국방부(DoD) 영향 수준 5(IL5)
DoD IL5 개요
DISA(국방 정보 시스템 기관)는 DoD SRG(클라우드 컴퓨팅 보안 요구 사항 가이드)를 개발하고 유지 관리하는 미국 국방부(DoD)의 기관입니다. SRG는 CSP가 DoD 임무를 호스트할 수 있도록 하는 DOD PA(임시 권한 부여)를 부여하는 결정을 지원하는 CSP(클라우드 서비스 공급자)의 보안 상태를 평가하기 위해 DoD에서 사용하는 기준 보안 요구 사항을 정의합니다. 이전에 게시된 DoD CSM(클라우드 보안 모델)을 통합, 대체 및 철회하고 DoD RMF(위험 관리 프레임워크)에 매핑합니다.
DISA는 DoD 기관 및 부서에서 CSP 사용을 계획하고 승인하도록 안내합니다. 또한 CSP가 DoD 표준 준수를 설명하는 설명서를 제공할 수 있는 권한 부여 프로세스인 SRG를 준수하기 위해 CSP 제품을 평가합니다. 적절한 경우 DoD PA(임시 권한 부여)를 발급하므로 DoD 기관 및 지원 조직은 자체 승인 프로세스를 거치지 않고도 클라우드 서비스를 사용할 수 있으므로 시간과 노력을 절약할 수 있습니다.
SRG 섹션 3.2정보 영향 수준에 따르면 IL5 정보는 다음을 다룹니다.
IL4에서 제공하는 것보다 더 높은 수준의 보호가 필요한 CUI(제어된 비분류 정보)
- CUI 레지스트리는 경영진이 보호 중인 특정 범주의 정보를 제공합니다. 예를 들어 20개 이상의 범주 그룹화가 CUI 범주 목록에 포함됩니다.
- NIST SP 800-171비연방 시스템 및 조직에서 제어되는 미분류 정보 보호 는 연방 기관이 비연방 조직과 체결한 계약 또는 기타 계약에서 사용하기 위한 것입니다.
NSS(국가 안보 시스템)
- NIST SP 800-59정보 시스템을 국가 안보 시스템으로 식별하기 위한 지침 은 NSS의 정의를 제공합니다.
- CNSSI 1253국가 안보 시스템에 대한 보안 분류 및 제어 선택은 연방 기관이 국가 안보 정보를 분류하기 위해 적용해야 하는 보안 표준에 대한 지침을 제공합니다.
2014년 12월 15일상용 클라우드 컴퓨팅 서비스의 획득 및 사용에 대한 업데이트된 지침에 대한 DoD CIO 메모에는 'FedRAMP가 모든 DoD 클라우드 서비스에 대한 최소 보안 기준이 될 것'이라고 명시되어 있습니다. SRG는 모든 IL(정보 영향 수준)에서 FedRAMP Moderate 기준을 사용하고 일부에서 높은 기준을 고려합니다.
FedRAMP 보안 컨트롤의SRG 섹션 5.1.1 DoD 사용에 따르면 DoD FedRAMP+ 컨트롤 및 컨트롤 향상(C/CE) 및 요구 사항으로 보완된 FedRAMP High PA는 IL5에서 DoD PA를 수여하기 위한 CSP를 평가하는 데 사용됩니다. FedRAMP High PA의 기초로 사용되는 C/CE 기준이 무엇이든 간에 DoD PA가 IL5에서 수여되기 전에 추가 고려 사항 및/또는 요구 사항을 평가하고 승인해야 합니다. 특히, 테이블 2의 SRG 섹션 5.1.2DoD FedRAMP+ 보안 제어/향상 상태는 DoD IL5 PA에 FedRAMP High 기준 이외의 10개의 추가 C/CA가 필요합니다.
또한 SRG 섹션 5.2.2.3IL5 위치 및 분리 요구 사항에 따라 수준 5 PA에 대해 다음과 같은 요구 사항이 적용되어야 합니다.
- DoD와 연방 정부 테넌트/임무 간의 가상/논리적 분리로 충분합니다. 테넌트/미션 시스템 간의 가상/논리적 분리가 필요합니다.
- 비 DoD/비연방 정부 테넌트(즉, 공용, 지방/주 정부 테넌트)로부터 물리적 분리가 필요합니다.
- CSP는 DoD 및 커뮤니티 정보에 대한 잠재적 액세스를 미국 시민인 CSP 직원으로 제한합니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
- Azure
- 고객 서비스 Dynamics 365
- 엔드포인트용 Microsoft Defender(이전의 Microsoft Defender Advanced Threat Protection)
- Microsoft Graph
- Microsoft Stream
- Office 365 US Government Defense
- Power Automate(과거 Microsoft Flow)
- Power BI
Azure, Dynamics 365 및 DoD IL5
Azure, Dynamics 365 및 기타 온라인 서비스 규정 준수에 대한 자세한 내용은 Azure DoD IL5 제품을 참조하세요.
Office 365 및 DoD IL5
Office 365 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Office 365 적용 가능성 및 범위 내 서비스
다음 표를 사용하여 Office 365 서비스 및 구독의 적용 가능성을 확인하세요.
| 적용 가능성 | 범위 내 서비스 |
|---|---|
| DoD | 활동 피드 서비스, Bing Services, Bookings, Exchange Online Protection, Exchange Online, 지능형 서비스, Microsoft Teams, Office 365 고객 포털, Office Online, Office 서비스 인프라, Office 사용 현황 보고서, 비즈니스용 OneDrive, 사람 카드, SharePoint Online, 비즈니스용 Skype, Windows Ink |
증명 문서
미국 정부 고객은 패키지 액세스 요청 양식을 제출하여 FedRAMP Marketplace에서 직접 Office 365 미국 정부 국방 FedRAMP 설명서를 요청할 수 있습니다. FedRAMP에서 직접 FedRAMP 보안 패키지에 액세스하려면 .gov 또는 .mil 이메일 주소가 있어야 합니다.
SSP(시스템 보안 계획), 지속적인 모니터링 보고서, POA&M(계획 및 중요 시점) 등 FedRAMP 및 DoD 설명서를 선택하면 NDA 미만의 고객이 사용할 수 있으며 서비스 신뢰 포털 감사 보고서 - FedRAMP 보고서 섹션에서 보류 중인 액세스 권한 부여를 사용할 수 있습니다. 지원을 받으려면 Microsoft 계정 담당자에게 문의하세요.
리소스
- Microsoft 정부 솔루션
- FedRAMP 문서
- DOD IT(정보 기술)용 DoD 명령 8510.01RMF(DoD Risk Management Framework)
- 정보 시스템 및 조직을 위한 NIST SP 800-37위험 관리 프레임워크: 보안 및 개인 정보 보호에 대한 시스템 Life-Cycle 접근 방식
- NIST SP 800-53정보 시스템 및 조직에 대한 보안 및 개인 정보 보호 제어
- NIST SP 800-59정보 시스템을 국가 안보 시스템으로 식별하기 위한 지침
- CNSSI 1253국가 안보 시스템에 대한 보안 분류 및 제어 선택
- NIST SP 800-171비페더널 시스템 및 조직에서 제어된 미분류 정보 보호
- 제어된 CUI(미분류 정보) 레지스트리 및 CUI 범주 목록입니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기