(Français)
The latest version of the GC Cloud Guardrails can be found on canada.ca.
The previous version can be found here.
A crosswalk between GC Cloud Guardrails v1.0 and v2.0 is also available.
The Government of Canada Cloud Guardrails describe a preliminary set of baseline cyber security controls to ensure that the cloud service environment has a minimum set of configurations. Departments must implement, validate and report on compliance with the guardrails in the first 30 business days of getting access to their cloud account.
Departments are responsible for implementing the minimum configurations identified in the following tables. Validation of the guardrails will be performed by the SSC Cloud Services Directorate. The Standard Operating Procedure for GC Cloud Guardrails Validation and Escalation Oversight has been developed to support the validation.
For this document the following definitions will be used:
- Mandatory requirements: A set of baseline security controls that departments must implement, validate and report on in the first 30 business days of getting access to their cloud account.
- Additional security controls that are highly recommended and should be taken into consideration. While these controls are not expected to be implemented within 30 business days of departments getting access to their cloud account, the controls include best practices that should be considered as departments establish their cloud-based environments.
Implementing the guardrails is one of the first steps to establishing a secure cloud-based environment. Departments are expected to continue implementing the security requirements as outlined in:
- Direction on the Secure Use of Commercial Cloud Services: Security Policy Implementation Notice (SPIN) 2017-01
- Government of Canada Security Control Profile for Cloud-Based GC Services
Departments should engage with their IT security risk management teams to obtain advice and guidance on integrating security assessment and authorization activities as part of the implementation of the GC cloud environment. The Government of Canada Cloud Security Risk Management Approach and Procedures outlines activities for departments to consider as part of risk management.
Shared Services Canada (SSC) will perform periodic audits of the departmental tenant environment to ensure ongoing compliance with the guardrails after the first 30 business days.
See CONTRIBUTING.md
Unless otherwise noted, the source code of this project is covered under Crown Copyright, Government of Canada, and is distributed under the MIT License.
The Canada wordmark and related graphics associated with this distribution are protected under trademark law and copyright law. No permission is granted to use them outside the parameters of the Government of Canada's corporate identity program. For more information, see Federal identity requirements.
La dernière version du Mesures de protection du nuage du GC est disponible sur canada.ca.
La version précédente peut être consultée ici.
Une évaluation entre les mesures de protection du nuage du GC v1.0 et v2.0 est également disponible
Les mesures de protection du nuage du gouvernement du Canada décrivent un ensemble préliminaire de mesures de cybersécurité de base visant à garantir que l’environnement des services d’informatique en nuage dispose d’un ensemble minimal de configurations. Les ministères doivent mettre en œuvre et valider les mesures de protection du nuage ainsi que rendre compte de leur conformité à ces mesures dans les 30 premiers jours ouvrables suivant l’obtention de leur compte d’accès au nuage.
Il incombe aux ministères de mettre en œuvre les configurations minimales définies dans les tableaux suivants. La validation des mesures de protection sera assurée par la Direction des services d’informatique en nuage de Services partagés Canada (SPC). La Procédure opérationnelle normalisée pour la surveillance de la validation et de l’acheminement des mesures de protection de l’informatique en nuage du GC a été élaborée pour aider à mener à bien la validation. été élaborée pour aider à mener à bien la validation.
Les définitions suivantes seront utilisées pour les mesures de protection du nuage du gouvernement du Canada :
- Exigences à respecter : Ensemble de mesures de sécurité de base que les ministères doivent mettre en œuvre et valider, et au regard desquels ils doivent rendre compte de leur conformité, dans les 30 premiers jours ouvrables suivant l’obtention de leur compte d’accès au nuage.
- Autres considérations : Mesures de sécurité supplémentaires qui sont fortement recommandées et qu’il conviendrait de prendre en considération. Bien qu’il ne soit pas attendu que ces mesures soient mises en œuvre dans les 30 premiers jours ouvrables suivant l’obtention de leur compte d’accès au nuage, elles proposent des pratiques exemplaires qui devraient être prises en considération au fur et à mesure de l’adoption, par les ministères, de leurs environnements d’informatique en nuage.
La mise en œuvre des mesures de sécurité compte parmi les premières étapes de la mise en place d’un environnement sécurisé fondé sur l’informatique en nuage. Il est attendu des ministères qu’ils continuent de mettre en œuvre les exigences en matière de sécurité ainsi qu’elles sont énoncées dans les documents suivants :
- Orientation sur l’utilisation sécurisée des services commerciaux d’informatique en nuage : Avis de mise en œuvre de la Politique sur la sécurité (AMOPS) 2017-01.
- Profil des mesures de sécurité pour les services du GC fondés sur l’informatique en nuage.
Les ministères devraient consulter leurs équipes de gestion des risques liés à la sécurité de la TI pour obtenir des conseils et des orientations sur l’intégration des activités d’évaluation et d’autorisation de la sécurité dans le cadre de la mise en œuvre de l’environnement d’informatique en nuage du gouvernement du Canada. Le document Approche et procédures de gestion des risques à la sécurité de l’informatique en nuage du gouvernement du Canada décrit les activités que les ministères doivent envisager dans le cadre de la gestion des risques.
Services partagés Canada procédera à des vérifications périodiques de l’environnement des locataires ministériels afin de veiller au respect des mesures de protection dans les 30 premiers jours ouvrables.
Consulter CONTRIBUTING.md
Sauf indication contraire, le code source de ce projet est couvert par le droit d’auteur de la Couronne, gouvernement du Canada, et est distribué en vertu d’une licence MIT.
Le mot-symbole Canada et les graphiques connexes liés à cette distribution sont protégés en vertu du droit des marques de commerce et des lois sur le droit d’auteur. Aucune permission n’est accordée pour les utiliser en dehors des paramètres du Programme de coordination de l’image de marque du gouvernement du Canada. Pour en apprendre davantage, consulter Exigences pour l’image de marque.