FedRAMP

미국 연방 정부는 클라우드 제품 및 서비스에 대한 보안 및 위험 평가, 승인 및 지속적 모니터링에 대해 표준화된 접근 방식을 제공하는 정부 프로그램인 FedRAMP^®(미국 연방 위험 및 승인 관리 프로그램)를 수립했습니다. 특정 온프레미스 프라이빗 클라우드를 제외한 모든 연방 정부 기관 클라우드 배포 및 서비스 모델은 적절한 영향 수준(낮음, 보통 또는 높음)에서 FedRAMP 요구 사항을 충족해야 합니다.

FedRAMP 승인을 획득하는 방법에는 JAB(Joint Authorization Board)를 통한 임시 승인 또는 기관을 통한 승인이라는 두 가지 접근 방식이 있습니다. 기관 승인 방법의 경우, 기관이 언제든지 CSP(클라우드 서비스 공급자)와 직접 협력하여 승인할 수 있습니다. ATO(운영 승인)을 추구하기 위해 기관과 직접 협력하려는 비즈니스 결정을 내린 CSP는 FedRAMP 승인 프로세스 전반에 걸쳐 기관과 협력합니다.

두 접근 방식 모두 프로그램의 인증을 받은 독립적인 타사 평가 조직(3PAO)의 평가와 FedRAMP 프로그램 관리 조직(PMO)의 엄격한 기술 검토가 필요합니다.

FedRAMP는 국립 표준기술연구소(NIST) SP 800-53 Rev. 4 표준을 기반으로 하며, FedRAMP에 해당되는 컨트롤 및 컨트롤 개선 사항을 확장했습니다. FedRAMP 승인은 NIST FIPS 199 보안 분류에 따라 세 가지 영향 수준(낮음, 보통 및 높음)으로 부여됩니다. 이러한 수준은 기밀성, 무결성 또는 가용성의 손실이 조직에 미칠 수 있는 영향을 낮음(제한된 부작용), 보통(심각한 부작용) 및 높음(중요 또는 치명적 부작용)으로 나눕니다.

Jira, Confluence 및 Jira Service Management는 FedRAMP Moderate 인증을 획득했으며 Trello Enterprise는 FedRAMP Low 인증을 제공합니다. 더 자세히 알아보려면 Atlassian 정부 팀에 문의하세요.