Místní standardy a standardy zabezpečení Azure
Platí pro: Azure Local 2311.2 a novější
Tento článek obsahuje informace o standardech zabezpečení souvisejících se službou Azure Local. Zdroje informací, které jsou podrobně popsané v tomto článku, včetně certifikací a sestav vyhodnocení, se dají použít jako zdroje, které vám pomůžou při plánování dodržování předpisů.
Každá část tohoto článku obsahuje informace o místním a konkrétním standardu zabezpečení Azure společně s dokončenými certifikacemi.
Federal Information Processing Standard (FIPS) 140
Federal Information Processing Standard (FIPS) 140 je standard zabezpečení státní správy USA, který určuje minimální požadavky na zabezpečení kryptografických modulů v produktech a systémech informačních technologií. Azure Local je postaven na Windows Serveru Datacenter, který má dlouhou historii ověřování FIPS 140.
Následující tabulka uvádí aktuální stav ověřování Azure Local FIPS 140. Další informace o související validaci kryptografických modulů a algoritmů Windows Serveru Datacenter podle FIPS 140 najdete v tématu Validace FIPS 140.
| Produkty | Stav vyhodnocení | Detaily |
|---|---|---|
| Azure, verze 22H2, místní | Zpracovává se. | uvedený v seznamu Moduly NIST ve zpracování |
| Azure Local, verze 21H2 | Zpracovává se. | Knihovna kryptografických primitiv v režimu jádra #4766 |
Běžná kritéria pro vyhodnocení zabezpečení informačních technologií (CC)
Společnost Microsoft se zavázala optimalizovat zabezpečení svých produktů a služeb. V rámci tohoto závazku společnost Microsoft podporuje program CC (Common Criteria for Information Technology Security Evaluation Program), zajišťuje, aby produkty zahrnovaly funkce a funkce vyžadované příslušnými profily ochrany kritérií a dokončily certifikace Společných kritérií pro několik produktů operačního systému.
Následující tabulka uvádí aktuální stav certifikací Azure Local Common Criteria společně s příslušnou dokumentací k certifikaci. Přečtěte si další informace o přístupu Microsoftu k certifikacím Common Criteria v certifikacích Common Criteria.
| Produkty | Stav vyhodnocení | Detaily |
|---|---|---|
| Místní Azure verze 22H2 | Dokončeno 17. ledna 2024 | Zahrnuje profil ochrany pro operační systémy pro obecné účely, PP-Module pro klienta VPN, PP-Module pro klienta bezdrátové místní sítě a PP-Module pro Bluetooth. Dokumenty certifikace: Cíl zabezpečení, příručka pro správu, zpráva o aktivitě záruky a zpráva o certifikaci |
| Azure Místní, verze 21H2 | Dokončeno 21. listopadu 2022 | Zahrnuje profil ochrany operačních systémů pro obecné účely, rozšířený balíček pro klienty WLAN a modul PP pro klienty VPN. Dokumenty certifikace: Cíl zabezpečení, příručka pro správu, zpráva o aktivitě záruky a zpráva o certifikaci |
| Místní Azure verze 21H2 | Dokončeno 12. ledna 2022 | Zahrnuje profil ochrany operačních systémů pro obecné účely, rozšířený balíček pro klienty WLAN a modul PP pro klienty VPN. Dokumenty certifikace: Cíl zabezpečení, příručka pro správu, zpráva o aktivitě záruky a zpráva o certifikaci |
Mezinárodní organizace pro standardizaci (ISO/IEC) 27001:2022
ISO/IEC 27001 je standard, který formálně specifikuje systém ISMS (Information Security Management System), který má přinést zabezpečení informací pod explicitní řízení správy. Tento standard poskytuje záruku, že organizace spravuje a chrání data podle globálních standardů a snižuje riziko úniku dat. Certifikace iso/IEC 27001 pomáhá organizacím dodržovat řadu zákonných a právních požadavků, které se týkají zabezpečení informací.
Následující doprovodné materiály poskytují další informace o tom, jak vám funkce zabezpečení v Azure Local umožňují udržovat dodržování předpisů iso/IEC 27001:2022.
Standardy bezpečnosti dat PCI (Payment Card Industry - průmysl platebních karet) DSS
Standard Payment Card Industry (PCI) Data Security Standards (DSS) je globální standard zabezpečení informací navržený tak, aby se zabránilo podvodům prostřednictvím zvýšené kontroly nad daty platebních karet. PCI DSS se vyžaduje pro organizace libovolné velikosti, pokud ukládají, zpracovávají nebo přenášejí data držitelů karet. Tyto organizace zahrnují (ale nejsou omezeny pouze na): obchodníky, zpracovatele plateb, vystavitele, získatele a poskytovatele služeb.
Cloudové služby Azure mají nejen ověřování PCI DSS pro Azure Local, ale také nabízejí řadu funkcí v hybridním prostředí, které vám pomůžou snížit související úsilí a náklady na získání vlastního ověření PCI DSS. Další informace najdete v následujících doprovodných materiálech.
HIPAA (Health Insurance Portability and Accountability Act) z roku 1996
Zákon HIPAA (Health Insurance Portability and Accountability Act of 1996) je sada pravidel a předpisů stanovených americkým ministerstvem zdravotnictví a lidských služeb (HHS), která chrání soukromí, zabezpečení a integritu citlivých zdravotních údajů pacientů. HIPAA se vztahuje na jakoukoli organizaci nebo jednotlivce, která vytváří, přijímá, udržuje nebo přenáší elektronické chráněné zdravotní údaje (PHI), včetně (mimo jiné) poboček lékařů, nemocnic, zdravotních nemocnic a dalších zdravotnických společností.
Dodržování předpisů HIPAA je nezbytné, ale náročné práce pro společnosti zabývající se zdravotnictvím. Pokud se rozhodnete pro vývoj hybridního IT prostředí Azure Local, můžete využít její integrované funkce a cloudové služby k automatizaci mnoha aspektů dosažení a údržby dodržování předpisů HIPAA. Další informace najdete v následujících doprovodných materiálech.
Program řízení rizik a autorizace federální vlády USA (FedRAMP)
FedRAMP nabízí standardizovaný proces pro vyhodnocení, dohled a schvalování produktů a služeb cloud computingu. Zjednodušuje přijetí zabezpečených cloudových řešení pro federální agentury USA a umožňuje poskytovatelům, jako je Microsoft, nabízet těmto agenturám své služby. I když je získání autorizace FedRAMP zásadní, představuje pro poskytovatele cloudových služeb zásadní výzvu, aby spolupracovali s federálními institucemi. Abychom to vyřešili, nabízíme pokyny, které upřesňují příslušné služby a další relevantní informace pro podporu vašeho úsilí o akreditaci.