Azure Stack HCI e padrões de segurança
Este artigo fornece informações sobre padrões de segurança relacionados ao Azure Stack HCI. Os recursos detalhados neste artigo, incluindo certificações e relatórios de avaliação, podem ser usados como fontes para ajudá-lo em seu planejamento de conformidade.
Os produtos Azure Stack, incluindo o Azure Stack HCI, o Azure Stack Hub e o Azure Stack Edge, têm uma ampla gama de recursos e serviços de segurança em todo o ambiente híbrido que podem ajudar a atender aos rigorosos requisitos de conformidade, tanto na nuvem quanto no local. Cada seção deste artigo fornece informações sobre o Azure Stack HCI e um padrão de segurança específico, juntamente com quaisquer certificações concluídas.
Norma Federal de Processamento de Informações (FIPS) 140
O Federal Information Processing Standard (FIPS) 140 é um padrão de segurança do governo dos EUA que especifica requisitos mínimos de segurança para módulos criptográficos em produtos e sistemas de tecnologia da informação. O Azure Stack é baseado no Windows Server Datacenter, que tem um longo histórico de validação FIPS 140.
A tabela a seguir lista o status atual das validações do Azure Stack FIPS 140. Para obter mais informações sobre a validação FIPS 140 relacionada dos módulos criptográficos e algoritmos do Windows Server Datacenter, consulte Validação FIPS 140.
| Produtos | Estado da avaliação | Detalhes |
|---|---|---|
| Azure Stack HCIv2, versão 22H2 (Azure Stack HCI, versão 22H2. A avaliação também inclui o Azure Stack Hub e o Azure Stack Edge.) | Em processo (listados nos Módulos NIST em Processo) | Inclui os módulos criptográficos BitLocker Dump Filter, Boot Manager, Code Integrity, Cryptographic Primitives Library, Kernel Mode Cryptographic Primitives Library, Secure Kernel Code Integrity e Windows OS Loader. |
| Azure Stack HCIv2, versão 21H2 Azure Stack HCIv2, versão 22H2 (Azure Stack HCI, versão 22H2. A avaliação também inclui o Azure Stack Hub e o Azure Stack Edge.) | Em processo (listados nos Módulos NIST em Processo) | Inclui os módulos criptográficos BitLocker Dump Filter, Boot Manager, Code Integrity, Cryptographic Primitives Library, Kernel Mode Cryptographic Primitives Library, Secure Kernel Code Integrity e Windows OS Loader. |
| Azure Data Box Edge, versão 1809 (Azure Stack Edge) | Concluída | Consulte os certificados de módulo criptográfico CMVP vinculados para datas de avaliação e documentos de Política de Segurança do módulo criptográfico: Biblioteca de Primitivas Criptográficas #3197, Biblioteca de Primitivas Criptográficas do Modo Kernel #3196, Integridade do Código #3644, Carregador do Sistema Operacional Windows #3615, Integridade do Código do Kernel Seguro #3651, Filtro de Despejo BitLocker #3092 e Gerenciador de Inicialização #3089. |
Critérios comuns para a avaliação da segurança das tecnologias da informação (CC)
A Microsoft está empenhada em otimizar a segurança dos seus produtos e serviços. Como parte desse compromisso, a Microsoft oferece suporte ao programa Common Criteria for Information Technology Security Evaluation (CC), garante que os produtos incorporem os recursos e funções exigidos pelos Common Criteria Protection Profiles relevantes e conclua as certificações Common Criteria de vários produtos de sistema operacional.
A tabela a seguir lista o status atual das certificações do Azure Stack Common Criteria, juntamente com a documentação de certificação relevante. Saiba mais sobre a abordagem da Microsoft às certificações Common Criteria em Common Criteria certifications.
| Produtos | Estado da avaliação | Detalhes |
|---|---|---|
| Azure Stack HCIv2, versão 22H2 (Azure Stack HCI, versão 22H2. A avaliação também inclui o Azure Stack Hub e o Azure Stack Edge.) | Concluído em 17 de janeiro de 2024 | Inclui o perfil de proteção para sistemas operacionais de uso geral, o módulo PP para cliente VPN, o módulo PP para cliente de rede local sem fio e o módulo PP para Bluetooth. Documentos de certificação: Alvo de segurança, Guia administrativo, Relatório de atividade de garantia e Relatório de certificação |
| Azure Stack HCIv2, versão 21H2 (Azure Stack HCI, versão 22H2. A avaliação também inclui o Azure Stack Hub e o Azure Stack Edge.) | Concluído em 21 de novembro de 2022 | Inclui o perfil de proteção de sistemas operacionais de uso geral, o pacote estendido para clientes WLAN e o módulo PP para clientes VPN. Documentos de certificação: Alvo de segurança, Guia administrativo, Relatório de atividade de garantia e Relatório de certificação |
| Azure Stack | Concluído em 12 de janeiro de 2022 | Inclui o perfil de proteção de sistemas operacionais de uso geral, o pacote estendido para clientes WLAN e o módulo PP para clientes VPN. Documentos de certificação: Alvo de segurança, Guia administrativo, Relatório de atividade de garantia e Relatório de certificação |
Organização Internacional de Normalização (ISO/IEC) 27001:2022
A ISO/IEC 27001 é uma norma que especifica formalmente um Sistema de Gestão da Segurança da Informação (SGSI) que se destina a colocar a segurança da informação sob controlo de gestão explícito. Esta norma fornece a garantia de que uma organização gerencia e protege os dados de acordo com os padrões globais e reduz o risco de vazamentos de dados. A certificação ISO/IEC 27001 ajuda as organizações a cumprir inúmeros requisitos regulamentares e legais relacionados à segurança da informação.
As diretrizes a seguir fornecem mais informações sobre como os recursos de segurança do Azure Stack HCI podem permitir que você mantenha a conformidade com a ISO/IEC 27001:2022.
Padrões de Segurança de Dados (DSS) da Indústria de Cartões de Pagamento (PCI)
O Payment Card Industry (PCI) Data Security Standards (DSS) é um padrão global de segurança da informação projetado para prevenir fraudes através de um maior controle dos dados do cartão de crédito. O PCI DSS é necessário para organizações de qualquer tamanho se elas armazenarem, processarem ou transmitirem dados de titulares de cartão. Essas organizações incluem (mas não estão limitadas a): comerciantes, processadores de pagamento, emissores, adquirentes e provedores de serviços.
Os serviços de nuvem do Azure não só têm validação PCI DSS para o Azure Stack HCI, mas também oferecem uma matriz de recursos em todo o ambiente híbrido para ajudá-lo a reduzir o esforço associado e os custos de obter sua própria validação PCI DSS. Para obter mais informações, consulte as orientações a seguir.
Lei HIPAA (Health Insurance Portability and Accountability Act) de 1996
O Health Insurance Portability and Accountability Act of 1996 (HIPAA) é um conjunto de regras e regulamentos estabelecidos pelo Departamento de Saúde e Serviços Humanos dos EUA (HHS) para proteger a privacidade, segurança e integridade das informações confidenciais de saúde dos pacientes. A HIPAA aplica-se a qualquer organização ou indivíduo que crie, receba, mantenha ou transmita informações eletrônicas protegidas de saúde (PHI), incluindo (mas não limitado a) consultórios médicos, hospitais, seguradoras de saúde e outras empresas de saúde.
Cumprir a HIPAA é um trabalho essencial, mas desafiador para as empresas de soluções de saúde. Se você escolher o Azure Stack HCI para desenvolver seu ambiente de TI híbrido, poderá utilizar seus recursos internos e os serviços integrados à nuvem para automatizar muitos aspetos da obtenção e manutenção da conformidade com a HIPAA. Para obter mais informações, consulte as orientações a seguir.