Pertimbangan kedaulatan untuk zona pendaratan Azure

  • Artikel

Mengadopsi komputasi cloud sekaligus memenuhi persyaratan kedaulatan digital sangat kompleks dan dapat sangat berbeda antara organisasi, industri, dan geografi. Microsoft Cloud for Sovereignty mengatasi kebutuhan kedaulatan organisasi pemerintah dengan menggabungkan kekuatan platform Azure global dengan beberapa kemampuan kedaulatan yang dirancang untuk membantu mengurangi risiko kedaulatan.

Microsoft Cloud untuk Kedaulatan

Microsoft Cloud for Sovereignty menyediakan kemampuan di berbagai lapisan:

  • Layanan kontrol berdaulat tingkat lanjut seperti komputasi rahasia Azure dan Modul Keamanan Perangkat Keras Terkelola Azure Key Vault (HSM Terkelola)
  • Pagar pembatas berdaulat melalui arsitektur terkodifikasi, akselerator beban kerja, inisiatif Azure Policy yang dilokalkan, alat, dan panduan
  • Kepatuhan dan transparansi peraturan ke dalam aktivitas operator cloud
  • Fungsionalitas yang dibangun di atas kemampuan cloud publik Azure

Diagram that shows the layers of capabilities of Microsoft Cloud for Sovereignty.

Pelanggan sektor publik dengan kebutuhan kedaulatan yang ingin mulai menggunakan Azure dapat memperoleh manfaat dari Microsoft Cloud untuk Kedaulatan. Alat dan panduan yang disediakan Microsoft Cloud for Sovereignty, seperti zona pendaratan berdaulat (pratinjau), dapat mempercepat definisi dan penyebaran lingkungan berdaulat.

Zona pendaratan berdaulat

Zona pendaratan berdaulat (pratinjau) adalah varian yang disesuaikan berdasarkan pendapat dari arsitektur zona pendaratan Azure yang ditujukan untuk organisasi yang membutuhkan kontrol kedaulatan tingkat lanjut. Zona pendaratan berdaulat (pratinjau) menyelaraskan kemampuan Azure seperti residensi layanan, kunci yang dikelola pelanggan, Azure Private Link, dan komputasi rahasia untuk membuat arsitektur cloud di mana data dan beban kerja menawarkan enkripsi dan perlindungan dari ancaman secara default.

Catatan

Microsoft Cloud for Sovereignty berorientasi pada organisasi pemerintah dengan kebutuhan kedaulatan. Anda harus mempertimbangkan dengan cermat apakah Anda memerlukan kemampuan Microsoft Cloud for Sovereignty, dan hanya kemudian mempertimbangkan untuk mengadopsi arsitektur zona pendaratan berdaulat (pratinjau).

Area desain zona pendaratan berdaulat

Arsitektur zona pendaratan Azure terdiri dari delapan area desain. Setiap area desain menjelaskan faktor-faktor yang perlu dipertimbangkan sebelum Anda menyebarkan zona pendaratan. Bagian berikut menjelaskan pertimbangan tambahan yang berlaku saat Anda menyebarkan zona pendaratan berdaulat (pratinjau). Selain panduan zona pendaratan Azure, ingat juga pertimbangan baru ini.

Organisasi sumber daya

Zona pendaratan berdaulat adalah versi yang disesuaikan dari arsitektur konseptual zona pendaratan Azure. Zona pendaratan berdaulat selaras dengan panduan yang diuraikan dalam Menyesuaikan arsitektur zona pendaratan Azure.

Grup manajemen untuk komputasi rahasia

Seperti yang ditunjukkan oleh diagram berikut, arsitektur zona pendaratan berdaulat dibangun pada arsitektur zona pendaratan Azure:

  • Di bawah grup manajemen Zona pendaratan, grup manajemen online Confidential corp dan Confidential ditambahkan.
  • Serangkaian inisiatif kebijakan tertentu, misalnya, garis besar kebijakan Microsoft Cloud for Sovereignty, juga diterapkan. Inisiatif ini menawarkan kontrol seperti lokasi penyebaran sumber daya, jenis penyebaran sumber daya, dan enkripsi.

Diagram that shows the management groups of a sovereign landing zone.

Garis besar kebijakan Microsoft Cloud for Sovereignty

Zona pendaratan berdaulat (pratinjau) dilengkapi dengan inisiatif garis besar kebijakan Microsoft Cloud for Sovereignty yang disebarkan. Akibatnya, Anda dapat menyebarkan kumpulan kebijakan lain dalam zona pendaratan berdaulat (pratinjau). Anda dapat melapisi kebijakan tambahan di atas zona pendaratan berdaulat (pratinjau). Contohnya termasuk kebijakan zona pendaratan Azure dan kumpulan kebijakan yang menangani kerangka kerja kontrol seperti National Institute of Standards and Technology (NIST) 800 171 Revisi 2 dan Microsoft Cloud Security Benchmark.

Garis besar kebijakan Microsoft Cloud for Sovereignty terdiri dari:

  • Kebijakan untuk memberlakukan penggunaan sumber daya komputasi rahasia saat beban kerja disebarkan ke dalam grup manajemen rahasia. Kebijakan ini membantu membuat platform tempat beban kerja dilindungi saat tidak aktif, saat transit, dan saat digunakan, yang menghapus Microsoft dari rantai kepercayaan.
  • Kebijakan lokasi, yang juga disebarkan secara default untuk memberikan kontrol admin cloud atas tempat sumber daya Azure dapat disebarkan.
  • Manajemen kunci, yang dikendalikan oleh Federal Information Processing Standard (FIPS) 140-2 level-3 memvalidasi HSM dan diberlakukan oleh kebijakan.

Kebijakan dan pendapat yang ditambahkan zona pendaratan berdaulat (pratinjau) di atas zona pendaratan Azure membuat platform yang bias terhadap peningkatan keamanan dan kerahasiaan secara default.

Untuk informasi selengkapnya tentang inisiatif garis besar kebijakan kedaulatan, tinjau dokumentasi portofolio kebijakan Microsoft Cloud for Sovereignty.

Topologi dan konektivitas jaringan

Zona pendaratan berdaulat (pratinjau) berfokus pada kontrol operasional data tidak aktif, saat transit, dan sedang digunakan.

Periksa enkripsi lalu lintas

Untuk praktik terbaik untuk enkripsi jaringan, lihat Menentukan persyaratan enkripsi jaringan.

Konektivitas masuk dan keluar Internet

Mirip dengan penyebaran zona pendaratan Azure, penyebaran zona pendaratan berdaulat mendukung:

  • Penyebaran parameter tingkat premium Azure Firewall, untuk mengaktifkan perlindungan penolakan layanan terdistribusi (DDoS).
  • Penyebaran infrastruktur Azure Bastion pusat.

Sebelum Anda mengaktifkan fitur-fitur ini, lihat praktik terbaik untuk konektivitas masuk dan keluar internet di Rencanakan untuk konektivitas internet masuk dan keluar.

Keamanan

Arsitektur zona pendaratan berdaulat memanfaatkan komputasi rahasia di zona pendaratan rahasia. Bagian berikut menjelaskan layanan yang menyediakan dukungan untuk komputasi rahasia Azure.

HSM Terkelola Azure Key Vault

Key Vault adalah layanan yang diperlukan untuk menyebarkan sumber daya komputasi rahasia. Untuk pertimbangan dan rekomendasi desain, lihat Enkripsi dan manajemen kunci di Azure. Anda mungkin perlu memilih Azure Key Vault Managed HSM untuk persyaratan kompulasi.

Azure Attestation

Jika Anda menggunakan komputasi rahasia Azure, Anda dapat memanfaatkan fitur pengesahan tamu Azure Attestation. Fitur ini membantu mengonfirmasi bahwa VM rahasia berjalan pada lingkungan eksekusi tepercaya (TEE) berbasis perangkat keras dengan fitur keamanan seperti isolasi dan integritas diaktifkan.

Untuk informasi selengkapnya tentang mengaktifkan pengesahan tamu, lihat Apa itu pengesahan tamu untuk VM rahasia?.

Pemerintahan

Dalam kebanyakan kasus, personel Microsoft melakukan operasi, dukungan, dan pemecahan masalah, dan tidak diperlukan akses ke data pelanggan. Terkadang, teknisi Microsoft perlu mengakses data pelanggan. Kasus-kasus ini dapat muncul sebagai respons terhadap tiket dukungan yang dimulai pelanggan atau ketika Microsoft mengidentifikasi masalah.

Customer Lockbox untuk Microsoft Azure

Dalam keadaan yang jarang terjadi ketika akses diperlukan, Anda dapat menggunakan Customer Lockbox untuk Microsoft Azure. Fitur ini menyediakan antarmuka yang dapat Anda gunakan untuk meninjau lalu menyetujui atau menolak permintaan akses data pelanggan.

Pertimbangkan untuk mengaktifkan Customer Lockbox. Anda harus memiliki peran Admin Global untuk mengaktifkan fitur ini, karena ini adalah pengaturan di seluruh penyewa. Untuk informasi selengkapnya tentang cara menyiapkan kontrol akses berbasis peran dengan benar untuk Customer Lockbox, lihat Customer Lockbox untuk Microsoft Azure.

Automasi platform dan DevOps

Zona pendaratan berdaulat (pratinjau) tersedia sebagai repositori GitHub.

Opsi penyebaran

Anda dapat menyebarkan seluruh zona pendaratan, atau Anda dapat menyebarkan satu komponen pada satu waktu. Saat menyebarkan komponen individual, Anda dapat mengintegrasikannya ke dalam alur kerja penyebaran yang ada. Untuk panduan penyebaran, lihat Komponen utama penyebaran pratinjau zona pendaratan berdaulat.

Catatan

Zona pendaratan berdaulat (pratinjau) adalah varian zona pendaratan Azure. Tetapi zona pendaratan berdaulat belum menawarkan semua pilihan penyebaran yang tersedia untuk arsitektur zona pendaratan Azure. Untuk informasi tentang menyebarkan zona pendaratan berdaulat, lihat Komponen utama penyebaran pratinjau zona pendaratan berdaulat.

Repositori GitHub mencakup komponen zona pendaratan berdaulat (pratinjau) berikut:

  • Bootstrap: Menyiapkan hierarki grup manajemen dan membuat langganan sebagaimana ditentukan oleh arsitektur zona pendaratan berdaulat (pratinjau). Elemen-elemen ini disebarkan di bawah grup akar penyewa penyewa penyewa pelanggan Azure.

  • Platform: Menyiapkan jaringan hub dan sumber daya pengelogan yang digunakan oleh platform dan beban kerja zona pendaratan berdaulat (pratinjau).

  • Kepatuhan: Membuat dan menetapkan kumpulan kebijakan default dan kebijakan kustom yang diberlakukan di lingkungan.

  • Dasbor: Memberi Anda representasi visual kepatuhan sumber daya Anda.

Dasbor kepatuhan

Dasbor kepatuhan disebarkan sebagai bagian dari penyebaran zona pendaratan berdaulat (pratinjau). Dasbor ini membantu Anda memvalidasi zona pendaratan berdaulat (pratinjau) terhadap persyaratan dan hukum dan peraturan setempat Anda. Secara khusus, dasbor memberi Anda wawasan tentang kepatuhan tingkat sumber daya terhadap:

  • Kebijakan garis besar yang disebarkan dengan zona pendaratan berdaulat (pratinjau).
  • Kepatuhan kustom lainnya yang telah disebarkan.

Untuk informasi selengkapnya, lihat dokumentasi dasbor Kepatuhan.