Azure Local e padrões de segurança
Este artigo fornece informações sobre padrões de segurança relacionados ao Azure Local. Os recursos detalhados neste artigo, incluindo certificações e relatórios de avaliação, podem ser usados como fontes para ajudá-lo em seu planejamento de conformidade.
Cada seção deste artigo fornece informações sobre o Azure Local e um padrão de segurança específico, juntamente com quaisquer certificações concluídas.
Norma Federal de Processamento de Informações (FIPS) 140
O Federal Information Processing Standard (FIPS) 140 é um padrão de segurança do governo dos EUA que especifica requisitos mínimos de segurança para módulos criptográficos em produtos e sistemas de tecnologia da informação. O Azure Local é baseado no Windows Server Datacenter, que tem um longo histórico de validação FIPS 140.
A tabela a seguir lista o status atual das validações do Azure Local FIPS 140. Para obter mais informações sobre a validação FIPS 140 relacionada dos módulos criptográficos e algoritmos do Windows Server Datacenter, consulte Validação FIPS 140.
| Produtos | Estado da avaliação | Detalhes |
|---|---|---|
| Azure Local, versão 22H2 | Em processo | listado em Módulos NIST em Processo |
| Azure Local, versão 21H2 | Em processo | Biblioteca de Primitivos Criptográficos do Modo Kernel #4766 |
Critérios comuns para a avaliação da segurança das tecnologias da informação (CC)
A Microsoft está empenhada em otimizar a segurança dos seus produtos e serviços. Como parte desse compromisso, a Microsoft oferece suporte ao programa Common Criteria for Information Technology Security Evaluation (CC), garante que os produtos incorporem os recursos e funções exigidos pelos Common Criteria Protection Profiles relevantes e conclua as certificações Common Criteria de vários produtos de sistema operacional.
A tabela a seguir lista o status atual das certificações do Azure Local Common Criteria, juntamente com a documentação de certificação relevante. Saiba mais sobre a abordagem da Microsoft às certificações Common Criteria em Common Criteria certifications.
| Produtos | Estado da avaliação | Detalhes |
|---|---|---|
| Azure Local, versão 22H2 | Concluído em 17 de janeiro de 2024 | Inclui o perfil de proteção para sistemas operacionais de uso geral, o módulo PP para cliente VPN, o módulo PP para cliente de rede local sem fio e o módulo PP para Bluetooth. Documentos de certificação: Alvo de segurança, Guia administrativo, Relatório de atividade de garantia e Relatório de certificação |
| Azure Local, versão 21H2 | Concluído em 21 de novembro de 2022 | Inclui o perfil de proteção de sistemas operacionais de uso geral, o pacote estendido para clientes WLAN e o módulo PP para clientes VPN. Documentos de certificação: Alvo de segurança, Guia administrativo, Relatório de atividade de garantia e Relatório de certificação |
| Azure Local, versão 21H2 | Concluído em 12 de janeiro de 2022 | Inclui o perfil de proteção de sistemas operacionais de uso geral, o pacote estendido para clientes WLAN e o módulo PP para clientes VPN. Documentos de certificação: Alvo de segurança, Guia administrativo, Relatório de atividade de garantia e Relatório de certificação |
Organização Internacional de Normalização (ISO/IEC) 27001:2022
A ISO/IEC 27001 é uma norma que especifica formalmente um Sistema de Gestão da Segurança da Informação (SGSI) que se destina a colocar a segurança da informação sob controlo de gestão explícito. Esta norma fornece a garantia de que uma organização gerencia e protege os dados de acordo com os padrões globais e reduz o risco de vazamentos de dados. A certificação ISO/IEC 27001 ajuda as organizações a cumprir inúmeros requisitos regulamentares e legais relacionados à segurança da informação.
As diretrizes a seguir fornecem mais informações sobre como os recursos de segurança do Azure Local podem permitir que você mantenha a conformidade com a ISO/IEC 27001:2022.
Padrões de Segurança de Dados (DSS) da Indústria de Cartões de Pagamento (PCI)
O Payment Card Industry (PCI) Data Security Standards (DSS) é um padrão global de segurança da informação projetado para prevenir fraudes através de um maior controle dos dados do cartão de crédito. O PCI DSS é necessário para organizações de qualquer tamanho se elas armazenarem, processarem ou transmitirem dados de titulares de cartão. Essas organizações incluem (mas não estão limitadas a): comerciantes, processadores de pagamento, emissores, adquirentes e provedores de serviços.
Os serviços de nuvem do Azure não só têm validação PCI DSS para o Azure Local, mas também oferecem uma matriz de recursos em todo o ambiente híbrido para ajudá-lo a reduzir o esforço associado e os custos de obter sua própria validação PCI DSS. Para obter mais informações, consulte as orientações a seguir.
Lei HIPAA (Health Insurance Portability and Accountability Act) de 1996
O Health Insurance Portability and Accountability Act of 1996 (HIPAA) é um conjunto de regras e regulamentos estabelecidos pelo Departamento de Saúde e Serviços Humanos dos EUA (HHS) para proteger a privacidade, segurança e integridade das informações confidenciais de saúde dos pacientes. A HIPAA aplica-se a qualquer organização ou indivíduo que crie, receba, mantenha ou transmita informações eletrônicas protegidas de saúde (PHI), incluindo (mas não limitado a) consultórios médicos, hospitais, seguradoras de saúde e outras empresas de saúde.
Cumprir a HIPAA é um trabalho essencial, mas desafiador para as empresas de soluções de saúde. Se escolher o Azure Local para desenvolver o seu ambiente de TI híbrido, pode utilizar as suas capacidades incorporadas e os serviços integrados na nuvem para automatizar muitos aspetos da obtenção e manutenção da conformidade com a HIPAA. Para obter mais informações, consulte as orientações a seguir.
Programa Federal de Gestão de Riscos e Autorizações dos EUA (FedRAMP)
O FedRAMP oferece um processo padronizado para avaliar, supervisionar e aprovar produtos e serviços de computação em nuvem. Ele simplifica a adoção de soluções de nuvem seguras para agências federais dos EUA e permite que provedores como a Microsoft ofereçam seus serviços a essas agências. Embora a obtenção da autorização do FedRAMP seja crucial, representa um desafio significativo para os provedores de serviços em nuvem que buscam trabalhar com agências federais. Para resolver este problema, oferecemos orientações que esclarecem os serviços relevantes e outras informações pertinentes para apoiar os seus esforços de acreditação.