Centro canadese per la cybersecurity (CCCS) Medio
Panoramica di CCCS Medium
Il livello di sicurezza B protetto del governo del Canada (GC) per informazioni e asset governativi sensibili si applica a informazioni o asset che, se compromessi, potrebbero causare gravi lesioni a un individuo, un'organizzazione o un governo. Sulla base dell'Information Technology Security Guidance (ITSG) 33 sulla gestione dei rischi per la sicurezza IT pubblicato dal Canadian Centre for Cybersecurity (CCCS), GC ha sviluppato le linee guida sulla categorizzazione della sicurezza dei servizi di Cloud-Based sicurezza (ITSP.50.103) e il profilo di controllo di sicurezza del governo del Canada per i servizi GC basati sul cloud (GC Security Control Profile), che identifica i controlli di sicurezza di base applicabili al trattamento delle informazioni con una categoria di sicurezza di B protetto, integrità media e disponibilità media (PBMM). Il profilo di controllo di sicurezza PBMM originale si è evoluto in quello che ora è il CCCS Medium Cloud Profile Recommendations.The original PBMM security control profile evolved into what now the CCCS Medium Cloud Profile Recommendations.
Il GC Security Control Profile è stato sviluppato usando l'ITSG-33 e il Federal Risk and Authorization Management Program (FedRAMP) degli Stati Uniti, entrambi basati sui controlli di sicurezza e privacy del National Institute of Standards and Technology (NIST) Special Publication (SP) 800-53. GC ha allineato il profilo di controllo di sicurezza GC a FedRAMP per ottimizzare sia l'interoperabilità dei servizi cloud che la riutilizzabilità delle prove di autorizzazione prodotte dai provider di servizi cloud (CSP).
Il Treasury Board of Canada Secretariat (TBS) è responsabile della governance, della strategia e della politica dell'organizzazione GC per i servizi cloud, tra cui il mantenimento della supervisione e del monitoraggio della conformità dei reparti con gc Cloud Guardrails come richiesto dalla direttiva sul servizio e sul digitale. GC ha sviluppato la sua strategia di adozione del cloud, sostenendo ora un principio intelligente per il cloud in cui il cloud è l'opzione preferita per le nuove applicazioni e razionalizza i portfolio di applicazioni esistenti per allinearsi al modello di hosting più appropriato.
Il Canadian Centre for Cybersecurity (CCCS) ha stabilito un processo di valutazione della sicurezza dei provider di servizi cloud che esamina la capacità di un CSP di implementare i controlli di sicurezza cccs medio (nota: il profilo di controllo cccs medio ha sostituito il profilo di controllo di sicurezza originale del governo del Canada per i servizi GC basati sul cloud). Il report di valutazione dei rischi tecnici risultante contiene i risultati del processo di revisione. Le indicazioni di reparto sulla valutazione e l'autorizzazione per la sicurezza cloud (ITSP.50.105) sono disponibili anche da CCCS.
Piattaforme e servizi cloud Microsoft inclusi nell'ambito
Il Centro canadese per la sicurezza informatica esegue valutazioni in cui i controlli di sicurezza e i processi dei provider di servizi cloud vengono valutati rispetto ai requisiti di sicurezza del governo del Canada per informazioni e servizi fino a B protetto, integrità media, disponibilità media (PBMM) secondo il profilo di controllo di sicurezza cccs medio. Ad oggi CCCS ha formalmente valutato i seguenti Servizi online Microsoft:
- Azure
- Dynamics 365
- Power Platform
- Microsoft 365
Azure, Dynamics 365, Power Platform e CCCS Medium
Microsoft è stato uno dei primi provider di servizi cloud globali ad essere qualificato per i servizi cloud sicuri per il governo del Canada quando ha concluso un accordo quadro con il governo federale nel 2019. L'accordo quadro sostiene le ambizioni del governo canadese di semplificare i processi governativi ed è un passo fondamentale sulla strada verso un vero governo digitale. I servizi valutati da Microsoft Azure CCCS Medium offrono nuove opportunità per l'innovazione, la trasformazione e l'agilità dei servizi del settore pubblico, in quanto i dipendenti pubblici ottengono l'accesso a una gamma di funzionalità sofisticate che supportano l'archiviazione e l'elaborazione dei dati B protetti. Inoltre, le agenzie governative traggono vantaggio dal fiorente ecosistema microsoft di partner e sviluppatori che creano soluzioni innovative e sicure in Azure.
Microsoft ha stabilito due aree cloud di Azure canadesi: Canada centrale a Toronto e Canada orientale a Québec City, ognuna costituita da più siti di data center cloud iperscalabilità. Queste aree aggiungono la residenza dei dati nel paese canadese per l'archiviazione dei dati dei clienti inattivi, il failover e il ripristino di emergenza per le applicazioni e i dati dei clienti per molti servizi online di base. Ulteriori investimenti nell'infrastruttura dei data center nell'area centrale del Canada hanno inoltre consentito a una zona di disponibilità di Azure all'interno dell'area centrale del Canada di aiutare i clienti a creare applicazioni ancora più resilienti e a disponibilità elevata per carichi di lavoro cruciali.
Per un elenco completo dei servizi cloud valutati da CCCS nell'ambito in Azure, Dynamics 365 e Power Platform, vedere i report di valutazione di riepilogo nella sezione Canada a livello di area del portale di trust dei servizi.
Office 365 e CCCS Medium
ambienti Office 365
Microsoft Office 365 è una piattaforma cloud iperscalabile multi-tenant e un'esperienza integrata di app e servizi disponibili per i clienti in diverse aree geografiche del mondo. La maggior parte dei servizi di Office 365 consente ai clienti di specificare l'area geografica in cui si trovano i dati dei clienti. Microsoft potrebbe replicare i dati dei clienti in altre parti all'interno della stessa area geografica (ad esempio, gli Stati Uniti) per la resilienza dei dati. Tuttavia, Microsoft non replicherà i dati dei clienti al di fuori dell'area geografica prescelta.
Questa sezione illustra gli ambienti di Office 365 seguenti:
- Software client (client): software client commerciale in esecuzione nei dispositivi dei clienti.
- Office 365 (commerciale): il servizio cloud pubblico commerciale di Office 365 disponibile a livello globale.
- Office 365 Government Community Cloud (GCC): il servizio cloud Office 365 GCC è disponibile per i governi federali, statali, locali e tribali degli Stati Uniti, nonché per i terzisti che detengono o elaborano dati per conto del governo degli Stati Uniti.
- Office 365 Government Community Cloud - High (GCC High): il servizio cloud Office 365 GCC High è progettato secondo i controlli di livello 4 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa (DoD) e controlla e supporta le informazioni federali e di difesa rigorosamente regolamentate. Questo ambiente viene usato dalle agenzie federali, dalla Defense Industrial Base (DIB) e dai terzisti governativi.
- Office 365 DoD (DoD): il servizio cloud Office 365 DoD è progettato secondo i controlli di livello 5 delle linee guida sui requisiti di sicurezza del Dipartimento della Difesa e supporta rigide normative federali e di difesa. Questo ambiente è destinato all'uso esclusivo da parte del Dipartimento della Difesa degli Stati Uniti.
Usare questa sezione per soddisfare gli obblighi di conformità in settori regolamentati e mercati globali. Per scoprire quali servizi sono disponibili in quali aree geografiche, vedere le informazioni sulla disponibilità internazionale e l'articolo Dove sono archiviati i dati dei clienti Microsoft 365. Per altre informazioni sull'ambiente cloud di Office 365 Government, vedere l'articolo Office 365 Government Cloud.
L'organizzazione è interamente responsabile di garantire la conformità a tutte le leggi e normative applicabili. Le informazioni fornite in questa sezione non costituiscono una consulenza legale. Pertanto, è consigliabile consultare i propri consulenti legali per eventuali domande relative alla conformità normativa della propria organizzazione.
Applicabilità di Office 365 e servizi inclusi nell'ambito
Usare la tabella seguente per determinare l'applicabilità per i servizi e le sottoscrizioni Office 365:
| Applicabilità | Servizi inclusi nell'ambito |
|---|---|
| Commerciale | Advanced eDiscovery, Customer Lockbox, Defender Endpoint, Defender for Cloud Apps, Defender per M365, Defender of Identity, Exchange Online (EXO), Loki, Microsoft Information Protection, Microsoft Intune, Microsoft Planner, Microsoft Stream, Microsoft Teams, Office Forms, Office per il Web (Word, Excel, OneNote, PowerPoint), Office PODS (PowerPoint Online Document Service), Office Project, Office Services Infrastructure, Office Sway, Servizio OneNote, Sistema telefonico & Chiamate, Servizio contenuto di ricerca, SharePoint Online, SharePoint Syntex, Esperienza utente suite, ToDo, Viva Insights, Viva Learning, Viva Topics, Windows 365 |
Report di valutazione
I report di valutazione cccs di riepilogo per i servizi Microsoft sono disponibili per i clienti nella sezione regionale Canada del portale di trust del servizio. I report dettagliati sulla valutazione della sicurezza per i servizi Microsoft sono disponibili per i clienti del governo canadese contattando il CCCS all'indirizzo contact@cyber.gc.ca.
Domande frequenti
Quali servizi cloud Microsoft sono disponibili per il governo del Canada tramite il contratto cloud Shared Services Canada?
Microsoft offre una gamma di servizi cloud commerciali, tra cui Azure, Dynamics 365, Power Platform e Microsoft 365. Il catalogo cloud broker di Servizi condivisi Canada fornisce informazioni dettagliate sui servizi cloud Microsoft attualmente disponibili per i reparti GC: Cloud FA Catalog (canada.ca).The Shared Services Canada cloud broker catalog provides details on the Microsoft cloud services that are currently available to GC departments: Cloud FA Catalog (canada.ca).
A quale livello di conformità FedRAMP negli Stati Uniti sono conformi i servizi cloud Microsoft e a che cosa si applica alle aree cloud canadesi?
Microsoft Azure commerciale (incluso Dynamics 365) gestisce una FedRAMP High Provisional Authority to Operate (P-ATO). Microsoft 365 commercial mantiene un'equivalenza FedRAMP High. Le aree di Azure esterne alla Stati Uniti non sono formalmente autorizzate dal FedRAMP Joint Authorization Board (JAB) e non sono incluse nell'ambito P-ATO FedRAMP High. Tuttavia, i controlli di sicurezza e i processi operativi di Azure sono coerenti ovunque venga eseguito Azure. FedRAMP è basato sulle baseline di controllo NIST SP 800-53. Tutti i controlli NIST SP 800-53 che supportano l'ATO P-ATO high di Azure FedRAMP nel Stati Uniti sono operativi anche in altre aree di Azure al di fuori del Stati Uniti. Di conseguenza, i clienti di Azure al di fuori del Stati Uniti possono contare sugli stessi dettagli di implementazione del controllo relativi alla baseline di controllo elevato NIST SP 800-53. Per altre informazioni, vedere Federal Risk and Authorization Management Program (FedRAMP). L'evidenza di controllo fedRAMP è disponibile nel portale di attendibilità del servizio.
Esistono restrizioni geografiche sulla posizione in cui devono essere archiviati i dati B protetti?
Il governo del Canada ha sviluppato una politica flessibile di residenza dei dati (archiviazione dei dati inattivi) per l'archiviazione dei dati B protetti in base alla sezione 4.4.3.14 della direttiva sul servizio e il digitale. Questo aspetto è ulteriormente chiarito nella sezione 4.4 delle Linee guida sul servizio e sul digitale. La residenza dei dati in Canada deve essere identificata e valutata come opzione di recapito principale per l'archiviazione dei dati B protetti nel cloud, tuttavia il CIO di reparto (o in alcuni casi il CIO del Canada) ha la flessibilità ed è responsabile dell'approvazione delle decisioni di archiviazione dei dati al di fuori del Canada in base ai criteri aziendali seguenti identificati nella sezione 4.4.3 Considerazioni sull'implementazione del requisito:
- Reputazione
- Considerazioni legali e contrattuali
- Accordi commerciali
- Disponibilità sul mercato
- Valore business
- Funzionalità tecniche
I controlli e i processi di sicurezza Microsoft vengono implementati in modo coerente in tutte le aree cloud a livello globale. Anche se i controlli all'interno del profilo CCCS Medium possono fare riferimento ai criteri di residenza dei dati GC, la valutazione della posizione dei dati inattivi non tiene conto della valutazione del rischio di un report di valutazione cloud CCCS.
Sezione 4.4.2 (Perché è importante?) chiarisce inoltre che i dati crittografati in transito non sono limitati dal requisito di residenza dei dati.
Le risorse seguenti forniscono informazioni sulla residenza dei dati per molti prodotti e servizi comuni:
- Panoramica della residenza dei dati di Microsoft 365, in cui sono archiviati i dati dei clienti di Microsoft 365 e offerta microsoft 365 Advanced Data Residency
- Residenza dei dati in Azure
- Microsoft Entra ID (in precedenza Azure Active Directory) e residenza dei dati
- Microsoft Defender for Cloud Apps - Sicurezza e privacy dei dati
- Microsoft Defender per endpoint l'archiviazione e la privacy dei dati
- Microsoft Defender per identità sicurezza e privacy dei dati
- Percorso dei dati di Microsoft Dynamics 365
- Microsoft Intune l'archiviazione e l'elaborazione dei dati
- Posizione dei dati di Microsoft Power Platform
- Posizione dei dati di Microsoft Professional Services
- Sicurezza e privacy dei dati di Microsoft 365 Defender
Che cosa sono i servizi cloud non regionali ?
I servizi non regionali di Azure sono servizi che non dipendono da un'area di Azure specifica e attualmente non offrono ai clienti la possibilità di specificare un'area di distribuzione. Questi servizi sono stati progettati e ottimizzati per essere sempre disponibili come parte del cloud globale di Azure. Un esempio di servizio non regionale è Azure Active Directory. È possibile trovare un elenco completo in Prodotti di Azure per area.
Dove avviene l'elaborazione dei dati nel cloud?
Molti servizi di Azure consentono di specificare l'area in cui verranno archiviati ed elaborati i dati del cliente. Per altre informazioni, vedere Data Residency in Azure. I Servizi online SaaS, ad esempio Microsoft 365, elaborano in genere i dati più vicini a dove vengono archiviati, ma l'elaborazione dei dati dei clienti potrebbe verificarsi in aree cloud esterne al Canada. La distribuzione di servizi di supporto potrebbe anche comportare l'elaborazione di dati al di fuori del Canada.
Risorse
Microsoft ha sviluppato diverse risorse per assistere i clienti nella distribuzione di servizi cloud adatti per l'esecuzione di carichi di lavoro B protetti, tra cui:
- Zona di destinazione di Azure per il settore pubblico del Canada: un'implementazione di riferimento appositamente creata per guidare i dipartimenti governativi nel loro impegno per rispettare i requisiti cccs medium che sono responsabilità del cliente.
- Canada Federal PBMM Azure Blueprint: un set di risorse e modelli di Azure ripetibili che consentono alle organizzazioni di creare nuovi ambienti cloud conformi a specifici controlli CCCS Medium e GC Cloud Guardrails.
- Valutazioni di impatto sulla privacy (PID) di base: le autorità di certificazione della privacy di base hanno lo scopo di informare meglio i responsabili della privacy, i professionisti e i responsabili dei rischi, che potrebbero considerare l'uso di questa analisi come base per il proprio lavoro pia durante l'adozione delle offerte di servizi basate sul cloud di Microsoft.
- Modello di valutazione B protetto di Microsoft Purview Compliance Manager: Compliance Manager è una funzionalità del Portale di conformità di Microsoft Purview che consente di comprendere il comportamento di conformità dell'organizzazione e di intraprendere azioni per ridurre i rischi. Compliance Manager offre un meccanismo predefinito per valutare e tenere traccia continuamente dell'implementazione di molti controlli dei clienti CCCS Medium all'interno dell'ambiente Microsoft 365. Trovare il modello B protetto nella pagina modelli di valutazione in Compliance Manager. Informazioni su come creare valutazioni in Compliance Manager.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per