Canadian Centre for Cybersecurity (CCCS) Medium
CCCS Medium – Übersicht
Die Geschützte B-Sicherheitsstufe der kanadischen Regierung (GC) für vertrauliche Regierungsinformationen und -ressourcen gilt für Informationen oder Ressourcen, die bei einer Kompromittierung eine Person, organization oder Regierung ernsthaft verletzen könnten. Auf der Grundlage des Information Technology Security Guidance (ITSG) 33 zum IT-Sicherheitsrisikomanagement, das vom Canadian Centre for Cybersecurity (CCCS) veröffentlicht wurde, entwickelte GC den Leitfaden zur Sicherheitskategorisierung von Cloud-Based Services (ITSP.50.103) und das Government of Canada Security Control Profile for Cloud-based GC Services (GC Security Control Profile), das die grundlegenden Sicherheitskontrollen identifiziert, die für die Verarbeitung von Informationen mit einer Sicherheitskategorie gelten. geschützter B-Wert, mittlere Integrität und mittlere Verfügbarkeit (PBMM). Aus dem ursprünglichen PBMM-Sicherheitssteuerungsprofil wurde das heutige CCCS Medium Cloud Profile Recommendations (CCCS Medium Cloud Profile Recommendations) entwickelt.
Das GC Security Control Profile wurde mit dem ITSG-33 und dem US Federal Risk and Authorization Management Program (FedRAMP) entwickelt, die beide eine Grundlage in der National Institute of Standards and Technology (NIST) Special Publication (SP) 800-53 Sicherheits- und Datenschutzkontrollen haben. GC hat das GC-Sicherheitskontrollprofil an FedRAMP ausgerichtet, um sowohl die Interoperabilität von Clouddiensten als auch die Wiederverwendbarkeit der von Clouddienstanbietern (Cloud Service Provider, CSPs) erstellten Autorisierungsbeweise zu maximieren.
Das Treasury Board of Canada Secretariat (TBS) ist verantwortlich für gc Unternehmensgovernance, -strategie und -richtlinien für Clouddienste, einschließlich der Aufrechterhaltung der Aufsicht und Überwachung der Abteilungskonformität mit den GC Cloud Guardrails gemäß der Richtlinie über Dienstleistungen und Digitales. GC hat seine Strategie für die Cloudeinführung weiterentwickelt und plädiert nun für ein cloud-intelligentes Prinzip , bei dem cloud die bevorzugte Option für neue Anwendungen ist und bestehende Anwendungsportfolios rationalisiert, um sich an das am besten geeignete Hostingmodell anzupassen.
Das Canadian Centre for Cybersecurity (CCCS) hat einen Sicherheitsbewertungsprozess für Cloud-Dienstanbieter eingerichtet, der die Fähigkeit eines CSP überprüft, die CCCS Medium-Sicherheitskontrollen zu implementieren (Hinweis: Das CCCS Medium-Kontrollprofil ersetzte das ursprüngliche Sicherheitskontrollprofil der Kanadischen Regierung für cloudbasierte GC-Dienste). Der resultierende Bericht zur technischen Risikobewertung enthält die Ergebnisse des Überprüfungsprozesses. Abteilungsleitfaden zur Bewertung und Autorisierung der Cloudsicherheit (ITSP.50.105) sind auch über CCCS verfügbar.
Zu Microsoft gehörende Cloudplattformen und -dienste
Das Canadian Centre for Cyber Security führt Bewertungen durch, bei denen die Sicherheitskontrollen und -prozesse von Cloud-Dienstanbietern gemäß dem Sicherheitskontrollprofil von CCCS Medium anhand der Sicherheitsanforderungen der kanadischen Regierung für Informationen und Dienste bis zu "Protected B", "Medium Integrity, Medium Availability" (PBMM) bewertet werden. Bis heute hat das CCCS die folgenden Microsoft-Onlinedienste offiziell bewertet:
- Azure
- Dynamics 365
- Power Platform
- Microsoft 365
Azure, Dynamics 365, Power Platform und CCCS Medium
Microsoft war einer der ersten globalen Clouddienstanbieter, der sich für sichere Clouddienste der kanadischen Regierung qualifiziert hat, als es 2019 eine Rahmenvereinbarung mit der Bundesregierung unterzeichnete. Das Rahmenabkommen unterstützt die Ambitionen der kanadischen Regierung, Regierungsprozesse zu rationalisieren, und ist ein wichtiger Schritt auf dem Weg zu einer echten digitalen Regierung. Die von Microsoft bewerteten Azure CCCS Medium-Dienste eröffnen neue Möglichkeiten für Innovation, Transformation und Dienstagilität im öffentlichen Sektor, da öffentliche Bediensteten Zugriff auf eine Reihe komplexer Funktionen erhalten, die die Speicherung und Verarbeitung geschützter B-Daten unterstützen. Darüber hinaus profitieren Regierungsbehörden vom florierenden Ökosystem von Microsoft aus Partnern und Entwicklern, die innovative und sichere Lösungen in Azure erstellen.
Microsoft hat zwei kanadische Azure-Cloudregionen eingerichtet: Kanada, Mitte in Toronto und Kanada, Osten in Québec City, die jeweils aus mehreren Hyperscale-Cloudrechenzentren bestehen. Diese Regionen fügen kanadische Datenresidenz im Land für die Speicherung ruhender Kundendaten, Failover und Notfallwiederherstellung für Anwendungen und Kundendaten für viele Core Online Services hinzu. Zusätzliche Investitionen in die Rechenzentrumsinfrastruktur in der Region "Kanada, Mitte" haben auch eine Azure-Verfügbarkeitszone innerhalb der Region "Kanada, Mitte" ermöglicht, damit Kunden noch resilientere und hochverfügbare Anwendungen für unternehmenskritische Workloads erstellen können.
Eine vollständige Liste der vom CCCS bewerteten Clouddienste in Azure, Dynamics 365 und Power Platform finden Sie in den zusammenfassenden Bewertungsberichten im Abschnitt "Kanada" des Service Trust Portals.
Office 365 und CCCS Medium
Office 365 Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365 Dienste und Abonnements zu bestimmen:
Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
---|---|
Kommerziell | Advanced eDiscovery, Kunden-Lockbox, Defender Endpoint, Defender for Cloud Apps, Defender für M365, Defender of Identity, Exchange Online (EXO), Loki, Microsoft Information Protection, Microsoft Intune, Microsoft Planner, Microsoft Stream, Microsoft Teams, Office Forms, Office für das Web (Word, Excel, OneNote, PowerPoint), Office PODS (PowerPoint Online Document Service), Office Project, Office Services Infrastructure, Office Sway, OneNote Service, Telefonsystem & Calling, Suchinhaltsdienst, SharePoint Online, SharePoint Syntex, Suite User Experience, ToDo, Viva Insights, Viva Learning, Viva Topics, Windows 365 |
Bewertungsberichte
Die zusammenfassenden CCCS-Bewertungsberichte für Microsoft-Dienste stehen Kunden im Abschnitt Kanada im Service Trust Portal zur Verfügung. Die detaillierten Sicherheitsbewertungsberichte für Microsoft-Dienste stehen kanadischen Behördenkunden zur Verfügung, indem Sie sich unter an contact@cyber.gc.caden CCCS wenden.
Häufig gestellte Fragen
Welche Microsoft-Clouddienste stehen der kanadischen Regierung über den Cloudvertrag "Shared Services Canada" zur Verfügung?
Als einer der ersten globalen Cloudanbieter, der von der kanadischen Regierung ein Cloud-Framework-Abkommen erhalten hat, bietet Microsoft eine Reihe von kommerziellen Clouddiensten an – darunter Azure, Dynamics 365, Power Platform und Microsoft 365. Der Shared Services Canada-Cloudbrokerkatalog enthält Details zu den Microsoft-Clouddiensten, die derzeit für GC-Abteilungen verfügbar sind.
Welchem Grad der Us FedRAMP-Compliance entsprechen die Clouddienste von Microsoft, und wie gilt dies für kanadische Cloudregionen?
Microsoft Azure Commercial (einschließlich Dynamics 365) verwaltet eine FedRAMP High Provisional Authority to Operate (P-ATOs). Microsoft 365 Commercial verwaltet eine FedRAMP High-Äquivalenz. Azure-Regionen außerhalb des USA sind nicht formal vom FedRAMP Joint Authorization Board (JAB) autorisiert und befinden sich nicht im FedRAMP High P-ATO-Bereich. Azure-Sicherheitskontrollen und Betriebsprozesse sind jedoch überall, wo Azure ausgeführt wird, konsistent. FedRAMP basiert auf den NIST SP 800-53-Kontrollbaselines. Alle NIST SP 800-53-Steuerelemente, die azure FedRAMP High P-ATO im USA unterstützen, sind auch in anderen Azure-Regionen außerhalb des USA betriebsbereit. Daher können Azure-Kunden außerhalb des USA auf die gleichen Steuerungsimplementierungsdetails zählen, die sich auf die NIST SP 800-53 High-Steuerungsbaseline beziehen. Weitere Informationen finden Sie unter Federal Risk and Authorization Management Program (FedRAMP). Der FedRAMP-Überwachungsbeweis ist im Service Trust Portal verfügbar.
Gibt es geografische Einschränkungen, wo geschützte B-Daten gespeichert werden müssen?
Die kanadische Regierung hat gemäß Abschnitt 4.4.3.14 der Richtlinie über Dienstleistungen und digitale Daten eine flexible Datenresidenz (Speicherung ruhender Daten) für die Speicherung geschützter B-Daten entwickelt. Dies wird in Abschnitt 4.4 der Richtlinie zu Service und Digital weiter klargestellt. Die kanadische Datenresidenz muss als eine Hauptübermittlungsoption für die Speicherung von geschützten B-Daten in der Cloud identifiziert und bewertet werden. Der Abteilungs-CIO (oder in einigen Fällen der CIO von Kanada) hat jedoch die Flexibilität und ist verantwortlich für die Genehmigung von Entscheidungen, Daten außerhalb Kanadas zu speichern, basierend auf den folgenden geschäftsbezogenen Kriterien, die in Abschnitt 4.4.3 überlegungen bei der Umsetzung der Anforderung aufgeführt sind:
- Zuverlässigkeit
- Rechtliche und vertragliche Überlegungen
- Handelsverträge
- Marktverfügbarkeit
- Geschäftswert
- Technische Funktionen
Microsoft-Sicherheitskontrollen und -prozesse werden in allen Cloudregionen weltweit konsistent implementiert. Während Steuerelemente innerhalb des CCCS Medium-Profils auf die GC-Datenresidenzrichtlinie verweisen können, berücksichtigt die Auswertung des Speicherorts ruhender Daten nicht die Risikobewertung eines CCCS-Cloudbewertungsberichts.
Abschnitt 4.4.2 (Warum ist das wichtig?) stellt außerdem klar, dass verschlüsselte Daten während der Übertragung nicht durch die Datenresidenzanforderung eingeschränkt werden.
Die folgenden Ressourcen enthalten Informationen zur Datenresidenz für viele gängige Produkte und Dienste:
- Übersicht über die Microsoft 365-Datenresidenz, Wo Ihre Microsoft 365-Kundendaten gespeichert sind, und Microsoft 365 Advanced Data Residency-Angebot
- Datenresidenz in Azure
- Microsoft Entra ID (früher Azure Active Directory) und Datenresidenz
- Microsoft Defender for Cloud Apps - Datensicherheit und Datenschutz
- Microsoft Defender for Endpoint Datenspeicherung und Datenschutz
- Microsoft Defender for Identity Datensicherheit und Datenschutz
- Microsoft Dynamics 365 Datenspeicherort
- Microsoft Intune Datenspeicherung und -verarbeitung
- Microsoft Power Platform-Datenspeicherort
- Microsoft Professional Services-Datenspeicherort
- Microsoft 365 Defender Datensicherheit und Datenschutz
Was sind nicht regionale Clouddienste?
Nicht regionale Azure-Dienste sind Dienste, die keine Abhängigkeit von einer bestimmten Azure-Region aufweisen und Kunden derzeit nicht die Möglichkeit bieten, eine Bereitstellungsregion anzugeben. Diese Dienste wurden so entworfen und optimiert, dass sie als Teil der globalen Azure-Cloud immer verfügbar sind. Ein Beispiel für einen nicht regionalen Dienst ist Azure Active Directory. Eine vollständige Liste finden Sie unter Azure-Produkte nach Region.
Wo findet die Datenverarbeitung in der Cloud statt?
Mit vielen Azure-Diensten können Sie die Region angeben, in der Ihre Kundendaten gespeichert und verarbeitet werden. Weitere Informationen finden Sie unter Data Residency in Azure. SaaS-Onlinedienste wie Microsoft 365 verarbeiten in der Regel Daten, die dem Speicherort der Daten am nächsten liegen. Die Verarbeitung von Kundendaten kann jedoch in Cloudregionen außerhalb Kanadas erfolgen. Die Erbringung von Supportdiensten kann auch die Verarbeitung von Daten außerhalb Kanadas umfassen.
Ressourcen
Microsoft hat mehrere Ressourcen entwickelt, um Kunden bei der Bereitstellung von Clouddiensten zu unterstützen, die für die Ausführung von Geschützten B-Workloads geeignet sind:
- Azure-Zielzone für den öffentlichen Sektor in Kanada: Eine zweckorientierte Referenzimplementierung, die Regierungsbehörden bei ihren Bemühungen zur Einhaltung der CCCS Medium-Anforderungen, die in der Verantwortung des Kunden liegen, anleiten soll.
- Canada Federal PBMM Azure Blueprint: Eine Reihe von wiederholbaren Azure-Ressourcen und -Mustern, die es Organisationen ermöglichen, neue Cloudumgebungen mit Konformität mit bestimmten CCCS Medium-Steuerelementen und GC Cloud Guardrails zu erstellen.
- Grundlegende Datenschutz-Folgenabschätzungen (PIAs): Die grundlegenden PIAs sollen Datenschutzverantwortliche, Praktiker und Risikomanager besser informieren, die diese Analyse als Kern für ihre eigene PIA-Arbeit bei der Einführung der cloudbasierten Dienstangebote von Microsoft in Betracht ziehen könnten.
- Microsoft Purview Compliance ManagerProtected B-Bewertungsvorlage: Compliance-Manager ist ein Feature im Microsoft Purview-Complianceportal, mit dem Sie den Compliancestatus Ihrer organization besser verstehen und Maßnahmen ergreifen können, um Risiken zu reduzieren. Compliance Manager bietet einen integrierten Mechanismus, um die Implementierung vieler CCCS Medium-Kundensteuerelemente in der Microsoft 365-Umgebung kontinuierlich zu bewerten und nachzuverfolgen. Suchen Sie die Vorlage Protected B auf der Seite mit den Bewertungsvorlagen im Compliance-Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.