Naleving van regelgeving

  • Artikel
  • 3 minuten om te lezen

Een workload kan wettelijke vereisten hebben, waardoor operationele gegevens, zoals toepassingslogboeken en metrische gegevens, binnen een bepaalde geo-politieke regio kunnen blijven.

Voor deze vereisten zijn mogelijk strikte beveiligingsmaatregelen nodig die van invloed zijn op de algehele architectuur, de selectie en configuratie van specifieke PaaS- en SaaS-services. De vereisten hebben ook gevolgen voor de manier waarop de workload moet worden operationeel gemaakt.

Belangrijkste punten

  • Zorg ervoor dat alle wettelijke en governancevereisten bekend en begrijpelijk zijn.
  • Voer regelmatig externe en/of interne workloadbeveiligingscontroles uit.
  • Nalevingscontroles uitvoeren als onderdeel van de workloadbewerkingen.
  • Gebruik het Vertrouwenscentrum van Microsoft.

De vereisten controleren

Regelgevingsorganisaties publiceren regelmatig standaarden en updates om goede beveiligingsprocedures te definiëren, zodat organisaties nalatig kunnen zijn. Het doel en bereik van deze standaarden en voorschriften variëren. De beveiligingsvereisten kunnen echter van invloed zijn op het ontwerp voor gegevensbeveiliging en -retentie, netwerktoegang en systeembeveiliging.

Weten of uw cloudresources in overeenstemming zijn met standaarden die door overheden of brancheorganisaties worden verplicht, is essentieel in de huidige wereldwijde wereld.

Een workload die bijvoorbeeld creditcardtransacties verwerkt, is onderworpen aan de PCI-standaard (Payment Card Industry). Een van de vereisten verbiedt de toegang tussen internet en elk systeemonderdeel in de gegevensomgeving van de kaarthouder.

Als u een beperkende omgeving wilt bieden, kunt u ervoor kiezen om het volgende te doen:

  • Host de workload in verschillende Azure-rekenopties die ondersteuning bieden voor Bring Your Own VNet.
  • Verwijder internet-gerichte eindpunten met behulp van privé-eindpunten.
  • Gebruik regels voor netwerkbeveiligingsgroepen (NSG's) die geautoriseerde binnenkomende en uitgaande toegang definiëren.

Niet-naleving kan leiden tot boetes of andere gevolgen voor het bedrijf. Werk samen met uw regelgeving en bekijk de standaard zorgvuldig om inzicht te krijgen in zowel de intentie als de letterlijke formulering van elke vereiste. Hier vindt u enkele vragen die u kunnen helpen bij het begrijpen van elke vereiste.

  • Hoe wordt naleving gemeten?
  • Wie goed dat de workload voldoet aan de vereisten?
  • Zijn er processen voor het verkrijgen van attestations?
  • Wat zijn de documentatievereisten?

Voorgestelde actie

Gebruik Azure Defender (Azure Security Center) om uw huidige nalevingsscore te beoordelen en hiaten te identificeren.

Meer informatie

Zelfstudie: Uw regelnaleving verbeteren

Het Vertrouwenscentrum van Microsoft gebruiken

Blijf het Vertrouwenscentrum van Microsoft controleren op de meest recente informatie, nieuws en best practices op het gebied van beveiliging, privacy en naleving.

  • Gegevensbeheer. Richt u op het beveiligen van informatie in cloudservices, mobiele apparaten, werkstations of samenwerkingsplatforms. Bouw de beveiligingsstrategie door informatie te classificeren en te labelen. Gebruik krachtige technologie voor toegangsbeheer en versleuteling.

  • Nalevingsaanbiedingen. Microsoft biedt een uitgebreide set nalevingsaanbiedingen om uw organisatie te helpen voldoen aan nationale, regionale en branchespecifieke vereisten voor het verzamelen en gebruiken van gegevens. Zie Nalevingsaanbiedingen voor meer informatie.

  • Nalevingsscore. Gebruik Microsoft Compliance Score om uw besturingselementen voor gegevensbeveiliging doorlopend te beoordelen. Actie ondernemen op basis van de aanbevelingen om verder te gaan met naleving.

  • Controlerapporten. Gebruik auditrapporten om op de hoogte te blijven van de meest recente informatie met betrekking tot privacy, beveiliging en naleving voor de cloudservices van Microsoft. Zie Controlerapporten.

  • Gedeelde verantwoordelijkheid. De workload kan worden gehost op SaaS (Software as a Service), PaaS (Platform as a Service), IaaS (Infrastructure as a Service) of in een on-premises datacenter. Zorg ervoor dat u een duidelijk inzicht hebt in de gedeelten van de architectuur waar u verantwoordelijk voor bent ten opzichte van Azure. Wat het hostingmodel ook is, de volgende verantwoordelijkheden worden altijd door u bewaard:

    • Gegevens
    • Eindpunten
    • Account
    • Toegangsbeheer

    Voor meer informatie verwijzen we naar Gedeelde verantwoordelijkheid in de cloud.

Verhoogde beveiligingsmogelijkheden

Overweeg of u gebruik wilt maken van gespecialiseerde beveiligingsmogelijkheden in uw bedrijfsarchitectuur.

Toegewezen HMS's en Confidential Computing kunnen de beveiliging verbeteren en voldoen aan wettelijke vereisten, maar kunnen complexiteit introduceren die uw activiteiten en efficiëntie negatief kan beïnvloeden.

Voorgestelde acties

We raden u aan deze beveiligings maatregelen zorgvuldig en zorgvuldig te gebruiken, indien nodig:

Meer informatie over verhoogde beveiligingsmogelijkheden voor Azure-workloads.

Operationele overwegingen

Wettelijke vereisten kunnen van invloed zijn op de workloadbewerkingen. Er kan bijvoorbeeld een vereiste zijn dat operationele gegevens, zoals toepassingslogboeken en metrische gegevens, binnen een bepaalde geo-politieke regio blijven.

Overweeg automatisering van implementatie- en onderhoudstaken. Automatisering vermindert het beveiligings- en nalevingsrisico door de kans op menselijke fouten tijdens handmatige taken te beperken.

Azure onderhoudt een nalevingportfolio dat betrekking heeft op de Amerikaanse overheid, branchespecifieke standaarden en regio-/landstandaarden. Voor meer informatie verwijzen we naar Azure-nalevingsaanbiedingen.

Controleer de naleving van de workload om te controleren of de beveiligingscontroles zijn afgestemd op de wettelijke vereisten. Voor meer informatie verwijzen we naar Beveiligingscontroles.

Terug het hoofdartikel: Governance

Volgende

Azure-landingszone