Planejar, implementar e monitorar o Microsoft Cloud for Sovereignty

O Microsoft Cloud for Sovereignty fornece ferramentas e orientação para profissionais de TI e responsáveis pela segurança da informação durante todo o ciclo de vida da implementação da nuvem. O restante deste artigo apresenta recursos no contexto de três estágios de um ciclo de vida de implementação e faz referência a artigos detalhados sobre cada um dos artigos.

1. Planejar: planeja sua migração para a nuvem.
2. Implementar: implementa uma arquitetura soberana e compatível.
3. Monitorar e auditar: monitora e audita seus dados e cargas de trabalho para mantê-los seguros.

Plano

As organizações do Setor Público que têm requisitos rigorosos de soberania devem incorporar os seus objetivos de soberania nos seus esforços de planejamento. Este processo garante que as decisões estratégicas sobre a adoção da nuvem estejam alinhadas com esses requisitos de soberania.

Requisitos de soberania

O Microsoft Cloud Adoption Framework para o Azure é uma estrutura de ciclo de vida completo que permite que os arquitetos de nuvem, profissionais de TI e tomadores de decisão de negócios atinjam suas metas de adoção de nuvem. A estrutura fornece melhores práticas, documentação e ferramentas que ajudam a criar e implementar estratégias de negócios e tecnologia para a nuvem.

Você pode ler Avaliar os requisitos soberanos para entender como avaliar, identificar e documentar os seus requisitos de soberania, e fornece recomendações sobre onde estes requisitos podem caber nos seus esforços de planejamento mais amplos funcionários ao Cloud Adoption Framework para o Azure.

Disponibilidade geográfica do Cloud for Sovereignty

Uma parte fundamental do planejamento é compreender e avaliar a disponibilidade regional de serviços relacionados com a soberania. O artigo Disponibilidade internacional do Microsoft Cloud for Sovereignty fornece uma visão geral.

Opções de residência de dados e Limite de Dados da UE

A residência de dados é um requisito regulamentar comum para dados do setor público. Os requisitos de residência de dados podem limitar onde diferentes tipos de dados podem ser armazenados e processados. Alguns regulamentos também podem impor restrições sobre onde os dados podem ser transferidos. O Microsoft Cloud for Sovereignty permite configurar Zonas de Destino Soberanas (SLZs) para restringir os serviços e regiões que podem ser usados e impor a configuração do serviço para atender aos requisitos de residência de dados. Para obter mais informações, consulte Residência de dados.

Além disso, o Limite de Dados da UE é um limite geograficamente definido dentro do qual a Microsoft se comprometeu a armazenar e processar dados de clientes para os principais serviços online de empresas comerciais incluindo Azure, Dynamics 365, Power Platform e Microsoft 365. O Limite de Dados da UE oferece compromissos de residência de dados além do que o Microsoft Cloud for Sovereignty gerencia, especialmente em torno da residência de dados para serviços não-regionais do Azure. Para obter mais informações, consulte Limite de Dados da UE.

Linha de base e portfólio de políticas do Cloud for Sovereignty

O portfólio de políticas soberanas inclui as inciativas da política de Linha de Base de Soberania e as iniciativas de política criadas para ajudar a cumprir os regulamentos de conformidade específicos da região. Estas iniciativas políticas ajudam os clientes do setor público nos seus esforços para aderir rapidamente a várias estruturas regulamentares. Estas iniciativas políticas são acompanhadas por mapeamentos e documentação de controle funcionários. Para obter mais informações, consulte Portfólio de políticas.

Arquitetura de referência de exemplo (versão preliminar)

Um cenário comum para implantação de SLZ é usar LLMs para participar de conversas usando seus próprios dados por meio do padrão RAG (Geração Aumentada de Recuperação). Esse padrão permite que você aproveite as habilidades de raciocínio dos LLMs e gere respostas com base em seus dados específicos, sem exigir o ajuste fino do modelo. Ele facilita a integração perfeita de LLMs em seus processos ou soluções de negócios existentes. Explore como essas tecnologias podem ser aplicadas nas Zonas de Destino Soberanas, considerando também proteções importantes. Para obter mais informações, consulte LLMs e OpenAI do Azure no padrão padrão RAG (Geração Aumentada de Recuperação).

Implementar

Durante a fase de implementação, as organizações do setor público podem acelerar a definição e implementação de ambientes soberanos usando as ferramentas e diretrizes do Microsoft Cloud for Sovereignty.

Zona de Destino Soberana

A Zona de Destino Soberana (SLZ) é uma variante da Zona de Destino do Azure (ALZ) que fornece uma infraestrutura de nuvem em escala empresarial focada no controle operacional de dados em repouso, em trânsito e em uso. Um SLZ alinha as capacidades do Azure, como residência de serviço, chaves gerenciadas pelo cliente, links privados e computação confidencial para criar uma arquitetura em nuvem onde os dados e as cargas de trabalho são predefinidos para criptografia e proteção contra ameaças. Você pode implantar um SLZ com um único comando do PowerShell e alguns parâmetros.

SLZ está disponível no GitHub. Para obter mais informações, consulte a Visão Geral da Zona de Destino Soberana.

Modelos de carga de trabalho

Os modelos de carga de trabalho fornecem implantações automatizadas com qualidade de produção, reutilizáveis, seguras e compatíveis desde o projeto para tipos de carga de trabalho comuns. Um modelo de carga de trabalho concentra-se na implementação devidamente configurada de um ou mais Serviços Azure de forma reutilizável. Para obter mais informações, consulte Modelos de carga de trabalho da Zona de Destino Soberana.

Ferramentas de gerenciamento do ciclo de vida da zona de destino (versão preliminar)

O Microsoft Cloud for Sovereignty fornece as seguintes ferramentas de gerenciamento do ciclo de vida da zona de destino por meio do GitHub:

• Avaliação: realiza uma avaliação de pré-implantação dos recursos do Azure, como seus locais e atribuições de política do Azure, em relação às melhores práticas estabelecidas.
• Compilador de Políticas: simplifica o processo de gerenciamento de políticas. Ele analisa sistematicamente as iniciativas de políticas da sua organização examinando os principais componentes.
• Analisador de Descompassos: monitora e compara o estado atual do ambiente de nuvem com sua configuração original de zona de destino. Ele identifica desvios ou mudanças críticas.

Para obter mais informações, consulte Ferramentas de gerenciamento do ciclo de vida da zona de destino.

Proteções soberanas em ambientes do Dataverse e do Power Platform para mais soberania de dados (versão preliminar)

Você pode configurar ambientes do Dataverse e do Power Platform para ter maior soberania de dados. Você pode usar o Centro de Administração do Microsoft Power Platform para um gerenciamento centralizado de ambientes e configurações, incluindo configurações de locatário para controlar a criação e o gerenciamento do ambiente. Você também pode usar controles de acesso específicos para o Dataverse e o Power Platform para garantir a conformidade com os requisitos de soberania. Para obter mais informações, consulte Configurar seus ambientes do Dataverse e do Power Platform para ter mais soberania de dados e Controles de acesso para o Dataverse e o Power Platform.

Gerenciamento de chave e criptografia

É crucial implementar a estratégia correta de criptografia e gerenciamento de chaves para uma implementação segura e soberana. Para obter mais informações, consulte este artigo.

Computação Confidencial do Azure

O Microsoft Cloud for Sovereignty ajuda os clientes a configurar e proteger seus dados e recursos de forma a ajudá-los a cumprir seus requisitos regulatórios, de segurança e de soberania específicos. Isso inclui garantir que partes fora do controle do cliente, incluindo a Microsoft, não possam acessar os dados do cliente. Junto com a Computação Confidencial do Azure (ACC), o Microsoft Cloud for Sovereignty oferece aos clientes visibilidade e controle sobre todo o acesso às suas cargas de trabalho. O ACC aumenta a soberania do cliente ao remover ou reduzir o acesso privilegiado a dados para um operador de provedor de nuvem e outros atores, incluindo software como o hipervisor. O ACC ajuda a proteger os dados durante todo o seu ciclo de vida, além das soluções existentes, que protegem os dados em repouso e em trânsito. Para obter mais informações, consulte Computação Confidencial do Azure.

Aplicativo de exemplo

Use um Aplicativo confidencial de exemplo de Recursos Humanos (RH) que garanta e valide que a infraestrutura implantada da Zona de Destino Soberana (SLZ) atenda às necessidades confidenciais das cargas de trabalho dos clientes. Para obter mais informações, consulte Aplicativo confidencial de exemplo.

Migrar e modernizar

O Microsoft Cloud for Sovereignty fornece ferramentas e orientações para migrar cargas de trabalho para a nuvem. Para obter mais informações, consulte Visão geral das migrações de carga de trabalho.

Monitorar e Auditar

Além do conjunto avançado de serviços que o Microsoft Azure fornece para monitorar suas cargas de trabalho e mantê-las seguras, como Azure Monitor e o Defender for Cloud, o Microsoft Cloud for Sovereignty apresenta novos recursos e serviços.

Logs de transparência (versão preliminar)

Para ganhar a confiança de clientes soberanos, o Microsoft Cloud for Sovereignty fornece controles extras de registro em log e monitoramento que aumentam o nível de transparência nas atividades de pessoal da Microsoft. Como resultado, os clientes têm visibilidade além dos recursos padrão da nuvem pública para ajudar nos requisitos de auditoria e controle de acesso.

Os logs de transparência estão disponíveis de forma limitada e sujeitos aos requisitos de elegibilidade do cliente. Os clientes aprovados recebem um relatório mensal para o seu locatário que resume os casos em que um engenheiro ou agente de suporte da Microsoft recebe acesso temporário aos recursos do Azure do cliente.

Para obter mais informações, consulte logs de transparência.

Controles de transparência no Dataverse e no Power Platform (versão preliminar)

Você também pode definir controles de transparência no Dataverse e no Power Platform, que são cruciais para cumprir as políticas soberanas.

Para obter mais informações, consulte Controles de transparência no Dataverse e no Power Platform.

Programa de Segurança Governamental

O Programa de Segurança Governamental (GSP) é um programa existente da Microsoft projetado para fornecer aos participantes do governo qualificados as informações confidenciais de que necessitam para confiar nos produtos e serviços da Microsoft. O programa inclui acesso controlado ao código-fonte, troca de informações sobre ameaças e vulnerabilidades, envolvimento em conteúdo técnico sobre produtos e serviços da Microsoft e acesso a Centros de Transparência. O Microsoft Cloud for Sovereignty expandiu o programa GSP para abranger alguns serviços do Azure. Para obter mais informações, consulte Programa de Segurança Governamental.

Ver também

• Por que usar a nuvem pública da Microsoft para o Sovereignty?
  
• Conceitos da Zona de Destino Soberana