Handlingsplan för säkerhet och efterlevnad i Azure: PaaS webb program för PCI DSS

Översikt

Den här Handlingsplan för säkerhet och efterlevnad i Azure Automation ger vägledning för distribution av ett betalnings kort bransch data säkerhets standarder (PCI DSS 3,2) kompatibel plattform som en tjänst (PaaS) som passar för insamling, lagring och hämtning av kort innehavare. Den här lösningen automatiserar distributionen och konfigurationen av Azure-resurser för en gemensam referens arkitektur och demonstrerar hur kunder kan uppfylla specifika krav på säkerhet och efterlevnad och fungerar som en grund för kunder att bygga och Konfigurera egna lösningar på Azure. Lösningen implementerar en delmängd av kraven från PCI DSS 3,2. Mer information om kraven för PCI DSS 3,2 och den här lösningen finns i avsnittet Compliance documentation .

Den här Handlingsplan för säkerhet och efterlevnad i Azure-Automation distribuerar automatiskt en PaaS-webbprograms referens arkitektur med förkonfigurerade säkerhets kontroller för att hjälpa kunderna att uppnå kompatibilitet med PCI DSS 3,2-krav. Lösningen består av Azure Resource Manager mallar och PowerShell-skript som hjälper till att distribuera och konfigurera resurser.

Den här arkitekturen är avsedd att fungera som grund för kunderna att anpassa sig efter sina särskilda krav och bör inte användas i en produktions miljö. Det räcker inte att distribuera ett program i den här miljön utan modifiering för att uppfylla kraven i PCI DSS 3,2. Observera följande:

• Den här arkitekturen tillhandahåller en bas linje som hjälper kunder att använda Azure på ett PCI DSS 3,2-kompatibelt sätt.
• Kunderna ansvarar för att utföra lämpliga bedömningar av säkerhet och efterlevnad av alla lösningar som skapats med den här arkitekturen, eftersom kraven kan variera beroende på vad som gäller för varje kunds implementering.

Att uppnå PCI DSS-kompatibilitet kräver att en ackrediterad uppfyller kraven enligt (kvalificerad Security-bedömare) certifierar en produktions kund lösning. Kunderna ansvarar för att utföra lämpliga utvärderingar av säkerhet och efterlevnad av alla lösningar som har skapats med den här arkitekturen, eftersom kraven kan variera beroende på vad som gäller för varje kunds implementering.

Klicka här om du vill ha distributions anvisningar.

Arkitektur diagram och-komponenter

Den här Handlingsplan för säkerhet och efterlevnad i Azure Automation distribuerar en referens arkitektur för ett PaaS-webbprogram med en Azure SQL Database Server del. Webb programmet finns i ett isolerat Azure App Service-miljön, vilket är en privat, dedikerad miljö i ett Azure-datacenter. Miljö belastningen balanserar trafiken för webb programmet på virtuella datorer som hanteras av Azure. Den här arkitekturen omfattar även nätverks säkerhets grupper, en Application Gateway, Azure DNS och Load Balancer.

För förbättrad analys och rapportering kan Azure SQL-databaser konfigureras med columnstore-index. Azure SQL-databaser kan skalas upp eller ned eller stängas av helt som svar på kund användning. All SQL-trafik krypteras med SSL genom att du kan inkludera självsignerade certifikat. Som bästa praxis rekommenderar Azure användningen av en betrodd certifikat utfärdare för förbättrad säkerhet.

I lösningen används Azure Storage-konton som kunder kan konfigurera för att använda Kryptering för lagringstjänst för att upprätthålla konfidentialiteten för data i vila. Azure lagrar tre kopior av data inom en kunds valda data Center för återhämtning. Geografiskt redundant lagring garanterar att data replikeras till ett sekundärt Data Center hundratals mil och lagras igen som tre kopior i data centret, vilket förhindrar en negativ händelse i kundens primära Data Center från att resultera i förlust av data.

För ökad säkerhet hanteras alla resurser i lösningen som en resurs grupp via Azure Resource Manager. Azure Active Directory rollbaserad åtkomst kontroll används för att kontrol lera åtkomsten till distribuerade resurser, inklusive deras nycklar i Azure Key Vault. System hälsan övervakas via Azure Monitor. Kunderna konfigurerar både övervaknings tjänster för att avbilda loggar och Visa system hälsan på en enda, enkel portalerna instrument panel.

Azure SQL Database hanteras ofta via SQL Server Management Studio, som körs från en lokal dator som har kon figurer ATS för att få åtkomst till Azure SQL Database via en säker VPN-eller ExpressRoute-anslutning.

Dessutom ger Application Insights prestanda hantering i real tid för program och analys genom Azure Monitor loggar. Microsoft rekommenderar att du konfigurerar en VPN-eller ExpressRoute-anslutning för hantering och data import till referens arkitektur under nätet.

Den här lösningen använder följande Azure-tjänster. Information om distributions arkitekturen finns i avsnittet distributions arkitektur .

• App Service-miljön v2
• Application Gateway
  • (1) brand vägg för webbaserade program
    • Brand Väggs läge: skydd
    • Regel uppsättning: OWASP 3,0
    • Lyssnar port: 443
• Application Insights
• Azure Active Directory
• Azure Automatisering
• Azure DNS
• Azure Key Vault
• Azure Load Balancer
• Azure Monitor
• Azure Resource Manager
• Azure Security Center
• Azure SQL Database
• Azure Storage
• Azure Virtual Network
  • (1)/16 nätverk
  • (4)/24 nätverk
  • (4) nätverks säkerhets grupper
• Azure-webbapp

Distributions arkitektur

I följande avsnitt beskrivs distributions-och implementerings elementen.

Azure Resource Manager: Azure Resource Manager gör det möjligt för kunder att arbeta med resurserna i lösningen som en grupp. Kunder kan distribuera, uppdatera eller ta bort alla resurser för lösningen i en enda, koordinerad åtgärd. Kunder använder en mall för distribution och mallen kan fungera för olika miljöer, till exempel testning, mellanlagring och produktion. Resource Manager tillhandahåller säkerhets-, gransknings-och taggnings funktioner som hjälper kunder att hantera sina resurser efter distributionen.

Skydds-värd: skydds-värden är den enda post adressen som ger användare åtkomst till de distribuerade resurserna i den här miljön. Skydds-värden ger en säker anslutning till distribuerade resurser genom att endast tillåta fjärran sluten trafik från offentliga IP-adresser på en säker lista. För att tillåta fjärr skrivbords trafik måste källa för trafiken definieras i nätverks säkerhets gruppen.

Den här lösningen skapar en virtuell dator som en domänansluten skydds-värd med följande konfigurationer:

• Tillägg för program mot skadlig kod
• Azure-diagnostik tillägg
• Azure Disk Encryption att använda Azure Key Vault
• En princip för automatisk avstängning som minskar användningen av virtuella dator resurser när den inte används
• Windows Defender Credential Guard aktiverat så att autentiseringsuppgifter och andra hemligheter körs i en skyddad miljö som är isolerad från det operativ system som körs

App Service-miljön v2: Azure App Service-miljön är en app service funktion som ger en helt isolerad och dedikerad miljö för säker körning av App Service program i stor skala. Den här isolerings funktionen krävs för att uppfylla kraven på PCI-efterlevnad.

App Service miljöer är isolerade för att bara köra en enskild kunds program och distribueras alltid till ett virtuellt nätverk. Den här isolerings funktionen gör att referens arkitekturen har fullständig klient isolering och tar bort den från Azures miljö för flera innehavare, vilket förhindrar att flera klienter räknar upp de distribuerade App Service-miljön resurserna. Kunderna har detaljerad kontroll över både inkommande och utgående program nätverks trafik, och program kan upprätta snabba säkra anslutningar över virtuella nätverk till lokala företags resurser. Kunder kan skala automatiskt med App Service-miljön baserat på inläsnings mått, tillgänglig budget eller ett definierat schema.

Använd App Service-miljöer för följande kontroller och konfigurationer:

• Värd i en skyddad Azure-Virtual Network och nätverks säkerhets regler
• Självsignerat ILB-certifikat för HTTPS-kommunikation
• Läge för intern belastnings utjämning
• Inaktivera TLS 1,0
• Ändra TLS-chiffer
• Kontrol lera inkommande trafiks N/W-portar
• Brand vägg för webbaserade program – begränsa data
• Tillåt Azure SQL Database trafik

Azure-webbapp: Azure App Service gör det möjligt för kunder att bygga och vara värd för webb program i valfritt programmeringsspråk utan att behöva hantera infrastrukturen. Azure Web Apps tillhandahåller automatisk skalning och hög tillgänglighet, har stöd för både Windows och Linux och möjliggör automatiska distributioner från GitHub, Azure DevOps eller valfri Git-lagringsplats.

Virtual Network

Arkitekturen definierar ett privat Virtual Network med ett adress utrymme på 10.200.0.0/16.

Nätverks säkerhets grupper: nätverks säkerhets grupper innehåller Access Control listor (ACL: er) som tillåter eller nekar trafik inom en Virtual Network. Nätverks säkerhets grupper kan användas för att skydda trafik i ett undernät eller på en individuell VM-nivå. Följande nätverks säkerhets grupper finns:

• 1 nätverks säkerhets grupp för Application Gateway
• 1 nätverks säkerhets grupp för App Service-miljön
• 1 nätverks säkerhets grupp för Azure SQL Database
• 1 nätverks säkerhets grupp för skydds-värd

Varje nätverks säkerhets grupp har vissa portar och protokoll öppna så att lösningen kan fungera säkert och korrekt. Dessutom är följande konfigurationer aktiverade för varje nätverks säkerhets grupp:

• Diagnostikloggar och händelser är aktiverade och lagras i ett lagrings konto
• Azure Monitor loggar är anslutna till nätverks säkerhets gruppens'diagnostik

Undernät: varje undernät är associerat med motsvarande nätverks säkerhets grupp.

Azure DNS: Domain Name System eller DNS ansvarar för översättning (eller matchning) av en webbplats eller ett tjänst namn till dess IP-adress. Azure DNS är en värd tjänst för DNS-domäner som ger namn matchning med hjälp av Azure-infrastrukturen. Genom att vara värd för domäner i Azure kan användare hantera DNS-poster med samma autentiseringsuppgifter, API: er, verktyg och fakturering som andra Azure-tjänster. Azure DNS stöder också privata DNS-domäner.

Azure Load Balancer: Azure Load Balancer gör det möjligt för kunderna att skala sina program och skapa hög tillgänglighet för tjänster. Load Balancer stöder inkommande och utgående scenarier och ger låg latens, högt data flöde och skalar upp till miljon tals flöden för alla TCP-och UDP-program.

Data under överföring

Azure krypterar all kommunikation till och från Azure-datacenter som standard. Alla transaktioner som Azure Storage via Azure Portal sker via HTTPS.

Vilande data

Arkitekturen skyddar data i vila genom kryptering, databas granskning och andra åtgärder.

Azure Storage: för att möta krypterade data i rest-krav använder alla Azure Storage kryptering för lagringstjänst. Detta hjälper till att skydda och skydda kort korts data i stöd för organisatoriska säkerhets åtaganden och krav på efterlevnad som definieras av PCI DSS 3,2.

Azure Disk Encryption: Azure Disk Encryption utnyttjar BitLocker-funktionen i Windows för att tillhandahålla volym kryptering för data diskar. Lösningen integreras med Azure Key Vault för att hjälpa dig att styra och hantera disk krypterings nycklarna.

Azure SQL Database: Azure SQL Database-instansen använder följande säkerhets åtgärder för databasen:

• Active Directory autentisering och auktorisering möjliggör identitets hantering av databas användare och andra Microsoft-tjänster på en central plats.
• SQL Database Auditing spårar databas händelser och skriver dem till en Gransknings logg i ett Azure Storage-konto.
• Azure SQL Database har kon figurer ATS för att använda transparent data kryptering, som utför kryptering och dekryptering i real tid av databasen, tillhör ande säkerhets kopior och transaktionsloggfiler för att skydda information i vila. Transparent data kryptering garanterar att lagrade data inte omfattas av obehörig åtkomst.
• Brand Väggs regler förhindrar all åtkomst till databas servrar förrän rätt behörigheter har beviljats. Brandväggen ger åtkomst till databaser baserat på vilken IP-adress som varje begäran kommer från.
• Med SQL hot identifiering kan du identifiera och svara på potentiella hot när de inträffar genom att tillhandahålla säkerhets aviseringar för misstänkta databas aktiviteter, potentiella sårbarheter, SQL-injektering och avvikande databas åtkomst mönster.
• Krypterade kolumner ser till att känsliga data aldrig visas som klartext i databas systemet. När du har aktiverat data kryptering kan endast klient program eller program servrar med åtkomst till nycklarna komma åt oformaterade data.
• SQL Database dynamisk data maskning begränsar känslig data exponering genom att maskera data till icke-privilegierade användare eller program. Dynamisk data maskning kan automatiskt identifiera potentiellt känsliga data och föreslå lämpliga masker som ska användas. Detta hjälper till att identifiera och minska åtkomsten till data så att den inte avslutar databasen via obehörig åtkomst. Kunderna ansvarar för att justera inställningarna för dynamisk datamaskering för att följa deras databas schema.

Identitetshantering

Följande tekniker tillhandahåller funktioner för att hantera åtkomst till kort innehavares data i Azure-miljön:

• Azure Active Directory är Microsoft's molnbaserad, molnbaserad katalog-och identitets hanterings tjänst för flera innehavare. Alla användare för den här lösningen skapas i Azure Active Directory, inklusive användare som har åtkomst till Azure SQL Database.
• Autentisering till programmet utförs med hjälp av Azure Active Directory. Mer information finns i integrera program med Azure Active Directory. Dessutom använder databasens kolumn kryptering Azure Active Directory för att autentisera programmet att Azure SQL Database. Mer information finns i så här skyddar du känsliga data i Azure SQL Database.
• Med rollbaserad åtkomst kontroll i Azure kan administratörer definiera detaljerade åtkomst behörigheter för att endast ge åtkomst till den mängd åtkomst som användarna behöver för att utföra sina jobb. I stället för att ge varje användare obegränsad behörighet för Azure-resurser kan administratörer bara tillåta vissa åtgärder för åtkomst till data för kort innehavare. Åtkomst till prenumerationen är begränsad till prenumerations administratören.
• Azure Active Directory Privileged Identity Management gör det möjligt för kunderna att minimera antalet användare som har åtkomst till viss information, till exempel kort korts data. Administratörer kan använda Azure Active Directory Privileged Identity Management för att identifiera, begränsa och övervaka privilegierade identiteter och deras åtkomst till resurser. Den här funktionen kan också användas för att framtvinga administrativ åtkomst just-in-Time vid behov.
• Azure Active Directory Identity Protection identifierar potentiella sårbarheter som påverkar en'organisations identiteter, konfigurerar automatiserade svar på identifierade misstänkta åtgärder som är'relaterade till en organisations identiteter. undersöker misstänkta incidenter för att vidta lämpliga åtgärder för att lösa dem.

Säkerhet

Hemligheter, hantering: lösningen använder Azure Key Vault för hantering av nycklar och hemligheter. Azure Key Vault hjälper dig att skydda krypteringsnycklar och hemligheter som används av molnprogram och molntjänster. Följande Azure Key Vault funktioner hjälper kunder att skydda och komma åt sådana data:

• Avancerade åtkomst principer konfigureras på grund av behov.
• Key Vault åtkomst principer definieras med lägsta behörighet som krävs för nycklar och hemligheter.
• Alla nycklar och hemligheter i Key Vault har förfallo datum.
• Alla nycklar i Key Vault skyddas av specialiserade säkerhetsmoduler för maskin vara. Nyckel typen är en HSM-skyddad 2048-bitars RSA-nyckel.
• Alla användare och identiteter beviljas minst de behörigheter som krävs med rollbaserad åtkomst kontroll.
• Diagnostikloggar för Key Vault aktive ras med en kvarhållningsperiod på minst 365 dagar.
• Tillåtna kryptografiska åtgärder för nycklar är begränsade till dem som krävs.

Azure Security Center: med Azure Security Centerkan kunder centralt tillämpa och hantera säkerhets principer över arbets belastningar, begränsa exponeringen för hot och identifiera och reagera på attacker. Dessutom ger Azure Security Center åtkomst till befintliga konfigurationer av Azure-tjänster för att tillhandahålla konfigurations-och tjänst rekommendationer för att förbättra säkerheten position och skydda data.

Azure Security Center använder flera olika identifierings funktioner för att meddela kunder om potentiella attacker som riktar sig mot sina miljöer. Dessa aviseringar innehåller värdefull information om vad som utlöste aviseringen, vilka resurser som berörs och attackens källa. Azure Security Center har en uppsättning fördefinierade säkerhets aviseringarsom utlöses när ett hot eller misstänkt aktivitet äger rum. Anpassade aviserings regler i Azure Security Center låter kunderna definiera nya säkerhets aviseringar baserat på data som redan har samlats in från deras miljö.

Azure Security Center ger prioriterade säkerhets aviseringar och incidenter, vilket gör det enklare för kunderna att upptäcka och åtgärda potentiella säkerhets problem. En hot informations rapport genereras för varje identifierat hot för att hjälpa incident hanterings team att undersöka och åtgärda hot.

Azure Application Gateway: arkitekturen minskar risken för säkerhets problem med en Azure Application Gateway med en brand vägg för webbaserade program KONFIGURERAD och OWASP-ruleset aktive rad. Fler funktioner är:

• Slut punkt till slut punkt – SSL
• Aktivera SSL-avlastning
• Inaktivera TLS v 1.0 och v 1.1
• Brand vägg för webbaserade program (skydds läge)
• Skydds läge med OWASP 3,0 ruleset
• Aktivera diagnostikloggning
• Anpassade hälso avsökningar
• Azure Security Center och Azure Advisor ger ytterligare skydd och aviseringar. Azure Security Center ger också ett ryktes system.

Loggning och granskning

Azure-tjänster loggar system-och användar aktiviteter i stor utsträckning, samt systemets hälso tillstånd:

• Aktivitets loggar: aktivitets loggar ger inblick i åtgärder som utförs på resurser i en prenumeration. Aktivitets loggar kan hjälpa till att bestämma en åtgärds initierare, tidpunkt för förekomst och status.
• Diagnostikloggar: diagnostikloggar innehåller alla loggar som har avsänts av varje resurs. Dessa loggar innehåller loggar för Windows Event system, Azure Storage loggar, Key Vault gransknings loggar och Application Gateway åtkomst-och brand Väggs loggar. Alla diagnostiska loggar skriver till ett centraliserat och krypterat Azure Storage-konto för arkivering. Kvarhållning är en användare som kan konfigureras, upp till 730 dagar, för att uppfylla organisationens särskilda krav för kvarhållning.

Azure Monitor loggar: dessa loggar konsol IDE ras i Azure Monitor loggar för bearbetning, lagring och instrument panels rapportering. När data har samlats in ordnas de i separata tabeller för varje datatyp inom Log Analytics arbets ytor, vilket innebär att alla data kan analyseras tillsammans oavsett den ursprungliga källan. Dessutom kan Azure Security Center integreras med Azure Monitor loggar som gör det möjligt för kunder att använda Kusto-frågor för att komma åt sina säkerhets händelse data och kombinera dem med data från andra tjänster.

Följande lösningar för Azure- övervakning ingår som en del av den här arkitekturen:

• Active Directory-utvärdering: den Active Directory hälso kontroll lösningen utvärderar hälso-och hälso tillståndet i Server miljöer med jämna mellanrum och ger en prioriterad lista med rekommendationer som är relaterade till den distribuerade Server infrastrukturen.
• SQL-utvärdering: med SQL-hälsokontroll-lösningen bedöms risken och hälsan i Server miljöer med jämna mellanrum och ger kunderna en prioriterad lista med rekommendationer som är relaterade till den distribuerade Server infrastrukturen.
• Agenthälsa: agenthälsa lösning rapporterar hur många agenter som distribueras och deras geografiska distribution, samt hur många agenter som inte svarar och antalet agenter som skickar drift data.
• Aktivitetslogganalys: Aktivitetslogganalys lösningen hjälper till med analys av Azures aktivitets loggar i alla Azure-prenumerationer för en kund.

Azure Automation: Azure Automation lagrar, kör och hanterar Runbooks. I den här lösningen kan Runbooks samla in loggar från Azure SQL Database. Med Automation ändringsspårning -lösningen kan kunder enkelt identifiera ändringar i miljön.

Azure Monitor: Azure Monitor hjälper användare att spåra prestanda, upprätthålla säkerhet och identifiera trender genom att göra det möjligt för organisationer att granska, skapa aviseringar och arkivera data, inklusive att spåra API-anrop i sina Azure-resurser.

Application Insights: Application Insights är en utöknings bar hanterings tjänst för program prestanda för webbutvecklare på flera plattformar. Application Insights identifierar prestanda avvikelser och kunder kan använda den för att övervaka Live-webbprogrammet. Den innehåller kraftfulla analys verktyg som hjälper kunder att diagnostisera problem och förstå vad användare faktiskt gör med sina appar. IT'är utformat för att hjälpa kunder att kontinuerligt förbättra prestanda och användbarhet.

Hot modell

Data flödes diagrammet för den här referens arkitekturen är tillgängligt för hämtning eller finns nedan. Den här modellen kan hjälpa kunder att förstå punkter av potentiell risk i system infrastrukturen när de gör ändringar.

Dokumentation om efterlevnad

I matrisen handlingsplan för säkerhet och efterlevnad i Azure – PCI DSS kund ansvar visas styrkort och processor ansvar för alla PCI DSS 3,2-krav.

Matrisen handlingsplan för säkerhet och efterlevnad i Azure – PCI DSS PaaS Web Application implementation innehåller information om vilka PCI DSS 3,2-krav som hanteras av PaaS-webbappens arkitektur, inklusive detaljerade beskrivningar av hur implementeringen uppfyller kraven för varje artikel som omfattas.

Distribuera den här lösningen

Den här Handlingsplan för säkerhet och efterlevnad i Azure Automation består av JSON-konfigurationsfiler och PowerShell-skript som hanteras av Azure Resource Managers API-tjänst för att distribuera resurser i Azure. Detaljerade distributions anvisningar finns här.

Snabbstart

1. Klona eller ladda ned den här GitHub-lagringsplatsen till din lokala arbets Station.

2. Granska 0-Setup-AdministrativeAccountAndPermission.md och kör de tillhandahållna kommandona.

3. Distribuera en test lösning med contoso-exempel data eller pilot en inledande produktions miljö.

   • 1A-ContosoWebStoreDemoAzureResources. ps1
     • Det här skriptet distribuerar Azure-resurser för en demonstration av en WebStore med exempel data från contoso.
   • 1-DeployAndConfigureAzureResources. ps1
     • Det här skriptet distribuerar de Azure-resurser som behövs för att stödja en produktions miljö för ett kundägda webb program. Den här miljön bör anpassas ytterligare av kunden utifrån organisationens krav.

Vägledning och rekommendationer

VPN-och ExpressRoute

En säker VPN-tunnel eller ExpressRoute måste konfigureras för att på ett säkert sätt upprätta en anslutning till resurserna som distribuerats som en del av den här PaaS-webbprogrammets referens arkitektur. Genom att konfigurera en VPN-eller ExpressRoute på lämpligt sätt kan kunder lägga till ett skydds lager för data under överföring.

Genom att implementera en säker VPN-tunnel med Azure kan du skapa en virtuell privat anslutning mellan ett lokalt nätverk och en Azure-Virtual Network. Den här anslutningen sker via Internet och gör det möjligt för kunder att på ett säkert sätt "tunnel " information i en krypterad länk mellan kundens'nätverk och Azure. VPN för plats-till-plats är en säker, vuxen teknik som har distribuerats av företag i alla storlekar i årtionden. IPSec-tunnelläge används i det här alternativet som en krypterings metod.

Eftersom trafiken i VPN-tunneln passerar Internet med en plats-till-plats-VPN, erbjuder Microsoft en annan, ännu mer säker anslutnings möjlighet. Azure ExpressRoute är en särskild WAN-länk mellan Azure och en lokal plats eller en Exchange-värd leverantör. Eftersom ExpressRoute-anslutningar inte går via Internet, ger dessa anslutningar mer tillförlitlighet, snabbare hastighet, lägre fördröjning och högre säkerhet än vanliga anslutningar via Internet. Dessutom, eftersom det är en direkt anslutning till kundens'teleoperatörs leverantör, överförs inte data via Internet och visas därför inte för den.

Metod tips för att implementera ett säkert hybrid nätverk som utökar ett lokalt nätverk till Azure är tillgängligt.

Ansvarsfriskrivning

• Det här dokumentet är endast avsett för information. MICROSOFT LÄMNAR INGA GARANTIER, UTTRYCKLIGA, UNDERFÖRSTÅDDA ELLER LAGSTADGADE, ENLIGT INFORMATIONEN I DET HÄR DOKUMENTET. Det här dokumentet tillhandahålls "." information och vyer som uttrycks i detta dokument, inklusive URL: er och andra webbplats referenser, kan ändras utan föregående meddelande. Kunder som läser det här dokumentet bär risken för att använda det.
• Detta dokument ger inte kunderna några juridiska rättigheter till någon immateriell egendom i någon Microsoft-produkt eller-lösning.
• Kunder får kopiera och använda det här dokumentet för intern referens.
• Vissa rekommendationer i det här dokumentet kan leda till ökad data-, nätverks-eller beräknings resursanvändning i Azure och kan öka en kund's Azure-licens eller prenumerations kostnader.
• Den här arkitekturen är avsedd att fungera som grund för kunderna att anpassa sig efter sina särskilda krav och bör inte användas i en produktions miljö.
• Det här dokumentet utvecklas som en referens och bör inte användas för att definiera alla medel som en kund kan uppfylla särskilda krav och föreskrifter för efterlevnad. Kunderna bör söka juridisk support från organisationen om godkända kund implementeringar.