Red Hat OpenShift Service on AWS, FedRAMP '준비' 인증 획득

Red Hat OpenShift Service on AWS(ROSA)를 포함하는 Red Hat FedRAMP 오퍼링이 FedRAMP JAB(Joint Authorization Board)로부터 '준비' 인증을 획득했습니다. Red Hat은 현재 FedRAMP Marketplace에 등재되어 JAB 권한 부여를 적극적으로 추진 중이며, 두 가지 권한 부여 경로로 별도의 추가 업데이트를 통해 진행 상황과 성과를 보여줍니다. 여기서 두 가지 권한 부여 경로는 기존 ATO(Agency Authority to Operate) 목록과 JAB 경로를 위한 별도의 목록입니다. 이는 2023년 8월 업데이트의 다음 주요 단계로, Red Hat이 JAB의 준비 평가 리포트 승인 이후 JAB의 권한 부여를 우선으로 받았습니다.

하지만 두 가지 경로와 두 가지 목록이 있는 이유는 무엇일까요? FedRAMP 인증 프로세스에 따라 부여되는 두 가지 유형의 권한 부여가 있습니다. Red Hat은 현재 국립해양대기국(NOAA)을 통해 에이전시 권한 부여를 받았지만, 현재 Red Hat은 JAB와 협력하여 임시 운영 권한 부여(P-ATO)를 획득함으로써 권한 부여를 추가하고 있습니다. JAB 프로세스에 따라 NOAA를 통한 Red Hat ATO는 여전히 유효하며, 고객은 ROSA 및 승인된 Red Hat Insights for RHEL 서비스가 포함된 Red Hat 제품을 100% 안심하고 아무런 제약 없이 사용 및 배포할 수 있습니다.

JAB 및 전망의 이해

JAB 권한 부여 프로세스에는 잠재적인 문제를 더 빠르게 파악하고 해결하는 것을 목표로 하는 '빠른 실패' 원칙을 중심으로 설계된 여러 단계가 있습니다. 위에서 언급했듯이 FedRAMP 권한 부여 경로에는 두 가지, 즉 에이전시와 JAB가 있습니다. JAB와 에이전시 권한 부여의 주된 차이점 중 하나는 JAB가 잠재적인 미래 고객(예: 에이전시)을 대신하여 잔여 위험을 허용하지 않으므로 검토위원회에서 '임시' ATO를 제공한다는 것입니다. 즉, Red Hat과 같은 클라우드 서비스 제공업체(CSP)는 에이전시 프로세스에 수반되는 것보다 더 높은 표준을 준수해야 합니다. 이에 따라 에이전시는 가장 엄격한 표준이 유지된다는 것을 인지하면서 이 권한 부여를 검토할 수 있습니다.

Red Hat은 현재 FedRAMP JAB 보안 평가를 위해 제3자 평가 담당자(3PAO)와 함께 테스트를 진행 중이며, 이를 통해 다음 목표인 임시 운영 권한(P-ATO)에 한 발 더 가까이 다가갈 수 있습니다.

Red Hat이 시스템 보안 계획(SSP), 권한 부여 경계 다이어그램, POA&M(Plan of Actions and Milestone), 다양한 프로세스 및 절차와 같은 자료를 검토하는 JAB 보안 평가를 완료하면 JAB에서 보안 평가 보고서(SAR)를 발행합니다. JAB는 ROSA가 정부의 요건을 성공적으로 충족한다고 판단하면 P-ATO를 발급합니다.

JAB 권한 부여를 통해 Red Hat은 지속적인 모니터링 사례를 간소화하여 내부 효율성을 높이는 동시에 면밀히 검토된 선도적인 관리형 플랫폼을 제공할 수 있게 되었습니다. 그동안 고객은 Red Hat의 현재 FedRAMP 에이전시가 권한을 부여한 제품을 계속 활용할 수 있습니다.