Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makale, Kuzey Amerika Elektrik Güvenilirlik Kurumu (NERC) Kritik Altyapı Koruma (CIP) standartlarına uyumlu olarak veriler ve iş yükleri için bulut benimsemeyi değerlendirilen elektrik güç şirketleri ve kayıtlı varlıklara yöneliktir.
Microsoft, elektrik yardımcı programları ve diğer kayıtlı varlıklar için iki farklı bulut ortamı sunar: Azure ve Azure Kamu. Her ikisi de kayıtlı varlıkların çeşitli çözümleri dağıtmak için kullanabileceği çok kiracılı bir bulut hizmetleri platformu sağlar. Çok kiracılı bir bulut platformu, birden çok müşteri uygulaması ve verinin aynı fiziksel donanımda depolandığını gösterir. Azure ve Azure Kamu, farklı müşterilere ait uygulamaları ve verileri ayrıştırmak için mantıksal yalıtımı kullanır. Bu yaklaşım, çok kiracılı bulut hizmetlerinin ölçek ve ekonomik avantajlarını sağlarken müşterilerin bir başkasının verilerine veya uygulamalarına erişmesini sıkı bir şekilde engeller. Bu makale elektrik enerjisi endüstrisiyle ilgili yaygın güvenlik ve yalıtım endişelerini ele alır. Ayrıca Azure veya Azure Kamu'da dağıtılan ve NERC CIP standartlarına tabi olan veriler ve iş yükleri için uyumluluk konusunda dikkat edilmesi gerekenler açıklanır. Yalıtım yaklaşımlarının ayrıntılı teknik açıklaması için bkz. Güvenli yalıtım için Azure kılavuzu.
Hem Azure hem de Azure Kamu aynı kapsamlı güvenlik denetimlerine sahiptir. Ayrıca müşteri verilerinin korunmasıyla ilgili aynı Microsoft taahhüdünü de paylaşırlar. Azure Kamu, ABD'de müşteri verilerinin depolanması ve müşteri verilerini işleyen sistemlere erişimin taranmış ABD kişileriyle sınırlandırılmasıyla ilgili sözleşme taahhütleri aracılığıyla kayıtlı varlıklara ek bir koruma katmanı sağlar. Ayrıca Azure Kamu yalnızca ABD'de ABD tabanlı kayıtlı varlıklar tarafından kullanılabilir.
Hem Azure hem de Azure Kamu, NERC CIP standartlarına uygun belirli iş yüklerini dağıtan kayıtlı varlıklar için uygundur.
NERC'ye genel bakış
North American Electric Reliability Corporation (NERC), görevi Kuzey Amerika toplu güç sisteminin güvenilirliğini sağlamak olan kar amacı gütmeyen bir düzenleyici kurumdur. NERC, ABD Federal Enerji Düzenleme Komisyonu (FERC) ve Kanada'daki hükümet yetkilileri tarafından gözetime tabidir. 2006 yılında FERC, ABD Kamu Yasası 109-58'de belirtildiği gibi 2005 Enerji Politikası Yasası uyarınca NERC'ye Elektrik Güvenilirliği Örgütü (ERO) ataması verdi. NERC, Kuzey Amerika'da yaklaşık 400 milyon kişiye hizmet veren toplu güç sisteminin kullanıcıları, sahipleri ve operatörleri üzerinde yargı yetkisine sahiptir. NERC ERO Enterprise ve NERC bölgesel varlıkları hakkında daha fazla bilgi için bkz. NERC anahtar oyuncuları.
NERC, NERC CIP standartları olarak bilinen güvenilirlik standartlarını geliştirir ve uygular. AMERIKA Birleşik Devletleri'nde FERC, 2007'de ilk CIP standartları kümesini onayladı ve her yeni düzeltmede bunu yapmaya devam etti. Kanada'da Federal, Bölge İzleme ve Uygulama Alt Grubu (MESG), CIP standartlarını Kanada yargı bölgelerinde uygulanabilir hale getirmek için il özetleri geliştirir.
Azure ve Azure Hükümeti
Azure, kiracı ayırma gereksinimlerini karşılamak için sıkı denetimlerle tasarlanan işlem, depolama ve ağ gibi temel altyapı ve sanallaştırma teknolojileri ve hizmetleri sağlar. Bu hizmetler ayrıca şirket içi ortamınıza güvenli bağlantı sağlamaya da yardımcı olur. Çoğu Azure hizmeti, müşteri verilerinizin depolanacağı bölgeyi belirtmenizi sağlar. Microsoft, veri dayanıklılığı için müşteri verilerinizi aynı coğrafyadaki diğer bölgelere çoğaltabilir. Ancak Microsoft, müşteri verilerinizi seçilen coğrafyanın (örneğin, ABD) dışında çoğaltmaz.
Microsoft, kayıtlı varlıklara uygulamalarını ve verilerini dağıtmak için iki farklı bulut ortamı sağlar: Azure ve Azure Kamu. Azure genel olarak dünya çapında 60'tan fazla bölgede kullanılabilir; ancak, NERC CIP standartlarına tabi kayıtlı varlıklar için en çok ilgi çekici coğrafyalar ABD ve Kanada'dır.
- Azure, HEM ABD hem de Kanada'daki NERC kayıtlı varlıkları tarafından kullanılabilir.
- Azure Kamu yalnızca ABD'de ABD tabanlı NERC kayıtlı varlıkları tarafından kullanılabilir.
Abd ve Kanada'da kullanılabilen Azure bölgeleri ve ABD'deki Azure Kamu bölgeleri için bkz. Azure coğrafyaları. Belirli bir bölgedeki Azure hizmeti kullanılabilirliği için bkz. Bölgeye göre kullanılabilir ürünler.
Hem Azure hem de Azure Kamu, müşteri verilerinizin ve uygulamalarınızın korunması konusunda sağlam güvenceler sağlamak için aynı güçlü güvenlik denetimlerine sahiptir. Ölçek ve kaynak kullanımı sağlamak için sanallaştırma teknolojilerini kullanan çok kiracılı bir bulut ortamında çeşitli hizmetler sunar. Ayrıca paylaşılan bir ortamda üstün veri ayrımı ve yalıtımı sağlar. Bu tasarım, Azure ve Azure Kamu'dan verimli bir şekilde yararlanabilmenizi ve verilerinizi ve iş yüklerinizi diğer kiracılardan yalıtmanızı sağlamaya yardımcı olur. Her iki bulut ortamı da birincil bölgedeki ayrı hata etki alanlarında müşteri verilerinin üç kopyasını tutarak Azure Depolama için aynı veri yedekliliğini sağlar. Ayrıca, eşleştirilmiş bölgedeki ayrı hata etki alanlarında da müşteri verilerinin ek üç kopyasını tutan coğrafi olarak yedekli depolamayı etkinleştirebilirsiniz. Azure Depolama, herhangi bir anda en az 400 mil mesafedeki iki farklı bölgede bulunan müşteri verilerinizin sağlıklı altı kopyasını korur.
Azure Kamu , Fiziksel olarak Azure bulutundan ayrılmış bir ABD kamu topluluk bulutudur. Abd hükümetine özgü arka plan filtreleme gereksinimleriyle ilgili ek güvenceler sağlar. Örneğin Azure Kamu, müşteri verilerine potansiyel erişimi olan operasyon personeli için ABD kişilerinin doğrulanmasını zorunlu kılmıştır. Azure Kamu, belirli dışarı aktarma denetimleri yasalarına ve düzenlemelerine tabi olan müşterileri de destekleyebilir. Hem Azure hem de Azure Kamu, NERC CIP standartlarına uygun belirli iş yüklerini dağıtan kayıtlı varlıklar için uygundur.
Azure ve Azure Kamu, önemli bağımsız sertifikalar ve kanıtlamalar dahil olmak üzere sektördeki en geniş uyumluluk kapsamına sahiptir. Azure Kamu, ABD kamu gereksinimlerine özgü ek uyumluluk kapsamı ekler.
Nükleer elektrik hizmetleri müşterileri ayrıca Enerji Bakanlığı (DoE) / Ulusal Nükleer Güvenlik İdaresi (NNSA) 10 CFR Bölüm 810 ihracat kontrol gereksinimlerine tabi olabilir. DoE 10 CFR Bölüm 810, sınıflandırılmamış nükleer teknoloji ve yardım ihracatını da kontrol eder. Paragraf 810.7 (b) hassas nükleer teknolojiyi herhangi bir yabancı varlığa sağlamak veya aktarmak için belirli DoE yetkilendirmesi gerektiğini belirtir.
- İhracat, korunan teknolojinin veya bilgilerin hedefe bakılmadan yabancı bir hedefe veya yabancı kişiye aktarılmasıdır.
- İhracat, korunan teknolojinin ve bilgilerin ABD içindeki yabancı bir kişiye iletimini temsil eder.
Azure Kamu, bilgi ve sistemlere erişimi ABD kişileriyle kısıtlayan belirli denetimleri karşılamak üzere tasarlanmıştır. Bu taahhüt Azure'da uygulanmaz. Bu nedenle, Azure'da dağıtım yapan müşterilerin, yabancı kişilere açıklanmaması gereken verilerin güvenliğini sağlamak için ek teknik önlemlerin dağıtılıp dağıtılmaması gerektiğini belirlemek için uygun risk değerlendirmesi gerçekleştirmesi gerekir. Daha fazla bilgi için bkz. Azure DoE 10 CFR Bölüm 810 uyumluluk teklifi.
Nükleer hizmet müşterileri, tüm geçerli yasa ve düzenlemelere kendi uyumlarını sağlamakla tamamen sorumludur. Bu, yasal tavsiye değildir ve mevzuat uyumluluğuyla ilgili sorularınız için hukuk danışmanlarınıza danışmanız gerekir.
NERC CIP verilerini ve iş yüklerini kategorilere ayırma
Uyarı
Toplu Elektrik Sistemi 'ni (BES) çalıştıran müşteriler, NERC CIP standartlarına kendi uyumluluklarını sağlamakla tamamen sorumludur. Ne Azure ne de Azure Kamu toplu elektrik sistemi (BES) veya BES Siber Varlık oluşturmaz.
NERC tarafından belirtildiği gibi, CIP standartları Toplu Elektrik Sistemi (BES) için geçerlidir:
- Genel olarak, 100 kV ve üzeri, ancak bazı istisnalar vardır, esasen radyal hatlar için.
- 20MVA ve üzeri üretim birimleri, 75MVA ve üzeri üretim tesisleri, tamamen ölçüm arkası üretim için bazı istisnalar.
- BES'i izleyen ve denetleen Denetim Merkezleri'ni içerir.
NERC tarafından belirtildiği gibi, CIP standartları dağıtım için, yani BES (Büyük Elektrik Sistemi) dışındakiler için geçerli değildir; ancak birkaç istisna bulunmaktadır: özellikle Frekans Altında Yük Dökme (UFLS), Gerilim Altında Yük Dökme (UVLS), Blackstart Kaynakları (üretim) ve Krank Yolları.
NERC CIP standartları verilerinin ve iş yüklerinin bulut dağıtımına uygunluğunu değerlendirmek için kayıtlı varlıkların kendi uyumluluk yetkililerine ve NERC denetçilerine danışması gerekir. Aşağıda, NERC'nin geçerli CIP standartları kümesinde ve Terimler Sözlüğü'nde sağladığı BES ile ilgili bazı önemli tanımlar verilmiştir.
- Siber Varlık: Bu cihazlardaki donanım, yazılım ve veriler dahil olmak üzere programlanabilir elektronik cihazlar.
- BES Siber Varlık (BCA): Bir Siber Varlık, gerekli çalışma, yanlış çalışma veya çalışmama işlemlerinden sonra 15 dakika içinde, yok edilirse, düşürüldüyse veya gerektiğinde kullanılamaz duruma gelirse toplu elektrik sisteminin güvenilir çalışmasını etkileyebilecek bir veya daha fazla tesis, sistem veya ekipmanı olumsuz yönde etkiler. Olumsuz etki belirlenirken etkilenen tesislerin, sistemlerin ve ekipmanların yedekliliği dikkate alınmamalıdır. Her BES Siber Varlığı bir veya daha fazla BES Siber Sisteminde yer alır.
-
BES Siber Sistemi (İBH): İşlevsel bir varlık için bir veya daha fazla güvenilirlik görevi gerçekleştirmek üzere sorumlu bir varlık tarafından mantıksal olarak gruplandırılmış bir veya daha fazla BES Siber Varlığı.
- BCS'nin bileşenleri, sistemin güvenilirlik görevlerini yerine getirmesi için gerekli olan “tutkal” altyapı bileşenlerini, örneğin ağ altyapısı ve ağ anahtarları gibi, içerir.
- Tanımda muazzam esneklik yerleşiktir– İBH tüm denetim sistemi veya işlevi temel alan bir alt küme (HMI, sunucu, veritabanı, FEP vb.) olabilir.
- Elektronik Güvenlik Çevresi (ESP): BES Siber Sistemlerinin yönlendirilebilir bir protokol kullanılarak bağlandığı ağı çevreleyen mantıksal kenarlık.
- Korumalı Siber Varlık (PCA): Bir veya daha fazla Siber Varlık, yönlendirilebilir bir protokol kullanılarak Elektronik Güvenlik Çevresi içine veya üzerine bağlanan ve aynı Elektronik Güvenlik Çevresi içindeki BES Siber Sistemi'nin en yüksek etki seviyesine dahil olmayan. Korumalı Siber Varlıkların etki derecelendirmesi, aynı ESP'deki en yüksek dereceli BES Siber Sistemine eşittir.
- Elektronik Erişim Noktası (EAP): Elektronik Güvenlik Çevresi dışındaki Siber Varlıklar ile Elektronik Güvenlik Çevresi içindeki Siber Varlıklar arasında yönlendirilebilir iletişime olanak tanıyan bir Elektronik Güvenlik Çevresi üzerindeki Siber Varlık arabirimi.
- Elektronik Erişim Denetimi veya İzleme Sistemleri (EACMS): Ara sistemler de dahil olmak üzere Elektronik Güvenlik Çevrelerinin veya BES Siber Sistemlerinin elektronik erişim denetimini veya elektronik erişim izlemesini gerçekleştiren Siber Varlıklar.
-
Denetim Merkezi: Toplu Elektrik Sistemini (BES) gerçek zamanlı olarak izleyen ve kontrol eden bir veya daha fazla tesis, ilgili veri merkezleri dahil olmak üzere güvenilirlik görevlerini gerçek zamanlı olarak yerine getiren bir veya daha fazla tesis: 1) güvenilirlik koordinatörü, 2) bir dengeleme yetkilisi, 3) iki veya daha fazla konumdaki iletim tesisleri için iletim operatörü veya 4) iki veya daha fazla konumdaki üretim tesisleri için jeneratör operatörü.
- Güç sistemi operatörlerinin bulunduğu odalar ve donanımlar ile "arka ofis" sunucularını, veritabanlarını, telekomünikasyon ekipmanlarını vb. içeren oda ve ekipmanları içerir.
- Hepsi aynı odada veya farklı binalarda ya da farklı şehirlerde olabilir.
NERC tarafından belirtildiği gibi, BES Siber Varlıkları BES'i izleme veya kontrol etme konusunda gerçek zamanlı işlevler gerçekleştirir. Elektronik Güvenlik Çevresi içindeki fiziksel varlıklara ilişkin geçerli tanımda, örneğin BES Siber Varlıkları'na atıfta bulunan "söz konusu cihazlarda" terimi ağır bir şekilde vurgulanıyor. Sanallaştırma ve çok kiracılılık gibi temel bulut kavramları için herhangi bir hüküm yoktur. BES Siber Varlıkları ve Korumalı Siber Varlıkları bir bulut ortamında düzgün bir şekilde barındırmak için NERC CIP standartlarındaki mevcut tanımların düzeltilmesi gerekir. Ancak, CIP hassas verileriyle ilgilenen ve 15 dakikalık kurala uymayen birçok iş yükü vardır.
Kayıtlı varlığın uygulamasına bağlı olarak, aşağıdaki iş yüklerinden bazıları BES Siber Sistemi (BCS) olarak kabul edilmeyebilir veya Elektronik Güvenlik Çevresi'ne (ESP) yerleştirilmeyebilir:
- İletim varlığı durumu, yönetim, planlama, tahmine dayalı bakım
- İletim ağı planlaması, talep tahmini, acil durum analizi
- Ortak Bilgi Modeli (CIM) modellemesi ve coğrafi uzamsal varlık konum bilgileri
- operasyonel ekipman verileri ve Denetleme Denetimi ve Veri Alımı (SCADA) geçmiş bilgi sistemi
- Tahmin, bakım, kesinti yönetimi için yapay zeka ve gelişmiş analiz
- İletim hattı izleme ve bakım için Nesnelerin İnterneti (IoT) senaryoları
- NERC CIP denetim kanıtı, raporlar, kayıtlar
Bu iş yükleri, tek tek kayıtlı varlık olgularını ve koşullarını dikkate alan dikkatli bir değerlendirme gerektirir.
15 dakikalık kurala tabi olmayan başka bir veri sınıfı, BCSI'yi korumak için uygun güvenlik denetimleri varsa BES Siber Sistem Bilgileri'dir (BCSI). Aşağıdaki tanım NERC tarafından sağlanır:
BES Siber Sistem Bilgileri (BCSI), BES Siber Sistemi hakkında yetkisiz erişim kazanmak veya BES Siber Sistemi için bir güvenlik tehdidi oluşturmak için kullanılabilecek bilgilerdir. BES Siber Sistem Bilgileri, tek başlarına tehdit oluşturmayan veya BES Siber Sistemlerine yetkisiz erişimi sağlamak için kullanılamayan ayrı bilgi parçalarını, örneğin ancak bunlarla sınırlı olmamak üzere, cihaz adları, bağlam olmaksızın tek başına IP adresleri, ESP adları veya politika açıklamalarını içermez. BES Siber Sistem Bilgilerine örnek olarak şunlar verilebilir ancak bunlarla sınırlı değildir:
- Genel kullanıma açık olmayan ve yetkisiz erişime veya yetkisiz dağıtıma izin vermek için kullanılabilen BES Siber Sistemleri, Fiziksel Erişim Denetim Sistemleri ve Elektronik Erişim Denetimi veya İzleme Sistemleri hakkında güvenlik yordamları veya güvenlik bilgileri
- Ağ adresleri koleksiyonları
- BES Siber Sisteminin ağ topolojisi
NERC Electric Reliability Organization (ERO) Enterprise, ERO Enterprise CMEP personeline, kayıtlı bir varlığın belirlenen BCSI depolama konumlarına erişim yetkisi verme sürecini ve uygulanan tüm erişim denetimlerini değerlendirirken rehberlik sağlamak amacıyla bir Uyumluluk İzleme ve Uygulama Programı (CMEP) uygulama kılavuzu yayınladı.
NERC CIP standartları için uyumluluk konuları
Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Özel Yayını (SP) 800-145 aşağıdaki bulut hizmeti modellerini tanımlar:
- Hizmet Olarak Altyapı (IaaS)
- Hizmet Olarak Platform (PaaS)
- Hizmet Olarak Yazılım (SaaS)
Buluttaki paylaşılan sorumluluk modeli , bulut hizmeti modeline göre farklı sorumluluklar ayırır. Kendi veri merkezinizdeki şirket içi dağıtım sayesinde yığındaki tüm katmanların sorumluluğunu üstlenirsiniz. İş yükleri buluta geçirildikçe Microsoft, bulut hizmeti modeline bağlı olarak aşamalı olarak daha fazla sorumluluk üstlenir. Örneğin, IaaS modeliyle Microsoft'un sorumluluğu sanallaştırma (Hiper Yönetici) katmanında sona erer. Konuk sanal makinelerde temel işletim sistemini korumak da dahil olmak üzere sanallaştırma katmanının üzerindeki tüm katmanlardan siz sorumlusunuz. Microsoft Office 365 veya Dynamics 365 gibi SaaS modelindeki tamamlanmış bulut hizmetleriyle, Microsoft yığındaki ek katmanların sorumluluğunu üstlenir. Ancak, son kullanıcılara uygun erişim hakları vermek de dahil olmak üzere hizmeti yönetmek hala sizin sorumluluğundadır. Bulut hizmeti modelinden bağımsız olarak müşteri verilerinizden her zaman siz sorumlu olursunuz.
Paylaşılan sorumluluk kavramı, sertifikasyon bağımlılıkları ve uyumluluk yükümlülüklerini de genişletir. Azure veya Azure Kamu'da uygulama dağıtan kayıtlı bir varlıksanız, Microsoft'a sertifika bağımlılıkları alırsınız. NERC CIP uyumluluk yükümlülüklerinizi yerine getirme sorumluluğunuz nihai olarak size bağlıdır. Ancak güvenlik denetimlerini temel alınan bulut platformundan devralırsınız ve bulut hizmeti sağlayıcıları (CSP' ler) için geçerli uyumluluk güvenceleri için Microsoft'a güvenebilirsiniz.
Hem Azure hem de Azure Kamu bağımsız üçüncü taraf denetçiler tarafından kapsamlı bir şekilde denetlenmektedir. NERC CIP uyumluluk yükümlülüklerinizi değerlendirirken bu denetimlerden bazılarını kullanabilirsiniz. NERC düzenleyicileriyle yapılan tartışmalarda, aşağıdaki bağımsız üçüncü taraf denetimleri kayıtlı varlıklar için ilgili ve potansiyel olarak yararlı olarak belirlendi:
- Cloud Security Alliance (CSA) Güvenlik, Güven, Güvence ve Risk (STAR) sertifikası ve kanıtlaması
- Amerikan Sertifikalı Kamu Muhasebecileri Enstitüsü (AICPA) Sistem ve Kuruluş Denetimleri (SOC) 2 Tip 2 kanıtlama
- Abd Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP) yetkilendirmesi
Microsoft, hem Azure hem de Azure Kamu için bu uyumluluk denetimlerinin üçünü de korur ve ilgili denetim belgelerini kayıtlı varlıklar için kullanılabilir hale getirir.
NERC CIP uyumluluk gereksinimleri, NERC denetimi sırasında ve bulut bilişim için paylaşılan sorumluluk modeline uygun olarak ele alınabilir. Azure ve Azure Kamu bulut hizmetlerinin NERC CIP standartlarıyla uyumlu bir şekilde kullanılabileceğini düşünüyoruz. Microsoft, Azure veya Azure Kamu denetim belgelerini ve kontrol uygulama ayrıntılarını sağlayarak NERC denetim gereksinimlerini desteklemek için NERC denetimlerinde size yardımcı olmaya hazırdır. Ayrıca Microsoft, Azure varlıklarınız için NERC CIP uyumluluk gereksinimlerini karşılamanıza yardımcı olacak teknik bir nasıl yapılır kılavuzu olan NERC denetimleri için bir Bulut uygulama kılavuzu geliştirmiştir. Belge, Azure denetimlerinin NERC CIP gereksinimlerini nasıl ele aldığına yardımcı olan önceden doldurulmuş Güvenilirlik Standart Denetim Çalışma Sayfaları (RSAW) anlatıları içerir. Ayrıca sahip olduğunuz denetimleri uygulamak için Azure hizmetlerini kullanmanıza yardımcı olacak yönergeler içerir. Kılavuz, Hizmet Güveni Portalı'ndan (STP) bir gizlilik sözleşmesi (NDA) kapsamında mevcut Azure veya Azure Kamu müşterilerine indirilebilir. STP'de bu belgeye erişmek için oturum açmanız gerekir. Daha fazla bilgi için bkz. Microsoft Hizmet Güveni Portalı'nı kullanmaya başlama.
Uyarı
NERC CIP standartları için Azure desteği hakkında daha fazla bilgi için bkz. Azure NERC uyumluluk teklifi.
CSA STAR
Cloud Security Alliance (CSA), sektör uygulayıcıları, şirketleri ve diğer önemli paydaşlardan oluşan geniş bir koalisyon tarafından yönetilen kar amacı gütmeyen bir kuruluştur. Daha güvenli bir bulut bilişim ortamı sağlamaya yardımcı olmak için en iyi yöntemleri tanımlamaya ayrılmıştır. CSA, olası bulut müşterilerinin BT işlemlerini buluta taşırken bilinçli kararlar almalarına yardımcı olur. CSA, bulut hizmeti sağlayıcılarının (CSP' ler) CSA ile ilgili değerlendirmelerini yayımlayabildiği ücretsiz ve genel olarak erişilebilir bir kayıt defteri olan Güvenlik, Güven, Güvence ve Risk (STAR ) Kayıt Defteri'ni korur.
CSA Bulut Denetimleri Matrisi (CCM), bulut müşterilerinin CSP'nin genel güvenlik riskini değerlendirmesine yardımcı olmak için 17 etki alanında temel güvenlik ilkelerini kapsayan 197 denetim hedeflerinden oluşan bir denetim çerçevesidir. CCM, ISO 27001, ISO 27017, ISO 27018, NIST SP 800-53, PCI DSS, AICPA Güven Hizmetleri Ölçütleri ve diğerleri gibi sektörde kabul edilen güvenlik standartları, düzenlemeleri ve denetim çerçeveleriyle eşlenir.
CSA STAR, CCM'yi temel alan iki güvence düzeyi sağlar. CSA STAR Self-Assessment, ücretsiz ve tüm CSP'lere açık olan Düzey 1'deki tanıtım teklifidir. Güvence yığınını daha da yukarı doğru ilerleterek, STAR programının Düzey 2'si üçüncü taraf değerlendirme tabanlı sertifikaları içerir (örneğin, CSA STAR Sertifikası ve CSA STAR Kanıtlama). Azure ve Azure Kamu, CSA STAR Self-Assessment'a ek olarak STAR Kayıt Defteri'nde CSA STAR Sertifikası ve CSA STAR Kanıtlama gönderimlerini korur. Daha fazla bilgi için bakınız:
- CSA STAR Düzey 1 Kendi Kendine Değerlendirme
- CSA STAR Düzey 2 Sertifikasyonu
- CSA STAR Düzey 2 Kanıtlama
Azure ve Azure Kamu CSA STAR Kayıt Defteri gönderimlerini indirmek için bkz. Microsoft için CSA STAR Kayıt Defteri.
SOC 2 Tür 2
Hizmet Kuruluşları için Sistem ve Kuruluş Denetimleri (SOC), Amerikan Yeminli Serbest Mali Müşavirler Enstitüsü (AICPA) tarafından oluşturulan iç denetim raporlarıdır. Son kullanıcıların dış kaynaklı bir hizmetle ilişkili riski değerlendirebilmesi ve ele alabilmesi için bir hizmet kuruluşu tarafından sağlanan hizmetleri incelemeleri amaçlanmıştır.
SoC 2 Tip 2 kanıtlaması aşağıdakiler altında gerçekleştirilir:
- SSAE No. 18, Kanıtlama Standartları: Açıklama ve Yeniden Kodlama, AT-C bölüm 105, Tüm Kanıtlama Görevlendirmelerinde Ortak Kavramlar ve AT-C bölüm 205, İnceleme Görevlendirmeleri (AICPA, Profesyonel Standartlar) içerir.
- SOC 2 Bir Hizmet Kuruluşunda Güvenlik, Kullanılabilirlik, İşlem Bütünlüğü, Gizlilik veya Gizlilikle İlgili Denetimlerin Incelenmesiyle İlgili Raporlama (AICPA Kılavuzu).
- TSP bölüm 100, 2017 Güvenlik, Kullanılabilirlik, İşlem Bütünlüğü, Gizlilik ve Mahremiyet için Güven Hizmetleri Ölçütleri (AICPA, 2017 Güven Hizmetleri Ölçütleri).
Bir SOC 2 Tür 2 denetiminin sonunda denetçi, SOC 2 Tip 2 raporunda bir görüş oluşturur. Kanıtlama raporu, bulut hizmeti sağlayıcısının (CSP' ler) sistemini açıklar ve CSP'nin denetim açıklamasındaki eşitliği değerlendirir. Ayrıca CSP'nin denetimlerinin uygun şekilde tasarlanıp tasarlanmamış olduğunu, belirtilen bir tarihte çalışıp çalışmadığını ve belirtilen süre boyunca etkili bir şekilde çalışıp çalışmadığını değerlendirir.
Azure ve Azure Kamu, saygın bir Sertifikalı Kamu Muhasebecisi (CPA) firması tarafından gerçekleştirilen sıkı bağımsız üçüncü taraf SOC 2 Tip 2 denetimlerinden geçer. Sonuçta elde edilen SOC 2 Tür 2 raporları sistem Güvenliği, Kullanılabilirlik, İşlem Bütünlüğü, Gizlilik ve Gizlilik ile ilgilidir. Ayrıca, bu raporlar Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM) ve Almanya Federal Bilgi Güvenliği Ofisi (BSI) Bulut Bilişim Uyumluluk Ölçütleri Kataloğu (C5:2020) gereksinimlerini ele alır. Daha fazla bilgi için bkz. Azure SOC 2 Tür 2 uyumluluk teklifi.
FedRAMP
Amerika Birleşik Devletleri Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP), bulut bilişim ürün ve hizmetlerini değerlendirmek, izlemek ve yetkilendirmek için standartlaştırılmış bir yaklaşım sağlamak üzere Aralık 2011'de kurulmuştur. Bir ABD federal kuruluşuna hizmet satmaktan çekinen bulut hizmeti sağlayıcıları (CSP' ler), FedRAMP uyumluluğunu göstermek için üç yol izleyebilir:
- FedRAMP Ortak Yetkilendirme Kurulu'ndan (JAB) Çalıştırmak için Geçici Yetkilendirme (P-ATO) kazanın.
- Federal bir kuruluştan çalışma yetkisi (ATO) alın.
- Program gereksinimlerini karşılayan bir CSP Tarafından Sağlanan Paket geliştirmek için bağımsız olarak çalışın.
Bu yolların her biri, program tarafından onaylanmış bağımsız bir üçüncü taraf değerlendirme kuruluşu (3PAO) tarafından bir değerlendirme ve FedRAMP Program Yönetimi Ofisi (PMO) tarafından sıkı bir teknik inceleme gerektirir.
FedRAMP, FedRAMP denetim ve denetim geliştirmeleri ile desteklenen Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Özel Yayını (SP) 800-53 standardını temel alır. FedRAMP yetkilendirmeleri NIST FIPS 199 yönergelerine göre üç etki düzeyinde verilir: Düşük, Orta ve Yüksek. Bu düzeyler, gizlilik, bütünlük veya kullanılabilirlik kaybının kuruluş üzerindeki etkisini sıralar: Düşük (sınırlı etki), Orta (ciddi olumsuz etki) ve Yüksek (ciddi veya yıkıcı etki). Aşağıdaki tabloda gösterildiği gibi, ilgili temeldeki denetimlerin sayısı etki düzeyiyle birlikte artar:
| FedRAMP denetim temeli | Low | Orta | High |
|---|---|---|---|
| Toplam denetim sayısı ve denetim geliştirmeleri | 125 | 325 | 421 |
FedRAMP Yüksek yetkilendirmesi, FedRAMP uyumluluğu için en yüksek çubuğu temsil eder. FedRAMP belirli bir noktada sertifikasyon veya akreditasyon değil, bir değerlendirme ve yetkilendirme programıdır. Bir bulut hizmeti teklifinde (CSO) uygulanan güvenlik kontrollerinin gelişen tehdit ortamında ve sistem ortamında meydana gelen değişikliklerle etkili kalmasını sağlamak amacıyla sürekli izleme hükümleriyle birlikte gelir. Sistem envanteri raporları, güvenlik açığı taramaları, eylem planı ve kilometre taşları gibi sürekli uyumluluğu göstermek için çeşitli kanıtlar sağlamak için CSP gereklidir. FedRAMP, CSP'nin geçirebileceği en sıkı ve zorlu denetimlerden biridir.
Hem Azure hem de Azure Kamu, kapsam içi hizmetler için tek tek federal kurumlar tarafından verilen 250'den fazla Orta ve Yüksek ATO'ya ek olarak JAB tarafından verilen FedRAMP Yüksek P-ATO'larını korur. Daha fazla bilgi için bkz. Azure FedRAMP uyumluluk teklifi.
FedRAMP Moderate denetim temeli ile NERC CIP standartları gereksinimleri arasındaki karşılaştırma, FedRAMP Moderate denetim temelinin tüm NERC CIP gereksinimlerini kapsadığını ortaya koymaktadır. Microsoft, NIST SP 800-53 Rev 4'te belgelendiği gibi geçerli NERC CIP standartları gereksinimleri kümesi ile FedRAMP Moderate denetim temeli arasındaki denetim eşlemelerini içeren NERC denetimleri için bir Bulut uygulama kılavuzu geliştirmiştir. NERC denetimleri için Bulut uygulama kılavuzu, Azure denetimlerinin NERC CIP gereksinimlerini nasıl karşıladığını açıklamaya yardımcı olan önceden doldurulmuş Güvenilirlik Standart Denetim Çalışma Sayfaları (RSAW) anlatıları içerir. Ayrıca sahip olduğunuz denetimleri uygulamak için Azure hizmetlerini kullanmanıza yardımcı olacak yönergeler içerir. NeRC denetimleri için Bulut uygulama kılavuzunu Hizmet Güveni Portalı'ndan (STP) bir gizlilik sözleşmesi (NDA) kapsamında indirebilirsiniz. STP'de bu belgeye erişmek için oturum açmanız gerekir. Daha fazla bilgi için bkz. Microsoft Hizmet Güveni Portalı'nı kullanmaya başlama.
NERC CIP uyumluluk yükümlülüklerine tabi kayıtlı bir varlığın bulut hizmetleri teklifinin güvenlik duruşunu değerlendirirken mevcut bir FedRAMP P-ATO veya ATO kullanmak istemesinin birçok geçerli nedeni vardır:
- Oluşturulan NIST SP 800-53 standardının ve FedRAMP değerlendirme ve yetkilendirme programının yeniden oluşturulması önemli bir girişim olacaktır.
- FedRAMP zaten mevcut ve bulut hizmetlerini değerlendirirken ABD federal kamu kurumları için benimsenmiş bir çerçevedir.
- ABD'de FERC, NERC CIP standartlarını onaylar. BIR ABD federal ajansı olarak FERC, bulut hizmetlerini kendi bulut bilişim ihtiyaçları için değerlendirirken FedRAMP'ye dayanır. CSP'ler için uyumluluk yolu olarak FedRAMP'nin seçimi, FERC ve diğer ABD kamu kurumları tarafından benimsenen yaklaşımla tutarlı olacaktır.
- Kanada'da Federal, Bölge İzleme ve Uygulama Alt Grubu, CIP standartlarını Kanada yargı bölgelerinde uygulanabilir hale getirmek için il özetleri geliştirir. Kanada Hükümeti, bulut tabanlı hizmetlere yönelik güvenlik denetim profillerini FedRAMP Moderate güvenlik denetimi profiliyle uyumlu hale getirerek hem bulut hizmetlerinin birlikte çalışabilirliğini hem de CSP'ler tarafından üretilen yetkilendirme kanıtlarının yeniden kullanılabilirliğini en üst düzeye çıkarmıştır.
- FedRAMP, sürekli izleme için zorunlu hükümler içeren ayrıntılı bir denetime dayanır. Denetlenen kontrollerin etkili bir şekilde işlediğine dair kayıtlı varlıklara güçlü güvenceler sağlar.
- NERC, kayıtlı varlıkların bulut bilişim de dahil olmak üzere yeni teknolojileri benimsemesini sağlamakla ilgileniyor. NERC CIP uyumluluk yükümlülüklerine tabi olan kayıtlı varlıkların sayısı göz önünde bulundurulduğunda, CSP'nin tek tek varlıklar tarafından başlatılan denetimlere uyum sağlaması mümkün olmayacaktır. Bunun yerine, mevcut bir FedRAMP yetkilendirmesini kullanmak, CSP'ler için NERC denetim gereksinimlerini ele almak için ölçeklenebilir ve verimli bir yaklaşım sağlar.
Yukarıdaki rasyonalite yalnızca bulut hizmetleri sağlayıcılarıyla ilgili. NERC ile kayıtlı varlıklar arasındaki ilişkiyi değiştirmez. Mevcut NERC CIP uyumluluk yükümlülükleri değişmeden kalacak ve bunlar kayıtlı varlıkların sorumluluğunda olmaya devam edecektir.
NERC ERO Enterprise, Uyumluluk İzleme ve Uygulama Programı (CMEP) uygulama kılavuzunuyayınladı ve bu kılavuz, kayıtlı bir varlığın belirlenen BCSI depolama konumlarına erişim yetkisi verme sürecini ve uyguladığı herhangi bir erişim kontrolünü değerlendirirken ERO Enterprise CMEP personeline rehberlik sağlamaktadır. Ayrıca NERC, BCSI için geçerli olan NERC CIP-004-6 ve CIP-011-2 standartlarıyla ilgili Azure denetimi uygulama ayrıntılarını ve FedRAMP denetim kanıtlarını gözden geçirdi. ERO Enterprise tarafından verilen CMEP uygulama kılavuzu ve FedRAMP denetimlerinin gözden geçirilmesiyle kayıtlı varlıkların verilerini şifrelemesi sağlanarak, BCSI ve ilişkili iş yüklerini bulutta dağıtmak için ek rehberlik veya açıklamaya gerek yoktur. Ancak, kayıtlı varlıklar kendi olgularına ve koşullarına göre NERC CIP standartlarına uyum sağlamakla nihai olarak sorumludur. Kayıtlı varlıkların, NERC denetimleri için Bulut uygulama kılavuzunu, BCSI depolama konumlarına elektronik erişimi yetkilendirmek için kullanılan işlemlerini ve kanıtlarını belgelemeye yardımcı olması amacıyla gözden geçirmesi gerekir. Bu kılavuz, Azure ve Azure Kamu'da BCSI şifrelemesi için kullanılan şifreleme anahtarı yönetimi de dahil olmak üzere, ilgili detayları kapsar.
Insider erişimine yönelik kısıtlamalar
Microsoft , müşteri verilerini yetkisiz kişilerin uygunsuz erişimine veya kullanımına karşı korumak için güçlü önlemler alır. Azure ve Azure Kamu'nun çalışması için müşteri verilerine erişim gerekmez ve Microsoft mühendislerinin buluttaki müşteri verilerine varsayılan erişimi yoktur. Bunun yerine, yalnızca gerektiğinde yönetim gözetimi altında erişim verilir. Müşteri verileri, NERC CIP standartları korumasına tabi verileri içerir. Daha fazla bilgi için bkz. İçeriden erişimle ilgili kısıtlamalar
Arka plan filtreleme
Arka plan filtreleme gereksinimleri nerc CIP-004-6 altında belgelenmiştir:
- R2: resmi eğitim
- R3: personel risk değerlendirmeleri
- R4: erişim yetkilendirmesi
Gereksinimler, NERC CIP korumalı varlıklara ve verilere erişimi olan destek ve operasyon personeline uygulanır. Kayıtlı varlıklar, bu gereksinimleri NERC CIP standartlarının sağladığı hedefler doğrultusunda politikalarına yazmıştır.
Bazı kayıtlı varlıklar, ABD vatandaşlarının verilere erişimini kısıtlamak için kendi politikalarına yazılı gereksinimler de eklemiş olabilir. Nükleer elektrik hizmetleri şirketleri ayrıca Enerji Bakanlığı (DoE) tarafından 10 CFR Bölüm 810 kapsamında zorunlu kılınan ve Ulusal Nükleer Güvenlik İdaresi (NNSA) tarafından yönetilen ihracat kontrol gereksinimlerine tabi olabilir. Diğer şeylerin yanı sıra, sınıflandırılmamış nükleer teknolojinin ihracatını önlemek ve yabancı kişilere yardım etmek için bu gereksinimler mevcuttur.
ABD'deki tüm Azure ve Azure Kamu çalışanları Microsoft'un arka plan denetimlerine tabidir. Azure Kamu'da sorun giderme amacıyla müşteri verilerine erişebilme özelliğine sahip personel ayrıca uygun yerlerde ABD'deki kişilerin doğrulanmasına ve ek tarama gereksinimlerine tabidir. Daha fazla bilgi için bkz. Filtreleme.
Bilgi güvenliği eğitimi ve farkındalığı tüm Azure ve Azure Kamu mühendislik personeline sürekli olarak sağlanır. Bu eğitimin amacı mühendislik personelini geçerli ilkeler, standartlar ve bilgi güvenliği uygulamaları hakkında eğitmektir. Tüm mühendislik personelinin, ekibe katıldıklarında bilgisayar tabanlı bir eğitim modülünü tamamlaması gerekir. Ayrıca, tüm personel yıllık olarak uygulanan zorunlu güvenlik, uyumluluk ve gizlilik eğitimine katılır. Eğitim ayrıca CSA STAR sertifikası, SOC 2 Tür 2 kanıtlama ve FedRAMP yetkilendirmesi dahil olmak üzere Azure ve Azure Kamu için geçerli olan birçok uyumluluk güvencesindeki denetimler kapsamındadır.
Mantıksal yalıtımla ilgili dikkat edilmesi gerekenler
Çok kiracılı bir bulut platformu, birden çok müşteri uygulaması ve verinin aynı fiziksel donanımda depolandığını gösterir. Azure ve Azure Kamu, farklı müşterilere ait uygulamaları ve verileri ayrıştırmak için mantıksal yalıtımı kullanır. Bu yaklaşım, çok kiracılı bulut hizmetlerinin ölçek ve ekonomik avantajlarını sağlarken, müşterilerin birbirlerinin verilerine veya uygulamalarına erişmesini engellemek amacıyla tasarlanmış denetimleri sıkı bir şekilde uygular. Daha fazla bilgi için bkz. Güvenli yalıtım için Azure kılavuzu. Geleneksel şirket içi fiziksel olarak yalıtılmış altyapıdan buluta geçiş gerçekleştiriyorsanız bkz. Mantıksal yalıtımla ilgili dikkat edilmesi gerekenler.
Kimlik ve erişim
Microsoft Entra Id, bir kuruluşun kullanıcıları, grupları ve nesneleri için kimlik doğrulaması, yetkilendirme ve erişim denetimi sağlayan bir kimlik deposu ve bulut hizmetidir. Microsoft Entra Id, dizin eşitlemesi ve çoklu oturum açma gibi temel kurumsal özellikleri etkinleştirmek için tek başına bir bulut dizini veya mevcut şirket içi Active Directory ile tümleşik bir çözüm olarak kullanılabilir. Bulut uygulamalarını yönetmek için kullanılan hesapların ayrılması, mantıksal yalıtım elde etmek için kritik öneme sahiptir. Azure'da hesap yalıtımı, Ayrıntılı Azure rol tabanlı erişim denetimini (RBAC) desteklemek için Microsoft Entra Kimliği ve özellikleri kullanılarak elde edilir. Microsoft Entra ID, kiracı yalıtımı ve erişim denetimi, şirket içi erişim için veri işlem konusunda dikkat edilmesi gerekenler ve daha fazlası dahil olmak üzere kapsamlı veri koruma özellikleri uygular.
Daha fazla bilgi için bkz. Kimlik tabanlı yalıtım.
Veri şifreleme anahtarı yönetimi
Azure hizmetleri, temel işletim sistemindeki FIPS 140 doğrulanmış şifreleme modüllerini kullanır. Azure hizmetleriyle, aktarımdaki ve bekleyen verileri şifrelemek için çok çeşitli seçenekleriniz vardır. Şifreleme anahtarlarını FIPS 140 doğrulanmış donanım güvenlik modüllerinde (HSM) depolayan Azure Key Vault'ı kullanarak veri şifreleme anahtarlarını yönetebilirsiniz. HSM'lerde depolanan şifreleme anahtarları üzerinde tek denetime sahip olmak için Azure Key Vault ile müşteri tarafından yönetilen anahtarları (CMK) kullanabilirsiniz. Azure Key Vault HSM'leri içinde oluşturulan anahtarlar dışarı aktarılamaz; anahtarın HSM'lerin dışında net metin sürümü olamaz. Bu bağlama, temel alınan HSM tarafından uygulanır. Ayrıca Azure Key Vault, Microsoft ve aracılarının şifreleme anahtarlarınızı görmemesi veya ayıklamaması için tasarlanmıştır, dağıtılır ve çalıştırılır.
Uygulamalarınızı ve verilerinizi dağıtmak için Azure bölgelerini seçmek sizin sorumluluğunuzdadır. Ayrıca, uygulamalarınızı NERC CIP standartları gereksinimlerini karşılayan uçtan uca veri şifrelemesi kullanacak şekilde tasarlamak sizin sorumluluğunuzdadır. Microsoft, Azure uygulamalarınızı incelemez veya onaylamaz.
Daha fazla bilgi için bkz . Veri şifreleme anahtarı yönetimi.
Hesaplama izolasyonu
Microsoft Azure işlem platformu, makine sanallaştırmayı temel alır. Bu yaklaşım, kodunuzun (paaS çalışan rolünde veya IaaS sanal makinesinde dağıtılır) Windows Server Hyper-V hiper yöneticisi tarafından barındırılan bir sanal makinede yürütüldüğü anlamına gelir. Azure, mantıksal yalıtımı kullanarak kiracı ayrımı için kapsamlı destek sağlar. Tüm Azure kiracıları için tasarım gereği kullanılabilen güçlü mantıksal işlem yalıtımına ek olarak, fiziksel işlem yalıtımı elde etmek için Azure Ayrılmış Ana Bilgisayarı veya Yalıtılmış Sanal Makineler'i de kullanabilirsiniz. Bu yaklaşımla sanal makineleriniz size özel fiziksel donanıma dağıtılır.
Daha fazla bilgi için bkz . İşlem yalıtımı.
Ağ yalıtımı
Genel çok kiracılı bir bulutta kiracı altyapısının mantıksal yalıtımı, güvenliği korumanın temelidir. Sanallaştırılmış bir çözümün üst hiyerarşi ilkesi, yalnızca sanallaştırılmış çözümün çalışması için gerekli olan bağlantılara ve iletişimlere izin vermek ve varsayılan olarak diğer tüm bağlantı noktalarını ve bağlantıları engellemektir. Azure Sanal Ağ (VNet), özel ağ trafiğinizin diğer müşterilere ait trafikten mantıksal olarak yalıtılmasını sağlamaya yardımcı olur. Tek bir sanal ağdaki Sanal Makineler (VM'ler), her iki sanal ağ da aynı müşteri tarafından oluşturulmuş olsa bile farklı bir sanal ağdaki VM'lerle doğrudan iletişim kuramaz. Ağ yalıtımı, VM'leriniz arasındaki iletişimin bir sanal ağ içinde özel kalmasını sağlar. Bağlantı seçeneklerinize bağlı olarak, bant genişliği, gecikme süresi ve şifreleme gereksinimleri dahil olmak üzere sanal ağlarınızı bağlamak için birden çok seçeneğiniz vardır.
Azure, aktarımdaki verileri şifrelemek için birçok seçenek sunar. Aktarımdaki veri şifrelemesi, ağ trafiğinizi diğer trafikten yalıtarak verilerin kesmeye karşı korunmasına yardımcı olur.
Daha fazla bilgi için bkz. Ağ yalıtımı.
Depolama yalıtımı
Microsoft Azure, vm tabanlı hesaplama kaynaklarınızı temel tasarımının bir parçası olarak depolamadan ayırır. Ayrım, hesaplama ve depolamanın bağımsız olarak ölçeklendirilmesine olanak sağlayarak çoklu kiracı desteği ve yalıtım sağlamayı daha kolay hale getirir. Bu nedenle Azure Depolama, mantıksal olarak dışında Azure İşlem'e ağ bağlantısı olmayan ayrı donanımlarda çalışır.
Azure, hem Microsoft tarafından yönetilen şifreleme anahtarlarını hem de müşteri tarafından yönetilen şifreleme anahtarlarını kullanarak verilerinizi korumanıza ve NERC CIP standartları uyumluluk gereksinimlerinizi karşılamanıza yardımcı olmak için bekleyen veri şifrelemesi için kapsamlı seçenekler sunar. Bu işlem, güvenli anahtar erişimi ve merkezi anahtar yönetimi sağlamak için Azure Key Vault ve Microsoft Entra Id gibi birden çok şifreleme anahtarına ve hizmete dayanır.
Daha fazla bilgi için bkz . Depolama yalıtımı.
Özet
Microsoft Azure ve Azure Kamu, elektrik güç hizmetleri ve diğer kayıtlı varlıklar için sunulan çok kiracılı bulut hizmetleri platformlarıdır. Çok kiracılı bir bulut platformu, birden çok müşteri uygulaması ve verinin aynı fiziksel donanımda depolandığını gösterir. Azure ve Azure Kamu, farklı müşterilere ait uygulamaları ve verileri ayrıştırmak için mantıksal yalıtımı kullanır. Bu yaklaşım, çok kiracılı bulut hizmetlerinin ölçek ve ekonomik avantajlarını sağlarken, müşterilerin birbirlerinin verilerine veya uygulamalarına erişmesini engellemek amacıyla tasarlanmış denetimleri sıkı bir şekilde uygular. Aşağıdaki tabloda bulut benimsemeyle ilgili önemli noktalar özetlemektedir. Hem Azure hem de Azure Kamu, NERC CIP standartlarına uygun belirli iş yüklerini dağıtan kayıtlı varlıklar için uygundur.
| Gereksinim | Gök mavisi | Azure Government |
|---|---|---|
| Veriler NERC CIP standartlarına uygunluğa tabidir | ✅ | ✅ |
| Veriler Amerika Birleşik Devletleri kıtasında bulunmalıdır | ✅ | ✅ |
| CSA STAR Sertifikası ve CSA STAR Kanıtlama | ✅ | ✅ |
| AICPA SOC 2 Tür 2 Kanıtlama | ✅ | ✅ |
| FedRAMP Yüksek yetkilendirmesi | ✅ | ✅ |
| Microsoft bulut arka plan denetimi | ✅ | ✅ |
| Operasyon personeli için ABD vatandaşları gereklidir. | ❌ | ✅ |
Mevcut NERC CIP tanımları, Elektronik Güvenlik Çevresi içindeki fiziksel varlıklara (örneğin, BES Siber Varlıkları'na başvuran "bu cihazlarda" özel terimi) yoğun bir şekilde vurgular ve sanallaştırma ve çok kiracılılık gibi temel bulut kavramları için hiçbir hüküm sağlamaz. BULUT bilişimde BES Siber Varlıkları ve Korumalı Siber Varlıkları düzgün bir şekilde barındırmak için NERC CIP standartlarındaki mevcut tanımların düzeltilmesi gerekir. Ancak, CIP hassas verileriyle ilgilenen ve BES Siber Varlıkların Toplu Elektrik Sisteminin güvenilir işlemi üzerindeki etkisiyle ilgili 15 dakikalık kurala uymayan birçok işlem yükü vardır. BCSI'yi korumak için uygun güvenlik denetimleri gerçekleştiriliyorsa, bu tür geniş veri kategorilerinden biri BES Siber Sistem Bilgileri'ne (BCSI) dahildir.
NERC ERO Enterprise, Uyumluluk İzleme ve Uygulama Programı (CMEP) uygulama kılavuzunuyayınladı ve bu kılavuz, kayıtlı bir varlığın belirlenen BCSI depolama konumlarına erişim yetkisi verme sürecini ve uyguladığı herhangi bir erişim kontrolünü değerlendirirken ERO Enterprise CMEP personeline rehberlik sağlamaktadır. Ayrıca NERC, BCSI için geçerli olan NERC CIP-004-6 ve CIP-011-2 standartlarıyla ilgili Azure denetimi uygulama ayrıntılarını ve FedRAMP denetim kanıtlarını gözden geçirdi. ERO Enterprise tarafından verilen CMEP uygulama kılavuzu ve FedRAMP denetimlerinin gözden geçirilmesiyle kayıtlı varlıkların verilerini şifrelemesi sağlanarak, BCSI ve ilişkili iş yüklerini bulutta dağıtmak için ek rehberlik veya açıklamaya gerek yoktur. Ancak, kayıtlı varlıklar kendi olgularına ve koşullarına göre NERC CIP standartlarına uyum sağlamakla nihai olarak sorumludur. Kayıtlı varlıkların, NERC denetimleri için Bulut uygulama kılavuzunu, BCSI depolama konumlarına elektronik erişimi yetkilendirmek için kullanılan işlemlerini ve kanıtlarını belgelemeye yardımcı olması amacıyla gözden geçirmesi gerekir. Bu kılavuz, Azure ve Azure Kamu'da BCSI şifrelemesi için kullanılan şifreleme anahtarı yönetimi de dahil olmak üzere, ilgili detayları kapsar.
Hem Azure hem de Azure Kamu, müşteri verilerinizin ve uygulamalarınızın korunması konusunda sağlam güvenceler sağlamak için kapsamlı güvenlik denetimlerine ve uyumluluk kapsamına sahiptir. Azure Kamu, Fiziksel olarak Azure bulutundan ayrılmış bir ABD kamu topluluk bulutudur. Abd'de müşteri verilerinin depolanmasıyla ilgili sözleşme taahhütleri aracılığıyla kayıtlı varlıklara ek bir koruma katmanı sağlar ve müşteri verilerini işleyen sistemlere erişimi taranmış ABD kişileriyle sınırlandırır. Ayrıca Azure Kamu yalnızca ABD'de ABD tabanlı kayıtlı varlıklar tarafından kullanılabilir. ABD'de kayıtlı olan kuruluşlar, başvurularında "NERC Uyumluluk Kuruluşu" ifadesini belirterek Azure Government'a katılmak için uygundur.
Nükleer elektrik yardımcı programları, sınıflandırılmamış nükleer teknoloji ve yardım konusunda DoE 10 CFR Bölüm 810 ihracat kontrol gereksinimlerine de tabi olabilir. Azure Kamu, ABD'li kişilerin bilgilere ve sistemlere erişimiyle ilgili spesifik kontrol gereksinimlerini karşılamak üzere tasarlanmıştır. Bu taahhüt Azure'da uygulanmadığından, Azure'da dağıtım yapan müşteriler, yabancı kişilere açıklanmaması gereken verilerin güvenliğini sağlamak için ek teknik önlemlerin dağıtılıp dağıtılmaması gerektiğini belirlemek için uygun risk değerlendirmesi yapmalıdır.
NERC CIP uyumluluk yükümlülüklerine tabi kayıtlı varlıklar, Cloud Security Alliance STAR programı, SOC 2 Tür 2 kanıtlama ve FedRAMP yetkilendirmesi dahil olmak üzere bir bulut hizmetleri teklifinin güvenlik duruşunu değerlendirirken bulut hizmetleri için geçerli olan mevcut denetimleri kullanabilir. Örneğin FedRAMP, sürekli izleme için zorunlu hükümler içeren ayrıntılı bir denetime dayanır. Denetlenen kontrollerin etkili bir şekilde işlediğine dair kayıtlı varlıklara güçlü güvenceler sağlar. FedRAMP Moderate denetim temeli ile NERC CIP standartları gereksinimleri arasındaki karşılaştırma, FedRAMP Moderate denetim temelinin tüm NERC CIP standartları gereksinimlerini kapsadığını ortaya koymaktadır. FedRAMP, NERC CIP standartlarının yerini almaz ve kayıtlı varlıkların NERC CIP uyumluluk yükümlülüklerini yerine getirme sorumluluğunu değiştirmez. Bunun yerine, bulut hizmeti sağlayıcısının mevcut FedRAMP yetkilendirmesi, bulut hizmeti sağlayıcısının sorumlu olduğu NERC CIP standartları gereksinimlerine eşlenen NIST tabanlı denetim kanıtlarının onaylı bir FedRAMP denetçisi tarafından zaten incelendiğine dair güvenceler sağlayabilir.
NERC denetimine yönelik kayıtlı bir varlıksanız, Microsoft'un Azure varlıklarınız için NERC CIP uyumluluk gereksinimlerini karşılamanıza yardımcı olacak ayrıntılı teknik nasıl yapılır yönergeleri sağlayan NERC denetimleri için Bulut uygulama kılavuzunu gözden geçirmeniz gerekir. NIST SP 800-53 Rev 4'te belgelendiği gibi geçerli NERC CIP standartları ve FedRAMP Moderate denetim temeli arasında denetim eşlemeleri içerir. Ayrıca, Microsoft'un bulut hizmeti sağlayıcısının sorumluluğunda yer alan denetimler için NERC CIP standartları gereksinimlerini nasıl ele alındığını açıklamak için, Azure denetimi uygulama ayrıntılarıyla eksiksiz bir Güvenilirlik Standart Denetim Çalışma Sayfaları (RSAW) anlatıları kümesi sağlanır. Ayrıca sahip olduğunuz denetimleri uygulamak için Azure hizmetlerini kullanmanıza yardımcı olacak yönergeler sağlanır. Kılavuz, Hizmet Güveni Portalı'ndan (STP) bir gizlilik sözleşmesi (NDA) kapsamında mevcut Azure veya Azure Kamu müşterilerine indirilebilir. STP'de bu belgeye erişmek için oturum açmanız gerekir. Daha fazla bilgi için bkz. Microsoft Hizmet Güveni Portalı'nı kullanmaya başlama.
NERC CIP standartlarına uymaya tabi kayıtlı varlıklarsanız, NeRC denetim gereksinimlerini desteklemek için Azure veya Azure Kamu denetim belgelerini sağlama ve uygulama ayrıntılarını denetleme de dahil olmak üzere denetim yardımı için Microsoft ile iletişime geçebilirsiniz. Yardım için Microsoft hesabı ekibinize başvurun. NERC CIP uyumluluk yükümlülüklerinizi yerine getirme sorumluluğunuz nihai olarak size bağlıdır.
Sonraki Adımlar
- Azure Government'i edinme ve erişim
- Güvenli yalıtım için Azure kılavuzu
- Azure Hükümet uyumluluğu
- Azure Kamu Güvenliği
- Azure uyumluluğu
- Azure CSA STAR Sertifikası
- Azure CSA STAR Kanıtlama
- Azure SOC 2 Tür 2 uyumluluk teklifi
- Azure FedRAMP uyumluluk teklifi
- NiST SP 800-53Bilgi Sistemleri ve Kuruluşları için Güvenlik ve Gizlilik Denetimleri
- North American Electric Reliability Corporation (NERC)
- NERC Kritik Altyapı Koruması (CIP) standartları
- NERC uyumluluk kılavuzu
- NERC Terimler Sözlüğü
- NERC kayıtlı kuruluşları