AWS Public Sector Blog
How NRCan used an AWS open source solution to complete a PBMM evidence package in 60 days
In a digital world, and in response to changing government policy, public sector organizations are under increasing pressure to quickly deliver business value while improving stability, quality, and security. The Government of Canada (GC) is turning to Amazon Web Services (AWS) to support increased agility and speed of delivery of new solutions especially as it responds to events like COVID-19. AWS and AWS Partners continue to learn and develop innovative approaches and solutions to help the GC increase the velocity of putting new applications into production on AWS.
Achieving ATO is essential to public sector operations
In 2019, AWS signed a framework agreement with the GC to host workloads on AWS. The framework agreement enables GC customers to leverage AWS by requesting an account from Shared Services Canada’s (GC’s central IT organization) Cloud Brokerage. Once they receive the account, they’re responsible for implementing security controls as required by GC policy. Since the signing of the framework agreement, AWS has developed an open source solution to automate the deployment of security controls into these accounts, which can reduce the time it takes to achieve an Authority to Operate (ATO). An ATO is the business owner’s security approval to allow a project, program, facility, or system to operate using a particular set of safeguards within an acceptable level of residual risk.
There are two aspects to accelerating time to ATO achievement for GC customers: the implementation of the security controls themselves, which the open source project expedites, and the preparation of an evidence package documenting the implemented controls for an independent assessor to review for completeness and accuracy. The evidence package includes screenshots, command outputs, and written explanations as to how each control is met. The assessor’s review is then sent to the departmental chief security officer (CSO) for sign off, who grants the ATO. After an ATO is achieved by a customer that uses the open source project, AWS records feedback from the customer to incorporate new lessons into AWS’s open source project and re-usable sample evidence package. This helps other public sector customers further expedite their ATOs.
Public sector customers work to put these security framework controls in place to make sure that the services they deliver to citizens are safe and securely architected. For Canadian government entities, these controls are typically aligned with the Canadian Centre for Cyber Security’s (CCCS) Medium Cloud Security Profile. Customers can take months or even years to put these security controls in place, pull together the evidence package, and successfully navigate the security assessment and authorization (SA&A) process.
Public sector customers can simplify the ATO process with an AWS cloud landing zone
A cloud landing zone automates the set-up of an environment for running secure and scalable workloads while implementing an initial security baseline through the creation of core accounts and resources. This security baseline implemented by the AWS open source code means that many different application projects can inherit these controls. Application teams can then focus their time and effort on implementing and documenting the control gaps, which are driven by the specifics of their projects. Recently, AWS worked with CCCS to publish the AWS Canadian Region assessment report in AWS Artifact, and also listed the CCCS assessed services. This assessment is inherited as a part of the SA&A process.
In this model, applications inherit both the CCCS cloud assessment and the cloud landing zone assessment and authorization, with the application and security teams strictly focusing on the controls relevant to their business application. This is called a stacked ATO process, an enhancement to the traditional security assessment process to attain the agility needed by the business while continuing to deliver on an ever-increasing security bar. This significantly reduces the time for application projects to achieve ATO. Having an ATO is also a requirement to onboard to Shared Services Canada’s (SSC) secure cloud to ground (SC2G) program using AWS Direct Connect. This has become an important migration enabler as the GC seeks to adopt hybrid architectures using AWS that require connectivity to its on-premise datacenters.
NRCan submits a completed PBMM evidence package in 60 days
AWS Partner Kainos worked with AWS and Natural Resources Canada’s (NRCan’s) office of the chief information officer (CIO) to deploy the AWS open source solution to implement their cloud landing zone controls aligned with the Protected B, Medium Integrity, Medium Availability (PBMM) profile. AWS delivered its generic sample evidence package which requires customization with the customer’s context and screen shots. Kainos employed a security practitioner to work with NRCan’s assessor in an agile fashion to review the control families, and provide updated evidence statements. This allowed Kainos and NRCan to identify and focus on addressing the controls early in the process that were expected by the assessor and that were not built into AWS’s open source solution. The AWS cloud landing zone solution was deployed rapidly over the course of two days. NRCan provided screenshots and updated text for inclusion in the evidence package. Attaining an ATO enables NRCan to meet demanding legislative requirements and more rapidly push applications into production by focusing on application-specific security controls, without compromising security. This will open up both application development and security resources to work on delivering additional business requirements.
Kainos drove the project from kick off, through the implementation of the AWS cloud-based landing zone, through to the delivery of the evidence package, in just 60 days. Typically, this process can take departments up to 18 months to complete. Using an open-source solution to implement common controls allowed the project team to focus their efforts on the controls not met by the open-source tooling and the generic evidence package, but required by the customer.
Learn more about compliance on AWS
For government teams who want to accelerate the launch of PBMM workloads in the cloud, AWS’s open source solution offers a reliable, secure starting point. For more information about meeting your compliance needs on AWS, visit our compliance page, contact your AWS account team, or contact the AWS Public Sector team directly.
Read more about AWS for government:
- How Natural Resources Canada migrated petabytes of geospatial data to the cloud
- Running government workloads securely at the edge
- How public sector agencies can identify improper payments with machine learning
- Use Migration Evaluator in protected or regulated environments by anonymizing sensitive network data
- How Rockdale County improved operations and security with the cloud
Subscribe to the AWS Public Sector Blog newsletter to get the latest in AWS tools, solutions, and innovations from the public sector delivered to your inbox, or contact us.
Please take a few minutes to share insights regarding your experience with the AWS Public Sector Blog in this survey, and we’ll use feedback from the survey to create more content aligned with the preferences of our readers.
Ressources naturelles Canada (RNCan) envoie un dossier de preuve complet respectant les mesures de sécurité PBMM dans un délai de 60 jours
Dans un monde numérique, et en réaction aux changements de politiques du gouvernement, les organisations du secteur public font face à une pression croissante afin d’offrir rapidement une valeur commerciale tout en améliorant la stabilité, la qualité et la sécurité. Le Gouvernement du Canada (GC) a recours à Amazon Web Services (AWS) pour favoriser une agilité accrue et une mise en œuvre plus rapide de nouvelles solutions, particulièrement en réponse à des événements comme la COVID-19. AWS et ses partenaires continuent d’apprendre et de développer des approches et des solutions novatrices afin d’aider le GC à augmenter la vitesse de mise en production de nouvelles applications sur AWS.
En 2019, AWS a conclu un accord-cadre avec le GC en vue d’héberger des applications sur AWS. AWS a également mis au point une solution à code source libre pour automatiser le déploiement de mesures de sécurité qui réduisent le temps requis pour obtenir l’autorisation d’exploiter (ATO). L’ATO est l’approbation que le responsable opérationnel accorde à l’exploitation d’un projet ou d’un programme, d’une installation ou d’un système dont le fonctionnement est régi par un ensemble précis de mesures de sécurité et comporte un niveau de risque résiduel acceptable.
Deux aspects permettent d’obtenir une ATO plus rapidement : la mise en œuvre des mesures mêmes, facilitée par le projet à code source libre, et la préparation d’un dossier de preuves qui documente les mesures mises en œuvre destiné à un évaluateur indépendant aux fins d’un examen vérifiant son intégralité et son exactitude. L’examen réalisé par l’évaluateur est ensuite envoyé au chef de la sécurité (CSO) du service aux fins d’approbation et qui accorde l’ATO. Lors de l’obtention de chaque ATO, de nouveaux apprentissages sont intégrés par AWS dans le projet à code source libre et dans un modèle de dossier de preuves réutilisable. Cela aide d’autres clients du GC à accélérer l’obtention de leurs ATO.
Les clients du secteur public travaillent à la mise en place de ces contrôles du cadre de sécurité afin de s’assurer que les services qu’ils offrent aux citoyens sont sûrs et conçus de manière sécurisée. Pour les entités publiques canadiennes, cela représente généralement le profil de sécurité moyen du nuage selon le Centre canadien pour la cybersécurité (Centre pour la cybersécurité). Pour les clients, la mise en place des mesures, l’élaboration du dossier de preuves et un aboutissement heureux du processus d’évaluation et d’autorisation de sécurité (SA&A) peuvent prendre des mois, voire des années.
Ces mesures de sécurité communes aux fins de l’ATO sont mises en œuvre grâce à un projet à code source libre d’AWS (une zone de d’atterrissage infonuagique), ce qui signifie que de nombreux projets d’applications différentes peuvent hériter ces mesures. Les équipes responsables des applications peuvent donc consacrer leur temps et leurs efforts à la mise en œuvre et à la documentation des écarts entre les mesures, qui découlent des caractéristiques propres à leurs projets. Récemment, AWS a travaillé avec le Centre pour la cybersécurité afin de publier le rapport d’évaluation AWS pour la région du Canada dans AWS Artifact et a également dressé la liste des services du Centre pour la cybersécurité évalués. Cette évaluation provient en partie du processus de SA&A. Dans ce modèle, les applications héritent autant l’évaluation du nuage du Centre pour la cybersécurité que l’évaluation et l’autorisation de la zone d’atterrissage infonuagique, avec les équipes responsables des applications et de la sécurité se concentrant strictement sur les mesures pertinentes à leur utilisation commerciale. C’est ce que l’on appelle un processus d’ATO superposé, soit une amélioration du processus traditionnel d’évaluation de la sécurité visant à atteindre l’agilité dont l’entreprise a besoin alors qu’elle met la barre de sécurité toujours plus haut. Cela réduit de manière significative le temps requis par les projets d’application pour obtenir une ATO. Détenir une ATO est également une exigence pour participer au programme de Services partagés Canada (SPC) appelé SC2G à l’aide d’AWS Direct Connect. Cela est devenu un important facteur facilitant la migration du GC car il cherche à adopter des architectures hybrides utilisant AWS qui nécessitent une connectivité à ses centres de données sur place.
L’approche
Kainos, un partenaire d’AWS, a travaillé avec AWS et le bureau du directeur des systèmes informatiques de RNCan au déploiement de la solution à code source libre d’AWS en vue de mettre en œuvre ses mesures de zone d’atterrissage infonuagique et qu’elles soient en adéquation avec le profil PBMM. AWS a généré son modèle de dossier de preuves générique qui nécessite une personnalisation à l’aide du contexte et des captures d’écran du client. Kainos a embauché un praticien de la sécurité pour qu’il travaille avec l’évaluateur de RNCan d’une manière agile sur l’examen des catégories de mesures et qu’il fournisse des énoncés mis à jour concernant les preuves. Cela a permis à Kainos et à RNCan de découvrir, dès le début du processus, des mesures répondant aux attentes de l’évaluateur, mais que la solution à code source libre d’AWS ne traitait pas, et de se concentrer sur celles-ci. La solution relative à la zone d’atterrissage infonuagique a été rapidement déployée en l’espace de 2 jours. Les captures d’écran et le texte actualisé ont été fournis par RNCan pour inclusion dans le dossier de preuves. L’obtention d’une ATO pour la zone d’atterrissage infonuagique de RNCan permettra à RNCan de satisfaire aux exigences législatives strictes et de mettre en production plus rapidement des applications en fixant son attention sur les mesures de sécurité propres à l’application, sans compromettre la sécurité. Cela libérera à la fois des ressources de développement d’applications et de sécurité et permettra de répondre aux exigences opérationnelles supplémentaires.
Kainos a dirigé le projet depuis son lancement, en passant par la mise en œuvre de la zone d’atterrissage basée sur le nuage, et ce, jusqu’à la remise du dossier de preuves en 60 jours. Habituellement, l’aboutissement d’un tel processus prend jusqu’à 18 mois à certains services. L’utilisation d’une solution à code source libre pour mettre en œuvre des mesures communes a permis à l’équipe de projet de concentrer ses efforts sur les mesures auxquelles l’outil libre et le dossier de preuves générique ne répondaient pas, mais qui étaient requises par le client.
Pour les équipes gouvernementales qui souhaitent accélérer le lancement de leurs applications PBMM dans le nuage, la solution à code source libre d’AWS représente un point de départ fiable et sécurisé. Pour obtenir plus d’informations sur les possibilités de répondre à vos besoins en matière de conformité sur AWS, consultez notre page Conformité, communiquez avec votre équipe de compte AWS ou communiquez directement avec l’équipe Secteur public AWS.