Důležité informace o suverenitě cílových zón Azure

  • Článek

Přijetí cloud computingu při plnění požadavků na digitální suverenitu je složité a může se výrazně lišit mezi organizacemi, odvětvími a geograficky oblastmi. Microsoft Cloud for Sovereignty řeší potřeby suverenity organizací státní správy kombinací síly globální platformy Azure s několika schopnostmi suverenity, které jsou navržené tak, aby pomohly zmírnit rizika suverenity.

Microsoft Cloud for Sovereignty

Microsoft Cloud for Sovereignty poskytuje možnosti napříč různými vrstvami:

  • Pokročilé služby suverénního řízení, jako je důvěrné výpočetní prostředí Azure a modul spravovaného hardwarového zabezpečení služby Azure Key Vault (spravovaný HSM)
  • Suverénní mantinely prostřednictvím kodifikované architektury, akcelerátorů úloh, lokalizovaných iniciativ Azure Policy, nástrojů a pokynů
  • Dodržování právních předpisů a transparentnost v aktivitách operátora cloudu
  • Funkce, které jsou postavené na možnostech veřejného cloudu Azure

Diagram that shows the layers of capabilities of Microsoft Cloud for Sovereignty.

Zákazníci z veřejného sektoru s potřebou suverenity, kteří chtějí začít používat Azure, můžou využívat Microsoft Cloud for Sovereignty. Nástroje a pokyny, které Microsoft Cloud pro suverenitu poskytuje, jako je například suverénní cílová zóna (Preview), můžou urychlit definici a nasazení suverénního prostředí.

Suverénní cílová zóna

Suverénní cílová zóna (Preview) je na míru přizpůsobená varianta architektury cílové zóny Azure, která je určená pro organizace, které potřebují pokročilé kontroly suverenity. Suverénní cílová zóna (Preview) zarovná funkce Azure, jako je rezidence služeb, klíče spravované zákazníkem, Azure Private Link a důvěrné výpočetní prostředí, a vytvoří cloudovou architekturu, ve které data a úlohy ve výchozím nastavení nabízejí šifrování a ochranu před hrozbami.

Poznámka:

Microsoft Cloud for Sovereignty se zaměřuje na vládní organizace s potřebami suverenity. Měli byste pečlivě zvážit, jestli potřebujete možnosti Microsoft Cloudu pro suverenitu, a teprve pak zvažte přijetí architektury suverénní cílové zóny (Preview).

Oblasti návrhu suverénní cílové zóny

Architektura cílové zóny Azure se skládá z osmi oblastí návrhu. Každá oblast návrhu popisuje faktory, které je potřeba zvážit před nasazením cílové zóny. Následující části popisují další aspekty, které platí při nasazení suverénní cílové zóny (Preview). Kromě pokynů k cílovým zónám Azure mějte na paměti také tyto nové aspekty.

Organizace prostředků

Suverénní cílová zóna je přizpůsobená verze koncepční architektury cílové zóny Azure. Suverénní cílová zóna odpovídá pokynům popsaným v architektuře cílové zóny Azure.

Skupiny pro správu pro důvěrné výpočetní operace

Jak ukazuje následující diagram, architektura suverénní cílové zóny vychází z architektury cílové zóny Azure:

  • V rámci skupiny pro správu cílových zón se přidají skupiny pro správu Důvěrné corp a Důvěrné online.
  • Použije se také sada konkrétních iniciativ zásad, například Microsoft Cloud for Sovereignty Policy Baseline. Tyto iniciativy nabízejí ovládací prvky, jako je umístění nasazení prostředků, typy nasazení prostředků a šifrování.

Diagram that shows the management groups of a sovereign landing zone.

Standardní hodnoty zásad suverenity v Microsoft Cloudu pro suverenitu

Suverénní cílová zóna (Preview) se dodává s nasazenými iniciativami standardních iniciativ zásad suverenity Od Microsoftu pro suverenitu. V důsledku toho můžete nasadit další sady zásad v rámci suverénní cílové zóny (Preview). Nad suverénní cílovou zónu (Preview) můžete vrstvit další zásady. Mezi příklady patří zásady cílové zóny Azure a sady zásad, které řeší kontrolní architektury, jako je National Institute of Standards and Technology (NIST) 800 171 Revision 2 a Microsoft Cloud Security Benchmark.

Základní hodnoty zásad suverenity Microsoft Cloudu pro suverenitu se skládají z následujících:

  • Zásady pro vynucení použití důvěrných výpočetních prostředků při nasazení úloh do důvěrných skupin pro správu Tyto zásady pomáhají vytvořit platformu, kde jsou úlohy chráněny v klidovém stavu, během přenosu a při používání, což microsoft z řetězu důvěryhodnosti odebere.
  • Zásady umístění, které se nasazují také ve výchozím nastavení, umožňují správcům cloudu kontrolu nad tím, kde je možné nasazovat prostředky Azure.
  • Správa klíčů, která je řízena standardem FIPS (Federal Information Processing Standard) 140-2 level-3 ověřeným HSM a vynuceným zásadami.

Zásady a názory, že suverénní cílová zóna (Preview) přidává nad cílovou zónu Azure, vytvoří platformu, která je ve výchozím nastavení zkreslená směrem k vyššímu zabezpečení a důvěrnosti.

Další informace o iniciativě směrného plánu zásad suverenity najdete v dokumentaci k portfoliu zásad suverenity Microsoft Cloud for Sovereignty.

Síťová topologie a možnosti připojení

Suverénní cílová zóna (Preview) se zaměřuje na provozní řízení neaktivních uložených dat, přenášených dat a jejich použití.

Šifrování síťového provozu

Osvědčené postupy pro šifrování sítě najdete v tématu Definování požadavků na šifrování sítě.

Příchozí a odchozí připojení k internetu

Podobně jako nasazení cílových zón Azure podporuje nasazení suverénní cílové zóny:

  • Parametrizované nasazení úrovně Premium služby Azure Firewall pro povolení distribuované ochrany před dostupností služby (DDoS).
  • Nasazení centrální infrastruktury služby Azure Bastion.

Než tyto funkce zapnete, projděte si osvědčené postupy pro příchozí a odchozí připojení k internetu v plánu pro příchozí a odchozí připojení k internetu.

Zabezpečení

Architektura suverénní cílové zóny využívá důvěrné výpočetní operace v důvěrných cílových zónách. Následující části popisují služby, které poskytují podporu důvěrného výpočetního prostředí Azure.

Managed HSM služby Azure Key Vault

Key Vault je nezbytná služba pro nasazení důvěrných výpočetních prostředků. Aspekty návrhu a doporučení najdete v tématu Správa šifrování a klíčů v Azure. Možná budete muset zvolit spravovaný HSM služby Azure Key Vault pro požadavky na dodržování předpisů.

Azure Attestation

Pokud používáte důvěrné výpočetní prostředí Azure, můžete využít funkci ověření identity hosta služby Azure Attestation. Tato funkce pomáhá potvrdit, že důvěrný virtuální počítač běží v důvěryhodném spouštěcím prostředí založeném na hardwaru (TEE) s funkcemi zabezpečení, jako je izolace a integrita povolená.

Další informace o povolení ověření identity hosta najdete v tématu Co je ověření hosta pro důvěrné virtuální počítače?.

Řízení

Ve většině případů pracovníci Microsoftu provádějí operace, podporu a řešení potíží a nevyžaduje se přístup k zákaznickým datům. Občas potřebuje technik Microsoftu přístup k zákaznickým datům. Tyto případy můžou narazit na lístky podpory iniciované zákazníkem nebo v případě, že Microsoft identifikuje problém.

Customer Lockbox pro Microsoft Azure

Ve výjimečných případech, kdy se vyžaduje přístup, můžete použít Customer Lockbox pro Microsoft Azure. Tato funkce poskytuje rozhraní, které můžete použít ke kontrole a následnému schválení nebo odmítnutí žádostí o přístup k datům zákazníků.

Zvažte povolení Customer Lockboxu. Abyste mohli tuto funkci zapnout, musíte mít roli Globální Správa, protože se jedná o nastavení pro celého tenanta. Další informace o tom, jak správně nastavit řízení přístupu na základě role pro Customer Lockbox, najdete v tématu Customer Lockbox pro Microsoft Azure.

Automatizace platformy a DevOps

Suverénní cílová zóna (Preview) je k dispozici jako úložiště GitHubu.

Možnosti nasazení

Můžete nasadit celou cílovou zónu nebo můžete nasadit jednu komponentu najednou. Když nasadíte jednotlivé komponenty, můžete je integrovat do stávajícího pracovního postupu nasazení. Pokyny k nasazení najdete v tématu Klíčové komponenty nasazení suverénní cílové zóny Preview.

Poznámka:

Suverénní cílová zóna (Preview) je variantou cílové zóny Azure. Ale suverénní cílová zóna zatím nenabízí všechny možnosti nasazení, které jsou k dispozici pro architekturu cílové zóny Azure. Informace o nasazení suverénní cílové zóny najdete v tématu Klíčové komponenty nasazení suverénní cílové zóny Preview.

Úložiště GitHub zahrnuje následující komponenty suverénní cílové zóny (Preview):

  • Bootstrap: Nastaví hierarchii skupin pro správu a vytvoří předplatná podle architektury suverénní cílové zóny (Preview). Tyto prvky jsou nasazené v kořenové skupině tenanta tenanta tenanta Azure.

  • Platforma: Nastaví centrální síť a prostředky protokolování používané platformou a úlohami suverénní cílové zóny (Preview).

  • Dodržování předpisů: Vytvoří a přiřadí výchozí sady zásad a vlastní zásady, které se vynucují v prostředí.

  • Řídicí panel: Poskytuje vizuální znázornění dodržování předpisů prostředků.

Řídicí panel dodržování předpisů

Řídicí panel dodržování předpisů se nasadí jako součást nasazení suverénní cílové zóny (Preview). Tento řídicí panel vám pomůže ověřit suverénní cílovou zónu (Preview) proti vašim požadavkům a místním zákonům a předpisům. Řídicí panel vám konkrétně poskytne přehled o dodržování předpisů na úrovni prostředků:

  • Základní zásady nasazené s suverénní cílovou zónou (Preview).
  • Další vlastní dodržování předpisů, které byly nasazeny.

Další informace najdete v dokumentaci k řídicímu panelu dodržování předpisů.