Dela via

Suveränitetsöverväganden för Azure-landningszoner

  • Artikel

Att införa molnbaserad databehandling samtidigt som kraven på digital suveränitet uppfylls är komplext och kan skilja sig avsevärt mellan organisationer, branscher och geografiska områden. Microsoft Cloud for Sovereignty tillgodoser myndighetsorganisationernas suveränitetsbehov genom att kombinera kraften i den globala Azure-plattformen med flera suveränitetsfunktioner som är utformade för att minska suveränitetsriskerna.

Microsoft Cloud for Sovereignty

Microsoft Cloud for Sovereignty tillhandahåller funktioner i olika lager:

  • Avancerade nationella kontrolltjänster som konfidentiell databehandling i Azure och Azure Key Vault Managed Hardware Security Module (Managed HSM)
  • Nationella skyddsmekanismer via kodifierad arkitektur, arbetsbelastningsacceleratorer, lokaliserade Azure Policy-initiativ, verktyg och vägledning
  • Regelefterlevnad och transparens i molnoperatörens aktiviteter
  • Funktioner som bygger på de offentliga Molnfunktionerna i Azure

Diagram that shows the layers of capabilities of Microsoft Cloud for Sovereignty.

Kunder inom den offentliga sektorn med suveränitetsbehov som vill börja använda Azure kan dra nytta av Microsoft Cloud for Sovereignty. De verktyg och riktlinjer som Microsoft Cloud for Sovereignty tillhandahåller, till exempel den nationella landningszonen (förhandsversion), kan påskynda definitionen och distributionen av en nationell miljö.

Nationell landningszon

Den nationella landningszonen (förhandsversion) är en anpassad variant av Azure-landningszonens arkitektur som är avsedd för organisationer som behöver avancerade suveränitetskontroller. Den nationella landningszonen (förhandsversion) justerar Azure-funktioner som tjänsthemvist, kundhanterade nycklar, Azure Private Link och konfidentiell databehandling för att skapa en molnarkitektur där data och arbetsbelastningar erbjuder kryptering och skydd mot hot som standard.

Kommentar

Microsoft Cloud for Sovereignty är inriktat på statliga organisationer med suveränitetsbehov. Du bör noga överväga om du behöver funktionerna i Microsoft Cloud for Sovereignty och först sedan överväga att använda arkitekturen för nationell landningszon (förhandsversion).

Designområden för nationell landningszon

Arkitekturen i Azure-landningszonen består av åtta designområden. Varje designområde beskriver faktorer att tänka på innan du distribuerar en landningszon. I följande avsnitt beskrivs ytterligare överväganden som gäller när du distribuerar den nationella landningszonen (förhandsversion). Förutom vägledningen för Azure-landningszonen bör du även tänka på de här nya övervägandena.

Resursorganisering

Den nationella landningszonen är en skräddarsydd version av den konceptuella arkitekturen för Azure-landningszonen. Den nationella landningszonen överensstämmer med vägledningen som beskrivs i Anpassa Azure-landningszonens arkitektur.

Hanteringsgrupper för konfidentiell databehandling

Som följande diagram visar bygger arkitekturen för den nationella landningszonen på Arkitekturen för Azure-landningszoner:

  • Under hanteringsgruppen Landningszoner läggs hanteringsgrupperna Konfidentiellt och Konfidentiellt online till.
  • En uppsättning specifika principinitiativ, till exempel Principbaslinje för Microsoft Cloud for Sovereignty, tillämpas också. Dessa initiativ erbjuder kontroller som resursdistributionsplats, resursdistributionstyper och kryptering.

Diagram that shows the management groups of a sovereign landing zone.

Principbaslinje för Microsoft Cloud for Sovereignty

Den nationella landningszonen (förhandsversion) levereras med principbaslinjerna för Microsoft Cloud for Sovereignty distribuerade. Därför kan du distribuera andra principuppsättningar i den nationella landningszonen (förhandsversion). Du kan lägga extra principer ovanpå den nationella landningszonen (förhandsversion). Exempel är principer och principuppsättningar för Azure-landningszoner som hanterar kontrollramverk som National Institute of Standards and Technology (NIST) 800 171 Revision 2 och Microsoft Cloud Security Benchmark.

Principbaslinjen för Microsoft Cloud for Sovereignty består av:

  • Principer för att framtvinga användning av resurser för konfidentiell databehandling när arbetsbelastningar distribueras till de konfidentiella hanteringsgrupperna. Dessa principer hjälper dig att skapa en plattform där arbetsbelastningar skyddas i vila, under överföring och när de används, vilket tar bort Microsoft från förtroendekedjan.
  • Platsprinciper, som också distribueras som standard för att ge molnadministratören kontroll över var Azure-resurser kan distribueras.
  • Nyckelhantering, som styrs av en FIPS(Federal Information Processing Standard) 140-2 level-3 verifierad HSM och framtvingas av en princip.

De principer och åsikter som den nationella landningszonen (förhandsversion) lägger till ovanpå Azure-landningszonen skapar en plattform som är partisk mot ökad säkerhet och konfidentialitet som standard.

Mer information om baslinjeinitiativet för suveränitetsprinciper finns i dokumentationen om portföljen för Microsoft Cloud for Sovereignty-policyn .

Nätverkstopologi och anslutning

Den nationella landningszonen (förhandsversion) fokuserar på driftkontroll av vilande data, under överföring och användning.

Kryptering av nätverkstrafik

Metodtips för nätverkskryptering finns i Definiera krav för nätverkskryptering.

Internet-inkommande och utgående anslutning

På samma sätt som distributioner i Azure-landningszoner stöder distributionen av den nationella landningszonen:

  • En parametriserad distribution av Premium-nivån i Azure Firewall för att aktivera DDoS-skydd (Distributed Denial-of-Service).
  • Distributionen av en central Azure Bastion-infrastruktur.

Innan du aktiverar de här funktionerna bör du läsa metodtipsen för inkommande och utgående internetanslutningar i Planera för inkommande och utgående Internetanslutning.

Säkerhet

Arkitekturen i den nationella landningszonen använder konfidentiell databehandling i de konfidentiella landningszonerna. I följande avsnitt beskrivs tjänster som ger stöd för konfidentiell databehandling i Azure.

Azure Key Vault Managed HSM

Key Vault är en nödvändig tjänst för att distribuera konfidentiella databehandlingsresurser. Designöverväganden och rekommendationer finns i Kryptering och nyckelhantering i Azure. Du kan behöva välja Azure Key Vault Managed HSM för efterlevnadskrav.

Azure Attestation

Om du använder konfidentiell databehandling i Azure kan du dra nytta av gästattesteringsfunktionen i Azure Attestation. Den här funktionen hjälper till att bekräfta att en konfidentiell virtuell dator körs i en maskinvarubaserad betrodd körningsmiljö (TEE) med säkerhetsfunktioner som isolering och integritet aktiverat.

Mer information om hur du aktiverar gästattestering finns i Vad är gästattestering för konfidentiella virtuella datorer?.

Kontroll

I de flesta fall utför Microsofts personal åtgärder, support och felsökning, och ingen åtkomst till kunddata krävs. Ibland behöver en Microsoft-tekniker komma åt kunddata. Dessa fall kan uppstå som svar på kundinitierade supportärenden eller när Microsoft identifierar ett problem.

Customer Lockbox för Microsoft Azure

I sällsynta fall när åtkomst krävs kan du använda Customer Lockbox för Microsoft Azure. Den här funktionen innehåller ett gränssnitt som du kan använda för att granska och sedan godkänna eller avvisa begäranden om åtkomst till kunddata.

Överväg att aktivera Customer Lockbox. Du måste ha en global administratörsroll för att aktivera den här funktionen, eftersom det är en inställning för hela klientorganisationen. Mer information om hur du konfigurerar rollbaserad åtkomstkontroll för Customer Lockbox på rätt sätt finns i Kundlåsbox för Microsoft Azure.

Plattformsautomatisering och DevOps

Den nationella landningszonen (förhandsversion) är tillgänglig som en GitHub-lagringsplats.

Distribueringsalternativ

Du kan distribuera hela landningszonen, eller så kan du distribuera en komponent i taget. När du distribuerar enskilda komponenter kan du integrera dem i ditt befintliga distributionsarbetsflöde. Vägledning för distribution finns i Viktiga komponenter i distributionen av förhandsversionen av den nationella landningszonen.

Kommentar

Den nationella landningszonen (förhandsversion) är en variant av Azure-landningszonen. Men den nationella landningszonen erbjuder ännu inte alla distributionsalternativ som är tillgängliga för Azure-landningszonens arkitektur. Information om hur du distribuerar en nationell landningszon finns i Viktiga komponenter i distributionen av förhandsversionen av den nationella landningszonen.

GitHub-lagringsplatsen innehåller följande nationella landningszonkomponenter (förhandsversion):

  • Bootstrap: Konfigurerar hanteringsgruppshierarkin och skapar prenumerationerna enligt arkitekturen i den nationella landningszonen (förhandsversion). Dessa element distribueras under klientorganisationens rotgrupp för Azure-kundklientorganisationen.

  • Plattform: Konfigurerar hubbnätverket och loggningsresurserna som används av den nationella landningszonen (förhandsversion) plattform och arbetsbelastningar.

  • Efterlevnad: Skapar och tilldelar standardprincipuppsättningar och anpassade principer som tillämpas i miljön.

  • Instrumentpanel: Ger dig en visuell representation av din resursefterlevnad.

Instrumentpanel för efterlevnad

En instrumentpanel för efterlevnad distribueras som en del av distributionen av den nationella landningszonen (förhandsversion). Den här instrumentpanelen hjälper dig att verifiera den nationella landningszonen (förhandsversion) mot dina krav och lokala lagar och förordningar. Instrumentpanelen ger dig mer information om efterlevnad på resursnivå mot:

  • Baslinjeprinciperna som distribueras med den nationella landningszonen (förhandsversion).
  • Annan anpassad efterlevnad som har distribuerats.

Mer information finns i dokumentationen för instrumentpanelen för efterlevnad.