FedRAMP
규정 | 지금 대비하세요
FedRAMP(Federal Risk and Authorization Management Program, 미 연방 위험·승인 관리 프로그램)는 클라우드 제품과 서비스에 대한 보안 평가, 승인, 지속적인 모니터링에 대한 표준 접근 방식을 제공하는 미 정부 차원의 프로그램입니다. 탈레스는 연방 정부 기관과 정부 공급업체가 FedRAMP 규정 준수 표준을 충족하도록 지원합니다.
- 규정
- 규정 준수
FedRAMP의 목적
FedRamp.Gov에 따르면, 프로그램의 목적은 다음과 같습니다.
- 평가와 승인의 재사용을 통해 안전한 클라우드 솔루션 도입 가속화
- 클라우드 솔루션의 보안에 대한 신뢰 향상
- FedRAMP 내외부에서 클라우드 제품 승인에 활용할 합의된 기준 세트를 이용하여 일관적인 보안 승인 달성
- 기존 보안 관행의 일관된 적용 보장
- 보안 평가에 대한 신뢰 향상
- 자동화 및 실시간에 가까운 데이터 확대로 지속적인 모니터링
핵심 프로세스
FedRamp.Gov에 따르면, FedRAMP는 또한 3단계 절차로 클라우드 시스템을 승인합니다.
- 보안 평가: 보안 평가 절차는 NIST 800-53의 기준 제어 세트를 사용하며 FISMA에 따라 표준화된 요건 세트를 이용해 보안 승인을 부여합니다.
- 활용 및 승인: 연방 기관은 FedRAMP 저장소에서 보안 승인 패키지를 확인하고, 보안 승인 패키지를 활용하여 기관 내에서 보안 승인을 부여합니다.
- 지속적인 평가 및 승인: 승인이 완료되면, 보안 승인을 유지하기 위해 지속적인 평가와 승인 관련 조치를 완수해야 합니다.
탈레스가 지원할 수 있는 FedRAMP 규정 준수 요소
FedRAMP 규정 준수 표준을 충족하도록 지원하는 탈레스의 핵심 역량은 다음과 같습니다.
- 암호화 및 키 관리: 강력하고 중앙에서 관리하는 파일과 볼륨, 애플리케이션 암호화를 프로세스와 애플리케이션, 사용자에게 투명한 단순 중앙 집중식 키 관리와 결합합니다.
- 접근 정책 및 권한 있는 사용자 제어: 권한이 있는 사용자가 보호된 정보를 볼 필요 없이 IT 업무를 수행할 수 있도록 허용하면서, 권한 있는 사용자와 애플리케이션만 데이터를 복호화할 수 있도록 허용하여 암호화된 데이터에 대한 접근을 제한합니다.
- 보안 인텔리전스: 보호된 데이터에 대한 접근시도를 수집하는 로그는 SIEM(Security Information and Event Management, 보안 정보 이벤트 관리) 솔루션과 함께 이용하고, 규정 준수 보고에도 사용할 수 있을 정도로 가치 있는 보안 인텔리전스 정보를 제공합니다.
FedRAMP, FIPS 199, FIPS 200, FISMA, NIST 800-53, 4차 개정안, FIPS 140-2 규정 준수를 지원하는 것 외에도 탈레스 솔루션은 다음과 같은 규정 준수를 지원합니다.
- CC(공통 평가 기준) 인증
- HIPAA-HITECH
- PCI-DSS
- 향후 제정될 표준들
탈레스 제품은 FedRAMP 규정 준수 및 암호화를 통해 연방 정부 기관과 정부 공급업체를 지원합니다.
CipherTrust 데이터 보안 플랫폼
탈레스의 CipherTrust 데이터 보안 플랫폼은 광범위한 OS 플랫폼, 데이터베이스, 클라우드 환경, 빅데이터 구현 전반에 걸쳐 연방 정부 기관의 다양한 요구에 따라 확장 가능한 프레임워크를 제공하여 저장 데이터 보안을 지원하는 업계 유일 솔루션입니다. 그 결과, 총 소유 비용이 낮을 뿐만 아니라 간단하고 효율적인 배포와 운영이 가능합니다.
CipherTrust Transparent Encryption
탈레스가 제공하는 CipherTrust Transparent Encryption은 파일 및 볼륨 수준의 저장 데이터 암호화, 보안 키 관리, 법률 및 규정 체제 준수에 필요한 액세스 제어를 제공합니다.
CipherTrust Key Management
탈레스의 CipherTrust Key Management를 이용하면 KMIP 호환 하드웨어, Oracle, SQL 서버 TDE 마스터키와 디지털 인증서를 포함한 기타 환경과 장치의 암호키를 중앙에서 관리할 수 있습니다.
CipherTrust Application Data Protection
CipherTrust Application Data Protection을 이용하는 기관은 필드와 열 수준에서 내부 애플리케이션에 암호화 기능을 쉽게 구축할 수 있습니다.
CipherTrust Tokenization
CipherTrust Tokenization은 저장소 없이 동적 데이터 마스킹 기능을 함께 제공하여 관리자가 전체 필드를 토큰화하거나 필드 일부를 동적으로 마스킹하는 정책을 설정할 수 있습니다. CipherTrust Vaulted Tokenization도 이용 가능합니다. 이 두 솔루션 모두 형태 보존 토큰화 기능을 제공하여, 민감한 자산에 대한 액세스를 제한하는 동시에 보호된 데이터의 형태를 지정할 수 있으므로 데이터베이스 스키마 변경을 최소화할 수 있습니다.
FedRAMP Certification Of Your CSP Does Not Protect Your Data In The Cloud - White Paper
FedRAMP Certification does not Equal Data Security in the Cloud Using the services of a CSP that is FedRAMP-certified does not guarantee that the data placed with that CSP will be encrypted, secured, or otherwise protected – only that the CSP has been vetted and has the...
Download
Cracking the Confusion: Encryption and Tokenization for Data Centers, Servers, and Applications - White Paper
This paper cuts through the confusion to help you pick the best encryption and tokenization options for your projects. The focus is on encrypting in the data center: applications, servers, databases, and storage. It also covers cloud computing (IaaS: Infrastructure as a...
Download기타 주요 데이터 보호 및 보안 지침
GDPR
규제
활성화하기
아마도 현재까지 가장 포괄적인 데이터 개인 정보 보호 표준인 GDPR은 조직 본사의 위치에 관계없이 EU 시민의 개인 데이터를 처리하는 모든 조직에 영향을 미칩니다.
PCI DSS
규정
활성화하기
신용 카드 및 직불 카드 결제 처리를 하든 모든 조직은 계정 데이터의 처리, 저장 및 전송을 위한 엄격한 PCI DSS 규정 요구 사항을 준수해야 합니다.
데이터 침해 통지법
규제
활성화하기
개인정보 유출에 따른 데이터 침해 통보 요건은 전 세계 각국에 의해 제정되었습니다. 이는 지역에 따라 상이하지만 거의 보편적으로 "세이프 하버(safe harbour)" 조항을 포함하고 있습니다.
