通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 登陆区域的主权注意事项

  • 项目

在满足数字主权要求的同时采用云计算是复杂的,在组织、行业和地理位置之间可能会有很大的不同。 Microsoft Cloud for Sovereignty 通过将全球 Azure 平台的力量与多个主权功能相结合,帮助缓解主权风险,解决了政府组织的主权需求。

Microsoft Cloud for Sovereignty

Microsoft Cloud for Sovereignty 提供跨不同层的功能:

  • Azure 机密计算和 Azure 密钥库托管硬件安全模块(托管 HSM)等高级主权控制服务
  • 通过编码的体系结构、工作负荷加速器、本地化的 Azure Policy 计划、工具和指南实现主权防护
  • 云运营商活动的法规合规性和透明度
  • 基于 Azure 公有云功能构建的功能

此图显示了 Microsoft Cloud for Sovereignty 的功能层。

拥有主权需求的公共部门客户想要开始使用 Azure 可以从 Microsoft Cloud for Sovereignty 中受益。 Microsoft主权云提供的工具和指南(例如主权登陆区域)可以加速主权环境的定义和部署。

主权登陆区域

主权登陆区域(预览版)是 Azure 登陆区域体系结构定制变体,适用于需要高级主权控制的组织。 主权登陆区域(预览版)使 Azure 功能(例如服务驻留、客户管理的密钥、Azure 专用链接和机密计算)保持一致,以创建一个云体系结构,默认情况下,数据和工作负载提供加密和保护威胁。

注意

Microsoft云主权面向具有主权需求的政府组织。 应仔细考虑是否需要 Microsoft Cloud for Sovereignty 功能,然后才考虑采用主权登陆区域(预览版)体系结构。

主权登陆区域设计区域

Azure 登陆区域体系结构由 8 个设计区域组成。 每个设计区域描述了在部署登陆区域之前要考虑的因素。 以下部分介绍在部署主权登陆区域时适用的其他注意事项(预览版)。 除了 Azure 登陆区域指南,还请记住这些新注意事项。

资源组织

主权登陆区域是 Azure 登陆区域概念体系结构的定制版本。 主权登陆区域符合定制 Azure 登陆区域体系结构概述的指导。

机密计算的管理组

如下图所示,主权登陆区域体系结构基于 Azure 登陆区域体系结构:

  • 登陆区域管理组下,将添加机密公司和机密联机管理组。
  • 还应用了一组特定的策略计划,例如, Microsoft云主权策略基线。 这些计划提供资源部署位置、资源部署类型和加密等控制措施。

显示主权登陆区域的管理组的关系图。

Microsoft云主权策略基线

主权登陆区域(预览版)附带部署的Microsoft云主权策略基线计划。 因此,可以在主权登陆区域(预览版)内部署其他策略集。 可以在主权登陆区域(预览版)上分层额外的策略。 示例包括 Azure 登陆区域策略和策略集,这些策略集解决了国家标准与技术研究所(NIST)800 171 修订版 2 和Microsoft云安全基准等控制框架。

Microsoft云主权策略基线包括:

  • 将工作负荷部署到机密管理组中时强制使用机密计算资源的策略。 这些策略有助于创建一个平台,其中工作负荷在静态、传输中受到保护,以及正在使用中,这会从信任链中删除Microsoft。
  • 默认部署的位置策略,用于提供云管理员对 Azure 资源部署位置的控制。
  • 密钥管理由联邦信息处理标准 (FIPS) 140-2 级别 3 验证的 HSM 控制,并按策略强制执行。

主权登陆区域(预览版)在 Azure 登陆区域的基础上添加的策略和意见会创建一个平台,该平台默认倾向于提高安全性和机密性。

有关主权政策基线计划的详细信息,请查看 Microsoft Cloud for Sovereignty 策略组合 文档。

网络拓扑和连接

主权登陆区域(预览版)侧重于对静态数据、传输和使用中的数据的操作控制。

流量加密

有关网络加密的最佳做法,请参阅 定义网络加密要求

Internet 入站和出站连接

与 Azure 登陆区域部署类似,主权登陆区域部署支持:

  • 用于启用分布式拒绝服务(DDoS)保护的高级层Azure 防火墙的参数化部署。
  • 部署中心 Azure Bastion 基础结构。

在启用这些功能之前,请在计划入站和出站 Internet 连接中 咨询 Internet 入站和出站连接的最佳做法。

安全性

主权登陆区域体系结构利用机密登陆区域中的机密计算。 以下部分介绍为 Azure 机密计算提供支持的服务。

Azure Key Vault 托管的 HSM

密钥库是部署机密计算资源的必要服务。 有关设计注意事项和建议,请参阅 Azure 中的加密和密钥管理。 可能需要选择 Azure 密钥库托管 HSM 以满足合规性要求。

Azure 证明

如果使用 Azure 机密计算,则可以利用Azure 证明的来宾证明功能。 此功能有助于确认机密 VM 在启用了隔离和完整性等安全功能的基于硬件的受信任执行环境(TEE)上运行。

有关启用来宾证明的详细信息,请参阅 什么是机密 VM 的来宾证明?

治理

在大多数情况下,Microsoft人员执行操作、支持和故障排除,无需访问客户数据。 有时,Microsoft工程师需要访问客户数据。 这些情况可能会针对客户发起的支持票证或Microsoft确定问题时出现。

Microsoft Azure 客户密码箱

在极少数情况下,需要访问时,可以使用 客户密码箱Microsoft Azure。 此功能提供了一个接口,可用于查看和批准或拒绝客户数据访问请求。

平台自动化和 DevOps

主权登陆区域(预览版)以 GitHub 存储库的形式提供。

部署选项

可以部署整个登陆区域,也可以一次部署一个组件。 部署单个组件时,可以将它们集成到现有部署工作流中。 有关部署指南,请参阅 主权登陆区域预览部署的关键组件。

注意

主权登陆区域(预览版)是 Azure 登陆区域的变体。 但主权登陆区域尚未提供可用于 Azure 登陆区域体系结构的所有部署选择。 有关部署主权登陆区域的信息,请参阅 主权登陆区域预览部署的关键组件。

GitHub 存储库包含以下主权登陆区域(预览版)组件:

  • Bootstrap:设置管理组层次结构,并按照主权登陆区域的体系结构(预览版)的要求创建订阅。 这些元素部署在 Azure 客户租户的租户根组下。

  • 平台:设置主权登陆区域(预览版)平台和工作负载使用的中心网络和日志记录资源。

  • 符合性:创建并分配在环境中强制执行的默认策略集和自定义策略。

  • 仪表板:提供资源符合性的可视表示形式。

合规性仪表板

合规性仪表板部署为主权登陆区域(预览版)部署的一部分。 此仪表板可帮助你根据要求和当地法律和法规验证主权登陆区域(预览版)。 具体而言,仪表板提供针对以下方面的资源级合规性的见解:

  • 使用主权登陆区域部署的基线策略(预览版)。
  • 已部署的其他自定义符合性。

有关详细信息,请参阅 合规性仪表板文档