Udostępnij za pośrednictwem


Szczegółowe informacje o wbudowanej inicjatywie dotyczącej zgodności z przepisami w chmurze firmy Microsoft for Sovereignty

Poniższy artykuł zawiera szczegółowe informacje o tym, jak wbudowana definicja inicjatywy zgodności usługi Azure Policy jest mapowana na domeny zgodności i mechanizmy kontroli w usłudze Microsoft Cloud for Sovereignty Baseline Global Policies. Aby uzyskać więcej informacji na temat tego standardu zgodności, zobacz Microsoft Cloud for Sovereignty Baseline Global Policies (Zasady globalne punktów odniesienia dla chmury firmy Microsoft dla suwerenności). Aby zrozumieć własność, zapoznaj się z typem zasad i wspólną odpowiedzialnością w chmurze.

Poniższe mapowania dotyczą kontrolek globalnych zasad planu bazowego dla chmury firmy Microsoft dla suwerenności. Wiele kontrolek jest implementowanych przy użyciu definicji inicjatywy usługi Azure Policy . Aby przejrzeć pełną definicję inicjatywy, otwórz pozycję Zasady w witrynie Azure Portal i wybierz stronę Definicje . Następnie znajdź i wybierz [wersja zapoznawcza]: Plan bazowy suwerenności — globalna zgodność z przepisami wbudowaną definicję inicjatywy.

Ważne

Każda poniższa kontrolka jest skojarzona z co najmniej jedną definicją usługi Azure Policy . Te zasady mogą pomóc ocenić zgodność z kontrolą, jednak często nie ma jednego do jednego lub kompletnego dopasowania między kontrolką a jedną lub większą jedną zasadą. W związku z tym zgodne w usłudze Azure Policy odnosi się tylko do samych definicji zasad. Nie zapewnia to pełnej zgodności ze wszystkimi wymaganiami kontrolki. Ponadto standard zgodności obejmuje mechanizmy kontroli, które nie są obecnie uwzględniane przez żadne definicje usługi Azure Policy. W związku z tym zgodność w usłudze Azure Policy jest tylko częściowym widokiem ogólnego stanu zgodności. Skojarzenia między domenami zgodności, mechanizmami kontroli i definicjami usługi Azure Policy dla tego standardu zgodności mogą ulec zmianie w czasie. Aby wyświetlić historię zmian, zobacz historię zatwierdzń usługi GitHub.

SO.1 — Miejsce przechowywania danych

Produkty platformy Azure muszą być wdrażane i konfigurowane do korzystania z zatwierdzonych regionów.

ID: Własność punktu odniesienia suwerenności MCfS SO.1: współużytkowany

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dozwolone lokalizacje Ta zasada umożliwia ograniczenie lokalizacji, które organizacja może określić podczas wdrażania zasobów. Służy do wymuszania wymagań dotyczących zgodności obszarów geograficznych. Nie obejmuje grup zasobów, elementu Microsoft.AzureActiveDirectory/b2cDirectories i zasobów używających regionu „globalny”. odmowa 1.0.0
Dozwolone lokalizacje dla grup zasobów Te zasady umożliwiają ograniczenie lokalizacji, w których organizacja może tworzyć grupy zasobów. Służy do wymuszania wymagań dotyczących zgodności obszarów geograficznych. odmowa 1.0.0
Dozwolone lokalizacje usługi Azure Cosmos DB Te zasady umożliwiają ograniczenie lokalizacji, które organizacja może określić podczas wdrażania zasobów usługi Azure Cosmos DB. Służy do wymuszania wymagań dotyczących zgodności obszarów geograficznych. [parameters('policyEffect')] 1.1.0

SO.5 — zaufane uruchamianie

Jeśli to możliwe, maszyny wirtualne powinny być skonfigurowane z włączonymi zaufanymi jednostkami SKU uruchamiania i zaufanym uruchamianiem.

ID: Własność punktu odniesienia suwerenności MCfS SO.5: Współdzielona

Nazwisko
(Azure Portal)
opis Efekty Wersja
(GitHub)
Dyski i obraz systemu operacyjnego powinny obsługiwać usługę TrustedLaunch TrustedLaunch zwiększa bezpieczeństwo maszyny wirtualnej, co wymaga obsługi obrazu systemu operacyjnego i dysku systemu operacyjnego (Gen 2). Aby dowiedzieć się więcej o trustedLaunch, odwiedź stronę https://aka.ms/trustedlaunch Inspekcja, wyłączone 1.0.0
Maszyna wirtualna powinna mieć włączoną opcję TrustedLaunch Włącz pozycję TrustedLaunch na maszynie wirtualnej w celu zapewnienia zwiększonych zabezpieczeń, użyj jednostki SKU maszyny wirtualnej (Gen 2), która obsługuje usługę TrustedLaunch. Aby dowiedzieć się więcej o trustedLaunch, odwiedź stronę https://learn.microsoft.com/en-us/azure/virtual-machines/trusted-launch Inspekcja, wyłączone 1.0.0

Następne kroki

Dodatkowe artykuły dotyczące usługi Azure Policy: