Planear, Implementar e Monitorizar a Microsoft Cloud for Sovereignty

O Microsoft Cloud for Sovereignty fornece ferramentas e orientação para profissionais de TI e responsáveis pela segurança da informação durante todo o ciclo de vida de implementação da cloud. O resto deste artigo apresenta capacidades no contexto de três fases de um ciclo de vida de implementação e faz referência a artigos detalhados sobre cada um dos artigos.

1. Planear: planeie a sua migração para a cloud.
2. Implementar: implemente uma arquitetura soberana e compatível.
3. Monitorizar e auditar: monitorize e audite os seus dados e cargas de trabalho para os manter seguros.

Plano

As organizações do setor público que têm requisitos rigorosos de soberania têm de incorporar os seus objetivos de soberania nos seus esforços de planeamento. Este processo garante que as decisões estratégicas sobre a adoção da cloud estão alinhadas com estes requisitos de soberania.

Requisitos de soberania

O Microsoft Cloud Adoption Framework para o Azure é uma estrutura de ciclo de vida completo que permite que arquitetos de cloud, profissionais de TI e decisores de negócios atinjam as suas metas de adoção de cloud. A estrutura fornece as melhores práticas, documentação e ferramentas que ajudam a criar e implementar estratégias de negócios e tecnologia para a cloud.

Pode ler Avaliar os requisitos de soberania para compreender como avaliar, identificar e documentar requisitos de soberania e analisar recomendações sobre onde estes requisitos se podem encaixar em esforços de planeamento mais amplos associados ao Cloud Adoption Framework para o Azure.

Disponibilidade geográfica do Cloud for Sovereignty

Uma parte fundamental do planeamento é compreender e avaliar a disponibilidade regional de serviços relacionados com a soberania. O artigo Disponibilidade internacional do Microsoft Cloud for Sovereignty fornece uma descrição geral.

Opções de residência dos dados e o EU Data Boundary

A residência dos dados é um requisito regulamentar comum para dados do setor público. Os requisitos de residência dos dados podem limitar onde diferentes tipos de dados podem ser armazenados e processados. Alguns regulamentos também podem impor restrições sobre onde os dados podem ser transferidos. O Microsoft Cloud for Sovereignty permite configurar Zonas de Destino Soberanas (SLZs) para restringir os serviços e as regiões que podem ser utilizados e impor a configuração do serviço para cumprir os requisitos de residência dos dados. Para mais informações, consulte Residência dos dados.

Além disso, o EU Data Boundary é um limite geograficamente definido dentro do qual a Microsoft se comprometeu a armazenar e processar os dados de clientes para serviços online de grandes empresas comerciais, incluindo o Azure, Dynamics 365, Power Platform e Microsoft 365. O EU Data Boundary oferece compromissos de residência dos dados além do que o Microsoft Cloud for Sovereignty gere, especialmente em torno da residência dos dados para serviços não regionais do Azure. Para mais informações, consulte EU Data Boundary.

Linha de base e portfólio de políticas da Cloud for Sovereignty

O portefólio de Políticas soberanas inclui as iniciativas de políticas de linha de base de Soberania e iniciativas de políticas concebidas para ajudar a cumprir os regulamentos de conformidade específicos da região. Estas iniciativas políticas ajudam os clientes do setor público nos seus esforços para aderir rapidamente a vários quadros regulamentares. Estas iniciativas políticas são acompanhadas por mapeamentos e documentação de controlo associados. Para obter mais informações, consulte portefólio de políticas.

Arquitetura de referência de exemplo (pré-visualização)

Um cenário comum para a implementação da SLZ é a utilização de LLMs para interagir em conversações utilizando os seus próprios dados através do padrão de Geração Aumentada de Obtenção (RAG). Este padrão permite-lhe aproveitar as capacidades de raciocínio dos LLMs e gerar respostas com base nos seus dados específicos, sem necessitar de ajustes do modelo. Facilita a integração perfeita de LLMs no seu processo ou nas soluções empresariais existentes. Explore como estas tecnologias podem ser aplicadas dentro das Zonas de Destino Soberanas, considerando também verificadores de integridade importantes. Para obter mais informações, consulte LLMs e o Azure OpenAI no padrão de Geração Aumentada de Obtenção (RAG).

Implementar

Durante a fase de implementação, as organizações do setor público podem acelerar a definição e implementação de ambientes soberanos utilizando ferramentas e orientações do Microsoft Cloud for Sovereignty.

Zona de Pouso Soberana

A Zona de Pouso Soberana (SLZ) é uma variante da Zona de Destino do Azure (ALZ), que fornece uma infraestrutura de cloud à escala empresarial centrada no controlo operacional de dados em repouso, em trânsito e em utilização. Uma SLZ alinha as capacidades do Azure, como residência de serviço, chaves geridas pelo cliente, ligações privadas e computação confidencial para criar uma arquitetura de cloud onde os dados e as cargas de trabalho são predefinidos para encriptação e proteção contra ameaças. Pode implementar uma SLZ com um único comando do PowerShell e alguns parâmetros.

A SLZ está disponível no GitHub. Para obter mais informações, consulte a Descrição geral da Zona de Pouso Soberana.

Modelos de carga de trabalho

Os modelos de carga de trabalho fornecem implementações automatizadas com qualidade de produção, reutilizáveis, seguras e compatíveis desde a conceção para tipos de carga de trabalho comuns. Um modelo de carga de trabalho centra-se na implementação devidamente configurada de um ou mais Serviços Azure de forma reutilizável. Para obter mais informações, consulte Modelos de carga de trabalho para a Zona de Pouso Soberana.

Ferramentas de gestão do ciclo de vida da zona de destino (pré-visualização)

A Microsoft Cloud for Sovereignty fornece as seguintes ferramentas de gestão do ciclo de vida da zona de destino através do GitHub:

• Avaliação: realiza uma avaliação pré-implementação dos recursos do Azure, tais como as suas localizações e atribuições de políticas do Azure, em relação às melhores práticas estabelecidas.
• Compilador de Políticas: simplifica o processo de gestão de políticas. Analisa sistematicamente as iniciativas políticas da sua organização, examinando os componentes principais.
• Drift Analyzer: monitoriza e compara o estado atual do ambiente de cloud com a sua configuração original de zona de destino pretendida. Identifica alterações ou desvios críticos.

Para mais informações, consulte Ferramentas de gestão do ciclo de vida da zona de destino.

Verificadores de integridade soberanos nos ambientes do Dataverse e do Power Platform maior soberania de dados (pré-visualização)

Pode configurar os seus ambientes do Dataverse e do Power Platform para aumentar a soberania dos dados. Pode utilizar o Centro de Administração do Microsoft Power Platform para a gestão centralizada de ambientes e definições, incluindo definições de inquilino para controlar a criação e gestão de ambientes. Também pode utilizar controlos de acesso específicos para o Dataverse e o Power Platform para assegurar a conformidade com os requisitos de soberania. Para mais informações, consulte Configurar os seus ambientes do Dataverse e do Power Platform para aumentar a soberania dos dados.

Encriptação e gestão de chaves

É crucial implementar a estratégia correta de encriptação e gestão de chaves para uma implementação segura e soberana. Para mais informações, consulte este artigo.

Computação Confidencial do Azure

O Microsoft Cloud for Sovereignty ajuda os clientes a configurar e proteger os seus dados e recursos de forma a que cumpram os seus requisitos regulamentares e de soberania específicos. Inclui assegurar que partes fora do controlo do cliente, incluindo a Microsoft, não podem aceder aos dados de cliente. Juntamente com a Computação confidencial do Azure (ACC), o Microsoft Cloud for Sovereignty oferece aos clientes visibilidade e controlo sobre todo o acesso às respetivas cargas de trabalho. A ACC aumenta a soberania do cliente ao remover ou reduzir o acesso privilegiado a dados para um operador do fornecedor de cloud e outros atores, incluindo software como o hipervisor. A ACC ajuda a proteger os dados durante todo o seu ciclo de vida, além das soluções existentes, que protegem os dados em repouso e em trânsito. Para obter mais informações, consulte Computação Confidencial do Azure.

Aplicação de exemplo

Utilize uma aplicação confidencial de Recursos Humanos (RH) de exemplo que garanta e valide que a infraestrutura implementada da Zona de Pouso Soberana (SLZ) serve as necessidades confidenciais das cargas de trabalho dos clientes. Para mais informações, consulte Aplicação de exemplo confidencial.

Migrar e modernizar

A Microsoft Cloud for Sovereignty fornece ferramentas e orientação para migrar cargas de trabalho para a cloud. Para mais informações, consulte Descrição geral das migrações das cargas de trabalho.

Monitorizar e Auditar

Além do avançado conjunto de serviços que o Microsoft Azure fornece para monitorizar as suas cargas de trabalho e as manter seguras, como o Azure Monitor e Defender for Cloud, o Microsoft Cloud for Sovereignty apresenta novas capacidades e serviços.

Registos de transparência (pré-visualização)

Para ganhar a confiança de clientes soberanos, o Microsoft Cloud for Sovereignty fornece controlos adicionais de registo e monitorização que aumentam o nível de transparência nas atividades do pessoal da Microsoft. Como resultado, os clientes têm visibilidade além das capacidades padrão da cloud pública para ajudar nos requisitos de auditoria e controlo de acesso.

Os registos de transparência estão disponíveis de forma limitada e sujeitos aos requisitos de elegibilidade do cliente. Os clientes aprovados recebem um relatório mensal para o seu inquilino que resume os casos em que um engenheiro ou agente de suporte da Microsoft recebe acesso temporário aos recursos do Azure do cliente.

Para obter mais informações, consulte os registos de transparência.

Controlos de transparência no Dataverse e no Power Platform (pré-visualização)

Também pode definir controlos de transparência no Dataverse e no Power Platform, que são cruciais para o cumprimento das políticas soberanas.

Para obter mais informações, consulte Controlos de transparência no Dataverse e no Power Platform.

Programa de Segurança Governamental

O Programa de Segurança Governamental (GSP) é um programa existente da Microsoft concebido para fornecer aos participantes governamentais elegíveis as informações confidenciais de que necessitam para confiar nos produtos e serviços da Microsoft. O programa inclui acesso controlado ao código-fonte, troca de informações sobre ameaças e vulnerabilidades, envolvimento em conteúdo técnico sobre produtos e serviços da Microsoft e acesso a Centros de Transparência. O Microsoft Cloud for Sovereignty expandiu o programa GSP para abranger alguns serviços do Azure. Para obter mais informações, consulte o Programa de Segurança Governamental.

Consulte também

• Porquê utilizar a cloud pública da Microsoft para Soberania?
  
• Conceitos de Zona de Pouso Soberana