Microsoft Cloud for Sovereignty の計画、実装、監視
Microsoft Cloud for Sovereignty は、クラウド導入のライフサイクル全体を通じて、IT 専門家と情報セキュリティ責任者のためのツールとガイダンスを提供します。 この記事の残りの部分では、実装ライフサイクルの 3 つのステージの文脈で能力を紹介し、それぞれの記事に関する詳細な記事を参照します。
プラン
厳密なソブリン要件がある公共部門組織は、ソブリン目標を計画策定に組み込む必要があります。 このプロセスにより、クラウド導入に関する戦略的意思決定がソブリン要件に沿ったものとなります。
ソブリンの要件
Azure 用 Microsoft クラウド導入フレームワーク は、クラウドアーキテクト、IT プロフェッショナル、ビジネス意思決定者がクラウド導入の目標を達成するためのフルライフサイクルフレームワークです。 このフレームワークは、クラウドのビジネス戦略とテクノロジー戦略の策定と実施を支援するベストプラクティス、ドキュメント、ツールを提供します。
ソブリン要件を評価する では、ソブリン要件を評価、識別、文書化する方法を理解し、これらの要件が Azure クラウド導入フレームワークに関連する広範な計画作業にどのように適合するかについての推奨事項を確認できます。
ソブリンを支えるクラウドの地理的可用性
計画を立てる上で重要なのは、ソブリンに関連するサービスを地域で利用できるかどうかを理解し、評価することです。 国際的な Microsoft Cloud for Sovereignty の利用可能性 という記事に概要が記載されています。
データ所在地オプションと EU データ境界線
データ所在地は、公共部門のデータに関する一般的な規制要件です。 データ所在地は、公共部門のデータに関する一般的な規制要件です。 規制によっては、データの転送先に制限が課される場合もあります。 Microsoft Cloud for Sovereignty では、ソブリン ランディング ゾーン (SLZ) を構成して、使用できるサービスや地域を制限し、データ所在地要件を満たすサービス構成を強制することができます。 詳細については、データ所在地 を参照してください。
加えて、EU データ境界は、マイクロソフトが AzureやDynamics 365、Power Platform、Microsoft 365 を含む主要な商用エンタープライズ オンラインサービスの顧客データを保存および処理することを約束した地理的に定義された境界です。 EU データ境界は、特に非リージョナル Azure サービスのデータ所在地に関して、Microsoft Cloud for Sovereignty が管理する以上のデータ所在地に関するコミットメントを提供します。 詳細については、EU データ境界 を参照してください。
ソブリンのクラウド政策ポートフォリオとベースライン
ソブリン ポリシー ポートフォリオには、ソブリン ベースライン ポリシーの取り組みと、地域固有のコンプライアンス規制への準拠を支援するために設計されたポリシー イニシアチブが含まれます。 このようなポリシー イニシアチブは、公共部門のお客様が様々な規制の枠組みを迅速に遵守するための取り組みに役立ちます。 これらのポリシー イニシアチブは、関連するコントロール マッピングと文書化を伴っています。 詳細については、ポリシーのポートフォリオ をご覧ください。
実装
導入段階では、公共部門は Microsoft Cloud for Sovereignty ツールとガイドラインを使用して、ソブリン環境の定義と展開を加速することができます。
ソブリン ランディング ゾーン
ソブリン ランディング ゾーン(SLZ) は、Azure Landing Zone (ALZ) の改良版で、静止時、転送時、使用時のデータの運用管理に重点を置いたエンタープライズ規模のクラウドイ ンフラ ストラクチャを提供します。 SLZ は、データ所在地、顧客が管理する鍵、プライベートリンク、機密コンピューターなどの Azure の機能を連携させ、データとワークロードが暗号化と脅威からの保護を既定とするクラウドアーキテクチャを構築します。 単一の PowerShell コマンドといくつかのパラメータで SLZ を展開できます。
SLZ は GitHub で公開されています。 詳細については、ソブリン ランディング ゾーンの概要 を参照してください。
ランディング ゾーンのライフサイクル管理ツール (プレビュー)
Microsoft Cloud for Sovereignty GitHub を通じて次のランディング ゾーン ライフサイクル管理ツールを提供します:
- 評価: 確立されたベスト プラクティスに照らして、Azureリソース (場所やAzureポリシーの割り当てなど) の展開前評価を実行します。
- ポリシー コンパイラ: ポリシー管理プロセスを合理化します。 主要なコンポーネントを調査することで、組織のポリシー イニシアチブを体系的に分析します。
- ドリフト アナライザー: クラウド 環境 の現在の状態を監視し、当初意図されていたランディング ゾーン構成と比較します。 重大な逸脱や変更を識別します。
詳しくは、ランディング ゾーンのライフサイクル管理ツール を参照してください。
ソブリン ガードレールを Dataverse および Power Platform 環境に導入し、データ主権を強化する (プレビュー)
Dataverse や Power Platform の環境を構成してデータ主権を強化します。 Microsoft Power Platform 管理センターを使用すると、環境の作成と管理を制御するテナント設定を含む環境と設定を一元管理できます。 また、Dataverse と Power Platform の特定のアクセス制御を使用して、ソブリン要件への準拠を確実にすることもできます。 詳細については、「 データ主権を強化するための環境の構成 Dataverse と Power Platform 」を参照してください。
暗号化とキーの管理
セキュアで主権ある導入のためには、適切な暗号化と鍵管理戦略を導入することが極めて重要です。 詳細については、「 キー管理と証明書管理」を参照してください。
Azure 機密コンピューティング
Microsoft Cloud for Sovereignty は、お客様が特定の規制要件や主権要件に準拠した方法でデータやリソースを構成し、保護できるよう支援します。 これには、マイクロソフトを含む顧客の管理外の関係者が顧客データにアクセスできないようにすることも含まれます。 Microsoft Cloud for Sovereignty は、Azure コンフィデンシャル コンピューティング (ACC) とともに、ワークロードへのすべてのアクセスを可視化し、制御することができます。 ACC は、クラウド プロバイダーのオペレーターや、ハイパーバイザーなどのソフトウェアを含む他のアクターの特権的なデータアクセスを削除または削減することで、顧客のソブリンを強化します。 ACC は、データを静止時および転送時に保護する既存のソリューションに加え、データのライフサイクル全体を通してデータを保護します。 詳細については、 Azure コンフィデンシャル コンピューティング を参照してください。
サンプル アプリケーション
ソブリン ランディング ゾーン (SLZ) の展開インフラが顧客のワークロードの機密ニーズに対応していることを確認し、検証する人事 (HR) 機密アプリケーションのサンプルを使用します。 詳細については、機密申請サンプル を参照してください。
サンプル リファレンス アーキテクチャ (プレビュー)
SLZ 展開の一般的なシナリオは、Retrieval Augmented Generation (RAG) パターンを通じて、LLM を使って自分のデータを使って会話をすることです。 このパターンにより、LLM の推論機能を活用し、モデルを微調整することなく、特定のデータに基づいて応答を生成できます。 これにより、LLM を既存のビジネス プロセスまたはソリューションにシームレスに統合できるようになります。 重要なガードレールを考慮しながら、これらのテクノロジーを Sovereign Landing Zones 内でどのように適用できるかを検討します。 詳細については、LLM と Azure OpenAI Retrieval Augmented Generation (RAG) パターンを参照してください。
移行と最新化
Microsoft Cloud for Sovereignty は、ワークロードをクラウドに移行するためのツールとガイダンスを提供します。 詳細については、ワークロード移行の概要 を参照してください。
ワークロード テンプレート
ワークロード テンプレートは、一般的なワークロード タイプに対して、プロダクション品質、再利用性、安全性、設計準拠の自動展開を提供します。 ワークロード テンプレートは、1 つまたは複数の Azure Services を再利用可能な方法で適切に構成する展開に重点を置いています。 詳細については、ソブリン ランディング ゾーンのワークロード テンプレート を参照してください。
監視と監査
Microsoft Azure は、Azure Monitor や Defender for Cloud、Microsoft Cloud for Sovereignty など、ワークロードを監視してセキュアに保つための豊富なサービスに加えて、新しい機能とサービスを導入しています。
Azure (プレビュー) の透明性ログ
主権者であるお客様の信頼を得るために、Microsoft Cloud for Sovereignty はマイクロソフト関係者の活動の透明性を高める特別なロギングと監視コントロールを提供しています。 その結果、お客様は標準的なパブリック クラウドの機能を超えた可視性を手に入れ、監査やアクセス制御の要件に役立てることができます。
透明性ログは、お客様の資格要件に基づき、限定的にご利用いただけます。 承認されたお客様には、マイクロソフトのエンジニアまたはサポート エージェントがお客様の Azure リソースへの一時的なアクセスを許可された事例をまとめたテナントの月次レポートをお届けします。
詳細については、透過性ログ を参照してください。
ガバメント セキュリティ プログラム
ガバメント セキュリティ プログラム (GSP) は、政府関係者がマイクロソフトの製品およびサービスを信頼するために必要な機密情報を提供するために設計されたマイクロソフトの既存プログラムです。 このプログラムには、ソースコードへの制御されたアクセス、脅威や脆弱性に関する情報の交換、マイクロソフトの製品やサービスに関する技術コンテンツへの関与、トランスペアレンシー センターへのアクセスなどが含まれます。 Microsoft Cloud for Sovereignty は GSP プログラムを拡大し、一部の Azure サービスをカバーします。 詳細については、ガバメント セキュリティ プログラム を参照してください。
Dataverse と Power Platform における透明性の制御 (プレビュー)
Dataverse と Power Platform では透明度コントロールを設定することもできます。これらはソブリンのポリシーを遵守するために極めて重要です。
詳細については、Dataverse と Power Platform の透明度コントロールを参照してください。