Azure VMware Çözümü altyapıdaki güvenlik açıklarını giderir
Yüksek düzeyde Azure VMware Çözümü bir Azure hizmeti olduğundan Azure'ın izlediği tüm ilkeleri ve gereksinimleri izlemesi gerekir. Azure ilkeleri ve yordamları, Azure VMware Çözümü Güvenlik Geliştirme Yaşam Döngüsü'ne (SDL) uyması ve Azure tarafından söz verilen çeşitli mevzuat gereksinimlerini karşılaması gerektiğini belirler.
Güvenlik açıklarına yaklaşımımız
Azure VMware Çözümü güvenlik açığı ve risk yönetimine yönelik ayrıntılı bir yaklaşım benimser. Başlangıçtan itibaren güvenli bir şekilde derleme yaptığımızdan emin olmak için SDL'yi takip ediyoruz. Bu güvenlik konusu, üçüncü taraf çözümleriyle çalışmayı içerir. Hizmetlerimiz düzenli aralıklarla otomatik ve el ile yapılan incelemelerle sürekli olarak değerlendirilmektedir. Ayrıca üçüncü taraf iş ortaklarıyla güvenlik sağlamlaştırma ve çözümleri içindeki güvenlik açıklarının erken bildirimleri konusunda da iş ortağıyız.
Güvenlik açığı yönetimi
- Mühendislik ve güvenlik ekipleri güvenlik açığı sinyallerini önceliklandırır.
- Sinyaldeki ayrıntılara karar verilir ve hizmet içindeki telafi denetimlerine göre Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanı ve risk derecelendirmesi atanır.
- Risk derecelendirmesi iç hata çubuklarına, iç ilkelere ve düzenlemelere karşı bir düzeltme uygulamak için bir zaman çizelgesi oluşturmak için kullanılır.
- İç mühendislik ekipleri, gerekli düzeltmeleri, düzeltme eklerini ve diğer yapılandırma güncelleştirmelerini niteleyip kullanıma açmak için uygun taraflarla iş ortaklığı kurar.
- İletişimler gerektiğinde taslak olarak oluşturulur ve atanan risk derecelendirmesine göre yayımlanır.
İpucu
İletişimler Azure Hizmet Durumu portalı, bilinen sorunlar veya e-posta aracılığıyla ortaya çıkar.
Güvenlik açığı ve risk yönetimini yöneten düzenlemelerin alt kümesi
Azure VMware Çözümü, aşağıdaki sertifikalar ve mevzuat gereksinimleri kapsamındadır. Listelenen düzenlemeler, Azure VMware Çözümü sertifikaların tam listesi değildir. Bunun yerine, güvenlik açığı yönetimi ile ilgili belirli gereksinimleri olan bir listedir. Bu düzenlemeler aynı amaçla diğer düzenlemelere dayanmaz. Örneğin, belirli bölgesel sertifikalar güvenlik açığı yönetimi için ISO gereksinimlerine işaret edebilir.
Not
Hizmet Güveni Portalı'nda barındırılan aşağıdaki denetim raporlarına erişmek için etkin bir Microsoft müşterisi olmanız gerekir:
- ISO
- PCI: Denetim bilgileri için DSS ve 3DS paketlerine bakın.
- SOC
- NIST Siber Güvenlik Çerçevesi
- Cyber Essentials Plus