Portafoglio di criteri di Microsoft Cloud for Sovereignty
Azure offre una gamma di iniziative integrate in linea con vari quadri di conformità normativa e standard di settore. Queste iniziative coprono aspetti critici come la protezione dei dati, la sicurezza della rete e il controllo degli accessi. Applicando configurazioni e controlli efficaci, puoi migliorare la sovranità e la posizione di sicurezza delle risorse di Azure della tua organizzazione e proteggere i dati sensibili da accessi non autorizzati.
Microsoft Cloud for Sovereignty estende le iniziative integrate di Azure esistenti aggiungendo regolarmente ulteriori iniziative.
Iniziative di criteri integrati di Azure
Le iniziative di criteri integrati di Azure rappresentano un potente set di strumenti che consente il controllo centralizzato delle risorse di Azure e l'applicazione di configurazioni specifiche. Queste iniziative comprendono una raccolta di definizioni di criteri e supportano la conformità con vari quadri normativi, standard di settore e procedure consigliate di sicurezza.
Le iniziative offrono un approccio semplificato e automatizzato alla governance, consentendo alle organizzazioni di gestire e monitorare la conformità su larga scala. Per altre informazioni sulle iniziative di criteri, vedi Cosa sono i criteri di Azure?.
Iniziative di criteri di Microsoft Cloud for Sovereignty
Iniziative e mapping di conformità di Microsoft Cloud for Sovereignty, che espandono le iniziative integrate di Azure, aiutano ad automatizzare l'applicazione dei criteri e a promuovere un solido framework di governance che riduce il rischio di non conformità. Inoltre, le iniziative rafforzano anche le misure di protezione dei dati. Le organizzazioni possono utilizzare l'ampia suite di iniziative integrate di conformità normativa disponibili mentre continuiamo ad espandere altri quadri.
Iniziative di criteri di conformità normativa
Microsoft Cloud for Sovereignty gestisce varie iniziative di criteri di conformità normativa.
Una di queste iniziative di criteri è a sostegno dei requisiti tecnici specifici del cloud nella baseline per la sicurezza delle informazioni governative (Baseline informatiebeveiliging Overheid o BIO in olandese), il framework degli standard di base per la sicurezza delle informazioni a tutti i livelli del governo olandese (governo centrale, comuni, province e enti idrici). Per ulteriori informazioni sull'iniziativa del tema cloud BIO, vedi azure-policy/built-in-policies/policySetDefinitions.
Microsoft Cloud for Sovereignty ha recentemente pubblicato due ulteriori iniziative di criteri di conformità normativa integrate: Microsoft Cloud for Sovereignty Baseline Global Policies e Microsoft Cloud for Sovereignty Baseline Confidential Policies.
Iniziative di criteri della baseline di sovranità
Le iniziative di criteri di Microsoft Clouds for Sovereignty sono progettate principalmente per aiutare a dimostrare la conformità rispetto a uno specifico framework di controllo della sicurezza. Tuttavia, le iniziative di criteri della baseline di sovranità sono un set speciale di iniziative integrate di Criteri di Azure intese a integrare i framework con controlli di sovranità.
I controlli di sovranità aiutano a consentire un utilizzo appropriato delle offerte di Computing riservato di Azure che forniscono misure di protezione per la protezione dei dati oltre ciò che i framework di controllo di sicurezza esistenti comunemente richiedono in un modo che sia facile da adottare per le organizzazioni.
Le iniziative di criteri della baseline di Sovereignty forniscono alle organizzazioni un metodo semplice per configurare più criteri di Azure in modo da risolvere uno o più degli obiettivi di controllo della sovranità, così elencati:
- I dati dei clienti devono essere archiviati ed elaborati interamente in data center che risiedono in regioni geopolitiche approvate in base a requisiti definiti dal cliente.
- I clienti devono approvare l'accesso ai dati dei clienti da parte degli operatori cloud e di servizi gestiti.
- I dati sensibili dei clienti definiti dal cliente devono essere accessibili solo in modo crittografato agli operatori cloud e di servizi gestiti.
- Il cliente deve avere il controllo esclusivo sulla decisione di quali identità possono accedere alle chiavi utilizzate per decrittografare i dati sensibili definiti dal cliente.
Questi obiettivi di controllo rappresentano le procedure consigliate di Azure per risolvere i problemi di sovranità dei dati supportando l'utilizzo e le configurazioni appropriate all'interno di varie offerte di Azure che archiviano o elaborano i dati dei clienti. Se ritieni che siano necessari altri obiettivi di controllo da includere nella baseline, puoi creare una richiesta di funzionalità.
Le iniziative di criteri della baseline di sovranità sono preinstallate con la Sovereign Landing Zone oppure possono essere distribuite in qualsiasi tenant di Azure come Criteri di Azure integrati.
Le iniziative di criteri della baseline di sovranità non sostituiscono le iniziative di conformità normativa integrate né vengono mappate direttamente a qualche framework. Le organizzazioni devono continuare a utilizzare le iniziative esistenti per dimostrare la conformità a tutti i quadri normativi appropriati.
Per ulteriori informazioni sulla visione di Microsoft rispetto la sovranità dei dati, consulta i nostri white paper.
Iniziative di criteri personalizzate
Microsoft Cloud for Sovereignty rende accessibili diverse iniziative di criteri personalizzate e diversi mapping di conformità tramite il portafoglio di criteri di Cloud for Sovereignty su GitHub. Le iniziative di criteri di Microsoft Cloud for Sovereignty aiutano a personalizzare le implementazioni per ridurre il tempo e la complessità necessari per controllare gli ambienti e contribuire a soddisfare i framework di conformità normativa stabiliti e i requisiti governativi.
Le attuali iniziative personalizzate si concentrano su:
La Strategia cloud italiana, che contiene le linee guida strategiche per la migrazione al cloud dei dati e dei servizi digitali della Pubblica Amministrazione italiana, l'Agenzia per la Cybersecurity Nazionale (ACN) ha emanato un insieme di requisiti per la qualificazione di Servizi Cloud e Infrastrutture di Servizi Cloud. Le iniziative di criteri e i file contenuti in questo repository sono destinati a fungere da punto di partenza. Questi file non sono destinati a essere soluzioni finali o complete, ma piuttosto una risorsa utile per iniziare.
Un'iniziativa di criteri di Azure personalizzati e un mapping dei controlli che aiutano i clienti a soddisfare le linee guida definite dal framework di controllo della cybersecurity Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM) v4 per il cloud computing.
Per sostenere la distribuzione di iniziative di criteri personalizzate, consulta lo script New-PolicySets.ps1 su GitHub. Inoltre, puoi utilizzare le funzionalità di Microsoft Defender per il cloud per iniziative personalizzate.
Importante
Le organizzazioni sono totalmente responsabili nel garantire la propria conformità a tutte le leggi e i regolamenti applicabili. Le informazioni fornite in questo documento non costituiscono consulenza legale e le organizzazioni devono consultare i propri consulenti legali per qualsiasi domanda relativa alla conformità normativa.