Azure pro zajištění bezpečného přijetí cloudu pro veřejný sektor po celém světě

2025-05-23

Microsoft Azure je platforma cloudových služeb s více tenanty, kterou můžou vládní agentury použít k nasazení různých řešení. Cloudová platforma s více tenanty znamená, že na stejném fyzickém hardwaru je uloženo více zákaznických aplikací a dat. Azure používá logickou izolaci k oddělení aplikací a dat jednotlivých zákazníků. Tento přístup poskytuje škálovací a ekonomické výhody cloudových služeb s více tenanty a současně přísně pomáhá zákazníkům zabránit v přístupu k datům nebo aplikacím druhého. Azure je k dispozici globálně ve více než 60 oblastech a mohou je používat entity státní správy po celém světě, aby splňovaly přísné požadavky na ochranu dat napříč širokou škálou klasifikací dat, včetně klasifikovaných a klasifikovaných dat.

Shrnutí

Microsoft Azure poskytuje silné závazky zákazníků týkající se rezidence dat a zásad přenosu. Většina služeb Azure umožňuje zadat oblast nasazení. U těchto služeb Microsoft neukládá vaše data mimo zadanou zeměpisnou oblast. Pomocí rozsáhlých a robustních možností šifrování dat můžete chránit data v Azure a řídit, kdo k němu má přístup.

Níže jsou uvedeny některé z dostupných možností pro ochranu dat v Azure:

Nejcitlivější obsah můžete ukládat ve službách, které ukládají data v klidu v určité geografické oblasti.
Další ochranu můžete získat šifrováním dat pomocí vlastního klíče pomocí služby Azure Key Vault.
I když nemůžete řídit přesnou síťovou cestu pro přenášená data, šifrování přenášených dat pomáhá chránit data před zachycením.
Azure je globálně provozovaná služba 24x7; podpora a řešení potíží však zřídka vyžadují přístup k vašim datům.
Pokud chcete mít větší kontrolu nad scénáři podpory a řešení potíží, můžete pomocí Customer Lockboxu pro Azure schválit nebo odepřít přístup k vašim datům.
Microsoft vás do 72 hodin od oznámení o incidentu upozorní na případné porušení vašich zákaznických nebo osobních údajů.
Pomocí programu Microsoft Defender for Cloud můžete monitorovat potenciální hrozby a reagovat na incidenty sami.

Pomocí technologií ochrany dat Azure a inteligentních hraničních funkcí z portfolia produktů Azure Stack můžete zpracovávat důvěrná a tajná data v zabezpečené izolované infrastruktuře v rámci veřejného cloudu s více tenanty nebo vysoce tajnými daty místně a na hraničních zařízeních pod plnou provozní kontrolou.

Úvod

Vlády po celém světě jsou v procesu digitální transformace, aktivně prošetřují řešení a vybírají architektury, které jim pomůžou převést mnoho svých úloh do cloudu. Za digitální transformací existuje mnoho faktorů, včetně nutnosti zapojit občany, umožnit zaměstnancům, transformovat služby státní správy a optimalizovat provoz státní správy. Vlády po celém světě se také snaží zlepšit svou kybernetickou bezpečnostní strategii, aby zabezpečily svá aktiva a čelily se vyvíjející hrozbové situaci.

Pro vlády a odvětví veřejného sektoru po celém světě microsoft poskytuje Azure – veřejnou platformu cloudových služeb s více tenanty – kterou můžete použít k nasazení různých řešení. Platforma cloudových služeb s více tenanty znamená, že na stejném fyzickém hardwaru je uloženo více zákaznických aplikací a dat. Azure používá logickou izolaci k oddělení aplikací a dat jednotlivých zákazníků. Tento přístup poskytuje škálovací a ekonomické výhody cloudových služeb s více tenanty a současně přísně pomáhá zabránit ostatním zákazníkům v přístupu k vašim datům nebo aplikacím.

Veřejný cloud hyperškálování zajišťuje odolnost v době přírodní katastrofy a boje. Cloud poskytuje záložní kapacitu a umožňuje suverénním národům flexibilitu v globálním plánování odolnosti. Veřejný cloud Hyperscale také nabízí prostředí s bohatými funkcemi, které zahrnuje nejnovější cloudové inovace, jako jsou umělá inteligence, strojové učení, služby IoT, inteligentní hraniční zařízení a mnoho dalších, které zákazníkům státní správy pomáhají zvýšit efektivitu a odhalit přehledy o svých operacích a výkonu.

Díky funkcím veřejného cloudu Azure získáte výhody rychlého růstu funkcí, odolnosti a nákladově efektivního provozu hyperškálovaných cloudů a zároveň získáváte úrovně izolace, zabezpečení a spolehlivosti potřebné ke zpracování úloh v širokém spektru klasifikací dat, včetně neklasifikovaných a klasifikovaných dat. Pomocí technologií ochrany dat Azure a inteligentních hraničních funkcí z portfolia produktů Azure Stack můžete zpracovávat důvěrná a tajná data v zabezpečené izolované infrastruktuře v rámci veřejného cloudu s více tenanty nebo v místním prostředí a na hraničních zařízeních pod plnou provozní kontrolou.

Tento článek se zabývá běžnými otázkami ohledně rezidence dat, zabezpečení a izolace, které jsou důležité pro zákazníky ve veřejném sektoru na celém světě. Zkoumá také technologie dostupné v Azure, které pomáhají chránit neklasifikované, důvěrné a tajné úlohy ve veřejném cloudu s více tenanty v kombinaci s produkty Azure Stack nasazenými místně a na hraničních zařízeních pro plně odpojené scénáře zahrnující data s nejvyšším tajným kódem. Vzhledem k tomu, že nesetříděné úlohy tvoří většinu scénářů, které jsou součástí digitální transformace ve veřejném sektoru po celém světě, microsoft doporučuje, abyste svou cestu ke cloudu zahájili s neotříděnými úlohami a pak postupovali k klasifikovaným úlohám, které zvyšují citlivost dat.

Umístění dat podle jurisdikce

Zavedené předpisy týkající se ochrany osobních údajů jsou tiché v rezidenci dat a umístění dat a umožňují přenosy dat v souladu se schválenými mechanismy, jako jsou standardní smluvní doložky EU (označované také jako modelové doložky EU). Společnost Microsoft se smluvně zavazuje v dodatku k ochraně údajů o produktech a službách Společnosti Microsoft, že veškeré potenciální přenosy zákaznických údajů z EU, Evropského hospodářského prostoru (EHP) a Švýcarska se řídí doložkami modelu EU. Společnost Microsoft bude dodržovat požadavky zákonů o ochraně údajů EHP a Švýcarska týkající se shromažďování, používání, přenosu, uchovávání a dalšího zpracování osobních údajů z EHP a Švýcarska. Veškeré přenosy osobních údajů podléhají příslušným požadavkům na ochranu a dokumentaci. Mnoho zákazníků, kteří uvažují o přechodu na cloud, však hledá záruky týkající se zákazníka a osobních údajů, které se uchovávají v rámci geografických hranic odpovídajících operacím zákazníka nebo umístění koncových uživatelů zákazníka.

Suverenita dat znamená rezidenci dat; zavádí však také pravidla a požadavky, které definují, kdo má kontrolu nad zákaznickými daty uloženými v cloudu. V mnoha případech vyžaduje suverenita dat, že zákaznická data podléhají zákonům a právním jurisdikci země/oblasti, ve které se data nacházejí. Tyto zákony můžou mít přímý dopad na přístup k datům i pro údržbu platformy nebo žádosti o podporu iniciované zákazníkem. Veřejný cloud Azure s více tenanty můžete použít v kombinaci s produkty Azure Stack pro místní a hraniční řešení, abyste splnili požadavky na suverenitu dat, jak je popsáno dále v tomto článku. Tyto další produkty je možné nasadit tak, abyste měli pod kontrolou výhradně svá data, včetně úložiště, zpracování, přenosu a vzdáleného přístupu.

Mezi několika kategoriemi dat a definicemi , které Microsoft vytvořil pro cloudové služby, jsou popsány následující čtyři kategorie v tomto článku:

Zákaznická data jsou všechna data, která microsoftu poskytnete ke správě vaším jménem prostřednictvím vašeho používání online služeb Microsoftu.
Zákaznický obsah je podmnožinou zákaznických dat a zahrnuje například obsah uložený ve vašem účtu Azure Storage.
Osobní údaje znamenají všechny informace spojené s konkrétní fyzickou osobou, například jména a kontaktní údaje koncových uživatelů. Osobní údaje ale můžou zahrnovat i data, která nejsou zákaznickými daty, jako je ID uživatele, které Může Azure vygenerovat a přiřadit správci – tyto osobní údaje se považují za pseudonymní, protože nemůžou identifikovat jednotlivce sami.
Data podpory a poradenství znamenají všechna data poskytovaná Microsoftem k získání podpory nebo profesionálních služeb.

Další informace o možnostech řízení rezidence dat a splnění povinností ochrany dat najdete v tématu Povolení rezidence dat a ochrany dat v oblastech Microsoft Azure. Následující části se věnují klíčovým důsledkům cloudu pro umístění dat a základním principům ochrany dat společností Microsoft, která se týkají neaktivních uložených dat, dat v přenosu a jako součást vámi zahájených žádostí o podporu.

Data v klidu

Microsoft poskytuje transparentní přehled o umístění dat pro všechny online služby, které jsou vám k dispozici z místa, kde se vaše data nacházejí. Pro rozbalení části Zásady ohledně rezidence dat a přenosu cloudových služeb , abyste zobrazili odkazy pro jednotlivé online služby.

Pokud chcete zajistit, aby se vaše data ukládaly jenom do zvolené zeměpisu, měli byste vybrat z mnoha regionálních služeb, které tento závazek činí.

Regionální a jiné než regionální služby

Microsoft Azure poskytuje silné závazky zákazníků týkající se rezidencí dat a zásad přenosu:

Úložiště dat pro regionální služby: Většina služeb Azure se nasazuje v jednotlivých oblastech a umožňuje určit oblast, do které se služba nasadí. Společnost Microsoft neukládá vaše data mimo zadanou zeměpisnou oblast s výjimkou několika regionálních služeb a služeb ve verzi Preview, jak je popsáno na stránce umístění dat Azure. Tento závazek pomáhá zajistit, aby vaše data uložená v dané oblasti zůstala v odpovídající geografické oblasti a nebyla přesunuta do jiné geografické oblasti pro většinu regionálních služeb. Dostupnost služeb najdete v tématu Produkty dostupné v jednotlivých oblastech.
Úložiště dat pro služby mimo oblast: Některé služby Azure neumožňují určit oblast, ve které se služby nasadí, jak je popsáno na stránce umístění dat. Úplný seznam neregionální služby najdete v tématu Produkty dostupné v jednotlivých oblastech.

Vaše data v účtu Azure Storage se vždy replikují , aby se zajistila stálost a vysoká dostupnost. Azure Storage kopíruje vaše data, aby byla chráněná před přechodnými chybami hardwaru, výpadky sítě nebo napájení a dokonce před rozsáhlými přírodními katastrofami. Obvykle se můžete rozhodnout replikovat data ve stejném datacentru, napříč zónami dostupnosti ve stejné oblasti nebo napříč geograficky oddělenými oblastmi. Konkrétně při vytváření účtu úložiště můžete vybrat jednu z následujících možností redundance:

Data v účtu Azure Storage se vždy replikují třikrát v primární oblasti. Azure Storage poskytuje možnosti redundance LRS a ZRS pro replikaci dat v primární oblasti. U aplikací vyžadujících vysokou dostupnost můžete zvolit geografickou replikaci do sekundární oblasti, která je vzdálená stovky kilometrů od primární oblasti. Azure Storage nabízí možnosti GRS a GZRS pro kopírování dat do sekundární oblasti. Další možnosti jsou dostupné pro konfiguraci přístupu pro čtení (RA) do sekundární oblasti (RA-GRS a RA-GZRS), jak je vysvětleno v tématu Přístup pro čtení k datům v sekundární oblasti.

Možnosti redundance služby Azure Storage můžou mít vliv na rezidenci dat, protože Azure spoléhá na spárované oblasti pro doručování geograficky redundantního úložiště (GRS). Pokud se například zajímáte o geografickou replikaci napříč oblastmi, které zahrnují hranice země nebo oblasti, můžete zvolit LRS nebo ZRS, abyste data služby Azure Storage uchováli v klidovém stavu v rámci geografických hranic země nebo oblasti, ve které se nachází primární oblast. Geografickou replikaci služby Azure SQL Database lze získat také konfigurací asynchronní replikace transakcí do libovolné oblasti na světě, i když se doporučuje, aby se pro tento účel používaly i spárované oblasti. Pokud potřebujete zachovat relační data v geografických hranicích vaší země nebo oblasti, neměli byste nakonfigurovat asynchronní replikaci Azure SQL Database do oblasti mimo danou zemi nebo oblast.

Jak je popsáno na stránce umístění dat, většina regionálních služeb Azure ctí závazek ohledně dat v klidu, aby zajistila, že vaše data zůstanou v geografických hranicích, kde je příslušná služba nasazena. Na stránce umístění dat je uvedeno několik výjimek tohoto pravidla. Tyto výjimky byste měli zkontrolovat, abyste zjistili, jestli typ dat uložených mimo zvolenou oblast nasazení vyhovuje vašim potřebám.

Neregionální Služby Azure neumožňují zadat oblast, ve které se služby nasadí. Některé neregionální služby neukládají vaše data vůbec, ale poskytují pouze globální funkce směrování, jako je Azure Traffic Manager nebo Azure DNS. Jiné služby, které nejsou regionální, jsou určené pro ukládání dat do mezipaměti na hraničních místech po celém světě, jako je služba Content Delivery Network – tyto služby jsou volitelné a neměli byste je používat pro citlivý zákaznický obsah, který chcete zachovat ve své zeměpisné oblasti. Jedna neregionální služba, která zaručuje další diskuzi, je ID Microsoft Entra, které je popsáno v další části.

Zákaznická data v Microsoft Entra ID

Microsoft Entra ID je neregionální služba, která může ukládat data identit globálně, s výjimkou nasazení Microsoft Entra v:

Spojené státy, kde jsou data identity uložena výhradně ve Spojených státech.
Evropa, kde Microsoft Entra ID uchovává většinu dat identity v evropských datacentrech s výjimkou případů uvedených v úložišti dat identity pro evropské zákazníky v Microsoft Entra ID.
Austrálie a Nový Zéland, kde jsou údaje o identitě ukládány v Austrálii, s výjimkou případů uvedených v úložišti zákaznických dat pro zákazníky v Austrálii a na Novém Zélandu v Microsoft Entra ID.

Microsoft Entra ID poskytuje řídicí panel s transparentním přehledem o umístění dat pro každou službu komponent Microsoft Entra. Microsoft Entra ID je mimo jiné služba pro správu identit, která ukládá data adresáře pro správce Azure, včetně osobních údajů uživatelů zařazených jako identifikovatelné informace koncového uživatele (EUII), například jména, e-mailové adresy atd. V Microsoft Entra ID můžete vytvořit uživatele, skupinu, zařízení, aplikaci a další entity pomocí různých typů atributů, jako jsou Integer, DateTime, Binary, String (omezeno na 256 znaků) atd. Microsoft Entra ID není určené k ukládání obsahu zákazníka a není možné ukládat objekty blob, soubory, záznamy databáze a podobné struktury v Microsoft Entra ID. Microsoft Entra ID navíc není určen jako služba pro správu identit pro vaše externí koncové uživatele – Pro tento účel by se mělo používat externí ID Microsoft Entra .

Microsoft Entra ID implementuje rozsáhlé funkce ochrany dat, včetně izolace tenanta a řízení přístupu, šifrování dat při přenosu, šifrování tajných kódů a správy, šifrování na úrovni disku, pokročilé kryptografické algoritmy používané různými komponentami Microsoft Entra, provozních aspektů dat pro přístup insider a další. Podrobné informace jsou k dispozici v dokumentu White Paper o aspektech zabezpečení dat služby Active Directory.

Generování pseudonymových dat pro interní systémy

Osobní údaje jsou definovány široce. Zahrnuje nejen zákaznická data, ale také jedinečné osobní identifikátory, jako je například pravděpodobně jedinečný identifikátor (PUID) a globálně jedinečný identifikátor (GUID), který se často označuje jako univerzální jedinečný identifikátor (UUID). Tyto jedinečné osobní identifikátory jsou pseudonymní identifikátory. Tento typ informací se generuje automaticky, aby mohli sledovat uživatele, kteří pracují přímo se službami Azure, jako jsou vaši správci. PUID je například náhodný řetězec vygenerovaný programově prostřednictvím kombinace znaků a číslic, které poskytují vysokou pravděpodobnost jedinečnosti. Pseudonymní identifikátory jsou uložené v centralizovaných interních systémech Azure.

Zatímco EUII představuje data, která je možné použít samostatně k identifikaci uživatele (například uživatelské jméno, zobrazované jméno, hlavní jméno uživatele nebo dokonce IP adresa specifická pro uživatele), pseudonymní identifikátory jsou považovány za pseudonymní, protože nemůžou sami identifikovat jednotlivce. Pseudonymní identifikátory neobsahují žádné informace, které jste nahráli nebo vytvořili.

Data v transitu

I když nemůžete řídit přesnou síťovou cestu pro přenášená data, šifrování přenášených dat pomáhá chránit data před zachycením.

Přenášená data se vztahují na následující scénáře týkající se přenosu dat mezi:

Koncoví uživatelé a služba Azure
Vaše místní datacentrum a oblast Azure
Datacentra Microsoftu jako součást očekávané operace služby Azure

I když data přenášená mezi dvěma body ve zvolené geografické oblasti obvykle zůstanou v dané geografické oblasti, není možné zaručit tento výsledek 100% času, protože sítě automaticky přesměrovávají provoz, aby se zabránilo zahlcení nebo obejití jiných přerušení. To znamená, že přenášená data mohou být chráněna šifrováním, jak je podrobně popsáno níže, a v části Šifrování dat během přenosu .

Připojení koncových uživatelů ke službě Azure

Většina zákazníků se připojí k Azure přes internet a přesné směrování síťového provozu bude záviset na mnoha poskytovatelích sítě, kteří přispívají k internetové infrastruktuře. Jak je uvedeno v doplňku Microsoft Products and Services Data Protection (DPA), Společnost Microsoft neřídí ani neomezuje oblasti, ze kterých vy nebo vaši koncoví uživatelé mohou získat přístup k zákaznickým datům nebo je přesunout. Zabezpečení můžete zvýšit povolením šifrování během přenosu. Azure Application Gateway můžete například použít ke konfiguraci kompletního šifrování provozu. Jak je popsáno v části Šifrování dat během přenosu , Azure používá protokol TLS (Transport Layer Security) k ochraně dat při přenosu mezi vámi a službami Azure. Microsoft ale nemůže řídit cesty síťového provozu odpovídající vaší interakci koncových uživatelů s Azure.

Připojení datacentra k oblasti Azure

Virtuální síť (VNet ) poskytuje způsob, jak virtuální počítače Azure fungovat jako součást vaší interní (místní) sítě. Máte možnosti zabezpečeného připojení k virtuální síti z místní infrastruktury – zvolte síť VPN chráněnou protokolem IPsec (například VPN typu point-to-site nebo vpn typu site-to-site) nebo privátní připojení pomocí Azure ExpressRoute s několika možnostmi šifrování dat.

Síť VPN chráněná protokolem IPsec používá šifrovaný tunel vytvořený přes veřejný internet, což znamená, že pro zajištění související se sítí musíte spoléhat na místní poskytovatele internetových služeb.
ExpressRoute umožňuje vytvářet privátní připojení mezi datacentry Microsoftu a vaší místní infrastrukturou nebo kolokačním zařízením. Připojení ExpressRoute nepřecházejí přes veřejný internet a nabízejí nižší latenci a vyšší spolehlivost než připojení VPN chráněná protokolem IPsec. Umístění ExpressRoute jsou vstupními body do globální páteřní sítě Microsoftu a mohou nebo nemusí odpovídat umístění oblastí Azure. Můžete se například připojit k Microsoftu v Amsterdamu prostřednictvím ExpressRoute a mít přístup ke všem cloudovým službám Azure hostovaným v severní a západní Evropě. Je ale také možné mít přístup ke stejným oblastem Azure z připojení ExpressRoute umístěných jinde na světě. Jakmile síťový provoz vstoupí do páteřní sítě Microsoftu, je zaručeno, že bude procházet infrastrukturou privátní sítě místo veřejného internetu.

Provoz v páteřní síti Microsoftu

Jak je popsáno v části Data v klidovém stavu , je možné nakonfigurovat služby Azure, jako je Storage a SQL Database, pro geografickou replikaci, které pomáhají zajistit odolnost a vysokou dostupnost zejména pro scénáře zotavení po havárii. Azure spoléhá na spárované oblasti pro doručování geograficky redundantního úložiště (GRS) a spárovaných oblastí se také doporučuje při konfiguraci aktivní geografické replikace pro Azure SQL Database. Spárované oblasti se nacházejí ve stejné zeměpisné oblasti.

Provoz mezi oblastmi se šifruje pomocí zabezpečení MACsec ( Media Access Control Security ), který chrání síťový provoz ve vrstvě datového propojení (vrstva 2 zásobníku sítí) a spoléhá na blokovou šifru AES-128 pro šifrování. Tento provoz zůstává zcela uvnitř globální páteřní sítě společnosti Microsoft a nikdy nepronikne na veřejný internet. Páteřní síť je jedním z největších na světě s více než 200 000 km litých optických vláken a podmořských kabelových systémů. Není však zaručeno, že se síťový provoz bude vždy řídit stejnou cestou z jedné oblasti Azure do jiné. Pro zajištění spolehlivosti potřebné pro cloud Azure má Microsoft mnoho fyzických síťových cest s automatickým směrováním kolem zahlcení nebo selhání pro zajištění optimální spolehlivosti. Microsoft proto nemůže zaručit, že síťový provoz mezi oblastmi Azure bude vždy omezen na odpovídající zeměpisnou oblast. V přerušení síťové infrastruktury může Microsoft přesměrovat šifrovaný síťový provoz přes privátní páteřní síť, aby se zajistila dostupnost služeb a nejlepší možný výkon.

Data pro zákaznickou podporu a řešení potíží

Azure je globálně provozovaná služba 24x7; podpora a řešení potíží však zřídka vyžaduje přístup k vašim datům. Pokud chcete mít větší kontrolu nad scénáři podpory a řešení potíží, můžete pomocí Customer Lockboxu pro Azure schválit nebo odepřít žádosti o přístup k vašim datům.

Microsoft podpora Azure je k dispozici na trzích s nabídkou Azure. Personál je globálně obsazený tak, aby se přizpůsobil 24x7 přístupu technikům podpory prostřednictvím e-mailu a telefonu pro technickou podporu. Žádosti o podporu můžete vytvářet a spravovat na webu Azure Portal. Podle potřeby můžou inženýři podpory frontline eskalovat vaše požadavky pracovníkům Azure DevOps zodpovědným za vývoj a provoz služeb Azure. Tito technici Azure DevOps jsou také globálně obsazení. Stejné řízení přístupu a procesy v produkčním prostředí se ukládají všem technikům Microsoftu, kteří zahrnují pracovníky podpory složené ze zaměstnanců microsoftu na plný úvazek i dílčích zpracovatelů/dodavatelů.

Jak je vysvětleno v části Šifrování neaktivních uložených dat, vaše data se ve výchozím nastavení šifrují při uložení v Azure a můžete řídit vlastní šifrovací klíče ve službě Azure Key Vault. Přístup k vašim datům navíc není potřeba k řešení většiny žádostí o zákaznickou podporu. Technici Microsoftu spoléhají na protokoly, které poskytují zákaznickou podporu. Jak je popsáno v části Přístup k datům v programu Insider , Azure má zavedené ovládací prvky, které omezují přístup k vašim datům pro scénáře podpory a řešení potíží, které by měly být nezbytné. Například Just-in-Time (JIT) přístupová ustanovení omezují přístup k produkčním systémům technikům Microsoftu, kteří jsou oprávněni pro tuto roli a mají udělené dočasné přístupové přihlašovací údaje. V rámci pracovního postupu podpory vám Customer Lockbox dává na starosti schvalování nebo odepření přístupu k vašim datům techniky Microsoftu. V kombinaci tyto technologie a procesy Azure (šifrování dat, JIT a Customer Lockbox) poskytují vhodná omezení rizik pro zajištění důvěrnosti a integrity vašich dat.

Zákazníci státní správy po celém světě očekávají, že budou plně pod kontrolou ochrany dat v cloudu. Jak je popsáno v další části, Azure poskytuje rozsáhlé možnosti šifrování dat v celém životním cyklu (v klidu, při přenosu a při používání) včetně možnosti zákaznické kontroly nad šifrovacími klíči.

Šifrování dat

Azure má rozsáhlou podporu k ochraně dat pomocí šifrování dat. Pokud potřebujete dodatečné zabezpečení pro nejcitlivější obsah zákazníků uložený ve službách Azure, můžete ho zašifrovat pomocí vlastních šifrovacích klíčů, které řídíte ve službě Azure Key Vault. I když nemůžete řídit přesnou síťovou cestu pro přenášená data, šifrování přenášených dat pomáhá chránit data před zachycením. Azure podporuje následující modely šifrování dat:

Šifrování na straně serveru, které používá klíče spravované službou, klíče spravované zákazníkem (CMK) v Azure nebo CMK v hardwaru řízeném zákazníkem.
Šifrování na straně klienta, které umožňuje spravovat a ukládat klíče místně nebo v jiném zabezpečeném umístění.

Šifrování dat poskytuje záruky izolace, které jsou svázané přímo s přístupem k šifrovacímu klíči. Vzhledem k tomu, že Azure pro šifrování dat používá silné šifry, můžou mít k datům přístup jenom entity s přístupem k šifrovacím klíčům. Zrušení nebo odstranění šifrovacích klíčů způsobí, že data se stanou nepřístupnými.

Správa šifrovacích klíčů

Pro zabezpečení dat je nezbytná správná ochrana a správa šifrovacích klíčů. Azure Key Vault je cloudová služba pro bezpečné ukládání a správu tajných kódů. Služba Key Vault podporuje dva typy prostředků:

Trezor podporuje tajné kódy, klíče a certifikáty chráněné softwarem a modul hardwarového zabezpečení (HSM). Trezory poskytují víceklienta, nízkonákladové, snadno nasaditelné, zónově odolné (pokud jsou k dispozici) a vysoce dostupné řešení pro správu klíčů vhodné pro nejběžnější scénáře cloudových aplikací. Odpovídající moduly HSM mají ověření FIPS 140.
Managed HSM podporuje pouze kryptografické klíče chráněné HSM. Poskytuje modul HSM s jednou tenantem, který je plně spravovaný, vysoce dostupný a odolný vůči zóně (pokud je k dispozici) jako služba pro ukládání a správu kryptografických klíčů. Je nejvhodnější pro aplikace a scénáře použití, které zpracovávají klíče s vysokou hodnotou. Pomůže vám také splnit ty nejtěsnější požadavky na zabezpečení, dodržování předpisů a zákonné požadavky. Managed HSM používá moduly HSM ověřené dle standardu FIPS 140 úrovně 3 k ochraně vašich kryptografických klíčů.

Key Vault umožňuje ukládat šifrovací klíče do modulů hardwarového zabezpečení (HSM), které jsou ověřené protokolem FIPS 140. Pomocí služby Azure Key Vault můžete importovat nebo generovat šifrovací klíče v modulech HSM a zajistit tak, aby klíče nikdy neopustovaly hranici ochrany HSM, aby podporovaly scénáře přineste si vlastní klíč (BYOK ). Klíče vygenerované v HSMy služby Azure Key Vault nelze exportovat – nelze vytvořit žádná čitelná verze klíče mimo HSM. Tuto vazbu vynucuje podkladový HSM.

Poznámka:

Azure Key Vault je navržený, nasazený a provozovaný tak, aby Microsoft a jeho agenti neviděli nebo extrahovali kryptografické klíče. Další záruky najdete v tématu Jak Azure Key Vault chrání vaše klíče?

Další informace najdete v tématu Azure Key Vault.

Šifrování dat během přenosu

Azure nabízí řadu možností šifrování přenášených dat. Šifrování dat při přenosu izoluje síťový provoz od jiného provozu a pomáhá chránit data před zachycením. Další informace najdete v tématu Šifrování dat při přenosu.

Šifrování dat v klidovém stavu

Azure nabízí rozsáhlé možnosti šifrování neaktivních uložených dat , které vám pomůžou zabezpečit data a splnit požadavky na dodržování předpisů pomocí šifrovacích klíčů spravovaných Microsoftem i šifrovacích klíčů spravovaných zákazníkem. Tento proces spoléhá na několik šifrovacích klíčů a služeb, jako je Azure Key Vault a Microsoft Entra ID, aby se zajistil zabezpečený přístup k klíčům a centralizovaná správa klíčů. Další informace o šifrování služby Azure Storage a šifrování disků Azure najdete v tématu Šifrování neaktivních uložených dat.

Azure SQL Database poskytuje ve výchozím nastavení transparentní šifrování uložených dat (TDE). Transparentní šifrování dat provádí operace šifrování a dešifrování dat a protokolů v reálném čase. Šifrovací klíč databáze (DEK) je symetrický klíč uložený ve spouštěcím záznamu databáze pro zajištění dostupnosti během obnovení. Je zabezpečený pomocí certifikátu uloženého v hlavní databázi serveru nebo asymetrického klíče nazývaného TDE Protector, který je uložen pod vaší kontrolou ve službě Azure Key Vault. Key Vault podporuje funkci Přineste si vlastní klíč (BYOK), která umožňuje ukládat TDE Protector ve službě Key Vault a řídit úlohy správy klíčů, včetně oprávnění ke klíčům, rotace, odstranění, povolení auditování a generování zpráv o všech TDE Protectorech, atd. Klíč může vygenerovat služba Key Vault, naimportovat nebo přenést do služby Key Vault z místního zařízení HSM. Můžete také použít funkci Always Encrypted služby Azure SQL Database, která je navržená speciálně tak, aby chránila citlivá data tím, že umožňuje šifrovat data uvnitř vašich aplikací a nikdy neodhalit šifrovací klíče databázovému stroji. Funkce Always Encrypted tímto způsobem poskytuje oddělení mezi uživateli, kteří vlastní data (a mohou je zobrazit) a těmi uživateli, kteří data spravují (ale neměli by mít přístup).

Šifrování dat, které se používá

Microsoft vám umožňuje chránit vaše data po celý jejich životní cyklus: v klidu, při přenosu a při použití. Důvěrné výpočetní prostředí Azure a homomorfní šifrování jsou dvě techniky, které chrání vaše data při jejich zpracování v cloudu.

Důvěrné výpočetní prostředí Azure

Důvěrné výpočetní prostředí Azure je sada možností zabezpečení dat, které nabízí šifrování dat při použití. Tento přístup znamená, že data je možné zpracovávat v cloudu s jistotou, že jsou vždy pod kontrolou, i když se data během výpočtů používají v paměti. Důvěrné výpočetní prostředí Azure podporuje různé virtuální počítače pro úlohy IaaS:

Virtuální počítače s důvěryhodným spuštěním:Důvěryhodné spuštění je k dispozici pro virtuální počítače generace 2, které nabízejí posílené funkce zabezpečení – zabezpečené spouštění, virtuální modul důvěryhodné platformy a monitorování integrity spouštění – a chrání před bootkity, rootkity a malwarem na úrovni jádra.
Důvěrné virtuální počítače s technologií AMD SEV-SNP: Můžete zvolit virtuální počítače Azure založené na procesorech AMD EPYC 7003, které umožňují přesunout a provozovat aplikace v cloudu bez nutnosti změn v kódu. Tyto procesory AMD EPYC používají technologii AMD Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP) k šifrování celého virtuálního počítače za běhu. Šifrovací klíče používané pro šifrování virtuálních počítačů se generují a chrání vyhrazeným zabezpečeným procesorem na procesoru EPYC a nedají se extrahovat žádným externím způsobem. Tyto virtuální počítače Azure jsou aktuálně ve verzi Preview a jsou dostupné pro vybrané zákazníky. Další informace najdete v tématu Azure a AMD oznamují významný krok ve vývoji důvěrných výpočtů.
Důvěrné virtuální počítače s enklávy aplikací Intel SGX: Virtuální počítače Azure můžete zvolit na základě technologie Intel Software Guard Extensions (Intel SGX), která podporuje důvěrnost podrobným způsobem až na úroveň aplikace. Při tomto přístupu jsou data v jasné podobě, která je potřebná k efektivnímu zpracování dat v paměti, jsou data chráněna uvnitř hardwarového důvěryhodného spouštěcího prostředí (TEE, označovaného také jako enkláva), jak je znázorněno na obrázku 1. Intel SGX izoluje část fyzické paměti a vytvoří enklávu, kde výběr kódu a dat jsou chráněny před prohlížením nebo úpravami. TEE pomáhá zajistit, aby přístup k datům TEE měli přístup jenom návrhář aplikací – přístup byl odepřen všem ostatním, včetně správců Azure. Kromě toho TEE pomáhá zajistit, aby přístup k datům umožňoval pouze autorizovaný kód. Pokud se kód změní nebo zfalšuje, operace se zamítnou a prostředí je zakázané.

Obrázek č. 1. Ochrana důvěryhodného spouštěcího prostředí

Virtuální počítače řady Azure DCsv2, DCsv3 a DCdsv3 mají nejnovější generaci procesorů Intel Xeon s technologií Intel SGX. Další informace viz Sestavování s enklávami SGX. Ochrana, kterou nabízí Intel SGX, když ji používají vývojáři aplikací, může zabránit ohrožení zabezpečení z důvodu útoků z privilegovaného softwaru a mnoha hardwarových útoků. Aplikace využívající Intel SGX musí být refaktorována na důvěryhodné a nedůvěryhodné komponenty. Nedůvěryhodná část aplikace nastaví enklávu, která pak umožní, aby důvěryhodná část běžela uvnitř enklávy. Žádný jiný kód bez ohledu na úroveň oprávnění nemá přístup k kódu spuštěného v rámci enklávy nebo dat přidružených k kódu enklávy. Osvědčené postupy návrhu vyžadují, aby důvěryhodný oddíl obsahoval pouze minimální množství obsahu potřebného k ochraně tajných kódů zákazníka. Další informace naleznete v tématu Vývoj aplikací v Intel SGX.

Technologie jako Intel Software Guard Extensions (Intel SGX) nebo AMD Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP) jsou nedávná vylepšení procesoru podporující důvěrné výpočetní implementace. Tyto technologie jsou navržené jako rozšíření virtualizace a poskytují sady funkcí, včetně šifrování a integrity paměti, důvěrnosti a integrity stavu procesoru a ověření integrity. Azure poskytuje další důvěrné výpočetní nabídky , které jsou obecně dostupné nebo dostupné ve verzi Preview:

Ověření identity Microsoft Azure – služba vzdáleného ověření identity pro ověřování důvěryhodnosti více důvěryhodných spouštěcích prostředí (TEE) a ověření integrity binárních souborů spuštěných uvnitř TEE.
Azure Confidential Ledger – Nezfalšovatelný registr pro ukládání citlivých dat pro uchování záznamů a auditování nebo pro zajištění transparentnosti dat ve scénářích s více účastníky. Nabízí záruky typu Write-Once-Read-Many, které zajišťují, že data nelze smazat ani upravit. Tato služba je založená na rámci důvěrného konsorcia Microsoft Research.
Kontejnery podporující enklávu spuštěné ve službě Azure Kubernetes Service (AKS) – Důvěrné výpočetní uzly v AKS používají Intel SGX k vytvoření izolovaných prostředí enklávy v uzlech mezi jednotlivými aplikacemi kontejneru.
Always Encrypted se zabezpečenými enklávami v Azure SQL – Důvěrnost citlivých dat je chráněná před malwarem a vysoce privilegovanými uživateli spuštěním dotazů SQL přímo uvnitř TEE, když příkaz SQL obsahuje jakékoli operace s šifrovanými daty, které vyžadují použití zabezpečené enklávy, ve které běží databázový stroj.
Důvěrné výpočty na okraji – Azure IoT Edge podporuje důvěrné aplikace, které běží v rámci zabezpečených enkláv na zařízení Internetu věcí (IoT). Zařízení IoT jsou často vystavená manipulaci a padělání, protože jsou fyzicky přístupná špatnými aktéry. Důvěrná zařízení IoT Edge přidávají na hraničních zařízeních důvěryhodnost a integritu tím, že chrání přístup k datům zachyceným a uloženým v samotném zařízení před jejich streamováním do cloudu.

Na základě zpětné vazby zákazníků microsoft začal investovat do scénářů vyšší úrovně pro důvěrné výpočetní prostředí Azure. Doporučení pro scénáře si můžete prohlédnout jako výchozí bod pro vývoj vlastních aplikací pomocí důvěrných výpočetních služeb a architektur.

Homomorfní šifrování

Homomorfní šifrování odkazuje na speciální typ šifrovací technologie, která umožňuje provádět výpočty s šifrovanými daty, aniž by bylo nutné přistupovat ke klíči potřebnému k dešifrování dat. Výsledky výpočtu jsou zašifrované a mohou být odhaleny pouze vlastníkem šifrovacího klíče. Tímto způsobem se zpracovávají jenom šifrovaná data v cloudu a výsledky výpočtů můžete odhalit jenom vy.

Aby vám pomohl osvojit si homomorfní šifrování, Microsoft SEAL poskytuje sadu šifrovacích knihoven, které umožňují provádět výpočty přímo na šifrovaných datech. Tento přístup umožňuje vytvářet komplexní šifrované úložiště dat a výpočetní služby, kde nikdy nepotřebujete sdílet šifrovací klíče s cloudovou službou. Cílem společnosti Microsoft SEAL je usnadnit homomorfní šifrování a zpřístupnit ho všem. Poskytuje jednoduché a pohodlné rozhraní API a obsahuje několik podrobných příkladů demonstrujících, jak lze knihovnu správně a bezpečně používat.

Oznámili jsme také multiletní spolupráci s Intelem a agenturou DARPA (Defense Advanced Research Projects Agency), která vede komercializaci plně homomorfního šifrování (FHE). Tato technologie umožní výpočty na vždy šifrovaných datech nebo kryptografických diagramech. U FHE nemusí být data nikdy dešifrována, což snižuje potenciál kybernetických hrozeb.

Šifrování dat v cloudu je důležitým požadavkem na zmírnění rizik očekávaným zákazníky státní správy po celém světě. Jak je popsáno v této části, Azure pomáhá chránit vaše data v celém životním cyklu bez ohledu na to, jestli jsou uložená, přenášená nebo dokonce používána. Kromě toho Azure nabízí komplexní správu šifrovacích klíčů, která vám pomůže řídit klíče v cloudu, včetně oprávnění ke klíčům, obměna, odstranění atd. Komplexní šifrování dat pomocí pokročilých šifer je zásadní pro zajištění důvěrnosti a integrity vašich dat v cloudu. Mnoho zákazníků ale také očekává záruky týkající se potenciálního přístupu k zákaznickým datům techniků Microsoftu pro údržbu služeb, zákaznickou podporu nebo jiné scénáře. Tyto ovládací prvky jsou popsány v další části.

Přístup k datům programu Insider

Vnitřní hrozba je charakterizována jako potenciální poskytování zadních vrátkových připojení a privilegovaného přístupu administrátora poskytovatele cloudových služeb (CSP) k vašim systémům a datům. Microsoft poskytuje silné závazky zákazníků týkající se toho, kdo má přístup k vašim datům a jaké podmínky. Přístup k datům provozem Microsoftu a pracovníky podpory je ve výchozím nastavení odepřen. K provozu Azure není potřeba přístup k vašim datům. Kromě toho pro většinu scénářů podpory zahrnujících lístky řešení potíží iniciované zákazníkem není potřeba přístup k vašim datům.

Žádná výchozí přístupová práva a přístup podle potřeby (JIT) snižují výrazně rizika spojená s tradičními místními správci se zvýšenými přístupovými právy, která se obvykle uchovávají po celou dobu trvání zaměstnání. Microsoft výrazně ztěžuje manipulaci s vašimi aplikacemi a daty pro účastníky se zlými úmysly. Stejná omezení a procesy řízení přístupu se ukládají všem technikům Microsoftu, včetně zaměstnanců na plný úvazek i dílčích zpracovatelů/dodavatelů.

Další informace o tom, jak Microsoft omezuje přístup insiderů k vašim datům, najdete v tématu Omezení přístupu pro účastníky programu Insider.

Žádosti státní správy o vaše data

Žádosti státní správy o vaše data se řídí striktním postupem podle postupů Microsoftu pro reakci na žádosti státní správy. Microsoft přijímá silná opatření, která pomáhají chránit vaše data před nevhodným přístupem nebo používáním neoprávněnými osobami. Mezi tato opatření patří omezení přístupu personálu a subdodavatelů Microsoftu a pečlivé definování požadavků na reakci na žádosti státní správy o vaše data. Microsoft zajišťuje, že neexistují žádné back-doorové kanály a žádný přímý nebo nefetterovaný přístup státní správy k vašim datům. Microsoft ukládá pro vaše data zvláštní požadavky na žádosti o státní správu a vymáhání práva.

Jak je uvedeno v Dodatku k ochraně dat produktů a služeb společnosti Microsoft (DPA), společnost Microsoft nebude vaše data sdílet s orgány činnými v trestním řízení, pokud to nevyžaduje zákon. Pokud se policie obrátí na Microsoft s požadavkem na vaše data, Microsoft se pokusí přesměrovat orgán činný v trestním řízení, aby tato data požadoval přímo od vás. Pokud je společnost Microsoft nucena poskytnout vaše údaje orgánům činným v trestním řízení, neprodleně vás upozorní a poskytne kopii požadavku, pokud to zákon nezakazuje.

Žádosti státní správy o vaše data musí splňovat příslušné zákony.

K vyžádání údajů, které nejsou obsahem, je vyžadováno soudní předvolání nebo jeho místní ekvivalent.
Pro data obsahu se vyžaduje povolení, soudní příkaz nebo jeho místní ekvivalent.

Microsoft každý rok odmítá mnoho žádostí o vymáhání práva pro vaše data. Výzvy k žádostem státní správy mohou mít mnoho forem. V mnoha těchto případech společnost Microsoft jednoduše informuje žádající vládu, že nemůže požadované informace zveřejnit a vysvětluje důvod zamítnutí žádosti. V případě potřeby Microsoft vyzývá soudní řízení.

Aktualizujeme každých šest měsíců naši zprávu o žádostech orgánů činných v trestním řízení a zprávu o příkazech k národní bezpečnosti v USA a ukazuje se, že většina našich zákazníků není nikdy ovlivněna žádostmi o data ze strany státní správy.

Ustanovení zákona CLOUD

Zákon CLOUD je zákon USA, který byl přijat v březnu 2018. Další informace najdete v blogovém příspěvku Microsoftu a v následném blogovém příspěvku , který popisuje volání Microsoftu k zásadám mezinárodních dohod, které se řídí přístupem k datům v oblasti prosazování práva. Klíčové body zájmu zákazníků státní správy, kteří si pořují služby Azure, jsou zachyceny níže.

Zákon CLOUD umožňuje vládám vyjednávat nové dohody o státní správě, které budou mít za následek větší transparentnost a jistotu, jak budou informace zpřístupněny orgánům v oblasti prosazování práva napříč mezinárodními hranicemi.
Cloud Act není mechanismus pro větší dohled státní správy; je to mechanismus, který zajišťuje, aby vaše data byla v konečném důsledku chráněna zákony vaší domovské země/oblasti a zároveň pokračovala v usnadnění zákonného přístupu k důkazům pro legitimní vyšetřování trestných činů. Orgány činné v trestním řízení v USA stále potřebují získat povolení prokazující důvodné podezření z trestné činnosti od nezávislého soudu, než mohou vyhledat obsah komunikace. Zákon CLOUD vyžaduje podobnou ochranu pro jiné země nebo regiony, které hledají dvoustranné dohody.
I když CLOUD Act vytváří nová práva podle nových mezinárodních smluv, zachovává také právo podle obyčejového práva poskytovatelů cloudových služeb jít k soudu napadnout soudní příkazy, když dojde ke konfliktu zákonů – i bez uzavření těchto nových smluv.
Společnost Microsoft si zachovává právní právo na námitku proti příkazu vynucování práva ve Spojených státech, kde je pořadí jasně v konfliktu se zákony země/oblasti, kde jsou vaše data hostována. Microsoft bude i nadále pečlivě vyhodnocovat všechny žádosti o vymáhání práva a uplatňovat svá práva na ochranu zákazníků tam, kde je to vhodné.
U legitimních podnikových zákazníků se nyní donucovací orgány USA ve většině případů obrátí přímo na zákazníky a ne na Microsoft s žádostmi o informace.

Microsoft nezveřejňuje další data v důsledku zákona CLOUD. Tento zákon prakticky nemění žádnou právní ochranu a ochranu osobních údajů, která se dříve použila na žádosti o vymáhání práva na data – a tato ochrana se nadále uplatňují. Microsoft dodržuje stejné zásady a závazky zákazníků související s požadavky státní správy na uživatelská data.

Většina vládních zákazníků má zavedené požadavky na zpracování bezpečnostních incidentů, včetně oznámení o narušení dat. Microsoft má vyspělý proces správy incidentů zabezpečení a ochrany osobních údajů, který je popsaný v další části.

Oznámení o porušení zabezpečení

Microsoft vás do 72 hodin od prohlášení o incidentu upozorní na případné porušení vašich údajů (zákazníka nebo osobního). Pomocí programu Microsoft Defender for Cloud můžete monitorovat potenciální hrozby a reagovat na incidenty sami.

Microsoft zodpovídá za monitorování a nápravu incidentů zabezpečení a dostupnosti ovlivňujících platformu Azure a upozorňování na případné porušení zabezpečení zahrnující vaše data. Azure má vyspělý proces správy incidentů zabezpečení a ochrany osobních údajů, který se pro tento účel používá. Zodpovídáte za monitorování vlastních prostředků zřízených v Azure, jak je popsáno v další části.

Sdílená odpovědnost

Standard NIST SP 800-145 definuje následující modely cloudových služeb: Infrastruktura jako služba (IaaS), Platforma jako služba (PaaS) a Software jako služba (SaaS). Model sdílené odpovědnosti pro cloud computing je znázorněný na obrázku 2. S implementací v místním datovém centru převezmete odpovědnost za všechny vrstvy systému. Když se úlohy migrují do cloudu, Microsoft předpokládá postupně větší zodpovědnost v závislosti na modelu cloudové služby. Například s modelem IaaS končí odpovědnost Microsoftu na vrstvě Hypervisoru a zodpovídáte za všechny vrstvy nad vrstvou virtualizace, včetně údržby základního operačního systému v hostovaném virtuálních počítačích.

Obrázek 2. Model sdílené odpovědnosti v cloudovém computingu

V souladu s modelem sdílené odpovědnosti Microsoft nekontroluje, neschvaluje ani nemonitoruje vaše jednotlivé aplikace nasazené v Azure. Například Microsoft neví, jaké porty brány firewall je potřeba otevřít, aby vaše aplikace fungovala správně, jak vypadá schéma back-endové databáze, co představuje normální síťový provoz pro aplikaci atd. Microsoft má rozsáhlou monitorovací infrastrukturu pro cloudovou platformu; Zodpovídáte ale za zřizování a monitorování vlastních prostředků v Azure. Můžete nasadit řadu služeb Azure pro monitorování a ochranu aplikací a dat, jak je popsáno v další části.

Základní služby Azure pro dodatečnou ochranu

Azure poskytuje základní služby, které můžete použít k získání podrobného přehledu o zřízených prostředcích Azure a upozorňování na podezřelou aktivitu, včetně vnějších útoků zaměřených na vaše aplikace a data. Srovnávací test zabezpečení Azure poskytuje doporučení k zabezpečení a podrobnosti implementace, které vám pomůžou zlepšit stav zabezpečení zřízených prostředků Azure.

Další informace o základních službách Azure pro dodatečnou ochranu najdete v tématu Monitorování prostředků Azure zákazníkem.

Proces oznámení o porušení zabezpečení

Reakce na incidenty zabezpečení, včetně oznámení o porušení zabezpečení, je podmnožinou celkového plánu správy incidentů Microsoftu pro Azure. Všichni zaměstnanci Microsoftu jsou vyškoleni k identifikaci a eskalaci potenciálních bezpečnostních incidentů. Vyhrazený tým techniků zabezpečení v rámci centra Microsoft Security Response Center (MSRC) zodpovídá za vždy správu reakce na incidenty zabezpečení pro Azure. Microsoft se řídí procesem reakce na incidenty s pěti kroky při správě incidentů zabezpečení a dostupnosti pro služby Azure. Tento proces zahrnuje následující fáze:

Zjistit
Posuďte
Diagnostikovat
Stabilizovat a obnovit
Zavřít

Cílem tohoto procesu je co nejrychleji obnovit normální provoz služeb a zabezpečení po zjištění problému a zahájit šetření. Microsoft vám navíc umožňuje zkoumat, spravovat a reagovat na incidenty zabezpečení ve vašich předplatných Azure. Další informace najdete v tématu Pokyny k implementaci správy incidentů: Azure a Office 365.

Pokud společnost Microsoft během vyšetřování události zabezpečení nebo ochrany osobních údajů zjistí, že zákazník nebo osobní údaje byly vystaveny nebo k němu přistupuje neoprávněná strana, musí správce incidentů zabezpečení aktivovat dílčí proces oznámení incidentu ve konzultaci s oddělením právních záležitostí Microsoftu. Tento podproces je navržený tak, aby splňoval požadavky na oznámení incidentu stanovené v kontraktech zákazníků Azure (viz oznámení o incidentu zabezpečení v doplňku Microsoft Products and Services Data Protection). Pokud je incident zabezpečení deklarován, aktivují se oznámení zákazníkovi a povinnosti externího podávání zpráv (pokud existují). Dílčí proces oznámení zákazníka začíná paralelně s fázemi vyšetřování incidentů zabezpečení a zmírněním rizik, které vám pomůžou minimalizovat dopad vyplývající z incidentu zabezpečení.

Společnost Microsoft do 72 hodin od prohlášení o incidentu upozorní vás, orgány ochrany údajů a subjekty údajů (vždy dle potřeby) na porušení zákaznických nebo osobních údajů. Proces oznámení v případě deklarovaného incidentu zabezpečení nebo ochrany osobních údajů bude probíhat co nejrychleji, zatímco současně budou zvážena bezpečnostní rizika spojená s rychlým postupem. V praxi to znamená, že většina oznámení bude probíhat dobře před uplynutím 72hodinového termínu, do kterého se Microsoft smluvně zavazuje. Oznámení o incidentu zabezpečení nebo ochrany osobních údajů se doručí jednomu nebo více správcům jakýmkoli způsobem, který Microsoft vybere, včetně e-mailu. Měli byste poskytnout bezpečnostní kontaktní údaje pro vaše předplatné Azure. Tyto informace použije Microsoft k tomu, aby vás kontaktoval, pokud MSRC zjistí, že vaše data byla zpřístupněna nebo že k nim byl přístup nelegální nebo neoprávněnou stranou. Abyste zajistili úspěšné doručení oznámení, je vaší zodpovědností udržovat správné kontaktní informace pro správu pro každé příslušné předplatné.

Většina vyšetřování zabezpečení a ochrany osobních údajů v Azure nemá za následek deklarované incidenty zabezpečení. Většina externích hrozeb nemá za následek porušení vašich dat kvůli rozsáhlým bezpečnostním opatřením platformy, které Microsoft zavedl. Microsoft nasadil rozsáhlou infrastrukturu monitorování a diagnostiky v Azure, která využívá analýzy velkých objemů dat a strojové učení k získání přehledu o stavu platformy, včetně analýzy hrozeb v reálném čase. I když Microsoft bere všechny útoky na platformu vážně, je nepraktické vás informovat o potenciálních útocích na úrovni platformy.

Kromě kontrolních mechanismů implementovaných Microsoftem za účelem ochrany zákaznických dat mají zákazníci státní správy nasazené v Azure značné výhody z výzkumu zabezpečení, který Microsoft provádí za účelem ochrany cloudové platformy. Globální analýza hrozeb Microsoftu je jedním z největších v oboru a je odvozená z jedné z nejrozmanitějších sad zdrojů telemetrie hrozeb. Jedná se o objem i rozmanitost telemetrie hrozeb, díky kterým jsou algoritmy strojového učení Microsoftu na tuto telemetrii tak výkonné. Všichni zákazníci Azure získají přímo tyto investice, jak je popsáno v další části.

Detekce a prevence hrozeb

Rozhraní Microsoft Graph Security API využívá pokročilou analýzu k syntetizaci obrovského množství inteligentních hrozeb a bezpečnostních signálů získaných napříč produkty, službami a partnery Microsoftu pro boj s kybernetickými hrozbami. Každý den Microsoft a jeho partneři generují miliony jedinečných indikátorů hrozeb z nejrůznějších zdrojů a sdílejí je napříč produkty a službami Microsoftu (obrázek 3). V rámci svého portfolia globálních služeb každý měsíc Microsoft prohledá více než 400 miliard e-mailových zpráv za útoky phishing a malware, zpracuje 450 miliard ověřování, provede více než 18 miliard skenování stránek a prohledá více než 1,2 miliardy zařízení za hrozby. Důležité je, že tato data vždy procházejí přísnými hranicemi ochrany osobních údajů a dodržování předpisů, než se použijí k analýze zabezpečení.

Obrázek 3. Globální analýza hrozeb Microsoftu je jednou z největších v odvětví.

Microsoft Graph Rozhraní API pro zabezpečení poskytuje nepředvídaný pohled na rozvíjející se hrozby a umožňuje rychlé inovace k detekci hrozeb a reagování na ně. Modely strojového učení a umělá inteligence vyhodnocují rozsáhlé bezpečnostní signály k identifikaci zranitelností a hrozeb. Microsoft Graph Rozhraní API pro zabezpečení poskytuje společnou bránu pro sdílení informací o zabezpečení napříč platformami a partnerskými řešeními Microsoftu. Můžete využít přímo rozhraní Microsoft Graph Security API, protože Microsoft zpřístupňuje rozsáhlou telemetrii hrozeb a pokročilou analýzu v online službách Microsoftu, včetně Microsoft Defenderu pro cloud. Tyto služby vám můžou pomoct vyřešit vaše vlastní požadavky na zabezpečení v cloudu.

Microsoft implementoval rozsáhlou ochranu cloudové platformy Azure a zpřístupnil širokou škálu služeb Azure, které vám pomůžou monitorovat a chránit zřízené cloudové prostředky před útoky. V případě určitých typů úloh a klasifikací dat však zákazníci státní správy očekávají plnou provozní kontrolu nad svým prostředím a dokonce pracují v plně odpojeném režimu. Portfolio produktů Azure Stack umožňuje zřizovat modely nasazení privátního a hybridního cloudu, které mohou pojmout vysoce citlivá data, jak je popsáno v další části.

Privátní a hybridní cloud se službou Azure Stack

Portfolio Azure Stack je rozšíření Azure, které umožňuje vytvářet a spouštět hybridní aplikace napříč místními, hraničními umístěními a cloudy. Jak je znázorněno na obrázku 4, Azure Stack zahrnuje Službu Azure Stack Hub (dříve Azure Stack) a Azure Stack Edge (dříve Azure Data Box Edge). Další informace najdete v tématu Rozdíly mezi globální azure a službou Azure Stack Hub.

Obrázek Azure Stack portfolio4 Portfolio Služby Azure Stack

Azure Stack Hub a Azure Stack Edge představují klíčové technologie, které umožňují zpracovávat vysoce citlivá data pomocí privátního nebo hybridního cloudu a pokračovat v digitální transformaci pomocí inteligentního cloudového a inteligentního přístupu Microsoftu . Pro mnoho zákazníků státní správy, vynucování suverenity dat, řešení vlastních požadavků na dodržování předpisů a použití maximální dostupné ochrany u vysoce citlivých dat jsou hlavními faktory, které za těmito úsilími stojí.

Azure Stack Hub

Azure Stack Hub (dříve Azure Stack) je integrovaný systém softwaru a ověřeného hardwaru, který si můžete koupit od hardwarových partnerů Microsoftu, nasadit je ve vlastním datovém centru a pak pracovat samostatně nebo s pomocí poskytovatele spravovaných služeb. S Azure Stack Hubem máte vždy plnou kontrolu nad přístupem k vašim datům. Azure Stack Hub může pojmout až 16 fyzických serverů na jednotku škálování služby Azure Stack Hub. Představuje rozšíření Azure, které umožňuje zřizovat různé služby IaaS a PaaS a efektivně přinést cloudové technologie s více tenanty do místních a hraničních prostředí. Při používání stejných vývojových nástrojů, rozhraní API a procesů správy, které používáte v Azure, můžete spouštět mnoho typů instancí virtuálních počítačů, služeb App Services, Containers (včetně kontejnerů Azure AI), Functions, Azure Monitoru, Služby Key Vault, Event Hubs a dalších služeb. Azure Stack Hub není závislý na připojení k Azure, aby bylo možné spouštět nasazené aplikace a povolovat operace prostřednictvím místního připojení.

Kromě služby Azure Stack Hub, která je určená pro místní nasazení (například v datovém centru), je také k dispozici robustní a nasaditelná verze s názvem Taktická služba Azure Stack Hub , která řeší taktické hraniční nasazení pro omezené nebo žádné připojení, plně mobilní požadavky a náročné podmínky vyžadující řešení pro vojenské specifikace.

Azure Stack Hub je možné odpojit od Azure nebo internetu. Můžete spustit novou generaci hybridních aplikací s podporou AI, ve kterých se nacházejí vaše data. Můžete se například spolehnout na Azure Stack Hub, abyste nasadili natrénovaný model AI na edge a integrovali ho do svých aplikací pro inteligentní funkčnost s nízkou latencí, přičemž místní aplikace nevyžadují žádné změny nástrojů nebo procesů.

Azure a Azure Stack Hub vám můžou pomoct odemknout nové případy hybridního použití pro externě nasazenou nebo interně nasazenou obchodní aplikaci, včetně hraničních a odpojených scénářů, cloudových aplikací určených ke splnění požadavků na suverenitu dat a dodržování předpisů a cloudových aplikací nasazených místně ve vašem datacentru. Tyto případy použití mohou zahrnovat mobilní scénáře nebo pevná nasazení v rámci vysoce zabezpečených zařízení datového centra. Obrázek 5 ukazuje možnosti služby Azure Stack Hub a klíčové scénáře použití.

– obrázek 5 Možnosti služby Azure Stack Hub

Azure Stack Hub přináší následující hodnotu pro klíčové scénáře znázorněné na obrázku 5:

Hraniční a odpojená řešení: Vyřešte požadavky na latenci a připojení tím, že zpracováváte data lokálně ve službě Azure Stack Hub a pak je agregujete v Azure pro další analýzu s jednotnou aplikační logikou pro obě (připojené i odpojené) řešení. Letecky, lodí nebo nákladním vozem doručován, Azure Stack Hub splňuje náročné požadavky na průzkum, výstavbu, zemědělství, ropný a plynárenský průmysl, výrobu, reakci na katastrofy, vládní a vojenské úsilí v nejextrémnějších podmínkách a vzdálených lokalitách. Například s architekturou služby Azure Stack Hub pro hraniční a odpojená řešení můžete novou generaci hybridních aplikací s podporou AI přenést na hraniční zařízení, kde se data nacházejí, a integrovat je se stávajícími aplikacemi pro inteligentní funkce s nízkou latencí.
Cloudové aplikace pro splnění suverenity dat: Nasaďte jednu aplikaci odlišně v závislosti na zemi nebo oblasti. V Azure můžete vyvíjet a nasazovat aplikace s plnou flexibilitou pro místní nasazení ve službě Azure Stack Hub na základě potřeby splnění suverenity dat nebo vlastních požadavků na dodržování předpisů. Například s architekturou služby Azure Stack Hub pro suverenitu dat můžete přenášet data z virtuální sítě Azure do virtuální sítě Azure Stack Hub prostřednictvím privátního připojení a nakonec ukládat data do databáze SQL Serveru běžící na virtuálním počítači ve službě Azure Stack Hub. Službu Azure Stack Hub můžete použít k splnění ještě přísnějších požadavků, jako je potřeba nasadit řešení v odpojeném prostředí spravovaném bezpečnostně prověřenými pracovníky v dané zemi/regionu. Tato odpojená prostředí nemají povoleno připojit se k internetu z žádného důvodu kvůli klasifikaci zabezpečení, v rámci kterých fungují.
Místní model cloudové aplikace: Pomocí služby Azure Stack Hub můžete aktualizovat a rozšířit starší aplikace a připravit je na cloud. Pomocí služby App Service ve službě Azure Stack Hub můžete vytvořit webový front-end, který bude využívat moderní rozhraní API s moderními klienty a zároveň využívat konzistentní programovací modely a dovednosti. Například s architekturou služby Azure Stack Hub pro starší modernizaci systému můžete použít konzistentní proces DevOps, Azure Web Apps, kontejnery, bezserverové architektury a architektury mikroslužeb za účelem modernizace starších aplikací při integraci a zachování starších dat v sálových a základních obchodních systémech.

Azure Stack Hub vyžaduje Microsoft Entra ID nebo Active Directory Federation Services (ADFS), které je podporováno službou Active Directory jako zprostředkovatelem identity. Řízení přístupu na základě role (RBAC) můžete použít k udělení přístupu k systému autorizovaným uživatelům, skupinám a službám tak, že jim přiřadíte role na úrovni předplatného, skupiny prostředků nebo jednotlivých prostředků. Každá role definuje úroveň přístupu, které má uživatel, skupina nebo služba nad prostředky služby Azure Stack Hub.

Azure Stack Hub chrání vaše data na úrovni subsystému úložiště pomocí šifrování neaktivních uložených dat. Ve výchozím nastavení se subsystém úložiště služby Azure Stack Hub šifruje pomocí BitLockeru s 128bitovým šifrováním AES. Klíče Nástroje BitLocker se uchovávají v interním úložišti tajných kódů. V době nasazení je také možné nakonfigurovat BitLocker tak, aby používal 256bitové šifrování AES. Tajné kódy, včetně kryptografických klíčů, můžete ukládat a spravovat pomocí služby Key Vault ve službě Azure Stack Hub.

Azure Stack Edge

Azure Stack Edge (dříve Azure Data Box Edge) je hraniční výpočetní zařízení s podporou umělé inteligence s možnostmi síťového přenosu dat. Nejnovější generace těchto zařízení spoléhá na integrovanou grafickou procesorovou jednotku (GPU), která umožňuje zrychlené odvozování umělé inteligence. Azure Stack Edge využívá hardware GPU nativně integrovaný do zařízení ke efektivnímu spouštění algoritmů strojového učení na okraji sítě. Velikost a přenositelnost umožňují spouštět Azure Stack Edge co nejblíže vašim uživatelům, aplikacím a datům podle potřeby. Obrázek 6 ukazuje možnosti Azure Stack Edge a klíčové případy použití.

– obrázek 6 Možnosti služby Azure Stack Edge

Azure Stack Edge přináší následující hodnotu pro klíčové případy použití znázorněné na obrázku 6:

Odvozovat pomocí služby Azure Machine Learning: Odvozování je součástí hlubokého učení, které probíhá po trénování modelu, jako je fáze předpovědi, která je výsledkem použití naučené schopnosti na nová data. Jedná se například o část, která rozpozná vozidlo na cílovém obrázku poté, co byl model natrénován zpracováním mnoha označených obrázků vozidel, které jsou často rozšířeny o syntetizované obrázky počítače (označované také jako syntetické). Pomocí služby Azure Stack Edge můžete spouštět modely Strojového učení (ML), abyste rychle získali výsledky a mohli s nimi pracovat před odesláním dat do cloudu. Potřebná podmnožina dat (pokud existují omezení šířky pásma) nebo se úplná sada dat přenáší do cloudu, aby se pokračovalo v přeučování a vylepšování modelů ML zákazníka.
Předběžné zpracování dat: Analýza dat z místních zařízení nebo zařízení IoT za účelem rychlého získání výsledků při zachování blízkosti místa generování dat Azure Stack Edge přenáší úplnou sadu dat (nebo jenom potřebnou podmnožinu dat, pokud je problém se šířkou pásma) do cloudu, aby bylo možné provádět pokročilejší zpracování nebo hlubší analýzu. Předběžné zpracování je možné použít k agregaci dat, úpravě dat (například odebrání identifikovatelných osobních údajů nebo jiných citlivých dat), přenos dat potřebných k hlubší analýze v cloudu a analýza a reakce na události IoT.
Přenos dat přes síť do Azure: Pomocí služby Azure Stack Edge můžete přenášet data do Azure, abyste umožnili další výpočty a analýzy nebo pro účely archivace.

Schopnost shromažďovat, rozlišovat a distribuovat data mise je nezbytná pro přijímání důležitých rozhodnutí. Nástroje, které pomáhají zpracovávat a přenášet data přímo na okraji sítě, tuto schopnost umožňují. Například Azure Stack Edge s nízkými nároky a integrovanou hardwarovou akcelerací pro inferenci ML je užitečný pro posílení inteligence progresivních operačních jednotek nebo podobných potřeb mise s řešeními AI navrženými pro taktický okraj. Přenos dat z pole, který je tradičně složitý a pomalý, je bezproblémový s řadu produktů Azure Data Box .

Tyto produkty spojují to nejlepší z edge a cloud computingu a odemykají schopnosti, které dříve nebyly možné, jako je syntetické mapování a inferenci modelů strojového učení. Od ponorek přes letadla až po vzdálené základny vám Azure Stack Hub a Azure Stack Edge umožňují využívat sílu cloudu přímo na místě.

Pomocí Azure v kombinaci se službou Azure Stack Hub a Azure Stack Edge můžete zpracovávat důvěrná a citlivá data v zabezpečené izolované infrastruktuře v rámci veřejného cloudu Azure s více tenanty nebo vysoce citlivá data na hraničních zařízeních pod plnou provozní kontrolou. Další část popisuje koncepční architekturu pro klasifikované úlohy.

Koncepční architektura

Obrázek 7 znázorňuje koncepční architekturu využívající produkty a služby, které podporují různé klasifikace dat. Veřejný cloud Azure s více tenanty je základní cloudová platforma, která tuto architekturu umožňuje. Azure můžete rozšířit o místní a hraniční produkty, jako jsou Azure Stack Hub a Azure Stack Edge, aby vyhovovaly kritickým úlohám, u kterých hledáte větší nebo výhradní provozní kontrolu. Například Služba Azure Stack Hub je určená pro místní nasazení ve vašem datacentru, kde máte plnou kontrolu nad připojením služby. Kromě toho je možné službu Azure Stack Hub nasadit pro řešení taktických hraničních nasazení pro omezené nebo žádné připojení, včetně plně mobilních scénářů.

– obrázek 7 Koncepční architektura pro klasifikované úlohy

U klasifikovaných úloh můžete zřídit klíč umožňující službám Azure zabezpečit cílové úlohy a zároveň omezit zjištěná rizika. Azure v kombinaci se službou Azure Stack Hub a Azure Stack Edge dokáže přizpůsobit modely privátního a hybridního cloudového nasazení, což je vhodné pro mnoho úloh státní správy zahrnujících neutajená i klasifikovaná data. V tomto článku se používá následující taxonomie klasifikace dat:

Důvěrný
Tajný
Přísně tajné

Podobná schémata klasifikace dat existují v mnoha zemích/oblastech.

U dat s nejvyšším tajným kódem můžete nasadit službu Azure Stack Hub, která může fungovat jako odpojená od Azure a internetu. Taktická služba Azure Stack Hub je také dostupná k řešení taktických nasazení na hraně s omezeným nebo žádným připojením, pro plně mobilní nasazení a tvrdé podmínky vyžadující vojenské specifikace. Obrázek 8 znázorňuje klíčové umožňující služby, které můžete zřídit, aby vyhovovaly různým úlohám na Azure.

na obrázku 8 Podpora Azure pro různé klasifikace dat

Důvěrná data

Níže jsou uvedeny klíčové technologie a služby, které mohou být užitečné při nasazování důvěrných dat a úloh v Azure:

Všechny doporučené technologie používané pro neklasifikovaná data, zejména služby, jako jsou virtuální síť , Microsoft Defender pro cloud a Azure Monitor.
Veřejné IP adresy jsou zakázané a umožňují pouze provoz prostřednictvím privátních připojení, včetně brány ExpressRoute a virtuální privátní sítě (VPN ).
Šifrování dat se doporučuje s využitím klíčů spravovaných zákazníkem (CMK) ve službě Azure Key Vault založené na modulech hardwarového zabezpečení (HSM) s více tenanty, které mají ověřování FIPS 140.
Jsou povoleny pouze služby, které podporují možnosti integrace virtuální sítě . Virtuální síť Azure umožňuje umístit prostředky Azure do ne internetu směrovatelné sítě, která se pak dá připojit k místní síti pomocí technologií VPN. Integrace virtuální sítě poskytuje webovým aplikacím přístup k prostředkům ve virtuální síti.
Azure Private Link můžete použít k přístupu ke službám Azure PaaS přes privátní koncový bod ve vaší virtuální síti a zajistit, aby provoz mezi vaší virtuální sítí a službou putoval přes globální páteřní síť Microsoftu, což eliminuje nutnost zveřejnit službu veřejnému internetu.
Customer Lockbox pro Azure umožňuje schválit nebo odepřít žádosti o přístup se zvýšenými oprávněními pro vaše data ve scénářích podpory. Jedná se o rozšíření pracovního postupu JIT (Just-in-Time), který se dodává s povoleným úplným protokolováním auditu.

Pomocí veřejných cloudových možností Azure s více tenanty můžete dosáhnout úrovně izolace a zabezpečení potřebné k ukládání důvěrných dat. K získání přehledu o prostředíCh Azure byste měli použít Microsoft Defender for Cloud a Azure Monitor, včetně stavu zabezpečení vašich předplatných.

Tajná data

Níže jsou uvedeny klíčové technologie a služby, které můžou být užitečné při nasazování tajných dat a úloh v Azure:

Všechny doporučené technologie používané pro důvěrná data.
Použijte Azure Key Vault spravovaný HSM, který poskytuje plně spravovaný, vysoce dostupný HSM pro jednoho nájemníka jako službu, který využívá HSM ověřené podle FIPS 140-2 úrovně 3. Každá spravovaná instance HSM je vázána na samostatnou doménu zabezpečení řízenou vámi a izolovanou kryptograficky od instancí patřících jiným zákazníkům.
Azure Dedicated Host poskytuje fyzické servery, které můžou hostovat jeden nebo více virtuálních počítačů Azure a jsou vyhrazené pro jedno předplatné Azure. Vyhrazené hostitele můžete zřídit v rámci oblasti, zóny dostupnosti a domény selhání. Virtuální počítače pak můžete umístit přímo do zřízených hostitelů pomocí libovolné konfigurace, která nejlépe vyhovuje vašim potřebám. Vyhrazený hostitel poskytuje izolaci hardwaru na úrovni fyzického serveru a umožňuje umístit virtuální počítače Azure na izolovaný a vyhrazený fyzický server, na kterém běží jenom úlohy vaší organizace, aby splňovaly firemní požadavky na dodržování předpisů.
Akcelerované sítě FPGA založené na službách Azure SmartNICs umožňují přesměrovat hostitelské sítě na vyhrazený hardware, což umožňuje tunelování pro virtuální sítě, zabezpečení a vyrovnávání zatížení. Přesměrování síťového provozu na vyhrazenou ochranu čipů před útoky na hlavní procesor na straně kanálu.
Důvěrné výpočetní prostředí Azure nabízí šifrování dat při použití a zajišťuje, aby byla data vždy pod kontrolou. Data jsou chráněná v hardwarovém důvěryhodném spouštěcím prostředí (TEE, označované také jako enkláva) a neexistuje způsob, jak zobrazit data nebo operace mimo enklávu.
Přístup k virtuálnímu počítači podle potřeby (JIT) je možné použít k uzamčení příchozího provozu do virtuálních počítačů Azure vytvořením pravidel skupiny zabezpečení sítě (NSG). Na virtuálním počítači vyberete porty, ke kterým se příchozí provoz uzamkne, a když uživatel požádá o přístup k virtuálnímu počítači, Microsoft Defender for Cloud zkontroluje, jestli má uživatel správná oprávnění řízení přístupu na základě role (RBAC).

Pokud chcete vyhovět tajným datům ve veřejném cloudu Azure s více tenanty, můžete nad tyto technologie nasadit další technologie a služby používané pro důvěrná data a omezit zřízené služby na ty služby, které poskytují dostatečnou izolaci. Tyto služby nabízejí různé možnosti izolace za běhu. Podporují také šifrování uložených dat pomocí klíčů spravovaných vámi v modulech HSM pro jednoho nájemce, které řídíte vy a které jsou kryptograficky izolované od instancí HSM patřících jiným zákazníkům.

Data s nejvyšším tajným kódem

Níže jsou uvedené klíčové produkty, které vám můžou pomoct při nasazování vysoce tajných dat a úloh v Azure:

Všechny doporučené technologie používané pro tajná data.
Azure Stack Hub (dříve Azure Stack) umožňuje spouštět úlohy pomocí stejné architektury a rozhraní API jako v Azure a mít fyzicky izolovanou síť pro data nejvyšší klasifikace.
Azure Stack Edge (dříve Azure Data Box Edge) umožňuje ukládání a zpracování dat nejvyšší klasifikace, ale také umožňuje nahrávat výsledné informace nebo modely přímo do Azure. Tento přístup vytvoří cestu ke sdílení informací mezi doménami, která usnadňuje a bezpečnější.
Kromě služby Azure Stack Hub, která je určená pro místní nasazení (například v datovém centru), je také k dispozici robustní a nasaditelná verze s názvem Taktická služba Azure Stack Hub , která řeší taktické hraniční nasazení pro omezené nebo žádné připojení, plně mobilní požadavky a náročné podmínky vyžadující řešení pro vojenské specifikace.
Moduly hardwarového zabezpečení (HSM) poskytované uživatelem umožňují ukládat šifrovací klíče do modulů hardwarového zabezpečení nasazených místně a řízeny výhradně vámi.

Pro accomodaci vysoce utajovaných dat bude pravděpodobně vyžadováno odpojené prostředí, což je to, co poskytuje služba Azure Stack Hub. Azure Stack Hub je možné odpojit od Azure nebo internetu. I když sítě typu "vzduchově zaplněné" nemusí nutně zvýšit zabezpečení, mnoho vlád se může zdráhat ukládat data s touto klasifikací v prostředí připojeném k internetu.

Azure nabízí širokou škálu veřejných, privátních a hybridních modelů nasazení cloudu, které řeší vaše obavy ohledně ochrany vašich dat. Následující část popisuje vybrané případy použití, které by mohly být zajímavé pro zákazníky z celého světa.

Výběr úloh a případů použití

Tato část obsahuje přehled vybraných případů použití, které ukazují možnosti Azure pro úlohy, které by mohly být pro vlády po celém světě zajímavé. Z hlediska možností se Azure prezentuje prostřednictvím kombinace veřejných cloudových a místních a hraničních funkcí poskytovaných službou Azure Stack Hub a Azure Stack Edge.

Zpracování vysoce citlivých nebo regulovaných dat ve službě Azure Stack Hub

Microsoft poskytuje Azure Stack Hub jako místní prostředí konzistentní s cloudem pro zákazníky, kteří nemají možnost se připojit přímo k internetu nebo kde se kvůli zákonu, dodržování předpisů nebo mínění vyžadují hostování určitých typů úloh v zemi nebo oblasti. Azure Stack Hub nabízí služby IaaS a PaaS a sdílí stejná rozhraní API jako globální cloud Azure. Azure Stack Hub je k dispozici ve měřítkových jednotkách 4, 8 a 16 serverů v racku pro jeden server, a 4 servery ve vojenské specifikaci, odolné sadě přepravních boxů, nebo více racků v modulární konfiguraci datového centra.

Azure Stack Hub je řešení, pokud pracujete ve scénářích, kde:

Z důvodů dodržování předpisů nemůžete připojit síť k veřejnému internetu.
Z geografických důvodů nebo z bezpečnostních důvodů nemůže Microsoft nabízet připojení k jiným cloudům Microsoftu.
Z geopolitických nebo bezpečnostních důvodů může hostitelská organizace vyžadovat správu cloudu subjekty mimo Microsoft nebo místní zaměstnance s prověřením bezpečnosti.
Microsoft nemá přítomnost v cloudu v zemi nebo oblasti, a proto nemůže splňovat požadavky na suverenitu dat.
Správa cloudu by představovala značné riziko fyzické pohody prostředků Microsoftu, které provozují prostředí.

Ve většině těchto scénářů nabízí Microsoft a její partneři zařízení privátního cloudu založeného na zákazníkech založené na službě Azure Stack Hub na nasazovatelném hardwaru od hlavních dodavatelů , jako jsou Avanade, Cisco, Dell EMC, Hewlett Packard Enterprise a Lenovo. Azure Stack Hub se vyrábí, konfiguruje a nasazuje dodavatelem hardwaru a může být robustní a posílená zabezpečením tak, aby splňovala širokou škálu standardů pro životní prostředí a dodržování předpisů, včetně schopnosti odolat přepravě letadly, lodí nebo nákladního vozu a nasazení do kolokace, mobilních nebo modulárních datových center. Azure Stack Hub je možné využít při průzkumu, výstavbě, zemědělství, v ropném a plynovém průmyslu, výrobě, reakci na katastrofy, ve vládě a vojenském úsilí v příznivých nebo nejvíce extrémních podmínkách a vzdálených místech. Azure Stack Hub umožňuje plnou autonomii monitorovat, spravovat a zřizovat vlastní prostředky privátního cloudu při plnění požadavků na připojení, dodržování předpisů a odolnost.

Trénování modelu strojového učení

Umělá inteligence (AI) má obrovský potenciál pro vlády. Strojové učení (ML) je technika datových věd, která umožňuje počítačům naučit se používat existující data, aniž by bylo explicitně naprogramováno, předpovídat budoucí chování, výsledky a trendy. Technologie STROJOVÉho učení navíc mohou objevovat vzory, anomálie a předpovědi, které můžou pomoci vládám v jejich misích. Vzhledem k tomu, že technické bariéry stále spadají, čelí pracovníci s rozhodovací pravomocí příležitostí k vývoji a prozkoumání transformativních aplikací AI. Existuje pět hlavních vektorů, které mohou usnadnit, urychlit a zlevnit přijetí strojového učení.

Učení bez dohledu
Omezení potřeb trénovacích dat
Zrychlené učení
Transparentnost výsledku
Nasazení blíže k místu, kde se data nacházejí

V následujících částech se podíváme na oblasti, které vám můžou pomoct s některými z výše uvedených vektorů.

Analýza IoT

V posledních letech jsme svědky obrovského šíření zařízení a senzorů Internetu věcí (IoT). Téměř ve všech případech tyto senzory shromažďují signály a data z prostředí a podmínek, pro které jsou navržené. Spektrum schopností snímačů IoT se rozšiřuje od měření úrovně vlhkosti v půdě až po shromažďování inteligence v nadmořské výšce 5 000 metrů. Vysoký počet případů použití ukládá nutnost použít nástroje a postupy analýzy dat k realizaci hodnoty z obrovských objemů shromážděných dat zařízeními IoT.

Vlády stále častěji využívají zařízení IoT pro své mise, což může zahrnovat predikce údržby, monitorování hranic, meteorologické stanice, inteligentní měřiče a provoz v terénu. V mnoha případech se data často analyzují a odvozují z místa, kde se shromažďují. Hlavními výzvami analýzy IoT jsou: (1) velké množství dat z nezávislých zdrojů, (2) analýzy na okraji sítí a často v scénářích bez připojení a (3) agregace dat a analýz.

Díky inovativním řešením, jako jsou IoT Hub a Azure Stack Edge, jsou služby Azure dobře umístěné, aby vám s těmito výzvami pomohly.

Přesné zemědělství s farm beats

Zemědělství hraje zásadní roli ve většině ekonomik po celém světě. V USA závisí více než 70% venkovských domácností na zemědělství, protože přispívá přibližně 17% k celkovému HDP a poskytuje zaměstnanost více než 60% populace. V projektu Farm Beats shromáždíme řadu dat z farem, které jsme ještě nemohli získat, a pak pomocí algoritmů AI a ML, které můžeme pro farmáře převést na užitečné přehledy. Tuto techniku nazýváme zemědělství řízené daty. To, co znamená zemědělství řízené daty, je schopnost mapovat každou farmu a překrýt je daty. Například jaká je úroveň vlhkosti půdy 15 cm pod povrchem, jaká je teplota půdy 15 cm pod povrchem atd. Tyto mapy pak můžou povolit techniky, jako je přesné zemědělství, které se ukázalo ke zlepšení výnosu, snížení nákladů a přínosu prostředí. Navzdory skutečnosti, že precizní zemědělství jako technika bylo navrženo před více než 30 lety, se neprosadilo. Největší příčinou je nemožnost zachytit množství dat z farem, aby přesně představovala podmínky ve farmě. Naším cílem v rámci projektu Farm Beats je schopnost přesně sestavit mapy přesnosti za zlomek nákladů.

Uvolnění výkonu analýzy pomocí syntetických dat

Syntetická data jsou data, která se vytvářejí uměle, a negenerují se skutečnými událostmi. Často se vytváří pomocí počítačových algoritmů a používá se pro celou řadu aktivit, včetně využití jako testovacích dat pro nové produkty a nástroje a také pro ověřování a vylepšení modelů ML. Syntetická data můžou splňovat konkrétní potřeby nebo podmínky, které nejsou dostupné v existujících reálných datech. Pro vlády povaha syntetických dat odstraňuje mnoho překážek a pomáhá datovým vědcům s obavami ohledně ochrany osobních údajů, zrychleným učením a snížením objemu dat potřebným pro stejný výsledek. Hlavními výhodami syntetických dat jsou:

Omezující omezení: Skutečná data můžou mít omezení využití kvůli pravidlům ochrany osobních údajů nebo jiným předpisům. Syntetická data můžou replikovat všechny důležité statistické vlastnosti skutečných dat bez zveřejnění skutečných dat.
Nedostatek: Poskytnutí dat, ve kterých pro danou událost neexistují skutečná data.
Přesnost: Syntetická data jsou dokonale označená.
Kvalita: Kvalita syntetických dat se dá přesně měřit tak, aby vyhovovala podmínkám mise.

Syntetická data mohou existovat v několika formách, včetně textu, zvuku, videa a hybridního prostředí.

Dolování znalostí

Exponenciální růst nestrukturovaných shromažďování dat v posledních letech vytvořil mnoho analytických problémů pro vládní agentury. Tento problém se ztěžuje, když datové sady pocházejí z různých zdrojů, jako je text, zvuk, video, obrázky atd. Dolování znalostí je proces zjišťování užitečných znalostí z kolekce různorodých zdrojů dat. Tato široce používaná technika dolování dat je proces, který zahrnuje přípravu a výběr dat, čištění dat, začlenění předchozích znalostí do datových sad a interpretaci přesných řešení z pozorovaných výsledků. Tento proces se ukázal jako užitečný pro velké objemy dat v různých agenturách státní správy.

Zachycená data z pole například často zahrnují dokumenty, pamflety, dopisy, tabulky, youtubeu, videa a zvukové soubory v mnoha různorodých strukturovaných a nestrukturovaných formátech. Schované v datech jsou užitečné poznatky , které mohou zlepšit efektivní a včasnou reakci na krizi a řídit rozhodnutí. Cílem dolování znalostí je umožnit rozhodování, která jsou lepší, rychlejší a humannější implementací osvědčených technologií založených na obchodních algoritmech.

Scénáře pro důvěrné výpočetní operace

Zabezpečení je klíčovým faktorem, který urychluje přechod cloud computingu, ale je také zásadním problémem, když zákazníci přesunují citlivé IP adresy a data do cloudu.

Microsoft Azure poskytuje široké možnosti zabezpečení neaktivních uložených a přenášených dat, ale někdy je také potřeba chránit data před hrozbami při jejich zpracování. Důvěrné výpočetní prostředí Azure podporuje dva různé důvěrné virtuální počítače pro šifrování dat při použití:

Virtuální počítače založené na procesorech řady AMD EPYC 7003 pro scénáře metodou "lift and shift" bez nutnosti změn kódu aplikace. Tyto procesory AMD EPYC používají technologii AMD Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP) k šifrování celého virtuálního počítače za běhu. Šifrovací klíče používané pro šifrování virtuálních počítačů se generují a chrání vyhrazeným zabezpečeným procesorem na procesoru EPYC a nedají se extrahovat žádným externím způsobem.
Virtuální počítače, které poskytují hardwarové důvěryhodné spouštěcí prostředí (TEE, označované také jako enkláva) založené na technologii Intel Software Guard Extensions (Intel SGX). Hardware poskytuje chráněný kontejner tím, že zabezpečí část procesoru a paměti. Spustit se a přistupovat k datům může pouze autorizovaný kód, takže jsou kód i data chráněné před zobrazením a úpravami mimo důvěryhodné spouštěcí prostředí.

Důvěrné výpočetní operace Azure můžou přímo řešit scénáře zahrnující ochranu dat při použití. Představte si například scénář, ve kterém musí být data pocházející z veřejného nebo netříděného zdroje spárována s daty z vysoce citlivého zdroje. Důvěrné výpočetní prostředí Azure umožňuje, aby se odpovídající situace vyskytla ve veřejném cloudu a současně chránila vysoce citlivá data před zveřejněním. Tyto okolnosti jsou běžné ve scénářích s vysoce citlivými národními zabezpečeními a prosazováním práva.

Druhý scénář zahrnuje data pocházející z více zdrojů, které je potřeba analyzovat společně, i když žádná ze zdrojů nemá autoritu k zobrazení dat. Každý jednotlivý poskytovatel šifruje data, která poskytují, a pouze v rámci TEE je tato data dešifrována. Proto žádná externí strana ani žádná z poskytovatelů nemůže zobrazit kombinovanou sadu dat. Tato schopnost je cenná pro sekundární použití zdravotnických dat.

Pokud nasazujete typy úloh probíraných v této části, možná budete potřebovat záruky od Microsoftu, že základní kontrolní mechanismy zabezpečení cloudové platformy, za které zodpovídá Microsoft, efektivně fungují. K řešení potřeb zákazníků na regulovaných trzích po celém světě udržuje Azure komplexní portfolio dodržování předpisů založené na formálních certifikacích třetích stran a dalších typech záruk, které vám pomůžou splnit vlastní povinnosti v oblasti dodržování předpisů.

Dodržování předpisů a certifikace

Azure má nejširší pokrytí dodržování předpisů v oboru, včetně klíčových nezávislých certifikací a ověření, jako je ISO 27001, ISO 27017, ISO 27018, ISO 22301, ISO 9001, ISO 20000-1, SOC 1/2/3, PCI DSS level 1, PCI 3DS, HITRUST, CSA STAR Certification, CSA STAR Attestation, US FedRAMP High, Austrálie IRAP, Německo C5, Japonsko ISMAP, Korea K-ISMS, Singapur MTCS Level 3, Španělsko ENS High, UK G-Cloud a Cyber Essentials Plus a mnoho dalších. Portfolio dodržování předpisů Azure zahrnuje více než 100 nabídek dodržování předpisů, které zahrnují globálně použitelné certifikace, programy specifické pro státní správu USA, oborové záruky a nabídky specifické pro jednotlivé země/oblasti. Tyto nabídky můžete využít při řešení vlastních závazků v oblasti dodržování předpisů v regulovaných odvětvích a trzích po celém světě.

Při nasazování aplikací, které podléhají zákonným povinnostem dodržování předpisů v Azure, zákazníci často hledají záruky, že všechny cloudové služby, které toto řešení tvoří, jsou zahrnuty do rozsahu auditu poskytovatele cloudových služeb. Azure nabízí špičkovou hloubku pokrytí dodržování předpisů, kterou posuzuje počet cloudových služeb v oboru auditu pro každou certifikaci Azure. Můžete vytvářet a nasazovat realistické aplikace a využívat rozsáhlé pokrytí dodržování předpisů poskytované nezávislými audity třetích stran Azure.

Azure Stack Hub také poskytuje dokumentaci k dodržování předpisů , která vám pomůžou integrovat službu Azure Stack Hub do řešení, která řeší regulované úlohy. Můžete si stáhnout následující dokumenty dodržování předpisů služby Azure Stack Hub:

Sestava hodnocení PCI DSS vytvořená externím kvalifikovaným hodnotitelem zabezpečení (QSA).
Hodnotící zpráva Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM), včetně mapování kontrol Azure Stack Hub na domény a kontroly CCM.
Předkompilovaná šablona FedRAMP High System Security Plan (SSP), která ukazuje, jak Azure Stack Hub řeší příslušné kontroly, Customer Responsibility Matrix pro úroveň FedRAMP High a sestavu hodnocení FedRAMP vytvořenou akreditovanou organizací hodnocení třetích stran (3PAO).

Předdefinované iniciativy pro dodržování předpisů v Azure Policy se mapují na domény dodržování předpisů a kontroly v klíčových standardech, mezi které patří:

Další integrované iniciativy pro dodržování předpisů najdete v ukázkách Azure Policy.

Dodržování právních předpisů ve službě Azure Policy poskytuje integrované definice iniciativ pro zobrazení seznamu ovládacích prvků a domén dodržování předpisů na základě odpovědnosti – zákazníka, Microsoftu nebo sdíleného. U kontrolních mechanismů, za které nese odpovědnost společnost Microsoft, poskytujeme dodatečné podrobnosti o výsledku auditu na základě ověření identity třetích stran a podrobností implementace kontrolního prvku, kterou jsme dodržení předpisů dosáhli. Každý ovládací prvek je přidružený k jedné nebo více definici služby Azure Policy. Tyto zásady vám pomůžou vyhodnotit dodržování předpisů kontrolního prvku, ale dodržování předpisů v Azure Policy představuje jen částečný přehled o celkovém stavu dodržování předpisů. Azure Policy pomáhá vynucovat organizační standardy a posuzovat dodržování předpisů ve velkém měřítku. Prostřednictvím řídicího panelu dodržování předpisů nabízí agregované zobrazení sloužící k vyhodnocení celkového stavu prostředí s možností přejít na podrobnější stav.

Azure prostředky pro dodržování předpisů a certifikace jsou určeny k tomu, aby vám pomohly řešit vlastní povinnosti souladu dle různých standardů a předpisů. Možná máte zavedený mandát přechodu na cloud ve vaší zemi nebo oblasti a odpovídající nařízení, které vám usnadní onboarding cloudu. Nebo stále můžete provozovat tradiční místní datacentra a pracujete v procesu formulace strategie přechodu na cloud. Rozsáhlé portfolio dodržování předpisů v Azure vám může pomoct bez ohledu na úroveň vyspělosti přechodu na cloud.

Nejčastější dotazy

Tato část se zabývá běžnými dotazy zákazníků související s veřejnými, privátními a hybridními modely nasazení cloudu Azure.

Umístění dat a suverenita nad daty

Umístění dat: Jak Microsoft uchovává data v rámci hranic konkrétní země nebo oblasti? V jakých případech opouštějí data systém? Jaké atributy dat odstraníte? Odpověď: Microsoft poskytuje silné závazky zákazníků v souvislosti se zásadami rezidence dat a přenosu dat cloudových služeb:
- Úložiště dat pro regionální služby: Většina služeb Azure se nasazuje regionálně a umožňuje určit oblast, do které se služba nasadí, například Evropa. Microsoft neukládá vaše data mimo zadanou zeměpisnou oblast s výjimkou několika regionálních služeb a služeb ve verzi Preview, jak je popsáno na stránce umístění dat Azure. Tento závazek pomáhá zajistit, aby vaše data uložená v dané oblasti zůstala v odpovídající geografické oblasti a nebyla přesunuta do jiné geografické oblasti pro většinu regionálních služeb, včetně služby Storage, SQL Database, Virtual Machines a mnoha dalších.
- Úložiště dat pro služby mimo oblast: Některé služby Azure neumožňují určit oblast, ve které se služby nasadí, jak je popsáno na stránce umístění dat. Úplný seznam neregionální služby najdete v tématu Produkty dostupné v jednotlivých oblastech.
Air-gapped (suverénní) cloudové nasazení: Proč Microsoft nenasadí v každé zemi nebo oblasti fyzicky izolovanou instanci cloudu, která je oddělená vzduchem? Odpověď: Microsoft aktivně usiluje o nasazení cloudu s oddělenou sítí (tzv. air-gapped), kde lze vytvořit obchodní případ ve spolupráci s vládami po celém světě. Fyzická izolace neboli "air gapping" jako strategie je ale v přímém rozporu se strategií hyperscale cloudu. Hodnota návrhu cloudu, rychlého růstu funkcí, odolnosti a nákladově efektivní operace se sníží, když je cloud fragmentovaný a fyzicky izolovaný. Tyto strategické výzvy se prohlubují s každým dalším izolovaným cloudem nebo fragmentací v rámci izolovaného cloudu. Ačkoliv cloud s fyzickou izolací může být pro některé zákazníky správným řešením, není to jediná dostupná možnost.
Možnosti pro zákazníky suverénního cloudu s odděleným přístupem: Jak může Microsoft podporovat vlády, které potřebují provozovat cloudové služby zcela v rámci země nebo regionu za účasti místního personálu s prověrkou bezpečnosti? Jaké možnosti má Microsoft pro cloudové služby provozované výhradně místně v datacentru vlastněného zákazníkem, kde zaměstnanci státní správy pracují výhradně na řízení provozu a přístupu k datům? Odpověď:Službu Azure Stack Hub můžete použít k nasazení privátního cloudu spravovaného na místě vašimi pracovníky, kteří mají bezpečnostní prověrku a působí v dané zemi nebo oblasti. Při používání stejných vývojových nástrojů, rozhraní API a procesů správy, které používáte v Azure, můžete spouštět mnoho typů instancí virtuálních počítačů, služeb App Services, Containers (včetně kontejnerů Azure AI), Functions, Azure Monitoru, Služby Key Vault, Event Hubs a dalších služeb. Se službou Azure Stack Hub máte výhradní kontrolu nad daty, včetně úložiště, zpracování, přenosu a vzdáleného přístupu.
Místní jurisdikce: Podléhá Microsoft místní zemi nebo oblasti jurisdikci na základě dostupnosti veřejné cloudové služby Azure? Odpověď: Ano, Společnost Microsoft musí dodržovat všechny platné místní zákony; žádosti státní správy o zákaznická data však musí také dodržovat příslušné zákony. K vyžádání údajů, které nejsou obsahem, je vyžadováno soudní předvolání nebo jeho místní ekvivalent. Pro data obsahu se vyžaduje povolení, soudní příkaz nebo jeho místní ekvivalent. Žádosti státní správy o zákaznická data se řídí přísným postupem podle postupů Microsoftu pro reagování na žádosti státní správy. Microsoft každý rok odmítá mnoho žádostí o vymáhání práva pro zákaznická data. Výzvy k žádostem státní správy mohou mít mnoho forem. V mnoha těchto případech společnost Microsoft jednoduše informuje žádající vládu, že nemůže požadované informace zveřejnit a vysvětluje důvod zamítnutí žádosti. V případě potřeby Microsoft vyzývá soudní řízení. Aktualizujeme každých šest měsíců naši zprávu o žádostech orgánů činných v trestním řízení a zprávu o příkazech k národní bezpečnosti v USA a ukazuje se, že většina našich zákazníků není nikdy ovlivněna žádostmi o data ze strany státní správy. Například ve druhé polovině roku 2019 obdržela společnost Microsoft 39 žádostí od orgánů činných v trestním řízení o účty, které jsou propojené se zákazníky podnikového cloudu. Pouze jedna z těchto žádostí vedla ke zveřejnění obsahu zákazníka souvisejícího s podnikovým zákazníkem mimo USA, jehož data byla uložena mimo území Spojených států.
Soběstačnost: Lze provozování v cloudu Microsoftu oddělit od zbytku cloudu Microsoftu a připojit výhradně k místní síti státní správy? Jsou operace možné bez externích připojení k třetí straně? Odpověď: Ano, v závislosti na modelu cloudového nasazení.
- Veřejný cloud: Místní datová centra Azure je možné připojit k místní síti státní správy prostřednictvím vyhrazených privátních připojení, jako je ExpressRoute. Nezávislá operace bez připojení k třetí straně, jako je Microsoft, není ve veřejném cloudu možná.
- Privátní cloud: Se službou Azure Stack Hub máte plnou kontrolu nad připojením k síti a můžete provozovat Službu Azure Stack Hub v odpojeném režimu.
Omezení toku dat: Jaká ustanovení existují pro schvalování a dokumentaci veškeré výměny dat mezi zákazníkem a Microsoftem pro místní cloudové služby nasazené v jednotlivých zemích nebo oblastech? Odpověď: Možnosti se liší v závislosti na modelu cloudového nasazení.
- Privátní cloud: Pro nasazení privátního cloudu pomocí služby Azure Stack Hub můžete řídit, která data se vyměňují s třetími stranami. Telemetrii služby Azure Stack Hub je možné vypnout na základě vašich preferencí a službu Azure Stack Hub je možné odpojit. Kromě toho azure Stack Hub nabízí fakturační model založený na kapacitě , ve kterém žádná data o fakturaci nebo spotřebě neopouští vaši místní infrastrukturu.
- Veřejný cloud: Ve veřejném cloudu Azure můžete pomocí služby Network Watcher monitorovat síťový provoz přidružený k vašim úlohám. U úloh veřejného cloudu se všechna fakturační data generují prostřednictvím telemetrie, která se používají výhradně pro účely fakturace a odesílají se do fakturačních systémů Microsoftu. Můžete si stáhnout a zobrazit data o fakturaci a využití; Nemůžete ale zabránit odesílání těchto informací do Microsoftu.
Opravy a údržba privátního cloudu: Jak může Microsoft podporovat opravy a další údržbu pro nasazení privátního cloudu služby Azure Stack Hub? Odpověď: Microsoft má běžnou frekvenci vydávání balíčků aktualizací pro Azure Stack Hub. Jste jediným operátorem služby Azure Stack Hub a tyto balíčky aktualizací si můžete stáhnout a nainstalovat. Výstraha pro aktualizace softwaru a hotfixy společnosti Microsoft se zobrazí na panelu Aktualizace u instancí služby Azure Stack Hub, které jsou připojeny k internetu. Pokud vaše instance není připojená a chcete být upozorněni na každou verzi aktualizace, přihlaste se k odběru informačního kanálu RSS nebo ATOM, jak je vysvětleno v naší online dokumentaci.

Ochrana zákaznických dat

Zabezpečení sítě Microsoftu: Jaké ovládací prvky sítě a zabezpečení používá Microsoft? Dají se moje požadavky zvážit? Odpověď: Pokud chcete získat přehled o ochraně infrastruktury Azure, měli byste zkontrolovat architekturu sítě Azure, produkční síť Azure a monitorování infrastruktury Azure. Pokud nasazujete aplikace Azure, měli byste si projít přehled zabezpečení sítě Azure a osvědčené postupy zabezpečení sítě. Pokud chcete poskytnout zpětnou vazbu nebo požadavky, obraťte se na zástupce účtu Microsoft.
Oddělení zákazníků: Jak Microsoft logicky nebo fyzicky odděluje zákazníky v rámci svého cloudového prostředí? Existuje možnost, aby moje organizace zajistila úplné fyzické oddělení? Odpověď: Azure používá logickou izolaci k oddělení aplikací a dat od jiných zákazníků. Tento přístup poskytuje škálovací a ekonomické výhody cloudových služeb s více tenanty, zatímco pečlivě vynucuje kontrolní mechanismy navržené tak, aby vaše data a aplikace byly mimo limity pro ostatní zákazníky. Existuje také možnost vynutit izolaci fyzických výpočetních prostředků prostřednictvím služby Azure Dedicated Host, která poskytuje fyzické servery, které můžou hostovat jeden nebo více virtuálních počítačů Azure a jsou vyhrazené pro jedno předplatné Azure. Vyhrazené hostitele můžete zřídit v rámci oblasti, zóny dostupnosti a domény selhání. Virtuální počítače pak můžete umístit přímo do zřízených hostitelů pomocí libovolné konfigurace, která nejlépe vyhovuje vašim potřebám. Vyhrazený hostitel poskytuje izolaci hardwaru na úrovni fyzického serveru a umožňuje umístit virtuální počítače Azure na izolovaný a vyhrazený fyzický server, na kterém běží jenom úlohy vaší organizace, aby splňovaly firemní požadavky na dodržování předpisů.
Šifrování neaktivních uložených a přenášených dat: Vynucuje Microsoft ve výchozím nastavení šifrování dat? Podporuje Microsoft šifrovací klíče spravované zákazníkem? Odpověď: Ano, mnoho služeb Azure, včetně Azure Storage a Azure SQL Database, ve výchozím nastavení šifruje data a podporuje klíče spravované zákazníkem. Šifrování neaktivních uložených dat ve službě Azure Storage zajišťuje, že se data před načtením automaticky šifrují a dešifrují se. K šifrování dat služby Azure Storage v klidovém režimu můžete použít vlastní šifrovací klíče a spravovat své klíče ve službě Azure Key Vault. Šifrování úložiště je ve výchozím nastavení povolené pro všechny nové a existující účty úložiště a nedá se zakázat. Při zřizování účtů úložiště můžete vynutit možnost "Vyžadovat zabezpečený přenos", která umožňuje přístup pouze ze zabezpečených připojení. Tato možnost je ve výchozím nastavení povolená při vytváření účtu úložiště na webu Azure Portal. Azure SQL Database ve výchozím nastavení vynucuje šifrování dat během přenosu a ve výchozím nastavení poskytuje transparentní šifrování dat ve stavu klidu, které umožňuje používat službu Azure Key Vault a vlastní klíč (BYOK) ke kontrole úloh správy klíčů, včetně oprávnění k použití klíčů, rotace, vymazání a dalších operací.
Šifrování dat během zpracování: Může Microsoft chránit moje data během zpracování v paměti? Odpověď: Ano, důvěrné výpočetní prostředí Azure podporuje dvě různé technologie šifrování dat při použití. Nejprve můžete použít virtuální počítače založené na procesorech Intel Xeon s technologií Intel Software Guard Extensions (Intel SGX). Díky tomuto přístupu jsou data chráněná v hardwarovém důvěryhodném spouštěcím prostředí (TEE, označované také jako enkláva), které se vytváří zabezpečením části procesoru a paměti. Ke spuštění a přístupu k datům je povolený pouze autorizovaný kód, takže kód aplikace a data jsou chráněné před prohlížením a úpravami mimo TEE. Za druhé můžete použít virtuální počítače založené na procesorech řady AMD EPYC 7003 pro scénáře metodou "lift and shift", aniž byste museli měnit kód aplikace. Tyto procesory AMD EPYC umožňují zašifrovat celý virtuální počítač za běhu. Šifrovací klíče používané pro šifrování virtuálních počítačů se generují a chrání vyhrazeným zabezpečeným procesorem na procesoru EPYC a nedají se extrahovat žádným externím způsobem.
Ověřování FIPS 140: Nabízí Microsoft v Azure ověřené moduly hardwarového zabezpečení (HSM) FIPS 140 level 3? Pokud ano, můžu v těchto modulech HSM uložit symetrické šifrovací klíče AES-256? Odpověď: Azure Key Vault Managed HSM poskytuje plně spravované, vysoce dostupné, jednoprůchozí HSM jako službu, která využívá HSM validované podle FIPS 140 Level 3. Každá spravovaná instance HSM je vázána na samostatnou doménu zabezpečení řízenou vámi a izolovanou kryptograficky od instancí patřících jiným zákazníkům. U spravovaných HSM je podpora dostupná pro 128bitové a 256bitové symetrické klíče AES.
Kryptografie poskytovaná zákazníkem: Můžu použít vlastní kryptografii nebo šifrovací hardware? Odpověď: Ano, můžete použít vlastní moduly HSM nasazené místně s vlastními kryptografickými algoritmy. Pokud ale očekáváte použití klíčů spravovaných zákazníkem pro služby integrované se službou Azure Key Vault (například Azure Storage, SQL Database, šifrování disků a další), musíte použít moduly hardwarového zabezpečení (HSM) a kryptografii podporovanou službou Azure Key Vault.
Přístup k zákaznickým datům pracovníků Microsoftu: Jak Microsoft omezuje přístup k mým datům inženýry Microsoftu? Odpověď: Technici Microsoftu nemají výchozí přístup k vašim datům v cloudu. Místo toho je možné jim udělit přístup v rámci dohledu nad správou, pouze pokud je to nutné pomocí pracovního postupu omezeného přístupu. Většinu žádostí o zákaznickou podporu je možné vyřešit bez přístupu k datům, protože technici Microsoftu se při řešení potíží a podpory do značné míry spoléhají na protokoly. Pokud technik Microsoftu vyžaduje zvýšený přístup k datům v rámci pracovního postupu podpory, můžete pomocí Customer Lockboxu pro Azure řídit, jak technik Microsoftu přistupuje k vašim datům. Customer Lockbox pro Azure vám dává na starosti toto rozhodnutí tím, že vám umožní schvalovat nebo odepřít takové žádosti o přístup se zvýšenými oprávněními. Další informace o tom, jak Microsoft omezuje přístup insiderů k vašim datům, najdete v tématu Omezení přístupu pro účastníky programu Insider.

Provozní činnosti

Revize kódu: Co může Microsoft udělat, aby zabránil vložení škodlivého kódu do služeb, které má organizace používá? Mohu zkontrolovat nasazení kódu Microsoftu? Odpověď: Microsoft investoval do procesů a postupů zajištění zabezpečení do správného vývoje logicky izolovaných služeb asystémůch Další informace najdete v tématu Procesy a postupy zajištění zabezpečení. Další informace o izolaci Hypervisoru Azure najdete v tématu Omezení rizik zneužití hloubkové ochrany. Microsoft má plnou kontrolu nad veškerým zdrojovým kódem, který se skládá ze služeb Azure. Postup pro opravy hostovaného virtuálního počítače se například výrazně liší od tradičních místních oprav, kdy je po instalaci nutné ověření opravy. V Azure se na hostující virtuální počítače nepoužijí opravy. místo toho se virtuální počítač jednoduše restartuje a když se virtuální počítač spustí, je zaručeno, že se spustí ze známé dobré image, kterou řídí Microsoft. Neexistuje žádný způsob, jak do image vložit škodlivý kód nebo narušovat proces spouštění. Virtuální počítače PaaS nabízejí pokročilejší ochranu před trvalými infekcemi malwaru než tradiční řešení fyzického serveru, které v případě ohrožení zabezpečení útočníkem může být obtížné vyčistit, i když je ohrožení zabezpečení opraveno. U virtuálních počítačů PaaS je opětovná příprava běžnou součástí operací a může pomoct vyčistit neoprávněná vniknutí, která ještě nebyla zjištěna. Tento přístup znesnadňuje zachování kompromisu. Nemůžete zkontrolovat zdrojový kód Azure; Online přístup k zobrazení zdrojového kódu je však k dispozici pro klíčové produkty prostřednictvím programu Microsoft Government Security Program (GSP).
Pracovníci DevOps (prověření státní příslušníci): Jaké kontroly nebo úrovně prověřování má Microsoft pro pracovníky, kteří mají přístup DevOps ke cloudovým prostředím nebo fyzický přístup k datovým centrům? Odpověď: Microsoft provádí prověřování na pozadí u pracovníků provozu s přístupem k produkčním systémům a infrastruktuře fyzického datového centra. Kontrola zázemí u Microsoft cloudu zahrnuje ověření vzdělání a historie zaměstnání při přijetí a další kontroly prováděné každé dva roky (pokud to zákon umožňuje), včetně kontroly trestní historie, seznamu OFAC, seznamu osob odepřených BIS a seznamu vyloučených subjektů DDTC.
Možnosti webu datového centra: Je Microsoft ochotný nasadit datové centrum do konkrétního fyzického umístění, aby splňoval pokročilejší požadavky na zabezpečení? Odpověď: Měli byste se zeptat svého Microsoft účetního týmu na možnosti umístění datových center.
Záruka dostupnosti služeb: Jak může moje organizace zajistit, aby Microsoft (nebo konkrétní státní správa nebo jiná entita) nemohl vypnout naše cloudové služby? Odpověď: Měli byste si projít podmínky produktů společnosti Microsoft (dříve podmínky online služeb) a dodatek o ochraně osobních údajů produktů a služeb společnosti Microsoft (DPA) za smluvní závazky, které Společnost Microsoft činí v souvislosti s dostupností služeb a používáním online služeb.
Potřeby netradičních cloudových služeb: Jaké možnosti Microsoft poskytuje pro pravidelná prostředí bez připojení k internetu/odpojená prostředí? Odpověď: Kromě služby Azure Stack Hub, která je určená pro místní nasazení a odpojené scénáře, je také k dispozici robustní a nasazovatelná verze s názvem Taktická služba Azure Stack Hub , která řeší taktické nasazení hraničních zařízení za účelem omezeného připojení, plně mobilních požadavků a náročných podmínek vyžadujících řešení vojenské specifikace.

Transparentnost a audit

Dokumentace k auditu: Zpřístupní společnost Microsoft zákazníkům snadno veškerou dokumentaci auditu ke stažení a kontrole? Odpověď: Ano, Společnost Microsoft zpřístupňuje nezávislé sestavy auditu třetích stran a další související dokumentaci ke stažení v rámci smlouvy o nezveřejnění na webu Azure Portal. Pro přístup k oknu sestav auditu v programu Microsoft Defender for Cloud budete potřebovat stávající předplatné Azure nebo bezplatné zkušební předplatné. Další dokumentace o shodě je k dispozici v sekci Sestavy auditu portálu Service Trust Portal (STP). Abyste měli přístup k zprávám o auditu na STP, musíte se přihlásit. Další informace najdete v tématu Začínáme s portálem Microsoft Service Trust Portal.
Auditovatelnost procesů: Zpřístupňuje Microsoft svým procesům, toku dat a dokumentaci zákazníkům nebo regulačním orgánům k auditu? Odpověď: Společnost Microsoft nabízí právo regulačního orgánu zkoumat, což je program, který microsoft implementoval, aby regulačním orgánům poskytl přímé právo zkoumat Azure, včetně schopnosti provádět kontrolu na místě, setkat se s pracovníky Microsoftu a externími auditory Microsoftu a získat přístup k souvisejícím informacím, záznamům, sestavám a dokumentům.
Dokumentace ke službě: Může Společnost Microsoft poskytnout podrobnou dokumentaci týkající se architektury služeb, softwarových a hardwarových komponent a datových protokolů? Odpověď: Ano, Microsoft poskytuje rozsáhlou a podrobnou online dokumentaci k Azure, která pokrývá všechna tato témata. Můžete si například projít dokumentaci k produktům Azure, globální infrastruktuře a referenčním informacím k rozhraní API.

Další kroky

Další informace o: