Skiss för Säkerhet och efterlevnad i Azure: PaaS-webbprogram för PCI DSS

Översikt

Den här Azure Security and Compliance Blueprint Automation ger vägledning för distribution av en PcI DSS 3.2-kompatibel paaS-miljö (Payment Card Industry Data Security Standards) som är lämplig för insamling, lagring och hämtning av korthållardata. Den här lösningen automatiserar distributionen och konfigurationen av Azure-resurser för en gemensam referensarkitektur, visar hur kunderna kan uppfylla specifika säkerhetskrav och efterlevnadskrav och fungerar som en grund för kunder att skapa och konfigurera sina egna lösningar i Azure. Lösningen implementerar en delmängd av kraven från PCI DSS 3.2. Mer information om PCI DSS 3.2-krav och den här lösningen finns i avsnittet efterlevnadsdokumentation .

Den här Azure Security and Compliance Blueprint Automation distribuerar automatiskt en Referensarkitektur för PaaS-webbprogram med förkonfigurerade säkerhetskontroller som hjälper kunderna att uppfylla PCI DSS 3.2-kraven. Lösningen består av Azure Resource Manager-mallar och PowerShell-skript som vägleder resursdistribution och konfiguration.

Den här arkitekturen är avsedd att fungera som en grund för kunder att anpassa sig till sina specifika krav och bör inte användas som den är i en produktionsmiljö. Det räcker inte att distribuera ett program till den här miljön utan ändringar för att helt uppfylla kraven i PCI DSS 3.2. Observera följande:

• Den här arkitekturen ger en baslinje som hjälper kunder att använda Azure på ett PCI DSS 3.2-kompatibelt sätt.
• Kunderna ansvarar för att utföra lämplig säkerhets- och efterlevnadsbedömning av alla lösningar som skapats med hjälp av den här arkitekturen, eftersom kraven kan variera beroende på detaljerna i varje kunds implementering.

För att uppnå PCI DSS-efterlevnad krävs att en ackrediterad QSA (Qualified Security Assessor) certifierar en kundlösning för produktion. Kunderna ansvarar för att utföra lämpliga säkerhets- och efterlevnadsbedömningar av alla lösningar som skapats med hjälp av den här arkitekturen, eftersom kraven kan variera beroende på detaljerna i varje kunds implementering.

Klicka här om du vill ha distributionsinstruktioner.

Arkitekturdiagram och komponenter

Den här Azure Security and Compliance Blueprint Automation distribuerar en referensarkitektur för ett PaaS-webbprogram med en Azure SQL Database-serverdel. Webbprogrammet finns i en isolerad Azure App Service Environment, som är en privat, dedikerad miljö i ett Azure-datacenter. Miljön belastningsutjämning trafik för webbprogrammet över virtuella datorer som hanteras av Azure. Den här arkitekturen innehåller även nätverkssäkerhetsgrupper, en Application Gateway, Azure DNS och Load Balancer.

För förbättrad analys och rapportering kan Azure SQL databaser konfigureras med columnstore-index. Azure SQL databaser kan skalas upp eller ned eller stängas av helt som svar på kundanvändningen. All SQL-trafik krypteras med SSL genom att självsignerade certifikat inkluderas. Som bästa praxis rekommenderar Azure att du använder en betrodd certifikatutfärdare för förbättrad säkerhet.

Lösningen använder Azure Storage-konton, som kunder kan konfigurera för att använda kryptering av lagringstjänst för att upprätthålla konfidentialitet för vilande data. Azure lagrar tre kopior av data i en kunds valda datacenter för återhämtning. Geografisk redundant lagring säkerställer att data replikeras till ett sekundärt datacenter hundratals mil bort och lagras igen som tre kopior i datacentret, vilket förhindrar att en negativ händelse i kundens primära datacenter resulterar i dataförlust.

För förbättrad säkerhet hanteras alla resurser i den här lösningen som en resursgrupp via Azure Resource Manager. Rollbaserad åtkomstkontroll i Azure Active Directory används för att kontrollera åtkomsten till distribuerade resurser, inklusive deras nycklar i Azure Key Vault. Systemhälsa övervakas via Azure Monitor. Kunder konfigurerar både övervakningstjänster för att samla in loggar och visa systemets hälsa på en enda instrumentpanel som enkelt kan navigeras.

Azure SQL Database hanteras ofta via SQL Server Management Studio, som körs från en lokal dator som har konfigurerats för att komma åt Azure SQL Database via en säker VPN- eller ExpressRoute-anslutning.

Dessutom tillhandahåller Application Insights prestandahantering och analys i realtid via Azure Monitor-loggar. Microsoft rekommenderar att du konfigurerar en VPN- eller ExpressRoute-anslutning för hantering och dataimport till referensarkitekturundernätet.

Den här lösningen använder följande Azure-tjänster. Information om distributionsarkitekturen finns i avsnittet Distributionsarkitektur .

• App Service-miljön v2
• Application Gateway
  • (1) Brandvägg för webbprogram
    • Brandväggsläge: skydd
    • Regeluppsättning: OWASP 3.0
    • Lyssnarport: 443
• Application Insights
• Azure Active Directory
• Azure Automation
• Azure DNS
• Azure Key Vault
• Azure Load Balancer
• Azure Monitor
• Azure Resource Manager
• Azure Security Center
• Azure SQL Database
• Azure Storage
• Azure Virtual Network
  • (1) /16 Nätverk
  • (4) /24 Nätverk
  • (4) Nätverkssäkerhetsgrupper
• Azure Web App

Distributionsarkitektur

I följande avsnitt beskrivs distributions- och implementeringselementen.

Azure Resource Manager: Med Azure Resource Manager kan kunderna arbeta med resurserna i lösningen som en grupp. Kunder kan distribuera, uppdatera eller ta bort alla resurser för lösningen i en enda samordnad åtgärd. Kunder använder en mall för distribution och den mallen kan fungera för olika miljöer, till exempel testning, mellanlagring och produktion. Resource Manager tillhandahåller säkerhets-, gransknings- och taggningsfunktioner som hjälper kunderna att hantera sina resurser efter distributionen.

Bastion-värd: Bastion-värden är den enda startpunkten som gör det möjligt för användare att komma åt de distribuerade resurserna i den här miljön. Bastion-värden tillhandahåller en säker anslutning till distribuerade resurser genom att endast tillåta fjärrtrafik från offentliga IP-adresser i en säker lista. För att tillåta fjärrskrivbordstrafik (RDP) måste trafikkällan definieras i nätverkssäkerhetsgruppen.

Den här lösningen skapar en virtuell dator som en domänansluten skyddsvärd med följande konfigurationer:

• Tillägg för program mot skadlig kod
• Azure Diagnostics-tillägg
• Azure Disk Encryption med Azure Key Vault
• En princip för automatisk avstängning för att minska förbrukningen av virtuella datorresurser när de inte används
• Windows Defender Credential Guard aktiverat så att autentiseringsuppgifter och andra hemligheter körs i en skyddad miljö som är isolerad från det operativsystem som körs

App Service-miljön v2: Azure App Service Environment är en App Service funktion som ger en helt isolerad och dedikerad miljö för säker körning av App Service program i hög skala. Den här isoleringsfunktionen krävs för att uppfylla PCI-efterlevnadskraven.

App Service Miljöer är isolerade för att endast köra en enskild kunds program och distribueras alltid till ett virtuellt nätverk. Den här isoleringsfunktionen gör att referensarkitekturen kan ha fullständig klientisolering, vilket tar bort den från Azures miljö för flera klientorganisationer som förbjuder dessa flera klientorganisationer från att räkna upp de distribuerade App Service-miljön resurserna. Kunderna har detaljerad kontroll över både inkommande och utgående programnätverkstrafik, och program kan upprätta säkra anslutningar med hög hastighet via virtuella nätverk till lokala företagsresurser. Kunder kan "skala automatiskt" med App Service-miljön baserat på belastningsmått, tillgänglig budget eller ett definierat schema.

Använd App Service miljöer för följande kontroller/konfigurationer:

• Värd i en skyddad Azure Virtual Network och nätverkssäkerhetsregler
• Självsignerat ILB-certifikat för HTTPS-kommunikation
• Internt belastningsutjämningsläge
• Inaktivera TLS 1.0
• Ändra TLS-chiffer
• Kontrollera inkommande trafik N/W-portar
• Brandvägg för webbprogram – begränsa data
• Tillåt Azure SQL Database-trafik

Azure Web App: Azure App Service gör det möjligt för kunder att skapa och vara värd för webbprogram på valfritt programmeringsspråk utan att hantera infrastrukturen. Azure Web Apps tillhandahåller automatisk skalning och hög tillgänglighet, har stöd för både Windows och Linux och möjliggör automatiska distributioner från GitHub, Azure DevOps eller valfri Git-lagringsplats.

Virtual Network

Arkitekturen definierar en privat Virtual Network med adressutrymmet 10.200.0.0/16.

Nätverkssäkerhetsgrupper: Nätverkssäkerhetsgrupper innehåller Access Control listor (ACL:er) som tillåter eller nekar trafik inom en Virtual Network. Nätverkssäkerhetsgrupper kan användas för att skydda trafik på undernäts- eller enskild VM-nivå. Följande nätverkssäkerhetsgrupper finns:

• 1 Nätverkssäkerhetsgrupp för Application Gateway
• 1 Nätverkssäkerhetsgrupp för App Service-miljön
• 1 Nätverkssäkerhetsgrupp för Azure SQL Database
• 1 nätverkssäkerhetsgrupp för bastionsvärd

Var och en av nätverkssäkerhetsgrupperna har specifika portar och protokoll öppna så att lösningen kan fungera säkert och korrekt. Dessutom är följande konfigurationer aktiverade för varje nätverkssäkerhetsgrupp:

• Diagnostikloggar och händelser aktiveras och lagras i ett lagringskonto
• Azure Monitor-loggar är anslutna till nätverkssäkerhetsgruppens diagnostik

Undernät: Varje undernät är associerat med motsvarande nätverkssäkerhetsgrupp.

Azure DNS: Domännamnssystemet, eller DNS, ansvarar för att översätta (eller matcha) en webbplats eller ett tjänstnamn till dess IP-adress. Azure DNS är en värdtjänst för DNS-domäner som tillhandahåller namnmatchning med hjälp av Azure-infrastrukturen. Genom att vara värd för domäner i Azure kan användarna hantera DNS-poster med samma autentiseringsuppgifter, API:er, verktyg och fakturering som andra Azure-tjänster. Azure DNS stöder även privata DNS-domäner.

Azure Load Balancer: Azure Load Balancer gör att kunderna kan skala sina program och skapa hög tillgänglighet för tjänster. Load Balancer stöder inkommande och utgående scenarier och ger låg svarstid, högt dataflöde och skalar upp till miljontals flöden för alla TCP- och UDP-program.

Data under överföring

Azure krypterar all kommunikation till och från Azure-datacenter som standard. Alla transaktioner till Azure Storage via Azure Portal ske via HTTPS.

Vilande data

Arkitekturen skyddar vilande data via kryptering, databasgranskning och andra mått.

Azure Storage: För att uppfylla vilande krypterade data använder all Azure Storagekryptering av lagringstjänsten. Detta hjälper till att skydda korthållardata till stöd för organisationens säkerhetsåtaganden och efterlevnadskrav som definieras av PCI DSS 3.2.

Azure Disk Encryption: Azure Disk Encryption använder BitLocker-funktionen i Windows för att tillhandahålla volymkryptering för datadiskar. Lösningen integreras med Azure Key Vault för att styra och hantera diskkrypteringsnycklarna.

Azure SQL Database: Azure SQL Database-instansen använder följande databassäkerhetsåtgärder:

• Active Directory-autentisering och auktorisering möjliggör identitetshantering av databasanvändare och andra Microsoft-tjänster på en central plats.
• SQL-databasgranskning spårar databashändelser och skriver dem till en granskningslogg i ett Azure Storage-konto.
• Azure SQL Database har konfigurerats för att använda transparent datakryptering, som utför kryptering i realtid och dekryptering av databasen, associerade säkerhetskopior och transaktionsloggfiler för att skydda vilande information. Transparent datakryptering garanterar att lagrade data inte har utsatts för obehörig åtkomst.
• Brandväggsregler förhindrar all åtkomst till databasservrar tills rätt behörigheter har beviljats. Brandväggen ger åtkomst till databaser baserat på vilken IP-adress som varje begäran kommer från.
• SQL Threat Detection möjliggör identifiering och svar på potentiella hot när de inträffar genom att tillhandahålla säkerhetsaviseringar för misstänkta databasaktiviteter, potentiella sårbarheter, SQL-inmatningsattacker och avvikande mönster för databasåtkomst.
• Krypterade kolumner säkerställer att känsliga data aldrig visas som klartext i databassystemet. När du har aktiverat datakryptering kan endast klientprogram eller programservrar med åtkomst till nycklarna komma åt klartextdata.
• SQL Database dynamisk datamaskering begränsar exponeringen av känsliga data genom att maskera data för icke-privilegierade användare eller program. Dynamisk datamaskering kan automatiskt identifiera potentiellt känsliga data och föreslå lämpliga masker som ska tillämpas. Detta hjälper till att identifiera och minska åtkomsten till data så att den inte avslutar databasen via obehörig åtkomst. Kunderna ansvarar för att justera inställningarna för dynamisk datamaskering så att de följer sitt databasschema.

Identitetshantering

Följande tekniker tillhandahåller funktioner för att hantera åtkomst till korthållardata i Azure-miljön:

• Azure Active Directory är Microsofts molnbaserade katalog- och identitetshanteringstjänst för flera klientorganisationer. Alla användare för den här lösningen skapas i Azure Active Directory, inklusive användare som har åtkomst till Azure SQL Database.
• Autentisering till programmet utförs med Hjälp av Azure Active Directory. Mer information finns i Integrating applications with Azure Active Directory (Integrera program med Azure Active Directory). Dessutom använder databaskolumnkryptering Azure Active Directory för att autentisera programmet till Azure SQL Database. Mer information finns i hur du skyddar känsliga data i Azure SQL Database.
• Med rollbaserad åtkomstkontroll i Azure kan administratörer definiera detaljerade åtkomstbehörigheter för att endast bevilja den mängd åtkomst som användarna behöver för att utföra sina jobb. I stället för att ge alla användare obegränsad behörighet för Azure-resurser kan administratörer endast tillåta vissa åtgärder för åtkomst till korthållardata. Prenumerationsåtkomsten är begränsad till prenumerationsadministratören.
• Azure Active Directory Privileged Identity Management gör det möjligt för kunder att minimera antalet användare som har åtkomst till viss information, till exempel korthållardata. Administratörer kan använda Azure Active Directory Privileged Identity Management för att identifiera, begränsa och övervaka privilegierade identiteter och deras åtkomst till resurser. Den här funktionen kan också användas för att framtvinga administrativ åtkomst på begäran, just-in-time vid behov.
• Azure Active Directory Identity Protection identifierar potentiella säkerhetsrisker som påverkar en organisations identiteter, konfigurerar automatiserade svar på identifierade misstänkta åtgärder relaterade till en organisations identiteter och undersöker misstänkta incidenter för att vidta lämpliga åtgärder för att lösa dem.

Säkerhet

Hantering av hemligheter: Lösningen använder Azure Key Vault för hantering av nycklar och hemligheter. Azure Key Vault hjälper dig att skydda krypteringsnycklar och hemligheter som används av molnprogram och molntjänster. Följande Funktioner i Azure Key Vault hjälper kunderna att skydda och komma åt sådana data:

• Avancerade åtkomstprinciper konfigureras efter behov.
• Key Vault åtkomstprinciper definieras med minsta nödvändiga behörigheter för nycklar och hemligheter.
• Alla nycklar och hemligheter i Key Vault har förfallodatum.
• Alla nycklar i Key Vault skyddas av specialiserade maskinvarusäkerhetsmoduler. Nyckeltypen är en HSM-skyddad 2048-bitars RSA-nyckel.
• Alla användare och identiteter beviljas lägsta nödvändiga behörigheter med hjälp av rollbaserad åtkomstkontroll.
• Diagnostikloggar för Key Vault aktiveras med en kvarhållningsperiod på minst 365 dagar.
• Tillåtna kryptografiska åtgärder för nycklar är begränsade till de som krävs.

Azure Security Center: Med Azure Security Center kan kunder centralt tillämpa och hantera säkerhetsprinciper för arbetsbelastningar, begränsa exponeringen för hot och identifiera och svara på attacker. Dessutom får Azure Security Center åtkomst till befintliga konfigurationer av Azure-tjänster för att ge konfigurations- och tjänstrekommendationer för att förbättra säkerhetsstatusen och skydda data.

Azure Security Center använder en mängd olika identifieringsfunktioner för att varna kunder om potentiella attacker som riktas mot deras miljöer. Dessa aviseringar innehåller värdefull information om vad som utlöste aviseringen, vilka resurser som berörs och attackens källa. Azure Security Center har en uppsättning fördefinierade säkerhetsaviseringar som utlöses när ett hot eller misstänkt aktivitet äger rum. Anpassade aviseringsregler i Azure Security Center gör det möjligt för kunder att definiera nya säkerhetsaviseringar baserat på data som redan har samlats in från deras miljö.

Azure Security Center tillhandahåller prioriterade säkerhetsaviseringar och incidenter, vilket gör det enklare för kunder att identifiera och åtgärda potentiella säkerhetsproblem. En hotinformationsrapport genereras för varje identifierat hot som hjälper incidenthanteringsteam att undersöka och åtgärda hot.

Azure Application Gateway: Arkitekturen minskar risken för säkerhetsproblem med hjälp av en Azure Application Gateway med en konfigurerad brandvägg för webbprogram och OWASP-regeluppsättningen aktiverad. Ytterligare funktioner är:

• Slutpunkt till slutpunkt-SSL
• Aktivera SSL-avlastning
• Inaktivera TLS v1.0 och v1.1
• Brandvägg för webbprogram (förebyggande läge)
• Förebyggande läge med OWASP 3.0-regeluppsättning
• Aktivera diagnostikloggning
• Anpassade hälsoavsökningar
• Azure Security Center och Azure Advisor ger ytterligare skydd och meddelanden. Azure Security Center ger också ett ryktessystem.

Loggning och granskning

Azure-tjänster loggar i stor utsträckning system- och användaraktivitet samt systemhälsa:

• Aktivitetsloggar: Aktivitetsloggar ger insikter om åtgärder som utförs på resurser i en prenumeration. Aktivitetsloggar kan hjälpa dig att fastställa en åtgärds initierare, tidpunkt för förekomst och status.
• Diagnostikloggar: Diagnostikloggar innehåller alla loggar som genereras av varje resurs. Dessa loggar omfattar Windows-händelsesystemloggar, Azure Storage-loggar, Key Vault granskningsloggar samt Application Gateway åtkomst- och brandväggsloggar. Alla diagnostikloggar skriver till ett centraliserat och krypterat Azure Storage-konto för arkivering. Kvarhållningen är användarkonfigurerbar, upp till 730 dagar, för att uppfylla organisationsspecifika kvarhållningskrav.

Azure Monitor-loggar: Dessa loggar konsolideras i Azure Monitor-loggar för bearbetning, lagring och instrumentpanelsrapportering. När data har samlats in ordnas de i separata tabeller för varje datatyp i Log Analytics-arbetsytor, vilket gör att alla data kan analyseras tillsammans oavsett dess ursprungliga källa. Dessutom integreras Azure Security Center med Azure Monitor-loggar så att kunderna kan använda Kusto-frågor för att komma åt sina säkerhetshändelsedata och kombinera dem med data från andra tjänster.

Följande Azure-övervakningslösningar ingår som en del av den här arkitekturen:

• Active Directory-utvärdering: Active Directory Health Check-lösningen utvärderar risken och hälsan för servermiljöer regelbundet och tillhandahåller en prioriterad lista över rekommendationer som är specifika för den distribuerade serverinfrastrukturen.
• SQL-utvärdering: SQL Health Check-lösningen utvärderar risken och hälsan för servermiljöer regelbundet och ger kunderna en prioriterad lista med rekommendationer som är specifika för den distribuerade serverinfrastrukturen.
• Agenthälsa: Agenthälsolösningen rapporterar hur många agenter som distribueras och deras geografiska distribution, samt hur många agenter som inte svarar och antalet agenter som skickar driftdata.
• Aktivitetslogganalys: Lösningen för aktivitetslogganalys hjälper dig att analysera Azure-aktivitetsloggarna i alla Azure-prenumerationer för en kund.

Azure Automation: Azure Automation lagrar, kör och hanterar runbooks. I den här lösningen hjälper runbooks att samla in loggar från Azure SQL Database. Med automationslösningen Ändringsspårning kan kunderna enkelt identifiera ändringar i miljön.

Azure Monitor: Azure Monitor hjälper användare att spåra prestanda, upprätthålla säkerhet och identifiera trender genom att göra det möjligt för organisationer att granska, skapa aviseringar och arkivera data, inklusive spårning av API-anrop i sina Azure-resurser.

Application Insights: Application Insights är en utökningsbar tjänst för hantering av programprestanda för webbutvecklare på flera plattformar. Application Insights identifierar prestandaavvikelser och kunderna kan använda dem för att övervaka livewebbappen. Den innehåller kraftfulla analysverktyg som hjälper kunder att diagnostisera problem och förstå vad användarna faktiskt gör med sin app. Den är utformad för att hjälpa kunderna att kontinuerligt förbättra prestanda och användbarhet.

Hotmodell

Dataflödesdiagrammet för den här referensarkitekturen är tillgängligt för nedladdning eller finns nedan. Den här modellen kan hjälpa kunderna att förstå de potentiella riskerna i systeminfrastrukturen när de gör ändringar.

Dokumentation om efterlevnad

Azure Security and Compliance Blueprint – PCI DSS Customer Responsibility Matrix innehåller kontrollant- och processoransvar för alla PCI DSS 3.2-krav.

Azure Security and Compliance Blueprint – PCI DSS PaaS Web Application Implementation Matrix innehåller information om vilka PCI DSS 3.2-krav som hanteras av PaaS-webbprogramarkitekturen, inklusive detaljerade beskrivningar av hur implementeringen uppfyller kraven i varje täckt artikel.

Distribuera den här lösningen

Den här Azure Security and Compliance Blueprint Automation består av JSON-konfigurationsfiler och PowerShell-skript som hanteras av Azure Resource Manager API-tjänst för att distribuera resurser i Azure. Detaljerade distributionsinstruktioner finns här.

Snabbstart

1. Klona eller ladda ned den här GitHub-lagringsplatsen till din lokala arbetsstation.

2. Granska 0-Setup-AdministrativeAccountAndPermission.md och kör de angivna kommandona.

3. Distribuera en testlösning med Contosos exempeldata eller testa en inledande produktionsmiljö.

   • 1A-ContosoWebStoreDemoAzureResources.ps1
     • Det här skriptet distribuerar Azure-resurser för en demonstration av ett webbarkiv med hjälp av Contosos exempeldata.
   • 1-DeployAndConfigureAzureResources.ps1
     • Det här skriptet distribuerar de Azure-resurser som behövs för att stödja en produktionsmiljö för ett kundägt webbprogram. Den här miljön bör anpassas ytterligare av kunden baserat på organisationens krav.

Vägledning och rekommendationer

VPN och ExpressRoute

En säker VPN-tunnel eller ExpressRoute måste konfigureras för att på ett säkert sätt upprätta en anslutning till de resurser som distribueras som en del av den här Referensarkitekturen för PaaS-webbprogram. Genom att konfigurera ett VPN eller ExpressRoute på rätt sätt kan kunderna lägga till ett skyddslager för data under överföring.

Genom att implementera en säker VPN-tunnel med Azure kan du skapa en virtuell privat anslutning mellan ett lokalt nätverk och en Azure-Virtual Network. Den här anslutningen sker via Internet och gör det möjligt för kunder att på ett säkert sätt "tunnel" information i en krypterad länk mellan kundens nätverk och Azure. Plats-till-plats-VPN är en säker, mogen teknik som har distribuerats av företag av alla storlekar i årtionden. IPsec-tunnelläget används i det här alternativet som en krypteringsmekanism.

Eftersom trafik i VPN-tunneln passerar Internet med ett plats-till-plats-VPN erbjuder Microsoft ett annat, ännu säkrare anslutningsalternativ. Azure ExpressRoute är en dedikerad WAN-länk mellan Azure och en lokal plats eller en Exchange-värdleverantör. Eftersom ExpressRoute-anslutningar inte går via Internet ger dessa anslutningar mer tillförlitlighet, snabbare hastigheter, lägre svarstider och högre säkerhet än vanliga anslutningar via Internet. Eftersom detta är en direkt anslutning till kundens telekommunikationsleverantör överförs inte data via Internet och exponeras därför inte för dem.

Metodtips för att implementera ett säkert hybridnätverk som utökar ett lokalt nätverk till Azure är tillgängliga.

Disclaimer

• This document is for informational purposes only. MICROSOFT LÄMNAR INGA GARANTIER, UTTRYCK, UNDERFÖRSTÅDDA ELLER LAGSTADGADE UPPGIFTER OM INFORMATIONEN I DET HÄR DOKUMENTET. Det här dokumentet tillhandahålls "i nuläget". Information och åsikter som uttrycks i det här dokumentet, inklusive URL och andra internetwebbplatsreferenser, kan ändras utan föregående meddelande. Kunder som läser det här dokumentet riskerar att använda det.
• Det här dokumentet ger inte kunderna några juridiska rättigheter till immateriella rättigheter i microsofts produkter eller lösningar.
• Kunder kan kopiera och använda det här dokumentet i interna referenssyften.
• Vissa rekommendationer i det här dokumentet kan leda till ökad användning av data, nätverk eller beräkningsresurser i Azure och kan öka kundens Azure-licens- eller prenumerationskostnader.
• Den här arkitekturen är avsedd att fungera som en grund för kunder att anpassa sig till sina specifika krav och bör inte användas som den är i en produktionsmiljö.
• Det här dokumentet är utvecklat som en referens och bör inte användas för att definiera alla sätt som en kund kan uppfylla specifika efterlevnadskrav och föreskrifter. Kunder bör söka juridisk support från organisationen för godkända kundimplementeringar.