تفاصيل مبادرة التوافق التنظيمي المضمنة لنهج Microsoft Cloud for Sovereignty Baseline Confidential Policies
توضح المقالة التالية كيفية تعيين تعريف المبادرة المضمنة للامتثال التنظيمي لنهج Azure إلى مجالات التوافق وعناصر التحكم في Microsoft Cloud for Sovereignty Baseline Confidential Policies. لمزيد من المعلومات حول معيار التوافق هذا، راجع Microsoft Cloud for Sovereignty Baseline Confidential Policies. لفهم الملكية، راجع تعريف نهج Azure و المسؤولية المشتركة في السحابة.
التعيينات التالية مخصصة لعناصر التحكم في النهج السرية لأساس السيادة في Microsoft Cloud. يتم تنفيذ العديد من عناصر التحكم بتعريف مبادرة Azure Policy. لمراجعة تعريف المبادرة الكامل، افتح نهج في مدخل Microsoft Azure وحدد صفحة التعريفات. ثم ابحث عن تعريف المبادرة المضمنة [Preview]: Sovereignty Baseline - Confidential Policies Regulatory Compliance وحدده.
هام
يرتبط كل عنصر تحكم أدناه بتعريف أو أكثر من تعريفات نهج Azure. قد تساعدك هذه السياسات على تقييم الامتثال بعنصر التحكم؛ ومع ذلك، غالباً ما لا يكون هناك تطابق أو تناظر كامل بين عنصر التحكم مع نهج واحد أو أكثر. على هذا النحو، تشير كلمة متوافق في Azure Policy فقط إلى تعريفات النهج ذاتها؛ وهذا لا يضمن أنك ممتثل تمامًا لكافة متطلبات عنصر التحكم. بالإضافة إلى ذلك، يتضمن معيار التوافق عناصر تحكم لا يتم تناولها بواسطة أي تعريفات خاصة بـ Azure Policy في هذا الوقت. لذلك، فإن التوافق في Azure Policy هو مجرد مظهر جزئي لحالة التوافق الكلي. قد تتغير الاقترانات بين مجالات الامتثال وعناصر التحكم وتعريفات Azure Policy لمعيار الامتثال المذكور بمرور الوقت. لعرض تاريخ التغييرات، راجع تاريخ امتثال شركة GitHub.
SO.1 - موقع البيانات
يجب نشر منتجات Azure وتكوينها لاستخدام المناطق المعتمدة.
المعرف: سياسة خط الأساس لسيادة MCfS SO.1 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| المواقع المسموح بها | يمكّنك هذا النهج من تقييد المواقع التي يمكن لمؤسستك تحديدها عند توزيع الموارد. تُستخدم لفرض متطلبات التوافق الجغرافي الخاصة بك. باستثناء مجموعات الموارد وMicrosoft.AzureActiveDirectory/b2cDirectory والموارد التي تستخدم المنطقة "العمومية". | رفض | 1.0.0 |
| المواقع المسموح بها لمجموعات الموارد | تمكّنك هذه السياسة من تقييد المواقع التي يمكن لمؤسستك إنشاء مجموعات موارد فيها. تُستخدم لفرض متطلبات التوافق الجغرافي الخاصة بك. | رفض | 1.0.0 |
| المواقع المسموح بها على Azure Cosmos DB | يمكّنك هذا النهج من تقييد المواقع التي يمكن لمؤسستك تخصيصها عند نشر موارد Azure Cosmos DB. تُستخدم لفرض متطلبات التوافق الجغرافي الخاصة بك. | [المعلمات ('policyEffect')] | 1.1.0 |
SO.3 - مفاتيح يديرها العميل
يجب تكوين منتجات Azure لاستخدام المفاتيح المدارة من قبل العملاء عندما يكون ذلك ممكنا.
المعرف: سياسة خط الأساس لسيادة MCfS SO.3 الملكية: مشتركة
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| [معاينة]: يجب أن تستخدم مخازن خدمات استرداد Azure المفاتيح المُدارة من قبل العملاء لتشفير بيانات النسخ الاحتياطي | استخدم المفاتيح التي يديرها العميل لإدارة التشفير للبيانات في وضع السكون لبيانات النسخ الاحتياطي. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرّف على المزيد من خلال https://aka.ms/AB-CmkEncryption. | التدقيق، الرفض، التعطيل | 1.0.0-المعاينة |
| يجب تشفير كل من أنظمة التشغيل وأقراص البيانات في مجموعات خدمة Azure Kubernetes من خلال مفاتيح يديرها العميل | تشفير نظام التشغيل وأقراص البيانات باستخدام مفاتيح يديرها العملاء يوفر المزيد من التحكم والمرونة في إدارة المفاتيح. وهذا مطلب شائع في العديد من معايير الامتثال التنظيمية والصناعية. | التدقيق، الرفض، التعطيل | 1.0.1 |
| يجب أن تستخدم حسابات HPC Cache مفتاحًا مدارًا من قبل العميل للتشفير | إدارة تشفير البيانات الثابتة ذاكرة التخزين المؤقت لـ Azure HPC باستخدام المفاتيح المدارة من قبل العميل. بشكل افتراضي، يتم تشفير بيانات العملاء باستخدام مفاتيح مدارة بواسطة الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة للوفاء بمعايير التوافق التنظيمي. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | تدقيق، تعطيل، رفض | 2.0.0 |
| يجب تشفير الأقراص المدارة مرتين باستخدام كل من المفاتيح المدارة من النظام الأساسي والمفاتيح التي يديرها العملاء | يمكن للعملاء ذوي الحساسية الأمنية العالية الذين يشعرون بالقلق من المخاطر المرتبطة بأي خوارزمية تشفير معينة أو تنفيذ أو مفتاح يتم اختراقه اختيار طبقة إضافية من التشفير باستخدام خوارزمية /وضع تشفير مختلف في طبقة البنية التحتية باستخدام مفاتيح التشفير المدارة من النظام الأساسي. مجموعات تشفير القرص مطلوبة لاستخدام التشفير المزدوج. تعرّف على المزيد من خلال https://aka.ms/disks-doubleEncryption. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة خوادم MySQL. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
| يجب أن تستخدم خوادم PostgreSQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العملاء لإدارة تشفير البيانات الثابتة لخوادم PostgreSQL لديك. بشكل افتراضي، يتم تشفير البيانات الثابتة مع مفاتيح مدارة من قبل الخدمة، ولكن المفاتيح التي يديرها العملاء مطلوبة عادة لتلبية معايير التوافق التنظيمية. تتيح المفاتيح المدارة من قبل العملاء تشفير البيانات باستخدام مفتاح Azure Key Vault الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. | AuditIfNotExists، معطل | 1.0.4 |
| يجب أن تستخدم حسابات التخزين مفتاحًا يديره العميل للتشفير | أمِّن حاوياتك بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم المثيلات المدارة من قبل SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر لك تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح مزيدًا من الشفافية والتحكم في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.0 |
| يجب أن تستخدم خوادم SQL المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | يوفر تطبيق تشفير البيانات الشفاف (TDE) باستخدام المفتاح شفافية وتحكمًا متزايدين في TDE Protector، وزيادة الأمان مع خدمة خارجية مدعومة من HSM، وتعزيز فصل الواجبات. تنطبق هذه التوصية على المنظمات ذات متطلبات الامتثال ذات الصلة. | التدقيق، الرفض، التعطيل | 2.0.1 |
| يجب أن تستخدم نطاقات تشفير حساب التخزين المفاتيح التي يديرها العملاء لتشفير البيانات الثابتة | استخدم المفاتيح التي يديرها العميل لإدارة تشفير البيانات الثابتة نطاقات تشفير حساب التخزين. تتيح المفاتيح المدارة من قبل العميل تشفير البيانات باستخدام مفتاح Azure لمخزن البيانات السرية الذي أنشأته وتملكه. لديك السيطرة الكاملة والمسؤولية عن دورة الحياة الرئيسية، بما في ذلك التناوب والإدارة. تعرف على المزيد حول نطاقات تشفير حساب التخزين في https://aka.ms/encryption-scopes-overview. | التدقيق، الرفض، التعطيل | 1.0.0 |
| يجب أن تستخدم حسابات التخزين مفتاحاً مداراً من قبل العميل للتشفير | أمّن الكائن الثنائي كبير الحجم وحساب تخزين الملفات بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | المراجعة، معطلة | 1.0.3 |
| يجب أن تستخدم حسابات التخزين مفتاحًا يديره العميل للتشفير | أمِّن حاوياتك بمرونة أكبر باستخدام المفاتيح التي يديرها العملاء. عند تحديد مفتاح مدار من قبل العميل، يتم استخدام هذا المفتاح لحماية المفتاح الذي يقوم بتشفير البيانات والتحكم فيه. يوفر استخدام المفاتيح المدارة من قِبل العملاء قدرات إضافية للتحكم في دوران مفتاح تشفير المفتاح أو مسح البيانات بشكل مشفر. | التدقيق، الرفض، التعطيل | 1.0.0 |
SO.4 - Azure Confidential Computing
يجب تكوين منتجات Azure لاستخدام وحدات SKU للحوسبة السرية Azure عندما يكون ذلك ممكنا.
المعرف: النهج الأساسي لسيادة MCfS SO.4 الملكية: مشترك
| الاسم (مدخل Azure) |
الوصف | التأثير (التأثيرات) | إصدار (GitHub) |
|---|---|---|---|
| أنواع الموارد المسموح بها | يمكّنك هذا النهج من تحديد أنواع الموارد التي يمكن لمؤسستك نشرها. لن تتأثر سوى أنواع الموارد التي تدعم "العلامات" و"الموقع" بهذه السياسة. لتقييد جميع الموارد، يرجى تكرار هذه السياسة وتغيير الوضع إلى "All". | رفض | 1.0.0 |
| وحدات SKU المسموح بها لحجم الجهاز الظاهري | يتيح لك هذا النهج تحديد مجموعة من وحدات SKU بحجم الجهاز الظاهري والتي يمكن لمؤسستك توزيعها. | الرفض | 1.0.1 |
الخطوات التالية
مقالات إضافية حول Azure Policy:
- نظرة عامة على التوافق التنظيمي.
- راجع بنية تعريف المبادرة.
- مراجعة أمثلة أخرى في نماذج Azure Policy.
- راجع فهم تأثيرات النهج.
- تعرف على كيفية إصلاح الموارد غير المتوافقة.