Protected B (Kanada)

Google Cloud-Compliance für „Protected B“

Das Canadian Centre for Cyber Security (Cyber Centre) hat ein Framework zur Bewertung der Sicherheit von Cloud-Diensten entwickelt, das als „Government of Canada: Cloud Service Provider (CSP) Information Technology Security (ITS) Assessment Program“ bezeichnet wird. Das Hauptziel des ITS Assessment Program ist es, Behörden und Einrichtungen der kanadischen Regierung die Gewissheit zu geben, dass Cloud-Dienste die Sicherheitsanforderungen der kanadischen Regierung für öffentliche Cloud-Dienste für Informationen und Dienste bis zur Schutzstufe „Protected B“ erfüllen. Das ITS Assessment Program bewertet die Sicherheitslage, die Kontrollen und die betrieblichen Praktiken bestimmter Cloud-Dienste, die von CSPs angeboten werden. Es wird nicht das gesamte Unternehmen zertifiziert, sondern bestimmte Dienste werden anhand definierter GC-Sicherheitskontrollprofile bewertet.

Die ITS-Bewertung eines CSP besteht aus drei Komponenten, die von verschiedenen Gruppen innerhalb von GC durchgeführt werden: 1) Das Team für Lieferkettenintegrität (Supply Chain Integrity, SCI) des Cyber Centre bewertet Risiken im Zusammenhang mit Eigentümerschaft, Geolocation und Produkt/Dienstleistung eines Unternehmens. 2) Die Bewertung der physischen und personellen Sicherheit wird vom Contract Security Program (CSP) von Public Services and Procurement Canada (PSPC) durchgeführt. 3) Das Cyber Centre bewertet Cloud-Dienste anhand der GC Cloud Control Profiles: Protected B Medium (früher als PBMM bezeichnet) und Protected B High Value Asset Overlay (PBHVA).

Google Cloud hat alle drei Komponenten der ITS-Bewertung erfolgreich abgeschlossen, einschließlich der Prozesse zur Lieferkettenintegrität und IT-Cloud-Sicherheit des Cyber Center sowie der erforderlichen Bewertungen der physischen und personellen Sicherheit. Kunden der kanadischen Bundesregierung, die Cloud-Dienste gemäß dem Contract Security Program erwerben, müssen das Fähigkeitspaket Data Boundary for Canada Protected B verwenden.

Einführung

Die Regierung von Kanada (GoC) klassifiziert Daten anhand verschiedener Sicherheitskategorisierungsebenen, z. B. Protected A, Protected B, Confidential, Secret und Top Secret, je nach der Vertraulichkeit der Informationen und dem potenziellen Schaden, der entstehen würde, wenn die Vertraulichkeit, Integrität und/oder Verfügbarkeit der Informationen beeinträchtigt würde. Cloud-Dienste können zwar von Behörden und Einrichtungen der kanadischen Regierung genutzt werden, diese müssen jedoch Informationen zuerst identifizieren und kategorisieren, um die anzuwendenden Sicherheitskontrollen zu verstehen.

Was ist „Protected B“?

„Geschützte“ Informationen können in die Kategorien „Geschützt A“, „Geschützt B“ oder „Geschützt C“ eingeteilt werden. Die Einteilung gilt für personenbezogene Daten, geschäftliche Vertraulichkeiten oder andere Informationen oder Vermögenswerte, die bei einem Verstoß zu einer Verletzung eines nicht-nationalen Interesses führen könnten. Genauer gesagt können sensible personenbezogene Daten wie Krankenakten, Leistungsbewertungsberichte, detaillierte Finanzinformationen usw. als „Protected B“ eingestuft werden. Die unbefugte Offenlegung dieser Art von Informationen könnte einer Person oder Organisation ernsthaften Schaden zufügen, z. B. in Form von Leid, finanziellen Verlusten oder Reputationsschäden.

Die britische Regierung hat Richtlinien veröffentlicht, in denen die Anforderungen an die physische, personelle und IT-Sicherheit sowie die Kontrollen beschrieben werden, die Abteilungen, Behörden und Organisationen des privaten Sektors zum Schutz vertraulicher Behördeninformationen berücksichtigen sollten. Dazu gehören die Richtlinien für die Sicherheit der Regierung, die Richtlinie, die Verordnung, die Richtlinie für Dienstleistungen und digitale Dienste, das Sicherheitshandbuch für Verträge und die Richtlinie für den sicheren Einsatz kommerzieller Cloud-Dienste: Sicherheitsrichtlinien-Umsetzungsmitteilung (SPIN).

Welche Anforderungen an Sicherheitskontrollen in der Cloud gelten für Protected B?

Für die Cloud sind die Anforderungen an Sicherheitskontrollen in Anhang 3 des Leitfadens für die Sicherheit von Informationstechnologie (ITSG-33) – IT Security Risk Management: A Lifecycle Approach beschrieben. Das Medium Cloud Security Control Profile des Cyber Center dient als Grundlage für die IT-Sicherheitsanforderungen. Außerdem hat GC ein Cloud-Sicherheitskontrollprofil für geschützte B-Arbeitslasten mit hohem Wert (PBHVA) entwickelt. Es definiert zusätzliche Integritäts- und Verfügbarkeitskontrollen, die als Erweiterung zur Unterstützung von Arbeitslasten mit geschütztem B-Level angewendet werden können, welche als Systeme mit hohem Wert identifiziert wurden.

Public Services and Procurement Canada (PSPC) Contract Security Program (CSP)

Der PSPC CSP prüft die personelle und physische Sicherheit für Cloud-Serviceverträge. Dazu gehört die Registrierung von Google Cloud bei PSPC und die erforderliche Sicherheitsfreigabe für das Unternehmen. Außerdem benötigen Mitarbeiter, die geschäftlich auf geschützte Informationen oder Betriebsbereiche zugreifen müssen, entsprechende Sicherheitsfreigaben. PSPC führt außerdem physische Sicherheitsinspektionen in den kanadischen Rechenzentren von Google Cloud durch, um zu bestätigen, dass sichere Betriebszonen, angemessene Datensicherungsmaßnahmen, kontrollierter Zugriff und vertragliche Sicherheitsanforderungen erfüllt werden.

Canadian Centre for Cyber Security (CCCS) Supply Chain Integrity (SCI)

Das Cyber Center SCI-Team bewertet unternehmensbezogene Risikofaktoren wie Eigentümer, Standort und Geschäftspraktiken sowie technische Risiken des Produkts oder der Dienstleistung selbst. Das SCI-Team nutzt verschiedene Quellen, um eine Risikobewertung zu erstellen, die zur endgültigen Bewertung der Cloud-Sicherheit beiträgt. Weitere Informationen zum SCI-Prozess finden Sie in ITSAP.10.070, Cyber supply chain: An approach to assessing risk.

Canadian Centre for Cyber Security (CCCS) CSP IT Security Assessment Process

Der Prozess zur Bewertung der IT-Sicherheit von Cloud-Dienstanbietern (ITSM.50.100) umfasst eine detaillierte Bewertung der Cloud-Lösung anhand von Sicherheitskontrollen wie dem Medium Cloud Profile und/oder dem Protected B High Value Asset Overlay Profile. Google Cloud ist dafür verantwortlich, Nachweise zu erbringen, die die Einhaltung der einzelnen Sicherheitskontrollen im relevanten Kontrollprofil belegen. Anschließend erstellt das CCCS einen Bericht zur Sicherheitsbewertung, in dem die Ergebnisse zusammengefasst werden.

Google Cloud-Compliance für „Protected B“

Google Cloud wurde mit Blick auf die Einhaltung der organisatorischen, physischen und personellen Sicherheitsanforderungen des PSPC-CSP bewertet. Google Cloud hat außerdem die IT-Sicherheitsbewertung für Cloud-Dienstanbieter (CSP, Cloud Service Provider) und die Prozesse zur Lieferkettenintegrität (SCI, Supply Chain Integrity) des Canadian Centre for Cyber Security (CCCS) abgeschlossen und wurde für die Unterstützung von Arbeitslasten mit den Schutzstufen „Protected B Medium“ und „Protected B High Value Asset“ zugelassen. Sie können den CCCS-Zusammenfassungsbericht jederzeit ohne zusätzliche Kosten über die Übersicht über Complianceberichte abrufen.

Hosting von Arbeitslasten mit Schutzstufe B in Google Cloud

Die Investitionen von Google Cloud in die standardmäßige Sicherheit unserer Infrastruktur sorgen dafür, dass Sicherheitskontrollen eingebunden und vorkonfiguriert sind, sodass Kunden auch ohne herkömmliche isolierte staatliche Cloud-Infrastruktur verschiedene Compliance-Stufen erreichen können.

Assured Workloads ist ein Compliance-Angebot von Google Cloud, das Kunden bei der Einhaltung verschiedener regulatorischer Frameworks unterstützt, darunter CJIS, FedRAMP (Moderate und High), Department of Defense IL2 / IL4 / IL5, Protected B und viele andere.

Kunden der kanadischen Bundesregierung, die Google Cloud-Dienste zur Verarbeitung von geschützten Arbeitslasten in Übereinstimmung mit den Anforderungen des Contract Security Program nutzen möchten, müssen das Funktionspaket Datengrenze für Canada Protected B verwenden. Die Bewertung als Protected B-autorisierter Dienst, der über Assured Workloads für Kanada Protected B zur Verfügung gestellt wird, vereinfacht die Sicherheit und Compliance für GC-Abteilungen und -Behörden durch die Implementierung von Kontrollen. Dazu gehören: Schutzmaßnahmen, um den Standort der Protected B-Kundendaten auf Kanada zu beschränken, und technischer Support, der nur von Personal mit einer Sicherheitsüberprüfung auf Ebene des Zuverlässigkeitsstatus (oder höher) bereitgestellt wird. Eine Liste der Produkte und Dienste, die von Assured Workloads für Canada Protected B unterstützt werden, finden Sie hier.

Betroffene Dienste

Die folgenden Google Cloud-Dienste wurden vom Canadian Centre for Cyber Security einer IT-Sicherheitsbewertung für Protected B unterzogen:

Protected B Medium

Zugriffsgenehmigung

Access Context Manager

Access Transparency

Admin-Konsole (einschließlich Admin SDK, Directory Sync)

AI Platform Data Labeling

AI Platform Neural Architecture Search

AI Platform Training und Prediction

Anthos Config Management (ACM)

Anthos Identity Service (AIS)

Anthos Service Mesh

Apigee

App Engine

Artifact Registry

Assured Workloads

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video

AutoML Vision

BeyondCorp Enterprise (Hinweis: von Cloud Console getrennt)

BigQuery

BigQuery Data Transfer Service

Binärautorisierung

Care Studio (früher Cloud Healthcare Search)

Certificate Authority Service

Chronicle (Sicherheitsprodukt)

Chronicle SOAR

Cloud Asset Inventory

Cloud Bigtable

Cloud Billing

Cloud Build

Cloud CDN

Cloud Composer

Cloud Console (ohne BeyondCorp Enterprise)

Cloud Console App

Cloud Data Fusion

Cloud Data Loss Prevention

Cloud Deployment Manager

Cloud DNS

Cloud Endpoints

Cloud External Key Manager (Cloud EKM)

Cloud Filestore

Cloud Functions

Cloud Functions for Firebase

Cloud Healthcare

Cloud Healthcare API

Cloud HSM

Cloud Identity

Cloud Identity-Aware Proxy

Cloud IDS

Cloud Interconnect

Cloud Key Management Service

Cloud Life Sciences (früher Google Genomics)

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (Network Address Translation)

Cloud Natural Language API

Cloud Profiler

Cloud Router

Cloud Run (vollständig verwaltet)

Cloud Run for Anthos

Cloud Scheduler

Cloud SDK

Cloud Shell

Cloud Source Repositories

Cloud Spanner

Cloud SQL

Cloud Storage

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace

Cloud Translation

Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Contact Center AI

Container Registry

Data Catalog

Database Migration Service

Dataflow

Dataproc

Datastore

DataStream

Dialogflow

Document AI

Earth Engine

Eventarc

Firebase Authentication

Firestore

GCP Marketplace (früher Cloud Launcher)

Generative AI für Vertex AI

GKE Hub

Google Cloud Armor

Google Kubernetes Engine

Identität und Zugriff verwalten

Identity Platform

Insights

Key Access Justifications (Access Sovereignty)

Looker Studio (einschließlich Pro, früher Google Data Studio)

Memorystore

Network Connectivity Center

Network Intelligence Center

Netzwerkdienststufen

Notebooks (früher Vertex AI Workbench/AI Platform Notebooks)

Persistent Disk

Pub/Sub

reCAPTCHA Enterprise

Resource Manager API

Secret Manager

Security Command Center (einschließlich Web Security Scanner) (früher Cloud Security Scanner)

Service Directory

Service Infrastructure (früher Service Control; enthält die Service Management API und die Service Consumer Management API)

Speech-to-Text

Storage Transfer Service

Rekrutierungs-Lösungen

Text-to-Speech

Traffic Director

Vertex AI Forecast

Vertex AI Model Registry

Vertex AI Search (einschließlich Agentspace)

Vertex ML Metadata

Vertex Model Monitoring

Vertex Online- und Batch-Vorhersage

Vertex Pipelines

Vertex Training

Video Intelligence API

Virtual Private Cloud (VPC)

VM Manager

VPC Service Controls

Web Risk API

Workflows

Workforce Identity Federation (BYOID)


Geschütztes High-Value-Asset (HVA)

Zugriffsgenehmigung

Access Context Manager

Access Transparency

Admin-Konsole (einschließlich Admin SDK, Directory Sync)

AI Platform Data Labeling

AI Platform Neural Architecture Search

AI Platform Training und Prediction

Anthos Config Management (ACM)

Anthos Identity Service (AIS)

Anthos Service Mesh

Apigee

App Engine

Artifact Registry

Assured Workloads

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video

AutoML Vision

BeyondCorp Enterprise (Hinweis: von Cloud Console getrennt)

BigQuery

BigQuery Data Transfer Service

Binärautorisierung

Care Studio (ehemals Cloud Healthcare Search)

Certificate Authority Service

Chronicle (Sicherheitsprodukt)

Chronicle SOAR

Cloud Asset Inventory

Cloud Bigtable

Cloud Billing

Cloud Build

Cloud CDN

Cloud Composer

Cloud Console (ohne BeyondCorp Enterprise)

Cloud Console App

Cloud Data Fusion

Cloud Data Loss Prevention

Cloud Deployment Manager

Cloud DNS

Cloud Endpoints

Cloud External Key Manager (Cloud EKM)

Cloud Filestore

Cloud Functions

Cloud Functions for Firebase

Cloud Healthcare

Cloud Healthcare API

Cloud HSM

Cloud Identity

Cloud Identity-Aware Proxy

Cloud IDS

Cloud Interconnect

Cloud Key Management Service

Cloud Life Sciences (früher Google Genomics)

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (Network Address Translation)

Cloud Natural Language API

Cloud Profiler

Cloud Router

Cloud Run (vollständig verwaltet)

Cloud Run for Anthos

Cloud Scheduler

Cloud SDK

Cloud Shell

Cloud Source Repositories

Cloud Spanner

Cloud SQL

Cloud Storage

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace

Cloud Translation

Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Contact Center AI

Container Registry

Data Catalog

Database Migration Service

Dataflow

Dataproc

Datastore

DataStream

Dialogflow

Document AI

Earth Engine

Eventarc

Firebase Authentication

Firestore

GCP Marketplace (früher Cloud Launcher)

GKE Hub

Google Cloud Armor

Google Kubernetes Engine

Identität und Zugriff verwalten

Identity Platform

Insights

Key Access Justifications (Access Sovereignty)

Looker Studio (einschließlich Pro, früher Google Data Studio)

Memorystore

Network Connectivity Center

Network Intelligence Center

Netzwerkdienststufen

Notebooks (früher Vertex AI Workbench/AI Platform Notebooks)

Persistent Disk

Pub/Sub

reCAPTCHA Enterprise

Resource Manager API

Secret Manager

Security Command Center (einschließlich Web Security Scanner) (früher Cloud Security Scanner)

Service Directory

Service Infrastructure (früher Service Control; enthält die Service Management API und die Service Consumer Management API)

Speech-to-Text

Storage Transfer Service

Rekrutierungs-Lösungen

Text-to-Speech

Traffic Director

Vertex AI Forecast

Vertex AI Model Registry

Vertex ML Metadata

Vertex Model Monitoring

Vertex Online- und Batch-Vorhersage

Vertex Pipelines

Vertex Training

Video Intelligence API

Virtual Private Cloud (VPC)

VM Manager

VPC Service Controls

Web Risk API

Workflows

Workforce Identity Federation (BYOID)

Gleich loslegen

Profitieren Sie von einem Guthaben über 300 $, um Google Cloud und mehr als 20 „Immer kostenlos“-Produkte kennenzulernen.

Security
Google Cloud