Google Cloud-Compliance für „Protected B“
Das Canadian Centre for Cyber Security (Cyber Centre) hat ein Framework zur Bewertung der Sicherheit von Cloud-Diensten entwickelt, das als „Government of Canada: Cloud Service Provider (CSP) Information Technology Security (ITS) Assessment Program“ bezeichnet wird. Das Hauptziel des ITS Assessment Program ist es, Behörden und Einrichtungen der kanadischen Regierung die Gewissheit zu geben, dass Cloud-Dienste die Sicherheitsanforderungen der kanadischen Regierung für öffentliche Cloud-Dienste für Informationen und Dienste bis zur Schutzstufe „Protected B“ erfüllen. Das ITS Assessment Program bewertet die Sicherheitslage, die Kontrollen und die betrieblichen Praktiken bestimmter Cloud-Dienste, die von CSPs angeboten werden. Es wird nicht das gesamte Unternehmen zertifiziert, sondern bestimmte Dienste werden anhand definierter GC-Sicherheitskontrollprofile bewertet.
Die ITS-Bewertung eines CSP besteht aus drei Komponenten, die von verschiedenen Gruppen innerhalb von GC durchgeführt werden: 1) Das Team für Lieferkettenintegrität (Supply Chain Integrity, SCI) des Cyber Centre bewertet Risiken im Zusammenhang mit Eigentümerschaft, Geolocation und Produkt/Dienstleistung eines Unternehmens. 2) Die Bewertung der physischen und personellen Sicherheit wird vom Contract Security Program (CSP) von Public Services and Procurement Canada (PSPC) durchgeführt. 3) Das Cyber Centre bewertet Cloud-Dienste anhand der GC Cloud Control Profiles: Protected B Medium (früher als PBMM bezeichnet) und Protected B High Value Asset Overlay (PBHVA).
Google Cloud hat alle drei Komponenten der ITS-Bewertung erfolgreich abgeschlossen, einschließlich der Prozesse zur Lieferkettenintegrität und IT-Cloud-Sicherheit des Cyber Center sowie der erforderlichen Bewertungen der physischen und personellen Sicherheit. Kunden der kanadischen Bundesregierung, die Cloud-Dienste gemäß dem Contract Security Program erwerben, müssen das Fähigkeitspaket Data Boundary for Canada Protected B verwenden.
Einführung
Die Regierung von Kanada (GoC) klassifiziert Daten anhand verschiedener Sicherheitskategorisierungsebenen, z. B. Protected A, Protected B, Confidential, Secret und Top Secret, je nach der Vertraulichkeit der Informationen und dem potenziellen Schaden, der entstehen würde, wenn die Vertraulichkeit, Integrität und/oder Verfügbarkeit der Informationen beeinträchtigt würde. Cloud-Dienste können zwar von Behörden und Einrichtungen der kanadischen Regierung genutzt werden, diese müssen jedoch Informationen zuerst identifizieren und kategorisieren, um die anzuwendenden Sicherheitskontrollen zu verstehen.
Was ist „Protected B“?
„Geschützte“ Informationen können in die Kategorien „Geschützt A“, „Geschützt B“ oder „Geschützt C“ eingeteilt werden. Die Einteilung gilt für personenbezogene Daten, geschäftliche Vertraulichkeiten oder andere Informationen oder Vermögenswerte, die bei einem Verstoß zu einer Verletzung eines nicht-nationalen Interesses führen könnten. Genauer gesagt können sensible personenbezogene Daten wie Krankenakten, Leistungsbewertungsberichte, detaillierte Finanzinformationen usw. als „Protected B“ eingestuft werden. Die unbefugte Offenlegung dieser Art von Informationen könnte einer Person oder Organisation ernsthaften Schaden zufügen, z. B. in Form von Leid, finanziellen Verlusten oder Reputationsschäden.
Die britische Regierung hat Richtlinien veröffentlicht, in denen die Anforderungen an die physische, personelle und IT-Sicherheit sowie die Kontrollen beschrieben werden, die Abteilungen, Behörden und Organisationen des privaten Sektors zum Schutz vertraulicher Behördeninformationen berücksichtigen sollten. Dazu gehören die Richtlinien für die Sicherheit der Regierung, die Richtlinie, die Verordnung, die Richtlinie für Dienstleistungen und digitale Dienste, das Sicherheitshandbuch für Verträge und die Richtlinie für den sicheren Einsatz kommerzieller Cloud-Dienste: Sicherheitsrichtlinien-Umsetzungsmitteilung (SPIN).
Welche Anforderungen an Sicherheitskontrollen in der Cloud gelten für Protected B?
Für die Cloud sind die Anforderungen an Sicherheitskontrollen in Anhang 3 des Leitfadens für die Sicherheit von Informationstechnologie (ITSG-33) – IT Security Risk Management: A Lifecycle Approach beschrieben. Das Medium Cloud Security Control Profile des Cyber Center dient als Grundlage für die IT-Sicherheitsanforderungen. Außerdem hat GC ein Cloud-Sicherheitskontrollprofil für geschützte B-Arbeitslasten mit hohem Wert (PBHVA) entwickelt. Es definiert zusätzliche Integritäts- und Verfügbarkeitskontrollen, die als Erweiterung zur Unterstützung von Arbeitslasten mit geschütztem B-Level angewendet werden können, welche als Systeme mit hohem Wert identifiziert wurden.
Public Services and Procurement Canada (PSPC) Contract Security Program (CSP)
Der PSPC CSP prüft die personelle und physische Sicherheit für Cloud-Serviceverträge. Dazu gehört die Registrierung von Google Cloud bei PSPC und die erforderliche Sicherheitsfreigabe für das Unternehmen. Außerdem benötigen Mitarbeiter, die geschäftlich auf geschützte Informationen oder Betriebsbereiche zugreifen müssen, entsprechende Sicherheitsfreigaben. PSPC führt außerdem physische Sicherheitsinspektionen in den kanadischen Rechenzentren von Google Cloud durch, um zu bestätigen, dass sichere Betriebszonen, angemessene Datensicherungsmaßnahmen, kontrollierter Zugriff und vertragliche Sicherheitsanforderungen erfüllt werden.
Canadian Centre for Cyber Security (CCCS) Supply Chain Integrity (SCI)
Das Cyber Center SCI-Team bewertet unternehmensbezogene Risikofaktoren wie Eigentümer, Standort und Geschäftspraktiken sowie technische Risiken des Produkts oder der Dienstleistung selbst. Das SCI-Team nutzt verschiedene Quellen, um eine Risikobewertung zu erstellen, die zur endgültigen Bewertung der Cloud-Sicherheit beiträgt. Weitere Informationen zum SCI-Prozess finden Sie in ITSAP.10.070, Cyber supply chain: An approach to assessing risk.
Canadian Centre for Cyber Security (CCCS) CSP IT Security Assessment Process
Der Prozess zur Bewertung der IT-Sicherheit von Cloud-Dienstanbietern (ITSM.50.100) umfasst eine detaillierte Bewertung der Cloud-Lösung anhand von Sicherheitskontrollen wie dem Medium Cloud Profile und/oder dem Protected B High Value Asset Overlay Profile. Google Cloud ist dafür verantwortlich, Nachweise zu erbringen, die die Einhaltung der einzelnen Sicherheitskontrollen im relevanten Kontrollprofil belegen. Anschließend erstellt das CCCS einen Bericht zur Sicherheitsbewertung, in dem die Ergebnisse zusammengefasst werden.
Google Cloud wurde mit Blick auf die Einhaltung der organisatorischen, physischen und personellen Sicherheitsanforderungen des PSPC-CSP bewertet. Google Cloud hat außerdem die IT-Sicherheitsbewertung für Cloud-Dienstanbieter (CSP, Cloud Service Provider) und die Prozesse zur Lieferkettenintegrität (SCI, Supply Chain Integrity) des Canadian Centre for Cyber Security (CCCS) abgeschlossen und wurde für die Unterstützung von Arbeitslasten mit den Schutzstufen „Protected B Medium“ und „Protected B High Value Asset“ zugelassen. Sie können den CCCS-Zusammenfassungsbericht jederzeit ohne zusätzliche Kosten über die Übersicht über Complianceberichte abrufen.
Die Investitionen von Google Cloud in die standardmäßige Sicherheit unserer Infrastruktur sorgen dafür, dass Sicherheitskontrollen eingebunden und vorkonfiguriert sind, sodass Kunden auch ohne herkömmliche isolierte staatliche Cloud-Infrastruktur verschiedene Compliance-Stufen erreichen können.
Assured Workloads ist ein Compliance-Angebot von Google Cloud, das Kunden bei der Einhaltung verschiedener regulatorischer Frameworks unterstützt, darunter CJIS, FedRAMP (Moderate und High), Department of Defense IL2 / IL4 / IL5, Protected B und viele andere.
Kunden der kanadischen Bundesregierung, die Google Cloud-Dienste zur Verarbeitung von geschützten Arbeitslasten in Übereinstimmung mit den Anforderungen des Contract Security Program nutzen möchten, müssen das Funktionspaket Datengrenze für Canada Protected B verwenden. Die Bewertung als Protected B-autorisierter Dienst, der über Assured Workloads für Kanada Protected B zur Verfügung gestellt wird, vereinfacht die Sicherheit und Compliance für GC-Abteilungen und -Behörden durch die Implementierung von Kontrollen. Dazu gehören: Schutzmaßnahmen, um den Standort der Protected B-Kundendaten auf Kanada zu beschränken, und technischer Support, der nur von Personal mit einer Sicherheitsüberprüfung auf Ebene des Zuverlässigkeitsstatus (oder höher) bereitgestellt wird. Eine Liste der Produkte und Dienste, die von Assured Workloads für Canada Protected B unterstützt werden, finden Sie hier.
Die folgenden Google Cloud-Dienste wurden vom Canadian Centre for Cyber Security einer IT-Sicherheitsbewertung für Protected B unterzogen:
Protected B Medium
Admin-Konsole (einschließlich Admin SDK, Directory Sync)
AI Platform Neural Architecture Search
AI Platform Training und Prediction
Anthos Config Management (ACM)
BeyondCorp Enterprise (Hinweis: von Cloud Console getrennt)
BigQuery Data Transfer Service
Care Studio (früher Cloud Healthcare Search)
Chronicle (Sicherheitsprodukt)
Cloud Console (ohne BeyondCorp Enterprise)
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences (früher Google Genomics)
Cloud NAT (Network Address Translation)
Cloud Run (vollständig verwaltet)
GCP Marketplace (früher Cloud Launcher)
Identität und Zugriff verwalten
Key Access Justifications (Access Sovereignty)
Looker Studio (einschließlich Pro, früher Google Data Studio)
Notebooks (früher Vertex AI Workbench/AI Platform Notebooks)
Security Command Center (einschließlich Web Security Scanner) (früher Cloud Security Scanner)
Vertex AI Search (einschließlich Agentspace)
Vertex Online- und Batch-Vorhersage
Workforce Identity Federation (BYOID)
Geschütztes High-Value-Asset (HVA)
Admin-Konsole (einschließlich Admin SDK, Directory Sync)
AI Platform Neural Architecture Search
AI Platform Training und Prediction
Anthos Config Management (ACM)
BeyondCorp Enterprise (Hinweis: von Cloud Console getrennt)
BigQuery Data Transfer Service
Care Studio (ehemals Cloud Healthcare Search)
Chronicle (Sicherheitsprodukt)
Cloud Console (ohne BeyondCorp Enterprise)
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences (früher Google Genomics)
Cloud NAT (Network Address Translation)
Cloud Run (vollständig verwaltet)
GCP Marketplace (früher Cloud Launcher)
Identität und Zugriff verwalten
Key Access Justifications (Access Sovereignty)
Looker Studio (einschließlich Pro, früher Google Data Studio)
Notebooks (früher Vertex AI Workbench/AI Platform Notebooks)
Security Command Center (einschließlich Web Security Scanner) (früher Cloud Security Scanner)
Protected B Medium
Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.