NERC CIP 標準和雲端運算

  • 發行項

本文適用於考慮在遵守北美電力可靠性公司 (NERC) 關鍵基礎設施保護 (CIP) 標準的情況下對資料和工作負載採用雲端的電力公用事業和已註冊實體

Microsoft 讓兩個不同的雲端環境可供電力公用事業和其他已註冊實體使用:Azure 和 Azure Government。 這兩者都提供多租用戶雲端服務平台,已註冊實體可以用來部署各種解決方案。 多租用戶雲端平台表示多個客戶應用程式和資料會儲存在相同的實體硬體上。 Azure 和 Azure Government 會使用邏輯隔離來隔離屬於不同客戶的應用程式和資料。 這種方法提供多租用戶雲端服務的規模和經濟效益,同時嚴格地防止客戶存取彼此的資料或應用程式。 本文處理與電力產業相關的常見安全性和隔離問題。 其也會針對 Azure 或 Azure Government 上部署的資料和工作負載討論合規性考量,而這些工作負載受制於 NERC CIP 標準。 如需隔離方法的深入技術描述,請參閱 Azure 安全隔離指引

Azure 和 Azure Government 都有相同的全面安全性控制措施。 其也會在保護客戶資料方面分享相同的 Microsoft 承諾。 Azure Government 透過在美國儲存客戶資料的合約承諾,以及限制只有經過篩選的美國人員可存取處理客戶資料的系統,為已註冊實體提供額外的保護。 此外,Azure Government 僅在美國供位於美國的已註冊實體使用。

Azure 和 Azure Government 都適合用於部署特定工作負載的已註冊實體,但這些實體必須符合 NERC CIP 標準。

NERC 概觀

北美電力可靠性公司 (NERC) 是一個非營利性監管機構,其任務是確保北美大容量電力系統的可靠性。 NERC 受到美國聯邦能源管理委員會 (FERC) 和加拿大政府機構的監督。 2006 年,FERC 根據 2005 年能源政策法案將電力可靠性組織 (ERO) 正式名稱授與 NERC,如美國公共法律 109-58 中所述。 對於為北美近 4 億人口提供服務的大容量電力系統,NERC 對其使用者、擁有者和營運商具有管轄權。 如需 NERC ERO 企業和 NERC 區域實體的詳細資訊,請參閱 NERC 主要參與者

NERC 會開發並強制執行稱為 NERC CIP 標準的可靠性標準。 在美國,FERC 於 2007 年核准了第一套 CIP 標準,並在每次進行新的修訂時繼續這樣做。 在加拿大,聯邦、省和領地監視和執行小組 (MESG) 制定了省級摘要,以使 CIP 標準可在加拿大司法管轄區強制執行。

Azure 和 Azure Government

Azure 提供核心基礎結構和虛擬化技術與服務,例如計算、儲存體和網路,這些技術和服務會經過嚴格的控制設計,以滿足租用戶分離要求。 這些服務也會協助啟用與內部部署環境的安全連線。 大部分的 Azure 服務可讓您指定客戶資料將儲存在其中的區域。 Microsoft 可能會將客戶資料複寫至相同地理位置內的其他區域,以進行資料復原。 不過,Microsoft 不會複寫所選地理位置以外的客戶資料,例如美國。

Microsoft 將兩個不同的雲端環境提供給已註冊實體,以部署其應用程式和資料:Azure 和 Azure Government。 Azure 已在全球 60 多個區域中正式推出;不過,對於受限於 NERC CIP 標準的已註冊實體,最感興趣的地理位置是美國和加拿大。

  • Azure 適用於美國和加拿大的 NERC 已註冊實體。
  • Azure Government 僅在美國供位於美國的 NERC 已註冊實體使用。

如需適用於美國和加拿大的 Azure 區域,以及位於美國的 Azure Government 區域,請參閱 Azure 地理位置。 如需在指定區域的 Azure 服務可用性,請參閱依區域提供的產品

Azure 和 Azure Government 都有相同的強式安全性控制可用,為您提供關於保護客戶資料和應用程式的強大保證。 其會在多租用戶雲端環境中提供各種服務,而這些服務會使用虛擬化技術來提供規模和資源使用率。 同時也會在共用環境中提供優越的資料分離和隔離。 此設計可協助確保您可以有效率地使用 Azure 和 Azure Government,並將您的資料和工作負載與其他租用戶隔離。 這兩個雲端環境都為 Azure 儲存體提供相同的資料備援,方法是在主要區域中的個別容錯網域之間維護三份客戶資料複本。 您也可以啟用異地備援儲存體,這會在配對區域中的個別容錯網域之間維護三份額外的客戶資料複本。 在任何指定時間,Azure 儲存體都會維護六份狀況良好的客戶資料複本,這些複本會保留在兩個相距至少 400 英哩的配對區域中。

Azure Government 是美國政府社群雲端,與 Azure 雲端實際分開。 其會對美國政府特定背景篩選需求提供額外的保證。 例如,Azure Government 會要求對可能存取客戶資料的營運人員進行美國人員驗證。 Azure Government 也可以支援受特定出口管制法律和法規約束的客戶。 Azure 和 Azure Government 都適合用於部署特定工作負載的已註冊實體,但這些實體必須符合 NERC CIP 標準。

Azure 和 Azure Government 在業界具有最廣泛的合規性涵蓋範圍,包括重要的獨立認證和證明。 Azure Government 會新增額外的合規性涵蓋範圍,這是美國政府需求特有的。

核電公用事業客戶也可能受限於能源部 (DoE)/國家核安全管理局 (NNSA) 10 CFR 第 810 部分出口管制需求。 除此之外,DoE 10 CFR 第 810 部分還控制未分類核技術和援助的出口。 第 810.7 段 (b) 規定,需要具體的 DoE 授權,才能向任何外國實體提供或轉移敏感核技術。

  • 出口是將受保護的技術或資訊轉移至外國目的地或外國人員,無論目的地為何。
  • 視同出口是指將受保護的技術和資訊傳輸給美國境內的外國人員。

Azure Government 的設計旨在符合限制只有美國人員才能存取資訊和系統的特定控制。 此承諾不適用於 Azure。 因此,在 Azure 上部署的客戶應進行適當的風險評估,以判斷是否應部署額外的技術措施,以保護不應向外國人員披露的資料。 如需詳細資訊,請參閱 Azure DoE 10 CFR 第 810 部分合規性供應項目

核公用事業客戶全權負責確保其自己遵守所有適用的法律和法規。 上述內容並非法律建議,若有任何關於法規合規性的問題,您應該諮詢您的法律顧問。

將 NERC CIP 資料和工作負載分類

注意

經營大容量電力系統 (BES) 的客戶全權負責確保其自己符合 NERC CIP 標準。 Azure 和 Azure Government 都不會構成大容量電力系統 (BES) 或 BES 網路資產。

如 NERC 所述,CIP 標準適用於大容量電力系統 (BES):

  • 一般為 100 kV 以上,但有一些例外,主要針對徑向線路。
  • 20MVA 以上發電機組、75MVA 以上發電廠,有一些針對完全錶後發電的例外。
  • 包含監視和控制 BES 的控制中心。

如 NERC 所述,CIP 標準不適用於配電,即非 BES,但有幾個例外,主要是低頻減載 (UFLS)、欠壓減載 (UVLS)、Blackstart 資源 (發電) 和曲柄路徑。

若要評估 NERC CIP 標準資料和工作負載是否適合雲端部署,已註冊實體應洽詢自己的合規性官員和 NERC 稽核人員。 以下是 NERC 在目前一組 CIP 標準中提供的一些重要 BES 相關定義,以及 NERC 的名詞解釋

  • 網路資產:可程式化的電子裝置,包括這些裝置中的硬體、軟體和資料。
  • BES 網路資產 (BCA):一種網路資產,如果呈現無法使用、降級或濫用,則將會在其必要作業、錯誤作業或非作業的 15 分鐘內,對一或多個設施、系統或設備造成負面影響,如果在需要時遭到損毀、降級或以其他方式呈現無法使用,將會影響大容量電力系統的可靠作業。 在確定負面影響時,不應考慮受影響設施、系統和設備的備援。 每個 BES 網路資產都包含在一或多個 BES 網路系統中。
  • BES 網路系統 (BCS):由負責任實體以邏輯方式分組的一或多個 BES 網路資產,以執行功能實體的一或多個可靠性工作。
    • BCS 的元件也包含系統執行其可靠性工作 (例如網路交換器) 所需的「黏附」基礎結構元件 (例如,網路基礎結構)。
    • 定義中內建了巨大的靈活性 - BCS 可以是整個控制系統,也可以是基於功能的子集 (HMI、伺服器、資料庫、FEP 等)。
  • 電子安全界限 (ESP):圍繞網路的邏輯邊界,BES 網路系統使用可路由通訊協定連線至該網路。
  • 受保護的網路資產 (PCA):在電子安全界限內或上使用可路由通訊協定連線的一或多個網路資產,該界限不屬於相同電子安全界限內影響力最高的 BES 網路系統。 受保護網路資產的影響評等相當於相同 ESP 中最高評等的 BES 網路系統。
  • 電子存取點 (EAP):電子安全界限上的網路資產介面,允許在電子安全界限外部的網路資產與電子安全界限內部的網路資產之間進行可路由通訊。
  • 電子存取控制或監視系統 (EACMS):對電子安全界限或 BES 網路系統 (包括中繼系統) 執行電子存取控制或電子存取監視的網路資產。
  • 控制中心:一或多個裝載操作人員的設施,即時監控和控制大容量電力系統 (BES),以執行可靠性工作,包括其相關聯的資料中心:1) 可靠性協調員、2) 平衡授權單位、3) 針對兩個以上位置傳輸設施的傳輸操作員,或 4) 針對兩個以上位置發電設施的發電機操作員。
    • 包含電力系統操作員所在的房間和設備,以及包含「後台」伺服器、資料庫、電信設備等的房間和設備。
    • 其可能全都位於同一個房間,或位於不同的建築物或不同的城市。

如 NERC 所述,BES 網路資產會執行監視或控制 BES 的即時功能。 目前的定義非常強調電子安全界限內的實體資產,例如,特定字詞「在這些裝置中」指的是 BES 網路資產。 沒有針對虛擬化和多租用戶等重要雲端概念的規定。 若要在雲端環境中適當容納 BES 網路資產和受保護的網路資產,NERC CIP 標準中的現有定義將需要進行修訂。 不過,有許多工作負載會處理 CIP 敏感性資料,且不屬於 15 分鐘規則。 NERC 於 2016 年 11 月在雲端運算新興技術圓桌會議上提供了更詳細的討論。

根據已註冊實體的實作,下列部分工作負載可能不會視為 BES 網路系統 (BCS) 或置於電子安全界限 (ESP) 內:

  • 傳輸資產狀態、管理、規劃、預測性維護
  • 傳輸網路規劃、需求預測、應變分析
  • 通用資訊模型 (CIM) 模型化和地理空間資產位置資訊
  • 操作設備資料與監督控制和資料擷取 (SCADA) 歷程記錄資訊系統
  • 用於預測、維護、中斷管理的人工智慧和進階分析
  • 傳輸線路監視和維護的物聯網 (IoT) 案例
  • NERC CIP 稽核證據、報告、記錄

這些工作負載需要仔細評量,考慮個別已註冊實體事實和情況。

另一個不受 15 分鐘規則約束的資料類別是 BES 網路系統資訊 (BCSI),前提是採取了適當的安全性控制來保護 BCSI。 下列定義是由 NERC 提供:

BES 網路系統資訊 (BCSI) 是 BES 網路系統的相關資訊,可以用來取得未經授權的存取或對 BES 網路系統構成安全性威脅。 BES 網路系統資訊不包含本身不會構成威脅或無法用來允許未經授權存取 BES 網路系統的個別資訊片段,例如,包括但不限於裝置名稱、沒有內容的個別 IP 位址、ESP 名稱或原則聲明。 BES 網路系統資訊的範例可能包括,但不限於:

  • 有關 BES 網路系統、實體存取控制系統,以及電子存取控制或監視系統的安全性程序或安全性資訊,這些系統無法公開使用,而且可以用來允許未經授權的存取或未經授權的分發
  • 網路位址集合
  • BES 網路系統的網路拓撲

NERC 電力可靠性組織 (ERO) 企業發佈了合規性監視和執行方案 (CMEP) 實務指南,為 ERO 企業 CMEP 員工在評估已註冊實體下列流程時提供指引:授權存取指定的 BCSI 儲存位置,以及已註冊實體所實作的任何存取控制。

NERC CIP 標準的合規性考量

國家標準技術研究院 (NIST) 特別出版品 (SP) 800-145 定義下列雲端服務模型:

  • 基礎結構即服務 (IaaS)
  • 平台即服務 (PaaS)
  • 軟體即服務 (SaaS)

雲端中的共同責任模型會根據雲端服務模型以不同的方式分配責任。 透過您自己資料中心的內部署,您會承擔堆疊中所有層級的責任。 當工作負載移轉至雲端時,Microsoft 會逐漸承擔更多責任,取決於雲端服務模型。 例如,使用 IaaS 模型,Microsoft 的責任終止於虛擬化 (Hypervisor) 層。 您負責虛擬化層上方的所有層級,包括維護客體虛擬機器中的基礎作業系統。 使用 SaaS 模型中完成的雲端服務 (例如 Microsoft Office 365 或 Dynamics 365),Microsoft 會承擔堆疊中額外層的責任。 不過,您仍須負責管理服務,包括將適當的存取權授與終端使用者。 不論雲端服務模型為何,您一律負責客戶資料。

共同責任的概念也會延伸到認證相依性和合規性義務。 如果您是在 Azure 或 Azure Government 上部署應用程式的已註冊實體,您會收到 Microsoft 的認證相依性。 您最終負責履行 NERC CIP 合規性義務。 不過,您會從基礎雲端平台繼承安全性控制,並可以依靠 Microsoft 取得適用於雲端服務提供者 (CSP) 的合規性保證。

Azure 和 Azure Government 都是經由獨立第三方稽核員廣泛稽核。 評估 NERC CIP 合規性義務時,您可以使用其中一些稽核。 在與 NERC 監管員的討論中,下列獨立第三方稽核被識別為相關且可能對已註冊實體有用:

  • 雲端安全性聯盟 (CSA) 安全性、信任、保證和風險 (STAR) 認證與證明
  • 美國會計師協會 (AICPA) 系統和組織控制 (SOC) 2 類型 2 證明
  • 美國聯邦風險與授權管理計劃 (FedRAMP) 授權

Microsoft 會針對 Azure 和 Azure Government 維護這三項合規性稽核,並使個別的稽核文件可供已註冊實體使用。

NERC CIP 合規性需求可以在 NERC 稽核期間得到滿足,並符合雲端運算的共同責任模型。 我們相信 Azure 和 Azure Government 雲端服務可以符合 NERC CIP 標準的方式使用。 Microsoft 已準備好提供 Azure 或 Azure Government 稽核文件,並控制支援 NERC 稽核需求的實作詳細資料,協助您進行 NERC 稽核。 此外,Microsoft 已針對 NERC 稽核開發了雲端實作指南,這是技術操作說明指引,可協助您滿足 Azure 資產的 NERC CIP 合規性需求。 此文件包含預先填入的可靠性標準稽核工作表 (RSAW) 敘述,協助說明 Azure 控制項如何滿足 NERC CIP 需求。 其也包含指引,可協助您使用 Azure 服務來實作您擁有的控制項。 現有的 Azure 或 Azure Government 可以根據保密協定 (NDA) 從服務信任入口網站 (STP) 下載指南。 您必須登入,才能在 STP 上存取這份文件。 如需詳細資訊,請參閱開始使用 Microsoft 服務信任入口網站

注意

如需有關 NERC CIP 標準支援 Azure 的詳細資訊,請參閱 Azure NERC 合規性供應項目

CSA STAR

雲端安全性聯盟 (CSA) 是一個非營利組織,由行業從業者、公司和其他重要權益相關者組成的廣泛聯盟所領導。 其致力於定義最佳做法,以協助確保更安全的雲端運算環境。 CSA 可協助潛在雲端客戶在將其 IT 作業轉換至雲端時做出明智的決策。 CSA 會維護安全性、信任、保證和風險 (STAR) 登錄,這是一個免費且可公開存取的登錄,雲端服務提供者 (CSP) 可在其中發佈 CSA 相關評量。

CSA 雲端控制矩陣 (CCM) 是一種控制架構,由 197 個控制目標所組成,涵蓋了 17 個網域的基本安全性準則,以協助雲端客戶評估 CSP 的整體安全性風險。 CCM 對應至業界認可的安全性標準、法規和控制架構,例如 ISO 27001、ISO 27017、ISO 27018、NIST SP 800-53、PCI DSS、AICPA 信任服務準則及其他。

CSA STAR 根據 CCM 提供兩層保證。 CSA STAR 自我評量是層級 1 的入門供應項目,免費且對所有 CSP 開放。 進一步提升保證堆疊,STAR 方案的層級 2 涉及第三方評量型認證 (例如,CSA STAR 認證和 CSA STAR 證明)。 除了 CSA STAR 自我評量之外,Azure 和 Azure Government 也會在 STAR 登錄中維護 CSA STAR 認證和 CSA STAR 證明提交。 如需詳細資訊,請參閱

若要下載 Azure 和 Azure Government CSA STAR 登錄提交,請參閱適用於 Microsoft 的 CSA STAR 登錄

SOC 2 Type 2

服務組織的系統和組織控制 (SOC) 是美國會計師協會 (AICPA) 所建立的內部控制報告。 其旨在檢查服務組織所提供的服務,以便終端使用者可以評估和處理與委外服務相關聯的風險。

SOC 2 類型 2 證明係根據下列內容執行:

  • SSAE 編號 18 證明標準:釐清和修訂,其中包括 AT-C 第 105 節所有證明參與通用的概念,以及 AT-C 第 205 節檢查參與 (AICPA、專業標準)。
  • SOC 2 報告服務組織與安全性、可用性、處理完整性、機密性或隱私權相關的控制檢查 (AICPA 指南)。
  • TSP 第 100 節,安全性、可用性、處理完整性、機密性和隱私權的 2017 信任服務準則 (AICPA,2017 信任服務準則)。

在 SOC 2 類型 2 稽核結束時,稽核員會在 SOC 2 類型 2 報告中提出意見。 證明報告描述雲端服務提供者 (CSP) 的系統,並評估 CSP 對其控制項所做描述的公平性。 其也會評估 CSP 控制項的設計是否適當、是否在指定的日期運作,以及是否在指定的時段內有效地運作。

Azure 和 Azure Government 經歷了嚴格的獨立第三方 SOC 2 類型 2 稽核,這是由一家信譽良好的會計師 (CPA) 公司執行。 產生的 SOC 2 類型 2 報告與系統安全性、可用性、處理完整性、機密性和隱私權相關。 此外,這些報告還滿足了雲端安全性聯盟 (CSA) 雲端控制矩陣 (CCM) 和德國聯邦資訊安全辦公室 (BSI) 雲端運算合規性準則目錄 (C5:2020) 中的需求。 如需詳細資訊,請參閱 Azure SOC 2 類型 2 合規性供應項目

FedRAMP

美國聯邦風險和授權管理計劃 (FedRAMP) 成立於 2011 年 12 月,為評估、監視和授權雲端運算產品和服務提供標準化方法。 希望向美國聯邦機關銷售服務的雲端服務提供者 (CSP) 可以採取三種方法來示範 FedRAMP 合規性:

  • 從 FedRAMP 聯合授權委員會 (JAB) 獲得臨時操作授權 (P-ATO)。
  • 從聯邦機關收到操作授權 (ATO)。
  • 獨立開發符合計劃需求的 CSP 提供套件。

其中每個路徑都需要由獨立第三方評量組織 (3PAO) 進行評估,該組織獲得計劃認可,也需要 FedRAMP 計劃管理辦公室 (PMO) 進行嚴格的技術審查。

FedRAMP 是以國家標準技術研究院 (NIST) 特別出版品 (SP) 800-53 標準為基礎,透過 FedRAMP 控制項和控制項增強功能進行了增強。 FedRAMP 授權會根據 NIST FIPS 199 指導方針,在三個影響層級進行授與:低、中和高。 這些層級會對失去機密性、完整性或可用性可能對組織的影響進行評等:低 (有限影響)、中 (嚴重不利影響) 和高 (嚴重或災難性影響)。 對應基準中的控制項數目會隨著影響層級而增加,如下表所示:

FedRAMP 控制項基準 中等
控制項和控制項增強功能總數 125 325 421

FedRAMP 高授權代表 FedRAMP 合規性的最高標準。 FedRAMP 不是時間點認證,而是評量和授權計劃。 其隨附持續監視的佈建,以確保雲端服務供應項目 (CSO) 中已部署的安全性控制在不斷演變的威脅環境和系統環境中發生的變更中保持有效。 CSP 需要提供各種證據,以示範持續合規性,包括系統清查報告、弱點掃描、動作計劃及里程碑等。 FedRAMP 是 CSP 可以接受的其中一個最嚴格且最苛刻的稽核。

除了個別聯邦機關為範圍內服務發行的 250 多個中和高 ATO 之外,Azure 和 Azure Government 還維護由 JAB 發行的 FedRAMP 高 P-ATO。 如需詳細資訊,請參閱 Azure FedRAMP 合規性供應項目

FedRAMP 中控制基準與 NERC CIP 標準需求之間的比較顯示,FedRAMP 中控制基準包含了所有 NERC CIP 需求。 Microsoft 已開發 NERC 稽核的雲端實作指南,其中包含目前一組 NERC CIP 標準需求與 FedRAMP 中控制基準之間的控制對應,如 NIST SP 800-53 Rev 4 中所述。 NERC 稽核的雲端實作指南包含預先填入的可靠性標準稽核工作表 (RSAW) 敘述,協助說明 Azure 控制項如何滿足 NERC CIP 需求。 其也包含指引,可協助您使用 Azure 服務來實作您擁有的控制項。 您可以根據保密合約 (NDA) 從服務信任入口網站 (STP) 下載 NERC 稽核的雲端實作指南。 您必須登入,才能在 STP 上存取這份文件。 如需詳細資訊,請參閱開始使用 Microsoft 服務信任入口網站

受 NERC CIP 合規性義務約束的已註冊實體,可能想要在評估雲端服務供應項目的安全性態勢時使用現有的 FedRAMP P-ATO 或 ATO,有許多正當的原因:

  • 重塑既定的 NIST SP 800-53 標準和 FedRAMP 評量與授權計畫將是一項重大任務。
  • FedRAMP 已經就緒,這是評估雲端服務時,美國聯邦政府機關採用的架構。
  • 在美國,FERC 核准了 NERC CIP 標準。 做為美國聯邦機關,FERC 在評估雲端服務是否符合自己的雲端運算需求時依賴 FedRAMP。 選擇 FedRAMP 做為 CSP 合規性路徑與 FERC 和其他美國政府機關採用的方法一致。
  • 在加拿大,聯邦、省和領地監視和執行小組制定了省級摘要,以使 CIP 標準可在加拿大司法管轄區強制執行。 加拿大政府已將其雲端式服務的安全性控制設定檔與 FedRAMP 中安全性控制設定檔保持一致,以最大限度地提高雲端服務的互通性,以及 CSP 所產生授權證據的可重複使用性。
  • FedRAMP 依賴具有必要佈建的深入稽核,以進行持續監視。 其會為已稽核控制項有效操作的已註冊實體提供強有力的保證。
  • NERC 有興趣讓已註冊實體能夠採用新技術,包括雲端運算。 鑒於受 NERC CIP 合規性義務約束的已註冊實體數目,CSP 無法容納個別實體所起始的稽核。 相反地,依賴現有的 FedRAMP 授權會提供可調整且有效率的方法,以滿足 CSP 的 NERC 稽核需求。

上述理由僅適用於雲端服務提供者。 其不會變更 NERC 與已註冊實體之間的關聯性。 現有的 NERC CIP 合規性義務將保持不變,而且這些義務仍將是已註冊實體的責任。

NERC ERO 企業發佈了合規性監視和執行方案 (CMEP) 實務指南,為 ERO 企業 CMEP 員工在評估已註冊實體下列流程時提供指引:授權存取指定的 BCSI 儲存位置,以及已註冊實體所實作的任何存取控制。 此外,NERC 檢閱了 Azure 控制項實作詳細資料,以及與 NERC CIP-004-6 和 CIP-011-2 標準 (適用於 BCSI) 相關的 FedRAMP 稽核證據。 根據 ERO 企業發佈的 CMEP 實務指南和已檢閱的 FedRAMP 控制項,以確保已註冊實體加密其資料,不需要額外的指引或釐清,即可在雲端中部署 BCSI 和相關聯的工作負載。 不過,已註冊實體最終會根據自己的事實和情況,負責遵守 NERC CIP 標準。 已註冊實體應檢閱 NERC 稽核的雲端實作指南,以協助記載其用來授權對 BCSI 儲存位置進行電子存取的流程和證據,包括在 Azure 和 Azure Government 中用於 BCSI 加密的加密金鑰管理。

內部人員存取限制

Microsoft 採取強有力的措施來保護客戶資料,以免受到未經授權使用者的不當存取或使用。 不需要存取客戶資料,即可操作 Azure 和 Azure Government,而且 Microsoft 工程師對雲端中的客戶資料沒有預設存取權。 而是只有在必要時,才會在有管理監督的情況下授與他們權限。 客戶資料包含受 NERC CIP 標準保護的資料。 如需詳細資訊,請參閱內部人員存取限制

背景篩選

在 NERC CIP-004-6 中,背景篩選需求記載於下列內容底下:

  • R2:正式訓練
  • R3:人員風險評量
  • R4:存取授權

強制可存取 NERC CIP 受保護資產和資料的支援和操作人員必須滿足需求。 已註冊實體根據 NERC CIP 標準所提供的目標,將這些需求寫入其原則。

某些已註冊實體可能也已將只有美國公民可以存取資料的限制寫入其原則。 核電公用事業公司也可能必須遵守能源部 (DoE) 根據 10 CFR 第 810 部分規定並由國家核安全管理局 (NNSA) 管理的出口管制需求。 除此之外,這些需求旨在防止向外國人出口未分類的核技術和援助。

美國的所有 Azure 和 Azure Government 員工都會受到 Microsoft 背景檢查。 在 Azure Government 中,能夠存取客戶資料以進行疑難排解的人員,在適當情況下,還須接受美國人資格的驗證和額外的篩選需求。 如需詳細資訊,請參閱篩選

資訊安全訓練和認知會持續提供給所有 Azure 和 Azure Government 工程人員。 此訓練的目的是要教育工程人員了解適用的原則、標準和資訊安全做法。 所有工程人員都必須在加入團隊時完成電腦型訓練模組。 此外,所有員工每年都會參與強制性的安全性、合規性和隱私權培訓。 在許多適用於 Azure 和 Azure Government 的合規性保證中,控制項也涵蓋培訓,包括 CSA STAR 認證、SOC 2 類型 2 證明和 FedRAMP 授權。

邏輯隔離考慮

多租用戶雲端平台表示多個客戶應用程式和資料會儲存在相同的實體硬體上。 Azure 和 Azure Government 會使用邏輯隔離來隔離屬於不同客戶的應用程式和資料。 這種方法提供多租用戶雲端服務的規模和經濟效益,同時嚴格地強制執行旨在防止客戶存取彼此資料或應用程式的控制項。 如需詳細資訊,請參閱 Azure 安全隔離指引。 如果您要從傳統的內部部署實體隔離基礎結構移轉至雲端,請參閱邏輯隔離考量

身分識別與存取

Microsoft Entra ID 是一種身分識別儲存機制和雲端服務,可為組織的使用者、群組和物件提供驗證、授權和存取控制。 Microsoft Entra ID 可以用作獨立雲端目錄,或用作具有現有內部部署 Active Directory 的整合式解決方案,以啟用重要的企業功能,例如目錄同步和單一登入。 區隔用來管理雲端應用程式的帳戶對於實現邏輯隔離至關重要。 Azure 中的帳戶隔離是使用 Microsoft Entra ID 及其功能來實現,以支援細微的 Azure 角色型存取控制 (RBAC)。 Microsoft Entra ID 會實作廣泛的資料保護功能,包括租用戶隔離和存取控制、內部人員存取的資料操作考量等等。

如需詳細資訊,請參閱身分識別型隔離

資料加密金鑰管理

Azure 服務依賴基礎作業系統中 FIPS 140 驗證的密碼編譯模組。 使用 Azure 服務時,您有廣泛的選項來加密傳輸中和待用資料。 您可以使用 Azure Key Vault 來管理資料加密金鑰,Azure Key Vault 可將加密金鑰儲存在 FIPS 140 驗證的硬體安全模組 (HSM) 中。 您可以使用客戶自控金鑰 (CMK) 搭配 Azure Key Vault,以完全控制 HSM 中儲存的加密金鑰。 在 Azure Key Vault HSM 內產生的金鑰無法匯出 - HSM 外部沒有純文字版本的金鑰。 此繫結由基礎 HSM 強制執行。 此外,Azure Key Vault 的設計、部署和操作方式旨在讓 Microsoft 及其代理程式看不到或無法擷取您的密碼編譯金鑰。

您負責選擇 Azure 區域來部署應用程式和資料。 此外,您負責設計應用程式,以使用符合 NERC CIP 標準需求的端對端資料加密。 Microsoft 不會檢查或核准您的 Azure 應用程式。

如需詳細資訊,請參閱資料加密金鑰管理

計算隔離

Microsoft Azure 計算平台是以機器虛擬化為基礎。 此方法表示您的程式碼 (部署在 PaaS 背景工作角色中,還是部署在 IaaS 虛擬機器中) 會在 Windows Server Hyper-V Hypervisor 所裝載的虛擬機器中執行。 Azure 會使用邏輯隔離為租用戶區隔提供廣泛的支援。 除了依設計提供給所有 Azure 租用戶的強固邏輯計算隔離之外,您也可以使用 Azure 專用主機或隔離的虛擬機器來實現實體計算隔離。 使用這種方法,您的虛擬機器會部署在您專用的實體硬體上。

如需詳細資訊,請參閱計算隔離

網路隔離

公用多租用戶雲端中租用戶基礎結構的邏輯隔離,是維護安全性的基礎。 虛擬化解決方案的首要原則是只允許該虛擬化解決方案操作所需的連線和通訊,預設會封鎖所有其他連接埠和連線。 Azure 虛擬網路 (VNet) 可協助確保您的私人網路流量在邏輯上與屬於其他客戶的流量隔離。 一個 VNet 中的虛擬機器 (VM) 無法與不同 VNet 中的 VM 直接通訊,即使這兩個 VNet 都是由同一個客戶所建立也一樣。 網路隔離可確保 VM 之間的通訊在 VNet 內保持私人狀態。 您有多個選項來連線 VNet,取決於連線選項,包括頻寬、延遲和加密需求。

Azure 提供了許多為傳輸中的資料加密的選項。 傳輸中資料加密會隔離網路流量與其他流量,並協助保護資料免於遭受攔截。

如需詳細資訊,請參閱網路隔離

儲存體隔離

Microsoft Azure 會將您的 VM 型計算資源與儲存體分隔開來,作為其基本設計的一部分。 這種區隔可讓計算和儲存體各自調整,更容易提供多重租用和隔離。 因此,除了透過邏輯方式,Azure 儲存體會在沒有連到 Azure 計算之網路連線的個別硬體上執行。

Azure 會提供廣泛的選項進行待用資料加密,以使用 Microsoft 管理的加密金鑰和客戶自控加密金鑰,協助您保護資料並符合 NERC CIP 合規性需求。 此流程仰賴多個加密金鑰和服務,例如 Azure Key Vault 和 Microsoft Entra ID,以確保安全金鑰存取和集中式金鑰管理。

如需詳細資訊,請參閱儲存體隔離

摘要

Microsoft Azure 和 Azure Government 是可供電力公用事業和其他已註冊實體使用的多租用戶雲端服務平台。 多租用戶雲端平台表示多個客戶應用程式和資料會儲存在相同的實體硬體上。 Azure 和 Azure Government 會使用邏輯隔離來隔離屬於不同客戶的應用程式和資料。 這種方法提供多租用戶雲端服務的規模和經濟效益,同時嚴格地強制執行旨在防止客戶存取彼此資料或應用程式的控制項。 下表摘要說明雲端採用的重要考量。 Azure 和 Azure Government 都適合用於部署特定工作負載的已註冊實體,但這些實體必須符合 NERC CIP 標準。

需求 Azure Azure Government
資料必須遵守 NERC CIP 標準
資料必須位於美國本土
CSA STAR 認證和 CSA STAR 證明
AICPA SOC 2 類型 2 證明
FedRAMP 高授權
Microsoft 雲端背景檢查
需要美國人作為操作人員

目前的 NERC CIP 定義非常強調電子安全界限內的實體資產 (例如,特定字詞「在這些裝置中」指的是 BES 網路資產),而且不會針對虛擬化和多重租用等重要雲端概念進行佈建。 若要在雲端運算中適當容納 BES 網路資產和受保護的網路資產,NERC CIP 標準中的現有定義將需要進行修訂。 不過,有許多工作負載會處理 CIP 敏感性資料,並且不屬於與 BES 網路資產對大容量電力系統可靠操作影響相關的 15 分鐘規則。 如果採取了適當的安全性控制來保護 BES 網路系統資訊 (BCSI),則這樣一個廣泛的資料類別就會包含 BCSI。

NERC ERO 企業發佈了合規性監視和執行方案 (CMEP) 實務指南,為 ERO 企業 CMEP 員工在評估已註冊實體下列流程時提供指引:授權存取指定的 BCSI 儲存位置,以及已註冊實體所實作的任何存取控制。 此外,NERC 檢閱了 Azure 控制項實作詳細資料,以及與 NERC CIP-004-6 和 CIP-011-2 標準 (適用於 BCSI) 相關的 FedRAMP 稽核證據。 根據 ERO 企業發佈的 CMEP 實務指南和已檢閱的 FedRAMP 控制項,以確保已註冊實體加密其資料,不需要額外的指引或釐清,即可在雲端中部署 BCSI 和相關聯的工作負載。 不過,已註冊實體最終會根據自己的事實和情況,負責遵守 NERC CIP 標準。 已註冊實體應檢閱 NERC 稽核的雲端實作指南,以協助記載其用來授權對 BCSI 儲存位置進行電子存取的流程和證據,包括在 Azure 和 Azure Government 中用於 BCSI 加密的加密金鑰管理。

Azure 和 Azure Government 都具有全面的安全性控制和合規性涵蓋範圍,為您提供關於保護客戶資料和應用程式的強大保證。 Azure Government 是美國政府社群雲端,與 Azure 雲端實際分開。 其透過在美國儲存客戶資料的合約承諾,以及限制只有經過篩選的美國人員可存取處理客戶資料的系統,為已註冊實體提供額外的保護。 此外,Azure Government 僅在美國供位於美國的已註冊實體使用。 在美國註冊的實體符合 Azure Government 上線資格,方法是在其提交中指出「NERC 合規性實體」。

核電公用事業也可能受限於有關未分類核技術和援助的 DoE 10 CFR 第 810 部分出口管制需求。 Azure Government 的設計旨在符合只有美國人員才能存取資訊和系統的特定控制。 此承諾不適用於 Azure,因此在 Azure 上部署的客戶應進行適當的風險評量,以判斷是否應部署額外的技術措施,以保護不應向外國人員披露的資料。

受 NERC CIP 合規性義務約束的已註冊實體可以在評估雲端服務供應項目的安全性態勢時,使用適用於雲端服務的現有稽核,包括雲端安全性聯盟 STAR 計劃、SOC 2 類型 2 證明和 FedRAMP 授權。 例如,FedRAMP 依賴具有必要佈建的深入稽核,以進行持續監視。 其會為已稽核控制項有效操作的已註冊實體提供強有力的保證。 FedRAMP 中控制基準與 NERC CIP 標準需求之間的比較顯示,FedRAMP 中控制基準包含了所有 NERC CIP 標準需求。 FedRAMP 不會取代 NERC CIP 標準,也不會變更已註冊實體對履行其 NERC CIP 合規性義務應負的責任。 相反地,雲端服務提供者的現有 FedRAMP 授權可以保證 NIST 型控制證據 (對應至雲端服務提供者負責的 NERC CIP 標準需求) 已由認可的 FedRAMP 稽核員檢查。

如果您是考慮進行 NERC 稽核的已註冊實體,則應該檢閱 Microsoft 的 NERC 稽核的雲端實作指南,其會提供詳細的技術操作說明指引,協助您滿足 Azure 資產的 NERC CIP 合規性需求。 其包含目前 NERC CIP 標準集與 FedRAMP 中控制基準之間的控制項對應,如 NIST SP 800-53 Rev 4 中所述。 此外,提供了一組完整的可靠性標準稽核工作表 (RSAW) 敘述與 Azure 控制項實作詳細資料,說明 Microsoft 如何為屬於雲端服務提供者責任的控制項滿足其 NERC CIP 標準需求。 也提供指引,協助您使用 Azure 服務來實作您擁有的控制項。 現有的 Azure 或 Azure Government 可以根據保密協定 (NDA) 從服務信任入口網站 (STP) 下載指南。 您必須登入,才能在 STP 上存取這份文件。 如需詳細資訊,請參閱開始使用 Microsoft 服務信任入口網站

如果您是必須遵守 NERC CIP 標準的已註冊實體,則您也可以向 Microsoft 尋求稽核協助,包括提供 Azure 或 Azure Government 稽核文件,以及支援 NERC 稽核需求的控制項實作詳細資料。 如需協助,請聯絡您的 Microsoft 帳戶小組。 您最終負責履行 NERC CIP 合規性義務。

下一步