View on GitHub

cloud-guardrails-O365

Recommended configuration guidance for Microsoft O365 / Conseils de configuration recommandés pour Microsoft O365

(Français)

GC Cloud Guardrails for O365

This project will host the minimum guardrails for Microsoft Office 365. The users of this project will be Government of Canada employees deploying cloud-based workloads.

Purpose

The purpose of the guardrails is to ensure that departments and agencies are implementing a preliminary baseline set of controls within their Microsoft O365 cloud-based environment.

Initial Guardrails

A summary of the cloud guardrails to be implemented in the initial phase are identified in the table below.

ID. Guardrail
01 Manage identity and access
02 Use multi-factor authentication
03 Apply conditional access policies
04 Enable logging and monitoring
05 Implement data protection
06 Perform service hardening
07 Perform device hardening
08 Validate settings

DRAFT detailed implementation guidance is to implement the guardrails is available on GCpedia (accessible only on the Government of Canada network). Please note that this is a living document and subject to change as new services and features are made available.

Departments should consider using Microsoft Secure Score when starting their configuration. Secure Score is a measurement of an organization’s security posture, with a higher number indicating more improvement actions taken. It provides recommendations and guidance that can protect the organization from threats.

Considerations

Departments are expected to continue implementing the security requirements as outlined in:

Departments should engage with their IT Security Risk Management teams to obtain advice and guidance on integrating security assessment and authorization activities as part of the implementation of the GC cloud environment. The Government of Canada Cloud Security Risk Management Approach and Procedures outlines activities for Departments to consider as part of the departmental risk management activities.

How to Contribute

See CONTRIBUTING.md

License

Unless otherwise noted, the source code of this project is covered under Crown Copyright, Government of Canada, and is distributed under the MIT License.

The Canada wordmark and related graphics associated with this distribution are protected under trademark law and copyright law. No permission is granted to use them outside the parameters of the Government of Canada’s corporate identity program. For more information, see Federal identity requirements.


Mesures de sécurité d’informatique en nuage du GC pour O365

Ce projet hébergera les mesures de sécurité minimums pour Microsoft Office 365. Les utilisateurs de ce projet seront les employés du gouvernement du Canada qui déploient des charges de travail d’informatique en nuage.

Objet

Le but des mesures de sécurité est de veiller à ce que les ministères et les organismes mettent en œuvre un ensemble préliminaire de mesures au sein de leur environnement d’informatique en nuage Microsoft O365.

Mesures de sécurité initiales

Un résumé des mesures de sécurité d’informatique en nuage à mettre en œuvre dans le cadre de la phase initiale est fourni dans le tableau ci-dessous :

ID. Mesures de sécurité du nuage
01 Gérer l’identité et l’accès
02 Utiliser l’authentification à facteurs multiples
03 Appliquer des politiques de contrôle de l’accès conditionnel
04 Activer la journalisation et la surveillance
05 Mettre en œuvre la protection des donnéesn
06 Exécuter le renforcement des services
07 Exécuter le renforcement des appareils
08 Valider les paramètres

L’ÉBAUCHE du guide de mise en œuvre détaillé pour mettre en œuvre les mesures de sécurité est disponible sur site GCpedia (accessible uniquement sur le réseau du gouvernement du Canada). Veuillez prendre note qu’il s’agit d’un document constamment modifié assujetti au changement au fur et à mesure que de nouveaux services et de nouvelles fonctionnalités sont offerts.

Les ministères devraient envisager d’utiliser Degré de sécurisation Microsoft au début de leur configuration. Degré de sécurisation est une mesure de la posture de sécurité d’une organisation, avec un plus grand nombre indiquant plus de mesures d’amélioration prises. Il fournit des recommandations et des directives qui peuvent protéger l’organisation contre les menaces.

Considerations

Les ministères devraient continuer à mettre en œuvre les exigences de sécurité énoncées dans les documents suivants :

Les ministères devraient collaborer avec leurs équipes de gestion des risques de sécurité de la TI pour obtenir des conseils et une orientation sur l’intégration des activités d’évaluation et d’autorisation de la sécurité dans le cadre de la mise en œuvre de l’environnement de l’informatique en nuage du GC. L’approche et les procédures de gestion des risques à la sécurité de l’informatique en nuage du gouvernement du Canada décrivent les activités que les ministères doivent envisager dans le cadre des activités de gestion des risques ministériels.

Comment contribuer

Voir CONTRIBUTING.md

Licence

Sauf indication contraire, le code source de ce projet est protégé par le droit d’auteur de la Couronne du gouvernement du Canada et distribué sous la licence MIT.

Le mot-symbole « Canada » et les éléments graphiques connexes liés à cette distribution sont protégés en vertu des lois portant sur les marques de commerce et le droit d’auteur. Aucune autorisation n’est accordée pour leur utilisation à l’extérieur des paramètres du programme de coordination de l’image de marque du gouvernement du Canada. Pour obtenir davantage de renseignements à ce sujet, veuillez consulter les Exigences pour l’image de marque.