Microsoft Cloud for Sovereignty 策略组合
Azure 提供了一系列符合各种法规合规框架和行业标准的内置计划。 这些计划涵盖数据保护、网络安全和访问控制等关键方面。 通过实施强大的配置和控制,您可以增强组织 Azure 资源的主权和安全地位,并保护敏感数据免遭未经授权的访问。
Microsoft Cloud for Sovereignty 通过定期添加更多计划来扩展现有的 Azure 内置计划和 自定义策略计划。
Azure 内置策略计划
Azure 内置策略计划是一个强大的工具集,可实现对 Azure 资源的集中控制和对特定配置的强制执行。 这些计划包括一系列策略定义,支持遵守不同监管框架、行业标准和安全最佳做法。
这些计划提供了一种简化的自动化的治理方法,让组织能够大规模管理和监视合规情况。 有关策略计划的更多信息,请参阅什么是 Azure policy?。
Azure 自定义策略计划
Azure Policy 自定义计划可帮助你专门针对组织的独特要求定制一组策略,使你能够控制强制实施最适合你的环境的标准和规则。 Microsoft Cloud for Sovereignty 通过 GitHub 上的 industry-policy-portfolio 存储库访问 多个自定义策略计划和合规性映射。 Microsoft Cloud for Sovereignty 策略计划有助于自定义部署,以减少审核环境所需的时间和复杂度,并可以帮助满足既定的法规合规框架和政府要求。
Microsoft Cloud for Sovereignty 策略计划
Microsoft Cloud for Sovereignty 计划和合规性映射对 Azure 内置计划进行扩展,可帮助您自动执行策略并建立强大的治理框架,降低不合规风险。 此外,这些计划还加强了数据保护措施。 当我们在其他框架上继续扩展时,组织可以使用大量可用的法规合规内置计划。
法规合规策略计划
Microsoft Cloud for Sovereignty 在 Industry-Policy-Portfolio 存储库中 维护多个法规遵从性策略计划。 此产品组合包含一系列计划,可帮助您开始合规性之旅。
这些计划以 Azure 内置和自定义策略计划的形式提供。 可以通过 Azure Policy 门户页面找到内置策略计划。 对于自定义计划,您需要将计划部署到租户中。 有关更多信息,请参阅 industry-policy-portfolio 存储库。 此存储库中包含的策略计划和文件旨在用作起始指向。 这些文件不是最终的或全面的解决方案,而是帮助您快速启动工作的有用资源。
除了策略计划之外,您还可以在 industry-policy-portfolio 存储库中找到 有关策略框架和特定策略的信息,以控制目标映射。
该组合包括以下政策举措:
- NIS2 指令 (预览版)增强了整个欧盟关键基础设施和数字服务的网络安全和弹性,确保针对网络威胁提供更高水平的保护。
- 西班牙国家安全局(ENS)高级安全措施 要求公共组织和信息和通信技术(ICT)提供商进行安全控制,确保符合西班牙和欧盟标准以保护数据和服务。
- 新西兰信息安全手册(NZ ISM) 旨在建立流程和控制措施来保护新西兰政府信息和系统。
- 政府信息安全基线 (Baseline informatiebeveiliging Overheid 或荷兰语中的 BIO)是荷兰政府各级(中央政府、市、省和水务局)信息安全的基础标准框架。
- 意大利云战略 包含意大利公共管理局数据和数字服务迁移到云的战略指南,国家网络安全局(ACN)发布了一套关于 云服务和云服务基础设施资格的要求。
- 一个自定义 Azure 策略计划和控制映射,帮助客户满足云安全联盟 (CSA) 云控制矩阵 (CCM) v4 云计算网络安全控制框架定义的指南的要求。
- Microsoft Cloud for Sovereignty 基准全局策略 和 Microsoft Cloud for Sovereignty 基准机密策略。
Microsoft 最近又发布了两项法规合规性内置策略计划; Microsoft Cloud for Sovereignty 基准全局策略(Baseline Global Policies )和 Microsoft Cloud for Sovereignty 基准机密策略(Baseline Confidential Policies)。
有关这些监管合规政策计划的更多信息,请参阅 industry-policy-portfolio。
主权基准策略计划
Microsoft Clouds for Sovereignty 策略计划主要是为了帮助证明特定的安全控制框架的合规性。 但是,主权基准策略计划是一组特殊的内置 Azure Policy 计划,用途是通过主权控制来补充框架。
主权控制帮助适当使用以易于采用的方式为组织提供超出现有安全控制框架通常需要的数据保护屏障的 Azure 机密计算产品/服务。
主权基准策略计划为组织提供了一种简单的方法,以解决一个或多个主权控制目标的方式配置多个 Azure 策略,如下所示:
- 客户数据必须完全在位于根据客户定义的要求批准的地理区域的数据中心存储和处理。
- 客户必须批准云和托管服务操作员访问客户数据。
- 客户定义的敏感客户数据只能以加密方式供云和托管服务操作员访问。
- 客户必须对决定哪些身份可以访问用于解密客户定义的敏感数据的密钥有独占控制权。
这些控制目标是 Azure 建议的最佳做法,通过支持存储或处理客户数据的各个 Azure 产品/服务中的适当使用和配置来解决数据主权问题。 如果您感觉基准中还有必要包含其他一些控制目标,您可以创建功能请求。
主权基准策略计划随主权登陆区域预装,或者可以作为内置 Azure Policy 部署在任何 Azure 租户中。
主权基准策略计划不会取代内置的法规合规计划或直接映射到任何框架。 组织应继续利用其现有计划来证明遵守所有适当的监管框架。
有关 Microsoft 如何看待数据主权的更多信息,请查看我们的 白皮书。
重要提示
组织全权负责确保自身遵守所有适用的法律和法规。 本文档中提供的信息不构成法律建议,组织应咨询其法律顾问来了解有关法规合规的任何问题。