适用于:Azure Local 2311.2 及更高版本
Azure Local 建立在强大的安全基础之上,包括Microsoft安全开发生命周期(SDL)、认证和安全供应链。
安全保证
Microsoft致力于不断投资于改进软件开发过程、构建高度安全的按设计的软件以及满足安全合规性要求。 我们在当今的威胁环境中从头开始建立安全机制,以建立强大的防御能力。 Azure Local 的每个组件(从计算机核心到云)旨在帮助确保最终的安全性。
Microsoft安全开发生命周期(SDL)
Microsoft安全开发生命周期(SDL)介绍了整个工程和开发的所有阶段的安全最佳做法、工具和流程。 一系列工具和技术(如威胁建模、静态分析、模糊检查和代码质量检查)使团队的每个工程师从第一天起能够继续将安全价值嵌入到 Windows 中。 通过 SDL 实践,Microsoft工程师不断提供可作和 up-to日期方法,以在发布代码之前改进开发工作流和整体产品安全性。 此外,Microsoft攻击性研究和安全工程(MORSE)对选择的 Windows 功能执行有针对性的设计评审、审核和深度渗透测试。 Microsoft的开源 OneFuzz 平台允许开发人员在开发和测试周期中大规模地为 Windows 提供模糊功能。
安全评估活动
作为 SDL 的一部分,AZURE Local 等产品由 MORSE Edge 团队审查。 MORSE 与其他Microsoft安全团队合作,对产品执行全面的安全评估。 安全评估活动的目标是:
- 确保产品所做出的安全承诺有效且有效。
- 识别 Azure 本地平台及其依赖项中的不安全配置、漏洞和设计缺陷,并确保在交付之前对其进行更正。
- 根据Microsoft的 SDL 安全要求查看产品。
- 确保产品符合Microsoft从一开始就交付安全解决方案的标准。
- 确保还可以管理产品,以在产品的生命周期内维护和增强安全性。
全面的产品安全评估将完成,因为包括新功能,随着产品在其生命周期的继续。 保护边缘产品、保持最佳做法、客户需求和合规性要求的全面方法的一致性是Microsoft在 Azure 本地开发安全优先产品的承诺Microsoft最有力的指标。
认证
Microsoft致力于支持产品安全标准和认证,包括 FIPS 140 和通用标准,作为安全保证的外部验证。 联邦信息处理标准(FIPS)发布 140 是美国政府标准,定义了 IT 产品中加密模块的最低安全要求。 Microsoft保持积极承诺,以满足 FIPS 140 标准的要求,自 2001 年首次建立以来,已针对 FIPS 140-2 验证 Windows作系统中的加密模块。
共同标准(CC)是目前由参与共同标准承认安排的国家政府维持的国际标准。 CC 定义了安全功能要求、安全保障要求和评估方法的常见分类,用于确保进行评估的产品满足功能和保证要求。 Microsoft确保产品包含相关通用标准保护配置文件所需的特性和功能,并完成 Microsoft Windows 产品的通用标准认证。
Microsoft在 联邦信息处理标准(FIPS)140 验证和通用标准认证中发布 FIPS 140 和 CC 认证产品列表。
Microsoft提供 Azure Local 作为商业现成的混合基础结构平台,该平台不仅提供一套全面的行业认可的认证和审核,而且还提供一系列平台功能,帮助你满足本地和云设置中的严格合规性要求。 下面是我们为 Azure 本地平台提供的一些认证和合规性指南:
- 联邦信息处理标准(FIPS)140。
- 信息技术安全评估通用标准(CC)。
- 支付卡行业(PCI)数据安全标准(DSS)。
- 1996年《医疗保险可移植性和责任法》(HIPAA)。
- 美国联邦风险和授权管理计划(FedRAMP)。
- 国际标准化组织(ISO)27001:2022。
安全供应链
保护软件供应链的工作对于Microsoft和世界非常重要。 不断变化的技术格局和速度使各国政府、组织和公司都努力改善监督,并在新功能中建立。 Microsoft积极参与制定标准(如 IETF 和 OpenSSF),并与其他人合作,以产生创新的变革。 最初的重点是我们如何和其他产品生产产品,但关注正在运行的系统。
从开发软件材料清单(SBOM)开始,必须从中列出第三方依赖项(成分)。 这包括证据声明的绑定以及常见漏洞和暴露(CVE)报告。 后者将使更广泛的能力能够评估依赖产品的风险和问题。