AWS Public Sector Blog

Supporting security assessors in the Canadian public sector with AWS and Deloitte

Lire cet article en Français

AWS branded background with text overlay that says "Supporting security assessors in the Canadian public sector with AWS and Deloitte"

Moving Government of Canada (GC) workloads into production in the AWS Canadian Regions requires putting these workloads through the Security Assessment & Authorization (SA&A) process. Historically, the SA&A process takes up to 18 months. This poses a headwind for GC customers developing applications to support their digital modernization efforts.

In this blog post, learn how Amazon Web Services (AWS) helps customers with this along three dimensions. First, AWS provides compliance documentation for controls that are on the AWS side of the Shared Responsibility Model. Second, AWS commits to continuous investment in services and solutions that automate the deployment of common Canadian Centre for Cyber Security (CCCS) Medium Cloud security controls. Third, AWS offers professional training and development to ramp up assessors for undertaking compliance assessments on the cloud.

Supplying AWS compliance documentation for Canada public sector customers

The CCCS is Canada’s authoritative source of cyber security expert guidance, services, and support. CCCS provides this expertise to Canadian governments, industry, and the general public. Their rigorous assessments of cloud service providers are relied on by Canadian public sector organizations across the country to make informed cloud procurement decisions. AWS continuously works with CCCS to add more AWS services to its assessment which provides Canadian public sector customers additional confidence that AWS Cloud services align with the Government of Canada’s security control requirements.

AWS supports 143 security standards and compliance certifications, including Payment Card Industry Data Security Standard (PCI DSS), Health Insurance Portability and Accountability Act of 1996 (HIPAA), Health Information Technology for Economic and Clinical Health Act (HITECH), Federal Risk and Authorization Management Program (FedRAMP), The European Union’s General Data Protection Regulation (GDPR), Federal Information Processing Standard (FIPS) Publication 140-2, and National Institute of Standards and Technology (NIST) 800-171, helping customers satisfy compliance requirements around the globe. AWS makes these compliance artifacts available, covering the controls we put in place on AWS’s side of the Shared Responsibility Model. Reports useful to GC include the CCCS Medium summary report, System and Organization Controls (SOC) 2 attestation report, and ISO certificates made available to customers in the AWS Artifact service console.

If a service is not currently listed as in the scope of the most recent assessment, you can still use these services in your organization, subject to local assessment. You can also contact us about your project, and your AWS account team will work with the AWS service team to bring the service to Canada and within the scope of the CCCS assessment report.

Automating the deployment of required security controls with accelerators

AWS has invested in services such as AWS Control Tower and open-source IT security control accelerators such as the Landing Zone Accelerator on AWS (LZA). The LZA solution deploys a cloud foundation that is architected to align with AWS best practices and multiple global compliance frameworks. With this solution, customers with highly regulated workloads and complex compliance requirements can better manage and govern their multi-account environment. When used in coordination with other AWS services, it provides a comprehensive low-code solution across more than AWS services. The LZA provides foundational infrastructure from which additional complementary solutions can be integrated and workload-specific controls are addressed either by the customer or with AWS Professional Services or AWS Partners.

AWS built the Canadian Centre for Cyber Security (CCCS) Cloud Medium configuration for the LZA, which deploys a prescriptive architecture. Deploying Landing Zone Accelerator on AWS with the CCCS Medium configuration can help organizations meet up to 70% of the controls that have a technical element. AWS designed this architecture to help customers take advantage of controls inheritance to speed up the process of obtaining an Authority to Operate (ATO) and getting workloads deployed into production.

Customer project teams use this principle of control inheritance in order to avoid duplicating work already completed by AWS or the customer’s IT teams. Customers inherit existing controls by referencing the AWS framework compliance reports available in AWS Artifact. After deploying the LZA, customers can use a generic evidence package of these controls deployed and managed by the LZA in order to speed up the process. As documented in CCCS ITSP.50.105, the cloud security risk management approach allows for the stacking of assessments like building blocks. This reduces the number of attestations or security assessments, eliminates redundancy across authorization packages, and keeps assessments delineated by information system boundaries.

Training security professionals with the AWS Cloud Audit Academy

Cloud Audit Academy (CAA) is an AWS Security Auditing Learning Path designed for existing and prospective auditing, risk, and compliance professionals who are involved in assessing regulated workloads in the cloud.

Today, control framework language is catered towards on-premises environments, and security IT auditing techniques have not been reshaped for the cloud. At AWS, we believe in empowering our customers to apply cloud-specific verification techniques to their audits in the cloud. Cloud Audit Academy provides current and upcoming auditors with the education and tools to audit for security in the cloud using a risk-based approach.

Recently, AWS Canada and Deloitte hosted an in-person event, The Cloud Audit Academy – Federal and DoD Workloads (FDW). This event discussed with the GC security assessor community about how AWS services can be used to assist with meeting compliance requirements and expedite the assessment process. Assessors representing multiple GC departments participated in the training and earned continuing professional education (CPE) credits.

Assessors were also introduced to AWS Audit Manager, which helps you continuously audit your AWS usage to simplify how you assess risk and compliance with CCCS Medium Cloud. Audit Manager automates evidence collection to make it easier to assess if your policies, procedures, and activities, also known as controls, are operating effectively. When it is time for an audit, AWS Audit Manager helps you manage stakeholder reviews of your controls and enables you to build audit-ready reports with much less manual effort. AWS Audit Manager provides several pre-built frameworks, including one for CCCS Medium Cloud.

The CAA curriculum is a leveled learning path that starts with a wide scope that is both cloud and industry agnostic, and narrows as the learner progresses to focus on AWS, framework, and industry-specific content. Learners have the opportunity to receive continuing professional education (CPE) units from the most recognized IT governance and security professional associations in the industry. 

Calling all security assessors

Please reach out to your AWS account teams if you’re interested in having this training delivered for your department’s assessors. In the meantime, check out the Cloud Audit Academy and its course catalog, some of which is on demand at no cost when you register on AWS Skill Builder.


L’appui des évaluateurs de sécurité dans le secteur public canadien avec AWS et Deloitte

Pour effectuer la mise en production des applications du gouvernement du Canada (GC) dans les régions canadiennes AWS, ces applications doivent passer par le processus d’évaluation et d’autorisation de la sécurité (SA&A). En général, il faut jusqu’à 18 mois pour terminer le processus de SA&A . Cela ralentit les progrès des clients du GC qui développent des applications afin d’appuyer leurs efforts de modernisation numérique.

Dans cet article de blogue, découvrez comment Amazon Web Services (AWS) aide ses clients en trois volets. Premièrement, AWS fournit des documents de conformité pour les contrôles qu’elle doit effectuer selon le modèle de responsabilité partagée. Deuxièmement, AWS s’engage à investir en permanence dans des services et des solutions qui automatisent le déploiement des contrôles de sécurité communs du niveau moyen du Centre canadien de cybersécurité  (CCCS)  pour le nuage. Troisièmement, AWS propose une formation et un développement professionnels pour préparer les évaluateurs à entreprendre des évaluations de conformité sur le nuage.

Fourniture de documents de conformité AWS pour les clients du secteur public du Canada

Le CCCS est la source officielle de conseils, de services et de soutien d’experts en matière de cybersécurité du Canada. Il offre cette expertise au gouvernement, aux divers secteurs et au grand public du Canada. De nombreuses entreprises du secteur public canadien s’appuient sur ses rigoureuses évaluations des fournisseurs de services infonuagiques du pays pour prendre des décisions éclairées sur l’approvisionnement en nuage. AWS collabore continuellement avec le CCCS pour ajouter plus de services AWS à son évaluation afin de rassurer les clients du secteur public canadien quant à la conformité des services du Nuage AWS aux exigences du gouvernement canadien en matière de contrôle de sécurité.

AWS prend en charge 143 normes de sécurité et de certifications de conformité, y compris la norme de sécurité des données de l’industrie des cartes de paiement (PCI DSS), la loi américaine Health Insurance Portability and Accountability Act de 1996 (HIPAA)/la loi américaine Health Information Technology for Economic and Clinical Health Act (HITECH), le Federal Risk and Authorization Management Program (FedRAMP), le règlement général sur la protection des données (RGPD) de l’Union européenne, la norme FIPS (Federal Information Processing Standard) (FIPS), publication 140-2, et le National Institute of Standards and Technology (NIST) 800-171. Ce faisant, AWS aide les clients à se plier aux exigences de conformité à travers le monde. AWS met à disposition ces artefacts sur la conformité qui englobent les contrôles que nous mettons en place du côté d’AWS dans le cadre du modèle de responsabilité partagée. Les rapports pertinents pour le GC comprennent le rapport de synthèse du CCCS (niveau moyen), le rapport d’attestation des Contrôles du système et de l’organisation (SOC) 2 et les certifications ISO mis à la disposition des clients dans la console de service d’AWS Artifact.

Si un service n’apparaît pas encore dans le champ d’application de la plus récente évaluation, vous pouvez quand même l’utiliser dans votre entreprise, sous réserve d’une évaluation locale. Vous pouvez également communiquer avec nous au sujet de votre projet, et votre équipe de gestion de comptes AWS collaborera avec l’équipe de service AWS pour rendre le service disponible au Canada et l’assujettir au champ d’application du rapport d’évaluation du CCCS.

Automatisation du déploiement des contrôles de sécurité exigés avec des accélérateurs

AWS a investi dans des services comme AWS Control Tower et des accélérateurs de contrôle de sécurité IT à code source libre tels que l’accélérateur de zone d’accueil sur AWS (LZA). La solution LZA déploie une fondation infonuagique qui a été conçue pour s’aligner sur les meilleures pratiques d’AWS et se conformer à plusieurs cadres de conformité internationaux. Grâce à cette solution, les clients ayant des applications hautement réglementées et des exigences de conformité complexes peuvent mieux gérer et administrer leur environnement multicomptes. Utilisé en coordination avec d’autres services AWS, LZA offre une solution complète à faible code pour plus de services AWS. La solution LZA fournit l’infrastructure de base à partir de laquelle des solutions complémentaires peuvent être intégrées. Les contrôles propres aux applications sont gérés soit par le client, soit avec les services professionnels AWS ou les partenaires AWS.

AWS a bâti la configuration pour le nuage de niveau moyen du Centre canadien pour la cybersécurité (CCCS) pour la solution LZA qui déploie une architecture prescriptive. Le déploiement de l’accélérateur de zone d’accueil sur AWS avec la configuration du CCCS (niveau moyen) peut aider les entreprises à s’aligner sur 70 % des contrôles ayant un composant technique. AWS a conçu cette architecture pour aider les clients à bénéficier de l’héritage des contrôles afin d’accélérer le processus d’obtention d’une autorisation d’opérer (ATO) et la mise en production des applications.

Les équipes de projet du client se servent de ce principe d’héritage des contrôles pour éviter de refaire le travail déjà effectué par AWS ou les équipes TI du client. Les clients héritent des contrôles existants en consultant les rapports de conformité du cadre AWS disponibles sur AWS Artifact. Après avoir déployé la solution LZA, les clients peuvent utiliser une trousse de preuves générique de ces contrôles qui est déployée et gérée par la solution LZA pour accélérer le processus. Comme mentionné dans le document ITSP.50.105 du CCCS, l’approche de gestion des risques liés à la sécurité du nuage permet d’empiler les évaluations comme des éléments de base. Cela réduit le nombre d’attestations ou d’évaluations de sécurité, élimine la redondance dans les trousses d’autorisations et permet d’avoir des évaluations bien définies par des limites de système d’information.

Formation de professionnels de la sécurité à la Cloud Audit Academy d’AWS

La Cloud Audit Academy (CAA) est un parcours d’apprentissage sur la vérification de sécurité d’AWS conçu pour les professionnels existants et potentiels de la vérification, de la gestion des risques et de la conformité qui participent à l’évaluation des applications réglementées dans le nuage.

Aujourd’hui, le langage du cadre de contrôle est conçu pour les environnements sur site et les techniques de vérification TI de la sécurité n’ont pas été remodelées pour le nuage. Chez AWS, nous croyons qu’il faut donner à nos clients les moyens d’appliquer des techniques de vérification propres au nuage à leurs vérifications dans le nuage. La Cloud Audit Academy fournit aux vérificateurs actuels et futurs la formation et les outils nécessaires pour vérifier la sécurité dans le nuage en employant une approche basée sur le risque.

Récemment, AWS Canada et Deloitte ont organisé un événement en présentiel : la Cloud Audit Academy – applications fédérales et du DoD (FDW). Au cours de cet événement, des discussions ont été menées avec la communauté d’évaluateurs de sécurité du GC sur les façons dont les services AWS peuvent être utilisés pour aider à se plier aux exigences de conformité et accélérer le processus d’évaluation. Les évaluateurs représentant plusieurs ministères du GC ont participé à la formation et ont obtenu des crédits de formation professionnelle continue.

Le service AWS Audit Manager a été présenté aux évaluateurs. Il vous aide à vérifier en permanence votre utilisation d’AWS pour simplifier l’évaluation des risques et la conformité au niveau moyen du CCCS pour le nuage. Audit Manager vous permet aussi d’automatiser la collecte de preuves afin d’évaluer plus facilement l’efficacité de l’exécution de vos politiques, procédures et activités (également appelées contrôles). Lorsque vient le moment de faire la vérification, AWS Audit Manager vous aide à gérer les examens de vos contrôles par les parties prenantes et vous permet de créer des rapports prêts pour la vérification en déployant beaucoup moins d’effort manuel.  AWS Audit Manager présente plusieurs cadres prédéfinis, y compris un cadre pour le niveau moyen du CCCS pour le nuage.

Le programme de la CAA est un parcours d’apprentissage à plusieurs niveaux qui commence avec un vaste champ d’application agnostique à la fois au nuage et au secteur. À mesure que l’apprenant évolue, il se précise en présentant du contenu axé sur AWS, et propre à un cadre et à un secteur. Les apprenants ont donc l’occasion de recevoir des crédits de formation professionnelle continue d’une des associations professionnelles de gouvernance informatique et de sécurité les plus reconnues du secteur. 

Appel à tous les évaluateurs de sécurité

Veuillez communiquer avec vos équipes de gestion de comptes AWS si vous désirez que cette formation soit donnée aux évaluateurs de votre ministère. En attendant, consultez la Cloud Audit Academy et son catalogue de cours, y compris les cours sur demande gratuits lorsque vous vous inscrivez à AWS Skill Builder.

James Kierstead

James Kierstead

James is a senior solutions architect at Amazon Web Services (AWS) based in Ottawa, Canada. He is passionate about helping Canada's federal government use AWS to deliver services to Canadians.

Naranjan Goklani

Naranjan Goklani

Naranjan Goklani is an Audit Lead for Canada based in Toronto. He has experience leading audits, attestations, certifications, and assessments across North America and Europe. Naranjan has more than 13 years of experience in risk management, security assurance, and performing technology audits. Naranjan previously worked in one of the Big 4 accounting firms and supported clients from the financial services, technology, retail, e-commerce, and utilities industries as part of the first and third line of defense.