Considérations relatives à la souveraineté des zones d’atterrissage Azure

  • Article

Adopter le cloud computing tout en répondant aux exigences de souveraineté numérique est complexe et peut varier considérablement d’une organisation, industrie et zone géographique à l’autre. Microsoft Cloud for Sovereignty répond aux besoins de souveraineté des organisations gouvernementales en combinant la puissance de la plateforme globale Azure avec plusieurs fonctionnalités de souveraineté conçues pour atténuer les risques liés à la souveraineté.

Microsoft Cloud for Sovereignty

Microsoft Cloud for Sovereignty offre des fonctionnalités à travers différentes couches :

  • Services de contrôle souverain avancés tels que l’informatique confidentielle Azure et le HSM managé (module de sécurité managé) Azure Key Vault
  • Garde-fous souverains à travers une architecture codifiée, des accélérateurs de charge de travail, des initiatives Azure Policy localisées, des outils et une aide
  • Conformité réglementaire et transparence des activités de l’opérateur cloud
  • Fonctionnalités basées sur les fonctionnalités du cloud public Azure

Diagram that shows the layers of capabilities of Microsoft Cloud for Sovereignty.

Les clients du secteur public ayant des besoins de souveraineté qui souhaitent commencer à utiliser Azure peuvent bénéficier de Microsoft Cloud for Sovereignty. Les outils et instructions fournis par Microsoft Cloud for Sovereignty, tels que la zone d’atterrissage souveraine (préversion), peuvent accélérer la définition et le déploiement d’un environnement souverain.

Zone d’atterrissage souveraine

La zone d’atterrissage souveraine (préversion) est une variante personnalisée de l’architecture de la zone d’atterrissage Azure destinée aux organisations qui ont besoin de contrôles de souveraineté avancés. La zone d’atterrissage souveraine (préversion) aligne des fonctionnalités Azure telles que la résidence des services, les clés gérées par le client, Azure Private Link et l’informatique confidentielle pour créer une architecture cloud dans laquelle les données et les charges de travail offrent un chiffrement et une protection contre les menaces par défaut.

Remarque

Microsoft Cloud for Sovereignty est destiné aux organisations gouvernementales ayant des besoins de souveraineté. Vous devez soigneusement déterminer si vous avez besoin des fonctionnalités de Microsoft Cloud for Sovereignty, et seulement ensuite envisager d’adopter l’architecture de la zone d’atterrissage souveraine (préversion).

Domaines de conception des zones d’atterrissage souveraines

L’architecture de la zone d’atterrissage Azure se compose de huit domaines de conception. Chaque domaine de conception décrit les facteurs à prendre en compte avant de déployer une zone d’atterrissage. Les sections suivantes décrivent les considérations supplémentaires qui s’appliquent lorsque vous déployez la zone d’atterrissage souveraine (préversion). Parallèlement à l’aide sur la zone d’atterrissage Azure, gardez également ces nouvelles considérations à l’esprit.

Organisation des ressources

La zone d’atterrissage souveraine est une version personnalisée de l’architecture conceptuelle de la zone d’atterrissage Azure. La zone d’atterrissage souveraine s’aligne sur l’aide décrite dans Personnaliser l’architecture de la zone d’atterrissage Azure.

Groupe d’administration de l’informatique confidentielle

Comme le montre le diagramme suivant, l’architecture de la zone d’atterrissage souveraine repose sur l’architecture de la zone d’atterrissage Azure :

  • Sous le groupe d’administration Zones d’atterrissage, les groupes d’administration Confidentiels corp et Confidentiels en ligne sont ajoutés.
  • Un ensemble d’initiatives stratégiques spécifiques, par exemple, une ligne de base de la stratégie Microsoft Cloud for Sovereignty, est également appliquée. Ces initiatives offrent des contrôles tels que l’emplacement du déploiement de ressources, des types de déploiement de ressources et un chiffrement.

Diagram that shows the management groups of a sovereign landing zone.

Ligne de base de la stratégie Microsoft Cloud for Sovereignty

La zone d’atterrissage souveraine (préversion) est fournie avec les initiatives de ligne de base de la stratégie Microsoft Cloud for Sovereignty déployées. Par conséquent, vous pouvez déployer d’autres ensembles de stratégies dans la zone d’atterrissage souveraine (préversion). Vous pouvez calquer des stratégies supplémentaires sur la zone d’atterrissage souveraine (préversion). Les exemples incluent des stratégies et des ensembles de stratégies de zone d’atterrissage Azure qui traitent des infrastructures de contrôle telles que le NIST (National Institute of Standards and Technology) 800 171 Révision 2 et Microsoft Cloud Security Benchmark.

La ligne de base de la stratégie Microsoft Cloud for Sovereignty se compose comme suit :

  • Stratégies pour appliquer l’utilisation de ressources informatiques confidentielles lorsque des charges de travail sont déployées dans les groupes d’administration confidentiels. Ces stratégies permettent de créer une plateforme dans laquelle les charges de travail sont protégées au repos, en transit et lors de l’utilisation, ce qui supprime Microsoft de la chaîne d’approbation.
  • Stratégies d’emplacement, qui sont également déployées par défaut pour fournir un contrôle administrateur cloud sur l’emplacement où les ressources Azure peuvent être déployées.
  • Gestion des clés, contrôlée par les normes FIPS (Federal Information Processing Standard) 140-2 de niveau 3 validées par HSM et appliquées par la stratégie.

Les stratégies et opinions que la zone d’atterrissage souveraine (préversion) ajoute sur la zone d’atterrissage Azure créent une plateforme qui est orientée vers une sécurité et une confidentialité accrues par défaut.

Pour plus d’informations sur les initiatives de ligne de base de la stratégie de souveraineté, consultez la documentation Portefeuille de stratégies Microsoft Cloud for Sovereignty.

Topologie et connectivité du réseau

La zone d’atterrissage souveraine (préversion) se focalise sur le contrôle opérationnel des données au repos, en transit et en cours d’utilisation.

Chiffrement du trafic

Pour connaître les meilleures pratiques en matière de chiffrement réseau, consultez Définir les exigences de chiffrement réseau.

Connectivité entrante et sortante Internet

Comme pour les déploiements de zones d’atterrissage Azure, le déploiement d’une zone d’atterrissage souveraine prend en charge :

  • Le déploiement paramétrisé du niveau Premium du pare-feu Azure pour activer la protection contre le déni de service distribué (DDoS).
  • Le déploiement d’une infrastructure Azure Bastion centrale.

Avant d’activer ces fonctionnalités, consultez les meilleures pratiques de connectivité entrante et sortante Internet dans Planifier la connectivité Internet entrante et sortante.

Sécurité

L’architecture de la zone d’atterrissage souveraine utilise l’informatique confidentielle dans les zones d’atterrissage confidentielles. Les sections suivantes décrivent les services qui prennent en charge l’informatique confidentielle Azure.

HSM géré par Azure Key Vault

Key Vault est un service nécessaire au déploiement des ressources informatiques confidentielles. Pour obtenir des considérations et recommandations de conception, consultez Chiffrement et la gestion des clés dans Azure. Vous devrez peut-être choisir Azure Key Vault Managed HSM pour des exigences de conformité.

Azure Attestation

Si vous utilisez l’informatique confidentielle Azure, vous pouvez tirer parti de la fonctionnalité d’attestation d’invité d’Azure Attestation. Cette fonctionnalité vous permet de confirmer qu’une machine virtuelle confidentielle s’exécute dans un TEE (environnement d’exécution approuvé) matériel sur lequel sont activées des fonctionnalités de sécurité telles que l’isolation et l’intégrité.

Pour plus d’informations sur l’activation de l’attestation d’invité, consultez Qu’est-ce que l’attestation d’invité pour les machines virtuelles confidentielles ?.

Gouvernance

Dans la plupart des cas, le personnel Microsoft exécute les opérations, le support et la résolution des problèmes sans qu’aucun accès aux données client ne soit requis. Parfois, un ingénieur Microsoft doit accéder aux données client. Ces cas peuvent se présenter en réponse aux tickets de support initiés par un client ou lorsque Microsoft identifie un problème.

Customer Lockbox pour Microsoft Azure

Dans les rares cas où un accès est requis, vous pouvez utiliser Customer Lockbox pour Microsoft Azure. Cette fonctionnalité fournit une interface que vous pouvez utiliser pour évaluer des demandes d’accès aux données client, puis les approuver ou les rejeter.

Envisagez d’activer Customer Lockbox. Vous devez disposer d’un rôle d’administrateur général pour activer cette fonctionnalité, car il s’agit d’un paramètre à l’échelle du locataire. Pour plus d’informations sur la façon de configurer correctement le contrôle d’accès en fonction du rôle de Customer Lockbox, consultez Customer Lockbox pour Microsoft Azure.

Automatisation de plateforme et DevOps

La zone d’atterrissage souveraine (préversion) est disponible en tant que référentiel GitHub.

Options de déploiement

Vous pouvez déployer l’ensemble de la zone d’atterrissage ou déployer un composant à la fois. Lorsque vous déployez des composants individuels, vous pouvez les intégrer à votre workflow de déploiement existant. Pour obtenir une aide sur le déploiement, consultez Composants clés du déploiement en préversion de la zone d’atterrissage souveraine.

Remarque

La zone d’atterrissage souveraine est une variante de la zone d’atterrissage Azure. Mais la zone d’atterrissage souveraine n’offre pas encore tous les choix de déploiement disponibles dans l’architecture de la zone d’atterrissage Azure. Pour plus d’informations sur le déploiement d’une zone d’atterrissage souveraine, consultez Composants clés du déploiement en préversion de la zone d’atterrissage souveraine.

Le référentiel GitHub inclut les composants de zone d’atterrissage souveraine (préversion) suivants :

  • Démarrage : configure la hiérarchie du groupe d’administration et crée les abonnements comme indiqué par l’architecture de la zone d’atterrissage souveraine (préversion). Ces éléments sont déployés sous le groupe racine du locataire du locataire client Azure.

  • Plateforme : configure le réseau hub et les ressources de journalisation utilisées par la plateforme et les charges de travail de la zone d’atterrissage souveraine (préversion).

  • Conformité : crée et attribue des ensembles de stratégies par défaut et les stratégies personnalisées appliquées dans l’environnement.

  • Tableau de bord : fournit une représentation visuelle de la conformité de vos ressources.

Tableau de bord de conformité

Un tableau de bord de conformité est déployé dans le cadre du déploiement d’une zone d’atterrissage souveraine (préversion). Ce tableau de bord vous permet de valider la zone d’atterrissage souveraine (préversion) en fonction de vos exigences et des lois et réglementations locales. Plus précisément, le tableau de bord vous donne un aperçu de la conformité au niveau des ressources en fonction des éléments suivants :

  • Stratégies de base déployées avec la zone d’atterrissage souveraine (préversion).
  • Autre conformité personnalisée déployée.

Pour plus d’informations, consultez la Documentation du tableau de bord de conformité.