ITSG-33-kontrollikartoitus, GC Cloud Guardrails -vaatimustenmukaisuus ja SA&A-viite Kanadan liittovaltion ministeriöille

Last updated: July 12, 2026 by Steve

GC-turvallisuuskontrolliviite

Tämä sivu on tarkoitettu Kanadan liittovaltion ministeriöille, jotka suorittavat AccessPointille tietoturva-arviointia ja -valtuutusta (Security Assessment and Authorization, SA&A). Se kartoittaa AccessPointin tietoturvakontrollit ITSG-33-viitekehykseen, GC Cloud Guardrailsiin ja niihin liittyviin TBS-/CCCS-vaatimuksiin.

Täydellinen tekninen arkkitehtuuri on kuvattu sivulla Tekninen arkkitehtuuri.

Arkkitehtuurin yhteenveto arvioijille

AccessPoint toimii kokonaan ministeriön omassa Microsoft 365- ja Azure-vuokraajassa. Alla olevien kartoitusten pohjana olevat tietoturvan kannalta olennaiset tosiseikat ovat:

  • Taustajärjestelmä — ASP.NET Core Web API Azure App Servicessä (Linux), Azure SQL Database ja Azure Blob Storage, kaikki otettu käyttöön ministeriön omaan Azure-tilaukseen.
  • Identiteetti — Microsoft Entra ID on ainoa identiteetin tarjoaja (JWT-bearer-tokenit). App Service todentautuu taustajärjestelmän palveluihin järjestelmälle määritetyllä hallitulla identiteetillä; Azure SQL käyttää pelkästään Entra-todennusta (SQL-salasanatodennus poistettu käytöstä), joten sovellukseen ei tallenneta tunnistetietoja.
  • Pääsynhallinta — sovellustason, palvelinpuolen RBAC jokaisessa API-päätepisteessä sekä henkilötietosuodattimen väliohjelmisto, joka poistaa pyytäjän henkilötiedot vastauksista rajoitetuilta rooleilta.
  • Salaus — TLS 1.3 App Servicen etuovella (TLS 1.2 tai uudempi Azure SQL:ssä ja Blob Storagessa); TDE tietokannassa ja AES-256 SSE Blob Storagessa levossa.
  • Tarkastus — muuttumaton kenttätason tarkastusketju sekä hash-ketjutettu (SHA-256), vain lisäävä tarkastusloki; telemetria Application Insightsissa / Log Analyticsissa oletusmittarihälytyksillä.
  • Julkaisijan raja — lisenssin validointi välittää vain vuokraajatunnuksen ja lisenssiavaimen; julkaisijalle ei välitetä eikä sen toimesta tallenneta asiakastietoja.

GC:n tietoturvakehyksen mukaisuus

Viitekehys Miten AccessPoint noudattaa sitä
ITSG-33 (PBMM-profiili) Tietoturvakontrollit kartoitettu kaikkiin ITSG-33-perheisiin. Katso alla ITSG-33-kontrolliperhekartoitus.
GC Cloud Guardrails Kaikki 13 pakollista guardrailia käsitelty. Katso taulukko GC Cloud Guardrails -vaatimustenmukaisuus.
Policy on Government Security Järjestelmä suunniteltu muodollista SA&A:ta varten. Valtuutusraja on määritelty alla olevassa osiossa Valtuutusraja.
Directive on Security Management Tarkastusketju, pääsynhallinta ja jatkuvan valvonnan ominaisuudet tukevat jatkuvaa vaatimustenmukaisuutta.
Directive on Service and Digital Pilvinatiivi arkkitehtuuri linjassa GC:n cloud-first-direktiivin kanssa. Otetaan käyttöön kokonaan ministeriön olemassa olevassa M365- ja Azure-vuokraajassa.
CCCS Cloud Security Risk Management Jaettu vastuu dokumentoitu. Azuren kanadalaiset alueet ovat CCCS:n arvioimia PBMM:lle.

Kanadan tietojen sijainti

Government of Canada -käyttöönotoissa AccessPoint otetaan käyttöön Azuren kanadalaisilla alueilla (Canada Central tai Canada East). Kaikki tiedot — mukaan lukien pyyntötietueet, ladatut asiakirjat, tarkastusketjut ja telemetria — sijaitsevat valitulla kanadalaisella alueella. Tietoja ei välitetä eikä tallenneta Kanadan ulkopuolisille alueille, ellei ministeriö nimenomaisesti määritä Azuren georeplikointia tätä varten.

Microsoft Azuren kanadalaiset alueet on arvioinut Canadian Centre for Cyber Security (CCCS), ja ne on hyväksytty PBMM-kuormille (Protected B, Medium Integrity, Medium Availability).

Mitä PBMM tarkoittaa AccessPointille

  • Protected B — AccessPoint käsittelee pyytäjän henkilötietoja (nimi, sähköposti, puhelin, osoite) ja mahdollisesti arkaluonteisia hallituksen tietueita. Sovelluksen henkilötietosuodattimen väliohjelmisto, roolipohjainen pääsynhallinta ja salauskontrollit on suunniteltu Protected B -tiedoille.
  • Medium Integrity — Kaikki tietojen muutokset tallennetaan muuttumattomaan tarkastusketjuun, jota vahvistaa hash-ketjutettu tarkastusloki. Tietokantarajoitteet ja API-tason validointi suojaavat luvattomilta muutoksilta.
  • Medium Availability — Sovellus on tilaton, ja kaikki tila sijaitsee Azure SQL:ssä ja Blob Storagessa. Azure-alustan SLA:t ja asiakkaan konfiguroitavissa oleva redundanssi tukevat keskitason saatavuusvaatimuksia.

ITSG-33-kontrolliperhekartoitus

Alla oleva taulukko kartoittaa kunkin ITSG-33-kontrolliperheen Teknisen arkkitehtuurin sivun asiaankuuluviin osioihin. Käytä tätä lähtökohtana arvioidessasi AccessPointia ministeriösi PBMM-tietoturvakontrolliprofiilia vasten.

ITSG-33-perhe Hallinta-alue Missä käsitelty
AC — Access Control (käyttöoikeuksien hallinta) Todennus, valtuutus, vähimmäisoikeusperiaate, palvelinpuolen RBAC, henkilötietosuodatus, istunnonhallinta Todennus ja identiteetti, Valtuutus ja RBAC, Sisäänrakennettu tietosuoja
AU — Audit and Accountability (tarkastus ja vastuullisuus) Lokitus, muuttumaton tarkastusketju, hash-ketjutettu loki, valvonta, lokien säilytys Lokitus, valvonta ja tarkastus
CA — Security Assessment and Authorization (tietoturva-arviointi ja -valtuutus) SA&A-prosessi, järjestelmän raja, jatkuva valvonta Valtuutusraja (tämä sivu); Alustan yleiskatsaus; jatkuva valvonta osiossa Lokitus, valvonta ja tarkastus
CM — Configuration Management (konfiguraation hallinta) Perustason määritys, muutoksenhallinta, koventamisen oletusasetukset Käyttöönottomalli (koventamisen oletusasetukset, additiiviset DacPac-migraatiot)
CP — Contingency Planning (valmiussuunnittelu) Varmuuskopiointi, katastrofista toipuminen, liiketoiminnan jatkuvuus Tilaton App Service (kaikki tila Azure SQL:ssä ja Blob Storagessa); Azuren hallinnoimat SQL-varmuuskopiot ja Blob-redundanssi, jotka ministeriö määrittää — katso Käyttöönottomalli
IA — Identification and Authentication (tunnistaminen ja todennus) Entra ID -identiteetin tarjoaja, MFA, hallittu identiteetti, pelkkä Entra-todennus SQL:ssä Todennus ja identiteetti
IR — Incident Response (poikkeamien hallinta) Poikkeamien käsittely, ilmoittaminen, raportointi CCCS:lle Muuttumaton tarkastusketju, hash-ketjutettu loki ja Log Analytics tukevat tutkintaa — katso Lokitus, valvonta ja tarkastus. Ministeriöt raportoivat kyberturvallisuustapahtumista CCCS:lle GC:n vaatimusten mukaisesti.
MP — Media Protection (median suojaus) Levossa olevan tiedon salaus, median puhdistaminen Salaus, Tietojen sijainti ja suvereniteetti
PE — Physical and Environmental Protection (fyysinen ja ympäristön suojaus) Infrastruktuurin fyysinen turvallisuus Azure CSP:n vastuulla — katettu Microsoftin CCCS-arvioinnilla PBMM:lle
PL — Planning (suunnittelu) Tietoturvasuunnitelmat, järjestelmän valtuutusraja Alustan yleiskatsaus; Valtuutusraja (tämä sivu)
RA — Risk Assessment (riskien arviointi) Uhka-/riskiarviointi, haavoittuvuusskannaus Ministeriön suorittama VAPT ja TRA (katso Pyydettävät keskeiset asiakirjat); Microsoftin suorittama Azure-alustan skannaus
SA — System and Services Acquisition (järjestelmien ja palvelujen hankinta) Toimitusketju, kolmannen osapuolen riippuvuudet, toimittajan käytännöt Komponentti-inventaario, Mitä julkaisija operoi; täydellinen riippuvuusinventaario saatavilla pyynnöstä
SC — System and Communications Protection (järjestelmien ja viestinnän suojaus) Salaus siirron aikana, vuokraajan eristys, rajasuojaus Salaus, Tietojen sijainti ja suvereniteetti. Yksivuokraajakäyttöönotto omilla resursseilla; ministeriöt voivat lisätä Private Endpointeja, VNet-integraation ja WAF:n.
SI — System and Information Integrity (järjestelmien ja tiedon eheys) Paikkaus, haavoittuvuuksien hallinta, syötteen eheys Käyttöönottomalli (koventamisen oletusasetukset, additiiviset migraatiot). Käyttöjärjestelmän/ajoympäristön paikkaa Azure; sovelluskoodin ja riippuvuuksien paikkaa julkaisija.

GC Cloud Guardrails -vaatimustenmukaisuus

Seuraava taulukko kartoittaa AccessPointin kontrollit GC Cloud Guardrailsiin — GC:n pilvipalveluiden käyttöönoton pakollisiin vähimmäistietoturvamäärityksiin.

Guardrail Miten AccessPoint käsittelee sen
01 — Suojaa root-/globaalin ylläpitäjän tilit AccessPoint ei käytä eikä vaadi Global Admin -tilejä ajonaikana. Sovelluksen sisäiset Admin-roolit ovat erillisiä Azure-/M365-ylläpitäjärooleista. Alkukäyttöönotto vaatii ylläpitäjäoikeudet; jatkuva toiminta ei vaadi.
02 — Ylläpitäjäoikeuksien hallinta Sovellustason RBAC kuudella erillisellä roolilla, pakotettu palvelinpuolella API-kerroksessa jokaisessa pyynnössä. Administrator-rooli on erillinen operatiivisista rooleista. App Service todentautuu järjestelmälle määritetyllä hallitulla identiteetillä ilman tallennettuja tunnistetietoja, ja Azure SQL käyttää pelkästään Entra-todennusta (SQL-salasanatodennus poistettu käytöstä). Katso Valtuutus ja RBAC.
03 — Pilvikonsoliin pääsy AccessPoint ei käytä Azure-portaalia tai mitään pilvenhallintakonsolia ajonaikana. Azure-resurssien hallinta pysyy ministeriön vastuulla.
04 — Yritystason valvontatilit Kaikki telemetria tallennetaan asiakkaan Application Insights- ja Log Analytics -työtilaan. Ministeriöt voivat myöntää CCCS:lle/SSC:lle vain luku -oikeuden vakiomenettelyjensä mukaisesti. Katso Lokitus, valvonta ja tarkastus.
05 — Tietojen sijainti Kaikki tiedot sijaitsevat asiakkaan Azure-vuokraajassa valitulla kanadalaisella alueella (Canada Central tai Canada East). Lisenssin validointi välittää vain vuokraajatunnuksen ja lisenssiavaimen — julkaisijalle ei välitetä eikä sen toimesta tallenneta asiakastietoja. Katso Tietojen sijainti ja suvereniteetti.
06 — Levossa olevan tiedon suojaus Azure SQL TDE ja Azure Blob Storage SSE (AES-256) käytössä oletuksena. Asiakkaan hallinnoimat avaimet (CMK) tuettu. Katso Salaus.
07 — Siirron aikaisen tiedon suojaus TLS 1.3 pakotettu App Servicen etuovella (TLS 1.0/1.1/1.2 hylätään); TLS 1.2 tai uudempi Azure SQL:ssä ja Blob Storagessa. Ei selkotekstipäätepisteitä. Katso Salaus.
08 — Segmentoi ja eristä Yksivuokraajakäyttöönotto omilla resursseilla per asiakas — ei jaettua laskentaa, tallennustilaa tai tietokantaa. Blob-polut ja tietokantakyselyt on rajattu vuokraajakohtaisesti. Verkon segmentointi (Private Endpointit, VNet-integraatio) voidaan lisätä. Katso Tietojen sijainti ja suvereniteetti.
09 — Verkkoturvapalvelut Oletuskäyttöönotto käyttää Azure PaaS:n julkisia päätepisteitä alustan hallinnoimalla rajasuojauksella. Ministeriöt voivat lisätä Private Endpointeja, VNet-integraation, WAF:n (Application Gateway / Front Door) ja NSG-sääntöjä.
10 — Kyberpuolustuspalvelut Application Insights- ja Log Analytics -tiedot ovat käytettävissä integrointiin GC:n kyberpuolustussensoreiden ja ministeriön SIEM-järjestelmän kanssa. Katso Lokitus, valvonta ja tarkastus.
11 — Lokitus ja valvonta Muuttumaton kenttätason tarkastusketju Azure SQL:ssä sekä hash-ketjutettu, vain lisäävä tarkastusloki. Application Insights tallentaa kaiken API-telemetrian oletusmittarihälytyksillä (HTTP 5xx, latenssi). Log Analytics määritettävällä säilytysajalla (30–730 päivää). Katso Lokitus, valvonta ja tarkastus.
12 — Pilvimarkkinapaikkojen määritys SPFx-web-osa ja Teams-sovellus jaetaan Microsoft AppSourcen kautta. Azure-taustajärjestelmä otetaan käyttöön Bicep-/ARM-mallilla — yhdellä napsautuksella Azure-portaalista tai skriptattuna PowerShell-skriptillä. Ministeriöt hyväksyvät asennukset vakiomuotoisten App Catalog- ja Azure-hallintaprosessiensa kautta. Katso Käyttöönottomalli.
13 — Suunnittele jatkuvuutta varten Azure SQL:n automaattiset varmuuskopiot, Blob Storagen redundanssivaihtoehdot ja tilaton App Service mahdollistavat nopean uudelleenkäyttöönoton (API sisältää oman skeemansa ja soveltaa sen käynnistyksen yhteydessä). Katso Käyttöönottomalli.

SA&A-prosessin ohjeistus

Suorittaessaan AccessPointille tietoturva-arviointia ja -valtuutusta ministeriöiden tulisi huomioida seuraavat seikat.

Järjestelmän luokitus

AccessPoint luokitellaan tyypillisesti PBMM-tasolle, kun sitä käytetään ATIP-pyyntöjen käsittelyyn. Järjestelmä käsittelee:

Tietoluokka Luokitus Perustelu
Pyytäjän henkilötiedot (nimi, sähköposti, osoite) Protected B Henkilötieto — vakava haitta, jos paljastuu
Pyyntötietueet ja kuvaukset Protected B Voivat kuvata arkaluonteista aihetta
Ladatut vastausasiakirjat Enintään Protected B Luokitus riippuu asiakirjan sisällöstä
Vapautuspäätökset ja perustelut Protected B Paljastaminen voisi paljastaa harkintaprosesseja
Tarkastusketju ja tarkastusloki Protected B Sisältävät viittauksia henkilötietoihin ja pyyntöjen tietoihin
Sovelluksen määritys Sisäinen Ei arkaluonteista tietoa määrityksissä
Telemetria ja lokit Sisäinen Suorituskykytietoa, ei henkilötietoja telemetriassa

Valtuutusraja

AccessPointin valtuutusraja koostuu seuraavista:

  • Azure App Service ja sen käyttöönotettu sovelluskoodi
  • Azure SQL Database ja kaikki sovellustiedot
  • Azure Blob Storage -tili ja kaikki tallennetut asiakirjat
  • Application Insights- ja Log Analytics -työtila
  • Azure AI Search, kun valinnainen kokotekstihakuominaisuus on otettu käyttöön
  • Entra ID -sovellusrekisteröinti ja App Servicen hallittu identiteetti
  • SharePoint Onlineen käyttöönotettu SPFx-web-osa ja Teams-sovelluspaketti
  • Kaikki tietovirrat näiden komponenttien välillä

Seuraavat ovat AccessPointin valtuutusrajan ulkopuolella ja kuuluvat ministeriön laajempaan Azure-/M365-SA&A:han:

  • Azure-tilaus ja resurssiryhmän määritys
  • Entra ID -vuokraajan käytännöt (MFA, Conditional Access, laitevaatimustenmukaisuus)
  • Verkkomääritys (VNet, NSG, Private Endpoints)
  • Microsoftin hallinnoimat Azure-alustapalvelut

Olemassa olevien arviointien hyödyntäminen

  • Azure-alustan kontrollit (PE, osia SC:stä ja CP:stä) kattaa Microsoftin CCCS-arviointi PBMM:lle. Ministeriöt voivat viitata Azuren CCCS-pilvipalveluntarjoaja-arviointiin sen sijaan, että arvioisivat alustatason kontrollit uudelleen.
  • Entra ID- ja M365-kontrollit kattaa ministeriön olemassa oleva M365-SA&A. AccessPoint perii MFA:n, Conditional Access -käytännöt ja identiteetinhallinnan ministeriön vuokraajamäärityksistä.
  • AccessPointin sovellustason kontrollit (AC, AU, IA:n/CM:n/SI:n sovelluskerros ja IR) on ministeriön arvioitava itse. Teknisen arkkitehtuurin sivu tarjoaa yksityiskohtaisen kontrollidokumentaation.

Pyydettävät keskeiset asiakirjat

Arvioidessaan AccessPointia SA&A-tiimisi saattaa haluta pyytää seuraavia:

Asiakirja Tarkoitus
Tämä sivu + Tekninen arkkitehtuuri Tietoturvakontrollien dokumentaatio
Haavoittuvuusarvioinnin ja tunkeutumistestin (VAPT) tulokset Sovelluksen tietoturvatestaus
Käyttöönotto-opas Käyttöönottomenettely ja käyttöönoton jälkeinen koventaminen
Riippuvuusinventaario Toimitusketjun riskiarviointi (katso Komponentti-inventaario; täydellinen riippuvuusinventaario saatavilla pyynnöstä)
Poikkeamien hallintamenettelyt Toimittajan IR-sitoumukset (saatavilla julkaisijalta pyynnöstä)
Tietosuojaa koskeva vaikutustenarviointi (PIA) Henkilötietovirrat ja tietosuojakontrollit (katso GC:n tietosuojavaikutusten arviointi (PIA))
Tietovirtakaaviot Tietojen liikkuminen (katso Arkkitehtuurikaavio ja Tietojen sijainti ja suvereniteetti)