Definiowanie strategii suwerenności
W tym artykule opisano sposób planowania strategii suwerenności podczas korzystania z usług w chmurze. Wiele regionów geopolitycznych ma przepisy dotyczące obsługi określonych typów danych, takich jak dane poufne dla prywatności i dane rządowe. Przepisy zwykle wymuszają wymagania dotyczące niezależności związane z pobytem danych, kontrolą nad danymi, a czasami niezależnością operacyjną (nazywaną również funkcją logowaniem).
Jeśli organizacja musi przestrzegać tych przepisów, należy zdefiniować strategię spełniającą wymagania dotyczące niezależności. Jeśli organizacja przechodzi z usług lokalnych do usług w chmurze, musisz odpowiednio dostosować strategię niezależności.
Modernizowanie strategii suwerenności
W przypadku lokalnego centrum danych odpowiadasz za większość aspektów, które są zwykle skojarzone z niezależnością, w tym:
- Centra danych, w których dane są przechowywane i przetwarzane.
- Dostęp do centrów danych i infrastruktury fizycznej.
- Sprzęt i oprogramowanie, w tym łańcuch dostaw sprzętu i oprogramowania.
- Procesy zapewniania, które weryfikują sprzęt i oprogramowanie.
- Infrastruktura i procesy, które zapewniają ciągłość działalności biznesowej, jeśli wystąpi awaria lub zdarzenie geopolityczne.
- Konfiguracje i procesy określające, kto ma dostęp do jakich danych i systemów.
- Narzędzia i procesy, które zabezpieczają dane i systemy przed zagrożeniami zewnętrznymi i wewnątrz.
Podczas wdrażania usług w chmurze odpowiedzialność za te aspekty zmienia się na wspólną odpowiedzialność. Zespół ds. zgodności zmienia strategię używaną do określenia, czy spełnione są wymagania dotyczące niezależności. Zespół ds. zgodności uwzględnia:
Zgodność usług w chmurze. W jaki sposób usługi dostawcy usług w chmurze spełniają wymagania dotyczące niezależności i zgodności?
Zgodność systemów i procesów odpowiedzialnych za organizację. Które narzędzia są dostępne, aby pomóc spełnić wymagania dotyczące niezależności i zgodności oraz jak używać tych narzędzi?
Zespół ds. zgodności może wymagać współpracy z regulatorem w celu uzyskania uprawnień do używania alternatywnych metod, które osiągną te same cele. W niektórych przypadkach może być konieczne zmianę rozporządzenia przez dodanie większej liczby opcji lub dostosowanie dyrektywy w celu zastosowania określonego rozwiązania w celu uzyskania zamierzonego wyniku. Zmiana regulacji może być długotrwałym procesem. Jednak może być możliwe uzyskanie zwolnień, jeśli można wykazać, że cel rozporządzenia został osiągnięty.
Na przykład rozporządzenie może ograniczyć organizacjom korzystanie z niektórych usług w chmurze, ponieważ wymagania dotyczące izolacji mogą być spełnione tylko z izolacją sprzętową, która zwykle nie jest dostępna w chmurze. Jednak zamierzony wynik można również uzyskać z izolacją wirtualną. W ramach strategii należy określić, jak współpracować z organami regulacyjnymi i audytorami, gdy wystąpią te potencjalne blokady.
Aby uzyskać więcej informacji na temat spełniania wymagań dotyczących zgodności i niezależności, zobacz Chmura firmy Microsoft dla suwerenności.
Zgodność usług w chmurze
Zespół ds. zgodności używa różnych źródeł i metod do weryfikowania zgodności usług w chmurze, w tym:
Dokumentacja dostawcy dotycząca sposobu działania usług i sposobu ich używania, na przykład dokumentacja produktu FedRAMP (Federal Risk and Authorization Management Program) i plany zabezpieczeń systemu.
Niezależne certyfikaty audytorów , które certyfikowają zgodność z globalnymi, regionalnymi i branżowymi strukturami zgodności. Aby uzyskać więcej informacji, zobacz Oferty zgodności dla platformy Microsoft 365, platformy Azure i innych usługi firmy Microsoft.
Raporty inspekcji tworzone przez niezależnych audytorów w celu zapewnienia wglądu w sposób, w jaki usługi w chmurze spełniają wymagania globalnych, regionalnych i branżowych struktur zgodności. Niektóre raporty inspekcji są dostępne w portalu zaufania usług.
Inspekcje wykonywane przez zespół ds. zgodności lub w imieniu zespołu ds. zgodności za pośrednictwem ofert inspekcji dostawcy, takich jak Program zabezpieczeń dla instytucji rządowych (dostępny tylko dla wybranych klientów).
Dzienniki przezroczystości, które zawierają szczegółowe informacje o tym, kiedy inżynierowie firmy Microsoft uzyskują dostęp do zasobów.
Kombinacja źródeł i metod używanych przez zespół ds. zgodności zależy od wymaganego poziomu szczegółowych informacji, zaufania w różnych opcjach oraz zasobów i budżetu. Certyfikacja audytora innej firmy eliminuje potrzebę przeprowadzenia inspekcji i mniej kosztów, ale wymaga zaufania do procesu audytora i inspekcji.
Zgodność systemów i procesów
Procesy i systemy zgodności organizacji mogą korzystać z zalet dodanych możliwości usług w chmurze. Za pomocą tych funkcji można wykonywać następujące czynności:
Wymuszanie lub zgłaszanie zasad technicznych. Możesz na przykład zablokować wdrażanie usług lub konfiguracji albo zgłaszać naruszenia, które nie spełniają wymagań technicznych dotyczących niezależności i zgodności.
Użyj wstępnie utworzonych definicji zasad, które są dostosowane do określonych struktur zgodności.
Rejestrowanie i monitorowanie inspekcji.
Użyj narzędzi zabezpieczeń. Aby uzyskać więcej informacji, zobacz Definiowanie strategii zabezpieczeń.
Wykonywanie funkcji zapewniania technicznego i monitorowania, takich jak poufne przetwarzanie na platformie Azure.
Uważnie zastanów się nad tymi możliwościami dla środowiska organizacji i poszczególnych obciążeń. Dla każdej możliwości należy wziąć pod uwagę ilość nakładu pracy, możliwości zastosowania i funkcji. Na przykład wymuszanie zasad jest stosunkowo prostą metodą, która obsługuje zgodność, ale może ograniczyć usługi, których można używać i jak można ich używać. W porównaniu z tym zapewnienie techniczne wymaga znacznego nakładu pracy i jest bardziej restrykcyjne, ponieważ jest dostępne tylko dla kilku usług. Wymaga również znacznej ilości wiedzy.
Przyjęcie wspólnej odpowiedzialności
Podczas wdrażania usług w chmurze przyjmujesz model wspólnej odpowiedzialności. Określ, które obowiązki mają zostać przeniesione do dostawcy usług w chmurze i które pozostają z Tobą. Dowiedz się, jak te zmiany wpływają na wymagania dotyczące niezależności przepisów. Aby uzyskać więcej informacji, zobacz zasoby w temacie Zgodność usług w chmurze. Aby uzyskać widok wysokiego poziomu, rozważ następujące zasoby:
Zabezpieczenia infrastruktury platformy Azure opisują, w jaki sposób firma Microsoft zapewnia ochronę infrastruktury fizycznej.
Integralność i zabezpieczenia platformy Azure opisują, w jaki sposób firma Microsoft zapewnia ochronę przed zagrożeniami dla platformy i procesów zapewniania bezpieczeństwa technicznego.
Miejsce przechowywania danych na platformie Azure opisuje funkcje rezydencji danych. W przypadku klientów w Unii Europejskiej (UE) zobacz Granica danych UE firmy Microsoft.
Dostawca usług w chmurze częściowo zapewnia ciągłość działania dzięki odporności platformy, zapewniając ciągłość krytycznych systemów, które działają w chmurze. Usługi używane przez obciążenie zapewniają opcje ciągłości, których można użyć do kompilowania obciążeń. Możesz też użyć innych usług, takich jak Azure Backup lub Azure Site Recovery. Aby uzyskać więcej informacji, zobacz dokumentację dotyczącą niezawodności platformy Azure.
Dostawca usług w chmurze jest odpowiedzialny za zabezpieczanie dostępu do platformy w chmurze zarówno z poziomu zagrożeń wewnętrznych, jak i zewnętrznych. Klienci są odpowiedzialni za konfigurowanie swoich systemów w celu zabezpieczenia danych za pośrednictwem zarządzania tożsamościami i dostępem, szyfrowania i innych środków zabezpieczeń. Aby uzyskać więcej informacji, zobacz Definiowanie strategii zabezpieczeń.
Rozróżnianie danych przy użyciu klasyfikacji
Różne typy danych i obciążeń mogą mieć różne wymagania dotyczące niezależności, w zależności od czynników, takich jak poufność danych i czy zawiera ona dane wrażliwe na prywatność. Ważne jest, aby zrozumieć, które klasyfikacje danych mają zastosowanie do organizacji i które dane i systemy podlegają klasyfikacji. Niektóre dane i aplikacje podlegają wielu przepisom, które mogą stworzyć potrzebę łącznych wymagań. Na przykład może istnieć rozporządzenie związane z poufnością danych i krytycznym znaczeniem systemu. Wynikowe klasyfikacje mogą być wysokiej poufności i niskiej poufności lub średniej poufności i wysokiej ważności.
Gdy spełniasz wymagania dotyczące niezależności, może to mieć wpływ na inne czynniki, takie jak koszt, odporność, skalowalność, bezpieczeństwo i bogactwo usług. W przypadku strategii suwerenności ważne jest zastosowanie odpowiednich mechanizmów kontroli do klasyfikacji danych. Jednowymiarowe podejście prowadzi do środowiska, które sprzyja najwyższym wymaganiom w zakresie zgodności, co jest prawdopodobnie najbardziej kosztowne i najmniej korzystne.
Następne kroki
Chmura dla suwerenności zapewnia wgląd w suwerenne możliwości na platformie Azure i opisuje sposób rozwiązywania wymagań dotyczących niezależności.
Bezpieczeństwo i suwerenność nie są takie same, ale nie możesz być suwerennym, jeśli nie jesteś bezpieczny. Dlatego należy zdefiniować strategię zabezpieczeń zintegrowaną ze strategią suwerenności.