Meio do Centro Canadense de Segurança Cibernética (CCCS)
Visão geral do CCCS Medium
O nível de segurança do Governo do Canadá (GC) Protegido para informações e ativos confidenciais do governo se aplica a informações ou ativos que, se comprometidos, poderiam causar sérios danos a um indivíduo, organização ou governo. Com base no ITSG (Information Technology Security Guidance) 33 no gerenciamento de riscos de segurança de TI publicado pelo Centro Canadense de Segurança Cibernética (CCCS), o GC desenvolveu as Diretrizes sobre a Categorização de Segurança dos Serviços de Cloud-Based (ITSP.50.103) e o Perfil de Controle de Segurança do Governo do Canadá para Serviços de Segurança GC (Perfil de Controle de Segurança GC) baseado em nuvem, que identifica os controles de segurança de linha de base aplicáveis ao processamento de informações que têm uma categoria de segurança de B protegido, integridade média e disponibilidade média (PBMM). O perfil de controle de segurança PBMM original evoluiu para o que é agora as Recomendações de Perfil de Nuvem Média do CCCS.
O Perfil de Controle de Segurança do GC foi desenvolvido usando o ITSG-33 e o FedRAMP (Federal Risk and Authorization Management Program), ambos com uma base nos controles de segurança e privacidade do National Institute of Standards and Technology (NIST) 800-53. O GC alinha o Perfil de Controle de Segurança do GC com o FedRAMP para maximizar a interoperabilidade dos serviços de nuvem e a reutilização das evidências de autorização produzidas por CSPs (provedores de serviços de nuvem).
O Conselho do Tesouro do Canadá Secretariado (TBS) é responsável pela governança empresarial, estratégia e política do GC para serviços de nuvem, incluindo manter a supervisão e monitorar a conformidade departamental com os GC Cloud Guardrails, conforme exigido pela Diretiva sobre Serviço e Digital. A GC desenvolveu sua Estratégia de Adoção na Nuvem, agora defendendo um princípio inteligente em nuvem no qual a nuvem é a opção preferida para novos aplicativos e racionalizará os portfólios de aplicativos existentes para se alinhar ao modelo de hospedagem mais apropriado.
O CCCS (Centro Canadense de Segurança Cibernética) estabeleceu um Processo de Avaliação de Segurança do Provedor de Serviços de Nuvem que revisa a capacidade de um CSP implementar os controles de segurança médios do CCCS (Observação: o perfil de controle médio CCCS substituiu o perfil de controle de segurança original do Governo do Canadá para serviços GC baseados em nuvem). O relatório de avaliação de risco técnico resultante contém os resultados do processo de revisão. As diretrizes departammentais sobre avaliação e autorização de segurança na nuvem (ITSP.50.105) também estão disponíveis no CCCS.
Plataformas e serviços em nuvem no escopo da Microsoft
O Centro Canadense de Segurança Cibernética realiza avaliações em que os controles de segurança e os processos dos provedores de serviços de nuvem são avaliados em relação aos requisitos de segurança do Governo do Canadá para informações e serviços até Proteção B, integridade média e disponibilidade média (PBMM) de acordo com o perfil de controle de segurança médio do CCCS. Até o momento, o CCCS avaliou formalmente os seguintes serviços online da Microsoft:
- Azure
- Dynamics 365
- Power Platform
- Microsoft 365
Azure, Dynamics 365, Power Platform e CCCS Medium
A Microsoft foi um dos primeiros provedores globais de serviços de nuvem a ser qualificada para serviços de nuvem seguros do Governo do Canadá quando entrou em um acordo-quadro com o governo federal em 2019. O acordo-quadro apoia as ambições do Governo canadense de simplificar os processos governamentais e é um passo fundamental no caminho para um verdadeiro Governo digital. Os serviços avaliados do Azure CCCS Medium da Microsoft liberam novas oportunidades para inovação, transformação e agilidade de serviço do setor público à medida que os servidores públicos obtêm acesso a uma série de recursos sofisticados que dão suporte ao armazenamento e ao processamento de dados B protegidos. Além disso, as agências governamentais se beneficiam do próspero ecossistema de parceiros e desenvolvedores da Microsoft que criam soluções inovadoras e seguras no Azure.
A Microsoft estabeleceu duas regiões de nuvem canadenses do Azure: Canadá Central em Toronto e Leste do Canadá, na cidade de Québec, cada uma consistindo em vários sites de datacenter de nuvem de hiperescala. Essas regiões adicionam residência de dados canadense no país para armazenamento de Dados do Cliente em repouso, failover e recuperação de desastres para aplicativos e Dados do Cliente para muitos Serviços Core Online. Investimentos adicionais em infraestrutura de datacenter na Região Central do Canadá também habilitaram uma Zona de Disponibilidade do Azure na região Central do Canadá para ajudar os clientes a criar aplicativos ainda mais resilientes e altamente disponíveis para cargas de trabalho de missão crítica.
Para obter uma listagem completa dos serviços de nuvem avaliados no CCCS no Azure, Dynamics 365 e Power Platform, consulte os relatórios de avaliação de resumo na seção regional do Canadá do Portal de Confiança do Serviço.
Office 365 e CCCS Medium
ambientes Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Esta seção aborda os seguintes ambientes de Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a tabela a seguir para determinar a aplicabilidade de seus serviços e assinaturas de Office 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Advanced eDiscovery, Customer Lockbox, Defender Endpoint, Defender para Aplicativos na Nuvem, Defender para M365, Defender de Identidade, Exchange Online (EXO), Loki, Microsoft Proteção de Informações, Microsoft Intune, Microsoft Planner, Microsoft Stream, Microsoft Teams, Office Forms, Office for the Web (Word, Excel, OneNote, PowerPoint), Office PODS (PowerPoint Online Document Service), Office Project, Office Services Infrastructure, Office Sway, Serviço do OneNote, Chamada & do Sistema Telefônico, Serviço de Conteúdo de Pesquisa, Sharepoint Online, Syntex do SharePoint, Experiência do Usuário do Suite, ToDo, Viva Insights, Viva Learning, Viva Topics, Windows 365 |
Relatórios de avaliação
Os relatórios de avaliação do CCCS de resumo para serviços da Microsoft estão disponíveis para clientes na seção regional do Canadá do Portal de Confiança do Serviço. Os relatórios detalhados de avaliação de segurança dos serviços da Microsoft estão disponíveis para clientes do governo canadense entrando em contato com o CCCS em contact@cyber.gc.ca.
Perguntas frequentes
Quais serviços de nuvem da Microsoft estão disponíveis para o Governo do Canadá por meio do contrato de nuvem dos Serviços Compartilhados no Canadá?
Um dos primeiros provedores globais de nuvem a receber um Contrato do Cloud Framework pelo Governo do Canadá, a Microsoft oferece uma gama de serviços de nuvem comercial – incluindo Azure, Dynamics 365, Power Platform e Microsoft 365. O catálogo de corretores de nuvem dos Serviços Compartilhados do Canadá fornece detalhes sobre os serviços de nuvem da Microsoft que estão disponíveis atualmente para departamentos do GC: Catálogo de Cloud FA (canada.ca).
A qual nível de conformidade do FedRAMP dos EUA os serviços de nuvem da Microsoft estão em conformidade e como isso se aplica às regiões de nuvem canadenses?
O comercial do Microsoft Azure (incluindo Dynamics 365) mantém uma Autoridade Provisória De Alta Provisão para Operar (P-ATOs) do FedRAMP. O comercial do Microsoft 365 mantém uma alta equivalência fedRAMP. As regiões do Azure fora do Estados Unidos não são formalmente autorizadas pelo FedRAMP Joint Authorization Board (JAB) e não estão no escopo FedRAMP High P-ATO. No entanto, os controles de segurança do Azure e os processos operacionais são consistentes em todos os lugares em que o Azure é executado. O FedRAMP é baseado nas linhas de base de controle NIST SP 800-53. Todos os controles NIST SP 800-53 que dão suporte ao Azure FedRAMP High P-ATO no Estados Unidos também estão operacionais em outras regiões do Azure fora do Estados Unidos. Portanto, os clientes do Azure fora do Estados Unidos podem contar com os mesmos detalhes de implementação de controle que pertencem à linha de base de controle NIST SP 800-53 High. Consulte FedRAMP (Federal Risk and Authorization Management Program) para obter mais detalhes. As evidências de auditoria fedRAMP estão disponíveis no Portal de Confiança do Serviço.
Há restrições geográficas sobre onde os dados B protegidos devem ser armazenados?
O governo do Canadá desenvolveu uma política de residência de dados flexível (armazenamento de dados em repouso) para o armazenamento de dados B protegidos de acordo com a Seção 4.4.3.14 da Diretiva sobre Serviço e Digital. Isso é ainda mais esclarecido na Seção 4.4 da Diretriz sobre Serviço e Digital. A residência de dados canadense precisa ser identificada e avaliada como uma opção de entrega principal para armazenamento de dados B protegidos na nuvem, no entanto, o CIO departamental (ou, em alguns casos, o CIO do Canadá), tem a flexibilidade e é responsável por aprovar decisões para armazenar dados fora do Canadá com base nos seguintes critérios de negócios identificados na Seção 4.4.3 Considerações sobre a implementação do requisito:
- Reputação
- Considerações legais e contratuais
- Acordos comerciais
- Disponibilidade de mercado
- Valor comercial
- Recursos técnicos
Os controles e processos de segurança da Microsoft são implementados consistentemente em todas as regiões de nuvem globalmente. Embora os controles no perfil do CCCS Medium possam fazer referência à política de residência de dados do GC, a avaliação do local dos dados em repouso não leva em conta a classificação de risco de um relatório de avaliação de nuvem do CCCS.
Seção 4.4.2 (Por que isso é importante?) também esclarece que os dados criptografados em trânsito não são restritos pelo requisito de residência de dados.
Os recursos a seguir fornecem informações sobre residência de dados para muitos produtos e serviços comuns:
- Visão geral da residência de dados do Microsoft 365, em que os dados do cliente do Microsoft 365 são armazenados e a oferta do Microsoft 365 Advanced Data Residency
- Residência de dados no Azure
- Microsoft Entra ID (antigo Azure Active Directory) e residência de dados
- Microsoft Defender para Aplicativos de Nuvem - segurança de dados e privacidade
- Microsoft Defender para Ponto de Extremidade armazenamento e privacidade de dados
- Microsoft Defender para Identidade segurança e privacidade de dados
- Local de dados do Microsoft Dynamics 365
- Microsoft Intune armazenamento e processamento de dados
- Local de dados do Microsoft Power Platform
- Local de dados dos Serviços Profissionais da Microsoft
- Segurança e privacidade de dados do Microsoft 365 Defender
O que são serviços de nuvem não regionais ?
Os serviços não regionais do Azure são serviços que não têm dependência de uma região específica do Azure e atualmente não fornecem aos clientes a capacidade de especificar uma região de implantação. Esses serviços foram arquitetos e otimizados para estar sempre disponíveis como parte da nuvem global do Azure. Um exemplo de serviço não regional é o Azure Active Directory. Você pode encontrar uma lista completa em Produtos do Azure por Região.
Onde ocorre o processamento de dados na nuvem?
Muitos serviços do Azure permitem especificar a região em que os Dados do Cliente serão armazenados e processados. Para obter mais informações, consulte Data Residency no Azure. SaaS serviços online como o Microsoft 365 normalmente processam dados mais próximos de onde os dados são armazenados, no entanto, o processamento de Dados do Cliente pode ocorrer em regiões de nuvem fora do Canadá. A entrega de serviços de suporte também pode envolver o processamento de dados fora do Canadá.
Recursos
A Microsoft desenvolveu vários recursos para ajudar os clientes ao implantar serviços de nuvem adequados para executar cargas de trabalho B protegidas, incluindo:
- Zona de Destino do Azure para o Setor Público do Canadá: uma implementação de referência criada com propósito para orientar os departamentos governamentais em seus esforços para atender aos requisitos do CCCS Medium que são de responsabilidade do cliente.
- Canada Federal PBMM Azure Blueprint: um conjunto de recursos e padrões repetíveis do Azure que permitem que as organizações criem novos ambientes de nuvem com conformidade com controles específicos do CCCS Medium e do GC Cloud Guardrails.
- PIAs (Avaliações de Impacto de Privacidade Fundamental): as PIAs fundamentais destinam-se a informar melhor os líderes de privacidade, profissionais e gerentes de risco, que podem considerar usar essa análise como o núcleo para seu próprio trabalho pia durante a adoção das ofertas de serviços baseadas em nuvem da Microsoft.
- Modelo de avaliação do Microsoft Purview Compliance ManagerProtected B: o Compliance Manager é um recurso no portal de conformidade do Microsoft Purview para ajudá-lo a entender a postura de conformidade da sua organização e tomar ações para ajudar a reduzir os riscos. O Gerenciador de Conformidade fornece um mecanismo interno para avaliar e acompanhar continuamente a implementação de muitos dos controles de cliente do CCCS Medium no ambiente do Microsoft 365. Encontre o modelo B protegido na página modelos de avaliação no Gerenciador de Conformidade. Saiba como criar avaliações no Compliance Manager.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários