Definování strategie suverenity
Tento článek popisuje, jak naplánovat strategii suverenity při používání cloudových služeb. Mnoho geopolitických oblastí má předpisy pro zpracování konkrétních typů dat, jako jsou data citlivá na ochranu osobních údajů a data státní správy. Předpisy obvykle vynucují požadavky na suverenitu související s rezidencí dat, kontrolou dat a někdy provozní nezávislostí (označovanou jako autarky).
Pokud vaše organizace potřebuje dodržovat tyto předpisy, měli byste definovat strategii pro splnění požadavků na suverenitu. Pokud se vaše organizace přesune z místních služeb na cloudové služby, musíte odpovídajícím způsobem upravit strategii suverenity.
Modernizace strategie suverenity
V místním datacentru zodpovídáte za většinu aspektů, které jsou obvykle spojené se suverenitou, včetně:
- Datacentra, kde se data ukládají a zpracovávají.
- Přístup k datacentrům a fyzické infrastruktuře.
- Hardware a software, včetně hardwarového a softwarového dodavatelského řetězce.
- Procesy záruky, které ověřují hardware a software.
- Infrastruktura a procesy, které zajišťují kontinuitu podnikových procesů, pokud dojde k havárii nebo geopolitické události.
- Konfigurace a procesy, které určují, kdo má přístup k datům a systémům.
- Nástroje a procesy, které zabezpečují data a systémy před vnějšími a vnitřními hrozbami.
Při přijetí cloudových služeb se odpovědnost těchto aspektů přesune na sdílenou odpovědnost. Váš tým dodržování předpisů změní strategii, kterou používá k určení, jestli jsou splněny požadavky na suverenitu. Tým dodržování předpisů se domnívá, že:
Dodržování předpisů cloudových služeb. Jak služby poskytovatele cloudu splňují požadavky na suverenitu a dodržování předpisů?
Dodržování předpisů systémů a procesů, za které zodpovídá vaše organizace. Které nástroje jsou k dispozici, které vám pomůžou splnit požadavky na suverenitu a dodržování předpisů a jak tyto nástroje používat?
Tým dodržování předpisů může potřebovat spolupracovat s regulačním orgánem, aby získal oprávnění k používání alternativních metod, které dosahují stejných cílů. V některýchpřípadechch Změna regulace může být zdlouhavý proces. Pokud však můžete prokázat, že jste dosáhli záměru nařízení, může být možné získat výjimky.
Například nařízení může organizacím omezit používání určitých cloudových služeb, protože požadavky na izolaci je možné splnit pouze s hardwarovou izolací, která je obvykle v cloudu dostupná. Zamýšlený výsledek se ale dá získat také s virtuální izolací. V rámci vaší strategie musíte určit, jak pracovat s regulačními orgány a auditory, když dojde k těmto potenciálním blokováním.
Další informace o tom, jak vyhovět potřebám dodržování předpisů a suverenity, najdete v tématu Microsoft Cloud for Sovereignty.
Dodržování předpisů cloudových služeb
Tým dodržování předpisů používá k ověření dodržování předpisů cloudových služeb různé zdroje a metody, mezi které patří:
Dokumentace dodavatele o tom, jak jejich služby fungují a jak je používat, například produktová dokumentace k programu FedRAMP (Federal Risk and Authorization Management Program) USA a plány zabezpečení systému.
Nezávislé certifikace auditorů , které certifikují dodržování předpisů pro globální, regionální a oborové architektury dodržování předpisů. Další informace najdete v tématu Nabídky dodržování předpisů pro Microsoft 365, Azure a další služby Microsoft.
Sestavy auditu, které nezávislé auditory vytvářejí, aby poskytovaly přehled o tom, jak cloudové služby splňují požadavky globálních, regionálních a oborových architektur dodržování předpisů. Některé sestavy auditu jsou k dispozici na portálu Service Trust Portal.
Audity prováděné týmem dodržování předpisů nebo jménem týmu dodržování předpisů prostřednictvím nabídek auditu dodavatelů, jako je program státní správy zabezpečení (k dispozici pouze pro vybrané zákazníky).
Protokoly transparentnosti, které poskytují podrobnosti o tom, kdy technici Microsoftu přistupovali k vašim prostředkům.
Kombinace zdrojů a metod, které tým dodržování předpisů používá, závisí na úrovni potřebných přehledů, důvěryhodnosti, kterou máte v různých možnostech, a na prostředcích a rozpočtu. Certifikace auditora třetí strany eliminuje potřebu vašeho týmu provádět audit a náklady méně, ale vyžaduje důvěru v auditor a audit.
Dodržování předpisů systémů a procesů
Procesy a systémy dodržování předpisů vaší organizace můžou těžit z přidaných funkcí cloudových služeb. Tyto funkce můžete použít k těmto možnostem:
Vynucujte nebo hlásíte technické zásady. Můžete například zablokovat nasazení služeb nebo konfigurací nebo nahlásit porušení, která nesplňují technické požadavky na suverenitu a dodržování předpisů.
Použijte předem připravené definice zásad, které jsou v souladu s konkrétními architekturami dodržování předpisů.
Protokolujte a monitorujte audity.
Používejte nástroje zabezpečení. Další informace najdete v tématu Definování strategie zabezpečení.
Provádění technických možností zajištění a monitorování, jako je důvěrné výpočetní prostředí Azure.
Pečlivě zvažte tyto možnosti pro prostředí vaší organizace a jednotlivé úlohy. Pro každou funkci zvažte potřebné úsilí, použitelnost a funkci. Vynucení zásad je například relativně jednoduchá metoda, která podporuje dodržování předpisů, ale může omezit, které služby můžete použít a jak je můžete použít. Ve srovnání s technickým zajištěním je značné úsilí a je více omezující, protože je k dispozici pouze pro několik služeb. Vyžaduje také značné množství znalostí.
Přijmout sdílenou odpovědnost
Když přijmete cloudové služby, přijmete model sdílené odpovědnosti. Určete, které odpovědnosti se přesunou na poskytovatele cloudu a které zůstávají s vámi. Seznamte se s tím, jak tyto změny ovlivňují požadavky na suverenitu předpisů. Další informace najdete v prostředcích v oblasti dodržování předpisů cloudových služeb. Pokud chcete získat základní zobrazení, zvažte následující zdroje informací:
Zabezpečení infrastruktury Azure popisuje, jak Microsoft poskytuje ochranu fyzické infrastruktury.
Integrita a zabezpečení platformy Azure popisuje, jak Microsoft poskytuje ochranu před hrozbami pro platformu a procesy technické záruky.
Rezidence dat v Azure popisuje funkce rezidence dat. Informace o zákaznících v Evropské unii (EU) najdete v tématu Hranice dat MICROSOFT EU.
Poskytovatel cloudu částečně poskytuje provozní kontinuitu prostřednictvím odolnosti platformy tím, že zajišťuje kontinuitu důležitých systémů, které provozují cloud. Služby, které úloha používá, poskytují možnosti kontinuity, které můžete použít k sestavení úloh. Nebo můžete použít jiné služby, jako je Azure Backup nebo Azure Site Recovery. Další informace najdete v dokumentaci ke spolehlivosti Azure.
Poskytovatel cloudu zodpovídá za zabezpečení přístupu ke cloudové platformě z interních i externích hrozeb. Zákazníci zodpovídají za konfiguraci svých systémů pro zabezpečení dat prostřednictvím správy identit a přístupu, šifrování a dalších bezpečnostních opatření. Další informace najdete v tématu Definování strategie zabezpečení.
Použití klasifikací k rozlišení dat
Různé typy dat a úloh můžou mít různé požadavky na suverenitu v závislosti na faktorech, jako je důvěrnost dat a to, jestli obsahují data citlivá na ochranu osobních údajů. Je důležité pochopit, které klasifikace dat platí pro vaši organizaci a na která data a systémy se vztahují klasifikace. Některá data a aplikace podléhají více předpisům, které můžou vytvořit potřebu kombinovaných požadavků. Může se například jednat o nařízení týkající se důvěrnosti dat a závažnosti systému. Výsledné klasifikace můžou mít vysokou důvěrnost a nízkou závažnost nebo střední důvěrnost a vysokou závažnost.
Když splňujete požadavky na suverenitu, může to mít vliv na další faktory, jako jsou náklady, odolnost, škálovatelnost, zabezpečení a bohaté služby. Pro strategii suverenity je důležité použít správné ovládací prvky na klasifikaci dat. Univerzální přístup vede k prostředí, které upřednostňuje nejvyšší požadavky na dodržování předpisů, což je pravděpodobně nejnákladnější a nejméně výhodné.
Další kroky
Cloud for Sovereignty poskytuje přehled o suverénních funkcích na platformě Azure a popisuje, jak řešit požadavky na suverenitu.
Zabezpečení a suverenita nejsou stejné, ale pokud nejste zabezpečení, nemůžete být suverénní. Proto musíte definovat strategii zabezpečení, která se integruje s vaší strategií suverenity.