Plánování, implementace a monitorování Microsoft Cloud for Sovereignty
Microsoft Cloud for Sovereignty poskytuje nástroje a pokyny pro IT profesionály a úředníky pro bezpečnost informací v průběhu životního cyklu implementace cloudu. Zbývající část tohoto článku představuje možnosti v kontextu tří fází životního cyklu implementace a odkazuje na podrobné články o každém z článků.
- Plán: Naplánujte migraci do cloudu.
- Implementovat: Implementujte suverénní a vyhovující architekturu.
- Monitorování a audit: Monitorujte a auditujte svá data a pracovní zátěž, abyste je udrželi v bezpečí.
Plán
Organizace veřejného sektoru, které mají přísné požadavky na suverenitu, musí začlenit své cíle suverenity do svého plánovacího úsilí. Tento proces zajišťuje, že strategická rozhodnutí o přijetí cloudu jsou v souladu s těmito požadavky na suverenitu.
Suverénní požadavky
Microsoft Cloud Adoption Framework pro Azure je rámec pro celý životní cyklus, který umožňuje cloudovým architektům, IT profesionálům a osobám s rozhodovací pravomocí dosáhnout svých cílů v oblasti cloudu. Rámec poskytuje osvědčené postupy, dokumentaci a nástroje, které vám pomohou vytvářet a implementovat obchodní a technologické strategie pro cloud.
Můžete si přečíst Vyhodnocení suverénních požadavků, abyste pochopili, jak vyhodnotit, identifikovat a zdokumentovat požadavky na suverenitu, a zkontrolovat doporučení, kde mohou tyto požadavky zapadnout do širšího plánování spojeného s Cloud Adoption Framework pro Azure.
Geografická dostupnost Cloud for Sovereignty
Klíčovou součástí plánování je pochopení a vyhodnocení regionální dostupnosti služeb souvisejících se suverenitou. Článek Mezinárodní dostupnost Microsoft Cloud for Sovereignty poskytuje přehled.
Možnosti datové rezidence a datová hranice EU
Rezidence dat je společným regulačním požadavkem pro údaje veřejného sektoru. Požadavky na rezidenci dat mohou omezit, kde lze různé typy dat ukládat a zpracovávat. Některé předpisy mohou také ukládat omezení ohledně toho, kam lze data přenášet. Microsoft Cloud for Sovereignty umožňuje konfigurovat suverénní cílové zóny (SLZ), abyste omezili služby a oblasti, které lze použít, a vynutili konfiguraci služeb pro splnění požadavků na rezidenci dat. Další informace naleznete v tématu Rezidence dat.
Kromě toho je datová hranice EU geograficky definovaná hranice, v rámci které se Microsoft zavázal ukládat a zpracovávat zákaznická data pro velké komerční podnikové online služby, včetně Azure, Dynamics 365, Power Platform, a Microsoft 365. Datová hranice EU poskytuje závazky týkající se rezidence dat nad rámec toho, co Microsoft Cloud for Sovereignty spravuje, zejména pokud jde o umístění dat pro neregionální služby Azure. Další informace naleznete v článku Datová hranice EU.
Portfolio a základy zásad Cloud for Sovereignty
Portfolio suverénních zásad zahrnuje základní iniciativy suverénních zásad Azure a iniciativy zásad, které jsou určeny k tomu, aby pomáhaly splnit předpisy pro dodržování předpisů pro konkrétní region. Tyto iniciativy zásad pomáhají zákazníkům z veřejného sektoru v jejich úsilí rychle dodržovat různé regulační rámce. Tyto iniciativy zásad doprovází související kontrolní mapování a dokumentace. Další informace naleznete v portfoliu zásad.
Implementace
Během fáze implementace mohou organizace veřejného sektoru urychlit definici a nasazení suverénních prostředí pomocí nástrojů a pokynů Microsoft Cloud for Sovereignty.
Suverénní cílová zóna
Suverénní cílová zóna (SLZ) je variantou cílové zóny Azure (ALZ), která poskytuje podnikovou cloudovou infrastrukturu zaměřenou na provozní řízení dat v klidu, při přenosu a při používání. SLZ slaďuje funkce Azure, jako je umístění služby, klíče spravované zákazníkem, privátní odkazy a důvěrné výpočty, aby se vytvořila cloudová architektura, kde data a pracovní zátěže standardně používají šifrování a ochranu před hrozbami. SLZ můžete nasadit pomocí jediného příkazu PowerShell a několika parametrů.
SLZ je dostupné na GitHub. Další informace najdete v článku Přehled suverénní cílové zóny.
Nástroje pro správu životního cyklu přistávací plochy (Preview)
Microsoft Cloud for Sovereignty poskytuje následující nástroje pro správu životního cyklu cílové zóny prostřednictvím GitHubu:
- Vyhodnocení: Provádí vyhodnocení před nasazením zdrojů Azure, jako je jejich umístění a Azure přiřazení zásad, oproti zavedeným osvědčeným postupům.
- Kompilátor zásad: Zjednodušuje proces správy zásad. Systematicky analyzuje iniciativy zásad vaší organizace zkoumáním klíčových komponent.
- Drift Analyzer: Monitoruje a porovnává aktuální stav cloudového prostředí s původní zamýšlenou konfigurací přistávací zóny. Identifikuje kritické odchylky nebo změny.
Další informace viz Nástroje správy životního cyklu cílové zóny.
Suverénní mantinely v prostředích Dataverse a Power Platform pro větší suverenitu dat (Preview)
Prostředí Dataverse a Power Platform můžete nakonfigurovat na vylepšenou suverenitu dat. Můžete použít centrum pro správu Microsoft Power Platform pro centralizovanou správu prostředí a nastavení, včetně nastavení tenanta pro řízení vytváření a správy prostředí. Můžete také použít specifické kontroly přístupu pro Dataverse a Power Platform, abyste zajistili soulad s požadavky na suverenitu. Další informace naleznete v části Konfigurace Dataverse a Power Platform prostředí pro větší suverenitu dat.
Šifrování a správa klíčů
Pro bezpečnou a suverénní implementaci je zásadní implementovat správnou strategii šifrování a správy klíčů. Další informace naleznete v části Správa klíčů a správa certifikátů.
Důvěrné zpracování Azure
Microsoft Cloud for Sovereignty pomáhá zákazníkům konfigurovat a chránit jejich data a zdroje způsoby, které jsou v souladu s jejich konkrétními regulačními požadavky a požadavky na suverenitu. Zahrnuje zajištění toho, aby strany mimo kontrolu zákazníka, včetně společnosti Microsoft, neměly přístup k zákaznickým datům. Spolu s Azure confidential computin (ACC) Microsoft Cloud for Sovereignty poskytuje zákazníkům přehled a kontrolu nad veškerým přístupem k jejich úlohám. ACC zvyšuje suverenitu zákazníků odstraněním nebo omezením privilegovaného přístupu k datům pro operátora cloudového poskytovatele a další aktéry, včetně softwaru, jako je hypervizor. ACC pomáhá chránit data po celou dobu jejich životního cyklu vedle stávajících řešení, která chrání data v klidu a při přenosu. Další informace naleznete v části Důvěrné zpracování Azure.
Ukázková aplikace
Použijte ukázkovou důvěrnou aplikaci personalistiky (HR), která zajišťuje a ověřuje, že nasazená infrastruktura suverénní cílové zóny (SLZ) slouží potřebám důvěry úlohy zákazníka. Další informace najdete v článku Důvěrná ukázková aplikace.
Ukázková referenční architektura (Preview)
Běžným scénářem pro nasazení SLZ je použití LLM k zapojení do konverzací pomocí vašich vlastních dat prostřednictvím vzoru rozšířeného generování načtení (RAG). Tento vzor vám umožňuje využít schopnosti uvažování LLM a generovat odpovědi na základě vašich konkrétních dat, aniž byste museli model dolaďovat. Usnadňuje bezproblémovou integraci LLM do vašich stávajících obchodních procesů nebo řešení. Podívejte se, jak mohou být tyto technologie aplikovány v suverénního cílových zónách, a zároveň bere v úvahu důležité mantinely. Více informací viz LLM a Azure OpenAI ve vzoru rozšířeného generování načtení (RAG).
Migrace a modernizace
Microsoft Cloud for Sovereignty poskytuje nástroje a pokyny pro migraci úloh do cloudu. Další informace najdete v tématu Přehled migrací úloh.
Šablony úloh
Šablony pracovní zátěže poskytují produkční, opakovaně použitelná, bezpečná a vyhovující automatizovaná nasazení pro běžné typy úloh. Šablona úlohy se zaměřuje na správně nakonfigurované nasazení jedné nebo více služeb Azure způsobem, který lze opakovaně použít. Další informace najdete v článku Šablony úloh pro suverénní cílovou zónu.
Monitorování a audity
Kromě bohaté sady služeb, které Microsoft Azure poskytuje ke sledování vašich úloh a jejich zabezpečení, jako je Azure Monitor a Defender for Cloud, Microsoft Cloud for Sovereignty představuje nové možnosti a služby.
Transparency logs v Azure (Preview)
K získání důvěry suverénních zákazníků Microsoft Cloud for Sovereignty poskytuje další ovládací prvky protokolování a monitorování, které zvyšují úroveň transparentnosti v personálních aktivitách společnosti Microsoft. Výsledkem je, že zákazníci mají přehled nad rámec standardních možností veřejného cloudu, který jim pomáhá s požadavky na audit a řízení přístupu.
Protokoly transparentnosti jsou k dispozici v omezené míře a podléhají požadavkům na způsobilost zákazníka. Schválení zákazníci dostávají měsíční zprávu pro svého tenanta, která shrnuje případy, kdy je technikovi Microsoftu nebo agentovi podpory udělen dočasný přístup k prostředkům Azure zákazníka.
Další informace najdete v části Protokoly transparentnosti.
Program zabezpečení státních úřadů
Program zabezpečení státních úřadů (GSP) je stávající program společnosti Microsoft navržený tak, aby poskytoval kvalifikovaným státním účastníkům důvěrné informace, které potřebují, aby mohli důvěřovat produktům a službám společnosti Microsoft. Program zahrnuje řízený přístup ke zdrojovému kódu, výměnu informací o hrozbách a zranitelnostech, zapojení do technického obsahu o produktech a službách společnosti Microsoft a přístup do Centra transparentnosti. Microsoft Cloud for Sovereignty rozšiřuje program GSP k pokrytí některých služeb Azure. Další informace naleznete v části Program zabezpečení státních úřadů.
Ovládací prvky transparentnosti v Dataverse a Power Platform (Preview)
Můžete také nastavit ovládací prvky transparentnosti v Dataverse a Power Platform, které jsou klíčové pro dodržování suverénních zásad.
Další informace najdete v části Ovládací prvky transparentnosti v Dataverse a Power Platform.