FedRAMP 높은 영향 수준을 충족하도록 Microsoft Entra ID 구성
FedRAMP(Federal Risk and Authorization Management Program)은 CSP(클라우드 서비스 공급자)에 대한 평가 및 권한 부여 프로세스입니다. 특히 프로세스는 연방 기관에서 사용할 CSO(클라우드 솔루션 제품)를 만드는 CSP를 위한 것입니다. Azure와 Azure Government는 FedRAMP 인증의 가장 높은 기준인 Joint Authorization Board의 High Impact 수준 P-ATO(Provisional Authority to Operate)를 획득했습니다.
Azure는 CSO 또는 연방 기관을 위해 FedRAMP High 등급을 받도록 제어 요구 사항을 모두 충족하는 기능을 제공합니다. 규정을 준수하기 위해 추가적인 구성 또는 프로세스를 완료하는 것은 조직의 책임입니다. 이러한 책임은 CSO를 위해 FedRAMP High 인증을 받고자 하는 CSP와 ATO(Authority to Operate)를 필요로 하는 연방 기관 모두에 적용됩니다.
Microsoft 및 FedRAMP
Microsoft Azure는 다른 CSP에 비해 더욱 다양한 FedRAMP High 영향 수준의 서비스를 지원합니다. 그리고 이러한 수준의 Azure 퍼블릭 클라우드는 미국 정부 고객의 요구를 충족하지만 요구 사항이 이보다 엄격한 기관은 Azure Government 클라우드를 활용할 수 있습니다. Azure Government는 직원 심사 강화와 같은 추가적인 보호 기능을 제공합니다.
Microsoft는 이러한 인증을 유지하기 위해 매년 클라우드 서비스에 대한 재인증을 받아야 합니다. 이를 위해 Microsoft는 보안 제어를 지속적으로 모니터링 및 평가하고 서비스의 보안이 규정 준수 상태로 유지됨을 입증합니다. 자세한 내용은 Microsoft 클라우드 서비스 FedRAMP 인증 및 Microsoft FedRAMP 감사 보고서를 참조하세요. 기타 FedRAMP 보고서를 받아 보시려면 Azure 연방 문서로 메일을 보내 문의하세요.
FedRAMP 인증을 받는 방법은 다양합니다. 여기에서 Azure의 기존 인증 패키지와 참고 자료를 다시 사용하면 ATO 또는 P-ATO를 확보하는 데 필요한 시간과 노력을 크게 줄일 수 있습니다.
지침의 범위
FedRAMP High 기준은 NIST 800-53 Security Controls Catalog Revision 4의 421개 컨트롤 및 컨트롤 개선 사항으로 구성됩니다. 해당하는 경우 800-53 Revision 5의 상세한 정보를 포함했습니다. 본 문서에서는 ID와 관련된 이러한 컨트롤 일부와 구성해야 하는 컨트롤을 설명합니다.
Microsoft Entra ID에서 구성하는 데 사용하는 컨트롤을 준수하는 데 도움이 되는 규범적인 지침을 제공합니다. 일부 ID 제어 요구 사항을 완전히 충족하려면 다른 시스템을 사용해야 할 수 있습니다. 다른 시스템에는 Microsoft Sentinel과 같은 보안 정보 및 이벤트 관리 도구가 포함될 수 있습니다. Microsoft Entra ID 외부에서 Azure 서비스를 사용하는 경우 고려해야 하는 다른 컨트롤이 있으며 Azure에서 이미 제공되고 있는 기능을 사용하여 컨트롤을 충족할 수 있습니다.
FedRAMP 리소스 목록은 다음과 같습니다.