概括而言,Azure VMware 解决方案是一项 Azure 服务,因此它必须遵循 Azure 遵循的所有相同策略和要求。 Azure 策略和过程规定,Azure VMware 解决方案必须遵循 安全开发生命周期(SDL), 并且必须满足 Azure 承诺的多个法规要求。
我们解决漏洞的方法
Azure VMware 解决方案采用深入的漏洞和风险管理方法。 我们遵循 SDL ,确保从一开始就安全地构建。 该重点是对安全性的重视,包括与任何第三方解决方案合作。 我们的服务会定期通过自动和手动评审进行持续评估。 我们还与第三方合作伙伴合作,以强化安全,并提前通知解决方案中的漏洞。
漏洞管理
- 工程和安全团队会评估任何漏洞信号。
- 根据服务内的补偿控制措施,对信号中的详细信息进行裁决,并分配了一个通用漏洞评分系统(CVSS)评分和风险评级。
- 风险评级用于针对内部 bug 栏、内部策略和法规,以建立实施修复的时间线。
- 内部工程团队与相应方合作,以确定并发布所需的任何修补程序、补丁和其他配置更新。
- 必要时起草通信,并根据分配的风险评级发布。
小窍门
通过Azure 服务运行状况门户、已知问题或电子邮件显示通信。
管理漏洞和风险管理的法规子集
Azure VMware 解决方案适用于以下认证和法规要求。 列出的法规不是 Azure VMware 解决方案持有的认证的完整列表。 而是一个列表,其中包含有关漏洞管理的特定要求。 这些法规不依赖于其他法规来达到相同的目的。 例如,某些区域认证可能指向漏洞管理的 ISO 要求。
注释
必须是有效的Microsoft客户才能访问服务信任门户中托管的以下审核报告:
- ISO
- PCI:请参阅 DSS 和 3DS 的软件包以获取审核信息。
- SOC
- NIST 网络安全框架
- Cyber Essentials Plus