Portfolio zasad Microsoft Cloud for Sovereignty
Platforma Azure oferuje szereg wbudowanych inicjatyw zgodnych z różnymi ramami zgodności z przepisami i standardami branżowymi. Inicjatywy te obejmują krytyczne aspekty, takie jak ochrona danych, bezpieczeństwo sieci i kontrola dostępu. Wymuszając niezawodne konfiguracje i kontrole, możesz zwiększyć suwerenność i bezpieczeństwo zasobów platformy Azure w swojej organizacji oraz chronić poufne dane przed nieautoryzowanym dostępem.
Microsoft Cloud for Sovereignty Rozszerza istniejące Azure wbudowane inicjatywy i niestandardowe inicjatywy polityczne, regularnie dodając kolejne inicjatywy.
Inicjatywy dotyczące wbudowanych zasad platformy Azure
Wbudowane inicjatywy policyjne platformy Azure to wydajne zestaw narzędzi umożliwiające scentralizowaną kontrolę nad zasobami Azure i wykonywanie określonych konfiguracji. Inicjatywy te obejmują zbiór definicji zasad i zapewniają zgodność z różnymi ramami regulacyjnymi, standardami branżowymi i najlepszymi praktykami w zakresie bezpieczeństwa.
Inicjatywy oferują usprawnione i zautomatyzowane podejście do zarządzania, umożliwiając organizacjom zarządzanie i monitorowanie zgodności na dużą skalę. Więcej informacji na temat inicjatyw politycznych można znaleźć w artykule Jakie są zasady platformy Azure?.
Azure niestandardowe inicjatywy polityczne
Azure Inicjatywy niestandardowe dotyczące zasad pomagają dostosować zestaw zasad specjalnie do unikatowych wymagań organizacji, dając kontrolę nad egzekwowaniem standardów i reguł, które najlepiej pasują do Twojego środowiska. Microsoft Cloud for Sovereignty udostępnia kilka niestandardowych inicjatyw zasad i mapowań zgodności za pośrednictwem repozytorium industry-policy-portfolio w usłudze GitHub. Inicjatywy zasad Microsoft Cloud for Sovereignty pomagają w dostosowywaniu wdrożeń w celu skrócenia czasu i złożoności potrzebnej do inspekcji środowisk oraz pomagają w spełnieniu ustalonych ram zgodności z przepisami i wymaganiami rządowymi.
Inicjatywy dotyczące zasad Microsoft Cloud for Sovereignty
Microsoft Cloud for Sovereignty inicjatywy i mapowania zgodności, które rozszerzają wbudowane inicjatywy platformy Azure, pomagają zautomatyzować egzekwowanie zasad i wspierać solidne ramy zarządzania, które zmniejszają ryzyko niezgodności. Co więcej, inicjatywy te wzmacniają również środki ochrony danych. Organizacje mogą korzystać z szerokiego zestawu dostępnych wbudowanych inicjatyw zapewniających zgodność z przepisami, podczas gdy my będziemy nadal rozwijać inne platformy.
Inicjatywy w zakresie zgodności z przepisami
Microsoft Cloud for Sovereignty Utrzymuje kilka inicjatyw w zakresie polityki zgodności z przepisami w repozytorium industry-policy-portfolio . To portfolio zawiera zbiór inicjatyw, które pomogą Ci rozpocząć proces zapewniania zgodności.
Te inicjatywy są dostępne jako wbudowane i niestandardowe inicjatywy zasad Azure. Wbudowane inicjatywy polityczne można znaleźć na stronach portalu Azure Zasady. W przypadku inicjatyw niestandardowych należy wdrożyć inicjatywę w dzierżawie. Aby uzyskać więcej informacji, zobacz repozytorium industry-policy-portfolio . Inicjatywy polityczne i pliki zawarte w tym repozytorium mają służyć jako punkt wyjścia. Te pliki nie są przeznaczone jako ostateczne ani kompleksowe rozwiązania, ale pomocne zasoby, które pomogą Ci szybko rozpocząć działania.
Oprócz inicjatyw politycznych w repozytorium portfela polityk branżowych można znaleźć informacje na temat ram polityki i konkretnych polityk w celu kontrolowania mapowania celów.
Portfolio obejmuje następujące inicjatywy polityczne:
- Dyrektywa NIS2 (wersja zapoznawcza) zwiększa cyberbezpieczeństwo i odporność infrastruktury krytycznej i usług cyfrowych w całej Unii Europejskiej, zapewniając wyższy poziom ochrony przed zagrożeniami cybernetycznymi.
- Hiszpania Esquema Nacional de Seguridad (ENS) Środki bezpieczeństwa wysokiego poziomu nakładają obowiązek kontroli bezpieczeństwa na organizacje publiczne i dostawców technologii informacyjnych i komunikacyjnych (ICT), zapewniając zgodność z hiszpańskimi i unijnymi standardami chroni dane i usługi.
- Nowozelandzki Podręcznik Bezpieczeństwa Informacji (NZ ISM) ma na celu ustanowienie procesów i kontroli w celu chronienia informacji i systemów rządowych Nowej Zelandii.
- Punkt odniesienia bezpieczeństwa informacji rządowych (Baseline informatiebeveiliging Overheid lub BIO w języku niderlandzkim) to podstawowe ramy standardów bezpieczeństwa informacji na wszystkich szczeblach rządu holenderskiego (rząd centralny, gminy, prowincje i zarządy wodne).
- Włoska Strategia Chmurowa zawiera strategiczne wytyczne dotyczące migracji do chmury danych i usług cyfrowych włoskiej administracji publicznej, a Narodowa Agencja Cyberbezpieczeństwa (ACN) wydała zestaw wymagań dotyczących kwalifikacji usług w chmurze i infrastruktur usług w chmurze.
- Niestandardowe zasady platformy Azure oraz mapowanie kontrolek, które pomagają klientom spełnić wytyczne zdefiniowane w wytycznych dotyczących zabezpieczeń w chmurze (CSA) Cloud Controls Matrix (CCM) v4 na potrzeby przetwarzania w chmurze.
- Microsoft Cloud for Sovereignty Podstawowe zasady globalne i Microsoft Cloud for Sovereignty podstawowe zasady poufne.
Microsoft niedawno opublikował dwie kolejne inicjatywy polityczne dotyczące zgodności z przepisami; Podstawowe zasady Microsoft Cloud for Sovereignty globalne i Microsoft Cloud for Sovereignty Podstawowe zasady poufne.
Aby uzyskać więcej informacji na temat tych inicjatyw dotyczących zasad zgodności z przepisami, zobacz industry-policy-portfolio.
Podstawowe inicjatywy zasad suwerenności
Inicjatywy zasad przetwarzania w chmurze firmy Microsoft Cloud for Sovereignty na rzecz integralności mają głównie na celu zademonstrowanie zgodności z określonymi ramami kontroli zabezpieczeń. Jednak inicjatywy zasad bazowa zasad suwerenności to specjalny zestaw inicjatyw zasad Azure Policy, których zadaniem jest uzupełnienie struktur o kontrolę suwerenności.
Kontrolki suwerenne ułatwiają odpowiednie użycie opcji Poufne obliczenia usługi Azure, które zapewniają ochronę danych znacznie wykracza poza zakres istniejących systemów kontroli zabezpieczeń, które są często wymagane w sposób łatwy do użycia w organizacjach.
Inicjatywa zasad suwerenności umożliwia organizacjom prostą metodę konfigurowania wielu zasad platformy Azure w sposób, który odnosi się do przynajmniej jednego celu kontroli suwerenności, wymienionego poniżej:
- Dane klientów muszą być przechowywane i przetwarzane w całości w centrach danych znajdujących się w zatwierdzonych regionach geopolitycznych w oparciu o wymagania określone przez klienta.
- Klienci muszą zatwierdzić dostęp do danych klientów przez operatorów usług chmurowych i zarządzanych.
- Wrażliwe dane klienta zdefiniowane przez klienta muszą być dostępne wyłącznie w formie zaszyfrowanej dla operatorów usług chmurowych i zarządzanych.
- Klient musi mieć wyłączną kontrolę nad decydowaniem, które tożsamości mogą uzyskać dostęp do kluczy używanych do odszyfrowywania wrażliwych danych zdefiniowanych przez klienta.
Te cele kontroli to najlepsze praktyki zalecane przez platformę Azure w celu rozwiązania problemów związanych z suwerennością danych poprzez obsługę odpowiedniego użycia i konfiguracji w ramach różnych ofert platformy Azure, które przechowują lub przetwarzają dane klientów. Jeśli uważasz, że istnieją inne cele kontrolne, które należy uwzględnić w planie bazowym, możesz utworzyć prośbę o dodanie funkcji.
Podstawowe inicjatywy zasad suwerenności są wstępnie zainstalowane w Suwerennej strefie lądowania lub mogą być wdrożone w dowolnej dzierżawie platformy Azure za pośrednictwem wbudowanych zasad Azure. Policy
Podstawa inicjatyw zasad suwerenności nie zastępuje wbudowanych inicjatyw dotyczących zgodności z przepisami ani nie jest bezpośrednio powiązana z żadnymi ramami. Organizacje powinny w dalszym ciągu wykorzystywać swoje istniejące inicjatywy w celu wykazania zgodności ze wszystkimi odpowiednimi ramami regulacyjnymi.
Aby uzyskać więcej informacji o tym, jak Microsoft postrzega suwerenność danych, zapoznaj się z naszymi oficjalnymi dokumentami.
Ważne
Organizacje ponoszą pełną odpowiedzialność za zapewnienie własnej zgodności ze wszystkimi obowiązującymi przepisami i regulacjami. Informacje zawarte w tym dokumencie nie stanowią porady prawnej, a organizacje powinny konsultować się ze swoimi doradcami prawnymi w przypadku jakichkolwiek pytań dotyczących zgodności z przepisami.