Cartera de directiva de Microsoft Cloud for Sovereignty
Azure ofrece una variedad de iniciativas integradas que se alinean con diversos marcos de cumplimiento normativo y estándares de la industria. Estas iniciativas cubren aspectos críticos como la protección de datos, la seguridad de la red y los controles de acceso. Al aplicar configuraciones y controles sólidos, puede mejorar la soberanía y la posición de seguridad de los recursos de Azure de su organización y proteger los datos confidenciales contra el acceso no autorizado.
Microsoft Cloud for Sovereignty amplía las iniciativas integradas de Azure existentes agregando periódicamente más iniciativas.
Iniciativas de directivas integradas de Azure
Las iniciativas de directivas integradas de Azure son un potente conjunto de herramientas que permite el control centralizado de los recursos de Azure y la aplicación de configuraciones específicas. Estas iniciativas comprenden una colección de definiciones de políticas y respaldan el cumplimiento de diversos marcos regulatorios, estándares de la industria y mejores prácticas de seguridad.
Las iniciativas ofrecen un enfoque simplificado y automatizado de gobernanza, lo que permite a las organizaciones gestionar y supervisar el cumplimiento a escala. Para obtener más información sobre iniciativas de directiva, vea ¿Qué es Azure Policy?.
Iniciativas de directiva de Microsoft Cloud for Sovereignty
Microsoft Cloud for Sovereignty asigna iniciativas y cumplimiento, que amplían las iniciativas integradas de Azure, lo ayudan a automatizar la aplicación de políticas y fomentan un marco de gobierno sólido que reduce el riesgo de incumplimiento. Además, las iniciativas también fortalecen las medidas de protección de datos. Las organizaciones pueden utilizar el amplio conjunto de iniciativas integradas de cumplimiento normativo disponibles mientras continuamos ampliando otros marcos.
Iniciativas de directivas de cumplimiento normativo
Microsoft Cloud for Sovereignty mantiene varias iniciativas de directivas de cumplimiento normativo.
Una de estas iniciativas directivas es el apoyo a los requisitos técnicos específicos de la nube dentro de la referencia de seguridad de la información del Gobierno (Baseline informatiebeveiliging Overheid o BIO en neerlandés), el marco normativo fundacional para la seguridad de la información en todos los niveles de la administración pública de los Países Bajos (gobierno central, municipios, provincias y paneles de agua). Para obtener más información sobre la iniciativa temática de la nube BIO, consulte azure-policy/built-in-policies/policySetDefinitions.
Microsoft Cloud for Sovereignty ha publicado recientemente otras dos iniciativas de directivas integradas de cumplimiento normativo; las directivas globales de referencia de Microsoft Cloud for Sovereignty y las directivas confidenciales de referencia de Microsoft Cloud for Sovereignty.
Iniciativas de directivas de línea de base de soberanía
Las iniciativas de políticas de Microsoft Clouds for Sovereignty están diseñadas principalmente para ayudar a demostrar el cumplimiento de un marco de control de seguridad específico. Sin embargo, las iniciativas de línea de base de directiva de soberanía son un conjunto especial de Iniciativas de Azure Policy integradas destinadas a complementar los marcos con controles de soberanía.
Los controles de soberanía ayudan a permitir el uso adecuado de las ofertas de Azure Confidential Computing que ofrecen barreras de protección de datos más allá de lo que los marcos de control de seguridad existentes comúnmente requieren de una manera que sea fácil de adoptar para las organizaciones.
Las iniciativas de políticas Sovereignty Baseline brindan a las organizaciones un método sencillo para configurar múltiples políticas de Azure de una manera que aborde uno o más de los objetivos de control de soberanía, enumerados a continuación:
- Los datos de los clientes deben almacenarse y procesarse íntegramente en centros de datos que residan en regiones geopolíticas aprobadas según los requisitos definidos por el cliente.
- Los clientes deben aprobar el acceso a los datos de los clientes por parte de los operadores de servicios gestionados y en la nube.
- Los datos confidenciales del cliente definidos por el cliente solo deben ser accesibles de forma cifrada para los operadores de servicios gestionados y en la nube.
- El cliente debe tener control exclusivo para decidir qué identidades pueden acceder a las claves utilizadas para descifrar datos confidenciales definidos por el cliente.
Estos objetivos de control son las mejores prácticas recomendadas por Azure para abordar las preocupaciones sobre la soberanía de los datos al admitir el uso y las configuraciones adecuadas dentro de varias ofertas de Azure que almacenan o procesan datos de los clientes. Si cree que es necesario incluir otros objetivos de control en la línea base, puede crear una solicitud de función.
Las iniciativas de directivas de línea base de soberanía vienen preinstalada con Zona de aterrizaje soberana, o se pueden implementar en cualquier inquilino de Azure como Azure Policy.
Las iniciativas de directiva de línea de base de soberanía no reemplazan las iniciativas integradas de cumplimiento regulatorio ni se relacionan directamente con ninguno de los marcos. Las organizaciones deben continuar utilizando sus iniciativas existentes para demostrar el cumplimiento de todos los marcos regulatorios apropiados.
Para obtener más información sobre cómo ve Microsoft la soberanía de los datos, revise nuestras notas del producto.
Iniciativas de directivas personalizadas
Microsoft Cloud for Sovereignty hace que varias iniciativas de directivas personalizadas y asignaciones de cumplimiento sean accesibles a través de la Cartera de directivas de nube para la soberanía en GitHub. Las iniciativas de directivas de Microsoft Cloud for Sovereignty ayudan a personalizar las implementaciones para reducir el tiempo y la complejidad necesarios para auditar entornos y ayudar a cumplir con los marcos de cumplimiento normativo y los requisitos gubernamentales establecidos.
Las iniciativas personalizadas actuales se centran en:
La estrategia italiana para la nube, que contiene las directrices estratégicas para la migración a la nube de los datos y los servicios digitales de la Administración Pública italiana, la Agencia Nacional de Ciberseguridad (ACN) emitió un conjunto de requisitos para la cualificación de los servicios en la nube y las infraestructuras de servicios en la nube. Las iniciativas de directivas y los archivos contenidos en este repositorio pretenden servir como punto de partida. Estos archivos no pretenden ser soluciones finales o integrales, sino más bien un recurso útil para impulsar sus esfuerzos.
Una iniciativa de directiva de Azure personalizada y una asignación de controles que ayudan a los clientes a cumplir las directrices definidas por el marco de control de ciberseguridad de Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM) v4 para la informática en la nube.
Como ayuda para la implementación de iniciativas de directivas personalizadas, consulte el script New-PolicySets.ps1 en GitHub. Además, puede utilizar las capacidades de Microsoft Defender for Cloud para iniciativas personalizadas.
Importante
Las organizaciones son totalmente responsables de garantizar su propio cumplimiento de todas las leyes y reglamentos aplicables. La información proporcionada en este documento no constituye asesoramiento legal y las organizaciones deben consultar a sus asesores legales si tienen alguna pregunta relacionada con el cumplimiento normativo.