Freigeben über


Details zur integrierten Initiative „Grundwerte für globale Richtlinien für Microsoft Cloud for Sovereignty“

Der folgende Artikel enthält Details dazu, wie die integrierte Azure Policy-Initiative zur Einhaltung gesetzlicher Bestimmungen den Compliancedomänen und Kontrollen in den Grundwerten für globale Richtlinien für Microsoft Cloud for Sovereignty entspricht. Weitere Informationen zu diesem Compliancestandard finden Sie unter Grundwerte für globale Richtlinien für Microsoft Cloud for Sovereignty. Um die Eigentumsverhältnisse zu verstehen, überprüfen Sie den Richtlinientyp und die gemeinsame Verantwortung in der Cloud.

Die folgenden Zuordnungen gelten für die Steuerelemente der Grundwerte für globale Richtlinien für Microsoft Cloud for Sovereignty. Viele der Steuerungen werden über die Definition einer Azure Policy-Initiative implementiert. Zum Anzeigen der vollständigen Initiativendefinition öffnen Sie Policy im Azure-Portal und wählen dann die Seite Definitionen aus. Suchen Sie anschließend die integrierte Initiativendefinition zur Einhaltung gesetzlicher Bestimmungen [Vorschau]: Grundwerte für globale Richtlinien für Sovereignty.

Wichtig

Jede Steuerung unten ist einer oder mehreren Azure Policy-Definitionen zugeordnet. Diese Richtlinien können Ihnen bei der Konformitätsbewertung mit der Steuerung helfen. Es gibt jedoch oft keine 1:1- oder vollständige Übereinstimmung zwischen einer Steuerung und einer bzw. mehreren Richtlinien. Daher bezieht sich Konform in Azure Policy nur auf die Richtliniendefinitionen selbst und gewährleistet nicht die vollständige Compliance mit allen Anforderungen einer Steuerung. Außerdem enthält der Kompatibilitätsstandard Steuerungen, die derzeit von keiner Azure Policy-Definition abgedeckt werden. Daher ist die Konformität in Azure Policy nur eine partielle Ansicht Ihres gesamten Konformitätsstatus. Die Zuordnungen zwischen Compliancebereichen, Steuerungen und Azure Policy-Definitionen für diesen Konformitätsstandard können sich im Lauf der Zeit ändern. Den Änderungsverlaufs finden Sie im GitHub-Commit-Verlauf.

SO.1 – Datenresidenz

Azure-Produkte müssen in zugelassenen Regionen bereitgestellt und für die Verwendung dieser Regionen konfiguriert werden.

ID: Grundlegende MCfS-Sovereignty-Richtlinien SO.1 Besitz: Geteilt

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Zulässige Speicherorte Mit dieser Richtlinie können Sie die Speicherorte einschränken, die Ihre Organisation beim Bereitstellen von Ressourcen angeben kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. Schließt Ressourcengruppen, Microsoft.AzureActiveDirectory/b2c-Verzeichnisse und Ressourcen aus, die die Region „global“ verwenden. deny 1.0.0
Zulässige Standorte für Ressourcengruppen Mit dieser Richtlinie können Sie die Standorte einschränken, an denen Ihr Unternehmen Ressourcengruppen erstellen kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. deny 1.0.0
Für Azure Cosmos DB zulässige Standorte Mit dieser Richtlinie können Sie die Standorte einschränken, die Ihre Organisation beim Bereitstellen von Azure Cosmos DB-Ressourcen angeben kann. Wird zur Erzwingung Ihrer Geokonformitätsanforderungen verwendet. [parameters('policyEffect')] 1.1.0

SO.5 – Vertrauenswürdiger Start

VMs sollten nach Möglichkeit mit SKUs für vertrauenswürdige Starts und aktiviertem vertrauenswürdiger Start konfiguriert werden.

ID: Grundlegende MCfS-Sovereignty-Richtlinien SO.5 Besitz: Geteilt

Name
(Azure-Portal)
BESCHREIBUNG Auswirkungen Version
(GitHub)
Datenträger und Betriebssystemimage sollten TrustedLaunch unterstützen TrustedLaunch verbessert die Sicherheit eines virtuellen Computers, der das Betriebssystemdatenträger- und Betriebssystemimage erfordert, um ihn zu unterstützen (Gen 2). Weitere Informationen zu TrustedLaunch finden Sie unter https://aka.ms/trustedlaunch Audit, Disabled 1.0.0
Für den virtuellen Computer sollte TrustedLaunch aktiviert sein Aktivieren Sie TrustedLaunch auf dem virtuellen Computer für erhöhte Sicherheit, verwenden Sie VM-SKU (Gen 2), was TrustedLaunch unterstützt. Weitere Informationen zu TrustedLaunch finden Sie unter https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch Audit, Disabled 1.0.0

Nächste Schritte

Weitere Artikel über Azure Policy: