Standardy lokalne i zabezpieczeń platformy Azure
Dotyczy: Azure Local 2311.2 i nowsze
Ten artykuł zawiera informacje o standardach zabezpieczeń związanych z lokalną platformą Azure. Zasoby szczegółowo opisane w tym artykule, w tym certyfikaty i raporty oceny, mogą służyć jako źródła ułatwiające planowanie zgodności.
Każda sekcja w tym artykule zawiera informacje o środowisku lokalnym platformy Azure i określonym standardzie zabezpieczeń wraz z ukończonymi certyfikatami.
Federal Information Processing Standard (FIPS) 140
Federal Information Processing Standard (FIPS) 140 to amerykański standard zabezpieczeń dla instytucji rządowych, który określa minimalne wymagania dotyczące zabezpieczeń modułów kryptograficznych w produktach i systemach technologii informatycznych. Platforma Azure Local jest oparta na centrum danych systemu Windows Server, które ma długą historię weryfikacji ze standardem FIPS 140.
W poniższej tabeli wymieniono bieżący stan lokalnych walidacji FIPS 140 na platformie Azure. Aby uzyskać więcej informacji na temat powiązanej weryfikacji zgodności modułów kryptograficznych i algorytmów dla Windows Server Datacenter ze standardem FIPS 140, zobacz weryfikację FIPS 140.
| Produkty | Stan oceny | Szczegóły |
|---|---|---|
| Azure Local, wersja 22H2 | W trakcie | wymienione w modułach NIST w procesie |
| Azure Local, wersja 21H2 | W realizacji | Biblioteka kryptograficznych prymitywów trybu jądra #4766 |
Typowe kryteria oceny zabezpieczeń technologii informatycznych (CC)
Firma Microsoft zobowiązuje się do optymalizacji bezpieczeństwa swoich produktów i usług. W ramach tego zobowiązania firma Microsoft obsługuje program Oceny Bezpieczeństwa Technologii Informacyjnej zgodny z Wspólnymi Kryteriami (CC), zapewnia, że produkty zawierają wymagane funkcje zgodne z odpowiednimi profilami ochrony zgodnymi z Wspólnymi Kryteriami, oraz uzyskuje certyfikaty Wspólnych Kryteriów dla kilku produktów systemu operacyjnego.
W poniższej tabeli wymieniono bieżący stan certyfikatów lokalnych wspólnych kryteriów platformy Azure wraz z odpowiednią dokumentacją dotyczącą certyfikacji. Dowiedz się więcej na temat podejścia firmy Microsoft do certyfikacji common criteria w sekcji Common Criteria certifications (Certyfikaty wspólnych kryteriów).
| Produkty | Stan oceny | Szczegóły |
|---|---|---|
| Azure Local, wersja 22H2 | Ukończono 17 stycznia 2024 r. | Zawiera profil ochrony dla systemów operacyjnych ogólnego przeznaczenia, moduł PP-module dla klienta sieci VPN, moduł PP-module dla bezprzewodowego klienta sieci lokalnej oraz moduł PP-Module dla połączenia Bluetooth. Dokumenty dotyczące certyfikacji: Cel bezpieczeństwa, Podręcznik administracyjny, Raport z działań zapewnienia, i Raport certyfikacyjny |
| Azure Local, wersja 21H2 | Ukończono 21 listopada 2022 r. | Obejmuje profil ochrony systemów operacyjnych ogólnego przeznaczenia, pakiet rozszerzony dla klientów sieci WLAN i moduł PP dla klientów sieci VPN. Dokumenty dotyczące certyfikacji: Cel Bezpieczeństwa, Podręcznik Administracyjny, Raport z Działań Związanych z Gwarancją i Raport z Certyfikacji |
| Azure Local, wersja 21H2 | Ukończono 12 stycznia 2022 r. | Obejmuje profil ochrony systemów operacyjnych ogólnego przeznaczenia, pakiet rozszerzony dla klientów sieci WLAN i moduł PP dla klientów sieci VPN. Dokumenty dotyczące certyfikacji: Cel Bezpieczeństwa, Przewodnik Administracyjny, Raport Działań Zapewnienia, i Raport Certyfikacyjny |
Międzynarodowa Organizacja Standaryzacji (ISO/IEC) 27001:2022
ISO/IEC 27001 jest standardem, który formalnie określa system zarządzania zabezpieczeniami informacji (ISMS), który ma na celu zapewnienie bezpieczeństwa informacji pod jawną kontrolą zarządzania. Ten standard zapewnia, że organizacja zarządza danymi i zabezpiecza je zgodnie ze standardami globalnymi oraz ogranicza ryzyko wycieków danych. Certyfikacja iso/IEC 27001 pomaga organizacjom spełnić liczne wymagania prawne i prawne związane z bezpieczeństwem informacji.
Poniższe wskazówki zawierają więcej informacji na temat sposobu, w jaki możliwości zabezpieczeń usługi Azure Local mogą umożliwić zachowanie zgodności z normą ISO/IEC 27001:2022.
Standardy Bezpieczeństwa Danych Branży Kart Płatniczych (PCI DSS)
Standardy Bezpieczeństwa Danych Przemysłu Kart Płatniczych (PCI DSS) to globalny standard bezpieczeństwa informacji, zaprojektowany w celu zapobiegania oszustwom poprzez zwiększoną kontrolę nad danymi kart płatniczych. PCI DSS jest wymagany dla organizacji o dowolnym rozmiarze, jeśli przechowują, przetwarzają lub przesyłają dane posiadaczy kart. Te organizacje obejmują (ale nie są ograniczone do): kupców, podmiotów przetwarzających płatności, wystawców, nabywców i dostawców usług.
Usługi w chmurze platformy Azure nie tylko mają weryfikację PCI DSS dla platformy Azure lokalnie, ale także oferują szereg funkcji w środowisku hybrydowym, aby pomóc zmniejszyć związane z tym nakłady pracy i koszty uzyskania własnej weryfikacji PCI DSS. Aby uzyskać więcej informacji, zobacz następujące wskazówki.
Ustawa Health Insurance Portability and Accountability Act (HIPAA) z 1996 r.
Health Insurance Portability and Accountability Act of 1996 (HIPAA) to zestaw zasad i przepisów określonych przez Amerykański Departament Zdrowia i Usług Ludzkich (HHS) w celu ochrony prywatności, bezpieczeństwa i integralności poufnych informacji o zdrowiu pacjentów. HIPAA ma zastosowanie do każdej organizacji lub osoby, która tworzy, odbiera, utrzymuje lub przesyła elektroniczne informacje o ochronie zdrowia (PHI), w tym (ale nie tylko) biura lekarzy, szpitali, ubezpieczycieli zdrowotnych i innych firm opieki zdrowotnej.
Zgodność z HIPAA jest niezbędna, ale trudna praca dla firm zajmujących się rozwiązaniami opieki zdrowotnej. Jeśli wybierzesz usługę Azure Local do opracowania hybrydowego środowiska IT, możesz użyć wbudowanych funkcji i usług zintegrowanych z chmurą, aby zautomatyzować wiele aspektów osiągania i utrzymywania zgodności HIPAA. Aby uzyskać więcej informacji, zobacz następujące wskazówki.
Amerykański federalny program zarządzania ryzykiem i autoryzacją (FedRAMP)
FedRAMP oferuje ustandaryzowany proces oceny, nadzorowania i zatwierdzania produktów i usług przetwarzania w chmurze. Upraszcza to wdrażanie bezpiecznych rozwiązań w chmurze dla amerykańskich agencji federalnych i umożliwia dostawcom, takich jak Microsoft oferowanie swoich usług tym agencjom. Uzyskanie autoryzacji FedRAMP ma kluczowe znaczenie, ale stanowi znaczące wyzwanie dla dostawców usług w chmurze, którzy chcą pracować z agencjami federalnymi. Aby rozwiązać ten problem, oferujemy wskazówki, które wyjaśniają odpowiednie usługi i inne istotne informacje w celu wspierania wysiłków związanych z akredytacją.