加拿大网络安全中心 (CCCS) 中等
CCCS 中型概述
加拿大政府 (GC) 受保护的 B 级敏感政府信息和资产的安全级别 适用于如果泄露可能会对个人、组织或政府造成严重伤害的信息或资产。 根据 加拿大网络安全中心 (CCCS) 发布的信息技术安全指南 (ITSG) 33 日发布的 IT 安全风险管理指南,GC 制定了 Cloud-Based 服务安全分类指南 (ITSP.50.103) 和 加拿大政府基于云的 GC 服务安全控制配置文件 (GC 安全控制配置文件) ,它标识适用于处理安全类别为“受保护的 B”、“中等完整性”和“中等可用性”的信息的基线安全控制措施, (PBMM) 。 原始 PBMM 安全控制配置文件已演变为现在的 CCCS 中型云配置文件建议。
GC 安全控制配置文件是使用 ITSG-33 和美国联邦风险和授权管理计划 (FedRAMP) 开发的,这两者在美国国家标准与技术研究所 (NIST) 特别出版物 (SP) 800-53 安全和隐私控制措施中都有基础。 GC 已将 GC 安全控制配置文件与 FedRAMP 保持一致,以最大程度地提高云服务的互操作性,以及云服务提供商 (CSP) 生成的授权证据的可重用性。
加拿大财政部秘书处 (TBS) 负责云服务的 GC 企业治理、策略和策略,包括按照服务和数字指令的要求,对 GC 云防护措施保持监督和监视部门合规性。 GC 已发展其云采用策略,现在倡导 云智能原则 ,其中云是新应用程序的首选,并将合理化现有应用程序组合,以符合最合适的托管模型。
加拿大网络安全中心 (CCCS) 建立了 云服务提供商安全评估流程 ,审查云解决方案提供商实施 CCCS 中等安全控制的能力 (注意:CCCS 中型控制配置文件取代了 加拿大政府最初针对基于云的 GC 服务的安全控制配置文件) 。 生成的技术风险评估报告包含评审过程的结果。 CCCS 还提供了 有关云安全评估和授权 (ITSP.50.105) 的部门指南。
Microsoft 范围内的云平台和云服务
加拿大网络安全中心进行评估,根据 CCCS 中等安全控制配置文件,根据加拿大政府对受保护 B、中等完整性、中等可用性 (PBMM) 的信息和服务的安全要求,对云服务提供商 的安全控制和流程进行评估。 到目前为止,CCCS已正式评估了以下Microsoft 联机服务:
- Azure
- Dynamics 365
- Power Platform
- Microsoft 365
Azure、Dynamics 365、Power Platform 和 CCCS 媒体
Microsoft是加拿大政府于2019年与联邦政府签订框架协议后,首批获得加拿大政府安全云服务资格的全球云服务提供商之一。 框架协议支持加拿大政府简化政府进程的雄心壮志,是朝着真正数字政府迈进的关键一步。 Microsoft的 Azure CCCS Medium 评估服务为公共部门创新、转型和服务敏捷性带来了新的机遇,因为公务员可以访问一系列支持受保护 B 数据的存储和处理的复杂功能。 此外,政府机构还受益于Microsoft在 Azure 上构建创新和安全解决方案的合作伙伴和开发人员蓬勃发展的生态系统。
Microsoft建立了两个加拿大 Azure 云区域:位于多伦多的加拿大中部和位于魁北克市的加拿大东部,每个区域由多个超大规模云数据中心站点组成。 这些区域增加了加拿大国内 数据驻留,用于存储应用程序的静态客户数据、故障转移和灾难恢复,以及许多 Core Online Services 的客户数据。 加拿大中部区域的其他数据中心基础结构投资还启用了加拿大中部区域内的 Azure 可用性区域 ,帮助客户为任务关键型工作负载创建更具弹性和高度可用的应用程序。
有关 Azure、Dynamics 365 和 Power Platform 范围内 CCCS 评估云服务的完整列表,请参阅服务信任门户加拿大区域部分中的摘要评估报告。
Office 365和 CCCS 中等
Office 365环境
Microsoft Office 365 是一个多租户超大规模云平台,同时面向全球多个区域的客户提供应用和服务的集成体验。 大多数 Office 365 服务使客户能够指定其客户数据所在的区域。 Microsoft 可能会将客户数据复制到同一地理区域(例如,美国)中的其他区域,以实现数据复原,但 Microsoft 不会在所选地理区域之外复制客户数据。
本部分介绍以下Office 365环境:
- 客户端软件(客户端):客户设备上运行的商业客户端软件。
- Office 365(商业):全球范围内提供的商业公共 Office 365 云服务。
- Office 365 政府社区云 (GCC):Office 365 GCC 云服务适用于美国联邦、州、地方、部落政府,以及代表美国政府持有或处理数据的承包商。
- Office 365 政府社区云 - 高 (GCC High):Office 365 GCC High 云服务根据美国国防部 (DoD) 安全要求准则级别 4 控件进行设计,并支持严格监管的联邦和防御信息。 联邦机构、国防工业基地 (DIB) 和政府承包商使用此环境。
- Office 365 DoD (DoD):Office 365 DoD 云服务根据 DoD 安全要求准则级别 5 控件进行设计,并支持严格的联邦和防御法规。 此环境供美国国防部专用。
使用本部分可帮助你跨受监管行业和全球市场履行合规性义务。 若要了解哪些服务在哪些区域可用,请参阅国际可用性信息和 Microsoft 365 客户数据的存储位置文章。 有关 Office 365 政府版云环境的详细信息,请参阅 Office 365 政府云文章。
你的组织完全负责确保遵守所有适用的法律和法规。 本节中提供的信息不构成法律建议,你应咨询法律顾问,以了解有关组织法规合规性的任何问题。
Office 365 适用性和范围内的服务
使用下表确定Office 365服务和订阅的适用性:
适用性 | 范围内服务 |
---|---|
商业 | Advanced eDiscovery、客户密码箱、Defender Endpoint、Defender for Cloud Apps、Defender for M365、Defender of Identity、Exchange Online (EXO) 、Loki、Microsoft 信息保护、Microsoft IntuneMicrosoft Planner、Microsoft Stream、Microsoft Teams、Office Forms、Office for the Web (Word、Excel、OneNote、PowerPoint) 、Office PODS (PowerPoint Online 文档服务) 、Office Project、Office Services 基础结构、Office Sway、OneNote 服务、电话系统 & 呼叫、搜索内容服务、Sharepoint Online、SharePoint Syntex、套件用户体验、ToDo、Viva Insights、Viva Learning、Viva Topics、Windows 365 |
评估报告
客户可在服务 信任门户的加拿大区域部分中查看Microsoft服务的 CCCS 评估报告摘要。 加拿大政府客户可通过联系 CCCS contact@cyber.gc.ca获取Microsoft服务的详细安全评估报告。
常见问题解答
加拿大政府可以通过加拿大共享服务云合同获得哪些Microsoft云服务?
Microsoft是首批获得加拿大政府颁发的云框架协议的全球云提供商之一,提供一系列商业云服务,包括 Azure、Dynamics 365、Power Platform 和 Microsoft 365。 共享服务加拿大云代理目录提供有关 GC 部门当前可用的Microsoft云服务的详细信息。
Microsoft云服务符合什么级别的 US FedRAMP 合规性,这如何适用于加拿大云区域?
Microsoft Azure 商业 ((包括Dynamics 365) 维护 FedRAMP 高级临时授权,以 (P-ATO) 运营。 Microsoft 365 商业版保持 FedRAMP 高等效性。 美国之外的 Azure 区域未获得 FedRAMP 联合授权委员会 (JAB) 的正式授权,并且不在 FedRAMP High P-ATO 范围内。 但是,Azure 安全控制和操作流程在 Azure 运行的任何位置都是一致的。 FedRAMP 基于 NIST SP 800-53 控制基线。 支持美国中 Azure FedRAMP High P-ATO 的所有 NIST SP 800-53 控件也在美国以外的其他 Azure 区域中运行。 因此,美国之外的 Azure 客户可以指望与 NIST SP 800-53 High 控制基线相关的相同控制实现详细信息。 有关更多详细信息 ,请参阅联邦风险和授权管理计划 (FedRAMP) 。 服务信任门户中提供了 FedRAMP 审核证据。
受保护 B 数据的存储位置是否有地理限制?
根据《服务和数字指令》第 4.4.3.14 条,加拿大政府制定了灵活的数据驻留 (静态数据存储) 存储受保护 B 数据的政策。 《服务和数字指南》第 4.4 节进一步明确了这一点。 加拿大数据驻留需要标识和评估为在云中存储受保护 B 数据的主要交付选项,但部门 CIO (或在某些情况下,加拿大) 的 CIO 具有灵活性,并负责根据 第 4.4.3 节确定的以下业务标准,批准在加拿大境外存储数据的决定:在实施要求时,注意事项如下:
- 信誉
- 法律和合同注意事项
- 贸易协议
- 市场可用性
- 业务价值
- 技术功能
Microsoft安全控制和流程在全球所有云区域中一致地实现。 虽然 CCCS 中型配置文件中的控制可能引用 GC 数据驻留策略,但静态数据位置的评估不会考虑 CCCS 云评估报告的风险评级。
第 4.4.2 节 (为什么这很重要?) 还阐明了传输中的加密数据不受数据驻留要求的限制。
以下资源提供有关许多常见产品和服务的数据驻留的信息:
- Microsoft 365 数据驻留概述、Microsoft 365 客户数据的存储位置以及Microsoft 365 高级Data Residency产品/服务
- Azure 中的数据驻留
- Microsoft Entra ID (Azure Active Directory) 和数据驻留
- Microsoft Defender for Cloud Apps - 数据安全和隐私
- Microsoft Defender for Endpoint数据存储和隐私
- Microsoft Defender for Identity数据安全和隐私
- Microsoft Dynamics 365数据位置
- Microsoft Intune数据存储和处理
- Microsoft Power Platform 数据位置
- Microsoft专业服务数据位置
- Microsoft 365 Defender 数据安全和隐私
什么是 非区域 云服务?
Azure 非区域服务是不依赖于特定 Azure 区域的服务,目前不为客户提供指定部署区域的功能。 这些服务经过架构和优化,始终作为 Azure 全球云的一部分提供。 Azure Active Directory 是非区域服务的一个示例。 可以在按区域分列的 Azure 产品中找到完整列表。
云中的数据处理在何处进行?
许多 Azure 服务使你能够指定要存储和处理客户数据的区域。 有关详细信息,请参阅 Azure 中的Data Residency。 SaaS 联机服务(如 Microsoft 365)通常处理最接近数据存储位置的数据,但客户数据的处理可能在加拿大以外的云区域中进行。 支持服务的交付还可能涉及在加拿大境外处理数据。
资源
Microsoft开发了多个资源来帮助客户部署适合运行受保护的 B 工作负载的云服务,包括:
- 加拿大公共部门的 Azure 登陆区域:一个专门构建的参考实现,用于指导政府部门努力遵守客户负责的 CCCS 中型要求。
- 加拿大联邦 PBMM Azure 蓝图:一组可重复的 Azure 资源和模式,允许组织构建符合特定 CCCS 中型控制和 GC 云防护的新云环境。
- 基础隐私影响评估 (PIA) :基础 PIA 旨在更好地通知隐私领导者、从业者和风险管理者,他们可能会考虑在采用Microsoft基于云的服务产品期间将此分析用作自己的 PIA 工作的核心。
- Microsoft Purview 合规性管理器受保护的 B 评估模板:合规性管理器是Microsoft Purview 合规门户中的一项功能,可帮助你了解组织的合规性状况并采取措施来帮助降低风险。 合规性管理器提供了一种内置机制,用于持续评估和跟踪 Microsoft 365 环境中许多 CCCS Medium 客户控制措施的实现情况。 在合规性管理器的 评估模板 页中找到受保护的 B 模板。 了解如何在合规性管理器中建立评估。