-9(5) 규정 준수

Google Cloud 는 리전 서비스에 데이터 상주 계약상 약정을 제공하므로 특정 데이터 위치를 사용하도록 서비스를 구성할 수 있습니다. 이러한 약속은 FedRAMP High 데이터가 미국 리전에 저장되고, 미국에 유지되며, 미국 이외의 다른 리전으로 이동되지 않도록 하는 데 도움이 됩니다. FedRAMP 높음 데이터의 몇 가지 예로는 법 집행 기관, 응급 서비스, 금융 서비스, 의료 및 공중 보건 시스템 또는 16개 중요 인프라 부문에 속하는 데이터가 있습니다.

일부 Google Cloud 서비스는 설계상 리전이 없거나 전역이므로 서비스가 배포된 리전을 지정할 수 없습니다. 이 설계 접근 방식은 전역 서비스가 올바르게 작동하는 데 필요합니다. 이러한 비지역 또는 전역 서비스 중 일부는 FedRAMP 높음 데이터의 처리, 전송 또는 저장과 관련이 없습니다. 비리전 또는 전역 서비스의 데이터 상주 기능은 제한됩니다.

2020년 7월 FedRAMP는 영향이 큰 데이터 정보 서비스의 지리적 위치를 미국 또는 미국 관할권에 속한 지역으로 제한하기 위해 FedRAMP High 기준 SA-9(5) 컨트롤을 업데이트했습니다. 이 업데이트 후 일부 Google Cloud 서비스에는 FedRAMP 마켓플레이스에서 별표가 표시되고 다음과 같은 설명이 추가되었습니다. '별표 (*)가 표시된 서비스는 SA-9(5) 요구사항을 충족하지 않습니다. 자세한 내용은 JAB P-ATO 서한을 참고하세요.'

FedRAMP Marketplace에서 SA-9(5) 요구사항을 충족하지 않는 것으로 표시된 일부 서비스는 업데이트된 SA-9(5) 증거와 함께 FedRAMP 위원회에 다시 제출하기 위해 Google의 3PAO에서 아직 검토하지 않았습니다. Google Cloud Google은 FedRAMP Marketplace에서 SA-9(5) 명확성을 삭제하기 위한 제출을 적극적으로 추진하고 있습니다. 이러한 서비스의 상태에 대한 자세한 내용은 FedRAMP 높음 CRM 문서의 SA-9(5) 탭을 참고하세요.

SA-9(5) 설명에 따라 FedRAMP 높음 승인 서비스를 재평가하는 절차가 진행되는 동안 Google에서는 RMF 가이드라인에 설명된 대로 완화 제어를 구현하여 FedRAMP 높음 데이터 지리적 제한을 해결할 것을 권장합니다. Google Cloud예를 들어 이 섹션의 나머지 부분에 설명된 대로 데이터 암호화를 사용하여 FedRAMP 높음 데이터를 단독으로 관리해야 합니다.

디지털 주권 및 데이터 상주

Google은 물리적 위치와 관계없이 데이터를 보호하는 개념인 디지털 주권을 강조합니다. 이 접근 방식은 Assured Workloads소프트웨어 정의 커뮤니티 클라우드를 사용합니다. 데이터 상주를 강조하는 기존의 물리적 주권과 대조됩니다. Google Cloud 디지털 주권 제어는 데이터 보호를 강화합니다.

디지털 주권은 데이터 보호에 대한 권한을 부여하므로 클라우드 제공업체나 서드 파티 평가자의 보증에 의존할 필요가 없습니다. 디지털 주권은 데이터 암호화 키의 독점적 소유를 통해 데이터에 대한 액세스를 단독으로 제어할 수 있음을 의미합니다.

RMF 가이드라인에 따라 Google은 네트워킹 인프라를 통과하는 동안 또는 미국 외 클라우드 지역에 저장될 수 있는 동안 FedRAMP High 데이터에 액세스할 위험을 해결하기 위해 완화 컨트롤을 구현할 것을 권장합니다. 액세스 제한의 기본 메커니즘은 전송 중 데이터와 저장 데이터의 암호화입니다.

FedRAMP 높음 데이터를 보호하고 승인된 사용자만 액세스할 수 있도록 하려면 고객 관리 암호화 키, 저장 데이터 암호화, 전송 중 데이터 암호화를 사용하면 됩니다. 다음 섹션에서는 Google Cloud에서 사용할 수 있는 데이터 암호화 기술을 설명합니다. 데이터 암호화는 전송 중인 FedRAMP 높음 데이터가 읽히거나 저장 상태에서 다른 테넌트 및 Google 직원이 액세스하지 못하도록 방지하는 데 도움이 됩니다.

고객 관리 암호화 키

Cloud KMS (Cloud KMS)고객 관리 암호화 키(CMEK)를 사용하면Google Cloud에서 저장 데이터를 보호하는 키에 대한 소유권과 제어권이 부여됩니다. 사용자 키를 사용할 수 있는 서비스에는 CMEK 통합이 있습니다. Google Cloud이러한 CMEK를 직접 관리하거나 Cloud KMS Autokey를 통해 관리할 수 있습니다. CMEK 통합을 지원하는 서비스는 Cloud KMS 키를 사용하여 데이터 암호화 키(DEK)를 암호화하거나 래핑합니다. 키 암호화 키 (KEK)로 DEK를 래핑하는 것을 봉투 암호화라고 합니다. 자세한 내용은 CMEK 사용 권장사항을 참고하세요. CMEK를 지원하는 서비스 목록은 호환 서비스를 참고하세요.

Cloud 외부 키 관리자 (Cloud EKM)를 사용하면 Google Cloud 외부에서 관리하는 암호화 키를 사용하여 Google Cloud내 데이터를 보호할 수 있습니다. 지원되는 CMEK 통합 서비스에서 또는 Cloud Key Management Service API를 직접 호출하여 저장 데이터를 보호할 수 있습니다.

Google은 Cloud KMS의 암호화 키 보안과 관련하여 다음과 같은 보증을 제공합니다.

  • 복호화된 키 자료는 API 인터페이스 또는 다른 사용자 인터페이스를 통해 내보내거나 볼 수 없습니다.
  • Google 직원은 암호화되지 않은 고객 키 자료에 액세스할 수 없습니다. 또한 키 자료는 키 저장소에서 KMS 마스터 키로 암호화되며 Google 직원은 KMS 마스터 키에 액세스할 수 없습니다.
  • 하드웨어 보안 모듈(HSM)에서 Cloud KMS API 작업은 복호화된 상태의 키 자료를 액세스하지 않습니다. Google Cloud 에서 사용할 수 있는 HSM은 FIPS 140 인증을 받았습니다.
  • Google 시스템 운영자는 표준 운영 절차에 정의된 대로 자신의 업무를 수행하는 동안 고객 키 자료에 대해 액세스, 사용, 추출을 수행하지 못하도록 방지됩니다.

FedRAMP 승인을 받으려면 FIPS 140 유효성 검사가 필요합니다. 예를 들어 SC-13 암호화 보호 컨트롤은 FIPS 140 검증 암호화 또는 NSA 승인 암호화 사용을 의무화합니다. Google은 저장 데이터와 전송 중 데이터의 암호화를 위한 암호화 모듈을 제공하며, 이 모듈에는 FIPS 140 검증이 적용되어 있습니다.

저장 데이터 암호화

Google Cloud 는 기본적으로 저장 데이터를 암호화합니다.Google Cloud 는 FIPS 140 검증 AES-256 대칭 블록 암호를 사용하여 스토리지 서비스에 투명한 서버 측 암호화를 제공합니다. Cloud KMS로 관리하고 클라우드 기반 또는 외부 HSM에 저장하는 자체 암호화 키를 만들 수도 있습니다.

Cloud HSM을 사용하면 FIPS 140 인증 HSM 클러스터에서 암호화 키를 호스팅하고 암호화 작업을 수행할 수 있습니다. Cloud HSM은 Cloud KMS를 프런트엔드로 사용하여 CMEK 통합 기능과 Cloud KMS에서 제공하는 기타 기능에 대한 액세스 권한을 제공합니다. Google Cloud는 강력한 FIPS 140 검증 암호화를 사용하므로 암호화된 데이터는 CMEK를 보유한 사용자만 액세스할 수 있습니다.

Google Cloud 는 가상 머신에 연결된 디스크 암호화를 위한 고객 관리 키도 지원합니다. 또한 Google Cloud 는 데이터를 클라우드로 전송하기 전에 자체 애플리케이션 환경 내에서 데이터를 암호화할 수 있는 클라이언트 측 암호화를 지원합니다.

전송 중인 데이터 암호화

Google Cloud 는 전송 중 데이터의 데이터 암호화를 다음과 같이 지원합니다.

  • 투명 암호화는 데이터 센터 리전과 가용성 영역 간의 네트워크 트래픽의 Google 관리 네트워킹 백본에서 발생합니다. 이 암호화는 미디어 액세스 제어 보안 (MACsec)을 사용하여 물리적 데이터 링크 계층(네트워킹 스택의 계층 2)에서 구현됩니다.
  • Virtual Private Cloud (VPC) 네트워크 및 피어링된 VPC 네트워크 내의 VM 간 트래픽은 투명하게 암호화됩니다.
  • 애플리케이션 계층에서 Google은 전송 중 데이터 암호화에 전송 계층 보안(TLS)을 사용할 수 있도록 지원합니다. 또한 서비스 엔드포인트는 API 호출 시 보안 HTTPS 연결을 만들기 위해 TLS를 지원합니다.
  • VPC와 온프레미스 인프라 간의 연결은 Cloud VPN을 사용하여 설정할 수 있습니다. Cloud VPN은 인터넷을 통해 또는 직접 비공개 회로를 통해 보안 암호화 터널을 만듭니다.

전송 중 데이터 암호화에는 최종 사용자와 Google 간의 전송 중 암호화와 Google 네트워크 내의 전송 중 암호화가 포함됩니다. 자세한 내용은 Google Cloud의 전송 중 데이터 암호화를 참고하세요.

다음 단계

Google Cloud 배포에 대한 FedRAMP 승인을 시작하려면 다음을 검토하세요.