Planera, implementera och övervaka Microsoft Cloud for Sovereignty
Microsoft Cloud for Sovereignty tillhandahåller verktyg och vägledning för IT-proffs och informationssäkerhetsansvariga under hela molnets implementeringslivscykel. Resten av den här artikeln presenterar funktioner i samband med tre stadier av en implementeringslivscykel och hänvisar till detaljerade artiklar om var och en av artiklarna.
- Planera: Planera din molnmigrering.
- Implementera: Implementera en suverän och kompatibel arkitektur.
- Övervaka och granska: Övervaka och granska dina data och arbetsbelastningar för att skydda dem.
Plan
Offentliga organisationer som har strikta suveränitetskrav måste införliva sina suveränitetsmål i sina planeringsinsatser. Denna process säkerställer att strategiska beslut om molnimplementering överensstämmer med dessa suveränitetskrav.
Suveräntitetskrav
Microsoft Cloud Adoption Framework för Azure är ett ramverk för hela livscykeln som gör det möjligt för molnarkitekter, IT-proffs och affärsbeslutsfattare att uppnå sina mål för molnimplementering. Ramverket tillhandahåller bästa praxis, dokumentation och verktyg som hjälper dig att skapa och implementera affärs- och teknikstrategier för molnet.
Du kan läsa Utvärdera suveräna krav om du vill förstå hur man utvärderar, identifierar och dokumenterar suveränitetskrav samt granskar rekommendationer för var dessa krav kan passa in i deras bredare planeringsinsatser kopplade till Cloud Adoption Framework för Azure.
Geotillgänglighet för Cloud for Sovereignty
En viktig del av planeringen är att förstå och utvärdera den regionala tillgängligheten av suveränitetsrelaterade tjänster. Artikeln Internationell tillgänglighet för Microsoft Cloud for Sovereignty ger en översikt.
Alternativ för dataresidens och EU:s datagräns
Dataresidens är ett vanligt regelkrav för data från den offentliga sektorn. Krav på dataresidens kan begränsa var olika typer av data kan lagras och behandlas. Vissa bestämmelser kan också införa begränsningar för vart data kan överföras. Microsoft Cloud for Sovereignty gör det möjligt för dig att konfigurera Sovereign landningszons (SLZ) för att begränsa de tjänster och regioner som kan användas och genomdriva tjänstekonfigurationen för att uppfylla kraven på dataresidens. Mer information finns i Dataresidens.
EU-datagränsen är en geografiskt definierad gräns inom vilken Microsoft har åtagit sig att lagra och bearbeta kunddata för större kommersiella företagsonlinetjänster inklusive Azure, Dynamics 365, Power Platform och Microsoft 365. EU:s datagräns ger åtaganden om dataresidens utöver vad Microsoft Cloud for Sovereignty hanterar, särskilt kring lagringen av data för icke-regionala Azure-tjänster. Mer information finns i EU:s datagräns.
Cloud for Sovereignty-policyportfölj och baslinje
Sovereign Policy-portföljen inkluderar suveränitetspolicyinitiativ på grundnivå och policyinitiativ utformade för att hjälpa till att uppfylla regionspecifika efterlevnadsbestämmelser. Dessa policyinitiativ hjälper offentliga kunder i deras ansträngningar att snabbt följa olika regelverk. Dessa policyinitiativ åtföljs av tillhörande kontrollmappningar och dokumentation. Mer information finns i Policyportföljen.
Implementera
Under implementeringsstadiet kan organisationer inom den offentliga sektorn påskynda definitionen och spridningen av suveräna miljöer med hjälp av verktyg och riktlinjer i Microsoft Cloud for Sovereignty.
Sovereign landningszon
Sovereign landningszon (SLZ) är en variant på Azure Landing Zone (ALZ) som tillhandahåller en molninfrastruktur i företagsskala fokuserad på operativ kontroll av vilande data, under transport och vid användning. En SLZ anpassar Azure-funktioner såsom tjänstresidens, kundhanterade nycklar, privata länkar och konfidentiell datoranvändning för att skapa en molnarkitektur där data och arbetsbelastningar som standard används till kryptering och skydd mot hot. Du kan distribuera en SLZ med ett enda PowerShell-kommando och några parametrar.
SLZ är tillgängligt på GitHub. För mer information, se Översikt över Sovereign landningszon.
Verktyg för livscykelhantering för landningszonen (förhandsversion)
Microsoft Cloud for Sovereignty innehåller följande livscykelhanteringsverktyg för landningszoner via HubHub:
- Utvärdering: Utför en fördistributionsutvärdering av Azure resurser, till exempel deras platser och Azure principtilldelningar, mot etablerade metodtips.
- Principkompilatorn: Effektiviserar principhanteringsprocessen. Organisationens policysatsningar analyseras systematiskt genom att viktiga komponenter förs in.
- Drift Analyzer: Övervakar och jämför det aktuella tillståndet för molnmiljön med den ursprungliga avsedda landningszonskonfigurationen. Det identifierar kritiska avvikelser och förändringar.
Mer information finns i Verktyg för livscykelhantering för landningszonen.
Sovereign Guardrails i Dataverse- och Power Platform-miljöer för större datasuveränitet (förhandsversion)
Du kan konfigurera Dataverse- och Power Platform-miljöer för mer större datasuveränitet. Du kan använda Microsoft Power Platform-administratörscenter för centraliserad hantering av miljöer och inställningar, inklusive inställningar för klientorganisationer för att styra skapandet och hanteringen av miljön. Du kan också använda specifika åtkomstkontroller för Dataverse och Power Platform för att säkerställa efterlevnad av suveränitetskrav. Mer information finns i Konfigurera dina Dataverse och Power Platform miljöer för mer datasuveränitet.
Kryptering och nyckelhantering
Det är avgörande att implementera rätt krypterings- och nyckelhanteringsstrategi för en säker och suverän implementering. Mer information finns i Nyckelhantering och certifikathantering.
Azure konfidentiell databehandling
Microsoft Cloud for Sovereignty hjälper kunderna att konfigurera och skydda sina data och resurser på ett sätt som hjälper dem att följa sina specifika regelverks- och suveränitetskrav. Detta inkluderar att säkerställa att parter utanför kundens kontroll, inklusive Microsoft, inte kan komma åt kunddata. Tillsammans med Azure konfidentiell databehandling (ACC) ger Microsoft Cloud for Sovereignty kunder insyn i och kontroll över all åtkomst till deras arbetsbelastningar. ACC förbättrar kundens suveränitet genom att ta bort eller minska privilegierad dataåtkomst för en molnleverantörsoperatör och andra aktörer, inklusive programvara såsom hypervisor-programmet. Utöver befintliga lösningar som skyddar vilande data och under transport hjälper ACC även till att skydda data under hela dess livscykel. Mer information finns i Azure konfidentiell databehandling.
Programexempel
Använd ett konfidentiellt exempelprogram för HR (Human Resources) som säkerställer och verifierar att den distribuerade infrastruktur för suverän landningszon (SLZ) tillgodoser sekretessbehoven för kundarbetsbelastningen. Mer information finns i Konfidentiellt exempelprogram.
Exempel på referensarkitektur (förhandsversion)
Ett vanligt scenario för SLZ-distribution är att använda LLM:er för att hålla konversationer med hjälp av dina egna data via RAG-mönstret (Retrieval Augmented Generation) Det här mönstret gör att du kan dra nytta av LLM:erna och generera svar baserat på dina specifika data utan att det krävs någon finjustering av modellen. Det underlättar smidig integrering av LLM:er i din befintliga affärsprocess eller befintliga lösningar. Undersök hur man kan använda teknikerna i suveräna landningszoner, och samtidigt överväga viktiga skyddsmekanismer. Mer information finns i LLM:er och Azure OpenAI i RAG-mönster (Retrieval Augmented Generation).
Migrera och modernisera
Microsoft Cloud for Sovereignty innehåller verktyg och vägledning för migrering av arbetsbelastningen till molnet. Mer information finns i Översikt över arbetsbelastningsmigreringar.
Arbetsbelastningsmallar
Arbetsbelastningsmallar ger produktionskvalitet, återanvändbara, säkra och kompatibla automatiserade distributioner för vanliga arbetsbelastningstyper. En arbetsbelastningsmall fokuserar på korrekt konfigurerad distribution av en eller flera Azure Services på ett återanvändbart sätt. För mer information, se Arbetsbelastningsmallar för Sovereign landningszon.
Övervaka och granska
Förutom den rika uppsättningen tjänster som Microsoft Azure tillhandahåller för att övervaka dina arbetsbelastningar och hålla dem säkra, såsom Azure Monitor och Defender for Cloud, introducerar Microsoft Cloud for Sovereignty nya funktioner och tjänster.
Transparensloggar i Azure (förhandsversion)
För att vinna suveräna kunders förtroende ger Microsoft Cloud for Sovereignty extra loggnings- och övervakningskontroller som ökar insynsnivån i Microsofts personalaktiviteter. Som ett resultat av detta får har kunderna synlighet bortom vanliga offentliga molnfunktioner för att hjälpa till vid krav på revision och åtkomstkontroll.
Insynsloggar är tillgängliga i begränsad omfattning och är beroende av kundens behörighetskrav. Godkända kunder får en månadsrapport för sin klientorganisation som sammanfattar tillfällen där en Microsoft-ingenjör eller supportmedarbetare beviljas tillfällig åtkomst till kundens Azure-resurser.
Mer information finns i insynsloggarna.
Myndigheters skyddsprogram
Myndigheters skyddsprogram (GSP) är ett befintligt Microsoft-program utformat för att ge kvalificerade statliga deltagare den konfidentiella information de behöver för att kunna lita på Microsofts produkter och tjänster. Programmet inkluderar kontrollerad åtkomst till källkod, utbyte av hot- och sårbarhetsinformation, engagemang i tekniskt innehåll rörande Microsofts produkter och tjänster, samt åtkomst till Transparency Centers. Microsoft Cloud for Sovereignty har utökat GSP-programmet för att täcka vissa Azure-tjänster. För mer information, se Myndigheters skyddsprogram.
Transparenskontroller i Dataverse och Power Platform (förhandsversion)
Du kan även ange transparenskontroller i Dataverse och Power Platform, vilket är viktiga för att följa suveränitetspolicyerna.
Mer information finns i Transparenskontroller i Dataverse och Power Platform.