Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
CCCS Medium – Übersicht
Die Geschützte B-Sicherheitsstufe der kanadischen Regierung (GC) für vertrauliche Regierungsinformationen und -ressourcen gilt für Informationen oder Ressourcen, die bei einer Kompromittierung eine Person, organization oder Regierung ernsthaft verletzen könnten. Auf der Grundlage des Information Technology Security Guidance (ITSG) 33 zum IT-Sicherheitsrisikomanagement, das vom Canadian Centre for Cybersecurity (CCCS) veröffentlicht wurde, entwickelte GC den Leitfaden zur Sicherheitskategorisierung von Cloud-Based Services (ITSP.50.103) und das Government of Canada Security Control Profile for Cloud-based GC Services (GC Security Control Profile), das die grundlegenden Sicherheitskontrollen identifiziert, die für die Verarbeitung von Informationen mit einer Sicherheitskategorie gelten. geschützter B-Wert, mittlere Integrität und mittlere Verfügbarkeit (PBMM). Aus dem ursprünglichen PBMM-Sicherheitssteuerungsprofil wurde das heutige CCCS Medium Cloud Profile Recommendations (CCCS Medium Cloud Profile Recommendations) entwickelt.
Das GC Security Control Profile verwendet das ITSG-33 und das US Federal Risk and Authorization Management Program (FedRAMP), die beide eine Grundlage in der National Institute of Standards and Technology (NIST) Special Publication (SP) 800-53 Sicherheits- und Datenschutzkontrollen haben. GC richtet das GC-Sicherheitskontrollprofil auf FedRAMP aus, um sowohl die Interoperabilität von Clouddiensten als auch die Wiederverwendbarkeit der von Clouddienstanbietern (Cloud Service Provider, CSPs) erstellten Autorisierungsnachweise zu maximieren.
Das Treasury Board of Canada Secretariat (TBS) ist verantwortlich für gc Unternehmensgovernance, -strategie und -richtlinien für Clouddienste, einschließlich der Aufrechterhaltung der Aufsicht und Überwachung der Abteilungskonformität mit den GC Cloud Guardrails gemäß der Richtlinie über Dienstleistungen und Digitales. GC hat seine Strategie für die Cloudeinführung weiterentwickelt und sich nun für ein cloud-intelligentes Prinzip eingesetzt, bei dem cloud die bevorzugte Option für neue Anwendungen ist, und bestehende Anwendungsportfolios rationalisiert, um sich am am besten geeigneten Hostingmodell auszurichten.
Das Canadian Centre for Cybersecurity (CCCS) hat einen Sicherheitsbewertungsprozess für Cloud-Dienstanbieter eingerichtet, der die Fähigkeit eines CSP überprüft, die CCCS Medium-Sicherheitskontrollen zu implementieren (Hinweis: Das CCCS Medium-Kontrollprofil ersetzte das ursprüngliche Sicherheitskontrollprofil der Kanadischen Regierung für cloudbasierte GC-Dienste). Der resultierende Bericht zur technischen Risikobewertung enthält die Ergebnisse des Überprüfungsprozesses. Abteilungsleitfaden zur Bewertung und Autorisierung der Cloudsicherheit (ITSP.50.105) sind auch über CCCS verfügbar.
Zu Microsoft gehörende Cloudplattformen und -dienste
Das Canadian Centre for Cyber Security führt Bewertungen durch, bei denen die Sicherheitskontrollen und -prozesse von Cloud-Dienstanbietern gemäß dem Sicherheitskontrollprofil von CCCS Medium anhand der Sicherheitsanforderungen der kanadischen Regierung für Informationen und Dienste bis zu "Protected B", "Medium Integrity, Medium Availability" (PBMM) bewertet werden. Bis heute hat das CCCS die folgenden Microsoft-Onlinedienste offiziell bewertet:
- Azure
- Dynamics 365
- Power Platform
- Microsoft 365
Azure, Dynamics 365, Power Platform und CCCS Medium
Microsoft war einer der ersten globalen Clouddienstanbieter, der sich für sichere Clouddienste der kanadischen Regierung qualifiziert hat, als es 2019 eine Rahmenvereinbarung mit der Bundesregierung unterzeichnete. Das Rahmenabkommen unterstützt die Ambitionen der kanadischen Regierung, Regierungsprozesse zu rationalisieren, und ist ein wichtiger Schritt auf dem Weg zu einer echten digitalen Regierung. Die von Microsoft Azure CCCS Medium bewerteten Dienste eröffnen neue Möglichkeiten für Innovation, Transformation und Dienstflexibilität im öffentlichen Sektor, da Öffentliche Bediensteten Zugriff auf eine Reihe von anspruchsvollen Funktionen erhalten, die die Speicherung und Verarbeitung geschützter B-Daten unterstützen. Darüber hinaus profitieren Regierungsbehörden vom florierenden Ökosystem von Microsoft aus Partnern und Entwicklern, die innovative und sichere Lösungen auf Azure erstellen.
Microsoft verfügt über zwei kanadische Azure Cloudregionen: Kanada, Mitte in Toronto und Kanada, Osten in Québec City, die jeweils aus mehreren Hyperscale-Cloudrechenzentren bestehen. Diese Regionen fügen kanadische Datenresidenz im Land für die Speicherung ruhender Kundendaten, Failover und Notfallwiederherstellung für Anwendungen und Kundendaten für viele Core Online Services hinzu. Weitere Investitionen in die Rechenzentrumsinfrastruktur in der Region Kanada, Mitte ermöglichen eine Azure Verfügbarkeitszone innerhalb der Region Kanada, Mitte, damit Kunden noch resilientere und hochverfügbare Anwendungen für unternehmenskritische Workloads erstellen können.
Eine vollständige Liste der im Gültigkeitsbereich bewerteten CCCS-Clouddienste in Azure, Dynamics 365 und Power Platform finden Sie in den zusammenfassenden Bewertungsberichten im Abschnitt "Kanada" des Service Trust Portals.
Office 365 und CCCS Medium
Office 365 Umgebungen
Microsoft Office 365 ist eine mehrinstanzenfähige Hyperscale-Cloudplattform und eine integrierte Oberfläche für Apps und Dienste, die Kunden in mehreren Regionen weltweit zur Verfügung steht. Die meisten Office 365-Dienste ermöglichen es Kunden, die Region anzugeben, in der sich ihre Kundendaten befinden. Microsoft kann Kundendaten aus Gründen der Datenresilienz in andere Regionen innerhalb desselben geografischen Gebiets (z. B. die USA) replizieren, Microsoft repliziert jedoch keine Kundendaten außerhalb des ausgewählten geografischen Bereichs.
In diesem Abschnitt werden die folgenden Office 365 Umgebungen behandelt:
- Clientsoftware (Client): Kommerzielle Clientsoftware, die auf Kundengeräten ausgeführt wird.
- Office 365 (Kommerziell): Der kommerzielle öffentliche Office 365-Clouddienst, der global verfügbar ist.
- Office 365 Government Community Cloud (GCC): Der Office 365 GCC-Clouddienst ist für Bundes-, Landes-, Kommunal- und Stammesregierungen der Vereinigten Staaten sowie für Auftragnehmer verfügbar, die Daten im Auftrag der US-Regierung speichern oder verarbeiten.
- Office 365 Government Community Cloud – High (GCC High): Der Office 365 GCC-High-Clouddienst wurde gemäß den Sicherheitsanforderungen der Richtlinien des Verteidigungsministeriums (DoD) Level 4 entwickelt und unterstützt streng regulierte Bundes- und Verteidigungsinformationen. Diese Umgebung wird von Bundesbehörden, der Defense Industrial Base (DIBs) und staatlichen Auftragnehmern verwendet.
- Office 365 DoD (DoD): Der Office 365 DoD-Clouddienst wurde gemäß den DoD-Sicherheitsanforderungen der Stufe 5 entwickelt und unterstützt strenge Bundes- und Verteidigungsvorschriften. Diese Umgebung ist für die ausschließliche Verwendung durch das US-Verteidigungsministerium bestimmt.
Verwenden Sie diesen Abschnitt, um Ihre Complianceverpflichtungen in regulierten Branchen und globalen Märkten zu erfüllen. Informationen dazu, welche Dienste in welchen Regionen verfügbar sind, finden Sie in den Informationen zur internationalen Verfügbarkeit und im Artikel Wo Ihre Microsoft 365 Kundendaten gespeichert werden. Weitere Informationen zur Office 365 Government-Cloudumgebung finden Sie im Artikel Office 365 Government-Cloud.
Ihre Organisation ist vollständig dafür verantwortlich, die Einhaltung aller geltenden Gesetze und Bestimmungen sicherzustellen. Die in diesem Abschnitt bereitgestellten Informationen stellen keine rechtliche Beratung dar und Sie sollten sich bei Fragen zur Einhaltung gesetzlicher Bestimmungen für Ihre Organisation an Rechtsberater wenden.
Office 365-Anwendbarkeit und im Leistungsumfang enthaltene Dienste
Verwenden Sie die folgende Tabelle, um die Anwendbarkeit für Ihre Office 365 Dienste und Abonnements zu bestimmen:
| Anwendbarkeit | Im Leistungsumfang enthaltene Dienste |
|---|---|
| Kommerziell | Advanced eDiscovery, Kunden-Lockbox, Defender Endpoint, Defender for Cloud Apps, Defender für M365, Defender of Identity, Exchange Online (EXO), Loki, Microsoft Information Protection, Microsoft Intune, Microsoft Planner, Microsoft Stream, Microsoft Teams, Office Forms, Office für das Web (Word, Excel, OneNote, PowerPoint), Office PODS (PowerPoint Online Document Service), Office Project, Office Services-Infrastruktur, Office Sway, OneNote Service, Telefonsystem & Anruf, Inhalte durchsuchen Service, Sharepoint Online, SharePoint Syntex, Suite User Experience, ToDo, Viva Insights, Viva Learning, Viva Topics, Windows 365 |
Bewertungsberichte
Kunden können auf die zusammenfassenden CCCS-Bewertungsberichte für Microsoft-Dienste im Regionalen Abschnitt Kanada des Service Trust Portals zugreifen. Kanadische Regierungskunden können die detaillierten Sicherheitsbewertungsberichte für Microsoft-Dienste erhalten, indem sie sich unter an contact@cyber.gc.caden CCCS wenden.
Häufig gestellte Fragen
Welche Microsoft-Clouddienste stehen der kanadischen Regierung über den Cloudvertrag "Shared Services Canada" zur Verfügung?
Microsoft ist einer der ersten globalen Cloudanbieter, der von der kanadischen Regierung ein Cloud-Framework-Abkommen erhalten hat. Microsoft bietet eine Reihe kommerzieller Clouddienste an, darunter Azure, Dynamics 365, Power Platform und Microsoft 365. Der Shared Services Canada-Cloudbrokerkatalog enthält Details zu den Microsoft-Clouddiensten, auf die GC-Abteilungen zugreifen können.
Welchem Grad der US FedRAMP-Compliance entsprechen die Clouddienste von Microsoft, und wie gilt diese Compliance für kanadische Cloudregionen?
Microsoft Azure kommerziellen (einschließlich Dynamics 365) unterhält eine FedRAMP High Provisional Authority to Operate (P-ATOs). Microsoft 365 Commercial verwaltet eine FedRAMP High-Äquivalenz. Azure Regionen außerhalb des USA sind nicht formal vom FedRAMP Joint Authorization Board (JAB) autorisiert und nicht im FedRAMP High P-ATO-Bereich enthalten. Azure Sicherheitskontrollen und Betriebsprozesse sind jedoch überall konsistent, Azure ausgeführt wird. FedRAMP basiert auf den NIST SP 800-53-Kontrollbaselines. Alle NIST SP 800-53-Kontrollen, die die Azure FedRAMP High P-ATO im USA unterstützen, sind auch in anderen Azure Regionen außerhalb des USA betriebsbereit. Daher können Azure Kunden außerhalb des USA auf die gleichen Steuerungsimplementierungsdetails zählen, die sich auf die NIST SP 800-53 High Control Baseline beziehen. Weitere Informationen finden Sie unter Federal Risk and Authorization Management Program (FedRAMP). Der FedRAMP-Überwachungsbeweis ist im Service Trust Portal verfügbar.
Gibt es geografische Einschränkungen, wo geschützte B-Daten gespeichert werden müssen?
Die kanadische Regierung verfügt über eine flexible Datenresidenz (Speicherung ruhender Daten) für die Speicherung geschützter B-Daten gemäß Abschnitt 4.4.3.14 der Richtlinie über Dienste und digitale Daten. Diese Richtlinie wird in Abschnitt 4.4 der Richtlinie für Dienstleistungen und digitale Dienste weiter präzisiert. Die kanadische Datenresidenz muss als Hauptbereitstellungsoption für die Speicherung geschützter B-Daten in der Cloud identifiziert und ausgewertet werden. Der Abteilungs-CIO (oder in einigen Fällen der CIO von Kanada) hat jedoch die Flexibilität und ist für die Genehmigung von Entscheidungen zur Speicherung von Daten außerhalb Kanadas verantwortlich, basierend auf den folgenden geschäftsbezogenen Kriterien, die in Abschnitt 4.4.3 Überlegungen bei der Umsetzung der Anforderung identifiziert wurden:
- Zuverlässigkeit
- Rechtliche und vertragliche Überlegungen
- Handelsverträge
- Marktverfügbarkeit
- Geschäftswert
- Technische Funktionen
Microsoft-Sicherheitskontrollen und -prozesse werden in allen Cloudregionen weltweit konsistent implementiert. Während Steuerelemente innerhalb des CCCS Medium-Profils möglicherweise auf die Gc-Datenresidenzrichtlinie verweisen, berücksichtigt die Auswertung des Speicherorts ruhender Daten nicht die Risikobewertung eines CCCS-Cloudbewertungsberichts.
Abschnitt 4.4.2 (Warum ist das wichtig?) stellt außerdem klar, dass verschlüsselte Daten während der Übertragung nicht durch die Datenresidenzanforderung eingeschränkt werden.
Die folgenden Ressourcen enthalten Informationen zur Datenresidenz für viele gängige Produkte und Dienste:
- Übersicht über die Microsoft 365-Datenresidenz, Wo Ihre Microsoft 365-Kundendaten gespeichert sind, und Microsoft 365 Advanced Data Residency-Angebot
- Datenresidenz in Azure
- Microsoft Entra ID (früher Azure Active Directory) und Datenresidenz
- Microsoft Defender for Cloud Apps - Datensicherheit und Datenschutz
- Microsoft Defender for Endpoint Datenspeicherung und Datenschutz
- Microsoft Defender for Identity Datensicherheit und Datenschutz
- Microsoft Dynamics 365 Datenspeicherort
- Microsoft Intune Datenspeicherung und -verarbeitung
- Microsoft Power Platform-Datenspeicherort
- Microsoft Professional Services-Datenspeicherort
- Datensicherheit und -aufbewahrung in Microsoft Defender XDR
Was sind nicht regionale Clouddienste?
Azure nicht regionale Dienste sind Dienste, die keine Abhängigkeit von einer bestimmten Azure Region aufweisen und Kunden derzeit nicht die Möglichkeit bieten, eine Bereitstellungsregion anzugeben. Diese Dienste sind so entworfen und optimiert, dass sie als Teil der globalen Cloud von Azure immer verfügbar sind. Ein Beispiel für einen nicht regionalen Dienst ist Azure Active Directory. Eine vollständige Liste finden Sie unter Azure Produkte nach Region.
Wo findet die Datenverarbeitung in der Cloud statt?
Viele Azure-Dienste ermöglichen es Ihnen, die Region anzugeben, in der Ihre Kundendaten gespeichert und verarbeitet werden. Weitere Informationen finden Sie unter Data Residency in Azure. SaaS-Onlinedienste wie Microsoft 365 verarbeiten in der Regel Daten, die dem Speicherort der Daten am nächsten liegen. Die Verarbeitung von Kundendaten kann jedoch in Cloudregionen außerhalb Kanadas erfolgen. Die Erbringung von Supportdiensten kann auch die Verarbeitung von Daten außerhalb Kanadas umfassen.
Ressourcen
Microsoft bietet mehrere Ressourcen, um Kunden bei der Bereitstellung von Clouddiensten zu unterstützen, die für die Ausführung von geschützten B-Workloads geeignet sind, einschließlich:
- Azure Zielzone für den öffentlichen Sektor kanadas: eine zweckorientierte Referenzimplementierung, die Regierungsbehörden bei ihren Bemühungen zur Einhaltung der CCCS Medium-Anforderungen, die in der Verantwortung des Kunden liegen, zu unterstützen.
- Canada Federal PBMM Azure Blueprint: eine Reihe von wiederholbaren Azure Ressourcen und Mustern, die es Organisationen ermöglichen, neue Cloudumgebungen mit Einhaltung bestimmter CCCS Medium-Steuerelemente und GC-Cloud-Guardrails zu erstellen.
- Grundlegende Datenschutz-Folgenabschätzungen (PIAs): Die grundlegenden PIAs sollen Datenschutzverantwortliche, Praktiker und Risikomanager besser informieren, die diese Analyse als Kern für ihre eigene PIA-Arbeit bei der Einführung der cloudbasierten Dienstangebote von Microsoft in Betracht ziehen könnten.
- Microsoft Purview Compliance ManagerProtected B-Bewertungsvorlage: Compliance-Manager ist ein Feature im Microsoft Purview-Portal, mit dem Sie den Compliancestatus Ihrer organization besser verstehen und Maßnahmen ergreifen können, um Risiken zu reduzieren. Compliance Manager bietet einen integrierten Mechanismus, um die Implementierung vieler CCCS Medium-Kundensteuerelemente in der Microsoft 365-Umgebung kontinuierlich zu bewerten und nachzuverfolgen. Suchen Sie die Vorlage Protected B auf der Seite mit den Bewertungsvorlagen im Compliance-Manager. Erfahren Sie, wie Sie Bewertungen im Compliance-Manager erstellen.