Protected B(加拿大)

Google Cloud 的 Protected B 合规性

加拿大网络安全中心制定了一个用于评估云服务安全性的框架,名为“加拿大政府:云服务提供商 (CSP) 信息技术安全 (ITS) 评估计划”。ITS 评估计划的主要目标是向加拿大政府 (GC) 部门和机构保证,云服务符合 GC 对信息和服务的公有云安全要求(最高到Protected B)。ITS 评估计划评估 CSP 提供的特定云服务的安全状况、控制措施和运营实践。它不会对整个公司进行认证,而是根据已定义的 GC 安全控制配置文件评估特定服务。

CSP ITS 评估由加拿大政府 (GC) 内的不同团队进行,包括三个组成部分:1) 网络中心的供应链完整性 (SCI) 团队评估与公司所有权、地理位置和产品/服务相关的风险;2) 加拿大公共服务和采购 - 合同安全计划 (PSPC CSP) 进行的物理和人员安全评估;3) 网络中心根据 GC 云控制配置文件(Protected B 中等 [以前称为 PBMM] 和Protected B 高价值资产叠加层 [PBHVA])评估云服务。

Google Cloud 已完成 ITS 评估的所有三个组成部分,包括网络中心的供应链完整性和 IT 云安全评估流程,以及所需的物理和人员安全评估。如果加拿大联邦政府客户根据合同安全计划采购云服务,则必须使用 Data Boundary for Canada Protected B 功能包。

简介

加拿大政府 (GC) 使用不同的安全分类级别(例如 Protected A、Protected B、机密、秘密和绝密)对数据进行分类,具体取决于信息的敏感性,以及信息的机密性、完整性和/或可用性遭到破坏时可能造成的潜在危害。虽然 GC 部门和机构可以使用云服务,但 GC 部门必须先对信息进行识别和分类,以了解应该应用的安全控制措施。

什么是 Protected B?

“Protected”信息可分为Protected A、Protected B 或Protected C,适用于个人信息、商业机密信息或任何其他信息或资产,如果这些信息或资产泄露,有合理理由认为会损害非国家利益。更具体地说,Protected B 可以包括敏感的个人信息,例如:医疗记录、绩效评估报告、详细的财务信息等。未经授权披露此类信息可能会对个人或组织造成严重伤害,例如造成痛苦、财务损失或声誉受损。

GC 发布了多项政策工具,例如政府安全政策、有关服务和数字化的政策/指令/指南合同安全手册,以及商业云服务安全使用指令:安全政策实施通知 (SPIN),其中描述了各部门、机构和私营部门组织为保护敏感的政府信息而应考虑的物理、人员和 IT 安全要求以及控制措施。

对于 Protected B,云相关的安全控制要求有哪些?

对于云,安全控制要求在信息技术安全指南 (ITSG-33) - IT 安全风险管理:生命周期方法的附录 3 中进行了说明。将网络中心的中等云安全控制配置文件用作 IT 安全要求的基准。此外,GC 还开发了Protected B 高价值资产 (PBHVA) 云安全控制配置文件,其中定义了可作为增强功能来支持已确定为高价值资产系统的Protected B 工作负载的额外完整性和可用性控制。

加拿大公共服务和采购部 (PSPC) 合同安全计划 (CSP)

PSPC CSP 验证云服务合同的人员和物理安全。这包括确保 Google Cloud 在 PSPC CSP 中注册并持有必要的组织安全许可,以及为有业务需要访问Protected信息或运营区域的员工提供人事安全许可。PSPC 还会对 Google Cloud 的加拿大数据中心位置进行物理安全检查,以确认安全运维区域、适当的数据保护措施、受控访问权限和合同安全要求均已满足。

加拿大网络安全中心 (CCCS) 供应链完整性 (SCI)

网络中心 SCI 团队会评估与公司相关的风险因素(例如所有权、位置和商业行为),以及产品或服务本身的技术风险。SCI 团队使用各种来源来生成风险评分,这有助于最终确定云安全评估。如需了解有关 SCI 流程的更多信息,请参阅《ITSAP.10.070, Cyber supply chain: An approach to assessing risk》(ITSAP.10.070,网络供应链:评估风险的方法)。

加拿大网络安全中心 (CCCS) CSP IT 安全评估流程

云服务提供商 (CSP) 信息技术安全 (ITS) 评估流程 (ITSM.50.100) 包括对云解决方案进行详细评估,以确保其符合安全控制要求,例如“中等云配置文件”和/或“Protected B 高价值资产叠加配置文件”。Google Cloud 负责提供证据,证明其符合相关控制配置文件中的各项安全控制措施。然后,CCCS 会发布一份安全评估报告,总结其发现结果。

Google Cloud 的 Protected B 合规性

Google Cloud 已通过 PSPC CSP 的组织、物理和人员安全要求评估。Google Cloud 还完成了加拿大网络安全中心 (CCCS) 云服务提供商 (CSP) IT 安全评估和供应链完整性 (SCI) 流程,并已获批支持Protected B 中等资产工作负载和Protected B 高价值资产工作负载。您可以通过合规报告管理器按需获取 CCCS 摘要报告,无需支付额外费用。

在 Google Cloud 上托管 Protected B 工作负载

Google Cloud 对默认安全基础设施的持续投入,确保安全控制措施已内置且预配置,使客户无需依赖传统的隔离式政府云基础设施,也能实现多种合规等级。

Assured Workloads 是 Google Cloud 提供的一项合规性服务,旨在帮助客户满足各种监管框架的要求,例如 CJIS、FedRAMP(中风险级别和高风险级别)、美国国防部 IL2 / IL4 / IL5、Protected B 等。

如果加拿大联邦政府客户希望使用 Google Cloud 服务处理 Protected 工作负载,并希望符合合同安全计划要求,则必须使用 Data Boundary for Canada Protected B 功能包。通过 Assured Workloads for Canada Protected B 提供的 Protected B 授权服务可简化加拿大政府部门和机构的安全和合规流程,方法是实施以下控制措施:设置保护措施,将 Protected B 客户数据位置限制在加拿大境内,以及仅由经过审核的人员提供可靠性状态(或更高等级)安全筛查的技术支持。如需查看 Assured Workloads for Canada Protected B 支持的产品和服务列表,请点击此处

范围内的服务

以下 Google Cloud 服务已通过加拿大网络安全中心进行的 Protected B IT 安全评估:

Protected B 中型

Access Approval

Access Context Manager

Access Transparency

管理控制台(包括 Admin SDK、Directory Sync)

AI Platform Data Labeling

AI Platform 神经架构搜索

AI Platform Training 和 AI Platform Prediction

Anthos Config Management (ACM)

Anthos Identity Service (AIS)

Anthos Service Mesh

Apigee

App Engine

Artifact Registry

Assured Workloads

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video

AutoML Vision

BeyondCorp Enterprise(注意:已从 Cloud 控制台分离)

BigQuery

BigQuery Data Transfer Service

Binary Authorization

Care Studio(以前称为 Cloud Healthcare Search)

Certificate Authority Service

Chronicle(安全产品)

Chronicle SOAR

Cloud Asset Inventory

Cloud Bigtable

Cloud Billing

Cloud Build

Cloud CDN

Cloud Composer

Cloud 控制台(不含 BeyondCorp Enterprise)

Cloud Console 应用

Cloud Data Fusion

Cloud Data Loss Prevention

Cloud Deployment Manager

Cloud DNS

Cloud Endpoints

Cloud External Key Manager (Cloud EKM)

Cloud Filestore

Cloud Functions

Cloud Functions for Firebase

Cloud Healthcare

Cloud Healthcare API

Cloud HSM

Cloud Identity

Cloud Identity-Aware Proxy

Cloud IDS

Cloud Interconnect

Cloud Key Management Service

Cloud Life Sciences(原称 Google Genomics)

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (网络地址转换)

Cloud Natural Language API

Cloud Profiler

Cloud Router

Cloud Run(全托管式)

Cloud Run for Anthos

Cloud Scheduler

Cloud SDK

Cloud Shell

Cloud Source Repositories

Cloud Spanner

Cloud SQL

Cloud Storage

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace

Cloud Translation

Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Contact Center AI

Container Registry

Data Catalog

Database Migration Service

Dataflow

Dataproc

Datastore

DataStream

Dialogflow

Document AI

Earth Engine

Eventarc

Firebase Authentication

Firestore

GCP Marketplace(以前称为 Cloud Launcher)

Vertex AI 的生成式 AI

GKE Hub

Google Cloud Armor

Google Kubernetes Engine

Identity & Access Management

Identity Platform

数据分析

Key Access Justification (Access Sovereignty)

Looker Studio(包括 Pro 版以前的 Google 数据洞察)

Memorystore

Network Connectivity Center

Network Intelligence Center

Network Service Tiers

笔记本(原称 Vertex AI Workbench/AI Platform Notebooks)

永久性磁盘

Pub/Sub

reCAPTCHA Enterprise

Resource Manager API

Secret Manager

Security Command Center - 包括 Web Security Scanner(原称 Cloud Security Scanner)

Service Directory

Service Infrastructure(原称 Service Control;包括 Service Management API 和 Service Consumer Management API)

Speech-to-Text

Storage Transfer Service

Talent Solutions

Text-to-Speech

Traffic Director

Vertex AI Forecast

Vertex AI Model Registry

Vertex AI Search(包含 Agentspace)

Vertex ML Metadata

Vertex 模型监控

Vertex 在线和批量预测

Vertex Pipelines

Vertex Training

Video Intelligence API

Virtual Private Cloud (VPC)

VM 管理器

VPC Service Controls

Web Risk API

Workflows

员工身份联合 (BYOID)


Protected B 高价值资产 (PBHVA)

Access Approval

Access Context Manager

Access Transparency

管理控制台(包括 Admin SDK、Directory Sync)

AI Platform Data Labeling

AI Platform 神经架构搜索

AI Platform Training 和 AI Platform Prediction

Anthos Config Management (ACM)

Anthos Identity Service (AIS)

Anthos Service Mesh

Apigee

App Engine

Artifact Registry

Assured Workloads

AutoML Natural Language

AutoML Tables

AutoML Translation

AutoML Video

AutoML Vision

BeyondCorp Enterprise(注意:已从 Cloud 控制台分离)

BigQuery

BigQuery Data Transfer Service

Binary Authorization

Care Studio(以前称为 Cloud Healthcare Search)

Certificate Authority Service

Chronicle(安全产品)

Chronicle SOAR

Cloud Asset Inventory

Cloud Bigtable

Cloud Billing

Cloud Build

Cloud CDN

Cloud Composer

Cloud 控制台(不含 BeyondCorp Enterprise)

Cloud Console 应用

Cloud Data Fusion

Cloud Data Loss Prevention

Cloud Deployment Manager

Cloud DNS

Cloud Endpoints

Cloud External Key Manager (Cloud EKM)

Cloud Filestore

Cloud Functions

Cloud Functions for Firebase

Cloud Healthcare

Cloud Healthcare API

Cloud HSM

Cloud Identity

Cloud Identity-Aware Proxy

Cloud IDS

Cloud Interconnect

Cloud Key Management Service

Cloud Life Sciences(原称 Google Genomics)

Cloud Load Balancing

Cloud Logging

Cloud Monitoring

Cloud NAT (网络地址转换)

Cloud Natural Language API

Cloud Profiler

Cloud Router

Cloud Run(全托管式)

Cloud Run for Anthos

Cloud Scheduler

Cloud SDK

Cloud Shell

Cloud Source Repositories

Cloud Spanner

Cloud SQL

Cloud Storage

Cloud Storage for Firebase

Cloud Tasks

Cloud Trace

Cloud Translation

Cloud Vision

Cloud VPN

Cloud Workstations

Compute Engine

Connect

Contact Center AI

Container Registry

Data Catalog

Database Migration Service

Dataflow

Dataproc

Datastore

DataStream

Dialogflow

Document AI

Earth Engine

Eventarc

Firebase Authentication

Firestore

GCP Marketplace(以前称为 Cloud Launcher)

GKE Hub

Google Cloud Armor

Google Kubernetes Engine

Identity & Access Management

Identity Platform

数据分析

Key Access Justification (Access Sovereignty)

Looker Studio(包括 Pro 版以前的 Google 数据洞察)

Memorystore

Network Connectivity Center

Network Intelligence Center

Network Service Tiers

笔记本(原称 Vertex AI Workbench/AI Platform Notebooks)

永久性磁盘

Pub/Sub

reCAPTCHA Enterprise

Resource Manager API

Secret Manager

Security Command Center - 包括 Web Security Scanner(原称 Cloud Security Scanner)

Service Directory

Service Infrastructure(原称 Service Control;包括 Service Management API 和 Service Consumer Management API)

Speech-to-Text

Storage Transfer Service

Talent Solutions

Text-to-Speech

Traffic Director

Vertex AI Forecast

Vertex AI Model Registry

Vertex ML Metadata

Vertex 模型监控

Vertex 在线和批量预测

Vertex Pipelines

Vertex Training

Video Intelligence API

Virtual Private Cloud (VPC)

VM 管理器

VPC Service Controls

Web Risk API

Workflows

员工身份联合 (BYOID)

更进一步

获享 $300 赠金以及 20 多种提供“始终免费”用量的产品,开始在 Google Cloud 上构建项目。

Security