Szuverenitási stratégia meghatározása
Ez a cikk bemutatja, hogyan tervezheti meg a szuverenitási stratégiát a felhőszolgáltatások használatakor. Számos geopolitikai régió rendelkezik bizonyos típusú adatok kezelésére vonatkozó szabályozásokkal, például bizalmas adatokkal és kormányzati adatokkal. A szabályozások jellemzően az adattárolással, az adatok feletti ellenőrzéssel és néha a működési függetlenséggel (más néven autarky) kapcsolatos szuverenitási követelményeket érvényesítik.
Amikor a szervezetnek be kell tartania ezeket a szabályozásokat, meg kell határoznia a szuverenitási követelményeknek megfelelő stratégiát. Ha a szervezet a helyszíni szolgáltatásokról a felhőszolgáltatásokra vált, ennek megfelelően módosítania kell a szuverenitási stratégiát.
A szuverenitási stratégia modernizálása
A helyszíni adatközpont esetében Ön a felelős a jellemzően a szuverenitással kapcsolatos legtöbb szempontért, beleértve a következőket:
- Adatközpontok, ahol az adatok tárolása és feldolgozása történik.
- Hozzáférés az adatközpontokhoz és a fizikai infrastruktúrához.
- Hardver és szoftver, beleértve a hardver- és szoftverellátási láncot is.
- Hardvert és szoftvert érvényesítő megbízhatósági folyamatok.
- Olyan infrastruktúra és folyamatok, amelyek katasztrófa vagy geopolitikai esemény esetén biztosítják az üzletmenet folytonosságát.
- Konfigurációk és folyamatok, amelyek meghatározzák, hogy kinek van hozzáférése az adatokhoz és rendszerekhez.
- Olyan eszközök és folyamatok, amelyek az adatokat és rendszereket külső és belső fenyegetések ellen védik.
A felhőszolgáltatások bevezetésekor ezeknek a szempontoknak a felelőssége megosztott felelősségre változik. A megfelelőségi csapat megváltoztatja az általuk használt stratégiát annak megállapítására, hogy teljesülnek-e a szuverenitási követelmények. A megfelelőségi csapat a következőt veszi figyelembe:
A felhőszolgáltatások megfelelősége. Hogyan felelnek meg a felhőszolgáltató szolgáltatásai a szuverenitási és megfelelőségi követelményeknek?
Azoknak a rendszereknek és folyamatoknak a megfelelősége, amelyekért a szervezet felelős. Mely eszközök állnak rendelkezésre a szuverenitási és megfelelőségi követelmények teljesítéséhez, és hogyan használják ezeket az eszközöket?
Előfordulhat, hogy a megfelelőségi csapatnak egy szabályozóval kell együttműködnie, hogy engedélyt kapjon az azonos célokat elérő alternatív módszerek használatára. Bizonyos esetekben előfordulhat, hogy módosítani kell egy szabályozást úgy, hogy további lehetőségeket ad hozzá, vagy módosít egy irányelvet, hogy egy adott megoldást használjon a kívánt eredmény eléréséhez. A szabályozás módosítása hosszadalmas folyamat lehet. Előfordulhat azonban, hogy mentességet kaphat, ha bizonyítani tudja, hogy elérte a rendelet szándékát.
Egy rendelet például korlátozhatja a szervezeteket abban, hogy bizonyos felhőszolgáltatásokat használjanak, mert az elkülönítési követelmények csak olyan hardverelkülönítéssel teljesíthetők, amely általában nem érhető el a felhőben. A kívánt eredmény azonban virtuális elkülönítéssel is beszerezhető. A stratégia részeként meg kell határoznia, hogyan dolgozhat a szabályozókkal és az ellenőrökkel, amikor ezek a lehetséges blokkolók felmerülnek.
A megfelelőségi és a szuverenitási igények kielégítéséről a Microsoft Cloud for Sovereignty című témakörben talál további információt.
Felhőszolgáltatások megfelelősége
A megfelelőségi csapat különböző forrásokkal és módszerekkel ellenőrzi a felhőszolgáltatás megfelelőségét, többek között a következőket:
Szállítói dokumentáció a szolgáltatásaik működéséről és használatukról, például az EGYESÜLT Államok Szövetségi Kockázat- és Engedélyezési Kezelési Programjának (FedRAMP) termékdokumentációja és rendszerbiztonsági tervei.
Független könyvvizsgálói minősítések , amelyek a globális, regionális és iparági megfelelőségi keretrendszereknek való megfelelőséget tanúsítják. További információkért tekintse meg a Microsoft 365, az Azure és más Microsoft-szolgáltatások megfelelőségi ajánlatait.
A független auditorok által létrehozott auditjelentések betekintést nyújtanak abba, hogy a felhőszolgáltatások hogyan felelnek meg a globális, regionális és iparági megfelelőségi keretrendszerek követelményeinek. Egyes naplózási jelentések elérhetők a Szolgáltatásmegbízhatósági portálon.
A megfelelőségi csapat által vagy nevében, szállítói auditajánlatokon keresztül végrehajtott auditok , például a Kormányzati biztonsági program (csak az ügyfelek kiválasztásához érhető el).
Átláthatósági naplók, amelyek részletesen ismertetik , hogy a Microsoft mérnökei mikor férnek hozzá az erőforrásokhoz.
A megfelelőségi csapat által használt források és módszerek kombinációja a szükséges megállapítások szintjétől, a különböző lehetőségekben való megbízhatóságtól, valamint az erőforrásoktól és a költségvetéstől függ. A harmadik féltől származó auditori minősítés szükségtelenné teszi, hogy a csapat auditálást végezzen, és kevesebb költséggel kelljen számolnia, de a könyvvizsgáló és a naplózási folyamat iránti bizalomra van szükség.
A rendszerek és folyamatok megfelelősége
A szervezet megfelelőségi folyamatai és rendszerei kihasználhatják a felhőszolgáltatások hozzáadott képességeit. Ezeket a képességeket a következőkre használhatja:
Műszaki szabályzatok kikényszerítése vagy jelentése. Letilthatja például a szolgáltatások vagy konfigurációk üzembe helyezését, vagy olyan szabálysértésekről szóló jelentést, amelyek nem felelnek meg a szuverenitás és a megfelelőség technikai követelményeinek.
Olyan előre elkészített szabályzatdefiníciókat használjon, amelyek igazodnak az adott megfelelőségi keretrendszerekhez.
Naplózza és monitorozza az auditokat.
Használjon biztonsági eszközöket. További információ: Biztonsági stratégia definiálása.
Műszaki megbízhatósági és monitorozási képességek, például az Azure bizalmas számítástechnika elvégzése.
Gondosan gondolja át ezeket a képességeket a szervezet környezetéhez és az egyes számítási feladatokhoz. Minden képességnél vegye figyelembe a szükséges munkamennyiséget, az alkalmazhatóságot és a függvényt. A szabályzatkényszerítés például egy viszonylag egyszerű módszer, amely támogatja a megfelelőséget, de korlátozhatja, hogy mely szolgáltatásokat használhatja, és hogyan használhatja őket. Ehhez képest a technikai garancia jelentős erőfeszítést igényel, és szigorúbb, mert csak néhány szolgáltatáshoz érhető el. Emellett jelentős mennyiségű tudást igényel.
Közös felelősség elfogadása
A felhőszolgáltatások bevezetésekor közös felelősségi modellt vezet be. Határozza meg, hogy mely feladatok tartoznak a felhőszolgáltatóhoz, és melyek maradnak Önnél. Ismerje meg, hogy ezek a változások hogyan befolyásolják a szabályozások szuverenitási követelményeit. További információkért tekintse meg a felhőszolgáltatások megfelelőségével kapcsolatos erőforrásokat. A magas szintű nézethez vegye figyelembe a következő erőforrásokat:
Az Azure-infrastruktúra biztonsága azt ismerteti, hogy a Microsoft hogyan biztosít védelmet a fizikai infrastruktúra számára.
Az Azure platform integritása és biztonsága azt ismerteti, hogy a Microsoft hogyan nyújt védelmet a platformot fenyegető fenyegetések és a műszaki biztosítási folyamatok ellen.
Az Azure-beli adattárolás az adattárolási funkciókat ismerteti. Az Európai Unióban (EU) lévő ügyfelek számára lásd: Microsoft EU Data Boundary.
A felhőszolgáltató részben a platform rugalmasságán keresztül biztosítja az üzletmenet folytonosságát a felhőt üzemeltető kritikus rendszerek folytonosságának biztosításával. A számítási feladatok által használt szolgáltatások folytonossági lehetőségeket biztosítanak, amelyekkel létrehozhatja a számítási feladatokat. Vagy használhat más szolgáltatásokat is, például az Azure Backupot vagy az Azure Site Recoveryt. További információkért tekintse meg az Azure megbízhatósági dokumentációját.
A felhőszolgáltató feladata a felhőplatformhoz való hozzáférés biztosítása belső és külső fenyegetésektől egyaránt. Az ügyfelek feladata, hogy rendszereiket identitás- és hozzáférés-kezeléssel, titkosítással és egyéb biztonsági intézkedésekkel konfigurálják adataik védelmére. További információ: Biztonsági stratégia definiálása.
Besorolások használata az adatok megkülönböztetéséhez
A különböző típusú adatok és számítási feladatok eltérő szuverenitási követelményekkel rendelkezhetnek, olyan tényezőktől függően, mint például az adatok bizalmassága és az adatok bizalmassági adatai. Fontos tisztában lenni azzal, hogy mely adatbesorolások vonatkoznak a szervezetre, és hogy mely adatokra és rendszerekre vonatkoznak a besorolások. Egyes adatokra és alkalmazásokra több szabályozás vonatkozik, ami szükségessé teheti a kombinált követelményeket. Előfordulhat például, hogy egy rendelet az adatok bizalmasságával és a rendszer kritikusságával kapcsolatos. Az eredményként kapott besorolások lehetnek magas bizalmasság, alacsony kritikusság, közepesen bizalmas és magas kritikusság.
Ha megfelel a szuverenitási követelményeknek, az más tényezőkre is hatással lehet, például a költségekre, a rugalmasságra, a méretezhetőségre, a biztonságra és a szolgáltatásgazdagságra. A szuverenitási stratégia esetében fontos a megfelelő vezérlők alkalmazása az adatbesorolásra. Az egy méretre illeszkedő megközelítés olyan környezetet eredményez, amely a legmagasabb megfelelőségi követelményeket részesíti előnyben, ami valószínűleg a legköltségesebb és legkevésbé előnyös.
További lépések
A Cloud for Sovereignty betekintést nyújt az Azure-platform szuverén képességeibe, és leírja, hogyan lehet kezelni a szuverenitási követelményeket.
A biztonság és a szuverenitás nem azonos, de nem lehet szuverén, ha nem biztonságos. Ezért olyan biztonsági stratégiát kell meghatároznia, amely integrálható a szuverenitási stratégiával.