피드로 돌아가기
How we architected a FedRAMP Moderate boundary on AWS GovCloud for an AI SaaS
Dev.toDev.to
Infrastructure

Boundary-First 설계로 3PAO Readiness Review 단 한 번에 통과

How we architected a FedRAMP Moderate boundary on AWS GovCloud for an AI SaaS

Stonebridge Tech Solutions LLC2026년 6월 3일6advanced

Context

Commercial AWS 환경의 아키텍처를 그대로 사용한 AI SaaS 기업이 FedRAMP Moderate 인증 시도 중 경계 설정 실패로 병목 발생. 상용 환경 계정 공유, 외부 Vector Store 및 OpenAI 엔드포인트 사용 등 규정 미준수 요소로 인한 Boundary Review 거절 상황 분석.

Technical Solution

  • Boundary-First 접근법을 통한 IaC 작성 전 인증 경계 다이어그램 우선 정의 및 서비스 범위 확정
  • AWS GovCloud 기반의 Prod, Staging, Logging, Shared Services 4계정 격리 모델 구축 및 PrivateLink 기반 상호 인증 통신 구현
  • Bedrock BAA 경로를 통한 추론 전용 엔드포인트 구성 및 pgvector 기반 Managed Vector Store의 경계 내 배치
  • S3 Object Lock을 적용한 중앙 집중형 Logging 계정 설계로 운영자의 쓰기 권한을 완전히 제거한 무결성 확보
  • OPA 및 Sentinel 정책 게이트를 Terraform Plan 단계에 통합하여 비인증 서비스 및 non-FIPS 엔드포인트 배포 원천 차단
  • Terraform 모듈별 NIST 800-53 컨트롤 내러티브 파일을 동반 생성하여 SSP 문서와 실제 인프라 간의 싱크 자동화

1. 인프라 구축 전 인증 경계(Authorization Boundary) 다이어그램을 최우선으로 확정했는가

2. IaC 모듈과 매핑되는 컴플라이언스 컨트롤 내러티브가 동일한 소스에서 관리되는가

3. CI/CD 파이프라인 내에 규정 미준수 리소스를 차단하는 Policy-as-Code(OPA 등)가 적용되었는가

4. 외부 API 호출 시 규제 준수 지역(GovCloud 등) 및 BAA 계약 경로를 준수하는 엔드포인트를 사용하는가

원문 읽기