보안 수준 2, 4 및 5에서 DoD (US) Provisional 권한 부여US Department of Defense (DoD) Provisional Authorization at Impact Levels 2, 4, and 5

DoD 및 DISA 개요DoD and DISA overview

DISA (방어 정보 시스템)는 DoD (미국 방어)에 대 한 전투 지원 기관입니다.The Defense Information Systems Agency (DISA) is a combat support agency of the US Department of Defense (DoD). 엔터프라이즈 정보 인프라, 통신 지원 및 미국 방어에 역할을 수행 하는 DoD, 백서 및 기타 모든 조직에 대 한 안전한 복원 가능한 엔터프라이즈 클라우드 환경을 제공 합니다.It provides an enterprise information infrastructure, communications support, and a secure, resilient enterprise cloud environment for the DoD, the White House, and any other organization that plays a role in the defense of the United States.

해당 요구 사항을 구현 하기 위해 DISA에서 DoD 클라우드 컴퓨팅 보안 요구 사항 가이드 (SRG)를 개발 했습니다.To implement its mandate, DISA developed the DoD Cloud Computing Security Requirements Guide (SRG). SRG는 DoD 정보, 시스템 및 응용 프로그램을 호스트 하는 Csp (클라우드 서비스 공급자) 및 DoD의 클라우드 서비스 사용에 대 한 기준 보안 요구 사항을 정의 합니다.The SRG defines the baseline security requirements for cloud service providers (CSPs) that host DoD information, systems, and applications, and for DoD's use of cloud services. DoD 클라우드 보안 모델을 교체 하 고 DoD 위험 관리 프레임 워크 및 NIST 800-37/53에 매핑합니다.It replaces the DoD Cloud Security Model, and maps to the DoD Risk Management Framework and NIST 800-37/53.

DoD Cloud Service Support는 SRG에서 정책, 보안 제어 및 기타 요구 사항을 정의 하 고,이를 게시 하 고 유지 관리 합니다.DoD Cloud Service Support defines the policies, security controls, and other requirements in the SRG, which it publishes and maintains. 클라우드 서비스 공급자 사용에 대 한 계획 및 권한 부여에 대 한 DoD 기관 및 부서를 안내 합니다.It guides DoD agencies and departments in planning and authorizing the use of a cloud service provider. 또한 클라우드 서비스 지원은 attestations에서 DoD 표준을 준수 하는 Csp를 제공 하는 인증 프로세스별 SRG를 준수 하기 위한 CSP 제공을 평가 합니다.Cloud Service Support also evaluates CSP offerings for compliance with the SRG — an authorization process whereby CSPs can provide attestations of compliance with DoD standards. 필요한 경우 PAs (DoD Provisional 권한 부여)를 실행 하 여 DoD 기관 및 지원 조직이 전체 승인 프로세스를 직접 수행 하지 않고도 클라우드 서비스를 사용할 수 있으므로 시간과 노력이 절감 됩니다.It issues DoD Provisional Authorizations (PAs) when appropriate, so DoD agencies and supporting organizations can use cloud services without having to go through a full approval process on their own, saving time and effort.

Microsoft 및 미국 DoD Provisional 권한 부여Microsoft and US DoD Provisional Authorization

Microsoft의 정부 클라우드 서비스는 미국 방어 기관에서 Microsoft 클라우드의 비용 절감 및 엄격한 보안 이점을 활용할 수 있도록, 영향 수준 2 ~ 5 로부터 미국 방어의 까다로운 요구 사항을 충족 합니다.Microsoft's government cloud services meet the demanding requirements of the US Department of Defense, from impact levels 2 through 5, enabling U.S. defense agencies to benefit from the cost savings and rigorous security of the Microsoft Cloud. 방어 기관은 Azure 정부, Office 365 미국 정부 및 Dynamics 365 정부를 포함 하는 보호 된 서비스를 배포 하 여 다양 한 준수 서비스를 사용할 수 있습니다.By deploying protected services including Azure Government, Office 365 U.S. Government, and Dynamics 365 Government, defense agencies can use a rich array of compliant services.

  • Azure Dod 청사진 을 사용 하 여 DoD DISA L2, L4 배포를 가속화 하는 방법을 알아봅니다.Learn how to accelerate your DoD DISA L2, L4 deployment with our Azure DoD Blueprint

DoD 영향 수준 5 Provisional 권한 부여DoD Impact Level 5 Provisional Authorization

DISA 클라우드 서비스 지원에는 DoD에 대 한 Microsoft Azure 정부에 대 한 DoD 영향 수준 5 PA가 부여 되어 있습니다.DISA Cloud Service Support has granted a DoD Impact Level 5 PA for Microsoft Azure Government for DoD. 또한 DISA에는 Office 365 미국 정부 방어 a DoD 영향 수준 5 PA가 부여 되어 있습니다.DISA has also granted Office 365 U.S. Government Defense a DoD Impact Level 5 PA. 영향 수준 5는 법률, 기타 정부 규정 또는 해당 정보를 소유 하 고 수준 4 보다 더 높은 수준의 보호를 요구 하는 기관에 의해 차단 되는 제어 된 미분류 정보 (했는지 여부)를 다룹니다.Impact Level 5 covers Controlled Unclassified Information (CUI) deemed by law, other government regulations, or the agency that owns the information and needs a higher level of protection than Level 4 provides. 또한 분류 되지 않은 국내 보안 시스템에 대해서도 설명 합니다.It also covers unclassified National Security Systems.

DoD 영향 수준 4 Provisional 권한 부여DoD Impact Level 4 Provisional Authorization

DISA 클라우드 서비스 지원에는 Microsoft Azure 정부에 대 한 DoD 영향 수준 4 PA가 부여 됩니다.DISA Cloud Service Support has granted a DoD Impact Level 4 PA for Microsoft Azure Government. 이는 클라우드 컴퓨팅 SRG에 필요한 FedRAMP 권한 부여 및 추가 보안 제어에 대 한 검토를 기반으로 했습니다.This was based on a review of their FedRAMP authorizations and additional security controls required by the Cloud Computing SRG. (FedRAMP는 정부에 안전한 클라우드 컴퓨팅을 사용할 수 있도록 하는 US 프로그램입니다.)(FedRAMP is a US program that enables secure cloud computing for the government.)

영향 수준 4에서는 제어 된 분류 되지 않은 정보, 즉, 실행 순서 13556 (11 월 2010) 및 기타 업무상 중요 한 데이터를 무단으로 공개 하지 못하도록 보호 해야 하는 데이터를 다룹니다.Impact Level 4 covers Controlled Unclassified Information — data requiring protection from unauthorized disclosure under Executive Order 13556 (November 2010) and other mission-critical data. 공식적인 사용 전용, 법률 적용 중요 또는 중요 보안 정보에 대 한 것으로 지정 된 데이터를 포함할 수 있습니다.It may include data designated as For Official Use Only, Law Enforcement Sensitive, or Sensitive Security Information. 이 인증을 통해 미국 연방 정부 고객은 범위 내 Microsoft 정부 클라우드 서비스에 이러한 유형의 중요 한 데이터를 배포할 수 있습니다.This authorization enables US federal government customers to deploy these types of highly sensitive data on in-scope Microsoft government cloud services.

DoD 영향 수준 2 권한 부여에 대 한 포함 된 서비스Covered services for DoD Impact Level 2 Authorization

FedRAMP 권한 부여에 따라 DISA 클라우드 서비스 지원에 DoD 영향 수준 2 PA가 부여 됨:Based on FedRAMP authorizations, DISA Cloud Service Support granted a DoD Impact Level 2 PA to:

  • Azure 및 Azure 정부 인프라 (IaaS)와 PaaS (플랫폼 as a service)에는 Provisional 기관에 따라 FedRAMP 공동 인증 보드에서 작동 (P-ATO) 하기 위한이 권한이 부여 되었습니다.Azure and Azure Government Infrastructure as a Service (IaaS) and Platform as a Service (PaaS) were granted this authorization based on the Provisional Authority to Operate (P-ATO) from the FedRAMP Joint Authorization Board.
  • Dynamics 365 미국 정부 소프트웨어 (SaaS)는 FedRAMP 기관에 따라이 인증을 사용 하 여 하우징 및 도시 개발 (HUD) 부서에서 운영 (ATO)을 수행 했습니다.Dynamics 365 U.S. Government Software as a Service (SaaS) was granted this authorization based on the Agency FedRAMP Authority to Operate (ATO) from the Department of Housing and Urban Development (HUD).
  • Office 365 미국 정부에는 DHHS (의료 기관) 부서의 기관 FedRAMP ATO을 기반으로이 권한이 부여 되었습니다.Office 365 U.S. Government was granted this authorization based on the Agency FedRAMP ATO from the Department of Health and Human Services (DHHS).

영향 수준 2는 제어 되지 않는 분류 된 정보, 즉 공용 릴리스에 대해 권한 있는 데이터를 설명 합니다.Impact Level 2 covers Non-Controlled Unclassified Information — data that is authorized for public release. 또한 ' 미션 크리티컬 '로 간주 되지 않는 다른 분류 되지 않은 정보에도 최소한의 액세스 제어가 필요 합니다.It also covers other unclassified information that, while not considered 'mission critical,' still requires a minimal level of access control. 이 인증을 통해 미국 연방 정부 고객은 범위 내 Microsoft 클라우드 서비스에 중요 하지 않은 정보와 기본 방어 응용 프로그램 및 웹 사이트를 배포할 수 있습니다.This authorization enables US federal government customers to deploy non-sensitive information and basic defense applications and websites on in-scope Microsoft cloud services.

Microsoft 범위 내 클라우드 서비스Microsoft in-scope cloud services

DoD 영향 수준 5에 대 한 검사 된 서비스Covered services for DoD Impact Level 5

DoD 영향 수준 4에 대 한 검사 된 서비스Covered services for DoD Impact Level 4

DoD 영향 수준 2에 대 한 포함 된 서비스Covered services for DoD Impact Level 2

감사, 보고서 및 인증서Audits, reports, and certificates

DoD PA가 부여 되 면 Microsoft 클라우드 서비스를 매년 모니터링 및 평가 하는 경우: Microsoft FedRAMP 권한 부여Once granted a DoD PA, Microsoft cloud services are monitored and assessed annually: Microsoft FedRAMP authorizations

Azure에서 DoD 솔루션 배포의 빠른 추적Fast track your deployment of DoD solutions on Azure

심층적인 보호 청사진의 Azure 보안 및 준수 부서와 함께 정부 클라우드의 이점을 활용할 수 있는 방법을 알아봅니다.Get a head start on taking advantage of the benefits of the cloud in government with the Azure Security and Compliance Department of Defense Blueprint. 이 청사진에서는 현재 DoD 규격 솔루션을 구축할 수 있는 도구와 지침을 제공 합니다.This blueprint provides tools and guidance to get you started building DoD-compliant solutions today. Azure DoD 청사진 사용을 시작합니다.Start using the Azure DoD Blueprint.

자주 묻는 질문Frequently asked questions

우리 회사의 인증 프로세스에 Microsoft의 규정 준수를 사용할 수 있나요?Can I use Microsoft's compliance in my organization's certification process?

예.Yes. 모든 DoD 기관은 DoD 인증을 필요로 하는 모든 프로그램 또는 이니셔티브의 기반으로 Microsoft 클라우드 서비스의 인증을 사용할 수 있습니다.All DoD agencies may rely on the certifications of Microsoft cloud services as the foundation for any program or initiative that requires a DoD authorization. (이는 DoD를 지 원하는 다른 조직에도 적용 되며 클라우드 서비스가 필요 합니다.) 그러나 이러한 서비스 외부의 구성 요소에 대 한 사용자의 권한 부여를 구현 해야 합니다.(This also applies to other organizations that support DoD and require cloud services.) However, you need to achieve your own authorizations for components outside these services.

Microsoft의 DoD 인증은 NIST 800-171 요구 사항을 충족 하나요?Does Microsoft's DoD certification meet NIST 800–171 requirements?

2016 년 10 월, 보안 (DoD) promulgated는 정보 시스템을 통해 ' 포함 된 방어 정보 '를 처리, 저장 또는 전송 하는 모든 DoD 계약자에 게 적용 되는 DFARS (방어 연방 획득 규정 보완) 절을 구현 하는 최종 규칙을 수행 합니다.In October 2016, the Department of Defense (DoD) promulgated a final rule implementing Defense Federal Acquisition Regulation Supplement (DFARS) clauses that apply to all DoD contractors who process, store, or transmit 'covered defense information' through their information systems. 이 규칙은 이러한 시스템이 NIST SP 800-171에서 설정 된 보안 요구 사항을 충족 해야 하며, 관리 되지 않는 정보 시스템 및 조직에서 제어 된 분류되지 않은 정보를 보호 하는 경우, 또는 DoD 계약 관리자가 승인한 ' 대안 ', "보안 조치"를 의미 합니다.The rule states that such systems must meet the security requirements set forth in NIST SP 800–171, Protecting Controlled Unclassified Information in nonfederal information systems and organizations, or an 'alternative, but equally effective, security measure' that is approved by the DoD contracting officer. 또한 DoD 계약자가 외부 클라우드 서비스 공급자를 사용 하 여 특정 방어 정보를 처리, 저장 또는 전송 하는 경우 해당 공급자는 FedRAMP 보통 기준선에 해당 하는 보안 요구 사항을 충족 해야 합니다.And where a DoD contractor uses an external cloud service provider to process, store, or transmit covered defense information, such provider must meet security requirements that are equivalent to the FedRAMP Moderate baseline.

다음 Microsoft 클라우드 서비스는 FedRAMP 일반 인증 (Azure, Azure 정부, Dynamics 365 미국 정부, Office 365 MT, Office 365 미국 정부 및 Office 365 미국 정부 방어를 수신 했습니다.The following Microsoft cloud services have received a FedRAMP moderate authorization: Azure, Azure Government, Dynamics 365 U.S. Government, Office 365 MT, Office 365 U.S. Government, and Office 365 U.S. Government Defense.

또한 DoD 계약자가 ' 제공 되는 방어 정보 '를 처리, 저장 또는 전송 하는 데 사용할 수 있는 FedRAMP 인증 경계 외부에서 제공 하는 Microsoft는 12 월 31, 2017, 규정 준수 마감을 충족 하기 위해 검토 중입니다.Also, Microsoft offerings outside the FedRAMP-certified boundary that could potentially be used by DoD contractors to process, store, or transmit 'covered defense information' are undergoing a review to meet a December 31, 2017, compliance deadline. Microsoft는 DFARS 관련 절을 충족 하기 위해 이러한 내부 및 고객 중심 서비스가 NIST SP 800-171 또는 적합 한 보안을 준수 하는 방식을 문서화 하기 위해 노력 하 고 있습니다.Microsoft is working to document how these internal and customer-facing services comply with NIST SP 800–171 or an acceptable security equivalent, to meet the DFARS relevant clauses.

리소스Resources