受管制货物主要是货物,包括具有军事或国家安全意义的部件和技术数据,这些部件和技术数据由加拿大政府在国内控制,并在 《国防生产法》中定义。有关受管制货物的概述、其监管方式以及与它们相关的法律责任,请参阅 什么是受管制货物。 如果个人和组织需要检查、拥有或转让受管制货物,则必须 (CGP) 注册受控货物计划。
受控货物和云服务
许多在 CGP 中注册的组织以数字形式管理受控货物技术数据,并寻求为这些工作负载应用公有云服务的优势。 2024 年 5 月 16 日,受管制货物局 (CGD) 发布了 有关使用或提供受管制货物数据的云解决方案的更新指南。 CGD 云指南概述了云服务提供商 (CSP) 与可能考虑使用云服务的 CGP 注册者之间共同负责保护受控商品数据。
Microsoft和控制货物
Microsoft Canada Inc. 注册到 CGP,用于传统目的,包括咨询服务和在线云服务。 若要查看注册到 CGP 的组织目录,请参阅: 查找在受控货物计划中注册的个人和组织。
虽然没有针对受控货物的合规性认证,但Microsoft的 CGP 注册包括已批准的受控货物安全计划,其中描述了与 CGD 云指南的范围服务一致。 本文详细介绍了在评估受控制商品工作负载的范围内Microsoft联机服务时 CGP 注册者的注意事项。
Microsoft 范围内的云平台和云服务
Microsoft在全球范围内提供广泛的商业云服务组合。 鉴于不同的产品条款和功能和复杂的法规考虑,Microsoft建议客户考虑仅评估以下服务,以适合存储和处理受控货物数据:
加拿大区域 Azure 核心服务 由产品条款中的隐私 & 安全 条款 中确定的 Azure Core Online Services 组成,这些服务可在加拿大区域 (当前加拿大中部或加拿大东部) 部署。 若要查看在加拿大区域可用的 Azure 核心服务,请参阅: 按区域提供的 Azure 产品 。
加拿大区域 Office 核心服务包括 Exchange Online、SharePoint Online、OneDrive for Business 和 Teams。
在正式发布之前可供客户选择使用的这些服务的任何预览版或预发行版不在本指南范围内。
加拿大区域 Azure 核心服务和加拿大区域 Office 核心服务是Microsoft全球云基础结构的一部分。 一些加拿大国防工业基地客户可能还有资格访问Microsoft美国政府 云产品/服务。 在受控商品数据上下文中评估这些基于美国的产品/服务超出了本文的范围。
受控货物和Microsoft云服务
Microsoft云是一组全局部署且标准化的联机服务,可供客户评估、采购、配置和部署以满足特定业务需求。 正确配置客户的云租户后,它为客户提供了比传统的本地技术部署更高的灵活性、高级功能和安全性。 Microsoft设计其在线服务,使客户数据安全且在客户控制之下。 Microsoft通常无法自定义其在线服务产品/服务的交付方式,以满足特定的客户需求。
选择使用云服务的客户对遵守受控货物监管义务和保护他们选择存储在云中的受控货物数据负有最终责任。 客户共同的责任义务包括:
- 确保他们对这些服务的使用符合适用法律,包括有关检查、拥有或转让受管制货物的法律。
- 评估云服务(包括服务中的功能或工具)是否适合处理相关类别的受管制货物,包括可能也受美国法规(如《国际武器运输条例》 (ITAR) )控制的数据。 这可能包括评估云服务提供商的安全责任安全措施的充分性、数据驻留 (静态存储) 承诺、数据处理的位置、数据传输的位置、第三方审核,以及可能包括客户数据 (的功能或工具,例如审查某些 AI 服务的输出以防止滥用) 。
- 评估和应用云安全功能,以限制对客户存储在云中的受控货物数据的访问。
- 确保标题、文档名称或文件路径中不包含受控商品数据。
- 实施客户自己的安全控制措施和其他措施,以管理与未经授权访问受控货物数据相关的任何剩余风险,包括确保不以要求他们检查、拥有或转移受控货物数据的方式向Microsoft人员提供对受控货物数据的访问,除非客户决定该个人被批准检查受控货物。
在运营联机服务时,Microsoft没有建设性地拥有受控商品数据。 Microsoft人员不知道客户选择上传到其联机服务的数据的特征。 Microsoft也没有商业手段来了解其哪些客户正在使用或打算使用其在线服务来存储和处理受控商品数据。
与云服务提供商的受控货物指南保持一致
联机服务是按照Microsoft批量许可协议向客户提供的标准化商业现成服务。 本协议包括Microsoft产品和服务数据保护附录 (DPA) 和Microsoft产品条款 (产品条款) 。
Microsoft设计并实施了加拿大区域 Azure 核心服务和加拿大区域 Office 核心服务,以符合国际公认的安全做法和策略。 许多Microsoft在线服务已通过 云服务提供商信息技术安全评估过程 (ITSM.50.100) CCCS 中型 云安全配置文件进行评估。 此外,Microsoft承诺实施和维护符合 ISO 27001、ISO 27002 和 ISO 27018 中的要求的技术和组织措施。 此外,每个加拿大区域 Azure 核心服务和加拿大区域 Office 核心服务 (有限的已发布例外) 也符合构成 SSAE 18 SOC 18 SOC 1 Type II 和 SSAE 18 SOC 2 Type II 的一部分的控制标准和框架。 有关详细信息,请参阅产品条款中的 DPA 和隐私 & 安全条款。
CGD 的安全计划指南 提供了以下重要定义:
- 访问:能够检查、拥有或转让受管制货物。
- 检查:详细考虑或接受分析,以发现基本特征或含义。
- 占有:实际占有,该人在特定时间对受控物品有直接的人身控制,或建设性占有,该人在特定时间拥有权力和意图,直接或通过另一人或另一人行使对受控物品的控制。
- 转让:对于受控品,以任何方式处置或披露其内容。
考虑到为加拿大区域 Azure 核心服务和加拿大区域 Office 核心服务实施的安全控制和作做法,Microsoft的理解是,在提供此类服务或相关技术支持时,它不会访问、检查、拥有或传输受控商品数据。
技术支持
Microsoft Online Services 的设计使Microsoft无法了解客户如何使用在线服务来存储或处理受控制商品数据 (或任何其他类型的数据) 。 Microsoft人员对联机服务中的客户数据没有默认永久访问权限。 在非常有限的支持和工程方案中,Microsoft支持或工程人员可能需要访问客户数据。 对于这些罕见情况,Microsoft支持或工程人员 (,他们通常位于加拿大以外) ,可以通过实时 (JIT) 特权访问管理系统,使用临时凭据访问管理监督下的客户数据。 使用受限访问工作流时,会仔细控制、记录和撤销对客户数据的访问(如果不再需要)。 即使在这些方案中,Microsoft也不知道是否涉及受控货物工作负载。
Microsoft的全球部署支持和工程人员不会根据 《受控货物条例》的要求进行安全评估。 因此,客户有责任确定在支持期间在联机服务中处理或与Microsoft共享的数据。 更广泛地说,客户有责任确保其使用在线服务不会导致这些人员检查受管制货物。
CGP 的指南将术语“检查”定义为详细考虑数据或对其进行分析以发现其基本特征或含义。 本指南建议,偶然接触具有暂时性且不会导致详细考虑数据或确定其基本含义的数据不涉及对受控品的“检查”。
作为进一步的深层风险缓解措施,Microsoft建议客户使用范围内的服务启用客户密码箱功能。 客户密码箱允许客户批准或拒绝此类提升的请求,让客户控制需要访问客户数据的支持工作流。 有关客户密码箱的详细信息:
注意
范围内联机服务通常支持客户密码箱功能,但有一些例外。 客户有责任在评估联机服务是否适合用于受控商品工作负载时考虑这一点。
基于加拿大的有限支持
在技术部署或故障排除期间,可能需要检查或拥有受控货物以提供技术支持的有限情况。 如果需要详细检查,客户应要求与加拿大Microsoft单独接触,其中包括明确合同承诺,以确保需要检查受控货物数据的人员位于加拿大,并根据 《受控货物条例》评估安全。 客户有责任直接与加拿大Microsoft签订此自定义协议。 有关详细信息,请联系Microsoft帐户团队。
记录
Microsoft不知道客户可能在联机服务中存储或处理的数据的字符或内容,也无法接收客户与其上传到 Online Services 的数据类型相关的通知。 因此,Microsoft没有商业手段来跟踪其哪些客户正在使用或打算使用其在线服务来存储和处理受控商品数据。 当客户选择使用 Microsoft 的联机服务时,记录保留义务完全由客户承担。
安全事件
Microsoft联机服务的安全事件通知承诺记录在 DPA 中。 Microsoft人员不知道可能受到安全事件影响的任何特定客户数据的性质。 客户 (或 CGP 注册者) 负责确定特定安全事件是否涉及受控货物数据,并按照 条例第 10 (小时第) 节的要求向 CGP 报告。
常见问题解答
Microsoft Online Services 支持和工程人员位于何处?
Microsoft在全球许多位置为其商业云产品/服务运营支持服务,面向不同区域和国家/地区的客户。
加拿大Microsoft云数据中心的市政地址是什么?
Microsoft不会公开披露其数据中心的市政地址。 我们制定了此策略来帮助保护数据中心设施的安全。 Microsoft目前在加拿大 - 加拿大中部 运营两个云区域,站点位于多伦多和 加拿大东部 ,站点位于魁北克市。 我们建议客户引用存储其数据的云区域,以代替其受控货物安全计划中的物理地址(如果需要)。
Microsoft Online Services 中存储的数据在哪里?
数据驻留是指云地理位置或静态存储客户数据的区域。 使用以下链接了解如何确定范围服务中的当前数据驻留和数据驻留承诺:
客户负责评估给定云服务是否启用数据驻留配置 (包括 产品条款 或 Microsoft信任中心) 中标识的任何异常。 并非所有联机服务都允许在特定云区域中配置数据存储。
Microsoft Online Services 中在哪里处理数据?
数据处理涉及云服务对客户数据执行的计算作,以提供所需的联机服务。 客户负责评估在加拿大境外处理、存储或传输数据是否可以在云服务中发生,或者作为技术支持的一部分进行,以及是否需要出口许可证。
对于加拿大区域 Azure 核心服务,Microsoft未经授权,不会在客户指定的地理位置之外存储或处理客户数据。 客户应查看 Azure 中的数据驻留 - 有关客户数据位置的详细信息 ,并评估以下内容:
- 为了保持复原能力,Microsoft使用有时跨越地理边界的可变网络路径,但区域之间的客户数据复制始终通过加密网络连接传输。
- Microsoft人员 (,包括位于 Geo 外部的子处理器) ,可以在异地远程作数据处理系统,但未经客户授权,不会访问客户数据。
- 某些服务可能无法让客户在特定 Azure 区域或主要地理区域中配置部署, (地理) ,或者可能会在其他位置执行有限的处理或存储,如Microsoft信任中心 (中所述,Microsoft可能会不时更新,但Microsoft不会为不再以预览版) 的服务添加例外。
- 如果客户管理员或用户在服务中采取了启动从加拿大地理位置传输数据的作,Microsoft不会限制此类客户发起的传输发生;这样做会扰乱客户的正常业务运营。
对于加拿大区域 Office 核心服务,通常最接近存储数据的位置处理数据,但某些作可能会在加拿大以外的 Azure 商业云地理位置处理客户数据。 若要查看这些国家/地区的完整列表,请参阅: Azure 地理位置。
将生成 AI 解决方案与受控商品配合使用时的注意事项是什么?
Microsoft的生成 AI 解决方案(包括 Azure OpenAI 服务和 Copilot 服务和功能)在未经你许可的情况下,不会使用组织的数据来训练基础模型。 你的数据不可用于 OpenAI 或用于训练 OpenAI 模型。 使用 Azure OpenAI 服务和 Copilots 时,你的数据将保持私密,并受我们适用的隐私和合同承诺的约束,包括我们在 Microsoft的数据保护附录、 Microsoft的产品条款和 Microsoft隐私声明中做出的承诺。
Microsoft致力于负责任的 AI,Azure OpenAI 服务采用滥用监视流程(包括人工审查),以检测和缓解重复内容和/或行为实例,这些实例建议以可能违反 行为准则 或其他适用产品条款的方式使用服务。 客户应使用 Azure OpenAI 数据、隐私和安全 中可用的资源评估如何处理数据,以及如何应用这些资源来获得滥用监视和人工审查的豁免。
有关 Microsoft 365 Microsoft Copilot的数据、隐私和安全性的详细信息,请参阅:智能 Microsoft 365 Copilot 副驾驶®的数据、隐私和安全性。
将受管制货物与Microsoft在线服务配合使用时,需要哪些出口授权?
客户应向加拿大全球事务 (或其他监管机构寻求指导,) 评估Microsoft加拿大区域 Azure 核心服务和加拿大区域 Office 核心服务时可能需要的任何出口授权,包括但不限于数据存储、传输中的网络数据、数据处理或传输可能发生在加拿大境外的方案。
Microsoft在未经我们明确同意的情况下,不作为任何出口许可证申请的一方而承担任何责任或责任。 有关详细信息,请参阅 Microsoft导出常见问题解答。
配置范围内联机服务以用于受控商品时,还有哪些其他安全和隐私功能有用?
客户有责任确保其使用在线服务不会导致未经授权的个人,包括Microsoft在线服务人员、检查、拥有或转让受管制货物。 例如,这涉及客户评估和采用特定联机服务中可用的安全功能。 相关功能包括:
- 客户密码箱:Microsoft建议客户使用范围内服务启用客户密码箱功能,作为深度风险缓解措施的附加防御措施。 客户密码箱允许客户批准或拒绝此类提升的请求,让客户控制需要访问客户数据的支持工作流。 有关客户密码箱的详细信息,请参阅:
- Microsoft Purview 信息保护:Microsoft Purview 信息保护的敏感度标签可让你对组织的数据进行分类和保护,同时确保用户的工作效率及其协作能力不受阻碍。 Microsoft建议客户为 Office Core Services 中的受控商品数据部署和配置适当的敏感度标签和相关数据保护策略。
- Microsoft Purview 双密钥加密 (DKE) :Windows) 上的 Office 应用 (Outlook、Word、Excel 和 PowerPoint 支持使用双密钥加密,并提供端到端加密配置选项。 Office 文档和电子邮件正文由 Office 客户端应用程序使用由客户控制的密钥管理服务和密钥进行加密。 在使用 DKE 加密内容的情况下,Microsoft 365 核心服务的整体功能(包括许多客户配置的安全功能)可能会减少,因为Microsoft云基础结构无法访问私钥,并且无法对加密数据执行云处理。 例如,这会限制某些功能,例如基于云的数据丢失防护 (DLP) 、Office Web 应用的使用和共同创作。 通过扩展,在云中使用 DKE 加密的客户数据永远不会以未加密的形式访问,Microsoft支持或工程人员。 必须使用 Microsoft Purview 信息保护 部署 DKE,以便对内容进行服务加密和使用敏感度标签。
- Azure 机密计算: Azure 上的机密计算 增强了计算云基础结构的各个方面的安全性,并遵循 行业对机密计算的定义。 虽然现有加密保护静态数据和传输中的数据,但 机密计算 在处理或计算内存期间使用时,使用 Azure 中新的基于硬件的受信任执行环境来保护或加密数据。 Azure 的机密计算产品/服务超越了作安全措施和内存保护,可提供具有硬件根信任的工作负载隔离。 机密计算威胁模型旨在删除或降低云提供商作员和租户域中其他参与者在执行代码和数据时访问代码和数据的能力。 当与静态和传输中的数据加密一起使用时,机密计算通过保护安全公有云平台中的敏感或高度管控的数据集和应用程序工作负载来消除单一最大的加密屏障(使用中的加密)。
- Azure 密钥保管库:Azure 密钥保管库托管 HSM (硬件安全模块) 是一种完全托管、高度可用、单租户、符合标准的云服务,可用于使用 FIPS 140-2 级别 3 验证 HSM 保护云应用程序的加密密钥。 它是 Azure 中的几个关键管理解决方案之一。
与 Office 连接服务相关的注意事项有哪些?
Microsoft Office 由客户端应用程序和 连接体验 组成,旨在使你能够更有效地创建、通信和协作。 连接体验的示例包括与其他人一起处理存储在 OneDrive 上的文档或将 Word 文档内容翻译成其他语言。 某些连接体验(称为可选连接体验),在使用 Office 应用时可以访问 Internet (或其他Microsoft Online Services) 以执行其功能。
某些 Office 连接体验会分析 Office 应用中的客户内容,以提供设计建议、编辑建议、数据见解和类似功能。 以这种方式分析内容是数据处理的另一种形式,可以在加拿大以外的 Azure 商业云地理位置进行。
客户应在评估受管制商品的过程中包括 Office 连接体验,并Microsoft在线服务,包括能够控制对分析应用了特定敏感度标签的文档内容 的体验的使用 。
使用云服务进行端到端加密的常见限制是什么?
端到端加密或 E2EE 通常意味着内容在发送到云之前进行加密,并且仅在从云接收内容时由目标接收者解密。 使用 E2EE 时,只有两个终结点系统参与数据加密和解密。 如果云服务基础结构没有对加密密钥进行解密的受控访问权限,则执行该数据处理的能力将受到限制。 例如,如果云服务提供商无法解密数据以执行所需的处理,基于云的恶意软件扫描、强制实施基于云的数据丢失防护 (DLP) 规则,以及多用户文档编辑将不起作用。
Microsoft双密钥加密提供了一个端到端加密配置选项,用于受最严格的数据保护要求约束的一部分Office 365数据。 评估此功能时,需要仔细审查部署要求。
注意
端到端加密术语可以具有其他解释,包括在定义的安全边界的上下文中。 客户负责评估和配置联机服务中可用的加密选项。
哪些资源可用于帮助实现强制实施组织安全策略的安全云配置?
Microsoft发布了有关如何构建、配置和作安全云租户配置的大量信息。 Azure Microsoft 云采用框架为 IaaS 和 PaaS 工作负载提供了一个有用的起点。 使用 Microsoft 365 的零信任部署计划提供有关使用 Microsoft 365 构建零信任安全性的指导。
如果受管制货物数据也受其他出口管制条例的约束,该怎么办?
客户负责确定Microsoft服务 (,包括在线服务、技术支持和专业服务) 是否适合根据任何特定法律或法规存储或处理信息,以及是否以符合法律和法规义务的方式使用Microsoft服务。 尽管涉及受非加拿大出口管制条例约束的受管制货物数据的方案不在本文范围内,但“资源”部分中的信息可能对客户有所帮助。