Standardy lokalne i zabezpieczeń platformy Azure
Ten artykuł zawiera informacje o standardach zabezpieczeń związanych z lokalną platformą Azure. Zasoby szczegółowo opisane w tym artykule, w tym certyfikaty i raporty oceny, mogą służyć jako źródła ułatwiające planowanie zgodności.
Każda sekcja w tym artykule zawiera informacje o środowisku lokalnym platformy Azure i określonym standardzie zabezpieczeń wraz z ukończonymi certyfikatami.
Federal Information Processing Standard (FIPS) 140
Federal Information Processing Standard (FIPS) 140 to amerykański standard zabezpieczeń dla instytucji rządowych, który określa minimalne wymagania dotyczące zabezpieczeń modułów kryptograficznych w produktach i systemach technologii informatycznych. Platforma Azure Local jest oparta na centrum danych systemu Windows Server, które ma długą historię weryfikacji ze standardem FIPS 140.
W poniższej tabeli wymieniono bieżący stan weryfikacji lokalnej weryfikacji protokołu FIPS 140 platformy Azure. Aby uzyskać więcej informacji na temat powiązanej weryfikacji modułów kryptograficznych i algorytmów centrum danych systemu Windows Server 140 ze standardem FIPS 140.
| Produkty | Stan oceny | Szczegóły |
|---|---|---|
| Azure Local, wersja 22H2 | W toku | wymienione w modułach NIST w procesie |
| Azure Local, wersja 21H2 | W toku | Kryptograficzna biblioteka pierwotnych trybu jądra #4766 |
Typowe kryteria oceny zabezpieczeń technologii informatycznych (CC)
Firma Microsoft zobowiązuje się do optymalizacji bezpieczeństwa swoich produktów i usług. W ramach tego zobowiązania firma Microsoft obsługuje program common criteria for Information Technology Security Evaluation program (CC), zapewnia, że produkty obejmują funkcje i funkcje wymagane przez odpowiednie profile ochrony wspólnych kryteriów oraz wypełniają certyfikaty wspólnych kryteriów kilku produktów systemu operacyjnego.
W poniższej tabeli wymieniono bieżący stan certyfikatów lokalnych wspólnych kryteriów platformy Azure wraz z odpowiednią dokumentacją dotyczącą certyfikacji. Dowiedz się więcej na temat podejścia firmy Microsoft do certyfikacji common criteria w sekcji Common Criteria certifications (Certyfikaty wspólnych kryteriów).
| Produkty | Stan oceny | Szczegóły |
|---|---|---|
| Azure Local, wersja 22H2 | Ukończono 17 stycznia 2024 r. | Zawiera profil ochrony dla systemów operacyjnych ogólnego przeznaczenia, moduł PP-module dla klienta sieci VPN, moduł PP-module dla bezprzewodowego klienta sieci lokalnej oraz moduł PP-Module dla połączenia Bluetooth. Dokumenty dotyczące certyfikacji: element docelowy zabezpieczeń, przewodnik administracyjny, raport aktywności pakietu Assurance i raport dotyczący certyfikacji |
| Azure Local, wersja 21H2 | Ukończono 21 listopada 2022 r. | Obejmuje profil ochrony systemów operacyjnych ogólnego przeznaczenia, pakiet rozszerzony dla klientów sieci WLAN i moduł PP dla klientów sieci VPN. Dokumenty dotyczące certyfikacji: element docelowy zabezpieczeń, przewodnik administracyjny, raport aktywności pakietu Assurance i raport dotyczący certyfikacji |
| Azure Local, wersja 21H2 | Ukończono 12 stycznia 2022 r. | Obejmuje profil ochrony systemów operacyjnych ogólnego przeznaczenia, pakiet rozszerzony dla klientów sieci WLAN i moduł PP dla klientów sieci VPN. Dokumenty dotyczące certyfikacji: element docelowy zabezpieczeń, przewodnik administracyjny, raport aktywności pakietu Assurance i raport dotyczący certyfikacji |
Międzynarodowa Organizacja Standaryzacji (ISO/IEC) 27001:2022
ISO/IEC 27001 jest standardem, który formalnie określa system zarządzania zabezpieczeniami informacji (ISMS), który ma na celu zapewnienie bezpieczeństwa informacji pod jawną kontrolą zarządzania. Ten standard zapewnia, że organizacja zarządza danymi i zabezpiecza je zgodnie ze standardami globalnymi oraz ogranicza ryzyko wycieków danych. Certyfikacja iso/IEC 27001 pomaga organizacjom spełnić liczne wymagania prawne i prawne związane z bezpieczeństwem informacji.
Poniższe wskazówki zawierają więcej informacji na temat sposobu, w jaki możliwości zabezpieczeń usługi Azure Local mogą umożliwić zachowanie zgodności z normą ISO/IEC 27001:2022.
Payment Card Industry (PCI) Data Security Standards (DSS)
Payment Card Industry (PCI) Data Security Standards (DSS) to globalny standard zabezpieczeń informacji zaprojektowany w celu zapobiegania oszustwom dzięki zwiększonej kontroli nad danymi kart kredytowych. Pci DSS jest wymagany dla organizacji o dowolnym rozmiarze, jeśli przechowują, przetwarzają lub przesyłają dane karty. Te organizacje obejmują (ale nie są ograniczone do): kupców, podmiotów przetwarzających płatności, wystawców, nabywców i dostawców usług.
Usługi w chmurze platformy Azure nie tylko mają weryfikację PCI DSS dla platformy Azure lokalnie, ale także oferują szereg funkcji w środowisku hybrydowym, aby pomóc zmniejszyć związane z tym nakłady pracy i koszty uzyskania własnej weryfikacji PCI DSS. Aby uzyskać więcej informacji, zobacz następujące wskazówki.
Ustawa Health Insurance Portability and Accountability Act (HIPAA) z 1996 r.
Health Insurance Portability and Accountability Act of 1996 (HIPAA) to zestaw zasad i przepisów określonych przez Amerykański Departament Zdrowia i Usług Ludzkich (HHS) w celu ochrony prywatności, bezpieczeństwa i integralności poufnych informacji o zdrowiu pacjentów. HIPAA ma zastosowanie do każdej organizacji lub osoby, która tworzy, odbiera, utrzymuje lub przesyła elektroniczne informacje o ochronie zdrowia (PHI), w tym (ale nie tylko) biura lekarzy, szpitali, ubezpieczycieli zdrowotnych i innych firm opieki zdrowotnej.
Zgodność z HIPAA jest niezbędna, ale trudna praca dla firm zajmujących się rozwiązaniami opieki zdrowotnej. Jeśli wybierzesz usługę Azure Local do opracowania hybrydowego środowiska IT, możesz użyć wbudowanych funkcji i usług zintegrowanych z chmurą, aby zautomatyzować wiele aspektów osiągania i utrzymywania zgodności HIPAA. Aby uzyskać więcej informacji, zobacz następujące wskazówki.
Amerykański federalny program zarządzania ryzykiem i autoryzacją (FedRAMP)
FedRAMP oferuje ustandaryzowany proces oceny, nadzorowania i zatwierdzania produktów i usług przetwarzania w chmurze. Upraszcza to wdrażanie bezpiecznych rozwiązań w chmurze dla amerykańskich agencji federalnych i umożliwia dostawcom, takich jak Microsoft oferowanie swoich usług tym agencjom. Uzyskanie autoryzacji FedRAMP ma kluczowe znaczenie, ale stanowi znaczące wyzwanie dla dostawców usług w chmurze, którzy chcą pracować z agencjami federalnymi. Aby rozwiązać ten problem, oferujemy wskazówki, które wyjaśniają odpowiednie usługi i inne istotne informacje w celu wspierania wysiłków związanych z akredytacją.