Centro Canadiense de Ciberseguridad (CCCS) Medio
Introducción a CCCS Medium
El Nivel de seguridad B protegido por el Gobierno del Canadá para información pública confidencial y activos se aplica a información o activos que, si se ponen en peligro, podrían causar lesiones graves a una persona, organización o gobierno. Basándose en la Guía de seguridad de la tecnología de la información (ITSG) 33 sobre la administración de riesgos de seguridad de TI publicada por el Centro Canadiense de Ciberseguridad (CCCS), GC desarrolló la Guía sobre la categorización de seguridad de los servicios de Cloud-Based (ITSP.50.103) y el perfil de control de seguridad del Gobierno de Canadá para los servicios gc basados en la nube (GC Security Control Profile), que identifica los controles de seguridad de línea base aplicables al procesamiento de información que tiene una categoría de seguridad. de B protegido, integridad media y disponibilidad media (PBMM). El perfil de control de seguridad PBMM original evolucionó hasta convertirse en lo que ahora son las recomendaciones de perfil de nube media de CCCS.
El perfil de control de seguridad de GC se desarrolló mediante el ITSG-33 y el Programa Federal de Administración de Riesgos y Autorización (FedRAMP) de EE. UU., que tienen una base en los controles de seguridad y privacidad del National Institute of Standards and Technology (NIST) Special Publication (SP) 800-53. GC ha alineado el perfil de control de seguridad de GC con FedRAMP para maximizar tanto la interoperabilidad de los servicios en la nube como la reutilización de la evidencia de autorización generada por los proveedores de servicios en la nube (CSP).
La Junta del Tesoro de la Secretaría del Canadá (TBS) es responsable de la gobernanza empresarial, la estrategia y la política de GC para los servicios en la nube, incluido el mantenimiento de la supervisión y la supervisión del cumplimiento departamental con las redes de protección de la nube de GC según lo establecido en la Directiva sobre servicios y digitales. GC ha evolucionado su estrategia de adopción de la nube, ahora abogando por un principio inteligente en la nube en el que la nube es la opción preferida para las nuevas aplicaciones y racionalizará las carteras de aplicaciones existentes para alinearse con el modelo de hospedaje más adecuado.
El Centro Canadiense de Ciberseguridad (CCCS) ha establecido un proceso de evaluación de la seguridad del proveedor de servicios en la nube que revisa la capacidad de un CSP para implementar los controles de seguridad medio de CCCS (nota: el perfil de control medio de CCCS ha reemplazado al perfil de control de seguridad original del Gobierno de Canadá para los servicios gc basados en la nube). El informe de evaluación de riesgos técnicos resultante contiene los resultados del proceso de revisión. La guía departamental sobre evaluación y autorización de seguridad en la nube (ITSP.50.105) también está disponible en CCCS.
Servicios y plataformas en la nube dentro de Microsoft
El Centro Canadiense de Ciberseguridad realiza evaluaciones en las que los controles de seguridad y los procesos de los proveedores de servicios en la nube se evalúan en función de los requisitos de seguridad del Gobierno de Canadá para la información y los servicios hasta B protegidos, integridad media, disponibilidad media (PBMM) según el perfil de control de seguridad medio de CCCS. Hasta la fecha, CCCS ha evaluado formalmente los siguientes servicios en línea de Microsoft:
- Azure
- Dynamics 365
- Power Platform
- Microsoft 365
Azure, Dynamics 365, Power Platform y CCCS Medium
Microsoft fue uno de los primeros proveedores de servicios en la nube globales en calificarse para los servicios en la nube seguros del Gobierno de Canadá cuando firmó un acuerdo marco con el gobierno federal en 2019. El acuerdo marco apoya las ambiciones del Gobierno canadiense de simplificar los procesos gubernamentales y es un paso clave en el camino hacia un verdadero gobierno digital. Los servicios evaluados medios de Azure CCCS de Microsoft desatan nuevas oportunidades para la innovación, transformación y agilidad del servicio del sector público a medida que los servidores públicos obtienen acceso a una gama de funcionalidades sofisticadas que admiten el almacenamiento y el procesamiento de datos B protegidos. Además, las agencias gubernamentales se benefician del próspero ecosistema de partners y desarrolladores de Microsoft que crean soluciones innovadoras y seguras en Azure.
Microsoft ha establecido dos regiones canadienses en la nube de Azure: Centro de Canadá en Toronto y Este de Canadá en Québec City, cada una de las cuales consta de varios sitios de centros de datos en la nube de hiperescala. Estas regiones agregan residencia de datos canadienses en el país para el almacenamiento de datos de clientes en reposo, conmutación por error y recuperación ante desastres para aplicaciones y datos de clientes para muchos servicios en línea principales. Las inversiones adicionales en infraestructura de centros de datos en la Región Central de Canadá también han habilitado una zona de disponibilidad de Azure dentro de la región Centro de Canadá para ayudar a los clientes a crear aplicaciones aún más resistentes y de alta disponibilidad para cargas de trabajo críticas.
Para obtener una lista completa de los servicios en la nube evaluados por CCCS en el ámbito de Azure, Dynamics 365 y Power Platform, consulte los informes de evaluación de resumen en la sección regional de Canadá del Portal de confianza de servicios.
Office 365 y CCCS Medium
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la tabla siguiente para determinar la aplicabilidad de los servicios y suscripciones de Office 365:
| Aplicabilidad | Servicios incluidos |
|---|---|
| Comercial | Advanced eDiscovery, Caja de seguridad del cliente, Punto de conexión de Defender, Defender for Cloud Apps, Defender para M365, Defender of Identity, Exchange Online (EXO), Loki, Microsoft Information Protection, Microsoft Intune, Microsoft Planner, Microsoft Stream, Microsoft Teams, Office Forms, Office for the Web (Word, Excel, OneNote, PowerPoint), Office PODS (PowerPoint Online Document Service), Office Project, Office Services Infrastructure, Office Sway, OneNote Service, Phone System & Calling, Search Content Service, Sharepoint Online, SharePoint Syntex, Suite User Experience, ToDo, Viva Insights, Viva Learning, Viva Topics, Windows 365 |
Informes de evaluación
Los informes de evaluación de CCCS de resumen de los servicios de Microsoft están disponibles para los clientes en la sección regional de Canadá del Portal de confianza de servicios. Los informes detallados de evaluación de seguridad de los servicios de Microsoft están disponibles para los clientes gubernamentales canadienses poniéndose en contacto con el CCCS en contact@cyber.gc.ca.
Preguntas más frecuentes
¿Qué servicios en la nube de Microsoft están disponibles para el Gobierno de Canadá a través del contrato en la nube de Servicios compartidos de Canadá?
Microsoft, uno de los primeros proveedores de nube globales a los que el Gobierno de Canadá ha concedido un Acuerdo marco de nube, ofrece una amplia gama de servicios en la nube comerciales, incluidos Azure, Dynamics 365, Power Platform y Microsoft 365. El catálogo de agentes en la nube de Servicios compartidos de Canadá proporciona detalles sobre los servicios en la nube de Microsoft que están disponibles actualmente para los departamentos de GC: Cloud FA Catalog (canada.ca).
¿A qué nivel de cumplimiento de US FedRAMP se ajustan los servicios en la nube de Microsoft y cómo se aplica esto a las regiones en la nube canadienses?
Microsoft Azure Commercial (incluidos los Dynamics 365) mantienen una autoridad provisional alta de FedRAMP para operar (P-ATOs). El comercial de Microsoft 365 mantiene una equivalencia de FedRAMP High. Las regiones de Azure fuera de la Estados Unidos no están autorizadas formalmente por la Junta de autorización conjunta (JAB) de FedRAMP y no están en el ámbito de FedRAMP High P-ATO. Sin embargo, los controles de seguridad y los procesos operativos de Azure son coherentes en todas las ejecuciones de Azure. FedRAMP se basa en las líneas base de control NIST SP 800-53. Todos los controles NIST SP 800-53 que admiten el P-ATO alto de Azure FedRAMP en el Estados Unidos también están operativos en otras regiones de Azure fuera del Estados Unidos. Por lo tanto, los clientes de Azure fuera de la Estados Unidos pueden contar con los mismos detalles de implementación de control que pertenecen a la línea base de control alto de NIST SP 800-53. Consulte El Programa Federal de Administración de Riesgos y Autorización (FedRAMP) para obtener más detalles. Las pruebas de auditoría de FedRAMP están disponibles en el Portal de confianza de servicios.
¿Hay restricciones geográficas sobre dónde deben almacenarse los datos B protegidos?
El Gobierno del Canadá ha desarrollado una política flexible de residencia de datos (almacenamiento de datos en reposo) para el almacenamiento de datos B protegidos según el artículo 4.4.3.14 de la Directiva sobre servicios y digitales. Esto se aclara aún más en la sección 4.4 de la Guía sobre servicios y digitales. La residencia de datos canadiense debe identificarse y evaluarse como una opción de entrega principal para el almacenamiento de datos B protegidos en la nube, sin embargo, el CIO departamental (o en algunos casos el CIO de Canadá), tiene la flexibilidad y es responsable de aprobar decisiones para almacenar datos fuera del Canadá basándose en los siguientes criterios empresariales identificados en la Sección 4.4.3 Consideraciones para implementar el requisito:
- Reputación
- Consideraciones legales y contractuales
- Acuerdos comerciales
- Disponibilidad del mercado
- Valor empresarial
- Funcionalidades técnicas
Los controles y procesos de seguridad de Microsoft se implementan de forma coherente en todas las regiones de la nube globalmente. Aunque los controles del perfil medio de CCCS pueden hacer referencia a la directiva de residencia de datos de GC, la evaluación de la ubicación de los datos en reposo no tiene en cuenta la clasificación de riesgo de un informe de evaluación de la nube de CCCS.
Sección 4.4.2 (¿Por qué es importante? también aclara que los datos cifrados en tránsito no están restringidos por el requisito de residencia de datos.
Los siguientes recursos proporcionan información sobre la residencia de datos para muchos productos y servicios comunes:
- Introducción a la residencia de datos de Microsoft 365, Dónde se almacenan los datos de los clientes de Microsoft 365 y Oferta de Data Residency avanzada de Microsoft 365
- Residencia de datos en Azure
- Microsoft Entra ID (anteriormente Azure Active Directory) y residencia de datos
- Microsoft Defender for Cloud Apps: seguridad y privacidad de los datos
- Microsoft Defender para punto de conexión almacenamiento de datos y privacidad
- seguridad y privacidad de los datos de Microsoft Defender for Identity
- Ubicación de datos de Microsoft Dynamics 365
- Microsoft Intune almacenamiento y procesamiento de datos
- Ubicación de datos de Microsoft Power Platform
- Ubicación de datos de Microsoft Professional Services
- Privacidad y seguridad de datos de Microsoft 365 Defender
¿Qué son los servicios en la nube no regionales ?
Los servicios no regionales de Azure son servicios que no tienen ninguna dependencia en una región específica de Azure y actualmente no proporcionan a los clientes la capacidad de especificar una región de implementación. Estos servicios se diseñaron y optimizaron para estar siempre disponibles como parte de la nube global de Azure. Un ejemplo de un servicio no regional es Azure Active Directory. Puede encontrar una lista completa en Productos de Azure por región.
¿Dónde tiene lugar el procesamiento de datos en la nube?
Muchos servicios de Azure le permiten especificar la región donde se almacenarán y procesarán los datos del cliente. Para obtener más información, consulte Data Residency en Azure. SaaS servicios en línea como Microsoft 365 normalmente procesan los datos más cercanos a dónde se almacenan los datos, sin embargo, el procesamiento de datos de clientes puede producirse en regiones en la nube fuera de Canadá. La prestación de servicios de soporte técnico también podría implicar el procesamiento de datos fuera de Canadá.
Recursos
Microsoft ha desarrollado varios recursos para ayudar a los clientes a implementar servicios en la nube adecuados para ejecutar cargas de trabajo B protegidas, entre los que se incluyen:
- Zona de aterrizaje de Azure para el sector público de Canadá: una implementación de referencia diseñada específicamente para guiar a los departamentos gubernamentales en sus esfuerzos por cumplir con los requisitos de CCCS Medium que son responsabilidad del cliente.
- Canada Federal PBMM Azure Blueprint: un conjunto de recursos y patrones repetibles de Azure que permiten a las organizaciones crear nuevos entornos en la nube con el cumplimiento de controles medianos CCCS específicos y gc cloud guardrails.
- Evaluaciones fundamentales del impacto en la privacidad (PIA): los PIA fundamentales están diseñados para informar mejor a los líderes de privacidad, profesionales y administradores de riesgos, que podrían considerar el uso de este análisis como el núcleo de su propio trabajo de PIA durante la adopción de las ofertas de servicios basadas en la nube de Microsoft.
- Plantilla de evaluación B protegida del Administrador de cumplimiento de Microsoft Purview: El Administrador de cumplimiento es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento proporciona un mecanismo integrado para evaluar y realizar un seguimiento continuo de la implementación de muchos de los controles de clientes de CCCS Medium en el entorno de Microsoft 365. Busque la plantilla B protegida en la página plantillas de evaluación del Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de