Umístění dat
Data rezidence se zabývá fyzickým umístěním, kde jsou data uložena a zpracovávána. Požadavky na datovou rezidenci jsou společným problémem zákazníků z veřejného sektoru, kteří často požadují, aby společnost Microsoft omezila, kde jsou různé typy dat ukládány a zpracovávány. Microsoft Cloud for Sovereignty umožňuje zákazníkům konfigurovat suverénní cílové zóny (SLZ) na omezení služeb a oblastí, které mohou koncoví uživatelé používat, a vynucení konfigurace služeb na pomoc zákazníkům dosahovat potřeb rezidence dat.
Rezidence dat v Azure
Většina služeb Azure je nasazena regionálně a umožňuje vám určit, kde jsou data zákazníků ukládána a zpracovávána. Příklady takových regionálních služeb zahrnují virtuální počítače, úložiště a databáze SQL. Oblast je součástí geografické oblasti a u regionálních služeb Microsoft neukládá zákaznická data mimo vybranou geografickou oblast, s výjimkou zdokumentovaných okolností. Další informace najdete v části Rezidence dat v Azure a dokumentu whitepaper Aktivace rezidence dat a ochrany dat v oblastech Microsoft Azure.
Jak je definováno v našich smlouvách o službách, zákaznická data označují veškerá data, včetně všech textových, zvukových a obrazových souborů, která společnosti Microsoft poskytnete nebo která jí jsou poskytnuta jménem zákazníka prostřednictvím online služeb. Zákaznická data nezahrnují data profesionálních služeb. Pro upřesnění, zákaznická data nezahrnují informace používané ke konfiguraci zdrojů v online službách, jako jsou technická nastavení a názvy zdrojů.
Některé služby Azure vám neumožňují určit oblast, kde je služba nasazena, jako je Microsoft Entra ID, Azure Monitor nebo Traffic Manager. Tyto služby fungují globálně a poskytují zákazníkům kritické funkce a jsou označovány jako neregionální služby. Pokud není uvedeno jinak, neregionální služby ukládají a zpracovávají zákaznická data v jakémkoli datovém centru Microsoft v rámci veřejných oblastí Azure. Další informace naleznete v tématu Rezidence dat v Azure.
Data přenášená mezi oblastmi Azure zůstávají v globální síti Microsoft. Virtuální sítě v Azure můžete nakonfigurovat tak, aby umožňovaly přístup pouze z podnikových sítí pomocí skupin zabezpečení sítě Azure a Azure Firewall. Dále můžete omezit přístup z internetu na konkrétní místa pomocí funkcí, jako jsou vlastní pravidla geografického porovnávání Azure Web Application Firewall (WAF) a podmíněný přístup – blokování přístupu podle umístění.
Rezidence dat v Microsoft Cloud for Sovereignty
Iniciativy základů zásad suverenity Microsoft Cloud for Sovereignty vyžadují, abyste nakonfigurovali oblasti Azure, kde lze nasadit prostředky. U regionálních služeb určují nakonfigurované regiony geografické oblasti těchto služeb a efektivní hranici rezidence dat pro ukládání zákaznických dat.
SLZ můžete nakonfigurovat tak, abyste omezili používání určitých služeb, včetně neregionálních služeb, které nesplňují vaše konkrétní potřeby týkající se umístění dat.
Základní konfigurace SLZ zahrnuje síťová pravidla, která rozhodují, ze kterých sítí lze přistupovat k vašim prostředkům.
- Data v aplikaci nasazená do předplatného v cílových zónách Corp nebo Confidential Corp jsou omezena na síť vaší organizace v rámci Azure a připojená k Azure.
- K datům v aplikaci nasazené do předplatného v cílových zónách Online nebo Confidental Online lze přistupovat přes internet odkudkoli, pokud má uživatel nebo systém přistupující k datům příslušné přihlašovací údaje a neexistuje žádná brána firewall nebo pravidla podmíněného přístupu, která by blokovala přístup.
Další informace najdete v článku Přehled suverénní cílové zóny.
Rezidence dat a odolnost
Oblasti, které nakonfigurujete jako povolené oblasti pro Microsoft Cloud for Sovereignty, mohou ovlivnit odolnost nasazených úloh. Méně restriktivní výběr oblastí obvykle umožňuje větší odolnost, protože aplikace můžete distribuovat do více a vzdálenějších oblastí. Šifrování (v klidu, při přenosu a při používání) můžete zvážit jako alternativní kontrolní opatření k omezení oblasti, zejména u aplikací, které mají vysoké požadavky na dostupnost.
Většina oblastí Azure se skládá ze tří nebo více zón dostupnosti. Úložné a výpočetní služby rozmístěné ve více zónách dostupnosti jsou odolné vůči místním katastrofám, které mohou ovlivnit celé datové centrum. Kvůli odolnosti vůči katastrofám, které by mohly ovlivnit celou oblast, má mnoho oblastí Azure také regionální pár ve stejné geografické oblasti, což umožňuje automatické nebo zákaznicky nakonfigurované replikace mezi oblastmi pro podporované služby. Aby bylo možné dosáhnout určitých standardů rezidence dat, některé oblasti nemají regionální pár a zákazníci jsou odpovědní za odolnost dat v nepravděpodobném případě úplného selhání oblasti. Další informace najdete v části Oblasti se zónami dostupnosti a bez regionálního páru.
Viz také
- Rezidence dat v Azure
- Globální síť Microsoft – Azure
- Co jsou oblasti a zóny dostupnosti Azure?
- Replikace mezi oblastmi v Azure
- Jak Microsoft kategorizuje data zákazníků
- Přehled ochrany osobních údajů a správy dat
- Kde jsou vaše data umístěna
- Aktivace rezidence dat a ochrany dat v oblastech Microsoft Azure
- Rezidence dat, datová suverenita a dodržování předpisů v Microsoft Cloud