Planen, Umsetzen und Überwachen Microsoft Cloud for Sovereignty

Microsoft Cloud for Sovereignty bietet Tools und Anleitungen für IT-Experten und Informationssicherheitsbeauftragte während des gesamten Cloud-Implementierungslebenszyklus. Der Rest dieses Artikels stellt Funktionen im Kontext von drei Phasen eines Implementierungslebenszyklus vor und verweist auf ausführliche Artikel zu jedem der Artikel.

1. Planen: Planen Sie Ihre Cloud-Migration.
2. Implementieren: Implementieren Sie eine souveräne und konforme Architektur.
3. Überwachen und prüfen: Überwachen und prüfen Sie Ihre Daten und Workloads, um deren Sicherheit zu gewährleisten.

Plan

Organisationen des öffentlichen Sektors, die strenge Souveränitätsanforderungen haben, müssen ihre Souveränitätsziele in ihre Planungsbemühungen einbeziehen. Dieser Prozess stellt sicher, dass strategische Entscheidungen zur Cloud-Einführung mit diesen Souveränitätsanforderungen übereinstimmen.

Souveränitätsanforderungen

Das Microsoft Cloud Adoption Framework für Azure ist ein vollständiges Lebenszyklus-Framework, das Cloud-Architekten, IT-Experten und Geschäftsentscheidungsträgern hilft, ihre Cloud-Einführungsziele zu erreichen. Das Framework bietet Best Practices, Dokumentationen und Tools, die bei der Erstellung und Umsetzung von Geschäfts- und Technologiestrategien für die Cloud helfen.

Lesen Sie Souveränitätsanforderungen bewerten, um zu verstehen, wie Sie Souveränitätsanforderungen bewerten, identifizieren und dokumentieren möchten, sowie für Empfehlungen, wo diese Anforderungen in ihre umfassenderen Planungsbemühungen im Zusammenhang mit dem Cloud Adoption Framework für Azure passen könnten.

Geoverfügbarkeit von Cloud for Sovereignty

Ein wichtiger Teil der Planung besteht darin, die regionale Verfügbarkeit souveränitätsbezogener Dienstleistungen zu verstehen und zu bewerten. Der Artikel Internationale Verfügbarkeit von Microsoft Cloud for Sovereignty gibt Ihnen einen Überblick darüber.

Datenresidenzoptionen und die EU-Datengrenze

Die Datenresidenz ist eine häufige regulatorische Anforderung für Daten des öffentlichen Sektors. Anforderungen an den Datenspeicherort können einschränken, wo verschiedene Arten von Daten gespeichert und verarbeitet werden können. Einige Vorschriften können auch Einschränkungen hinsichtlich des Orts der Datenübermittlung vorsehen. Microsoft Cloud for Sovereignty ermöglicht Ihnen die Konfiguration von Sovereign Landing Zones (SLZs), um die Dienste und Regionen, die verwendet werden können, einzuschränken und die Dienstkonfiguration zu erzwingen, um die Datenresidenzanforderungen zu erfüllen. Weitere Informationen finden Sie unter Datenresidenz.

Darüber hinaus handelt es sich bei der EU-Datengrenze um eine geografisch definierte Grenze, innerhalb derer sich Microsoft verpflichtet hat, Kundendaten für große kommerzielle Online-Dienste von Unternehmen zu speichern und zu verarbeiten, darunter Azure, Dynamics 365, Power Platform und Microsoft 365. Die EU-Datengrenze sieht Verpflichtungen zur Datenresidenz vor, die darüber hinausgehen, was Microsoft Cloud for Sovereignty verwaltet, insbesondere rund um die Datenresidenz für nicht regionale Azure-Dienste. Weitere Informationen finden Sie unter EU-Datengrenze.

Richtlinienportfolio und Ausgangsbasis für „Cloud for Sovereignty“

Das Sovereign-Richtlinienportfolio umfasst die Sovereignty Baseline-Richtlinieninitiativen und Richtlinieninitiativen, die dabei helfen sollen, regionalspezifische Compliance-Vorschriften einzuhalten. Diese Richtlinieninitiativen unterstützen Kunden des öffentlichen Sektors bei ihren Bemühungen, verschiedene regulatorische Rahmenbedingungen schnell einzuhalten. Diese Richtlinieninitiativen werden von zugehörigen Kontrollzuordnungen und Dokumentationen begleitet. Siehe Richtlinienportfolio für weiterführende Informationen.

Beispielreferenzarchitektur (Vorschauversion)

Ein gängiges Szenario für die SLZ-Bereitstellung ist die Verwendung von LLMs, um über das Retrieval Augmented Generation (RAG)-Muster Unterhaltungen zu führen, bei denen Ihre eigenen Daten verwendet werden. Mit diesem Muster können Sie die Denkfähigkeiten von LLMs nutzen und Antworten auf der Grundlage Ihrer spezifischen Daten generieren, ohne dass eine Feinabstimmung des Modells erforderlich ist. Es erleichtert die nahtlose Integration von LLMs in Ihre bestehenden Geschäftsprozesse oder Lösungen. Erkunden Sie, wie diese Technologien in souveränen Zielzonen eingesetzt werden können, wobei auch wichtige Leitlinien berücksichtigt werden. Weitere Informationen finden Sie unter LLMs und Azure OpenAI im Retrieval Augmented Generation (RAG)-Muster.

Implementieren

Während der Implementierungsphase können Organisationen des öffentlichen Sektors die Definition und Bereitstellung souveräner Umgebungen mit den Werkzeuge und Richtlinien von Microsoft Cloud for Sovereignty beschleunigen.

Sovereign Landing Zone

Sovereign Landing Zone (SLZ) ist eine Variante von Azure-Landezone (ALZ), die eine unternehmensweite Cloud-Infrastruktur bereitstellt, die sich auf die operative Kontrolle von Daten im Ruhezustand, bei der Übertragung und bei der Nutzung konzentriert. Eine SLZ richtet Azure-Funktionen wie Dienstresidenz, kundenseitig verwaltete Schlüssel, private Links und vertrauliches Computing aus, um eine Cloud-Architektur zu schaffen, in der Daten und Arbeitslasten standardmäßig verschlüsselt und vor Bedrohungen geschützt werden. Sie können eine SLZ mit einem einzigen PowerShell-Befehl und einigen Parametern bereitstellen.

SLZ ist auf GitHub verfügbar. Weitere Informationen finden Sie in der Übersicht zu Sovereign Landing Zone.

Workload-Vorlagen

Workload-Vorlagen bieten automatisierte Bereitstellungen in Produktionsqualität, wiederverwendbare, sichere und konforme Designs für gängige Workload-Typen. Eine Workload-Vorlage konzentriert sich auf die ordnungsgemäß konfigurierte und wiederverwendbare Bereitstellung eines oder mehrerer Azure-Dienste. Weitere Informationen finden Sie in Workload-Vorlagen für Sovereign Landing Zone.

Tools zur Verwaltung des Lebenszyklus der Zielzone (Vorschauversion)

Microsoft Cloud for Sovereignty stellt über GitHub die folgenden Tools zur Lebenszyklusverwaltung von Zielzonen bereit:

• Bewertung: Führt vor der Bereitstellung eine Bewertung von Azure-Ressourcen, beispielsweise ihrer Standorte und Azure-Richtlinienzuweisungen, anhand etablierter Best Practices durch.
• Policy Compiler: Optimiert den Richtlinienverwaltungsprozess. Es analysiert systematisch die Richtlinieninitiativen Ihrer Organisation, indem es die wichtigen Komponenten untersucht.
• Drift Analyzer: Überwacht und vergleicht den aktuellen Zustand der Cloud Umgebung mit ihrer ursprünglich vorgesehenen Landezonenkonfiguration. Es identifiziert kritische Abweichungen oder Änderungen.

Weitere Informationen finden Sie unter Tools zur Verwaltung des Lebenszyklus der Zielzone.

Souveräne Leitlinien in Dataverse- und Power Platform-Umgebungen für mehr Datenhoheit (Vorschauversion)

Sie können Dataverse- und Power Platform-Umgebungen für eine verbesserte Datenhoheit konfigurieren. Sie können das Microsoft Power Platform Admin Center zur zentralen Verwaltung von Umgebungen und Einstellungen verwenden, einschließlich Mandanteneinstellungen zur Steuerung der Umgebungserstellung und -verwaltung. Sie können auch spezifische Zugriffssteuerung für Dataverse und Power Platform verwenden, um die Einhaltung der Souveränitätsanforderungen sicherzustellen. Weitere Informationen finden Sie unter Dataverse- und Power Platform-Umgebungen für mehr Datensouveränität konfigurieren.

Verschlüsselungs- und Schlüsselverwaltung

Für eine sichere und souveräne Implementierung ist es von entscheidender Bedeutung, die richtige Verschlüsselungs- und Schlüsselverwaltungsstrategie zu implementieren. Weitere Informationen finden Sie in diesem Artikel.

Azure Confidential Computing

Microsoft Cloud for Sovereignty hilft Kunden dabei, ihre Daten und Ressourcen so zu konfigurieren und zu schützen, dass sie ihren spezifischen regulatorischen und souveränen Anforderungen entsprechen. Dazu gehört, sicherzustellen, dass Parteien außerhalb der Kontrolle des Kunden, einschließlich Microsoft, nicht auf Kundendaten zugreifen können. Zusammen mit Azure Confidential Computing (ACC) Microsoft Cloud for Sovereignty bietet Kunden Einblick in und Kontrolle über den gesamten Zugriff auf ihre Workloads. ACC erhöht die Souveränität der Kunden, indem es den privilegierten Datenzugriff für einen Cloud-Anbieter-Betreiber und andere Akteure, einschließlich Software wie dem Hypervisor, entfernt oder reduziert. ACC trägt zusätzlich zu den bestehenden Lösungen, die Daten im Ruhezustand und während der Übertragung schützen, zum Schutz von Daten während ihres gesamten Lebenszyklus bei. Weitere Informationen finden Sie unter Azure Confidential Computing.

Beispielanwendung

Verwenden Sie ein Beispiel für eine vertrauliche Human Resources (HR)-Anwendung, die sicherstellt und überprüft, dass die bereitgestellte Infrastruktur der souveränen Zielzone (SLZ) den Vertraulichkeitsanforderungen der Kunden-Workloads entspricht. Weitere Informationen finden Sie unter Vertrauliche Beispielanwendung.

Migrieren und modernisieren

Microsoft Cloud for Sovereignty bietet Tools und Anleitungen zum Migrieren von Workloads in die Cloud. Weitere Informationen finden Sie unter Übersicht über Workload-Migrationen.

Überwachen und überprüfen

Zusätzlich zu den zahlreichen Diensten, die Microsoft Azure die Überwachung und Sicherheit Ihrer Workloads ermöglichen, wie z. B. Azure Monitor und Defender for Cloud, Microsoft Cloud for Sovereignty führt neue Funktionen und Dienste ein.

Transparenzprotokolle (Vorschauversion)

Um das Vertrauen staatlicher Kunden zu gewinnen, bietet Microsoft Cloud for Sovereignty zusätzliche Protokollierungs- und Überwachungskontrollen, die die Transparenz der Personalaktivitäten von Microsoft erhöhen. Dadurch erhalten Kunden Einblicke, die über die Standardfunktionen der öffentlichen Cloud hinausgehen, und helfen so bei Prüfungs- und Zugriffskontrollanforderungen.

Transparenzprotokolle sind begrenzt verfügbar und unterliegen den Berechtigungsanforderungen des Kunden. Genehmigte Kunden erhalten einen monatlichen Bericht für ihren Mandanten, der die Fälle zusammenfasst, in denen einem Microsoft-Techniker oder Supportmitarbeiter vorübergehender Zugriff auf die Azure-Ressourcen des Kunden gewährt wird.

Weitere Informationen finden Sie unter Transparenzprotokolle.

Transparenzkontrollen in Dataverse und Power Platform (Vorschauversion)

Sie können Transparenzkontrollen auch in Dataverse und Power Platform festlegen, die für die Einhaltung souveräner Richtlinien von entscheidender Bedeutung sind.

Weitere Informationen finden Sie unter Transparenzkontrollen in Dataverse und Power Platform.

Government Security Program

Das Government Security Program (GSP) ist ein bestehendes Microsoft-Programm, das qualifizierten Regierungsteilnehmern die vertraulichen Informationen zur Verfügung stellen soll, die sie benötigen, um Microsoft-Produkten und -Diensten vertrauen zu können. Das Programm umfasst den kontrollierten Zugriff auf den Quellcode, den Austausch von Bedrohungs- und Schwachstelleninformationen, die Beteiligung an technischen Inhalten zu Microsoft-Produkten und -Diensten sowie den Zugriff auf Transparenzzentren. Microsoft Cloud for Sovereignty hat das GSP-Programm erweitert, um einige Azure-Dienste abzudecken. Weitere Informationen finden Sie unter Government Security Program.

Siehe auch

• Warum die öffentliche Cloud Microsoft für Souveränität nutzen?
  
• Konzepte der Sovereign Landing Zone