Considerações de soberania para zonas de destino do Azure

A adoção da computação em nuvem e, ao mesmo tempo, o cumprimento dos requisitos de soberania digital é complexa e pode diferir muito entre organizações, setores e geografias. O Microsoft Cloud for Sovereignty atende às necessidades de soberania das organizações governamentais combinando o poder da plataforma global do Azure com vários recursos de soberania projetados para ajudar a mitigar os riscos de soberania.

Microsoft Cloud for Sovereignty

O Microsoft Cloud for Sovereignty fornece recursos em várias camadas:

• Serviços avançados de controle soberano, como computação confidencial do Azure e HSM gerenciado (Módulo de Segurança de Hardware Gerenciado do Azure Key Vault)
• Proteções soberanas por meio de arquitetura codificada, aceleradores de carga de trabalho, iniciativas localizadas do Azure Policy, ferramentas e diretrizes
• Conformidade regulatória e transparência nas atividades do operador de nuvem
• Funcionalidade criada com base nos recursos de nuvem pública do Azure

Os clientes do setor público com necessidades de soberania que desejam começar a usar o Azure podem se beneficiar do Microsoft Cloud for Sovereignty. As ferramentas e diretrizes que o Microsoft Cloud for Sovereignty fornece, como a zona de destino soberana (versão prévia), podem acelerar a definição e a implantação de um ambiente soberano.

Zona de destino soberana

A zona de destino soberana (versão prévia) é uma variante personalizada opinativa da arquitetura da zona de destino do Azure destinada a organizações que precisam de controles avançados de soberania. A zona de destino soberana (versão prévia) alinha os recursos do Azure, como residência de serviço, chaves gerenciadas pelo cliente, Link Privado do Azure e computação confidencial para criar uma arquitetura de nuvem em que dados e cargas de trabalho oferecem criptografia e proteção contra ameaças por padrão.

Observação

O Microsoft Cloud for Sovereignty é orientado para organizações governamentais com necessidades de soberania. Você deve considerar cuidadosamente se precisa dos recursos do Microsoft Cloud for Sovereignty e só então considerar a adoção da arquitetura de zona de destino soberana (versão prévia).

Áreas de design da zona de destino soberana

A arquitetura da zona de destino do Azure consiste em oito áreas de design. Cada área de design descreve os fatores a serem considerados antes de implantar uma zona de destino. As seções a seguir descrevem considerações adicionais que se aplicam quando você implanta a zona de destino soberana (versão prévia). Além das diretrizes da zona de destino do Azure, lembre-se também dessas novas considerações.

Organização do recurso

A zona de destino soberana é uma versão personalizada da arquitetura conceitual da zona de destino do Azure. A zona de destino soberana se alinha às diretrizes descritas em Personalizar a arquitetura da zona de destino do Azure.

Grupos de gerenciamento para computação confidencial

Como mostra o diagrama a seguir, a arquitetura da zona de destino soberana se baseia na arquitetura da zona de destino do Azure:

• No grupo de gerenciamento de zonas de destino, os grupos de gerenciamento online Confidencial corp e Confidencial são adicionados.
• Um conjunto de iniciativas de política específicas, por exemplo, a linha de base de política do Microsoft Cloud for Sovereignty, também é aplicado. Essas iniciativas oferecem controles como local de implantação de recursos, tipos de implantação de recursos e criptografia.

Linha de base da política do Microsoft Cloud for Sovereignty

A zona de destino soberana (versão prévia) vem com as iniciativas de linha de base de política do Microsoft Cloud for Sovereignty implantadas. Como resultado, você pode implantar outros conjuntos de políticas na zona de destino soberana (versão prévia). Você pode colocar políticas extras sobre a zona de destino soberana (versão prévia). Os exemplos incluem políticas de zona de destino do Azure e conjuntos de políticas que abordam estruturas de controle, como o NIST (National Institute of Standards and Technology) 800 171 Revisão 2 e o Microsoft Cloud Security Benchmark.

A linha de base de política do Microsoft Cloud for Sovereignty consiste em:

• Políticas para impor o uso de recursos de computação confidenciais quando as cargas de trabalho são implantadas nos grupos de gerenciamento confidenciais. Essas políticas ajudam a criar uma plataforma em que as cargas de trabalho são protegidas em repouso, em trânsito e durante o uso, o que remove a Microsoft da cadeia de confiança.
• Políticas de localização, que também são implantadas por padrão para fornecer controle de administrador de nuvem sobre onde os recursos do Azure podem ser implantados.
• Gerenciamento de chaves, que é controlado por um HSM validado pelo FIPS (Federal Information Processing Standard) 140-2 nível 3 e imposto pela política.

As políticas e opiniões que a zona de destino soberana (versão prévia) adiciona à zona de destino do Azure criam uma plataforma tendenciosa para aumentar a segurança e a confidencialidade por padrão.

Para obter mais informações sobre a iniciativa de linha de base de política de soberania, examine a documentação do portfólio de políticas do Microsoft Cloud for Sovereignty.

Topologia de rede e conectividade

A zona de destino soberana (versão prévia) se concentra no controle operacional de dados em repouso, em trânsito e em uso.

Criptografia de tráfego de rede

Para obter as práticas recomendadas para criptografia de rede, consulte Definir requisitos de criptografia de rede.

Conectividade de entrada e saída da Internet

Semelhante às implantações de zona de destino do Azure, a implantação da zona de destino soberana dá suporte a:

• Uma implantação parametrizada da camada premium do Firewall do Azure, para habilitar a proteção contra DDoS (negação de serviço distribuída).
• A implantação de uma infraestrutura central do Azure Bastion.

Antes de ativar esses recursos, consulte as práticas recomendadas para conectividade de entrada e saída da Internet em Planejar a conectividade de entrada e saída da Internet.

Segurança

A arquitetura da zona de destino soberana faz uso de computação confidencial nas zonas de destino confidenciais. As seções a seguir descrevem os serviços que fornecem suporte para a computação confidencial do Azure.

Sobre o HSM Gerenciado do Azure Key Vault

O Key Vault é um serviço necessário para implantar recursos de computação confidenciais. Para obter considerações e recomendações de design, consulte Criptografia e gerenciamento de chaves no Azure. Talvez seja necessário escolher o HSM Gerenciado do Azure Key Vault para requisitos de conformidade.

Atestado do Azure

Se você usar a computação confidencial do Azure, poderá aproveitar o recurso de atestado de convidado do Atestado do Azure. Esse recurso ajuda a confirmar se uma VM confidencial é executada em um TEE (ambiente de execução confiável) baseado em hardware com recursos de segurança como isolamento e integridade habilitados.

Para obter mais informações sobre como habilitar o atestado de convidado, consulte O que é o atestado de convidado para VMs confidenciais?.

Governança

Na maioria dos casos, a equipe da Microsoft executa operações, suporte e solução de problemas, e nenhum acesso aos dados do cliente é necessário. Ocasionalmente, um engenheiro da Microsoft precisa acessar os dados do cliente. Esses casos podem surgir em resposta a tíquetes de suporte iniciados pelo cliente ou quando a Microsoft identifica um problema.

Sistema de Proteção de Dados do Cliente para Microsoft Azure

Nas raras circunstâncias em que o acesso é necessário, você pode usar o Sistema de Proteção de Dados do Cliente para Microsoft Azure. Esse recurso fornece uma interface que você pode usar para revisar e aprovar ou rejeitar solicitações de acesso a dados do cliente.

Automação de plataforma e DevOps

A zona de destino soberana (versão prévia) está disponível como um repositório GitHub.

Opções de implantação

Você pode implantar toda a zona de destino ou pode implantar um componente por vez. Ao implantar componentes individuais, você pode integrá-los ao seu fluxo de trabalho de implantação existente. Para obter diretrizes de implantação, consulte Principais componentes da implantação de visualização da zona de destino soberana.

Observação

A zona de destino soberana (versão prévia) é uma variante da zona de destino do Azure. Mas a zona de destino soberana ainda não oferece todas as opções de implantação disponíveis para a arquitetura da zona de destino do Azure. Para obter informações sobre como implantar uma zona de destino soberana, consulte Principais componentes da implantação de visualização da zona de destino soberana.

O repositório GitHub inclui os seguintes componentes da zona de destino soberana (versão prévia):

• Bootstrap: configura a hierarquia do grupo de gerenciamento e cria as assinaturas conforme ditado pela arquitetura da zona de destino soberana (versão prévia). Esses elementos são implantados no grupo raiz do locatário do locatário do cliente do Azure.

• Plataforma: configura a rede do hub e os recursos de registro em log usados pela plataforma e pelas cargas de trabalho da zona de destino soberana (versão prévia).

• Conformidade: Cria e atribui os conjuntos de políticas padrão e as políticas personalizadas que são impostas no ambiente.

• Painel: fornece uma representação visual da conformidade do recurso.

Painel de conformidade

Um painel de conformidade é implantado como parte da implantação da zona de destino soberana (versão prévia). Este painel ajuda você a validar a zona de destino soberana (versão prévia) em relação aos seus requisitos e às leis e regulamentos locais. Especificamente, o painel fornece informações sobre a conformidade no nível do recurso em relação a:

• As políticas de linha de base implantadas com a zona de destino soberana (versão prévia).
• Outra conformidade personalizada que foi implantada.

Para obter mais informações, consulte a documentação do painel de conformidade.