Google Cloud의 Protected B 규정 준수
캐나다 사이버 보안 센터(사이버 센터)는 '캐나다 정부: 클라우드 서비스 제공업체(CSP) 정보 기술 보안(ITS) 평가 프로그램(Government of Canada: Cloud Service Provider(CSP) Information Technology Security(ITS) Assessment Program)'이라는 클라우드 서비스 보안 평가 프레임워크를 개발했습니다. ITS 평가 프로그램의 주된 목표는 캐나다 정부(GC) 부서 및 기관에 클라우드 서비스가 정보 및 서비스에 대한 GC 퍼블릭 클라우드 보안 요구사항을 Protected B까지 충족한다는 보증을 제공하는 것입니다. ITS 평가 프로그램은 CSP가 제공하는 특정 클라우드 서비스의 보안 상황, 제어, 운영 관행을 평가합니다. 전체 회사를 인증하는 것이 아니라 정의된 GC 보안 제어 프로필에 따라 특정 서비스를 평가합니다.
CSP의 ITS 평가에는 GC 내 여러 그룹에서 수행하는 세 가지 구성요소가 있습니다. 1) 사이버 센터의 공급망 무결성(SCI)팀은 회사의 소유권, 위치정보, 제품/서비스와 관련된 위험을 평가합니다. 2) 캐나다 공공 서비스 및 조달부 계약 보안 프로그램(PSPC CSP)은 물리적 및 인적 보안을 평가합니다. 3) 사이버 센터는 GC 클라우드 제어 프로필: Protected B Medium(이전 명칭: PBMM) 및 Protected B High Value Asset overlay(PBHVA)에 따라 클라우드 서비스를 평가합니다.
Google Cloud는 사이버 센터의 공급망 무결성 및 IT 클라우드 보안 평가 프로세스와 필수 물리적 및 인적 보안 평가를 포함하여 ITS 평가의 세 가지 구성요소를 모두 완료했습니다. 계약 보안 프로그램에 따라 클라우드 서비스를 조달하는 캐나다 연방 정부 고객은 캐나다 Protected B용 데이터 경계 기능 패키지를 사용해야 합니다.
소개
캐나다 정부(GC)는 다양한 보안 분류 수준(예: Protected A, Protected B, Confidential, Secret, Top Secret)으로 데이터를 분류합니다. 이 분류는 정보의 민감도와 정보의 기밀성, 무결성, 가용성이 침해될 경우 발생할 수 있는 잠재적 피해에 따라 결정됩니다. GC 부서 및 기관에서 클라우드 서비스를 사용할 수 있지만 GC 부서는 먼저 정보를 식별하고 분류하여 적용해야 할 보안 제어를 이해해야 합니다.
Protected B란 무엇인가요?
'Protected' 정보는 Protected A, Protected B, Protected C로 분류할 수 있으며, 개인 정보, 상업적 기밀 정보 또는 유출될 경우 비국가적 이익에 피해를 줄 것으로 합리적으로 예상되는 기타 정보 또는 자산에 적용됩니다. 구체적으로 Protected B에는 의료 기록, 성과 평가 보고서, 자세한 재무 정보와 같은 민감한 개인 정보가 포함될 수 있습니다. 이러한 유형의 정보가 무단으로 공개되면 개인이나 조직에 고통, 재정적 손실 또는 평판 손상과 같은 심각한 피해를 입힐 수 있습니다.
GC는 Policy on Government Security(정부 보안 정책), 서비스 및 디지털 정책, 지침, 가이드라인, 계약 보안 매뉴얼(Contract Security Manual), Direction on the Secure Use of Commercial Cloud Services: Security Policy Implementation Notice(SPIN)(상업용 클라우드 서비스의 안전한 사용에 관한 지침: 보안 정책 구현 알림)와 같은 정책 수단을 발표했습니다. 이러한 정책 수단에는 물리적, 인적, IT 보안 요구사항이 설명되어 있으며 부서, 기관, 민간 부문 조직이 민감한 정부 정보를 보호하기 위해 고려해야 하는 제어 기능이 포함되어 있습니다.
Protected B의 클라우드 관련 보안 제어 요구사항은 무엇인가요?
클라우드의 보안 제어 요구사항은 Annex 3 of Information Technology Security Guidance(ITSG-33) – IT Security Risk Management: A Lifecycle Approach(정보 기술 보안 지침(ITSG-33) 부록 3 – IT 보안 위험 관리: 수명 주기 접근 방식)에 설명되어 있습니다. 사이버 센터의 Medium Cloud Security Control Profile(미디엄 클라우드 보안 제어 프로필)은 IT 보안 요구사항의 기준으로 사용됩니다. 또한 GC는 Protected B High Value Assets(PBHVA) 클라우드 보안 제어 프로필을 개발했습니다. 이 프로필은 고가치 자산 시스템으로 식별된 Protected B 워크로드를 지원하기 위한 개선사항으로 적용할 수 있는 추가적인 무결성 및 가용성 제어를 정의합니다.
캐나다 공공 서비스 및 조달부(PSPC) 계약 보안 프로그램(CSP)
PSPC CSP는 클라우드 서비스 계약의 인적 및 물리적 보안을 확인합니다. 이를 위해 Google Cloud가 PSPC CSP에 등록되어 있고 필수 조직 보안 승인을 보유하고 있는지 확인하고, Protected 정보 또는 운영 영역에 대한 비즈니스 니즈가 있는 직원에 대한 직원 보안 승인을 지원합니다. 또한 PSPC는 Google Cloud의 캐나다 데이터 센터 위치에서 물리적 보안 검사를 실시하여 안전한 운영 영역, 적절한 데이터 보호, 제어된 액세스, 계약 보안 요구사항이 충족되는지 확인합니다.
캐나다 사이버 보안 센터(CCCS) 공급망 무결성(SCI)
사이버 센터 SCI팀은 제품 또는 서비스 자체의 기술적 위험과 더불어 소유권, 위치, 비즈니스 관행과 같은 기업 관련 위험 요소를 평가합니다. SCI팀은 다양한 소스를 사용하여 위험 등급을 생성하며, 이 등급은 최종 클라우드 보안 평가 결정에 기여합니다. SCI 프로세스에 대한 자세한 내용은 ITSAP.10.070, Cyber supply chain: An approach to assessing risk(ITSAP.10.070, 사이버 공급망: 위험 평가 접근 방식)에서 확인할 수 있습니다.
캐나다 사이버 보안 센터(CCCS) CSP IT 보안 평가 절차
클라우드 서비스 제공업체(CSP) 정보 기술 보안(ITS) 평가 프로세스(ITSM.50.100)는 Medium Cloud Profile 또는 Protected B High Value Asset Overlay Profile과 같은 보안 제어에 대한 클라우드 솔루션의 상세 평가로 구성됩니다. Google Cloud는 관련 제어 프로필의 각 보안 제어를 준수했음을 입증하는 증거를 제공할 책임이 있습니다. 그런 다음 CCCS는 평가 결과를 요약한 보안 평가 보고서를 발행합니다.
Google Cloud는 PSPC CSP의 조직, 물리적, 인적 보안 요구사항에 대한 평가를 받았습니다. 또한 Google Cloud는 캐나다 사이버 보안 센터(CCCS) 클라우드 서비스 제공업체(CSP) IT 보안 평가 및 공급망 무결성(SCI) 프로세스를 완료했으며 Protected B Medium 및 Protected B High Value Asset 워크로드를 모두 지원하도록 승인받았습니다. 규정 준수 보고서 관리자를 통해 CCCS 요약 보고서에 추가 비용 없이 주문형으로 액세스할 수 있습니다.
Google Cloud는 Google 인프라의 보안 기반 투자를 통해 고객이 기존의 격리된 정부 클라우드 인프라 없이도 다양한 규정 준수 수준을 달성할 수 있도록 보안 제어가 기본 제공 및 사전 구성되도록 보장합니다.
Assured Workloads는 CJIS, FedRAMP(중간 및 높음), 미국 국방부 IL2/IL4/IL5, Protected B 등 다양한 규제 프레임워크를 준수하는 데 있어 고객을 지원하도록 설계된 Google Cloud 규정 준수 제품입니다.
계약 보안 프로그램 요구사항에 따라 Google Cloud 서비스를 사용하여 Protected 워크로드를 처리하는 데 관심이 있는 캐나다 연방 정부 고객은 캐나다 Protected B용 데이터 경계 기능 패키지를 사용해야 합니다. 캐나다 Protected B용 Assured Workloads를 통해 제공되는 Protected B 승인 서비스는 Protected B 고객 데이터의 위치를 캐나다로 제한하는 가드레일과 안정성 상태(또는 그 이상)로 심사된 직원 보안만이 제공하는 기술 지원과 같은 제어를 구현하여 GC 부서 및 기관의 보안 및 규정 준수를 간소화합니다. 캐나다 Protected B용 Assured Workloads에서 지원되는 제품 및 서비스 목록은 여기에서 확인할 수 있습니다.
다음 Google Cloud 서비스는 캐나다 사이버 보안 센터(CCCS)의 Protected B IT 보안 평가를 받았습니다.
Protected B Medium
AI Platform Training and Prediction
BeyondCorp Enterprise(참고: Cloud 콘솔에서 분리)
BigQuery Data Transfer Service
Care Studio(이전 명칭: Cloud Healthcare Search)
Cloud 콘솔(BeyondCorp Enterprise 제외)
Cloud Life Sciences(이전 명칭 Google Genomics)
GCP Marketplace(이전 명칭: Cloud Launcher)
Looker Studio(Pro 포함, 이전 명칭: Google 데이터 스튜디오)
Notebooks(이전 명칭: Vertex AI Workbench/AI Platform Notebooks)
Security Command Center - Web Security Scanner 포함(이전 명칭: Cloud Security Scanner)
Vertex AI Search(Agentspace 포함)
Protected B High Value Asset(PBHVA)
AI Platform Training and Prediction
BeyondCorp Enterprise(참고: Cloud 콘솔에서 분리)
BigQuery Data Transfer Service
Care Studio(이전 명칭: Cloud Healthcare Search)
Cloud 콘솔(BeyondCorp Enterprise 제외)
Cloud Life Sciences(이전 명칭 Google Genomics)
GCP Marketplace(이전 명칭: Cloud Launcher)
Looker Studio(Pro 포함, 이전 명칭: Google 데이터 스튜디오)
Notebooks(이전 명칭: Vertex AI Workbench/AI Platform Notebooks)
Security Command Center - Web Security Scanner 포함(이전 명칭: Cloud Security Scanner)
Protected B Medium