Planificar, implementar y supervisar Microsoft Cloud for Sovereignty

Microsoft Cloud for Sovereignty proporciona herramientas y orientación para profesionales de TI y responsables de seguridad de la información durante todo el ciclo de vida de implementación de la nube. El resto de este artículo presenta capacidades en el contexto de tres etapas de un ciclo de vida de implementación y hace referencia a artículos detallados sobre cada uno de los artículos.

1. Planificar: planifique su migración a la nube.
2. Implementar: implementar una arquitectura soberana y compatible.
3. Supervise y audite: supervise y audite sus datos y cargas de trabajo para mantenerlos seguros.

Plan

Las organizaciones del Sector Público que tienen estrictos requisitos de soberanía deben incorporar sus objetivos de soberanía en sus esfuerzos de planificación. Este proceso garantiza que las decisiones estratégicas sobre la adopción de la nube se alineen con esos requisitos de soberanía.

Requisitos de soberanía

Microsoft Cloud Adoption Framework para Azure es un marco de ciclo de vida completo que permite a los arquitectos de la nube, profesionales de TI y tomadores de decisiones empresariales alcanzar sus objetivos de adopción de la nube. El marco proporciona mejores prácticas, documentación y herramientas que le ayudan a crear e implementar estrategias empresariales y tecnológicas para la nube.

Puede leer Evaluar requisitos soberanos para comprender cómo evaluar, identificar y documentar los requisitos de soberanía, y revisar recomendaciones sobre dónde estos requisitos pueden encajar en esfuerzos de planificación más amplios asociados con la nube. Marco de adopción para Azure.

Geodisponibilidad de Cloud for Sovereignty

Una parte clave de la planificación es comprender y evaluar la disponibilidad regional de servicios relacionados con la soberanía. El artículo disponibilidad internacional de Microsoft Cloud for Sovereignty proporciona una descripción general.

Opciones de residencia de datos y la frontera de datos de la UE

La residencia de datos es un requisito regulatorio común para los datos del sector público. Los requisitos de residencia de datos pueden limitar dónde se pueden almacenar y procesar diferentes tipos de datos. Algunas regulaciones también pueden imponer restricciones sobre dónde se pueden transferir los datos. Microsoft Cloud for Sovereignty le permite configurar Sovereign Landing Zones (SLZ) para restringir los servicios y regiones que se pueden usar y aplicar la configuración del servicio para cumplir con los requisitos de residencia de datos. Para obtener más información, consulte Residencia de datos.

Además, el límite de datos de la UE es un límite definido geográficamente dentro del cual Microsoft se ha comprometido a almacenar y procesar datos de clientes para los principales servicios empresariales comerciales en línea, incluidos Azure, Dynamics 365, Power Platform y Microsoft 365. La frontera de datos de la UE proporciona compromisos de residencia de datos más allá de lo que administra Microsoft Cloud for Sovereignty, particularmente en torno a la residencia de datos para servicios no regionales de Azure. Para obtener más información, consulte Límite de datos de la UE.

Cartera de directivas y referencia de Cloud for Sovereignty

La cartera de directivas de Sovereign Policy incluye iniciativas de directivas de referencia de soberanía e iniciativas de directivas diseñadas para ayudar a cumplir con las regulaciones de cumplimiento específicas de la región. Estas iniciativas de directivas ayudan a los clientes del sector público en sus esfuerzos por adherirse rápidamente a diversos marcos regulatorios. Estas iniciativas de directivas van acompañadas de documentación y mapeos de control asociados. Para más información, consulte la cartera de directivas.

Ejemplo de arquitectura de referencia (versión preliminar)

Un escenario común para la implementación de SLZ es utilizar los LLM para entablar conversaciones utilizando sus propios datos a través del patrón de generación aumentada de recuperación (RAG). Este patrón le permite aprovechar las capacidades de razonamiento de los LLM y generar respuestas basadas en sus datos específicos sin necesidad de ajustar el modelo. Facilita la integración perfecta de los LLM en sus soluciones o procesos de negocio existentes. Explore cómo se pueden aplicar estas tecnologías dentro de las zonas de aterrizaje soberanas, al mismo tiempo que tiene en cuenta importantes barreras de seguridad. Para obtener más información, consulte LLM y Azure OpenAI en el patrón de generación aumentada de recuperación (RAG).

Implementar

Durante la etapa de implementación, las organizaciones del sector público pueden acelerar la definición y el despliegue de entornos soberanos utilizando herramientas y directrices Microsoft Cloud for Sovereignty.

Zona de aterrizaje soberano

La Zona de Aterrizaje Soberano (SLZ) es una variante de Zona de aterrizaje Azure (ALZ) que proporciona una infraestructura de nube a escala empresarial centrada en el control operativo de los datos en reposo, en tránsito y en uso. Una SLZ alinea las capacidades de Azure, como la residencia de servicios, las claves administradas por el cliente, los vínculos privados y la informática confidencial para crear una arquitectura en la nube donde los datos y las cargas de trabajo utilizan de forma predeterminada el cifrado y la protección contra amenazas. Puede implementar un SLZ con un único comando de PowerShell y algunos parámetros.

SLZ está disponible en GitHub. Para más información, consulte Información general de la Sovereign Landing Zone.

Plantillas de carga de trabajo

Las plantillas de cargas de trabajo brindan implementaciones automatizadas con calidad de producción, reutilizables, seguras y que cumplen con el diseño para tipos de cargas de trabajo comunes. Una plantilla de carga de trabajo se centra en la implementación configurada correctamente de uno o más servicios de Azure de forma reutilizable. Para más información, consulte Plantillas de carga de trabajo para la Sovereign Landing Zone.

Herramientas de administración del cliente de vida de zona de aterrizaje (versión preliminar)

Microsoft Cloud for Sovereignty proporciona las siguientes herramientas de administración del ciclo de vida de la zona de aterrizaje a través de GitHub:

• Valoración: realiza una evaluación previa a la implementación de los recursos de Azure, como sus ubicaciones y asignaciones de directivas de Azure, en comparación con los procedimientos recomendados establecidos.
• Compilador de directivas: agiliza el proceso de administración de directivas. Analiza sistemáticamente las iniciativas de directivas de su organización examinando los componentes clave.
• Analizador de desfases: supervisa y compara el estado actual del entorno de nube con su configuración de zona de aterrizaje original prevista. Identifica desviaciones o cambios críticos.

Para obtener más información, consulte Herramientas de administración del ciclo de vida de las zonas de aterrizaje.

Barreras de seguridad soberanas en entornos de Dataverse y Power Platform para disfrutar de una mayor soberanía de los datos (versión preliminar)

Puede configurar sus entornos de Dataverse y Power Platform para mejorar la soberanía de datos. Puede usar el Centro de administración de Microsoft Power Platform para la administración centralizada de entornos y configuraciones, incluida la configuración de inquilinos para controlar la creación y administración de entornos. También puede usar controles de acceso específicos para Dataverse y Power Platform para garantizar el cumplimiento de los requisitos de soberanía. Para obtener más información, consulte Configurar sus entornos de Dataverse y Power Platform para lograr una mayor soberanía de los datos y Controles de acceso para Dataverse y Power Platform.

Cifrado y administración de claves

Es crucial implementar la estrategia adecuada de cifrado y gestión de claves para una implementación segura y soberana. Para obtener más información, consulte este artículo.

Azure Confidential Computing

Microsoft Cloud for Sovereignty ayuda a los clientes a configurar y proteger sus datos y recursos de manera que cumplan con sus requisitos regulatorios y de soberanía específicos. Incluye garantizar que las partes fuera del control del cliente, incluido Microsoft, no puedan acceder a los datos del cliente. Junto con la informática confidencial de Azure (ACC), Microsoft Cloud for Sovereignty ofrece a los clientes visibilidad y control sobre todo el acceso a sus cargas de trabajo. ACC mejora la soberanía del cliente al eliminar o reducir el acceso a datos privilegiados para un operador proveedor de nube y otros actores, incluido software como el hipervisor. ACC ayuda a proteger los datos durante todo su ciclo de vida, además de las soluciones existentes, que protegen los datos en reposo y en tránsito. Para obtener más información, consulte Azure Confidential Computing.

Aplicación de ejemplo

Usar un ejemplo de aplicación confidencial de Recursos Humanos (RR. HH.) que garantice y valide que la infraestructura implementada de la zona de aterrizaje soberana (SLZ) satisface las necesidades confidenciales de las cargas de trabajo de los clientes. Para obtener más información, consulte Aplicación confidencial de muestra.

Migrar y modernizarse

Microsoft Cloud for Sovereignty proporciona herramientas y orientación para migrar cargas de trabajo a la nube. Para obtener más información, consulte Información general de las migraciones de cargas de trabajo.

Supervisar y auditar

Además del amplio conjunto de servicios que Microsoft Azure proporciona para supervisar sus cargas de trabajo y mantenerlas seguras, como Azure Monitor y Defender for Cloud, Microsoft Cloud for Sovereignty presenta nuevas capacidades y servicios.

Registros de transparencia (versión preliminar)

Para ganarse la confianza de los clientes soberanos, Microsoft Cloud for Sovereignty proporciona controles de registro y supervisión adicionales que aumentan el nivel de transparencia en las actividades del personal de Microsoft. Como resultado, los clientes tienen visibilidad más allá de las capacidades estándar de la nube pública para ayudar en los requisitos de auditoría y control de acceso.

Los registros de transparencia están disponibles de forma limitada y sujetos a los requisitos de elegibilidad del cliente. Los clientes aprobados reciben un informe mensual para su inquilino que resume los casos en los que a un ingeniero o agente de soporte técnico de Microsoft se le concede acceso temporal a los recursos de Azure del cliente.

Para obtener más información consulte registros de transparencia.

Controles de transparencia en Dataverse y Power Platform (versión preliminar)

También puede establecer controles de transparencia en Dataverse y Power Platform, que son cruciales para cumplir con las políticas soberanas.

Para obtener más información, consulte Controles de transparencia en Dataverse y Power Platform.

Programa de seguridad gubernamental

El Programa de Seguridad Gubernamental (GSP) es un programa existente de Microsoft diseñado para proporcionar a los participantes gubernamentales calificados la información confidencial que necesitan para confiar en los productos y servicios de Microsoft. El programa incluye acceso controlado al código fuente, intercambio de información sobre amenazas y vulnerabilidades, participación en contenido técnico sobre productos y servicios de Microsoft y acceso a Centros de Transparencia. Microsoft Cloud for Sovereignty ha ampliado el programa GSP para cubrir algunos servicios de Azure. Para obtener más información, consulte Programa de seguridad gubernamental.

Consulte también

• ¿Por qué utilizar la nube pública de Microsoft for Sovereignty?
  
• Conceptos de Zona de aterrizaje soberano