Standard di sicurezza e locali di Azure
Questo articolo fornisce informazioni sugli standard di sicurezza correlati a Locale di Azure. Le risorse descritte in questo articolo, incluse le certificazioni e i report di valutazione, possono essere usate come origini per facilitare la pianificazione della conformità.
Ogni sezione di questo articolo fornisce informazioni su Locale di Azure e su uno specifico standard di sicurezza, insieme alle certificazioni completate.
FIPS (Federal Information Processing Standard) 140
Federal Information Processing Standard (FIPS) 140 è uno standard di sicurezza governativo statunitense che specifica i requisiti minimi di sicurezza per i moduli crittografici nei prodotti e nei sistemi informatici. Azure Local è basato su Windows Server Datacenter, che ha una lunga cronologia di convalida FIPS 140.
La tabella seguente elenca lo stato corrente delle convalide FIPS 140 locali di Azure. Per altre informazioni sulla convalida FIPS 140 correlata dei moduli e degli algoritmi di crittografia di Windows Server Datacenter, vedere convalida FIPS 140.
| Prodotti | Stato di valutazione | Dettagli |
|---|---|---|
| Azure Locale, versione 22H2 | In corso | elencato nei moduli NIST nel processo |
| Azure Locale, versione 21H2 | In corso | Libreria di primitive di crittografia in modalità kernel #4766 |
Criteri comuni per la valutazione della sicurezza di Information Technology
Microsoft si impegna a ottimizzare la sicurezza dei propri prodotti e servizi. Nell'ambito di tale impegno, Microsoft supporta il programma Common Criteria for Information Technology Security Evaluation (CC), garantisce che i prodotti incorporano le funzionalità e le funzioni richieste dai profili di protezione criteri comuni pertinenti e completi le certificazioni Criteri comuni di diversi prodotti del sistema operativo.
La tabella seguente elenca lo stato corrente delle certificazioni criteri comuni locali di Azure, insieme alla documentazione di certificazione pertinente. Per altre informazioni sull'approccio di Microsoft alle certificazioni Common Criteria, vedere Certificazioni di Criteri comuni.
| Prodotti | Stato di valutazione | Dettagli |
|---|---|---|
| Azure Locale, versione 22H2 | Completato il 17 gennaio 2024 | Include il profilo di protezione per i sistemi operativi per utilizzo generico, il pp-module per il client VPN, il pp-module per il client di rete locale wireless e il pp-module per Bluetooth. Documenti di certificazione: Destinazione di sicurezza, Guida amministrativa, Report attività di garanzia e Report certificazione |
| Azure Locale, versione 21H2 | Completato il 21 novembre 2022 | Include il profilo di protezione dei sistemi operativi per utilizzo generico, il pacchetto esteso per i client WLAN e il modulo PP per i client VPN. Documenti di certificazione: Destinazione di sicurezza, Guida amministrativa, Report attività di garanzia e Report certificazione |
| Azure Locale, versione 21H2 | Completato il 12 gennaio 2022 | Include il profilo di protezione dei sistemi operativi per utilizzo generico, il pacchetto esteso per i client WLAN e il modulo PP per i client VPN. Documenti di certificazione: Destinazione di sicurezza, Guida amministrativa, Report attività di garanzia e Report certificazione |
International Organization for Standardization (ISO/IEC) 27001:2022
ISO/IEC 27001 è uno standard che specifica formalmente un sistema ISMS (Information Security Management System) destinato a portare la sicurezza delle informazioni in un controllo di gestione esplicito. Questo standard garantisce che un'organizzazione gestisca e protegge i dati in base agli standard globali e riduce il rischio di perdite di dati. La certificazione per ISO/IEC 27001 aiuta le organizzazioni a rispettare numerosi requisiti normativi e legali correlati alla sicurezza delle informazioni.
Le indicazioni seguenti forniscono altre informazioni sul modo in cui le funzionalità di sicurezza di Azure Local consentono di mantenere la conformità con ISO/IEC 27001:2022.
Standard di sicurezza dei dati di Payment Card Industry (PCI)
Lo standard DISS (Payment Card Industry) Data Security Standards (PCI) è uno standard globale di sicurezza delle informazioni progettato per prevenire frodi tramite un maggiore controllo dei dati delle carte di credito. PCI DSS è necessario per le organizzazioni di qualsiasi dimensione se archiviano, elaborano o trasmettono i dati dei titolari di carte. Queste organizzazioni includono (ma non sono limitate a): commercianti, responsabili del pagamento, emittenti, acquirenti e provider di servizi.
I servizi cloud di Azure non solo includono la convalida PCI DSS per Azure locale, ma offrono anche una serie di funzionalità nell'ambiente ibrido per ridurre lo sforzo e i costi associati per ottenere la propria convalida PCI DSS. Per altre informazioni, vedere le indicazioni seguenti.
Health Insurance Portability and Accountability Act del 1996 (HIPAA)
La Health Insurance Portability and Accountability Act del 1996 (HIPAA) è una serie di regole e normative stabilite dal Dipartimento della Salute e dei Servizi Umani (HHS) degli Stati Uniti per proteggere la privacy, la sicurezza e l'integrità delle informazioni sanitarie sensibili dei pazienti. HIPAA si applica a qualsiasi organizzazione o persona che crea, riceve, gestisce o trasmette informazioni sanitarie protette elettroniche (PHI), inclusi (ma non limitati a) uffici medici, ospedali, assicuratori sanitari e altre aziende sanitarie.
Il rispetto dell'HIPAA è essenziale ma impegnativo per le aziende di soluzioni sanitarie. Se si sceglie Locale di Azure per sviluppare l'ambiente IT ibrido, è possibile usare le funzionalità predefinite e i servizi integrati nel cloud per automatizzare molti aspetti del raggiungimento e della gestione della conformità HIPAA. Per altre informazioni, vedere le indicazioni seguenti.
Us Federal Risk and Authorization Management Program (FedRAMP)
FedRAMP offre un processo standardizzato per la valutazione, la supervisione e l'approvazione di prodotti e servizi cloud computing. Semplifica l'adozione di soluzioni cloud sicure per le agenzie federali statunitensi e consente a provider come Microsoft di offrire i propri servizi a queste agenzie. Sebbene l'ottenimento dell'autorizzazione FedRAMP sia fondamentale, rappresenta una sfida significativa per i provider di servizi cloud che cercano di collaborare con le agenzie federali. Per risolvere questo problema, offriamo indicazioni che chiarisce i servizi pertinenti e altre informazioni pertinenti per supportare gli sforzi di accreditamento.