Skip to content

canada-ca/cloud-guardrails

Repository files navigation

GC Cloud Guardrails

(Français)

The latest version of the GC Cloud Guardrails can be found on canada.ca.

The previous version can be found here.

A crosswalk between GC Cloud Guardrails v1.0 and v2.0 is also available.

Introduction

The Government of Canada Cloud Guardrails describe a preliminary set of baseline cyber security controls to ensure that the cloud service environment has a minimum set of configurations. Departments must implement, validate and report on compliance with the guardrails in the first 30 business days of getting access to their cloud account.

Departments are responsible for implementing the minimum configurations identified in the following tables. Validation of the guardrails will be performed by the SSC Cloud Services Directorate. The Standard Operating Procedure for GC Cloud Guardrails Validation and Escalation Oversight has been developed to support the validation.

Definitions

For this document the following definitions will be used:

  • Mandatory requirements: A set of baseline security controls that departments must implement, validate and report on in the first 30 business days of getting access to their cloud account.
  • Additional security controls that are highly recommended and should be taken into consideration. While these controls are not expected to be implemented within 30 business days of departments getting access to their cloud account, the controls include best practices that should be considered as departments establish their cloud-based environments.

Cloud Guardrails

ID. Cloud Guardrails
01 Protect User Accounts and Identities
02 Manage Access
03 Secure Endpoints
04 Enterprise monitoring accounts
05 Data location
06 Protection of data-at-rest
07 Protection of data-in-transit
08 Segment and separate
09 Network security services
10 Cyber defense services
11 Logging and monitoring
12 Configuration of cloud marketplaces
13 Plan for Continuity

After the first 30 business days

Implementing the guardrails is one of the first steps to establishing a secure cloud-based environment. Departments are expected to continue implementing the security requirements as outlined in:

Departments should engage with their IT security risk management teams to obtain advice and guidance on integrating security assessment and authorization activities as part of the implementation of the GC cloud environment. The Government of Canada Cloud Security Risk Management Approach and Procedures outlines activities for departments to consider as part of risk management.

Shared Services Canada (SSC) will perform periodic audits of the departmental tenant environment to ensure ongoing compliance with the guardrails after the first 30 business days.

How to Contribute

See CONTRIBUTING.md

License

Unless otherwise noted, the source code of this project is covered under Crown Copyright, Government of Canada, and is distributed under the MIT License.

The Canada wordmark and related graphics associated with this distribution are protected under trademark law and copyright law. No permission is granted to use them outside the parameters of the Government of Canada's corporate identity program. For more information, see Federal identity requirements.


Mesures de protection du nuage du GC

La dernière version du Mesures de protection du nuage du GC est disponible sur canada.ca.

La version précédente peut être consultée ici.

Une évaluation entre les mesures de protection du nuage du GC v1.0 et v2.0 est également disponible

Introduction

Les mesures de protection du nuage du gouvernement du Canada décrivent un ensemble préliminaire de mesures de cybersécurité de base visant à garantir que l’environnement des services d’informatique en nuage dispose d’un ensemble minimal de configurations. Les ministères doivent mettre en œuvre et valider les mesures de protection du nuage ainsi que rendre compte de leur conformité à ces mesures dans les 30 premiers jours ouvrables suivant l’obtention de leur compte d’accès au nuage.

Il incombe aux ministères de mettre en œuvre les configurations minimales définies dans les tableaux suivants. La validation des mesures de protection sera assurée par la Direction des services d’informatique en nuage de Services partagés Canada (SPC). La Procédure opérationnelle normalisée pour la surveillance de la validation et de l’acheminement des mesures de protection de l’informatique en nuage du GC a été élaborée pour aider à mener à bien la validation. été élaborée pour aider à mener à bien la validation.

Définitions

Les définitions suivantes seront utilisées pour les mesures de protection du nuage du gouvernement du Canada :

  • Exigences à respecter : Ensemble de mesures de sécurité de base que les ministères doivent mettre en œuvre et valider, et au regard desquels ils doivent rendre compte de leur conformité, dans les 30 premiers jours ouvrables suivant l’obtention de leur compte d’accès au nuage.
  • Autres considérations : Mesures de sécurité supplémentaires qui sont fortement recommandées et qu’il conviendrait de prendre en considération. Bien qu’il ne soit pas attendu que ces mesures soient mises en œuvre dans les 30 premiers jours ouvrables suivant l’obtention de leur compte d’accès au nuage, elles proposent des pratiques exemplaires qui devraient être prises en considération au fur et à mesure de l’adoption, par les ministères, de leurs environnements d’informatique en nuage.

Mesures de protection du nuage

ID. Mesures de protection du nuage
01 Protéger les comptes d’utilisateurs et les identités
02 Gérer l’accès
03 Sécuriser les points d’extrémité
04 Comptes de surveillance de l’organisation
05 Emplacement des données
06 Protection des données inactives
07 Protection des données en transit
08 Segmenter et séparer
09 Services de sécurité des réseaux
10 Services de cyberdéfense
11 Enregistrement et surveillance
12 Configuration des marchés de l’informatique en nuage
13 Planifier la continuité

Après les 30 premiers jours ouvrables

La mise en œuvre des mesures de sécurité compte parmi les premières étapes de la mise en place d’un environnement sécurisé fondé sur l’informatique en nuage. Il est attendu des ministères qu’ils continuent de mettre en œuvre les exigences en matière de sécurité ainsi qu’elles sont énoncées dans les documents suivants :

Les ministères devraient consulter leurs équipes de gestion des risques liés à la sécurité de la TI pour obtenir des conseils et des orientations sur l’intégration des activités d’évaluation et d’autorisation de la sécurité dans le cadre de la mise en œuvre de l’environnement d’informatique en nuage du gouvernement du Canada. Le document Approche et procédures de gestion des risques à la sécurité de l’informatique en nuage du gouvernement du Canada décrit les activités que les ministères doivent envisager dans le cadre de la gestion des risques.

Services partagés Canada procédera à des vérifications périodiques de l’environnement des locataires ministériels afin de veiller au respect des mesures de protection dans les 30 premiers jours ouvrables.

Façon de contribuer

Consulter CONTRIBUTING.md

Licence

Sauf indication contraire, le code source de ce projet est couvert par le droit d’auteur de la Couronne, gouvernement du Canada, et est distribué en vertu d’une licence MIT.

Le mot-symbole Canada et les graphiques connexes liés à cette distribution sont protégés en vertu du droit des marques de commerce et des lois sur le droit d’auteur. Aucune permission n’est accordée pour les utiliser en dehors des paramètres du Programme de coordination de l’image de marque du gouvernement du Canada. Pour en apprendre davantage, consulter Exigences pour l’image de marque.