Azure 로컬 및 보안 표준
이 문서에서는 Azure Local과 관련된 보안 표준에 대한 정보를 제공합니다. 인증 및 평가 보고서를 포함하여 이 문서에 자세히 설명된 리소스를 규정 준수 계획에 도움이 되는 원본으로 사용할 수 있습니다.
이 문서의 각 섹션에서는 완료된 인증과 함께 Azure 로컬 및 특정 보안 표준에 대한 정보를 제공합니다.
FIPS(연방 정보처리표준) 140
FIPS(Federal Information Processing Standard) 140은 정보 기술 제품 및 시스템의 암호화 모듈에 대한 최소 보안 요구 사항을 지정하는 미국 정부 보안 표준입니다. Azure Local은 FIPS 140 유효성 검사의 오랜 역사를 가진 Windows Server Datacenter를 기반으로 합니다.
다음 표에서는 Azure 로컬 FIPS 140 유효성 검사의 현재 상태를 나열합니다. Windows Server Datacenter의 암호화 모듈 및 알고리즘에 대한 관련 FIPS 140 유효성 검사에 대한 자세한 내용은 FIPS 140 유효성 검사를 참조하세요.
| 제품 | 평가 상태 | 세부 정보 |
|---|---|---|
| Azure Local 버전 22H2 | 프로세스 중 | 프로세스의 NIST 모듈에 나열됨 |
| Azure Local 버전 21H2 | 프로세스 중 | 커널 모드 암호화 기본 형식 라이브러리 #4766 |
CC(정보 기술 보안 평가)에 대한 일반적인 기준
Microsoft는 제품 및 서비스의 보안을 최적화하기 위해 최선을 다하고 있습니다. 이러한 노력의 일환으로 Microsoft는 CC(Common Criteria for Information Technology Security Evaluation) 프로그램을 지원하고, 제품이 관련 Common Criteria Protection 프로필에 필요한 기능과 기능을 통합하고, 여러 운영 체제 제품의 공통 조건 인증을 완료하도록 합니다.
다음 표에서는 관련 인증 설명서와 함께 Azure 로컬 공통 조건 인증의 현재 상태를 나열합니다. Common Criteria 인증에서 공통 조건 인증에 대한 Microsoft의 접근 방식에 대해 자세히 알아봅니다.
| 제품 | 평가 상태 | 세부 정보 |
|---|---|---|
| Azure Local 버전 22H2 | 완료 날짜: 2024년 1월 17일 | 범용 운영 체제에 대한 보호 프로필, VPN 클라이언트용 PP-모듈, 무선 로컬 영역 네트워크 클라이언트용 PP-모듈 및 Bluetooth용 PP-모듈을 포함합니다. 인증 문서: 보안 대상, 관리 가이드, 보증 활동 보고서 및 인증 보고서 |
| Azure Local 버전 21H2 | 2022년 11월 21일 완료 | 범용 운영 체제 보호 프로필, WLAN 클라이언트용 확장 패키지 및 VPN 클라이언트용 PP 모듈을 포함합니다. 인증 문서: 보안 대상, 관리 가이드, 보증 활동 보고서 및 인증 보고서 |
| Azure Local 버전 21H2 | 완료 날짜: 2022년 1월 12일 | 범용 운영 체제 보호 프로필, WLAN 클라이언트용 확장 패키지 및 VPN 클라이언트용 PP 모듈을 포함합니다. 인증 문서: 보안 대상, 관리 가이드, 보증 활동 보고서 및 인증 보고서 |
국제표준화기구(ISO/IEC) 27001:2022
ISO/IEC 27001은 명시적 관리 제어 하에 정보 보안을 가져오기 위한 ISMS(정보 보안 관리 시스템)를 공식적으로 지정하는 표준입니다. 이 표준은 조직이 글로벌 표준에 따라 데이터를 관리하고 보호하고 데이터 유출 위험을 완화한다는 보증을 제공합니다. ISO/IEC 27001에 대한 인증을 통해 조직은 정보 보안과 관련된 수많은 규정 및 법적 요구 사항을 준수할 수 있습니다.
다음 지침에서는 Azure Local의 보안 기능을 통해 ISO/IEC 27001:2022 준수를 유지할 수 있는 방법에 대한 자세한 정보를 제공합니다.
PCI(결제 카드 산업) DSS(데이터 보안 표준)
PCI(결제 카드 산업) DSS(데이터 보안 표준)는 신용 카드 데이터의 제어를 강화하여 사기를 방지하도록 설계된 글로벌 정보 보안 표준입니다. PCI DSS는 카드 소유자 데이터를 저장, 처리 또는 전송하는 경우 모든 규모의 조직에 필요합니다. 이러한 조직에는 가맹점, 결제 프로세서, 발급자, 인수자 및 서비스 공급자가 포함됩니다(이에 국한되지 않음).
Azure 클라우드 서비스에는 Azure Local에 대한 PCI DSS 유효성 검사가 있을 뿐만 아니라 하이브리드 환경에서 다양한 기능을 제공하여 사용자 고유의 PCI DSS 유효성 검사를 가져오는 데 따른 관련 노력과 비용을 줄일 수 있습니다. 자세한 내용은 다음 지침을 참조하세요.
HIPAA(건강보험 이전과 책임에 관한 법), 1996년
1996년 HIPAA(건강 보험 이식성 및 책임법)는 환자의 민감한 건강 정보의 개인 정보 보호, 보안 및 무결성을 보호하기 위해 미국 보건 복지부(HHS)가 정한 일련의 규칙 및 규정입니다. HIPAA는 의사 사무실, 병원, 건강 보험 회사 및 기타 의료 회사를 포함하여 전자 보호 건강 정보(PHI)를 생성, 수신, 유지 관리 또는 전송하는 모든 조직 또는 개인에게 적용됩니다.
HIPAA를 준수하는 것은 필수이지만 의료 솔루션 회사에는 어려운 작업입니다. 하이브리드 IT 환경을 개발하기 위해 Azure Local을 선택하는 경우 기본 제공 기능과 클라우드 통합 서비스를 활용하여 HIPAA 규정 준수를 달성하고 유지 관리하는 여러 측면을 자동화할 수 있습니다. 자세한 내용은 다음 지침을 참조하세요.
US Federal Risk and Authorization Management Program (FedRAMP)
FedRAMP는 클라우드 컴퓨팅 제품 및 서비스를 평가, 감독 및 승인하기 위한 표준화된 프로세스를 제공합니다. 미국 연방 기관에 대한 보안 클라우드 솔루션 채택을 간소화하고 Microsoft와 같은 공급자가 이러한 기관에 서비스를 제공할 수 있도록 합니다. FedRAMP 권한 부여를 획득하는 것은 중요하지만, 연방 기관과 협력하려는 클라우드 서비스 공급자에게는 중요한 과제가 됩니다. 이 문제를 해결하기 위해 당사는 귀하의 인증 활동을 지원하기 위해 관련 서비스 및 기타 관련 정보를 명확히 하는 지침을 제공합니다.