Microsoft Cloud for Sovereignty 策略组合

Azure 提供了一系列符合各种法规合规框架和行业标准的内置计划。 这些计划涵盖数据保护、网络安全和访问控制等关键方面。 通过实施强大的配置和控制,您可以增强组织 Azure 资源的主权和安全地位,并保护敏感数据免遭未经授权的访问。

Microsoft Cloud for Sovereignty 通过定期添加更多计划来扩展现有的 Azure 内置计划和 自定义策略计划。

Azure 内置策略计划

Azure 内置策略计划是一个强大的工具集,可实现对 Azure 资源的集中控制和对特定配置的强制执行。 这些计划包括一系列策略定义,支持遵守不同监管框架、行业标准和安全最佳做法。

这些计划提供了一种简化的自动化的治理方法,让组织能够大规模管理和监视合规情况。 有关策略计划的更多信息,请参阅什么是 Azure policy?

Azure 自定义策略计划

Azure Policy 自定义计划可帮助你专门针对组织的独特要求定制一组策略,使你能够控制强制实施最适合你的环境的标准和规则。 Microsoft Cloud for Sovereignty 通过 GitHub 上的 industry-policy-portfolio 存储库访问 多个自定义策略计划和合规性映射。 Microsoft Cloud for Sovereignty 策略计划有助于自定义部署,以减少审核环境所需的时间和复杂度,并可以帮助满足既定的法规合规框架和政府要求。

Microsoft Cloud for Sovereignty 策略计划

Microsoft Cloud for Sovereignty 计划和合规性映射对 Azure 内置计划进行扩展,可帮助您自动执行策略并建立强大的治理框架,降低不合规风险。 此外,这些计划还加强了数据保护措施。 当我们在其他框架上继续扩展时,组织可以使用大量可用的法规合规内置计划。

法规合规策略计划

Microsoft Cloud for Sovereignty 在 Industry-Policy-Portfolio 存储库中 维护多个法规遵从性策略计划。 此产品组合包含一系列计划,可帮助您开始合规性之旅。

这些计划以 Azure 内置和自定义策略计划的形式提供。 可以通过 Azure Policy 门户页面找到内置策略计划。 对于自定义计划,您需要将计划部署到租户中。 有关更多信息,请参阅 industry-policy-portfolio 存储库。 此存储库中包含的策略计划和文件旨在用作起始指向。 这些文件不是最终的或全面的解决方案,而是帮助您快速启动工作的有用资源。

除了策略计划之外,您还可以在 industry-policy-portfolio 存储库中找到 有关策略框架和特定策略的信息,以控制目标映射。

该组合包括以下政策举措:

Microsoft 最近又发布了两项法规合规性内置策略计划; Microsoft Cloud for Sovereignty 基准全局策略(Baseline Global Policies )和 Microsoft Cloud for Sovereignty 基准机密策略(Baseline Confidential Policies)。

有关这些监管合规政策计划的更多信息,请参阅 industry-policy-portfolio

主权基准策略计划

Microsoft Clouds for Sovereignty 策略计划主要是为了帮助证明特定的安全控制框架的合规性。 但是,主权基准策略计划是一组特殊的内置 Azure Policy 计划,用途是通过主权控制来补充框架。

主权控制帮助适当使用以易于采用的方式为组织提供超出现有安全控制框架通常需要的数据保护屏障的 Azure 机密计算产品/服务

主权基准策略计划为组织提供了一种简单的方法,以解决一个或多个主权控制目标的方式配置多个 Azure 策略,如下所示:

  • 客户数据必须完全在位于根据客户定义的要求批准的地理区域的数据中心存储和处理。
  • 客户必须批准云和托管服务操作员访问客户数据。
  • 客户定义的敏感客户数据只能以加密方式供云和托管服务操作员访问。
  • 客户必须对决定哪些身份可以访问用于解密客户定义的敏感数据的密钥有独占控制权。

这些控制目标是 Azure 建议的最佳做法,通过支持存储或处理客户数据的各个 Azure 产品/服务中的适当使用和配置来解决数据主权问题。 如果您感觉基准中还有必要包含其他一些控制目标,您可以创建功能请求

主权基准策略计划随主权登陆区域预装,或者可以作为内置 Azure Policy 部署在任何 Azure 租户中。

主权基准策略计划不会取代内置的法规合规计划或直接映射到任何框架。 组织应继续利用其现有计划来证明遵守所有适当的监管框架。

有关 Microsoft 如何看待数据主权的更多信息,请查看我们的 白皮书

重要提示

组织全权负责确保自身遵守所有适用的法律和法规。 本文档中提供的信息不构成法律建议,组织应咨询其法律顾问来了解有关法规合规的任何问题。

另请参见