Portefeuille de stratégies de Microsoft Cloud for Sovereignty
Azure propose une gamme d’initiatives intégrées qui s’alignent sur divers cadres de conformité réglementaire et normes du secteur. Ces initiatives couvrent des aspects critiques tels que la protection des données, la sécurité du réseau et les contrôles d’accès. En appliquant des configurations et des contrôles robustes, vous pouvez améliorer la position de souveraineté et de sécurité des ressources Azure de votre organisation et protéger les données sensibles contre tout accès non autorisé.
Microsoft Cloud for Sovereignty étend les initiatives intégrées Azure existantes en ajoutant régulièrement d’autres initiatives.
Initiatives de stratégie intégrées Azure
Les initiatives de stratégie intégrées à Azure constituent un ensemble d’outils puissants qui permettent un contrôle centralisé sur les ressources Azure et l’application de configurations spécifiques. Ces initiatives comprennent un ensemble de définitions de stratégies et assurent la conformité avec divers cadres réglementaires, normes industrielles et meilleures pratiques de sécurité.
Les initiatives offrent une approche rationalisée et automatisée de la gouvernance, ce qui permet aux organisations de gérer et de surveiller la conformité à grande échelle. Pour plus d’informations sur les initiatives de stratégie, consultez Qu’est-ce que Azure Policy ?.
Initiatives de stratégie de Microsoft Cloud for Sovereignty
Les initiatives et les mappages de conformité de Microsoft Cloud for Sovereignty, qui étendent les initiatives intégrées Azure, vous aident à automatiser l’application de stratégies et à promouvoir un cadre de gouvernance robuste qui réduit le risque de non-conformité. En outre, les initiatives renforcent également les mesures de protection des données. Les organisations peuvent utiliser la vaste suite d’initiatives intégrées de conformité réglementaire disponibles tout en continuant à développer d’autres cadres.
Initiatives en matière de stratégie de conformité réglementaire
Microsoft Cloud for Sovereignty conserve plusieurs initiatives en matière de stratégie de conformité réglementaire.
L’une de ces initiatives en matière de stratégies vise à soutenir les exigences techniques spécifiques au cloud dans le cadre de la base de référence gouvernementale en matière de sécurité des informations (Baseline informatiebeveiliging Overheid ou BIO en néerlandais), le cadre de normes fondamental pour sécurité de l’information à tous les niveaux du gouvernement néerlandais (gouvernement central, municipalités, provinces et services des eaux). Pour plus d’informations sur l’initiative thématique du cloud BIO, consultez azure-policy/built-in-policies/policySetDefinitions.
Microsoft Cloud for Sovereignty a récemment publié deux initiatives en matière de stratégies intégrées supplémentaires en matière de conformité réglementaire ; les Stratégies Microsoft Cloud for Sovereignty globales de base et les Stratégies Microsoft Cloud for Sovereignty confidentielles de base.
Initiatives de référence de stratégie de souveraineté
Les initiatives en matière de stratégies Microsoft Cloud for Sovereignty sont principalement conçues pour aider à démontrer la conformité à un cadre de contrôle de sécurité spécifique. Cependant, les initiatives de référence de stratégie de souveraineté sont un ensemble spécial d’initiatives Azure Policy intégrées, destinées à compléter les cadres avec des contrôles de souveraineté.
Les contrôles de souveraineté permettent une utilisation appropriée des Offres d’informatique confidentielle Azure qui fournissent des barrières de protection des données au-delà de ce que les cadres de contrôle de sécurité existants exigent normalement, d’une manière facile à adopter pour les organisations.
Les initiatives en matière de stratégie de base de souveraineté fournissent aux organisations une méthode simple pour configurer plusieurs stratégies Azure d’une manière qui répond à un ou plusieurs des objectifs de contrôle de souveraineté, répertoriés comme suit :
- Les données des clients doivent être entièrement stockées et traitées dans des centres de données résidant dans des régions géopolitiques approuvées en fonction des exigences définies par le client.
- Les clients doivent approuver l’accès aux données des clients par les opérateurs de services cloud et gérés.
- Les données sensibles du client définies par le client ne doivent être accessibles que de manière chiffrée pour les opérateurs de services cloud et gérés.
- Le client doit avoir un contrôle exclusif sur le choix des identités pouvant accéder aux clés utilisées pour déchiffrer les données sensibles définies par le client.
Ces objectifs de contrôle sont les pratiques recommandées par Azure pour répondre aux préoccupations sur la souveraineté des données en prenant en charge l’utilisation et les configurations appropriées au sein de diverses offres Azure qui stockent ou traitent les données des clients. Si vous estimez qu’il est nécessaire d’inclure d’autres objectifs de contrôle dans la référence, vous pouvez créer une demande de fonctionnalité.
Les initiatives de référence de stratégie de souveraineté sont préinstallées avec la Zone d’atterrrisage souveraine ou peuvent être déployées dans n’importe quel locataire Azure en tant que Azure Policy intégrée.
Les initiatives de référence de stratégie de souveraineté ne remplacent pas les initiatives de conformité réglementaire intégrées ni ne sont associées directement à l’un des cadres. Les organisations doivent continuer à utiliser leurs initiatives existantes pour démontrer leur conformité avec tous les cadres réglementaires appropriés.
Pour plus d’informations sur la manière dont Microsoft voit la souveraineté des données, consultez nos livres blancs.
Initiatives en matière de stratégies personnalisées
Microsoft Cloud for Sovereignty rend plusieurs initiatives de stratégies personnalisées et mappages de conformité accessibles via le Portefeuille de stratégies Cloud for Sovereignty sur GitHub. Les initiatives en matière de stratégies Microsoft Cloud for Sovereignty aident à personnaliser les déploiements pour réduire le temps et la complexité nécessaires pour auditer les environnements et aident à respecter les cadres de conformité réglementaire établis et les exigences gouvernementales.
Les initiatives personnalisées actuelles se concentrent sur :
La Stratégie italienne du cloud, qui contient les orientations stratégiques pour la migration vers le cloud des données et des services numériques de l’administration publique italienne, l’Agence nationale de cybersécurité (ACN) a publié un ensemble des exigences pour la qualification des services cloud et des infrastructures de services cloud. Les initiatives de stratégie et les fichiers contenus dans ce référentiel sont destinés à servir de point de départ. Ces fichiers ne sont pas destinés à être des solutions finales ou complètes, mais plutôt une ressource utile pour dynamiser vos efforts.
Une initiative en matière de stratégie Azure personnalisée et un mappage de contrôle qui aident les clients à respecter les directives définies par le cadre de contrôle de cybersécurité Cloud Controls Matrix (CCM) v4 de la Cloud Security Alliance (CSA) pour le cloud computing.
Pour faciliter le déploiement d’initiatives de stratégie personnalisées, consultez le script New-PolicySets.ps1 sur GitHub. De plus, vous pouvez utiliser les Fonctionnalités de Microsoft Defender for Cloud pour des initiatives personnalisées.
Important
Les organisations ont l’entière responsabilité de garantir leur propre conformité à toutes les lois et réglementations applicables. Les informations fournies dans ce document ne constituent pas un avis juridique, et les organisations doivent consulter leurs conseillers juridiques pour toute question concernant la conformité réglementaire.