Padrões locais e de segurança do Azure
Este artigo fornece informações sobre padrões de segurança relacionados ao Azure Local. Os recursos detalhados neste artigo, incluindo certificações e relatórios de avaliação, podem ser usados como fontes para ajudá-lo em seu planejamento de conformidade.
Cada seção deste artigo fornece informações sobre o Azure Local e um padrão de segurança específico, juntamente com todas as certificações concluídas.
(FIPS) Federal Information Processing Standards 140
O Federal Information Processing Standard (FIPS) 140 é um padrão de segurança do governo dos EUA que especifica os requisitos mínimos de segurança para módulos criptográficos em produtos e sistemas de tecnologia da informação. O Azure Local é criado no Windows Server Datacenter, que tem um longo histórico de validação FIPS 140.
A tabela a seguir lista o status atual das validações do FIPS 140 Local do Azure. Para obter mais informações sobre a validação FIPS 140 relacionada dos módulos criptográficos e algoritmos do Windows Server Datacenter, consulte Validação FIPS 140.
| Produtos | Status de avaliação | Detalhes |
|---|---|---|
| Azure Local, versão 22H2 | Em processo | listado em Módulos NIST em Processo |
| Azure Local, versão 21H2 | Em processo | Biblioteca de primitivos criptográficos do modo kernel #4766 |
Critérios comuns para avaliação de segurança de tecnologia da informação (CC)
A Microsoft está comprometida em otimizar a segurança de seus produtos e serviços. Como parte desse compromisso, a Microsoft oferece suporte ao programa Common Criteria for Information Technology Security Evaluation (CC), garante que os produtos incorporem os recursos e funções exigidos pelos Common Criteria Protection Profiles relevantes e conclui as certificações Common Criteria de vários produtos de sistema operacional.
A tabela a seguir lista o status atual das certificações de Critérios Comuns Locais do Azure, juntamente com a documentação de certificação relevante. Saiba mais sobre a abordagem da Microsoft para certificações Common Criteria em Certificações Common Criteria.
| Produtos | Status de avaliação | Detalhes |
|---|---|---|
| Azure Local, versão 22H2 | Concluído em 17 de janeiro de 2024 | Inclui o perfil de proteção para sistemas operacionais de uso geral, o módulo PP para cliente VPN, o módulo PP para cliente de rede local sem fio e o módulo PP para Bluetooth. Documentos de certificação: Security Target, Guia Administrativo, Relatório de Atividades de Garantia e Relatório de Certificação |
| Azure Local, versão 21H2 | Concluído em 21 de novembro de 2022 | Inclui o perfil de proteção de sistemas operacionais de uso geral, o pacote estendido para clientes WLAN e o módulo PP para clientes VPN. Documentos de certificação: Security Target, Guia Administrativo, Relatório de Atividades de Garantia e Relatório de Certificação |
| Azure Local, versão 21H2 | Concluído em 12 de janeiro de 2022 | Inclui o perfil de proteção de sistemas operacionais de uso geral, o pacote estendido para clientes WLAN e o módulo PP para clientes VPN. Documentos de certificação: Security Target, Guia Administrativo, Relatório de Atividades de Garantia e Relatório de Certificação |
Organização Internacional de Padronização (ISO/IEC) 27001:2022
A ISO/IEC 27001 é uma norma que especifica formalmente um Sistema de Gerenciamento de Segurança da Informação (SGSI) que se destina a colocar a segurança da informação sob controle explícito de gerenciamento. Essa norma fornece garantia de que uma organização gerencia e protege os dados de acordo com os padrões globais e reduz o risco de vazamentos de dados. A certificação ISO/IEC 27001 ajuda as organizações a cumprir vários requisitos regulamentares e legais relacionados à segurança da informação.
As diretrizes a seguir fornecem mais informações sobre como os recursos de segurança do Azure Local podem permitir que você mantenha a conformidade com a ISO/IEC 27001:2022.
Padrões de segurança de dados (DSS) do setor de cartões de pagamento (PCI)
Os Padrões de Segurança de Dados (DSS) do Setor de Cartões de Pagamento (PCI) são um padrão global de segurança da informação projetado para evitar fraudes por meio de maior controle dos dados de cartão de crédito. O PCI DSS é necessário para organizações de qualquer tamanho se armazenarem, processarem ou transmitirem dados do titular do cartão. Essas organizações incluem (mas não estão limitadas a): comerciantes, processadores de pagamento, emissores, adquirentes e provedores de serviços.
Os serviços de nuvem do Azure não apenas têm validação PCI DSS para Azure Local, mas também oferecem uma variedade de recursos em todo o ambiente híbrido para ajudá-lo a reduzir o esforço e os custos associados de obter sua própria validação PCI DSS. Para obter mais informações, consulte as diretrizes a seguir.
Lei americana HIPAA de 1996 (Health Insurance Portability and Accountability Act)
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA) é um conjunto de regras e regulamentos estabelecidos pelo Departamento de Saúde e Serviços Humanos dos EUA (HHS) para proteger a privacidade, segurança e integridade das informações confidenciais de saúde dos pacientes. A HIPAA se aplica a qualquer organização ou indivíduo que crie, receba, mantenha ou transmita informações eletrônicas de saúde protegidas (PHI), incluindo (mas não se limitando a) consultórios médicos, hospitais, seguradoras de saúde e outras empresas de saúde.
A conformidade com a HIPAA é um trabalho essencial, mas desafiador, para as empresas de soluções de saúde. Se você escolher o Azure Local para desenvolver seu ambiente de TI híbrida, poderá utilizar seus recursos internos e os serviços integrados à nuvem para automatizar muitos aspectos da obtenção e manutenção da conformidade com a HIPAA. Para obter mais informações, consulte as diretrizes a seguir.
Us Federal Risk and Authorization Management Program (FedRAMP)
O FedRAMP oferece um processo padronizado para avaliar, supervisionar e aprovar produtos e serviços de computação em nuvem. Ele simplifica a adoção de soluções de nuvem seguras para agências federais dos EUA e permite que provedores como a Microsoft ofereçam seus serviços a essas agências. Embora a obtenção da autorização do FedRAMP seja crucial, ela representa um desafio significativo para os provedores de serviços em nuvem que buscam trabalhar com agências federais. Para resolver isso, oferecemos orientações que esclarecem os serviços relevantes e outras informações pertinentes para apoiar seus esforços de credenciamento.