Protected B (Canadá)

Conformidade com o Protected B do Google Cloud

O Canadian Center for Cyber Security (Cyber Centre) desenvolveu um framework para avaliar a segurança dos serviços de nuvem chamado Programa de Avaliação de Segurança de Tecnologia da Informação (ITS) do Governo do Canadá: Provedor de Serviços de Nuvem (CSP). O objetivo principal do Programa de Avaliação do ITS é garantir aos departamentos e agências do Governo do Canadá (GC) que os serviços de nuvem atendem aos requisitos de segurança de nuvem pública do GC para informações e serviços até o nível Protected B. O Programa de Avaliação de ITS avalia a postura de segurança, os controles e as práticas operacionais de serviços de nuvem específicos oferecidos por CSPs. Ele não certifica a empresa inteira, mas avalia serviços específicos em relação a perfis de controle de segurança do GC definidos.

A avaliação de ITS de um CSP tem três componentes conduzidos por diferentes grupos do GC: 1) a equipe de Integridade da Cadeia de Suprimentos (SCI) do Centro de Cibersegurança avalia os riscos relacionados à propriedade, localização geográfica e produto/serviço de uma empresa; 2) a avaliação de segurança física e de pessoal é feita pelo Programa de Segurança de Contratos (PSPC, na sigla em inglês) do Public Services and Procurement Canada (PSPC); e 3) o Centro de Cibersegurança avalia os serviços de nuvem de acordo com os perfis de controle de nuvem do GC: Protected B Medium (antigamente conhecido como PBMM) e a sobreposição Protected B High Value Asset (PBHVA).

O Google Cloud concluiu os três componentes da avaliação ITS, incluindo os processos de avaliação de integridade da cadeia de suprimentos e segurança de nuvem de TI do Cyber Center, além das avaliações de segurança física e de pessoal necessárias. Os clientes do governo federal canadense que adquirem serviços de nuvem de acordo com o Programa de segurança do contrato precisam usar o pacote de recursos Data Boundary for Canada Protected B.

Introdução

O Governo do Canadá (GC) classifica os dados usando vários níveis de categorização de segurança (por exemplo, Protected A, Protected B, Confidential, Secret e Top Secret) do dano potencial que ocorreria se a confidencialidade, integridade e/ou disponibilidade delas fosse comprometida. Embora os serviços de nuvem possam ser usados por departamentos e agências do GC, os departamentos do GC precisam primeiro identificar e categorizar as informações para entender os controles de segurança que devem ser aplicados.

O que é o Protected B?

As informações "protegidas" podem ser categorizadas como Protected A, Protected B ou Protected C e se aplicam a informações pessoais, comerciais confidenciais ou qualquer outro ativo ou informação que, se comprometida, possa causar danos a um interesse não nacional. Mais especificamente, o Protected B pode incluir informações pessoais sensíveis, como: registros médicos, relatórios de avaliação de desempenho, informações financeiras detalhadas etc. A divulgação não autorizada desse tipo de informação pode causar danos graves a uma pessoa ou organização, como angústia, perda financeira ou danos à reputação.

O GC publicou instrumentos de políticas, como a Política de Segurança do Governo PolíticaDiretiva e Diretriz sobre serviços e tecnologia digital, Manual de segurança de contrato e Diretriz sobre o uso seguro de serviços de nuvem comerciais: Aviso de implementação da política de segurança (SPIN, na sigla em inglês) que descrevem os requisitos de segurança física, de pessoal e de TI e os controles que departamentos, agências e organizações do setor privado devem considerar para proteger informações sensíveis do governo.

Quais são os requisitos de controle de segurança relacionados à nuvem para Protected B?

Para a nuvem, os requisitos de controle de segurança estão descritos no Anexo 3 do Information Technology Security Guidance (ITSG-33) – IT Security Risk Management: A Lifecycle Approach. O perfil de controle de segurança de nuvem médio do Cyber Center é usado como base dos requisitos de segurança de TI. Além disso, o GC desenvolveu um perfil de controle de segurança na nuvem para ativos de alto valor (PBHVA) que define controles de integridade e disponibilidade adicionais que podem ser aplicados como uma melhoria para oferecer suporte a cargas de trabalho de proteção B que foram identificadas como sistemas de ativos de alto valor.

Programa de segurança de contratos (CSP) dos Serviços Públicos e Compras do Canadá (PSPC)

O CSP do PSPC verifica a segurança física e de pessoal para contratos de serviços de nuvem. Isso envolve garantir que o Google Cloud esteja registrado no PSPC CSP e tenha a autorização de segurança organizacional necessária, além de facilitar as autorizações de segurança pessoal para funcionários que precisam acessar informações protegidas ou zonas de operação. O PSPC também realiza inspeções de segurança física nos locais dos data centers canadenses do Google Cloud para confirmar que as zonas de operação seguras, a proteção adequada dos dados, o acesso controlado e os requisitos de segurança do contrato são atendidos.

Canadian Centre for Cyber Security (CCCS) Supply Chain Integrity (SCI)

A equipe de SCI do Cyber Center avalia os fatores de risco relacionados à empresa, como propriedade, localização e práticas comerciais, além dos riscos técnicos do produto ou serviço em si. A equipe de SCI usa várias fontes para gerar uma classificação de risco, que contribui para a determinação final da avaliação de segurança da nuvem. Mais informações sobre o processo de SCI podem ser encontradas em ITSAP.10.070, Cyber supply chain: An approach to assessing risk.

Processo de avaliação de segurança de TI do Centro Canadense de Segurança Cibernética (CCCS)

O processo de avaliação da segurança da tecnologia da informação (ITS) do provedor de serviços de nuvem (CSP) (ITSM.50.100) consiste em uma avaliação detalhada da solução de nuvem em relação aos controles de segurança, como o perfil de nuvem médio e/ou o perfil de sobreposição de recursos de alto valor protegido B. O Google Cloud é responsável por fornecer evidências que demonstrem a adesão a cada um dos controles de segurança no perfil de controle relevante. O CCCS emite um relatório de avaliação de segurança resumindo as descobertas.

Conformidade com o Protected B do Google Cloud

O Google Cloud passou por uma avaliação dos requisitos de segurança organizacional, física e de pessoal do CSP do PSPC. O Google Cloud também concluiu os processos de avaliação de segurança de TI do provedor de serviços em nuvem (CSP) e integridade da cadeia de suprimentos (SCI) do Centro Canadense de Segurança Cibernética (CCCS) e foi aprovado para oferecer suporte a cargas de trabalho de Protected B Medium e Protected B High Value Asset. É possível acessar o relatório de resumo do CCCS sob demanda, sem custo adicional, pelo Gerenciador de relatórios de compliance.

Como hospedar cargas de trabalho protegidas B no Google Cloud

O investimento do Google Cloud em segurança por padrão para nossa infraestrutura garante que os controles de segurança sejam integrados e pré-configurados para permitir que os clientes alcancem vários níveis de conformidade sem uma infraestrutura de nuvem governamental isolada tradicional. 

O Assured Workloads é uma solução de compliance do Google Cloud projetada para ajudar os clientes a atender a vários frameworks regulatórios, como CJIS, FedRAMP (moderado e alto), Departamento de Defesa IL2 / IL4 / IL5, Protected B e muitos outros.

Os clientes do governo federal canadense interessados em usar os serviços do Google Cloud para processar cargas de trabalho protegidas em alinhamento com os requisitos do Programa de segurança do contrato precisam usar o pacote de recursos Data Boundary for Canada Protected B. Serviços autorizados pelo Protected B disponibilizados pelo Assured Workloads para o Canadá O Protected B simplifica a segurança e a conformidade para departamentos e agências do GC implementando controles como: limites para restringir a localização dos dados do cliente Protected B ao Canadá e suporte técnico fornecido apenas por pessoal de segurança julgado e aprovado para o status de confiabilidade (ou superior). A lista de produtos e serviços compatíveis com o Assured Workloads para o Canadá Protected B está disponível aqui.

Serviços no escopo

Os seguintes serviços do Google Cloud passaram na avaliação de segurança de TI Protected B do Canadian Centre for Cyber Security:

Protected B Medium

Aprovação de acesso

Access Context Manager

Transparência no acesso

Admin Console (incluindo SDK Admin, Directory Sync)

Serviço de rotulagem de dados do AI Platform

Pesquisa de arquitetura neural do AI Platform

ao AI Platform Training e Prediction

Anthos Config Management (ACM)

Serviço de identidade do Anthos (ACS)

Anthos Service Mesh

Apigee

App Engine

Artifact Registry

Assured Workloads

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video

AutoML Vision

BeyondCorp Enterprise (observação: separação do console do Cloud)

BigQuery

Serviço de transferência de dados do BigQuery

Autorização binária

Care Studio (antigo Cloud Healthcare Search)

Certificate Authority Service

Chronicle (produto de segurança)

Chronicle SOAR

Inventário de recursos do Cloud

Cloud Bigtable

Cloud Billing

Cloud Build

Cloud CDN

Cloud Composer

Console do Cloud (sem o BeyondCorp Enterprise)

Aplicativo do Console do Cloud

Cloud Data Fusion

Cloud Data Loss Prevention

Cloud Deployment Manager

Cloud DNS

Cloud Endpoints

Gerenciador de chaves externas do Cloud (Cloud EKM)

Cloud Filestore

Cloud Functions

Cloud Functions para Firebase

Cloud Healthcare

API Cloud Healthcare

Cloud HSM

Cloud Identity

Cloud Identity-Aware Proxy

Cloud IDS

Cloud Interconnect

Cloud Key Management Service

Cloud Life Sciences (antigo Google Genomics)

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT: (conversão de endereços de rede)

API Cloud Natural Language

Cloud Profiler

Cloud Router

Cloud Run (totalmente gerenciado)

Cloud Run for Anthos

Cloud Scheduler

SDK do Cloud

Cloud Shell

Cloud Source Repositories

Cloud Spanner

Cloud SQL

Cloud Storage

Cloud Storage para Firebase

Cloud Tasks

Cloud Trace

Cloud Translation

Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Contact Center AI

Container Registry

Data Catalog

Database Migration Service

Dataflow

Dataproc

Datastore

DataStream

Dialogflow

Document AI

Earth Engine

Eventarc

Firebase Authentication

Firestore

GCP Marketplace (antigo Cloud Launcher)

IA generativa para Vertex AI

Hub GKE

Google Cloud Armor

Google Kubernetes Engine

Gerenciamento de identidade e acesso

Identity Platform

Insights

Justificativa para acesso às chaves (soberania de acesso)

Looker Studio (incluindo o Pro, antigo Google Data Studio)

Memorystore

Network Connectivity Center

Network Intelligence Center

Network Service Tiers

Notebooks (antigo Vertex AI Workbench/AI Platform Notebooks)

Persistent Disk

Pub/Sub

reCAPTCHA Enterprise

API Resource Manager

Secret Manager

Security Command Center - incluindo o Web Security Scanner (antigo Cloud Security Scanner)

Diretório de serviços

Service Infrastructure (antigo Service Control, inclui as APIs Service Management e Service Consumer Management)

Speech-to-Text

Serviço de transferência do Cloud Storage

Talent Solutions

Text-to-Speech

Traffic Director

Previsão da Vertex AI

Vertex AI Model Registry

Vertex AI para Pesquisa (inclui o Agentspace)

Vertex ML Metadata

Monitoramento de modelos do Vertex

Vertex on-line e previsão em lote

Pipelines do Vertex

Vertex Training

API Video Intelligence

Nuvem privada virtual (VPC)

VM Manager

VPC Service Controls

API Web Risk

Workflows

Federação de identidade de colaboradores (BYOID)


Benefício Protected B de alto valor (PBHVA)

Aprovação de acesso

Access Context Manager

Transparência no acesso

Admin Console (incluindo SDK Admin, Directory Sync)

Serviço de rotulagem de dados do AI Platform

Pesquisa de arquitetura neural do AI Platform

ao AI Platform Training e Prediction

Anthos Config Management (ACM)

Serviço de identidade do Anthos (ACS)

Anthos Service Mesh

Apigee

App Engine

Artifact Registry

Assured Workloads

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video

AutoML Vision

BeyondCorp Enterprise (observação: separação do console do Cloud)

BigQuery

Serviço de transferência de dados do BigQuery

Autorização binária

Care Studio (antigo Cloud Healthcare Search)

Certificate Authority Service

Chronicle (produto de segurança)

Chronicle SOAR

Inventário de recursos do Cloud

Cloud Bigtable

Cloud Billing

Cloud Build

Cloud CDN

Cloud Composer

Console do Cloud (sem o BeyondCorp Enterprise)

Aplicativo do Console do Cloud

Cloud Data Fusion

Cloud Data Loss Prevention

Cloud Deployment Manager

Cloud DNS

Cloud Endpoints

Gerenciador de chaves externas do Cloud (Cloud EKM)

Cloud Filestore

Cloud Functions

Cloud Functions para Firebase

Cloud Healthcare

API Cloud Healthcare

Cloud HSM

Cloud Identity

Cloud Identity-Aware Proxy

Cloud IDS

Cloud Interconnect

Cloud Key Management Service

Cloud Life Sciences (antigo Google Genomics)

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT: (conversão de endereços de rede)

API Cloud Natural Language

Cloud Profiler

Cloud Router

Cloud Run (totalmente gerenciado)

Cloud Run for Anthos

Cloud Scheduler

SDK do Cloud

Cloud Shell

Cloud Source Repositories

Cloud Spanner

Cloud SQL

Cloud Storage

Cloud Storage para Firebase

Cloud Tasks

Cloud Trace

Cloud Translation

Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Contact Center AI

Container Registry

Data Catalog

Database Migration Service

Dataflow

Dataproc

Datastore

DataStream

Dialogflow

Document AI

Earth Engine

Eventarc

Firebase Authentication

Firestore

GCP Marketplace (antigo Cloud Launcher)

Hub GKE

Google Cloud Armor

Google Kubernetes Engine

Gerenciamento de identidade e acesso

Identity Platform

Insights

Justificativa para acesso às chaves (soberania de acesso)

Looker Studio (incluindo o Pro, antigo Google Data Studio)

Memorystore

Network Connectivity Center

Network Intelligence Center

Network Service Tiers

Notebooks (antigo Vertex AI Workbench/AI Platform Notebooks)

Persistent Disk

Pub/Sub

reCAPTCHA Enterprise

API Resource Manager

Secret Manager

Security Command Center - incluindo o Web Security Scanner (antigo Cloud Security Scanner)

Diretório de serviços

Service Infrastructure (antigo Service Control, inclui as APIs Service Management e Service Consumer Management)

Speech-to-Text

Serviço de transferência do Cloud Storage

Talent Solutions

Text-to-Speech

Traffic Director

Previsão da Vertex AI

Vertex AI Model Registry

Vertex ML Metadata

Monitoramento de modelos do Vertex

Vertex on-line e previsão em lote

Pipelines do Vertex

Vertex Training

API Video Intelligence

Nuvem privada virtual (VPC)

VM Manager

VPC Service Controls

API Web Risk

Workflows

Federação de identidade de colaboradores (BYOID)

Vá além

Comece a criar no Google Cloud com US$ 300 em créditos e mais de 20 produtos do programa Sempre gratuito.

Security
Google Cloud