Google Cloud 的 Protected B 合规性
加拿大网络安全中心制定了一个用于评估云服务安全性的框架,名为“加拿大政府:云服务提供商 (CSP) 信息技术安全 (ITS) 评估计划”。ITS 评估计划的主要目标是向加拿大政府 (GC) 部门和机构保证,云服务符合 GC 对信息和服务的公有云安全要求(最高到Protected B)。ITS 评估计划评估 CSP 提供的特定云服务的安全状况、控制措施和运营实践。它不会对整个公司进行认证,而是根据已定义的 GC 安全控制配置文件评估特定服务。
CSP ITS 评估由加拿大政府 (GC) 内的不同团队进行,包括三个组成部分:1) 网络中心的供应链完整性 (SCI) 团队评估与公司所有权、地理位置和产品/服务相关的风险;2) 加拿大公共服务和采购 - 合同安全计划 (PSPC CSP) 进行的物理和人员安全评估;3) 网络中心根据 GC 云控制配置文件(Protected B 中等 [以前称为 PBMM] 和Protected B 高价值资产叠加层 [PBHVA])评估云服务。
Google Cloud 已完成 ITS 评估的所有三个组成部分,包括网络中心的供应链完整性和 IT 云安全评估流程,以及所需的物理和人员安全评估。如果加拿大联邦政府客户根据合同安全计划采购云服务,则必须使用 Data Boundary for Canada Protected B 功能包。
简介
加拿大政府 (GC) 使用不同的安全分类级别(例如 Protected A、Protected B、机密、秘密和绝密)对数据进行分类,具体取决于信息的敏感性,以及信息的机密性、完整性和/或可用性遭到破坏时可能造成的潜在危害。虽然 GC 部门和机构可以使用云服务,但 GC 部门必须先对信息进行识别和分类,以了解应该应用的安全控制措施。
什么是 Protected B?
“Protected”信息可分为Protected A、Protected B 或Protected C,适用于个人信息、商业机密信息或任何其他信息或资产,如果这些信息或资产泄露,有合理理由认为会损害非国家利益。更具体地说,Protected B 可以包括敏感的个人信息,例如:医疗记录、绩效评估报告、详细的财务信息等。未经授权披露此类信息可能会对个人或组织造成严重伤害,例如造成痛苦、财务损失或声誉受损。
GC 发布了多项政策工具,例如政府安全政策、有关服务和数字化的政策/指令/指南、合同安全手册,以及商业云服务安全使用指令:安全政策实施通知 (SPIN),其中描述了各部门、机构和私营部门组织为保护敏感的政府信息而应考虑的物理、人员和 IT 安全要求以及控制措施。
对于 Protected B,云相关的安全控制要求有哪些?
对于云,安全控制要求在信息技术安全指南 (ITSG-33) - IT 安全风险管理:生命周期方法的附录 3 中进行了说明。将网络中心的中等云安全控制配置文件用作 IT 安全要求的基准。此外,GC 还开发了Protected B 高价值资产 (PBHVA) 云安全控制配置文件,其中定义了可作为增强功能来支持已确定为高价值资产系统的Protected B 工作负载的额外完整性和可用性控制。
加拿大公共服务和采购部 (PSPC) 合同安全计划 (CSP)
PSPC CSP 验证云服务合同的人员和物理安全。这包括确保 Google Cloud 在 PSPC CSP 中注册并持有必要的组织安全许可,以及为有业务需要访问Protected信息或运营区域的员工提供人事安全许可。PSPC 还会对 Google Cloud 的加拿大数据中心位置进行物理安全检查,以确认安全运维区域、适当的数据保护措施、受控访问权限和合同安全要求均已满足。
加拿大网络安全中心 (CCCS) 供应链完整性 (SCI)
网络中心 SCI 团队会评估与公司相关的风险因素(例如所有权、位置和商业行为),以及产品或服务本身的技术风险。SCI 团队使用各种来源来生成风险评分,这有助于最终确定云安全评估。如需了解有关 SCI 流程的更多信息,请参阅《ITSAP.10.070, Cyber supply chain: An approach to assessing risk》(ITSAP.10.070,网络供应链:评估风险的方法)。
加拿大网络安全中心 (CCCS) CSP IT 安全评估流程
云服务提供商 (CSP) 信息技术安全 (ITS) 评估流程 (ITSM.50.100) 包括对云解决方案进行详细评估,以确保其符合安全控制要求,例如“中等云配置文件”和/或“Protected B 高价值资产叠加配置文件”。Google Cloud 负责提供证据,证明其符合相关控制配置文件中的各项安全控制措施。然后,CCCS 会发布一份安全评估报告,总结其发现结果。
Google Cloud 已通过 PSPC CSP 的组织、物理和人员安全要求评估。Google Cloud 还完成了加拿大网络安全中心 (CCCS) 云服务提供商 (CSP) IT 安全评估和供应链完整性 (SCI) 流程,并已获批支持Protected B 中等资产工作负载和Protected B 高价值资产工作负载。您可以通过合规报告管理器按需获取 CCCS 摘要报告,无需支付额外费用。
Google Cloud 对默认安全基础设施的持续投入,确保安全控制措施已内置且预配置,使客户无需依赖传统的隔离式政府云基础设施,也能实现多种合规等级。
Assured Workloads 是 Google Cloud 提供的一项合规性服务,旨在帮助客户满足各种监管框架的要求,例如 CJIS、FedRAMP(中风险级别和高风险级别)、美国国防部 IL2 / IL4 / IL5、Protected B 等。
如果加拿大联邦政府客户希望使用 Google Cloud 服务处理 Protected 工作负载,并希望符合合同安全计划要求,则必须使用 Data Boundary for Canada Protected B 功能包。通过 Assured Workloads for Canada Protected B 提供的 Protected B 授权服务可简化加拿大政府部门和机构的安全和合规流程,方法是实施以下控制措施:设置保护措施,将 Protected B 客户数据位置限制在加拿大境内,以及仅由经过审核的人员提供可靠性状态(或更高等级)安全筛查的技术支持。如需查看 Assured Workloads for Canada Protected B 支持的产品和服务列表,请点击此处。
以下 Google Cloud 服务已通过加拿大网络安全中心进行的 Protected B IT 安全评估:
Protected B 中型
管理控制台(包括 Admin SDK、Directory Sync)
AI Platform Training 和 AI Platform Prediction
Anthos Config Management (ACM)
BeyondCorp Enterprise(注意:已从 Cloud 控制台分离)
BigQuery Data Transfer Service
Care Studio(以前称为 Cloud Healthcare Search)
Cloud 控制台(不含 BeyondCorp Enterprise)
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences(原称 Google Genomics)
GCP Marketplace(以前称为 Cloud Launcher)
Key Access Justification (Access Sovereignty)
Looker Studio(包括 Pro 版以前的 Google 数据洞察)
笔记本(原称 Vertex AI Workbench/AI Platform Notebooks)
Security Command Center - 包括 Web Security Scanner(原称 Cloud Security Scanner)
Vertex AI Search(包含 Agentspace)
Protected B 高价值资产 (PBHVA)
管理控制台(包括 Admin SDK、Directory Sync)
AI Platform Training 和 AI Platform Prediction
Anthos Config Management (ACM)
BeyondCorp Enterprise(注意:已从 Cloud 控制台分离)
BigQuery Data Transfer Service
Care Studio(以前称为 Cloud Healthcare Search)
Cloud 控制台(不含 BeyondCorp Enterprise)
Cloud External Key Manager (Cloud EKM)
Cloud Life Sciences(原称 Google Genomics)
GCP Marketplace(以前称为 Cloud Launcher)
Key Access Justification (Access Sovereignty)
Looker Studio(包括 Pro 版以前的 Google 数据洞察)
笔记本(原称 Vertex AI Workbench/AI Platform Notebooks)
Security Command Center - 包括 Web Security Scanner(原称 Cloud Security Scanner)
Protected B 中型