CCCS(캐나다 사이버 보안 센터) 매체
CCCS 중간 개요
중요한 정부 정보 및 자산에 대한 캐나다 정부(GC) 보호 B 보안 수준은 손상된 경우 개인, organization 또는 정부에 심각한 상해를 입힐 수 있는 정보 또는 자산에 적용됩니다. GC는 캐나다 CCCS(사이버 보안 센터 )가 발표한 IT 보안 위험 관리에 대한 ITSG(정보 기술 보안 지침) 33을 기반으로 Cloud-Based 서비스(ITSP.50.103)의 보안 분류 에 대한 지침과 클라우드 기반 GC 서비스(GC 보안 제어 프로필)에 대한 캐나다 정부 보안 제어 프로필 (GC 보안 제어 프로필)을 개발하여 보안 범주가 있는 정보 처리에 적용되는 기준 보안 제어를 식별합니다. 보호된 B, 중간 무결성 및 중간 가용성(PBMM)입니다. 원래 PBMM 보안 제어 프로필은 현재 CCCS 중간 클라우드 프로필 권장 사항으로 발전했습니다.
GC 보안 제어 프로필은 ITSG-33 및 FedRAMP(미국 연방 위험 및 권한 부여 관리 프로그램)를 사용하여 개발되었으며, 둘 다 NIST(국립 표준 기술 연구소) SP(특별 간행물) 800-53 보안 및 개인 정보 보호 제어에 기반을 두고 있습니다. GC는 클라우드 서비스의 상호 운용성과 CSP(클라우드 서비스 공급자)가 생성한 권한 부여 증거의 재사용 가능성을 극대화하기 위해 GC 보안 제어 프로필을 FedRAMP와 조정했습니다.
캐나다 재무위원회(TBS)는 서비스 및 디지털 지침에 따라 GC Cloud Guardrails에 대한 감독 및 부서 규정 준수 모니터링을 포함하여 클라우드 서비스에 대한 GC 엔터프라이즈 거버넌스, 전략 및 정책을 담당합니다. GC는 클라우드 채택 전략을 발전시켰으며, 이제 클라우드가 새 애플리케이션에 선호되는 옵션이며 가장 적절한 호스팅 모델에 맞게 기존 애플리케이션 포트폴리오를 합리화할 클라우드 스마트 원칙 을 옹호하고 있습니다.
캐나다 CCCS(사이버 보안 센터)는 CSP가 CCCS 중간 보안 제어를 구현하는 기능을 검토하는 클라우드 서비스 공급자 보안 평가 프로세스를 수립했습니다(참고: CCCS 중간 제어 프로필은 클라우드 기반 GC 서비스에 대한 캐나다 보안 제어 프로필의 원래 정부를 대체함). 결과 기술 위험 평가 보고서에는 검토 프로세스의 결과가 포함됩니다. 클라우드 보안 평가 및 권한 부여에 대한 부서 지침(ITSP.50.105)도 CCCS에서 사용할 수 있습니다.
Microsoft 범위 내 클라우드 플랫폼 및 서비스
캐나다 사이버 보안 센터는 CCCS 중간 보안 제어 프로필에 따라 클라우드 서비스 공급자의 보안 제어 및 프로세스가 캐나다 정부의 보안 요구 사항에 따라 보호된 B, 중간 무결성, 중간 가용성(PBMM)까지의 정보 및 서비스에 대해 평가되는 평가를 수행합니다. 현재까지 CCCS는 다음 Microsoft 온라인 서비스 공식적으로 평가했습니다.
- Azure
- Dynamics 365
- Power Platform
- Microsoft 365
Azure, Dynamics 365, Power Platform 및 CCCS Medium
Microsoft는 2019년 연방 정부와 프레임워크 계약을 체결했을 때 캐나다 정부 보안 클라우드 서비스 자격을 갖춘 최초의 글로벌 클라우드 서비스 공급자 중 하나입니다. 이 프레임워크 협정은 정부 프로세스를 간소화하려는 캐나다 정부의 야망을 지지하며 진정한 디지털 정부를 향한 길의 핵심 단계입니다. Microsoft의 Azure CCCS Medium 평가 서비스는 공무원이 보호된 B 데이터의 스토리지 및 처리를 지원하는 다양한 정교한 기능에 액세스할 수 있으므로 공공 부문 혁신, 변환 및 서비스 민첩성을 위한 새로운 기회를 제공합니다. 또한 정부 기관은 Azure에서 혁신적이고 안전한 솔루션을 구축하는 파트너 및 개발자의 Microsoft의 번창하는 에코시스템의 혜택을 누릴 수 있습니다.
Microsoft는 두 개의 캐나다 Azure 클라우드 지역을 설립했습니다. 캐나다 중부는 토론토에, 캐나다 동부는 각각 여러 하이퍼스케일 클라우드 데이터 센터 사이트로 구성됩니다. 이러한 지역은 많은 Core Online Services에 대한 애플리케이션 및 고객 데이터에 대한 미사용 고객 데이터 저장, 장애 조치(failover) 및 재해 복구를 위한 캐나다 내 국가 데이터 보존을 추가합니다. 캐나다 중부 지역에 대한 추가 데이터 센터 인프라 투자를 통해 캐나다 중부 지역 내의 Azure 가용성 영역을 통해 고객이 중요 업무용 워크로드에 대해 훨씬 더 복원력 있고 고가용성 애플리케이션을 만들 수 있습니다.
Azure, Dynamics 365 및 Power Platform에서 평가된 scope CCCS 평가 클라우드 서비스의 전체 목록은 서비스 신뢰 포털의 캐나다 지역 섹션에 있는 요약 평가 보고서를 참조하세요.
Office 365 및 CCCS 중간
Office 365 환경
Microsoft Office 365는 다중 테넌트 하이퍼스케일 클라우드 플랫폼이며 전 세계 여러 지역의 고객에게 제공되는 앱 및 서비스의 통합 환경입니다. 대부분의 Office 365 서비스에서는 고객이 고객 데이터가 있는 지역을 지정할 수 있습니다. Microsoft는 데이터 복원력을 위해 동일한 지리적 영역(예: 미국) 내의 다른 지역에 고객 데이터를 복제할 수 있지만, Microsoft는 선택한 지리적 영역 외부에 고객 데이터를 복제하지 않습니다.
이 섹션에서는 다음과 같은 Office 365 환경에 대해 설명합니다.
- 클라이언트 소프트웨어(클라이언트): 고객 장치에서 실행되는 상용 클라이언트 소프트웨어입니다.
- Office 365(상용): 전 세계에서 사용할 수 있는 상업용 공용 Office 365 클라우드 서비스입니다.
- Office 365 GCC(정부 커뮤니티 클라우드): Office 365 GCC 클라우드 서비스는 미국 정부를 대신하여 데이터를 저장하거나 처리하는 계약자뿐만 아니라 미국 연방, 주, 지방 및 자치 정부에서 사용할 수 있습니다.
- Office 365 GCC High(정부 커뮤니티 클라우드 - High): Office 365 GCC High 클라우드 서비스는 DoD(미국방부) 보안 요구 사항 지침 수준 4 컨트롤에 따라 디자인되었으며 엄격하게 규제되는 연방 및 방어 정보를 지원합니다. 이 환경은 연방 기관, DIB(Defense Industrial Base) 및 정부 계약자가 사용합니다.
- Office 365 DoD(DoD): Office 365 DoD 클라우드 서비스는 DoD 보안 요구 사항 지침 수준 5 컨트롤에 따라 디자인되었으며 엄격한 연방 및 방어 규정을 지원합니다. 이 환경은 미국 국방부에서만 사용할 수 있습니다.
이 섹션을 사용하여 규제되는 산업 및 전 세계 시장에서 규정 준수 의무를 충족할 수 있습니다. 제공되는 서비스와 지역을 확인하려면 국가별 사용 가능 여부 및 Microsoft 365 고객 데이터가 저장되는 위치 문서를 참조하세요. Office 365 Government 클라우드 환경에 대한 자세한 내용은 Office 365 Government 클라우드 문서를 참조하세요.
조직은 모든 관련 법률 및 규정을 준수할 책임이 있습니다. 이 섹션에 제공된 정보는 법률 자문을 구성하지 않으며 조직의 규정 준수와 관련된 질문은 법률 자문 담당자에게 문의해야 합니다.
Office 365 적용 가능성 및 범위 내 서비스
다음 표를 사용하여 Office 365 서비스 및 구독에 대한 적용 가능성을 확인합니다.
적용 가능성 | 범위 내 서비스 |
---|---|
상업용 | Advanced eDiscovery, Customer Lockbox, Defender 엔드포인트, Defender for Cloud Apps, M365용 Defender, Defender of Identity, Exchange Online(EXO), Loki, Microsoft Information Protection Microsoft Intune, Microsoft Planner, Microsoft Stream, Microsoft Teams, Office Forms, 웹용 Office(Word, Excel, OneNote, PowerPoint), Office PODS(PowerPoint Online 문서 서비스), Office 프로젝트, Office 서비스 인프라, Office Sway, OneNote Service, 전화 시스템 & 통화, 콘텐츠 서비스 검색, Sharepoint Online, SharePoint Syntex, Suite 사용자 환경, ToDo, Viva Insights, Viva Learning, Viva Topics, Windows 365 |
평가 보고서
Microsoft 서비스에 대한 요약 CCCS 평가 보고서는 서비스 신뢰 포털의 캐나다 지역 섹션에서 고객이 사용할 수 있습니다. Microsoft 서비스에 대한 자세한 보안 평가 보고서는 의 CCCS contact@cyber.gc.ca에 문의하여 캐나다 정부 고객이 사용할 수 있습니다.
질문과 대답
캐나다 정부가 공유 서비스 캐나다 클라우드 계약을 통해 사용할 수 있는 Microsoft 클라우드 서비스는 무엇입니까?
캐나다 정부가 클라우드 프레임워크 계약을 체결한 최초의 글로벌 클라우드 공급자 중 하나인 Microsoft는 Azure, Dynamics 365, Power Platform 및 Microsoft 365를 비롯한 다양한 상용 클라우드 서비스를 제공합니다. Shared Services 캐나다 클라우드 브로커 카탈로그는 현재 GC 부서에서 사용할 수 있는 Microsoft 클라우드 서비스에 대한 세부 정보를 제공합니다.
Microsoft의 클라우드 서비스는 어떤 수준의 미국 FedRAMP 규정 준수를 준수하며 캐나다 클라우드 지역에 어떻게 적용됩니까?
Microsoft Azure 상업용(Dynamics 365 포함)은 P-ATO(FedRAMP High Provisional Authority to Operate)를 유지 관리합니다. Microsoft 365 상업용은 FedRAMP High 동등성을 유지 관리합니다. 미국 외부의 Azure 지역은 FedRAMP JAB(공동 권한 부여 위원회)의 공식 승인을 받지 않으며 FedRAMP High P-ATO scope 없습니다. 그러나 Azure 보안 제어 및 운영 프로세스는 Azure가 실행되는 모든 곳에서 일관됩니다. FedRAMP는 NIST SP 800-53 제어 기준을 기반으로 합니다. 미국 Azure FedRAMP High P-ATO를 지원하는 모든 NIST SP 800-53 컨트롤은 미국 외부의 다른 Azure 지역에서도 작동합니다. 따라서 미국 외부의 Azure 고객은 NIST SP 800-53 높은 제어 기준과 관련된 동일한 제어 구현 세부 정보를 믿을 수 있습니다. 자세한 내용은 FedRAMP(Federal Risk and Authorization Management Program) 를 참조하세요. FedRAMP 감사 증거는 서비스 신뢰 포털에서 사용할 수 있습니다.
보호된 B 데이터를 저장해야 하는 위치에 지리적 제한이 있나요?
캐나다 정부는 서비스 및 디지털 지침의 섹션 4.4.3.14에 따라 보호된 B 데이터의 저장을 위한 유연한 데이터 보존(미사용 데이터 저장) 정책을 개발했습니다. 이는 서비스 및 디지털 지침의 섹션 4.4에서 자세히 설명합니다. 캐나다 데이터 보존은 클라우드에서 보호된 B 데이터를 저장하기 위한 주체 전달 옵션으로 식별되고 평가되어야 하지만, 부서별 CIO(또는 경우에 따라 캐나다의 CIO)는 유연성이 있으며 요구 사항 구현 시 고려 사항 섹션 4.4.3 고려 사항에 따라 캐나다 외부에 데이터를 저장하기 위한 결정을 승인할 책임이 있습니다.
- 평판
- 법률 및 계약 고려 사항
- 무역 협정
- 시장 가용성
- 비즈니스 가치
- 기술 기능
Microsoft 보안 제어 및 프로세스는 전 세계 모든 클라우드 지역에서 일관되게 구현됩니다. CCCS 중간 프로필 내의 컨트롤은 GC 데이터 보존 정책을 참조할 수 있지만 미사용 데이터 위치 평가는 CCCS 클라우드 평가 보고서의 위험 등급에 영향을 주지 않습니다.
섹션 4.4.2(이것이 중요한 이유는 무엇인가요?) 또한 전송 중인 암호화된 데이터가 데이터 보존 요구 사항에 의해 제한되지 않음을 명확히 합니다.
다음 리소스는 많은 일반적인 제품 및 서비스에 대한 데이터 보존에 대한 정보를 제공합니다.
- Microsoft 365 데이터 상주 개요, Microsoft 365 고객 데이터가 저장되는 위치 및 Microsoft 365 고급 Data Residency 제품
- Azure의 데이터 상주
- Microsoft Entra ID(이전의 Azure Active Directory) 및 데이터 상주
- Microsoft Defender for Cloud Apps - 데이터 보안 및 개인 정보
- 데이터 스토리지 및 개인 정보 엔드포인트용 Microsoft Defender
- 데이터 보안 및 개인 정보 Microsoft Defender for Identity
- Microsoft Dynamics 365 데이터 위치
- 데이터 스토리지 및 처리 Microsoft Intune
- Microsoft Power Platform 데이터 위치
- Microsoft Professional Services 데이터 위치
- Microsoft 365 Defender 데이터 보안 및 개인 정보
비지정형 클라우드 서비스가란?
Azure 비연속 서비스는 특정 Azure 지역에 종속되지 않고 현재 고객에게 배포 지역을 지정할 수 있는 기능을 제공하지 않는 서비스입니다. 이러한 서비스는 Azure의 글로벌 클라우드의 일부로 항상 사용할 수 있도록 설계되고 최적화되었습니다. 비영역 서비스의 예로는 Azure Active Directory가 있습니다. Azure Products by Region에서 전체 목록을 찾을 수 있습니다.
클라우드에서 데이터 처리는 어디에서 수행되나요?
많은 Azure 서비스를 사용하면 고객 데이터를 저장하고 처리할 지역을 지정할 수 있습니다. 자세한 내용은 Azure의 Data Residency 참조하세요. Microsoft 365와 같은 SaaS 온라인 서비스 일반적으로 데이터가 저장되는 위치와 가장 가까운 데이터를 처리합니다. 그러나 고객 데이터의 처리는 캐나다 이외의 클라우드 지역에서 발생할 수 있습니다. 지원 서비스 제공에는 캐나다 외부의 데이터 처리도 포함될 수 있습니다.
리소스
Microsoft는 다음을 포함하여 보호된 B 워크로드를 실행하는 데 적합한 클라우드 서비스를 배포할 때 고객을 지원하는 여러 리소스를 개발했습니다.
- 캐나다 공공 부문용 Azure 랜딩 존: 고객의 책임인 CCCS 중간 요구 사항을 준수하기 위해 정부 부서를 안내하기 위해 특별히 빌드된 참조 구현입니다.
- 캐나다 연방 PBMM Azure Blueprint: 조직이 특정 CCCS 중간 컨트롤 및 GC Cloud Guardrails를 준수하여 새 클라우드 환경을 빌드할 수 있도록 하는 반복 가능한 Azure 리소스 및 패턴 집합입니다.
- IA(기본 개인 정보 보호 영향 평가): 기본 PIA는 Microsoft의 클라우드 기반 서비스 제품을 채택하는 동안 이 분석을 자체 PIA 작업의 핵심으로 사용하는 것을 고려할 수 있는 개인 정보 보호 리더, 실무자 및 위험 관리자에게 더 잘 알리기 위한 것입니다.
- Microsoft Purview 준수 관리자보호 B 평가 템플릿: 준수 관리자는 organization 규정 준수 상태를 이해하고 위험을 줄이기 위한 조치를 취하는 데 도움이 되는 Microsoft Purview 규정 준수 포털 기능입니다. 준수 관리자는 Microsoft 365 환경 내에서 많은 CCCS 중간 고객 컨트롤의 구현을 지속적으로 평가하고 추적하는 기본 제공 메커니즘을 제공합니다. 준수 관리자의 평가 템플릿 페이지에서 보호된 B 템플릿을 찾습니다 . 준수 관리자의 평가 빌드 방법에 대해 알아봅니다.