Microsoft Cloud for Sovereignty 策略组合

  • 项目

Azure 提供了一系列符合各种法规合规框架和行业标准的内置计划。 这些计划涵盖数据保护、网络安全和访问控制等关键方面。 通过实施强大的配置和控制,您可以增强组织 Azure 资源的主权和安全地位,并保护敏感数据免遭未经授权的访问。

Microsoft Cloud for Sovereignty 会通过定期添加更多计划来扩展现有的 Azure 内置计划

Azure 内置策略计划

Azure 内置策略计划是一个强大的工具集,可实现对 Azure 资源的集中控制和对特定配置的强制执行。 这些计划包括一系列策略定义,支持遵守不同监管框架、行业标准和安全最佳做法。

这些计划提供了一种简化的自动化的治理方法,让组织能够大规模管理和监视合规情况。 有关策略计划的更多信息,请参阅什么是 Azure policy?

Microsoft Cloud for Sovereignty 策略计划

Microsoft Cloud for Sovereignty 计划和合规性映射对 Azure 内置计划进行扩展,可帮助您自动执行策略并建立强大的治理框架,降低不合规风险。 此外,这些计划还加强了数据保护措施。 当我们在其他框架上继续扩展时,组织可以使用大量可用的法规合规内置计划。

法规合规策略计划

Microsoft Cloud for Sovereignty 维护多项法规合规策略计划。

其中一项策略计划支持政府信息安全基准(荷兰语为 Baseline informatiebeveiliging Overheid 或 BIO)内的云特定技术要求,这是荷兰各级政府(中央政府、市政府、省政府和水务委员会)内信息安全的基础标准框架。 有关 BIO 云主题计划的更多信息,请参见 azure-policy/built-in-policies/policySetDefinitions

Microsoft Cloud for Sovereignty 最近发布了两项额外的法规合规策略计划;Microsoft Cloud for Sovereignty 基准全球策略Microsoft Cloud for Sovereignty 基准机密策略

主权基准策略计划

Microsoft Clouds for Sovereignty 策略计划主要是为了帮助证明特定的安全控制框架的合规性。 但是,主权基准策略计划是一组特殊的内置 Azure Policy 计划,用途是通过主权控制来补充框架。

主权控制帮助正确使用 Azure 机密计算产品/服务,这些产品/服务以组织易于采用的方式提供超过现有安全控制框架通常需要的数据保护防护。

主权基准策略计划为组织提供了一种简单的方法,以解决一个或多个主权控制目标的方式配置多个 Azure 策略,如下所示:

  • 客户数据必须完全在位于根据客户定义的要求批准的地理区域的数据中心存储和处理。
  • 客户必须批准云和托管服务操作员访问客户数据。
  • 客户定义的敏感客户数据只能以加密方式供云和托管服务操作员访问。
  • 客户必须对决定哪些身份可以访问用于解密客户定义的敏感数据的密钥有独占控制权。

这些控制目标是 Azure 建议的最佳做法,通过支持存储或处理客户数据的各个 Azure 产品/服务中的适当使用和配置来解决数据主权问题。 如果您感觉基准中还有必要包含其他一些控制目标,您可以创建功能请求

主权基准策略计划随主权登陆区域预装,或者可以作为内置 Azure Policy 部署在任何 Azure 租户中。

主权基准策略计划不会取代内置的法规合规计划或直接映射到任何框架。 组织应继续利用其现有计划来证明遵守所有适当的监管框架。

有关 Microsoft 如何看待数据主权的更多信息,请查看我们的白皮书

自定义策略计划

Microsoft Cloud for Sovereignty 通过 GitHub 上的 Cloud for Sovereignty 策略组合让多项自定义策略计划和合规映射可供访问。 Microsoft Cloud for Sovereignty 策略计划有助于自定义部署,以减少审核环境所需的时间和复杂度,并可以帮助满足既定的法规合规框架和政府要求。

当前的自定义计划重点关注:

  • 意大利云策略包含意大利公共管理局数据和数字服务迁移到云的策略指南,国家网络安全局 (ACN) 发布了一组云服务和云服务基础结构资格认证要求。 此存储库中包含的策略计划和文件用来作为起点。 这些文件并不是最终或全面的解决方案,而是帮助您快速启动工作的有用资源。

  • 一个自定义 Azure 策略计划和控制映射,帮助客户满足云安全联盟 (CSA) 云控制矩阵 (CCM) v4 云计算网络安全控制框架定义的指南的要求。

要帮助部署自定义策略计划,请参阅 GitHub 上的 New-PolicySets.ps1 脚本。 此外,您还可以使用 Microsoft Defender for Cloud 功能来实施自定义计划

重要提示

组织全权负责确保自身遵守所有适用的法律和法规。 本文档中提供的信息不构成法律建议,组织应咨询其法律顾问来了解有关法规合规的任何问题。

另请参见