Regelefterlevnad
En arbetsbelastning kan ha regelkrav som kan kräva att driftdata, till exempel programloggar och mått, finns kvar i en viss geo-politiska region.
Dessa krav kan behöva strikta säkerhetsåtgärder som påverkar den övergripande arkitekturen, valet och konfigurationen av specifika PaaS- och SaaS-tjänster. Kraven påverkar också hur arbetsbelastningen ska operationaliseras.
Huvudpunkter
- Se till att alla regel- och styrningskrav är kända och väl förstådda.
- Utför regelbundet externa och, eller interna, säkerhetsgranskningar av arbetsbelastningar.
- Ha efterlevnadskontroller som en del av arbetsbelastningsåtgärder.
- Använd Microsoft Trust Center.
Granska kraven
Regelorganisationer publicerar ofta standarder och uppdateringar för att hjälpa till att definiera bra säkerhetsrutiner så att organisationer kan undvika försumlighet. Syftet med och omfattningen av dessa standarder och föreskrifter varierar. Säkerhetskraven kan dock påverka utformningen av dataskydd och kvarhållning, nätverksåtkomst och systemsäkerhet.
Att veta om dina molnresurser följer standarder som krävs av myndigheter eller branschorganisationer är viktigt i dagens globaliserade värld.
En arbetsbelastning som hanterar kreditkortstransaktioner omfattas till exempel av PCI-standarden (Payment Card Industry). Ett av kraven förbjuder åtkomst mellan Internet och alla systemkomponenter i korthållardatamiljön.
Om du vill tillhandahålla en begränsande miljö kan du välja att göra följande:
- Hantera arbetsbelastningen i olika Azure-beräkningsalternativ som stöder Bring Your Own VNet.
- Ta bort alla Internetriktade slutpunkter med hjälp av privata slutpunkter.
- Använd regler för nätverkssäkerhetsgrupper (NSG:er) som definierar auktoriserad inkommande och utgående åtkomst.
Inkompatibilitet kan leda till konkurrens eller annan påverkan på verksamheten. Arbeta med dina myndigheter och granska standarden noggrant för att förstå både avsikten och den literala ordalydelsen för varje krav. Här är några frågor som kan hjälpa dig att förstå varje krav.
- Hur mäts efterlevnad?
- Vem godkänner att arbetsbelastningen uppfyller kraven?
- Finns det processer för att hämta attesteringar?
- Vilka är dokumentationskraven?
Föreslagen åtgärd
Använd Microsoft Defender for Cloud för att utvärdera din aktuella efterlevnadspoäng och identifiera luckorna.
Läs mer
Självstudie: Förbättra regelefterlevnaden
Använda Microsoft Trust Center
Håll koll på Microsoft Trust Center för att få den senaste informationen, de senaste nyheterna och metodtipsen för säkerhet, sekretess och efterlevnad.
Datastyrning. Fokusera på att skydda information i molntjänster, mobila enheter, arbetsstationer eller samarbetsplattformar. Skapa säkerhetsstrategin genom att klassificera och märka information. Använd stark åtkomstkontroll och krypteringsteknik.
Efterlevnadserbjudanden. Microsoft erbjuder en omfattande uppsättning efterlevnadserbjudanden som hjälper din organisation att följa nationella, regionala och branschspecifika krav som styr insamling och användning av data. Mer information finns i Efterlevnadserbjudanden.
Efterlevnadspoäng. Använd Microsofts efterlevnadspoäng för att utvärdera dina dataskyddskontroller kontinuerligt. Följ rekommendationerna för att gå vidare mot efterlevnad.
Granskningsrapporter. Använd granskningsrapporter för att hålla dig informerad om den senaste sekretess-, säkerhets- och efterlevnadsrelaterade informationen för Microsofts molntjänster. Se Granskningsrapporter.
Delat ansvar. Arbetsbelastningen kan finnas på Programvara som en tjänst (SaaS), Plattform som en tjänst (PaaS), Infrastruktur som en tjänst (IaaS) eller i ett lokalt datacenter. Ha en tydlig förståelse för de delar av arkitekturen som du ansvarar för jämfört med Azure. Oavsett värdmodell bevaras följande ansvarsområden alltid av dig:
- Data
- Slutpunkter
- Konto
- Åtkomsthantering
Mer information finns i Delat ansvar i molnet.
Utökade säkerhetsfunktioner
Överväg om du vill använda specialiserade säkerhetsfunktioner i företagsarkitekturen.
Dedikerade HSM:er och konfidentiell databehandling kan förbättra säkerheten och uppfylla regelkrav, men kan leda till komplexitet som kan påverka driften och effektiviteten negativt.
Föreslagna åtgärder
Vi rekommenderar att du noga överväger och använder dessa säkerhetsåtgärder noggrant efter behov:
Dedikerade maskinvarusäkerhetsmoduler (HSM)
Dedikerade maskinvarusäkerhetsmoduler (HSM) kan hjälpa till att uppfylla regel- eller säkerhetskrav.Konfidentiell databehandling
Konfidentiell databehandling kan hjälpa till att uppfylla regel- eller säkerhetskrav.
Läs mer om utökade säkerhetsfunktioner för Azure-arbetsbelastningar.
Driftöverväganden
Regelkrav kan påverka arbetsbelastningsåtgärder. Det kan till exempel finnas ett krav på att driftdata, till exempel programloggar och mått, ska finnas kvar i en viss geo-politiska region.
Överväg automatisering av distributions- och underhållsaktiviteter. Automatisering minskar säkerhets- och efterlevnadsrisken genom att begränsa möjligheten att införa mänskliga fel under manuella uppgifter.
Relaterade länkar
Azure har en efterlevnadsportfölj som omfattar amerikanska myndigheter, branschspecifika standarder och regions-/landsstandarder. Mer information finns i Azures efterlevnadserbjudanden.
Övervaka arbetsbelastningens efterlevnad för att kontrollera om säkerhetskontrollerna är anpassade till regelkraven. Mer information finns i Säkerhetsgranskningar.
Gå tillbaka huvudartikeln: Styrning