Merencanakan, Melaksanakan, dan Memantau Microsoft Cloud for Sovereignty
Microsoft Cloud for Sovereignty menyediakan alat dan panduan bagi profesional TI dan petugas keamanan informasi di seluruh siklus implementasi cloud. Sisa artikel ini menyajikan kemampuan dalam konteks tiga tahap siklus hidup implementasi dan merujuk pada artikel terperinci di setiap artikel.
- Rencana: Rencanakan migrasi cloud Anda.
- Terapkan: Menerapkan arsitektur yang berdaulat dan patuh.
- Pantau dan audit: Pantau dan audit data dan beban kerja Anda agar tetap aman.
Rencana
Organisasi Sektor Publik yang memiliki persyaratan kedaulatan yang ketat harus memasukkan tujuan kedaulatan mereka ke dalam upaya perencanaan mereka. Proses ini memastikan bahwa keputusan strategis mengenai adopsi cloud selaras dengan persyaratan kedaulatan tersebut.
Persyaratan kedaulatan
Microsoft Cloud Adoption Framework for Azure adalah kerangka kerja siklus hidup lengkap yang memungkinkan arsitek cloud, profesional TI, dan pengambil keputusan bisnis untuk mencapai tujuan adopsi cloud mereka. Kerangka ini memberikan praktik terbaik, dokumentasi, dan alat yang membantu membuat dan menerapkan strategi bisnis dan teknologi untuk cloud.
Anda dapat membaca evaluasi persyaratan kedaulatan untuk memahami cara mengevaluasi, mengidentifikasi, dan mendokumentasikan persyaratan kedaulatan mereka, dan memberikan rekomendasi mengenai kesesuaian persyaratan ini dengan upaya perencanaan mereka yang lebih luas terkait dengan Cloud Adoption Framework untuk Azure.
Ketersediaan geografis Cloud untuk Kedaulatan
Bagian penting dari perencanaan adalah memahami dan mengevaluasi ketersediaan layanan terkait kedaulatan regional. Artikel Ketersediaan internasional Microsoft Cloud for Sovereignty memberikan gambaran umum.
Opsi residensi data dan Batas Data UE
Residensi data adalah persyaratan peraturan umum untuk data sektor publik. Persyaratan residensi data dapat membatasi tempat berbagai jenis data dapat disimpan dan diproses. Beberapa peraturan mungkin juga memberlakukan pembatasan di mana data dapat ditransfer. Microsoft Cloud for Sovereignty memungkinkan Anda mengonfigurasi Sovereign Landing Zones (SLZs) untuk membatasi layanan dan wilayah yang dapat digunakan dan menerapkan konfigurasi layanan untuk memenuhi persyaratan residensi data. Untuk informasi selengkapnya, lihat residensi data.
Selain itu, Batas Data UE adalah batas yang ditentukan secara geografis di mana Microsoft telah berkomitmen untuk menyimpan dan memproses data pelanggan untuk layanan online perusahaan komersial besar, termasuk Azure, Dynamics 365, Power Platform, dan Microsoft 365. Batasan Data UE memberikan komitmen residensi data lebih dari apa pun yang dikelola Microsoft Cloud for Sovereignty, khususnya seputar residensi data untuk layanan Azure nonregional. Untuk informasi lebih lanjut, lihat Batas Data UE.
Portofolio dan dasar kebijakan Cloud for Sovereignty
Portofolio kebijakan Sovereign mencakup inisiatif kebijakan dasar Kedaulatan dan inisiatif kebijakan yang dirancang untuk membantu memenuhi peraturan kepatuhan khusus kawasan. Inisiatif kebijakan ini membantu pelanggan sektor publik dalam upaya mereka untuk mematuhi berbagai kerangka peraturan dengan cepat. Inisiatif kebijakan ini disertai dengan pemetaan dan dokumentasi pengendalian terkait. Untuk informasi selengkapnya, lihat portofolio kebijakan.
Contoh arsitektur referensi (pratinjau)
Skenario umum untuk penyebaran SLZ adalah menggunakan LLM untuk terlibat dalam percakapan menggunakan data Anda sendiri melalui pola Retrieval Augmented Generation (RAG). Pola ini memungkinkan Anda untuk memanfaatkan kemampuan penalaran LLM dan menghasilkan tanggapan berdasarkan data spesifik Anda tanpa memerlukan fine-tuning model. Ini memfasilitasi integrasi LLM yang mulus ke dalam proses atau solusi bisnis Anda yang ada. Jelajahi bagaimana teknologi ini dapat diterapkan di dalam Sovereign Landing Zones, sambil juga mempertimbangkan pagar pembatas yang penting. Untuk informasi selengkapnya, lihat LLM dan Azure OpenAI dalam pola Retrieval Augmented Generation (RAG).
Menerapkan
Selama tahap implementasi, organisasi sektor publik dapat mempercepat definisi dan penerapan lingkungan berdaulat dengan menggunakan alat dan pedoman Microsoft Cloud for Sovereignty.
Sovereign Landing Zone
Sovereign Landing Zone (SLZ) adalah varian dari Azure Landing Zone (ALZ) yang menyediakan infrastruktur cloud skala perusahaan yang berfokus pada kontrol operasional data yang disimpan, dalam transit, dan digunakan. SLZ menyelaraskan kemampuan Azure seperti residensi layanan, kunci yang dikelola pelanggan, tautan privat, dan komputasi rahasia untuk menciptakan arsitektur cloud di mana data dan beban kerja default pada enkripsi dan perlindungan dari ancaman. Anda dapat menyebarkan SLZ dengan satu perintah PowerShell dan beberapa parameter.
SZ tersedia di GitHub. Untuk informasi selengkapnya, lihat ikhtisar Sovereign Landing Zone.
Templat beban kerja
Templat beban kerja menyediakan penerapan otomatis berkualitas produksi, dapat digunakan kembali, aman, dan sesuai desain untuk jenis beban kerja umum. Templat beban kerja berfokus pada penyebaran satu atau beberapa Layanan Azure yang dikonfigurasi dengan benar dengan cara yang dapat digunakan kembali. Untuk informasi selengkapnya, lihat template beban kerja untuk Sovereign Landing Zone.
Alat manajemen siklus hidup zona pendaratan (pratinjau)
Microsoft Cloud for Sovereignty menyediakan alat manajemen siklus hidup zona pendaratan berikut melalui GitHub:
- Penilaian: Melakukan evaluasi prapenyebaran sumber daya Azure, seperti lokasi dan penetapan kebijakan Azure, terhadap praktik terbaik yang ditetapkan.
- Kompiler Kebijakan: Merampingkan proses manajemen kebijakan. Ini secara sistematis menganalisis inisiatif kebijakan organisasi Anda dengan memeriksa komponen-komponen utama.
- Drift Analyzer: Memantau dan membandingkan status lingkungan cloud saat ini dengan konfigurasi zona pendaratan asli yang dimaksudkan. Ini mengidentifikasi penyimpangan atau perubahan kritis.
Untuk informasi selengkapnya, lihat Alat manajemen siklus hidup zona pendaratan.
Sovereign Guardrails di Dataverse dan Power Platform lingkungan untuk kedaulatan data yang lebih besar (pratinjau)
Anda dapat mengonfigurasi Dataverse dan Power Platform lingkungan untuk kedaulatan data yang ditingkatkan. Anda dapat menggunakan Microsoft Power Platform Pusat Admin untuk manajemen lingkungan dan pengaturan terpusat, termasuk pengaturan penyewa untuk mengontrol pembuatan dan pengelolaan lingkungan. Anda juga dapat menggunakan kontrol akses khusus untuk Dataverse dan Power Platform untuk memastikan kepatuhan terhadap persyaratan kedaulatan. Untuk informasi selengkapnya, lihat Mengonfigurasi lingkungan dan Anda Dataverse Power Platform untuk kedaulatan data yang lebih tinggi dan Kontrol akses untuk Dataverse dan Power Platform.
Manajemen kunci dan enkripsi
Sangat penting untuk menerapkan enkripsi yang tepat dan strategi manajemen kunci untuk implementasi yang aman dan berdaulat. Untuk informasi selengkapnya, lihat artikel ini.
Komputasi Rahasia Azure
Microsoft Cloud for Sovereignty membantu pelanggan untuk mengonfigurasi dan melindungi data dan sumber daya mereka dengan cara yang mematuhi persyaratan peraturan dan kedaulatan spesifik mereka. Hal ini termasuk memastikan bahwa pihak di luar kendali pelanggan, termasuk Microsoft, tidak dapat mengakses data pelanggan. Bersama dengan Komputasi Rahasia Azure (ACC), Microsoft Cloud for Sovereignty memberi pelanggan visibilitas dan kontrol atas semua akses ke beban kerja mereka. ACC meningkatkan kedaulatan pelanggan dengan menghapus atau mengurangi akses data istimewa untuk operator penyedia cloud dan aktor lainnya, termasuk perangkat lunak seperti hypervisor. ACC membantu melindungi data sepanjang siklus hidupnya selain solusi yang sudah ada, yang melindungi data saat disimpan dan dalam perjalanan. Untuk informasi lebih lanjut, lihat Komputasi Rahasia Azure.
Contoh aplikasi
Gunakan contoh aplikasi rahasia Sumber Daya Manusia (SDM) yang memastikan dan memvalidasi bahwa infrastruktur yang diterapkan Sovereign Landing Zone (SLZ) melayani kebutuhan rahasia beban kerja pelanggan. Untuk informasi selengkapnya, lihat Aplikasi sampel rahasia.
Migrasi dan modernisasi
Microsoft Cloud for Sovereignty Menyediakan alat dan panduan untuk memigrasikan beban kerja ke cloud. Untuk informasi selengkapnya, lihat Gambaran umum migrasi beban kerja.
Pantau dan Audit
Selain beragam layanan yang disediakan Microsoft Azure untuk memantau beban kerja Anda dan menjaganya tetap aman, seperti Azure Monitor dan Defender untuk Cloud, Microsoft Cloud for Sovereignty memperkenalkan kemampuan dan layanan baru.
Log transparansi (pratinjau)
Untuk mendapatkan kepercayaan dari pelanggan yang berdaulat, Microsoft Cloud for Sovereignty menyediakan kontrol pencatatan dan pemantauan tambahan yang meningkatkan tingkat transparansi dalam aktivitas personel Microsoft. Hasilnya, pelanggan memiliki visibilitas melebihi kemampuan cloud publik standar untuk membantu dalam persyaratan audit dan kontrol akses.
Log transparansi tersedia secara terbatas dan bergantung pada persyaratan kelayakan pelanggan. Pelanggan yang disetujui menerima laporan bulanan untuk penyewa mereka yang merangkum kejadian di mana teknisi atau agen dukungan Microsoft diberikan akses sementara ke sumber daya Azure pelanggan.
Untuk informasi lebih lanjut lihat Log transparansi.
Kontrol transparansi di Dataverse dan Power Platform (pratinjau)
Anda juga dapat mengatur kontrol transparansi di Dataverse dan Power Platform, yang sangat penting untuk mematuhi kebijakan kedaulatan.
Untuk informasi selengkapnya, lihat Kontrol transparansi di Dataverse dan Power Platform.
Program Keamanan Pemerintah
Program Keamanan Pemerintah (GSP) adalah program Microsoft yang sudah ada dan dirancang untuk memberikan informasi rahasia yang dibutuhkan peserta pemerintah yang memenuhi syarat agar dapat memercayai produk dan layanan Microsoft. Program ini mencakup akses terkontrol ke kode sumber, pertukaran informasi ancaman dan kerentanan, keterlibatan pada konten teknis tentang produk dan layanan Microsoft, dan akses ke Pusat Transparansi. Microsoft Cloud for Sovereignty telah memperluas program GSP untuk mencakup beberapa layanan Azure. Untuk informasi lebih lanjut, lihat Program Keamanan pemerintah.