FedRAMP Moderate의 인증을 받은 Slack

보안은 Slack의 많은 고객, 특히 공공 부문의 고객에게 가장 중요한 사항입니다. 미국 보훈부(VA)부터 미연방 조달청(GSA)의 18층 사무실에 이르기까지 점점 더 많은 정부 기관이 채널 기반 메시징 플랫폼인 Slack을 채택함에 따라 Slack은 엄격한 보안 및 규정 준수에 대한 표준을 충족하는 새로운 조치를 도입했습니다.

보안 규제 준수에 대한 표준을 설정하는 연방 규제 기관도 Slack을 사용하여 업무를 처리합니다. 연방 규제 기간과 규제 산업의 모든 고객을 위해 Slack은 보안 프로그램을 향상시켜 FedRAMP Moderate 인증을 받았습니다.

이런 조치는 모든 규모의 조직에 엔터프라이즈급 보안을 제공하기 위한 더 큰 노력의 일환입니다. 이를 위해 고객의 고유한 보안 및 규정 준수 요구 사항을 충족하면서 동급 최고의 협업 환경을 제공해야 합니다.

지금부터 FedRAMP Moderate 인증이 Slack의 고객에게 어떤 의미를 주는지, 또 규정 준수는 어떻게 인가 받았는지 살펴보겠습니다.

Slack의 FedRAMP 인증 과정

FedRAMP는 무엇인가요?

연방정부 위험 및 인증 관리 프로그램(FedRAMP)은 클라우드 보안에 대한 표준화된 접근 방식을 제공하는 정부 차원의 프로그램입니다. 연방 기관 또는 조직이 클라우드 기반 소프트웨어 시스템을 사용하려면 그 전에 반드시 FedRAMP 인증을 받아야 합니다. 이 접근 방식은 모든 연방 데이터를 안전하게 보호하여 궁극적으로 공공에 가장 이익이 되는 관행입니다. 업계 전문가 사이에서 FedRAMP는 클라우드 보안의 최고 표준으로 꼽힙니다.

Slack은 어떻게 FedRAMP Moderate 인증을 받았나요?

2018년 4월에 Slack은 FedRAMP 프로그램 관리 조직과 만나 6개월도 안 되어 FedRAMP Tailored 인증을 받았습니다. 이 인증도 분명 중요한 성과였지만 Slack은 한 단계 더 높은 보안 규정 준수를 달성하고자 했습니다.

미국 보훈부의 후원을 받아 Slack은 FedRAMP Moderate 인증을 위한 절차에 착수했습니다. Slack의 규제 파트너는 300개 이상의 강력한 보안 제어로 Slack의 제품을 테스트했고, 2020년 5월 20일에 Moderate 영향 수준으로 ATO(FedRAMP Agency Authority to Operate)를 취득했습니다.

이는 Slack이 다음 항목에 대해 미국 정부의 규정을 준수하고 있음을 의미합니다.

• 액세스 제어: 고객 데이터에 대한 액세스를 효과적으로 제한 및 관리
• 암호화 방법: FIPS 140-2로 검증된 암호화를 통해 전송 중이거나 저장된 데이터 보호
• 네트워크 보안 및 서버 강화: CIS 벤치마크 및 공급업체 모범 사례 구현을 통해 모든 네트워크 인프라 보호
• 취약성 관리: 잠재적 위험을 효율적으로 식별하여 해결
• 오류 관리: 오류 발생 시 신속하고 적절하게 대응
• 비즈니스 연속성 및 재해 복구: 중단 없이 원활한 서비스 제공
• 시스템 모니터링, 기록 및 알림: 시스템을 안전하게 유지하기 위해 회사가 소유한 모든 서버와 워크스테이션 모니터링
• 안전한 소프트웨어 개발 수명 주기: 잠재적 보안 취약성 식별, 분류, 해결을 위해 오픈소스 도구 및 버그 보고 활용

더욱 강력한 보안 규정 준수는 조직에게 어떤 의미인가요?

Slack의 FedRAMP Moderate 인증은 미국 공공 부문에 있는 고객에 대한 저희의 지속적인 투자와 지원을 보여줍니다. Slack은 가장 널리 인정되는 보안 표준 또는 그 이상을 충족하고, 공공 부문 팀이 규정 준수 요구사항을 해결하는 데 도움이 되는 솔루션을 제공하므로, 더 많은 정보 기관이 클라우드로 이전함에 따라 IT 관리자와 보안 전문가는 안심하고 Slack을 사용할 수 있습니다.

최근에 취득한 이 인증은 FedRAMP 인증 환경을 요구하지 않는 민간 부문 비즈니스를 포함하여 Slack 고객에게 보다 안전한 환경을 제공합니다. Slack의 상용 제품을 사용하는 모든 고객은 FedRAMP 인증에 필요한 강화된 보안 조치의 혜택을 누릴 수 있습니다.

고객의 신뢰를 유지하기 위해 다음 사항들을 지원하는 보안 및 규정 준수 기능을 계속 개발할 예정입니다.

• ID 및 기기 관리: 싱글 사인온(SSO), 도메인 소유권 확인 및 Enterprise Mobility Management를 위한 지원 포함
• 데이터 보호: Slack Enterprise Key Management(Slack EKM), 감사 로그 및 최고 데이터 손실 방지 공급업체와의 통합 포함
• 정보 관리: 글로벌 보존 정책, 사용자 맞춤형 서비스 약관 및 eDiscovery 지원 포함

타사와의 통합 기능을 계속 사용할 수 있나요?

타사 통합을 계속 사용할 수 있지만 통합을 통해 액세스할 수 있는 데이터와 워크스페이스에 설치된 모든 앱에 대한 애플리케이션 공급업체의 FedRAMP 규정 준수를 검토해야 합니다. Slack 앱은 일반적으로 해당 통합 서비스 공급업체의 API를 사용합니다. API가 FedRAMP 인증 서비스 제품에 연결된 경우 해당 타사 통합을 사용할 때 규정 준수 상태를 유지할 수 있습니다. 이는 Slack의 배포가 규정 준수 상태를 유지할 수 있도록 보장하는 기본적인 고객 책임 중 하나입니다.

 

미국 보훈부가 Slack에서 VA.gov를 운영하는 방법

보훈부는 Slack의 인증을 후원했을 뿐만 아니라 보훈부에서 널리 사용되는 웹사이트 개편과 같은 대규모 이니셔티브를 계획하고 실행하는 데 Slack을 사용합니다.

보훈부는 미국 내 두 번째 큰 연방 기관으로, 공공 웹사이트(VA.gov)는 재향군인, 지지자, 재향군인 서비스 조직 및 기타 중개인을 포함하여 매주 80만 명 이상의 사용자가 방문합니다. 코로나 위기가 심각할 때, 한 주만에 방문자 수가 3배 가까이 늘었습니다. 많은 방문자들이 중요한 정보, 도구, 서비스를 위해 정기적으로 사이트에 액세스해야 합니다.

보훈부의 웹 및 개발 팀은 Slack 채널에서 협업하여 웹사이트가 정상적으로 계속 운영되도록 할 수 있었습니다.

보훈부의 개발 팀에서 Slack을 사용하여 수행하는 작업은 다음과 같습니다.

• 앱과 통합 연결: GitHub 및 Jenkins를 연결하여 팀에서 알림을 더 잘 확인하도록 지원
• 오류와 문제를 신속히 파악: 개발자에게 문제를 알리는 모바일 알림 포함
• 실행 커뮤니티 생성: 지식을 교환하고 서비스 제공의 일관성 유지

2019년에 보훈부 웹 및 개발 팀은 Slack에서 협업하여 VA.gov를 재론칭했습니다. 새로운 웹사이트는 작년 가동 시간이 자그마치 99.97%에 달했으며, 수천 명의 재향군인과 지지자들을 필요한 자료에 연결시킬 수 있었습니다.

그리고 보훈부는 Slack 사용을 계속해서 확대해 왔습니다. 보훈부는 2020년 초 모든 부서에 플랫폼을 배포하기 위해 2만 개의 Slack 라이선스를 구매하였습니다. 보훈부는 팀을 Slack으로 옮김으로써 투명성을 높이고 협업을 확장하고 신규 직원, 협력 업체, 파트너를 참여시키는 것을 목표로 합니다. 이 새로운 업무 방식은 직원, 파트너뿐만 아니라 더 원활한 서비스에 액세스할 수 있다는 점에서 미국 재향군인에게도 혜택을 줍니다.

문의하기

Slack의 보안 기능, 운영 또는 규정 준수 인증에 관해 궁금한 점이 있다면 계정 담당자에게 연락하거나 문의하세요.