Een soevereiniteitsstrategie definiëren

In dit artikel wordt beschreven hoe u uw soevereiniteitsstrategie plant wanneer u cloudservices gebruikt. Veel geopolitieke regio's hebben voorschriften voor het verwerken van specifieke typen gegevens, zoals privacygevoelige gegevens en overheidsgegevens. De regelgeving dwingt doorgaans soevereiniteitsvereisten af met betrekking tot gegevenslocatie, de controle over gegevens en soms operationele onafhankelijkheid (ook wel autarky genoemd).

Wanneer uw organisatie aan deze voorschriften moet voldoen, moet u een strategie definiëren om te voldoen aan de soevereiniteitsvereisten. Als uw organisatie overstapt van on-premises services naar cloudservices, moet u de soevereiniteitsstrategie dienovereenkomstig aanpassen.

Uw soevereiniteitsstrategie moderniseren

Voor uw on-premises datacenter bent u verantwoordelijk voor de meeste aspecten die doorgaans zijn gekoppeld aan soevereiniteit, waaronder:

• Datacenters, waar gegevens worden opgeslagen en verwerkt.
• Toegang tot de datacenters en fysieke infrastructuur.
• Hardware en software, met inbegrip van de hardware- en softwareleveringsketen.
• Assurance-processen die hardware en software valideren.
• Infrastructuur en processen die zorgen voor bedrijfscontinuïteit als er sprake is van een noodgeval of geopolitieke gebeurtenis.
• Configuraties en processen die bepalen wie toegang heeft tot welke gegevens en systemen.
• Hulpprogramma's en processen die gegevens en systemen beveiligen tegen bedreigingen buiten en binnenin.

Wanneer u cloudservices gebruikt, verschuift de verantwoordelijkheid van deze aspecten naar een gedeelde verantwoordelijkheid. Uw complianceteam wijzigt de strategie die ze gebruiken om te bepalen of aan de vereisten voor soevereiniteit wordt voldaan. Het complianceteam houdt rekening met het volgende:

• De naleving van de cloudservices. Hoe voldoen de services van de cloudprovider aan de soevereiniteits- en nalevingsvereisten?

• De naleving van de systemen en processen waarvoor uw organisatie verantwoordelijk is. Welke hulpprogramma's zijn beschikbaar om te voldoen aan de vereisten voor soevereiniteit en naleving en hoe gebruikt u deze hulpprogramma's?

Het complianceteam moet mogelijk samenwerken met een toezichthouder om toestemming te krijgen voor het gebruik van alternatieve methoden die dezelfde doelen bereiken. In sommige gevallen moet een verordening mogelijk worden gewijzigd door meer opties toe te voegen of een richtlijn aan te passen om een bepaalde oplossing te gebruiken om een beoogd resultaat te verkrijgen. Veranderende regelgeving kan een langdurig proces zijn. Het is echter mogelijk om vrijstellingen te krijgen als u kunt aantonen dat u de intentie van een verordening hebt bereikt.

Een verordening kan bijvoorbeeld beperken dat organisaties bepaalde cloudservices gebruiken, omdat aan de isolatievereisten alleen kan worden voldaan met hardware-isolatie die doorgaans niet beschikbaar is in de cloud. Maar het beoogde resultaat kan ook worden verkregen met virtuele isolatie. Als onderdeel van uw strategie moet u bepalen hoe u met regelgevers en auditors kunt werken wanneer deze potentiële obstakels zich voordoen.

Zie Microsoft Cloud for Sovereignty voor meer informatie over hoe u aan uw nalevings- en soevereiniteitsbehoeften voldoet.

Naleving van cloudservices

Het complianceteam gebruikt verschillende bronnen en methoden om de naleving van cloudservices te controleren, waaronder:

• Documentatie van leveranciers over hoe hun services werken en hoe ze kunnen worden gebruikt, bijvoorbeeld de productdocumentatie van het Us Federal Risk and Authorization Management Program (FedRAMP) en systeembeveiligingsplannen.

• Onafhankelijke auditeurcertificeringen die naleving certificeren voor wereldwijde, regionale en branchecompatibiliteitsframeworks. Zie Complianceaanbiedingen voor Microsoft 365, Azure en andere Microsoft-services voor meer informatie.

• Controlerapporten die onafhankelijke auditors maken om inzicht te krijgen in hoe cloudservices voldoen aan de vereisten van wereldwijde, regionale en branchecompatibiliteitsframeworks. Sommige controlerapporten zijn beschikbaar in de Service Trust Portal.

• Controles die worden uitgevoerd door of namens het complianceteam via auditaanbiedingen van leveranciers, zoals het Government Security Program (alleen beschikbaar om klanten te selecteren).

• Transparantielogboeken met details over wanneer Microsoft-technici toegang hebben tot uw resources.

De combinatie van bronnen en methoden die uw complianceteam gebruikt, is afhankelijk van het inzichtsniveau dat u nodig hebt, het vertrouwen dat u hebt in de verschillende opties en uw resources en budget. Een externe auditorcertificering elimineert de noodzaak voor uw team om een audit uit te voeren en kosten minder uit te voeren, maar vereist vertrouwen in het auditproces en het auditproces.

Naleving van uw systemen en processen

De nalevingsprocessen en -systemen van uw organisatie kunnen profiteren van de toegevoegde mogelijkheden van cloudservices. U kunt deze mogelijkheden gebruiken om:

• Afdwingen of rapporteren over technisch beleid. U kunt bijvoorbeeld de implementatie van services of configuraties blokkeren of rapporteren over schendingen die niet voldoen aan technische vereisten voor soevereiniteit en naleving.

• Gebruik vooraf gemaakte beleidsdefinities die zijn afgestemd op specifieke nalevingsframeworks.

• Controles vastleggen en controleren.

• Gebruik beveiligingshulpprogramma's. Zie Een beveiligingsstrategie definiëren voor meer informatie.

• Voer technische zekerheid en bewakingsmogelijkheden uit, zoals Azure Confidential Computing.

Houd zorgvuldig rekening met deze mogelijkheden voor de omgeving en afzonderlijke workloads van uw organisatie. Houd voor elke mogelijkheid rekening met de benodigde hoeveelheid inspanning, de toepasbaarheid en de functie. Het afdwingen van beleid is bijvoorbeeld een relatief eenvoudige methode die ondersteuning biedt voor naleving, maar kan beperken welke services u kunt gebruiken en hoe u deze kunt gebruiken. Ter vergelijking: technische zekerheid vergt aanzienlijke inspanningen en is meer beperkend omdat deze alleen beschikbaar is voor een paar services. Het vereist ook een aanzienlijke hoeveelheid kennis.

Gedeelde verantwoordelijkheid aannemen

Wanneer u cloudservices in gebruik neemt, neemt u een model voor gedeelde verantwoordelijkheid aan. Bepaal welke verantwoordelijkheden worden verplaatst naar de cloudprovider en welke bij u blijven. Begrijpen hoe deze wijzigingen van invloed zijn op de soevereiniteitsvereisten voor regelgeving. Zie de resources in Compliance van cloudservices voor meer informatie. Als u een weergave op hoog niveau wilt krijgen, kunt u de volgende resources overwegen:

• Azure-infrastructuurbeveiliging beschrijft hoe Microsoft beveiliging biedt voor de fysieke infrastructuur.

• Azure-platformintegriteit en -beveiliging beschrijft hoe Microsoft bescherming biedt tegen bedreigingen voor het platform en de processen voor technische zekerheid.

• Gegevenslocatie in Azure beschrijft functies voor gegevenslocatie. Zie Microsoft EU-gegevensgrens voor klanten in de Europese Unie (EU).

De cloudprovider biedt gedeeltelijk bedrijfscontinuïteit via de tolerantie van het platform door de continuïteit te garanderen van kritieke systemen die de cloud gebruiken. De services die door een workload worden gebruikt, bieden continuïteitsopties die u kunt gebruiken om uw workloads te bouwen. U kunt ook andere services gebruiken, zoals Azure Backup of Azure Site Recovery. Zie de documentatie voor Azure-betrouwbaarheid voor meer informatie.

De cloudprovider is verantwoordelijk voor het beveiligen van de toegang tot het cloudplatform tegen interne en externe bedreigingen. Klanten zijn verantwoordelijk voor het configureren van hun systemen om hun gegevens te beveiligen via identiteits- en toegangsbeheer, versleuteling en andere beveiligingsmaatregelen. Zie Een beveiligingsstrategie definiëren voor meer informatie.

Classificaties gebruiken om gegevens te onderscheiden

Verschillende typen gegevens en workloads kunnen verschillende soevereiniteitsvereisten hebben, afhankelijk van factoren zoals de vertrouwelijkheid van de gegevens en of deze privacygevoelige gegevens bevatten. Het is belangrijk om te begrijpen welke gegevensclassificaties van toepassing zijn op uw organisatie en welke gegevens en systemen onderhevig zijn aan welke classificaties. Sommige gegevens en toepassingen zijn onderworpen aan meerdere voorschriften, waardoor de behoefte aan gecombineerde vereisten kan worden ontstaan. Er kan bijvoorbeeld een verordening zijn met betrekking tot de vertrouwelijkheid van gegevens en de kritiek van een systeem. De resulterende classificaties kunnen hoge vertrouwelijkheid en lage kritiek of gemiddelde vertrouwelijkheid en hoge kritiek zijn.

Wanneer u voldoet aan soevereiniteitsvereisten, kan dit van invloed zijn op andere factoren, zoals kosten, tolerantie, schaalbaarheid, beveiliging en servicerijkheid. Voor uw soevereiniteitsstrategie is het belangrijk om de juiste besturingselementen toe te passen op een gegevensclassificatie. Een een-size-fits-all benadering leidt tot een omgeving die de hoogste nalevingsvereisten bevalt, wat waarschijnlijk de voordeligste en minst gunstige is.

Volgende stappen

• Cloud for Sovereignty biedt inzicht in soevereine mogelijkheden op het Azure-platform en beschrijft hoe u de vereisten voor soevereiniteit kunt aanpakken.

• Beveiliging en soevereiniteit zijn niet hetzelfde, maar u kunt niet onafhankelijk zijn als u niet veilig bent. Daarom moet u een beveiligingsstrategie definiëren die integreert met uw soevereiniteitsstrategie.