Azure VMware Solution åtgärdar sårbarheter i infrastrukturen
På hög nivå är Azure VMware Solution en Azure-tjänst, så den måste följa samma principer och krav som Azure följer. Azures principer och procedurer kräver att Azure VMware Solution måste följa SDL (Security Development Lifecycle) och måste uppfylla flera regelkrav som utlovats av Azure.
Vår metod för sårbarheter
Azure VMware Solution använder en djupgående metod för sårbarhet och riskhantering. Vi följer SDL för att säkerställa att vi bygger säkert från början. Det här fokuset på säkerhet omfattar att arbeta med lösningar från tredje part. Våra tjänster utvärderas kontinuerligt genom automatiska och manuella granskningar regelbundet. Vi samarbetar också med tredjepartspartner om säkerhetshärdning och tidiga meddelanden om sårbarheter i deras lösningar.
Sårbarhetshantering
- Teknik- och säkerhetsteamen prioriterar alla tecken på sårbarheter.
- Information i signalen bedöms och tilldelas en CVSS-poäng (Common Vulnerability Scoring System) och riskklassificering enligt kompenserande kontroller inom tjänsten.
- Riskklassificeringen används mot interna felstaplar, interna principer och förordningar för att upprätta en tidslinje för att implementera en korrigering.
- Interna teknikteam samarbetar med lämpliga parter för att kvalificera och distribuera eventuella korrigeringar, korrigeringar och andra konfigurationsuppdateringar som krävs.
- Meddelanden utarbetas vid behov och publiceras enligt den tilldelade riskklassificeringen.
Dricks
Kommunikationen visas via Azure Service Health-portalen, kända problem eller e-post.
Delmängd av förordningar som styr sårbarhet och riskhantering
Azure VMware Solution finns i omfånget för följande certifieringar och regelkrav. De angivna reglerna är inte en fullständig lista över certifieringar som Azure VMware Solution innehåller. I stället är det en lista med specifika krav kring hantering av säkerhetsrisker. Dessa föreskrifter förlitar sig inte på andra regler för samma ändamål. Vissa regionala certifieringar kan till exempel peka på ISO-krav för hantering av säkerhetsrisker.
Kommentar
Du måste vara en aktiv Microsoft-kund för att få åtkomst till följande granskningsrapporter i Service Trust Portal:
- ISO
- PCI: Se paketen för DSS och 3DS för granskningsinformation.
- SOC
- NIST Cybersecurity Framework
- Cyber Essentials Plus