Protegida B (Canadá)

Cumplimiento de Protegida B de Google Cloud

El Centro Canadiense de Ciberseguridad (Centro de Ciberseguridad) ha desarrollado un marco para evaluar la seguridad de los servicios en la nube, llamado Programa de Evaluación de la Seguridad de la Tecnología de la Información (TI) de los Proveedores de Servicios en la Nube (CSP) del Gobierno de Canadá. El objetivo principal de este programa es ofrecer garantías a los departamentos y agencias del Gobierno de Canadá (GC) de que los servicios en la nube cumplen los requisitos de seguridad en la nube pública del GC para la información y los servicios hasta el nivel de protección B. El Programa de Evaluación de la Seguridad de TI evalúa la posición de seguridad, los controles y las prácticas operativas de servicios en la nube específicos ofrecidos por los CSPs. No certifica a toda la empresa, sino que evalúa servicios concretos en función de los perfiles de control de seguridad del GC definidos.

La evaluación de la seguridad de TI de los CSPs se compone de tres partes que llevan a cabo distintos grupos dentro del CG: 1) el equipo de Integridad de la Cadena de Suministro (SCI) del Centro de Ciberseguridad evalúa los riesgos relacionados con la propiedad, la geolocalización y el producto o servicio de una empresa; 2) la evaluación de seguridad física y de personal la lleva a cabo el Programa de Seguridad de Contratos de Servicios Públicos y Adquisiciones de Canadá (PSPC CSP); y 3) el Centro de Ciberseguridad evalúa los servicios en la nube en función de los Perfiles de Control de la Nube del CG: Protegida B Medio (anteriormente denominado PBMM) y la superposición Protegida B de recursos de alto valor (PBHVA).

Google Cloud ha completado los tres componentes de la evaluación de seguridad de TI, incluidos los procesos de evaluación de integridad de la cadena de suministro y de seguridad en la nube de TI del Centro de Ciberseguridad, así como las evaluaciones de seguridad física y de personal necesarias. Los clientes del gobierno federal de Canadá que adquieren servicios en la nube de acuerdo con el programa de seguridad de contratos deben usar el paquete de funciones Data Boundary para Protegida B de Canadá.

Introducción

El Gobierno de Canadá (GC) clasifica los datos usando varios niveles de categorización de seguridad (por ejemplo, Protegida A, Protegida B, Confidencial, Secreta y Alto Secreto) en función de la sensibilidad de la información y del posible daño que se produciría si la confidencialidad, integridad o disponibilidad de la información se comprometiera Aunque los departamentos y agencias del GC pueden usar servicios en la nube, primero deben identificar y categorizar la información para saber qué controles de seguridad deben aplicarse.

¿Qué es Protegida B?

La información protegida se puede clasificar en tres categorías: A, B o C. Se aplica a la información personal, la información comercial confidencial o cualquier otra información o recurso que, si se pone en peligro, podría causar un daño razonable a un interés no nacional. Más concretamente, la categoría Protegida B puede incluir información personal sensible, como historiales médicos, informes de evaluación del rendimiento, información financiera detallada, etc. La divulgación no autorizada de este tipo de información podría causar un daño grave a una persona o una organización, como angustia, pérdidas financieras o daños a su reputación.

El GC ha publicado instrumentos de política, como la política sobre la seguridad del Gobierno, la políticadirectivadirectrices sobre servicios y medios digitales, el manual de seguridad de los contratos y la directiva sobre el uso seguro de servicios comerciales en la nube: aviso sobre la implementación de la política de seguridad (SPIN) que describen los requisitos de seguridad física, de personal y de TI, y los controles que los departamentos, las agencias y las organizaciones del sector privado deben tener en cuenta para proteger la información sensible del Gobierno.

¿Cuáles son los requisitos de los controles de seguridad relacionados con la nube de Protegida B?

En el caso de la nube, los requisitos de control de seguridad se describen en el Anexo 3 de la guía de seguridad de tecnología de la información (ITSG-33): gestión de riesgos de seguridad de TI: un enfoque para todo el ciclo de vida. El perfil de control de seguridad de Medium Cloud del Centro de Ciberseguridad se utiliza como punto de partida de los requisitos de seguridad de TI. Además, el GC ha desarrollado un perfil de control de seguridad en la nube para activos de alto valor protegidos B (PBHVA) que define controles adicionales de integridad y disponibilidad que se pueden aplicar como mejora para admitir cargas de trabajo protegidas B que se han identificado como sistemas de activos de alto valor.

Programa de Seguridad de Contratos (CSP) de Servicios Públicos y Adquisiciones de Canadá (PSPC):

El PSPC CSP verifica la seguridad física y del personal de los contratos de servicios en la nube. Para ello, se debe asegurar que Google Cloud esté registrado en el PSPC CSP y que tenga el nivel de autorización de seguridad necesario para la organización. Además, se facilitan las autorizaciones de seguridad para los empleados que necesiten acceder a información protegida o a zonas de operaciones. Además, la PSPC realiza inspecciones de seguridad física en los centros de datos de Google Cloud en Canadá para confirmar que se cumplen los requisitos de seguridad contractual, las zonas de funcionamiento seguras, la protección adecuada de los datos y el acceso controlado.

Centro Canadiense de Ciberseguridad (CCCS): integridad de la cadena de suministro (SCI)

El equipo de SCI del Centro de Ciberseguridad evalúa los factores de riesgo relacionados con la empresa, como la propiedad, la ubicación y las prácticas comerciales, junto con los riesgos técnicos del producto o servicio en sí. El equipo de SCI utiliza varias fuentes para generar una clasificación de riesgos, que contribuye a la determinación final de la evaluación de seguridad en la nube. Puedes encontrar más información sobre el proceso de SCI en el documento ITSAP.10.070, cadena de suministro cibernética: un enfoque para evaluar los riesgos.

Proceso de evaluación de seguridad de TI de los proveedores de servicios en la nube (CSP) según el Centro Canadiense de Ciberseguridad (CCCS)

El proceso de evaluación de la seguridad de la información tecnológica (ITSM.50.100) de los proveedores de servicios en la nube (CSP) consiste en una evaluación detallada de la solución en la nube en relación con los controles de seguridad, como el perfil de nube de nivel medio o el perfil de superposición de recursos de alto valor protegidos B. Google Cloud es responsable de proporcionar pruebas que demuestren el cumplimiento de cada uno de los controles de seguridad del perfil de control correspondiente. A continuación, el CCCS emite un informe de evaluación de seguridad que resume sus hallazgos.

Cumplimiento de Protegida B de Google Cloud

Google Cloud ha pasado una evaluación de los requisitos de seguridad organizativa, física y de personal del PSPC para proveedores de servicios en la nube. Google Cloud también ha completado los procesos de evaluación de seguridad de TI y de integridad de la cadena de suministro de proveedores de servicios en la nube (CSPs) del Centro Canadiense de Ciberseguridad (CCCS), y se ha aprobado para admitir cargas de trabajo de nivel de protección B medio y de nivel de protección B alto. Puedes acceder al informe resumen de CCCS bajo demanda y sin coste adicional a través del Administrador de informes de cumplimiento.

Alojar cargas de trabajo protegidas de tipo B en Google Cloud

La inversión de Google Cloud en la seguridad de nuestra infraestructura asegura que los controles de seguridad estén integrados y preconfigurados para que los clientes puedan ceñirse a distintos niveles de cumplimiento sin tener que contar con una infraestructura en la nube gubernamental aislada tradicional. 

Assured Workloads es una oferta de cumplimiento de Google Cloud diseñada para ayudar a los clientes a cumplir varios marcos normativos, como el CJIS, el FedRAMP (niveles Moderado y Alto), los niveles IL2, IL4 e IL5 del Departamento de Defensa de EE. UU., el nivel B de protección y muchos otros.

Los clientes del gobierno federal de Canadá que quieran usar los servicios de Google Cloud para procesar cargas de trabajo protegidas de acuerdo con los requisitos del programa de seguridad del contrato deben usar el paquete de funciones Data Boundary para Protegida B de Canadá. Los servicios autorizados de Protegida B que se ponen a disposición de los clientes de Protegida B a través de Assured Workloads para Canadá simplifican la seguridad y el cumplimiento para los departamentos y agencias del GC mediante la implementación de controles como los siguientes: límites para restringir la ubicación de los datos de clientes de Protegida B a Canadá, y asistencia técnica proporcionada únicamente por personal de seguridad evaluado y con un nivel de fiabilidad (o superior). La lista de productos y servicios compatibles con Assured Workloads para Protegida B de Canadá se puede consultar en esta página.

Servicios cubiertos

Los siguientes servicios de Google Cloud se han sometido a la evaluación de seguridad de TI de nivel Protegida B del Centro Canadiense de Ciberseguridad:

Protegida B medio

Access Approval

Administrador de contextos de acceso

Transparencia de acceso

Consola de administración (incluidos el SDK de administrador y Directory Sync)

Etiquetado de datos de AI Platform

Búsqueda con arquitectura neuronal de AI Platform

AI Platform Training y AI Platform Prediction

Anthos Config Management (ACM)

Anthos Identity Service (AIS)

Anthos Service Mesh

Apigee

App Engine

Artifact Registry

Assured Workloads

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video

AutoML Vision

BeyondCorp Enterprise (nota: se ha separado de la consola de Cloud)

BigQuery

BigQuery Data Transfer Service

Autorización binaria

Care Studio (antes Cloud Healthcare Search)

Servicio de Autoridades de Certificación

Chronicle (producto de seguridad)

Chronicle SOAR

Inventario de Recursos de Cloud

Cloud Bigtable

Facturación de Cloud

Cloud Build

Cloud CDN

Cloud Composer

Consola de Cloud (sin BeyondCorp Enterprise)

Aplicación de la consola de Cloud

Cloud Data Fusion

Cloud Data Loss Prevention

Cloud Deployment Manager

Cloud DNS

Cloud Endpoints

Cloud External Key Manager (Cloud EKM)

Cloud Filestore

Cloud Functions

Cloud Functions for Firebase

Cloud Healthcare

API de Cloud Healthcare

Cloud HSM

Cloud Identity

Cloud Identity-Aware Proxy

Cloud IDS

Cloud Interconnect

Cloud Key Management Service

Cloud Life Sciences (anteriormente, Google Genomics)

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (Traducción de direcciones de red)

API Cloud Natural Language

Cloud Profiler

Cloud Router

Cloud Run (plataforma totalmente gestionada)

Cloud Run for Anthos

Cloud Scheduler

SDK de Google Cloud

Cloud Shell

Cloud Source Repositories

Cloud Spanner

Cloud SQL

Cloud Storage

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace

Cloud Translation

Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Contact Center AI

Container Registry

Data Catalog

Database Migration Service

Dataflow

Dataproc

Datastore

DataStream

Dialogflow

Document AI

Earth Engine

Eventarc

Firebase Authentication

Firestore

GCP Marketplace (antes, Cloud Launcher)

IA generativa para Vertex AI

Hub de GKE

Google Cloud Armor

Google Kubernetes Engine

Gestión de Identidades y Accesos

Identity Platform

Insights

Justificaciones de Acceso a Claves (soberanía de los accesos)

Looker Studio (incluida la versión Pro, que antes era Google Data Studio)

Memorystore

Network Connectivity Center

Network Intelligence Center

Niveles de servicio de red

Cuadernos (anteriormente Vertex AI Workbench/AI Platform Notebooks)

Persistent Disk

Pub/Sub

reCAPTCHA Enterprise

API de Resource Manager

Secret Manager

Security Command Center (incluido Web Security Scanner) (antes llamado Cloud Security Scanner)

Directorio de servicios

Service Infrastructure (anteriormente Service Control; incluye la API Service Management y la API Service Consumer Management)

Speech-to-Text

Servicio de transferencia de Storage

Talent Solutions

Text-to-Speech

Traffic Director

Vertex AI Forecast

Registro de modelos de Vertex AI

Vertex AI Search (incluye Agentspace)

Vertex ML Metadata

Vertex Model Monitoring

Vertex Online y predicción en lote

Vertex Pipelines

Vertex Training

API de Video Intelligence

Nube privada virtual (VPC)

VM Manager

Controles de Servicio de VPC

API Web Risk

Workflows

Federación de identidades para los trabajadores (BYOID)


Recurso de alto valor protegido B (PBHVA)

Access Approval

Administrador de contextos de acceso

Transparencia de acceso

Consola de administración (incluidos el SDK de administrador y Directory Sync)

Etiquetado de datos de AI Platform

Búsqueda con arquitectura neuronal de AI Platform

AI Platform Training y AI Platform Prediction

Anthos Config Management (ACM)

Anthos Identity Service (AIS)

Anthos Service Mesh

Apigee

App Engine

Artifact Registry

Assured Workloads

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video

AutoML Vision

BeyondCorp Enterprise (nota: se ha separado de la consola de Cloud)

BigQuery

BigQuery Data Transfer Service

Autorización binaria

Care Studio (antes Cloud Healthcare Search)

Servicio de Autoridades de Certificación

Chronicle (producto de seguridad)

Chronicle SOAR

Inventario de Recursos de Cloud

Cloud Bigtable

Facturación de Cloud

Cloud Build

Cloud CDN

Cloud Composer

Consola de Cloud (sin BeyondCorp Enterprise)

Aplicación de la consola de Cloud

Cloud Data Fusion

Cloud Data Loss Prevention

Cloud Deployment Manager

Cloud DNS

Cloud Endpoints

Cloud External Key Manager (Cloud EKM)

Cloud Filestore

Cloud Functions

Cloud Functions for Firebase

Cloud Healthcare

API de Cloud Healthcare

Cloud HSM

Cloud Identity

Cloud Identity-Aware Proxy

Cloud IDS

Cloud Interconnect

Cloud Key Management Service

Cloud Life Sciences (anteriormente, Google Genomics)

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (Traducción de direcciones de red)

API Cloud Natural Language

Cloud Profiler

Cloud Router

Cloud Run (plataforma totalmente gestionada)

Cloud Run for Anthos

Cloud Scheduler

SDK de Google Cloud

Cloud Shell

Cloud Source Repositories

Cloud Spanner

Cloud SQL

Cloud Storage

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace

Cloud Translation

Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Contact Center AI

Container Registry

Data Catalog

Database Migration Service

Dataflow

Dataproc

Datastore

DataStream

Dialogflow

Document AI

Earth Engine

Eventarc

Firebase Authentication

Firestore

GCP Marketplace (antes, Cloud Launcher)

Hub de GKE

Google Cloud Armor

Google Kubernetes Engine

Gestión de Identidades y Accesos

Identity Platform

Insights

Justificaciones de Acceso a Claves (soberanía de los accesos)

Looker Studio (incluida la versión Pro, que antes era Google Data Studio)

Memorystore

Network Connectivity Center

Network Intelligence Center

Niveles de servicio de red

Cuadernos (anteriormente Vertex AI Workbench/AI Platform Notebooks)

Persistent Disk

Pub/Sub

reCAPTCHA Enterprise

API de Resource Manager

Secret Manager

Security Command Center (incluido Web Security Scanner) (antes llamado Cloud Security Scanner)

Directorio de servicios

Service Infrastructure (anteriormente Service Control; incluye la API Service Management y la API Service Consumer Management)

Speech-to-Text

Servicio de transferencia de Storage

Talent Solutions

Text-to-Speech

Traffic Director

Vertex AI Forecast

Registro de modelos de Vertex AI

Vertex ML Metadata

Vertex Model Monitoring

Vertex Online y predicción en lote

Vertex Pipelines

Vertex Training

API de Video Intelligence

Nube privada virtual (VPC)

VM Manager

Controles de Servicio de VPC

API Web Risk

Workflows

Federación de identidades para los trabajadores (BYOID)

Ve un paso más allá

Empieza a crear en Google Cloud con 300 USD en crédito gratis y más de 20 productos Always Free.

Google Cloud