Menentukan strategi kedaulatan
Artikel ini menjelaskan cara merencanakan strategi kedaulatan Saat Anda menggunakan layanan cloud. Banyak wilayah geopolitik memiliki peraturan untuk menangani jenis data tertentu, seperti data sensitif privasi dan data pemerintah. Peraturan tersebut biasanya memberlakukan persyaratan kedaulatan yang terkait dengan residensi data, kontrol atas data, dan terkadang kemandirian operasional (disebut sebagai autarky).
Ketika organisasi Anda perlu mematuhi peraturan ini, Anda harus menentukan strategi untuk memenuhi persyaratan kedaulatan. Jika organisasi Anda beralih dari layanan lokal ke layanan cloud, Anda harus menyesuaikan strategi kedaulatan yang sesuai.
Memodernisasi strategi kedaulatan Anda
Untuk pusat data lokal, Anda bertanggung jawab atas sebagian besar aspek yang biasanya terkait dengan kedaulatan, termasuk:
- Pusat data, tempat data disimpan dan diproses.
- Akses ke pusat data dan infrastruktur fisik.
- Perangkat keras dan perangkat lunak, termasuk rantai pasokan perangkat keras dan perangkat lunak.
- Proses jaminan yang memvalidasi perangkat keras dan perangkat lunak.
- Infrastruktur dan proses yang memastikan kelangsungan bisnis jika ada bencana atau peristiwa geopolitik.
- Konfigurasi dan proses yang menentukan siapa yang memiliki akses ke data dan sistem mana.
- Alat dan proses yang mengamankan data dan sistem terhadap ancaman luar dan dalam.
Saat Anda mengadopsi layanan cloud, tanggung jawab aspek-aspek ini beralih ke tanggung jawab bersama. Tim kepatuhan Anda mengubah strategi yang mereka gunakan untuk menentukan apakah persyaratan kedaulatan terpenuhi. Tim kepatuhan mempertimbangkan:
Kepatuhan layanan cloud. Bagaimana layanan penyedia cloud memenuhi persyaratan kedaulatan dan kepatuhan?
Kepatuhan sistem dan proses yang menjadi tanggung jawab organisasi Anda. Alat mana yang tersedia untuk membantu Anda memenuhi persyaratan kedaulatan dan kepatuhan, dan bagaimana Anda menggunakan alat-alat ini?
Tim kepatuhan mungkin perlu bekerja dengan regulator untuk mendapatkan izin untuk menggunakan metode alternatif yang mencapai tujuan yang sama. Dalam beberapa kasus, peraturan mungkin perlu diubah dengan menambahkan lebih banyak opsi atau menyesuaikan arahan untuk menggunakan solusi tertentu untuk mendapatkan hasil yang dimaksudkan. Mengubah regulasi bisa menjadi proses yang panjang. Namun, mungkin untuk mendapatkan pengecualian jika Anda dapat menunjukkan bahwa Anda telah mencapai niat peraturan.
Misalnya, peraturan mungkin membatasi organisasi untuk menggunakan layanan cloud tertentu karena persyaratan isolasi hanya dapat dipenuhi dengan isolasi perangkat keras yang biasanya tidak tersedia di cloud. Tetapi hasil yang dimaksudkan juga dapat diperoleh dengan isolasi virtual. Sebagai bagian dari strategi Anda, Anda perlu menentukan cara bekerja dengan regulator dan auditor ketika pemblokir potensial ini muncul.
Untuk informasi selengkapnya tentang cara memenuhi kebutuhan kepatuhan dan kedaulatan Anda, lihat Microsoft Cloud for Sovereignty.
Kepatuhan layanan cloud
Tim kepatuhan menggunakan berbagai sumber dan metode untuk memverifikasi kepatuhan layanan cloud, termasuk:
Dokumentasi vendor tentang cara kerja layanan mereka dan cara menggunakannya, misalnya dokumentasi produk Program Manajemen Risiko dan Otorisasi Federal AS (FedRAMP) dan rencana keamanan sistem.
Sertifikasi auditor independen yang mensertifikasi kepatuhan terhadap kerangka kerja kepatuhan global, regional, dan industri. Untuk informasi selengkapnya, lihat Penawaran kepatuhan untuk Microsoft 365, Azure, dan layanan Microsoft lainnya.
Laporan audit yang dibuat auditor independen untuk memberikan wawasan tentang bagaimana layanan cloud memenuhi persyaratan kerangka kerja kepatuhan global, regional, dan industri. Beberapa laporan audit tersedia di Portal Kepercayaan Layanan.
Audit yang dilakukan oleh atau atas nama tim kepatuhan melalui penawaran audit vendor, seperti Program Keamanan Pemerintah (hanya tersedia untuk pelanggan tertentu).
Log transparansi yang memberikan detail tentang kapan teknisi Microsoft mengakses sumber daya Anda.
Kombinasi sumber dan metode yang digunakan tim kepatuhan Anda tergantung pada tingkat wawasan yang Anda butuhkan, kepercayaan yang Anda miliki dalam berbagai opsi, serta sumber daya dan anggaran Anda. Sertifikasi auditor pihak ketiga menghilangkan kebutuhan tim Anda untuk melakukan audit dan biaya lebih sedikit tetapi membutuhkan kepercayaan pada auditor dan proses audit.
Kepatuhan sistem dan proses Anda
Proses dan sistem kepatuhan organisasi Anda dapat memperoleh manfaat dari kemampuan tambahan layanan cloud. Anda dapat menggunakan kemampuan ini untuk:
Menerapkan atau melaporkan kebijakan teknis. Misalnya, Anda dapat memblokir penyebaran layanan atau konfigurasi atau melaporkan pelanggaran yang tidak memenuhi persyaratan teknis untuk kedaulatan dan kepatuhan.
Gunakan definisi kebijakan bawaan yang selaras dengan kerangka kerja kepatuhan tertentu.
Mencatat dan memantau audit.
Gunakan alat keamanan. Untuk informasi selengkapnya, lihat Menentukan strategi keamanan.
Lakukan kemampuan jaminan teknis dan pemantauan, seperti komputasi rahasia Azure.
Pertimbangkan dengan cermat kemampuan ini untuk lingkungan organisasi dan beban kerja individual Anda. Untuk setiap kemampuan, pertimbangkan jumlah upaya yang diperlukan, penerapan, dan fungsi . Misalnya, penegakan kebijakan adalah metode yang relatif sederhana yang mendukung kepatuhan, tetapi dapat membatasi layanan mana yang dapat Anda gunakan dan bagaimana Anda dapat menggunakannya. Sebagai perbandingan, jaminan teknis membutuhkan upaya yang cukup besar dan lebih ketat karena hanya tersedia untuk beberapa layanan. Ini juga membutuhkan sejumlah besar pengetahuan.
Mengadopsi tanggung jawab bersama
Saat mengadopsi layanan cloud, Anda mengadopsi model tanggung jawab bersama. Tentukan tanggung jawab mana yang bergeser ke penyedia cloud dan yang tetap bersama Anda. Pahami bagaimana perubahan tersebut memengaruhi persyaratan kedaulatan untuk peraturan. Untuk informasi selengkapnya, lihat sumber daya dalam Kepatuhan layanan cloud. Untuk mendapatkan tampilan tingkat tinggi, pertimbangkan sumber daya berikut:
Keamanan infrastruktur Azure menjelaskan bagaimana Microsoft memberikan perlindungan untuk infrastruktur fisik.
Integritas dan keamanan platform Azure menjelaskan bagaimana Microsoft memberikan perlindungan terhadap ancaman terhadap platform dan proses jaminan teknis.
Residensi data di Azure menjelaskan fitur residensi data. Untuk pelanggan di Uni Eropa (UE), lihat Batas Data Microsoft UE.
Penyedia cloud sebagian memberikan kelangsungan bisnis melalui ketahanan platform dengan memastikan kelangsungan sistem penting yang mengoperasikan cloud. Layanan yang digunakan beban kerja menyediakan opsi kelangsungan yang dapat Anda gunakan untuk membangun beban kerja Anda. Atau Anda dapat menggunakan layanan lain, seperti Azure Backup atau Azure Site Recovery. Untuk informasi selengkapnya, lihat Dokumentasi keandalan Azure.
Penyedia cloud bertanggung jawab untuk mengamankan akses ke platform cloud dari ancaman internal dan eksternal. Pelanggan bertanggung jawab untuk mengonfigurasi sistem mereka untuk mengamankan data mereka melalui manajemen identitas dan akses, enkripsi, dan langkah-langkah keamanan lainnya. Untuk informasi selengkapnya, lihat Menentukan strategi keamanan.
Menggunakan klasifikasi untuk membedakan data
Berbagai jenis data dan beban kerja dapat memiliki persyaratan kedaulatan yang berbeda, tergantung pada faktor-faktor seperti kerahasiaan data dan apakah berisi data yang sensitif terhadap privasi. Penting untuk memahami klasifikasi data mana yang berlaku untuk organisasi Anda dan data dan sistem mana yang tunduk pada klasifikasi mana. Beberapa data dan aplikasi tunduk pada beberapa peraturan, yang dapat menciptakan kebutuhan akan persyaratan gabungan. Misalnya, mungkin ada peraturan yang terkait dengan kerahasiaan data dan kekritisan sistem. Klasifikasi yang dihasilkan mungkin kerahasiaan tinggi dan kekritisan rendah atau kerahasiaan sedang dan kekritisan tinggi.
Ketika Anda mematuhi persyaratan kedaulatan, itu dapat memengaruhi faktor lain, seperti biaya, ketahanan, skalabilitas, keamanan, dan kekayaan layanan. Untuk strategi kedaulatan Anda, penting untuk menerapkan kontrol yang tepat ke klasifikasi data. Pendekatan satu ukuran sesuai semua mengarah ke lingkungan yang mendukung persyaratan kepatuhan tertinggi, yang kemungkinan paling mahal dan paling tidak bermanfaat.
Langkah berikutnya
Cloud for Sovereignty memberikan wawasan tentang kemampuan berdaulat di platform Azure dan menjelaskan cara mengatasi persyaratan kedaulatan.
Keamanan dan kedaulatan tidak sama, tetapi Anda tidak dapat didaulat jika Anda tidak aman. Oleh karena itu , Anda harus menentukan strategi keamanan yang terintegrasi dengan strategi kedaulatan Anda.
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk