Condividi tramite

Considerazioni sulla sovranità per le zone di destinazione di Azure

  • Articolo

L'adozione del cloud computing rispettando i requisiti di sovranità digitale è complessa e può differire notevolmente tra organizzazioni, settori e aree geografiche. Microsoft Cloud for Sovereignty soddisfa le esigenze di sovranità delle organizzazioni governative combinando la potenza della piattaforma Azure globale con diverse funzionalità di sovranità progettate per ridurre i rischi di sovranità.

Documenti di Microsoft Cloud for Sovereignty

Microsoft Cloud for Sovranità offre funzionalità in vari livelli:

  • Servizi di controllo sovrani avanzati, ad esempio confidential computing di Azure e modulo di sicurezza hardware gestito di Azure Key Vault (HSM gestito)
  • Protezioni sovrane tramite architettura codificata, acceleratori di carico di lavoro, iniziative di Criteri di Azure localizzate, strumenti e linee guida
  • Conformità alle normative e trasparenza nelle attività dell'operatore cloud
  • Funzionalità basate sulle funzionalità del cloud pubblico di Azure

Diagram that shows the layers of capabilities of Microsoft Cloud for Sovereignty.

I clienti del settore pubblico con esigenze di sovranità che vogliono iniziare a usare Azure possono trarre vantaggio da Microsoft Cloud for Sovranità. Gli strumenti e le linee guida forniti da Microsoft Cloud for Sovranità, ad esempio la zona di destinazione sovrana (anteprima), possono accelerare la definizione e la distribuzione di un ambiente sovrano.

Zona di destinazione sovrana

La zona di destinazione sovrana (anteprima) è una variante personalizzata dell'architettura della zona di destinazione di Azure destinata alle organizzazioni che necessitano di controlli avanzati di sovranità. La zona di destinazione sovrana (anteprima) allinea le funzionalità di Azure, ad esempio residenza dei servizi, chiavi gestite dal cliente, collegamento privato di Azure e confidential computing per creare un'architettura cloud in cui i dati e i carichi di lavoro offrono crittografia e protezione dalle minacce per impostazione predefinita.

Nota

Microsoft Cloud for Sovranità è orientato alle organizzazioni governative con esigenze di sovranità. È consigliabile valutare attentamente se sono necessarie le funzionalità di Microsoft Cloud for Sovranità e prendere in considerazione solo l'adozione dell'architettura della zona di destinazione sovrana (anteprima).

Aree di progettazione della zona di destinazione sovrana

L'architettura della zona di destinazione di Azure è costituita da otto aree di progettazione. Ogni area di progettazione descrive i fattori da considerare prima di distribuire una zona di destinazione. Le sezioni seguenti descrivono considerazioni aggiuntive che si applicano quando si distribuisce la zona di destinazione sovrana (anteprima). Oltre alle linee guida per la zona di destinazione di Azure, tenere presenti anche queste nuove considerazioni.

Organizzazione delle risorse

La zona di destinazione sovrana è una versione personalizzata dell'architettura concettuale della zona di destinazione di Azure. La zona di destinazione sovrana è allineata alle linee guida descritte in Personalizzare l'architettura della zona di destinazione di Azure.

Gruppi di gestione per il confidential computing

Come illustrato nel diagramma seguente, l'architettura della zona di destinazione sovrana si basa sull'architettura della zona di destinazione di Azure:

  • Nel gruppo di gestione Zone di destinazione vengono aggiunti i gruppi di gestione Confidential corp e Confidential online.
  • Vengono applicati anche un set di iniziative di criteri specifiche, ad esempio Microsoft Cloud for Sovranità. Queste iniziative offrono controlli come il percorso di distribuzione delle risorse, i tipi di distribuzione delle risorse e la crittografia.

Diagram that shows the management groups of a sovereign landing zone.

Baseline dei criteri di Microsoft Cloud for Sovranità

La zona di destinazione sovrana (anteprima) include le iniziative di base dei criteri di Microsoft Cloud for Sovranità distribuite. Di conseguenza, è possibile distribuire altri set di criteri all'interno della zona di destinazione sovrana (anteprima). È possibile eseguire il layer di criteri aggiuntivi sopra la zona di destinazione sovrana (anteprima). Gli esempi includono criteri e set di criteri della zona di destinazione di Azure che indirizzano framework di controllo, ad esempio National Institute of Standards and Technology (NIST) 800 171 Revisione 2 e Microsoft Cloud Security Benchmark.

La baseline dei criteri di Microsoft Cloud for Sovranità è costituita da:

  • Criteri per applicare l'uso delle risorse di confidential computing quando i carichi di lavoro vengono distribuiti nei gruppi di gestione riservati. Questi criteri consentono di creare una piattaforma in cui i carichi di lavoro sono protetti inattivi, in transito e durante l'uso, che rimuove Microsoft dalla catena di attendibilità.
  • Criteri di posizione, che vengono distribuiti anche per impostazione predefinita per fornire il controllo dell'amministratore cloud sulla posizione in cui è possibile distribuire le risorse di Azure.
  • Gestione delle chiavi, controllata da un modulo di protezione hardware convalidato di livello 140-2(FIPS) federali e applicato dai criteri.

I criteri e le opinioni che la zona di destinazione sovrana (anteprima) aggiunge sopra la zona di destinazione di Azure creano una piattaforma che è pregiudiziata verso una maggiore sicurezza e riservatezza per impostazione predefinita.

Per altre informazioni sull'iniziativa di base dei criteri di sovranità, vedere la documentazione del portfolio di criteri di Microsoft Cloud for Sovranità.

Topologia di rete e connettività

La zona di destinazione sovrana (anteprima) è incentrata sul controllo operativo dei dati inattivi, in transito e in uso.

Crittografia del traffico di rete

Per le procedure consigliate per la crittografia di rete, vedere Definire i requisiti di crittografia di rete.

Connettività Internet in ingresso e in uscita

Analogamente alle distribuzioni della zona di destinazione di Azure, la distribuzione della zona di destinazione sovrana supporta:

  • Distribuzione con parametri del livello Premium di Firewall di Azure, per abilitare la protezione DDoS (Distributed Denial of Service).
  • Distribuzione di un'infrastruttura di Azure Bastion centrale.

Prima di attivare queste funzionalità, consultare le procedure consigliate per la connettività Internet in ingresso e in uscita in Pianificare la connettività Internet in ingresso e in uscita.

Sicurezza

L'architettura della zona di destinazione sovrana usa il confidential computing nelle zone di destinazione riservate. Le sezioni seguenti descrivono i servizi che forniscono supporto per il confidential computing di Azure.

Modulo di protezione hardware gestito di Azure Key Vault

Key Vault è un servizio necessario per la distribuzione di risorse di confidential computing. Per considerazioni sulla progettazione e consigli, vedere Crittografia e gestione delle chiavi in Azure. Potrebbe essere necessario scegliere il modulo di protezione hardware gestito di Azure Key Vault per i requisiti di conformità.

Attestazione di Azure

Se si usa il confidential computing di Azure, è possibile sfruttare la funzionalità di attestazione guest di attestazione di Azure. Questa funzionalità consente di verificare che una macchina virtuale riservata venga eseguita in un ambiente di esecuzione attendibile basato su hardware (T edizione Enterprise) con funzionalità di sicurezza come l'isolamento e l'integrità abilitate.

Per altre informazioni sull'abilitazione dell'attestazione guest, vedere Che cos'è l'attestazione guest per le macchine virtuali riservate?.

Governance

Nella maggior parte dei casi, il personale Microsoft esegue operazioni, supporto e risoluzione dei problemi e non è necessario accedere ai dati dei clienti. In alcuni casi, un tecnico Microsoft deve accedere ai dati dei clienti. Questi casi possono verificarsi in risposta ai ticket di supporto avviati dal cliente o quando Microsoft identifica un problema.

Customer Lockbox per Microsoft Azure

Nelle rare circostanze in cui è richiesto l'accesso, è possibile usare Customer Lockbox per Microsoft Azure. Questa funzionalità fornisce un'interfaccia che è possibile usare per esaminare e quindi approvare o rifiutare le richieste di accesso ai dati dei clienti.

Valutare la possibilità di abilitare Customer Lockbox. È necessario avere un ruolo di Amministrazione globale per attivare questa funzionalità, perché si tratta di un'impostazione a livello di tenant. Per altre informazioni su come configurare correttamente il controllo degli accessi in base al ruolo per Customer Lockbox, vedere Customer Lockbox per Microsoft Azure.

Automazione della piattaforma e DevOps

La zona di destinazione sovrana (anteprima) è disponibile come repository GitHub.

Opzioni di distribuzione

È possibile distribuire l'intera zona di destinazione oppure distribuire un componente alla volta. Quando si distribuiscono singoli componenti, è possibile integrarli nel flusso di lavoro di distribuzione esistente. Per indicazioni sulla distribuzione, vedere Componenti chiave della distribuzione dell'anteprima della zona di destinazione sovrana.

Nota

La zona di destinazione sovrana (anteprima) è una variante della zona di destinazione di Azure. Tuttavia, la zona di destinazione sovrana non offre ancora tutte le opzioni di distribuzione disponibili per l'architettura della zona di destinazione di Azure. Per informazioni sulla distribuzione di una zona di destinazione sovrana, vedere Componenti chiave della distribuzione dell'anteprima della zona di destinazione sovrana.

Il repository GitHub include i componenti seguenti della zona di destinazione sovrana (anteprima):

  • Bootstrap: configura la gerarchia dei gruppi di gestione e crea le sottoscrizioni in base all'architettura della zona di destinazione sovrana (anteprima). Questi elementi vengono distribuiti nel gruppo radice tenant del tenant del cliente di Azure.

  • Piattaforma: configura la rete hub e le risorse di registrazione usate dalla piattaforma e dai carichi di lavoro della zona di destinazione sovrana (anteprima).

  • Conformità: crea e assegna i set di criteri predefiniti e i criteri personalizzati applicati nell'ambiente.

  • Dashboard: offre una rappresentazione visiva della conformità delle risorse.

Dashboard conformità

Un dashboard di conformità viene distribuito come parte della distribuzione della zona di destinazione sovrana (anteprima). Questo dashboard consente di convalidare la zona di destinazione sovrana (anteprima) in base ai requisiti e alle leggi e alle normative locali. In particolare, il dashboard offre informazioni dettagliate sulla conformità a livello di risorsa rispetto a:

  • Criteri di base distribuiti con la zona di destinazione sovrana (anteprima).
  • Altra conformità personalizzata distribuita.

Per altre informazioni, vedere la documentazione del dashboard di conformità.