Microsoft 365 GCC High是否为CMMC认证所必需?
CMMC是一项严格的认证,但其安全控制和对寻求认证机构的要求存在很大差异。标准很高,特别是在CMMC较高级别,但也有许多工具和平台可适当满足这些需求,无需从基本原理重新开始。
企业需要能在现代数字世界中运作的工具。这通常从办公套件开始,最常见的选择是谷歌和微软的产品。
微软的365在现代企业中非常受欢迎,但它适合CMMC吗?让我们深入探讨。
目录
- 什么是Microsoft 365 GCC High?
- 是否需要Microsoft 365 GCC High来满足CMMC要求?
- 审查Microsoft 365层级
- GCC High的目标是什么?
- 为什么使用365商业版可能不适合您?
- Microsoft 365 GCC High与本地微软应用对比
- 本地微软Office的优势
- 本地微软Office的缺点
- Microsoft 365 GCC High的替代方案
什么是Microsoft 365 GCC High?
让我们来分解一下。
微软是一家全球技术公司,提供从操作系统到办公套件,再到通过Azure的云服务以及Copilot AI等各种软件和服务。
Microsoft 365是他们当前对以前称为Office 365的生产力套件的命名。它包括许多适用于商业环境的有用应用程序,包括Outlook、Word、Excel、SharePoint、Teams、OneDrive和Copilot。
微软提供所有这些应用程序作为独立软件,但365品牌特指其云版本,托管在微软服务器上并通过订阅费支付。虽然基于云的订阅和本地安装之间有许多优缺点,但这是另一个话题。
GCC是政府社区云。它是微软一系列以政府为重点的产品的一部分,这些产品与标准的非政府数据中心主机为365云应用分开,并具有额外的以政府为重点的功能,如增强的安全性、审计、日志记录和分段。
High是微软GCC的一个特定版本,该版本面向高标准客户,但尚未达到国防部客户的水平。您可以直接从微软查看不同的比较图表:
- GCC通用版
- GCC High
- 国防部版
总的来说,Microsoft 365 GCC High是生产力工具套件,具有额外的安全性和问责功能层,与全球微软存储桶分开,并托管在美国的安全设施中。它旨在帮助组织处理和维护受控非密信息的安全性。
是否需要Microsoft 365 GCC High来满足CMMC要求?
不需要。但是,在这种情况下有很多边缘情况的空间,所以让我们比一个词的回答更深入地探讨一下。
审查Microsoft 365层级
有这么多不同的选项,即使讨论微软提供的所有内容也容易令人困惑。更糟糕的是,他们经常将差异埋在参考性PDF和知识库文章中,而不是清晰的要点中。
Microsoft 365商业版旨在达到适合FedRAMP的标准。这基于满足NIST SP 800-171中规定的安全控制。它适用于任何级别的FedRAMP和CMMC 1级,但不适用于DFARS 7012、CMMC 2级或任何更高级别的标准。至少在没有额外限制和安全措施的情况下不行。
Microsoft 365 GCC标准版实际上与商业版相同,只是他们将系统和数据存储保持在安全的商业云环境中。它并非开箱即用地适用于更高的安全标准,但可以配置以满足DFARS 7012和CMMC 2级要求。然而,它达不到出口管制级别。
Microsoft 365 GCC High是GCC标准版之上的一个台阶,基于Azure政府云,专门使用美国境内的数据中心。它通过将数据托管在美国境内并确保处理数据的员工是通过背景调查的美国公民,来帮助您满足更高级别的要求,如ITAR。
Microsoft 365国防部版甚至更高一级,专门针对国防部及其内部组织以及某些授权的首要分包商。这不是企业可以购买和使用的东西;您必须经过预批准并具有政府授权才能使用它。
GCC High的目标是什么?
微软创建GCC High作为他们几乎最高的政府系统。至少有比GCC High更高的两个层级:前面提到的国防部系统,以及分类云,其目标标准远高于CMMC等框架的要求。
可能还有更高级别的微软程序版本在军队深处使用,尽管它们没有公开记录。
CMMC是一个高标准且昂贵的认证框架,但归根结底,它仍然完全针对希望成为与联邦政府合作的承包商的民用企业。对于这类企业来说,门槛很高,但在政府和国家安全层面上,它仍然相当低。
事实上,其他相关的框架和要求系统,如DFARS 7012或ITAR,可能具有更高的标准,同时仍然适用于私营部门中政府承包商的一小部分。
当您实际检查这些框架的要求并查看不同层级微软产品的安全性和功能时,您通常会发现您可能不需要您想象的那么多。
基本的CMMC 1级可以通过标准的商业版Microsoft 365满足,只要您正确使用其安全功能。然而,365商业版无法满足DFARS或ITAR中的要求。
与此同时,基本的微软GCC在后端具有更严格的安全性和管理,这使其能够满足大多数DFARS 7012条款的要求。
再上一级,Microsoft GCC High除了满足DFARS和CMMC外,还满足ITAR要求。
您会注意到,我们在上面提到了"基本1级CMMC"。这是因为CMMC 2级和3级的要求要严格得多。
这里事情可能变得有点棘手。
从技术上讲,配置得当的Microsoft 365商业版甚至可以满足CMMC 3级要求。
然而,由于存在更高级的安全工具和更多的后端安全性,微软自己建议任何在使用Microsoft 365时寻求2级或3级安全性的用户使用GCC High平台。
他们为什么推荐这个?部分原因是它提供了更多的安全性,并且更容易访问和使用保护CUI、FCI和其他受控信息所需的工具。但部分原因可能只是这是一种鼓励政府承包商为其服务支付更多费用的方式。
为什么使用365商业版可能不适合您?
如果Microsoft 365商业版足以满足CMMC要求,为什么您可能仍然考虑使用Microsoft 365 GCC High?
有一些担忧对大多数企业来说并不相关。但如果它们对您很重要,那么现在投资GCC High而不是以后升级可能是个好主意。
- 互操作性:特别是,如果您希望达到更高的安全标准并在以后与国防部合作,您将需要能够与国防部和其他国防部承包商协作。Microsoft 365商业版与Microsoft 365国防部版或GCC High不互操作。
- 替代平台:虽然CMMC是一个高门槛,但正如我们提到的,它远非最高标准。如果您想迈上一两个台阶并达到更高级别的安全性,做最低限度的工作将会带来障碍(以及未来大量的额外工作)。
- 美国本土托管:一些安全框架要求您使用的系统,即使是安全的云系统,也必须托管在美国境内。如果您有该要求,Microsoft GCC High(及其之上的计划,如国防部版和分类版)是您唯一的选择。商业版甚至标准GCC版可以使用世界各地的数据中心。
了解您的需求以及如何满足这些要求非常重要。微软以其数十种不同、名称相似的相同平台和应用程序版本使这变得不容易,因此与专家交谈可能是您的最佳途径。
Microsoft 365 GCC High与本地微软应用对比
作为企业,另一个可用的选项是完全跳过基于云的服务。
毕竟,如果您只是将应用程序安装在本地计算机上并且根本不接触数据中心,就不需要担心应用程序托管在哪里,对吧?
为您的办公和协作应用程序(包括微软套件)运行本地解决方案有明显的好处和确定的缺点。
本地微软Office的优势
使用您自己的本地解决方案有很多潜在好处。
- 您不需要担心数据中心托管或人员配备。如果您根本不使用数据中心,就无需关心谁配备数据中心人员或它位于何处。
- 您不需要支付相同类型的订阅费。Microsoft 365 GCC High每月可能花费数千美元。本地解决方案,仅需应用程序本身的成本,就可以从价格中去掉一个零。
- 您可以更全面地控制您拥有的内容、它可以访问什么以及可以在哪里使用。对您具有硬件级访问权限的东西所允许的控制水平不容低估。数据中心当然有其优势,但能够完全控制系统中的所有内容也是有益的,并且有助于大大限制范围。
本地微软Office的缺点
使用本地解决方案有严重的缺点,这使得它对许多企业吸引力降低。
- 设置和维护负担很高。数据中心和云应用的主要优势之一是硬件维护、软件更新和正常运行时间保证等任务都得到处理。当您必须自己启动所有内容时,即使只设置几台服务器,成本水平也大不相同。仅支付几名专家维护您的系统的费用就可能使任何成本节约无效。
- 有些功能无法在本地轻松复制。例如,如果您想使用像Teams这样的通讯系统在团队内部协作,使用本地安装是无法做到的。
- 它可能 dramatically 增加您的范围。确定范围至关重要,添加整个自托管微型数据中心是您需要管理和保护的全新范围级别,并带来所有随之而来的负担。
Microsoft 365 GCC High的替代方案
虽然您可以使用微软的系统进行CMMC合规性,但也可以讨论和评估其他替代方案及其自身的优缺点。
谷歌是最接近的直接竞争对手,他们的公共部门工作场所是一个接近的等效产品,可以维持CMMC和FedRAMP High安全级别。
通常,您还可以使用第三方工具为任何这些系统增加更多安全性。Virtru和PreVeil都是常被引用的选项。
在复杂且以安全为中心的环境中,平衡自身软件的复杂性与使用他人软件的成本是一个长期存在的问题。不会有一个完美的解决方案;您只需要找到最适合您需求的那个。
在Ignyte,我们可以提供帮助。我们没有办公套件或工具集来复制微软为您所做的工作,但我们确实提供定制化、量身定制的体验,用于维护文档和在安全方面进行协作。Ignyte平台从一开始就是作为一个安全、集中、协作的工具设计的,允许您的团队编译工件和证据,监控合规工作,并将工作重点放在最需要的地方。
无论您是想使用Microsoft 365 GCC High,使用第三方工具将Microsoft商业版安装打造成型,还是完全使用不同的平台集,关键都是确保所有方面都是安全的。Ignyte可以帮助您跟踪您的位置和安全状况,因此请立即预订演示以了解它如何帮助您。