Consideraciones de soberanía para zonas de aterrizaje de Azure

La adopción de la informática en la nube mientras cumple los requisitos de soberanía digital es compleja y puede diferir considerablemente entre organizaciones, sectores y zonas geográficas. Microsoft Cloud for Sovereignty aborda las necesidades de soberanía de las organizaciones gubernamentales mediante la combinación del poder de la plataforma global de Azure con varias funcionalidades de soberanía diseñadas para ayudar a mitigar los riesgos de soberanía.

Microsoft Cloud for Sovereignty

Microsoft Cloud for Sovereignty proporciona funcionalidades en varias capas:

• Servicios de control soberano avanzados, como la computación confidencial de Azure y el módulo de seguridad de hardware administrado de Azure Key Vault (HSM administrado)
• Límites de protección soberanos mediante arquitectura codificada, aceleradores de cargas de trabajo, iniciativas localizadas de Azure Policy, herramientas e instrucciones
• Cumplimiento normativo y transparencia en las actividades del operador en la nube
• Funcionalidad basada en las capacidades de la nube pública de Azure

Los clientes del sector público con necesidades de soberanía que quieran empezar a usar Azure pueden beneficiarse de Microsoft Cloud for Sovereignty. Las herramientas y directrices que proporciona Microsoft Cloud for Sovereignty, como Sovereign landing zone (versión preliminar), pueden acelerar la definición y la implementación de un entorno soberano.

Sovereign landing zone

Sovereign landing zone (versión preliminar) es una variante adaptada con opinión de la arquitectura de la zona de aterrizaje de Azure diseñada para organizaciones que necesitan controles avanzados de soberanía. Sovereign landing zone (versión preliminar) alinea las funcionalidades de Azure, como la residencia del servicio, las claves administradas por el cliente, Azure Private Link y la computación confidencial para crear una arquitectura en la nube en la que los datos y las cargas de trabajo ofrecen, de forma predeterminada, cifrado y protección frente a amenazas.

Nota:

Microsoft Cloud for Sovereignty está orientado a las organizaciones gubernamentales con necesidades de soberanía. Debe tener en cuenta detenidamente si necesita las funcionalidades de Microsoft Cloud for Sovereignty, a continuación, considere la posibilidad de adoptar la arquitectura de Sovereign landing zone (versión preliminar).

Áreas de diseño de Sovereign landing zone

La arquitectura de la zona de aterrizaje de Azure consta de ocho áreas de diseño. Cada área de diseño describe los factores que se deben tener en cuenta antes de implementar una zona de aterrizaje. En las secciones siguientes se describen consideraciones adicionales que se aplican al implementar Sovereign landing zone (versión preliminar). Además de la guía de zona de aterrizaje de Azure, tenga en cuenta estas nuevas consideraciones.

Organización de recursos

Sovereign landing zone es una versión adaptada de la arquitectura conceptual de la zona de aterrizaje de Azure. Sovereign landing zone se alinea con las instrucciones que se describen en Personalización de la arquitectura de la zona de aterrizaje de Azure.

Grupos de administración para la computación confidencial

Como se muestra en el diagrama siguiente, la arquitectura de Sovereign landing zone se basa en la arquitectura de la zona de aterrizaje de Azure:

• En el grupo de administración de zonas de aterrizaje, se agregan los grupos de administración confidencial corporativa y confidencial en línea.
• También se aplica un conjunto de iniciativas de directiva específicas, por ejemplo, Línea de base de la directiva de Microsoft Cloud for Sovereignty. Estas iniciativas ofrecen controles como la ubicación de implementación de recursos, los tipos de implementación de recursos y el cifrado.

Línea de base de la directiva de Microsoft Cloud for Sovereignty

Sovereign landing zone (versión preliminar) incluye las iniciativas de línea de base de la directiva de Microsoft Cloud for Sovereignty implementadas. Como resultado, puede implementar otros conjuntos de directivas dentro de Sovereign landing zone (versión preliminar). Puede superponer directivas adicionales sobre Sovereign landing zone (versión preliminar). Algunos ejemplos son las directivas y conjuntos de directivas de la zona de aterrizaje de Azure que abordan marcos de control, como el Instituto Nacional de Estándares y Tecnología (NIST) 800 171 Revisión 2 y Microsoft Cloud Security Benchmark.

La línea de base de la directiva de Microsoft Cloud for Sovereignty consta de:

• Directivas para aplicar el uso de recursos informáticos confidenciales cuando las cargas de trabajo se implementan en los grupos de administración confidenciales. Estas directivas ayudan a crear una plataforma en la que las cargas de trabajo están protegidas en reposo, en tránsito y mientras están en uso, lo que quita Microsoft de la cadena de confianza.
• Directivas de ubicación, que también se implementan de forma predeterminada para proporcionar control de administración en la nube sobre dónde se pueden implementar los recursos de Azure.
• Administración de claves, que está controlada por un HSM validado por el Estándar federal de procesamiento de información (FIPS) 140-2 de nivel 3 y se aplica mediante políticas.

Las directivas y opiniones que agrega Sovereign landing zone (versión preliminar) sobre la zona de aterrizaje de Azure crean, de forma predeterminada, una plataforma sesgada hacia una mayor seguridad y confidencialidad.

Para más información sobre la iniciativa de línea de base de la directiva de soberanía, revise la documentación de la cartera de directivas de Microsoft Cloud for Sovereignty.

Topología de red y conectividad

Sovereign landing zone (versión preliminar) se centra en el control operativo de los datos en reposo, en tránsito y en uso.

Cifrado de tráfico

Para conocer los procedimientos recomendados para el cifrado de red, consulte Definición de los requisitos de cifrado de red.

Conectividad de Internet entrante y saliente

De forma similar a las implementaciones de la zona de aterrizaje de Azure, la implementación de Sovereign landing zone admite:

• Una implementación con parámetros del nivel prémium de Azure Firewall. para habilitar la protección contra denegación de servicio distribuido (DDoS).
• La implementación de una infraestructura central de Azure Bastion.

Antes de activar estas características, consulte los procedimientos recomendados para la conectividad de Internet entrante y saliente en Planeamiento de la conectividad de Internet entrante y saliente.

Seguridad

La arquitectura de Sovereign landing zone usa la computación confidencial en las zonas de aterrizaje confidenciales. En las secciones siguientes se describen los servicios que proporcionan compatibilidad con la computación confidencial de Azure.

HSM administrado por Azure Key Vault

Key Vault es un servicio necesario para implementar recursos informáticos confidenciales. Para conocer las consideraciones y recomendaciones de diseño, consulte Definición del cifrado y administración de claves en Azure. Es posible que tenga que elegir HSM administrado de Azure Key Vault para conocer los requisitos de cumplimiento.

Azure Attestation

Si usa la informática confidencial de Azure, puede aprovechar la característica de atestación de invitado de Azure Attestation. La característica le ayuda a confirmar que una máquina virtual confidencial se ejecuta en un entorno de ejecución de confianza (TEE) basado en hardware con características de seguridad que están habilitadas para aislamiento e integridad.

Para más información sobre cómo habilitar la atestación de invitado, consulte ¿Qué es la atestación de invitado para máquinas virtuales confidenciales?.

Gobernanza

En la mayoría de los casos, el personal de Microsoft lleva a cabo las operaciones, el soporte técnico y la solución de problemas y no se requiere acceso a los datos del cliente. En ocasiones, un ingeniero de Microsoft necesita acceder a los datos de los clientes. Estos casos pueden aparecer en respuesta a incidencias de soporte técnico iniciadas por el cliente o cuando Microsoft identifica un problema.

Caja de seguridad del cliente de Microsoft Azure

En las raras circunstancias en las que se requiere acceso, puede usar la Caja de seguridad del cliente para Microsoft Azure. Esta característica proporciona una interfaz para que pueda revisar y aprobar o rechazar las solicitudes de acceso a datos de los clientes.

Considere la posibilidad de habilitar la Caja de seguridad del cliente. Debe tener un rol de administrador global para activar esta característica, ya que es una configuración de todo el inquilino. Para más información sobre cómo configurar correctamente el control de acceso basado en roles para Caja de seguridad del cliente, consulte Caja de seguridad del cliente para Microsoft Azure.

Automatización de la plataforma y DevOps

Sovereign landing zone (versión preliminar) está disponible como repositorio de GitHub.

Opciones de implementación

Puede implementar toda la zona de aterrizaje o bien un componente a la vez. Al implementar componentes individuales, puede integrarlos en el flujo de trabajo de implementación existente. Para obtener instrucciones de implementación, consulte Componentes clave de la implementación de la versión preliminar de Sovereign landing zone.

Nota:

Sovereign landing zone (versión preliminar) es una variante de la zona de aterrizaje de Azure. Pero Sovereign landing zone aún no ofrece todas las opciones de implementación disponibles para la arquitectura de la zona de aterrizaje de Azure. Para obtener información sobre cómo implementar una instancia de Sovereign landing zone, consulte Componentes clave de la implementación de la versión preliminar de Sovereign landing zone.

El repositorio de GitHub incluye los siguientes componentes de Sovereign landing zone (versión preliminar):

• Arranque: configura la jerarquía del grupo de administración y crea las suscripciones según lo dicta la arquitectura de Sovereign landing zone (versión preliminar). Estos elementos se implementan en el grupo raíz del inquilino de cliente de Azure.

• Plataforma: configura la red del concentrador y los recursos de registro que usa la plataforma y las cargas de trabajo de Sovereign landing zone (versión preliminar).

• Cumplimiento: crea y asigna los conjuntos de directivas predeterminados y las directivas personalizadas que se aplican en el entorno.

• Panel: proporciona una representación visual del cumplimiento de los recursos.

Panel de cumplimiento

Se instala un panel de cumplimiento como parte de la implementación de Sovereign landing zone (versión preliminar). Este panel le ayuda a validar a Sovereign landing zone (versión preliminar) con los requisitos y las leyes y regulaciones locales. En concreto, el panel proporciona información sobre el cumplimiento de nivel de recurso con:

• Las directivas de línea de base que se implementan con Sovereign landing zone (versión preliminar).
• Otro cumplimiento personalizado que se ha implementado.

Para más información, consulte la documentación del panel de cumplimiento.