Normes de sécurité et locales Azure
S’applique à : Azure Local 2311.2 et versions ultérieures
Cet article fournit des informations sur les normes de sécurité liées à Azure Local. Les ressources détaillées dans cet article, y compris les certifications et les rapports d’évaluation, peuvent être utilisées comme sources pour vous aider dans votre planification de conformité.
Chaque section de cet article fournit des informations sur Azure Local et une norme de sécurité particulière, ainsi que toutes les certifications terminées.
Federal Information Processing Standard (FIPS) 140
La norme fiPS (Federal Information Processing Standard) 140 est une norme de sécurité du gouvernement américain qui spécifie les exigences de sécurité minimale pour les modules de chiffrement dans les produits et systèmes de technologie de l’information. Azure Local est basé sur Windows Server Datacenter, qui a une longue historique de validation FIPS 140.
Le tableau suivant répertorie l’état actuel des validations FIPS locales Azure 140. Pour plus d’informations sur la validation FIPS 140 associée des modules et algorithmes de chiffrement de Windows Server Datacenter, consultez la validation FIPS 140.
| PRODUITS | État de l’évaluation | Détails |
|---|---|---|
| Azure Local, version 22H2 | En cours de traitement | listé sur les modules NIST dans le processus |
| Azure Local, version 21H2 | En cours de traitement | Bibliothèque de primitives de chiffrement en mode noyau #4766 |
Critères communs pour l’évaluation de la sécurité des technologies de l’information (CC)
Microsoft s’engage à optimiser la sécurité de ses produits et services. Dans le cadre de cet engagement, Microsoft prend en charge le Programme d’évaluation de sécurité des technologies de l’information (CC), garantit que les produits incorporent les fonctionnalités et fonctions requises par les profils de protection des critères communs pertinents et terminent les certifications Common Criteria de plusieurs produits de système d’exploitation.
Le tableau suivant répertorie l’état actuel des certifications Critères communs locaux Azure, ainsi que la documentation de certification pertinente. En savoir plus sur l’approche de Microsoft pour les certifications Common Criteria aux certifications Common Criteria.
| PRODUITS | État de l’évaluation | Détails |
|---|---|---|
| Azure Local, version 22H2 | Terminé le 17 janvier 2024 | Inclut le profil de protection pour les systèmes d’exploitation à usage général, le module PP pour le client VPN, le module PP pour le client réseau local sans fil et le module PP pour Bluetooth. Documents de certification : Cible de sécurité, Guide administratif, Rapport d’activité d’assurance et Rapport de certification |
| Azure Local, version 21H2 | Terminé le 21 novembre 2022 | Inclut le profil de protection des systèmes d’exploitation à usage général, le package étendu pour les clients WLAN et le module PP pour les clients VPN. Documents de certification : Cible de sécurité, Guide administratif, Rapport d’activité d’assurance et Rapport de certification |
| Azure Local, version 21H2 | Terminé le 12 janvier 2022 | Inclut le profil de protection des systèmes d’exploitation à usage général, le package étendu pour les clients WLAN et le module PP pour les clients VPN. Documents de certification : Cible de sécurité, Guide administratif, Rapport d’activité d’assurance et Rapport de certification |
Organisation internationale de normalisation (ISO/IEC) 27001:2022
ISO/IEC 27001 est une norme qui spécifie formellement un système de gestion de la sécurité de l’information (ISMS) destiné à mettre la sécurité de l’information sous contrôle de gestion explicite. Cette norme garantit qu’une organisation gère et protège les données en fonction des normes globales et atténue le risque de fuites de données. La certification à iso/IEC 27001 permet aux organisations de se conformer à de nombreuses exigences réglementaires et légales liées à la sécurité des informations.
Les instructions suivantes fournissent plus d’informations sur la façon dont les fonctionnalités de sécurité d’Azure Local peuvent vous permettre de maintenir la conformité avec iso/IEC 27001:2022.
Normes de sécurité des données du secteur des cartes de paiement (PCI)
Les normes de sécurité des données (DSS) de l’industrie des cartes de paiement (PCI) sont une norme mondiale de sécurité des informations conçue pour empêcher la fraude par le biais d’un contrôle accru des données de carte de crédit. PCI DSS est nécessaire pour les organisations de toute taille si elles stockent, traitent ou transmettent des données de titulaires de carte. Ces organisations incluent (mais ne sont pas limitées à) : les marchands, les processeurs de paiement, les émetteurs, les acquisitions et les fournisseurs de services.
Les services cloud Azure ont non seulement la validation PCI DSS pour Azure Local, mais offrent également un tableau de fonctionnalités dans l’environnement hybride pour vous aider à réduire les efforts associés et les coûts liés à l’obtention de votre propre validation PCI DSS. Pour plus d’informations, consultez les instructions suivantes.
HIPAA (Health Insurance Portability and Accountability Act) de 1996
La Loi sur la portabilité et la responsabilité de l’assurance maladie de 1996 (HIPAA) est un ensemble de règles et de réglementations définies par le Département américain de la santé et des services humains (HHS) pour protéger la vie privée, la sécurité et l’intégrité des informations de santé sensibles des patients. HIPAA s’applique à toute organisation ou personne qui crée, reçoit, maintient ou transmet des informations médicales protégées électroniques (PHI), y compris (mais pas limité à) les bureaux des médecins, les hôpitaux, les assureurs de santé et d’autres entreprises de santé.
La conformité à HIPAA est essentielle mais difficile pour les entreprises de solutions de santé. Si vous choisissez Azure Local pour développer votre environnement informatique hybride, vous pouvez utiliser ses fonctionnalités intégrées et les services intégrés au cloud pour automatiser de nombreux aspects de la réalisation et de la maintenance de la conformité HIPAA. Pour plus d’informations, consultez les instructions suivantes.
FedRAMP (US Federal Risk and Authorization Management Program)
FedRAMP offre un processus standardisé pour l’évaluation, la supervision et l’approbation des produits et services cloud computing. Il simplifie l’adoption de solutions cloud sécurisées pour les agences fédérales américaines et permet aux fournisseurs comme Microsoft d’offrir leurs services à ces agences. Bien que l’obtention de l’autorisation FedRAMP soit cruciale, elle pose un défi important aux fournisseurs de services cloud qui cherchent à travailler avec des agences fédérales. Pour ce faire, nous offrons des conseils qui clarifient les services pertinents et d’autres informations pertinentes pour soutenir vos efforts d’accréditation.