Стандарты локальной и безопасности Azure
Область применения: Azure Local 2311.2 и более поздних версий
В этой статье содержатся сведения о стандартах безопасности, связанных с локальными службами Azure. Ресурсы, описанные в этой статье, включая сертификаты и отчеты об оценке, можно использовать в качестве источников, которые помогут вам в планировании соответствия требованиям.
В каждом разделе этой статьи содержатся сведения о локальном и определенном стандарте безопасности Azure, а также о любых завершенных сертификациях.
Федеральный стандарт обработки информации (FIPS) 140
Стандарт федеральной информационной обработки (FIPS) 140 — это стандарт безопасности для государственных организаций США, определяющий минимальные требования к безопасности для криптографических модулей в продуктах и системах информационной технологии. Локальный сервер Azure основан на центре обработки данных Windows Server, который имеет длинную историю проверки FIPS 140.
В следующей таблице перечислены текущие состояния локальных проверок FIPS 140 Azure. Дополнительные сведения о связанной проверке FIPS 140 для криптографических модулей и алгоритмов Центра обработки данных Windows Server см. в разделе проверки FIPS 140.
| Продукты | Состояние оценки | Сведения |
|---|---|---|
| Локальная версия Azure, версия 22H2 | В работе | список модулей NIST в процессе |
| Локальная версия Azure, версия 21H2 | В работе | Библиотека криптографических примитивов в режиме ядра #4766 |
Общие критерии оценки безопасности информационных технологий (CC)
Корпорация Майкрософт стремится оптимизировать безопасность своих продуктов и служб. В рамках этого обязательства корпорация Майкрософт поддерживает общие критерии для программы оценки безопасности информационных технологий (CC), гарантирует, что продукты включают функции и функции, необходимые для соответствующих общих профилей защиты критериев, и завершает сертификацию общих критериев нескольких продуктов операционной системы.
В следующей таблице перечислены текущие состояния сертификатов локальных общих критериев Azure вместе с соответствующей документацией по сертификации. Узнайте больше о подходе Майкрософт к сертификации common Criteria в сертификатах Common Criteria.
| Продукты | Состояние оценки | Сведения |
|---|---|---|
| Локальная версия Azure, версия 22H2 | Завершено 17 января 2024 г. | Включает профиль защиты для операционных систем общего назначения, модуль PP для VPN-клиента, модуль PP-module для клиента беспроводной локальной сети и модуль PP-модуля для Bluetooth. Документы сертификации: целевой объект безопасности, административное руководство, отчет о действиях assurance и отчет о сертификации |
| Локальная версия Azure, версия 21H2 | Завершено 21 ноября 2022 г. | Включает профиль защиты операционных систем общего назначения, расширенный пакет для клиентов WLAN и модуль PP для VPN-клиентов. Документы сертификации: целевой объект безопасности, административное руководство, отчет о действиях assurance и отчет о сертификации |
| Локальная версия Azure, версия 21H2 | Завершено 12 января 2022 г. | Включает профиль защиты операционных систем общего назначения, расширенный пакет для клиентов WLAN и модуль PP для VPN-клиентов. Документы сертификации: целевой объект безопасности, административное руководство, отчет о действиях assurance и отчет о сертификации |
Международная организация по стандартизации (ISO/IEC) 27001:2022
ISO/IEC 27001 является стандартом, который официально указывает систему управления информационной безопасностью (ISMS), которая предназначена для обеспечения информационной безопасности под явным контролем управления. Этот стандарт обеспечивает уверенность в том, что организация управляет и защищает данные в соответствии с глобальными стандартами и снижает риск утечки данных. Сертификация iso/IEC 27001 помогает организациям соответствовать многочисленным нормативным и юридическим требованиям, связанным с информационной безопасностью.
В следующем руководстве содержатся дополнительные сведения о том, как возможности безопасности локальной службы Azure позволяют обеспечить соответствие требованиям ISO/IEC 27001:2022.
Стандарты безопасности данных (PCI) (DSS)
Стандарты безопасности данных (DSS) в области карт оплаты (PCI) — это глобальный стандарт информационной безопасности, предназначенный для предотвращения мошенничества с помощью повышенного контроля над данными кредитной карты. PCI DSS требуется для организаций любого размера, если они хранят, обрабатывают или передают данные заполнителя карт. К этим организациям относятся (но не ограничиваются): торговцы, обработчики платежей, издатели, приобретатели и поставщики услуг.
Облачные службы Azure не только имеют проверку PCI DSS для локальной среды Azure, но и предлагают множество функций в гибридной среде, чтобы снизить связанные усилия и затраты на получение собственной проверки PCI DSS. Дополнительные сведения см. в следующих рекомендациях.
Акт о передаче и защите данных учреждений здравоохранения (HIPAA) от 1996 г.
Закон о переносимости медицинского страхования и подотчетности 1996 года (HIPAA) является набором правил и правил, установленных Министерством здравоохранения и человеческих услуг США (HHS) для защиты конфиденциальной информации о конфиденциальности, безопасности и целостности конфиденциальной информации о здоровье пациентов. HIPAA применяется к любой организации или личности, которая создает, получает, обслуживает или передает электронную защищенную информацию о здравоохранении (PHI), включая (но не ограниченное) офисы врачей, больницы, медицинские страховщики и другие медицинские компании.
Соблюдение HIPAA является важным, но сложной работой для компаний медицинских решений. Если вы выберете Azure Local для разработки гибридной ИТ-среды, вы можете использовать встроенные возможности и облачные интегрированные службы для автоматизации многих аспектов достижения и поддержания соответствия HIPAA. Дополнительные сведения см. в следующих рекомендациях.
Федеральная программа управления рисками и авторизацией США (FedRAMP);
FedRAMP предлагает стандартизованный процесс для оценки, надзора и утверждения продуктов и служб облачных вычислений. Это упрощает внедрение безопасных облачных решений для федеральных учреждений США и позволяет поставщикам, таким как Корпорация Майкрософт предлагать свои услуги этим агентствам. Несмотря на то, что получение авторизации FedRAMP имеет решающее значение, это представляет значительную проблему для поставщиков облачных служб, стремящихся работать с федеральными агентствами. Для этого мы предлагаем рекомендации, которые уточняют соответствующие услуги и другие соответствующие сведения для поддержки ваших усилий по аккредитации.