FedRAMP 규정 준수 프로그램 개요

Azure에서 FedRAMP(Federal Risk and Authorization Management Program) 규정 준수에 대한 경로를 가속화하는 것은 학습 리소스 및 구현 도구를 제공하는 데 집중된 노력입니다. 목표는 프로젝트의 범위 지정 및 구현 중에 제공되는 교육 및 지원입니다. 또한 Microsoft는 주요 평가 및 자동화 파트너와 협력하여 규정 준수 요구 사항을 충족하는 데 도움이 되는 참조 아키텍처 및 솔루션을 공유합니다.

이 분야에서 서비스를 제공하는 파트너는 서비스의 범위를 확장하는 제품을 마켓플레이스에 게시할 수 있습니다.

고객

미국 정부 기관 및 기타 많은 조직은 업무 수행을 위해 상용 소프트웨어 회사에 의존합니다. FedRAMP는 클라우드 컴퓨팅 제품 및 서비스를 평가, 모니터링 및 승인하기 위한 표준화된 접근 방식을 제공하기 위해 설립되었습니다. 이 접근 방식은 개별 기관 보안 평가를 수행하는 데 필요한 비용, 시간 및 리소스를 절약하는 "한 번 수행, 여러 번 사용" 프레임워크를 사용합니다. FedRAMP는 NIST(National Institute of Standards and Technology) SP 800-53 표준을 기준으로 하며 FedRAMP 제어 및 제어 기능으로 보강되었습니다.

클라우드 서비스에 대한 FedRAMP 승인에는 다음 두 가지 유형이 있습니다.

• FedRAMP JAB(Joint Authorization Board)가 발급한 P-ATO(Provisional Authority to Operate)
• 기관 ATO(Authority to Operate)

P-ATO 프로세스

FedRAMP P-ATO는 JAB의 CSP(클라우드 서비스 공급자) 승인 패키지의 초기 승인입니다. 기관은 P-ATO를 사용하여 해당 기관 내에서 클라우드 서비스를 획득하고 사용하기 위해 ATO를 부여할 수 있습니다. JAB는 DoD(미국 국방부), DHS(국토안보부) 및 GSA(미 연방 조달청)의 CIO(최고 정보 책임자)로 구성되며, 각 구성원 조직의 지정된 TR(기술 담당자)이 지원합니다. P-ATO는 JAB가 클라우드 서비스의 승인 패키지를 검토하고 클라우드 서비스 제공에 대한 ATO를 부여할 때 사용할 연방 기관에 대한 임시 승인을 제공했다는 것을 의미합니다.

기관 ATO 프로세스

기관 승인 프로세스의 일환으로 CSP는 클라우드 서비스의 보안 패키지를 검토하는 기관 후원자와 직접 협력합니다. 보안 평가를 완료한 후 기관의 책임자(또는 해당 피지명자)가 ATO를 부여할 수 있습니다.

따라서 ISV는 솔루션을 일반화된 방식으로 허가하고 여러 기관에서 사용할 수 있도록 하는 JAB 승인을 선택할 수 있습니다. 이 프로세스는 더 오래 걸리는 경향이 있습니다. 또한 서비스 중인 정부 고객과 관련된 기관 ATO를 선택할 수도 있습니다. 이 고객은 후원자 역할을 하며 다른 기관과 "상호 호환 관계"를 유지할 수도 있으므로 다른 고객과 함께 회사의 솔루션을 더 빠르고 원활하게 채택할 수 있습니다.

파트너

Microsoft는 파트너를 통해 스케일링할 수 있습니다. 스케일링을 통해 보다 예측 가능하고 비용 효율적이고 신속한 배달을 구현할 수 있습니다. 이러한 문제는 ATO를 추구하는 데도 일반적입니다. 우리는 두 가지 주요 파트너십을 가능하게 하는 데 초점을 맞추고 있습니다.

• 권고: 파트너는 개별 단계 또는 전체 ATO 프로세스에서 고객을 안내하는 Azure 기반 제품을 만들 수 있습니다. 이러한 파트너는 Azure Marketplace 규정 준수 제품에 가치를 더하는 자동화된 솔루션과 함께 번들로 제공되는 컨설팅 서비스를 제공합니다. 일반적으로 직접, 참조로 또는 Microsoft Azure Marketplace를 통해 계약할 수 있습니다.
• 자동화: 다음과 같은 두 가지 유형의 자동화 파트너가 있습니다.
  • 타사 솔루션을 Azure와 통합하고 FedRAMP 패키지의 제어를 달성/충족하는 데 도움이 되는 기본 파트너입니다. 이러한 파트너는 권장되는 참조 아키텍처의 일부입니다.
  • FedRAMP SSP(시스템 보안 계획) 생성, 자동 복구, 경고 및 모니터링과 같은 ATO 여정의 특정 측면을 자동화하는 데 도움이 되는 진정한 자동화 파트너입니다.

참고 항목

파트너는 Azure Marketplace에 솔루션을 게시하라는 요청을 받았습니다. 지침은 다음 단계를 참조하세요.

Azure Marketplace에 게시

1. 파트너 네트워크 가입 – 게시에 필요한 요구 사항이지만 등록하기 쉽습니다. 지침에 대해서는 파트너 센터 계정을 만들고 상업용 Marketplace에 등록을 참조하세요.
2. 파트너 센터에서 상업용 Marketplace 계정 만들기의 지침에 따라 파트너 센터 계정을 Publisher/Developer for Marketplace로 사용하도록 설정합니다.
3. 사용하도록 설정된 파트너 센터 계정을 사용하여 SaaS 제품 만들기에 설명된 대로 목록을 SaaS 애플리케이션으로 게시합니다.

이 공간의 기존 Azure Marketplace 제품 목록을 보려면 Azure Marketplace를 방문하세요.

추가 리소스

참고 항목

여기에 제공된 정보를 통해 등록하고 FedRAMP 규정 준수 프로그램에 대해 알아볼 수 있습니다. 이 프로그램은 Azure 및 Azure Government 고객이 인증을 위해 환경을 성공적으로 준비하고 FedRAMP ATO를 요청할 수 있도록 디자인되었습니다. 이 정보는 어떠한 종류의 제안도 구성하지 않으며, 다음 양식을 제출해도 프로그램에 참여할 수 없습니다. 현재, 파트너 및 고객과 공유되는 프로그램 세부 정보는 명목상이며 예고 없이 변경될 수 있습니다.

• FedRAMP 학습 리소스.
• 프로그램 요구 사항에 도움이 되는 FedRAMP 문서 및 템플릿
• FedRAMP Marketplace에 대해 알아보세요.
• Azure Government 규정 준수에 대해 자세히 알아봅니다.

다음 단계

추가 팁 및 문제 해결에 대해서는 제품 유형별 게시 가이드를 검토하세요. 여전히 문제가 발생하는 경우 파트너 센터에서 티켓을 엽니다.