Estándares de seguridad y locales de Azure
Se aplica a: Azure Local 2311.2 y versiones posteriores
En este artículo se proporciona información sobre los estándares de seguridad relacionados con Azure Local. Los recursos detallados en este artículo, incluidos los informes de certificación y evaluación, se pueden usar como orígenes para ayudarle a planear el cumplimiento.
Cada sección de este artículo proporciona información sobre Azure Local y un estándar de seguridad determinado, junto con las certificaciones completadas.
Estándar federal de procesamiento de información (FIPS) 140
El Estándar federal de procesamiento de información (FIPS) 140 es un estándar de seguridad gubernamental estadounidense que especifica los requisitos mínimos de seguridad para los módulos criptográficos en los productos y sistemas de tecnología de la información. Azure Local se basa en Windows Server Datacenter, que tiene un largo historial de validación fiPS 140.
En la tabla siguiente se muestra el estado actual de las validaciones FIPS 140 locales de Azure. Para obtener más información sobre la validación fiPS 140 relacionada de los algoritmos y módulos criptográficos de Windows Server Datacenter, consulte Validación de FIPS 140.
| Productos | Estado de evaluación | Detalles |
|---|---|---|
| Azure Local, versión 22H2 | En proceso | enumerados en módulos NIST en proceso |
| Azure Local, versión 21H2 | En proceso | Biblioteca primitivas criptográficas en modo kernel n.º 4766 |
Criterios comunes para la evaluación de la seguridad de la tecnología de la información (CC)
Microsoft se compromete a optimizar la seguridad de sus productos y servicios. Como parte de ese compromiso, Microsoft admite el programa Common Criteria for Information Technology Security Evaluation (CC), garantiza que los productos incorporen las características y funciones requeridas por los perfiles de protección de criterios comunes pertinentes y complete las certificaciones de criterios comunes de varios productos del sistema operativo.
En la tabla siguiente se muestra el estado actual de las certificaciones de Criterios comunes locales de Azure, junto con la documentación de certificación pertinente. Obtenga más información sobre el enfoque de Microsoft para las certificaciones de Criterios comunes en Certificaciones de Criterios comunes.
| Productos | Estado de evaluación | Detalles |
|---|---|---|
| Azure Local, versión 22H2 | Finalizado el 17 de enero de 2024 | Incluye el perfil de protección para sistemas operativos de uso general, el módulo PP para el cliente VPN, el módulo PP para el cliente de red de área local inalámbrica y el módulo PP-Module para Bluetooth. Documentos de certificación: Destino de seguridad, Guía administrativa, Informe de actividad de assurance y Informe de certificación |
| Azure Local, versión 21H2 | Finalizado el 21 de noviembre de 2022 | Incluye el perfil de protección de sistemas operativos de uso general, el paquete extendido para clientes WLAN y el módulo PP para clientes VPN. Documentos de certificación: Destino de seguridad, Guía administrativa, Informe de actividad de assurance y Informe de certificación |
| Azure Local, versión 21H2 | Finalizado el 12 de enero de 2022 | Incluye el perfil de protección de sistemas operativos de uso general, el paquete extendido para clientes WLAN y el módulo PP para clientes VPN. Documentos de certificación: Destino de seguridad, Guía administrativa, Informe de actividad de assurance y Informe de certificación |
Organización Internacional de Normalización (ISO/IEC) 27001:2022
ISO/IEC 27001 es un estándar que especifica formalmente un sistema de administración de seguridad de la información (ISMS) destinado a poner la seguridad de la información bajo un control de administración explícito. Este estándar garantiza que una organización administra y protege los datos según los estándares globales y mitiga el riesgo de fugas de datos. La certificación en ISO/IEC 27001 ayuda a las organizaciones a cumplir numerosos requisitos normativos y legales relacionados con la seguridad de la información.
En las instrucciones siguientes se proporciona más información sobre cómo las funcionalidades de seguridad de Azure Local pueden permitirle mantener el cumplimiento con ISO/IEC 27001:2022.
Estándares de seguridad de datos (DSS) del sector de tarjetas de pago (PCI)
Los estándares de seguridad de datos (DSS) del sector de tarjetas de pago (PCI) son un estándar de seguridad de la información global diseñado para evitar fraudes mediante un mayor control de los datos de tarjetas de crédito. PCI DSS es necesario para organizaciones de cualquier tamaño si almacenan, procesan o transmiten datos de titulares de tarjetas. Estas organizaciones incluyen (pero no se limitan a): comerciantes, procesadores de pago, emisores, adquiridores y proveedores de servicios.
Los servicios en la nube de Azure no solo tienen validación de PCI DSS para Azure Local, sino que también ofrecen una matriz de características en el entorno híbrido para ayudarle a reducir el esfuerzo asociado y los costos de obtener su propia validación de PCI DSS. Para obtener más información, consulte las instrucciones siguientes.
Ley de Transferencia y Contabilidad de los Seguros de Salud de 1996 (HIPAA)
La Ley de Portabilidad y Responsabilidad del Seguro de Salud de 1996 (HIPAA) es un conjunto de reglas y reglamentos establecidos por el Departamento de Salud y Servicios Humanos (HHS) de los Estados Unidos para proteger la privacidad, la seguridad y la integridad de la información de salud confidencial de los pacientes. HIPAA se aplica a cualquier organización o individuo que cree, reciba, mantenga o transmita información de salud protegida electrónica (PHI), incluidas las oficinas de médicos, hospitales, aseguradoras de salud y otras compañías sanitarias, entre otras.
Cumplir con HIPAA es un trabajo esencial pero desafiante para las empresas de soluciones sanitarias. Si elige Azure Local para desarrollar su entorno de TI híbrido, puede usar sus funcionalidades integradas y los servicios integrados en la nube para automatizar muchos aspectos de lograr y mantener el cumplimiento de HIPAA. Para obtener más información, consulte las instrucciones siguientes.
Federal Risk and Authorization Management Program (FedRAMP)
FedRAMP ofrece un proceso estandarizado para evaluar, supervisar y aprobar productos y servicios informáticos en la nube. Simplifica la adopción de soluciones seguras en la nube para agencias federales de EE. UU. y permite a los proveedores como Microsoft ofrecer sus servicios a estas agencias. Aunque la obtención de la autorización de FedRAMP es fundamental, supone un desafío importante para los proveedores de servicios en la nube que buscan trabajar con agencias federales. Para abordar esto, ofrecemos instrucciones que aclaran los servicios pertinentes y otra información pertinente para apoyar sus esfuerzos de acreditación.