Udostępnij za pośrednictwem


Przechowywanie danych

Miejsce przechowywania danych dotyczy fizycznej lokalizacji, w której dane są przechowywane i przetwarzane. Wymagania dotyczące miejsca przechowywania danych są częstym problemem klientów z sektora publicznego, którzy często żądają, aby firma Microsoft ograniczyła miejsce przechowywania i przetwarzania różnych typów danych. Microsoft Cloud for Sovereignty umożliwia klientom skonfigurowanie suwerennych stref docelowych (SLZ), aby ograniczyć usługi i regiony, z których mogą korzystać użytkownicy końcowi, oraz wymusić konfigurację usług, aby pomóc klientom spełnić ich potrzeby w zakresie miejsca przechowywania danych.

Miejsce przechowywania danych w Azure

Większość usług platformy Azure jest wdrażana regionalnie i umożliwia określenie miejsca, gdzie dane klienta są przechowywane i przetwarzane. Przykłady takich usług regionalnych obejmują maszyny wirtualne, magazyn i bazę danych SQL Database. Region jest to część geograficzna, a w przypadku usług regionalnych firma Microsoft nie przechowuje danych klientów poza wybranym obszarem geograficznym, z wyjątkiem udokumentowanych okoliczności. Aby uzyskać więcej informacji, zobacz Miejsce przechowywania danych na platformie Azure i ​oficjalny dokument Włączanie przechowywania danych i ochrona danych w regionach Microsoft Azure.

Jak określono w naszych umowach usług, Dane klienta oznaczają wszystkie dane, w tym wszystkie pliki tekstowe, dźwiękowe, wideo i graficzne oraz oprogramowanie udostępnione firmie Microsoft przez klienta lub w jego imieniu za pomocą usługi online. Dane klientów nie obejmują danych dotyczących Usług Profesjonalnych. Dla przejrzystości dane klienta nie obejmują informacji używanych do konfigurowania zasobów w usługach online, takich jak ustawienia techniczne i nazwy zasobów.

Niektóre usługi platformy Azure nie umożliwiają określenia regionu, w którym wdrożono usługę, taką jak tożsamość Microsoft Entra, Azure Monitor lub Traffic Manager. Usługi te działają globalnie i zapewniają klientom funkcjonalność o krytycznym znaczeniu i są określane jako usługi pozaregionalne. O ile nie określono inaczej, usługi pozaregionalne przechowują i przetwarzają dane klientów w dowolnym centrum danych firmy Microsoft w publicznych regionach platformy Azure. Aby uzyskać więcej informacji, zobacz Miejsce przechowywania danych w ramach platformy Azure.

Dane przesyłane między regionami świadczenia usługi Azure pozostają w Microsoft Global Network. Można skonfigurować sieci wirtualne na platformie Azure, aby umożliwić dostęp tylko z sieci firmowych z sieciowymi grupami zabezpieczeń platformy Azure i zaporą Azure Firewall. Ponadto można ograniczyć dostęp z Internetu do określonych lokalizacji za pomocą takich funkcji, jak Azure Web Application Firewall (WAF) niestandardowe reguły Geomatch i Dostęp warunkowy – blokada dostępu według lokalizacji.

Przechowywanie danych w chmurze Microsoft Cloud for Sovereignty

Inicjatywy zasad Suwerenna polityka bazowa Microsoft Cloud for Sovereignty wymagają od użytkownika skonfigurowania regionów platformy Azure, w których można wdrożyć zasoby. W przypadku usług regionalnych skonfigurowane regiony określają położenie geograficzne tych usług oraz efektywną granicę miejsca przechowywania danych klientów.

Można skonfigurować strefy SLZ, aby ograniczyć korzystanie z określonych usług, w tym usług nieregionalnych, które nie spełniają konkretnych potrzeb użytkownika w zakresie przechowywania danych.

Podstawowa konfiguracja SLZ obejmuje reguły sieciowe, które decydują, z jakich sieci można uzyskać dostęp do zasobów.

  • Dane w aplikacji wdrożonej w ramach subskrypcji w Korporacji lub poufnych dla korporacji strefach docelowych są ograniczone do sieci Twojej organizacji na platformie Azure i połączone z platformą Azure.
  • Dostęp do danych w aplikacji wdrożonej w ramach subskrypcji w strefach docelowych Online lub Confidential Online można uzyskać przez Internet z dowolnego miejsca, jeśli użytkownik lub system uzyskujący dostęp do danych posiada odpowiednie dane uwierzytelniające i nie istnieje zapora sieciowa ani reguły dostępu warunkowego blokujące dostęp.

Aby uzyskać więcej informacji, zobacz Omówienie suwerennej strefy docelowej.

Miejsce przechowywania i odporność danych

Regiony skonfigurowane jako dozwolone dla chmury Microsoft Cloud for Sovereignty mogą mieć wpływ na odporność wdrażanych obciążeń. Zwykle mniej restrykcyjny wybór regionu zapewnia większą odporność, ponieważ można dystrybuować aplikacje do większej liczby i bardziej oddalonych regionów. Szyfrowanie (danych przechowywanych, w trakcie przesyłania i w użyciu) można rozważyć jako alternatywną metodę kontroli w stosunku do ograniczeń regionalnych, szczególnie w przypadku aplikacji mających wymagania dotyczące wysokiej dostępności.

Większość regionów platformy Azure składa się z trzech lub więcej stref dostępności. Usługi pamięci masowej i obliczeniowe rozproszone w wielu strefach dostępności są odporne na lokalne awarie, które mogą mieć wpływ na całe centrum danych. Aby zapewnić odporność na awarie, które mogą mieć wpływ na cały region, wiele regionów świadczenia usługi Azure ma również parę regionów w tej samej lokalizacji geograficznej, co umożliwia automatyczne lub konfigurowane przez klienta replikacja międzyregionalna dla obsługiwanych usług. Aby pomóc w osiągnięciu określonych standardów dotyczących miejsca przechowywania danych, niektóre regiony nie mają pary regionalnej, a klienci są odpowiedzialni za odporność danych w mało prawdopodobnym przypadku awarii całego regionu. Aby uzyskać więcej informacji, zobacz Regiony ze strefami dostępności i regiony bez pary.

Zobacz też