Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure admite un espectro de opciones de implementación, incluidas las regiones de nube pública, los entornos híbridos y los entornos de nube soberana o nacional. Esta flexibilidad le ayuda a diseñar la confiabilidad al cumplir los requisitos normativos y jurisdiccionales.
En este artículo se explica cómo las consideraciones de soberanía influyen en las decisiones de diseño de confiabilidad y en qué planear en los puntos de decisión clave de la arquitectura.
Qué significa soberanía para una carga de trabajo confiable
La soberanía significa que conserva el control sobre sus datos y garantiza que los datos permanecen sujetos a las leyes de su jurisdicción. En la práctica, la soberanía afecta al diseño de confiabilidad de dos maneras clave:
- Control de acceso: Solo las partes autorizadas pueden acceder o mover datos. Los controles incluyen cifrado, claves administradas por el cliente, control de acceso basado en roles y controles operativos.
- Control geográfico: Los datos permanecen dentro de los límites geográficos especificados para que se rige por las leyes locales.
La soberanía se basa en los resultados. No requiere aislamiento de la nube global. Se pueden cumplir muchos requisitos de cumplimiento en entornos de nube pública cuando se aplican los controles adecuados, incluidos los controles de residencia de datos, el cifrado, la auditabilidad y las protecciones de acceso legal.
Capacidades de Azure que respaldan la soberanía
Azure proporciona varias funcionalidades que le ayudan a cumplir los requisitos de soberanía:
- Controles de datos: Las regiones de Azure se agrupan en geografías que definen límites de residencia de datos. Azure también admite el cifrado y las claves administradas por el cliente, incluida la administración centralizada de claves a través de Azure Key Vault.
- Controles operativos: Azure Policy puede restringir la ubicación de los recursos a regiones específicas, el control de acceso basado en roles puede limitar los permisos y Customer Lockbox puede regular el acceso del soporte técnico de Microsoft. También puede usar arquitecturas de registro e gobernanza inmutables para aplicar límites de protección de cumplimiento a escala.
- Opciones de implementación e infraestructura: Azure admite varios modelos de implementación y aislamiento. Azure Government y Azure en China son nubes físicamente aisladas que operan independientemente de la Azure global. Microsoft Sovereign Cloud admite patrones de aislamiento lógico dentro de la nube pública de Azure. Las opciones híbridas, como Azure Local, admiten escenarios de operación controlados por el cliente y sin conexión.
Dónde se intersecan las decisiones de diseño de confiabilidad y soberanía
Al diseñar la confiabilidad de la solución, también debe tener en cuenta y planear cualquier problema de soberanía. En esta sección se resaltan algunas decisiones que normalmente necesita tomar al considerar la confiabilidad y la soberanía.
Selección de región y zona de disponibilidad
El lugar en el que coloca la infraestructura redundante determina tanto la confiabilidad como la posición de cumplimiento. Los diseños de varias regiones suelen mejorar la confiabilidad, pero las restricciones de soberanía pueden limitar la selección de regiones a límites geográficos o geográficos aprobados.
Si diseña una solución basada en recuperación ante desastres con varias regiones y la carga de trabajo debe permanecer dentro de una jurisdicción específica, elija una región de recuperación ante desastres en ese mismo límite. Si no hay ninguna región secundaria compatible disponible, use la confiabilidad de una sola región con la recuperación basada en copia de seguridad y documente los inconvenientes de recuperación relacionados.
Tip
Las zonas de disponibilidad proporcionan una capa de confiabilidad adicional dentro de una región sin cruzar los límites geográficos. Use la arquitectura de varias zonas donde se admita.
Ubicaciones de copia de seguridad, replicación y recuperación ante desastres
Los destinos de copia de seguridad y replicación deben seguir los mismos límites normativos que la carga de trabajo que protegen. Algunos servicios admiten la replicación en regiones que elija, mientras que otros usan pares de regiones definidos por Azure.
Al almacenar copias de seguridad o réplicas fuera del límite principal, asegúrese de que los datos están cifrados y la colocación de claves está planeada cuidadosamente. Si las claves de cifrado solo se almacenan en la región primaria, es posible que no estén disponibles durante una interrupción de la región.
Cuando se usan claves administradas por el cliente con replicación en otra región de Azure que no es la región emparejada, alinee la ubicación de las claves con la ubicación de los datos. Azure Key Vault HSM administrado admite la distribución de claves entre regiones para ayudar a mantener la disponibilidad de claves alineada con los datos protegidos.
Acceso operativo y auditabilidad
Las operaciones de confiabilidad deben permanecer controladas y auditables. Las prácticas de implementación segura de Azure despliegan los cambios de forma incremental y aíslan los dominios de fallo para reducir el riesgo de impacto multirregional.
Para las cargas de trabajo reguladas, Customer Lockbox ayuda a garantizar que los ingenieros de soporte técnico de Microsoft no puedan acceder a los datos de los clientes sin una aprobación explícita. Use Azure Monitor y Azure Activity Log para conservar los registros de conmutación por error y de recuperación para informes de auditoría y cumplimiento normativo.
Contenido relacionado
- ¿Qué son las regiones de Azure?
- ¿Qué son las zonas de disponibilidad?
- Pares de regiones de Azure y regiones que no están emparejadas
- Azure Government
- Azure en China
- Nube soberana de Microsoft
- Información general de Azure Local
- Azure Key Vault Managed HSM: información general
- Lockbox de cliente para Microsoft Azure
- Introducción a Azure Backup