Azure ランディング ゾーンの主権に関する考慮事項

  • [アーティクル]

デジタル主権要件を満たしながらクラウド コンピューティングを採用することは複雑であり、組織、業界、地域によって大きく異なる場合があります。 Microsoft Cloud for Sovereignty は、グローバル Azure プラットフォームの力と、主権リスクを軽減するために設計された複数の主権機能を組み合わせて、政府機関の主権のニーズに対応します。

Microsoft Cloud for Sovereignty

Microsoft Cloud for Sovereignty には、さまざまなレイヤーにわたる機能が用意されています。

  • Azure Confidential Computing や Azure Key Vault マネージド ハードウェア セキュリティ モジュール (マネージド HSM) などの高度なソブリン コントロール サービス
  • 成文化されたアーキテクチャ、ワークロード アクセラレータ、ローカライズされた Azure Policy イニシアチブ、ツール、ガイダンスを通じたソブリン ガードレール
  • クラウド オペレーターのアクティビティに対する規制コンプライアンスと透明性
  • Azure パブリック クラウド機能に基づいて構築された機能

Diagram that shows the layers of capabilities of Microsoft Cloud for Sovereignty.

Azure の使用を開始したい主権のニーズを持つ公共部門のお客様は、Microsoft Cloud for Sovereignty の恩恵を受けることができます。 ソブリン ランディング ゾーン (プレビュー) などの、Microsoft Cloud for Sovereignty が提供するツールとガイドラインにより、ソブリン環境の定義とデプロイを高速化できます。

ソブリン ランディング ゾーン

ソブリン ランディング ゾーン (プレビュー) は、Azure ランディング ゾーン アーキテクチャの独自にカスタマイズされたバリエーションで、高度なソブリン コントロールを必要とする組織向けのものです。 ソブリン ランディング ゾーン (プレビュー) は、サービス所在地、カスタマー マネージド キー、Azure Private Link、Confidential Computing などの Azure の機能を調整して、データとワークロードにより既定で暗号化と脅威からの保護が提供されるクラウド アーキテクチャを作成します。

Note

Microsoft Cloud for Sovereignty は、主権のニーズを持つ政府機関向けです。 ソブリン ランディング ゾーン (プレビュー) アーキテクチャの採用の検討は、Microsoft Cloud for Sovereignty 機能が必要かどうかを慎重に検討した後にのみ行う必要があります。

ソブリン ランディング ゾーンの設計領域

Azure ランディング ゾーン アーキテクチャは、8 つの設計領域で構成されています。 各設計領域では、ランディング ゾーンをデプロイする前に考慮すべき要素が説明されています。 次のセクションでは、ソブリン ランディング ゾーン (プレビュー) をデプロイするときに適用される追加の考慮事項について説明します。 Azure ランディング ゾーンのガイダンスに加えて、これらの新しい考慮事項にも留意してください。

リソースの編成

ソブリン ランディング ゾーンは、Azure ランディング ゾーンの概念アーキテクチャのカスタマイズされたバージョンです。 ソブリン ランディング ゾーンは、「Azure ランディング ゾーン アーキテクチャの調整」で説明されているガイダンスに沿っています。

コンフィデンシャル コンピューティングの管理グループ

次の図に示すように、ソブリン ランディング ゾーン アーキテクチャは Azure ランディング ゾーン アーキテクチャに基づいています。

  • "ランディング ゾーン" 管理グループの下に、Confidential corpConfidential online 管理グループが追加されます。
  • 一連の特定のポリシー イニシアチブ (たとえば、 Microsoft Cloud for Sovereignty ポリシー ベースライン) も適用されます。 これらのイニシアチブは、リソースのデプロイ場所、リソースのデプロイの種類、暗号化などの制御を提供します。

Diagram that shows the management groups of a sovereign landing zone.

Microsoft Cloud for Sovereignty ポリシー ベースライン

ソブリン ランディング ゾーン (プレビュー) には、Microsoft Cloud for Sovereignty ポリシー ベースライン イニシアチブがデプロイされています。 その結果、ソブリン ランディング ゾーン (プレビュー) 内に他のポリシー セットをデプロイできます。 ソブリン ランディング ゾーン (プレビュー) の上に追加のポリシーを重ねて配置できます。 たとえば、米国立標準技術研究所 (NIST) 800 171 Revision 2 や Microsoft クラウド セキュリティ ベンチマークなどのコントロール フレームワークに対応する Azure ランディング ゾーン ポリシーとポリシー セットがあります。

Microsoft Cloud for Sovereignty ポリシー ベースラインは、次の要素で構成されます。

  • ワークロードが機密管理グループにデプロイされるときに、コンフィデンシャル コンピューティング リソースの使用を強制するポリシー。 これらのポリシーは、ワークロードが保存中、転送中、使用中に保護されるプラットフォームを作成するのに役立ちます。これにより、信頼チェーンから Microsoft が削除されます。
  • 場所ポリシー。Azure リソースをデプロイできる場所をクラウド管理者に制御を提供します。これも既定でデプロイされます。
  • キー管理。Federal Information Processing Standards (FIPS) 140-2 レベル 3 で検証された HSM によって制御され、ポリシーによって強制されます。

ソブリン ランディング ゾーン (プレビュー) が Azure ランディング ゾーンの上に追加するポリシーと意見により、既定でセキュリティと機密性の向上に偏ったプラットフォームが作成されます。

主権ポリシー ベースライン イニシアチブの詳細については、Microsoft Cloud for Sovereignty ポリシー ポートフォリオのドキュメントを参照してください。

ネットワーク トポロジと接続

ソブリン ランディング ゾーン (プレビュー) は、保存中、転送中、使用中のデータの運用制御に重点を置いています。

ネットワーク トラフィックの暗号化

ネットワーク暗号化のベスト プラクティスについては、「ネットワーク暗号化の要件を定義する」を参照してください。

インターネットの受信および送信接続

Azure ランディング ゾーンのデプロイと同様に、ソブリン ランディング ゾーンのデプロイでは次の機能がサポートされます。

  • 分散型サービス拒否 (DDoS) 保護を有効にするための、Azure Firewall の Premium レベルのパラメーター化されたデプロイ。
  • 中央の Azure Bastion インフラストラクチャのデプロイ。

これらの機能を有効にする前に、「受信と送信のインターネット接続を計画する」にあるインターネットの受信および送信接続のベスト プラクティスをご確認ください。

セキュリティ

ソブリン ランディング ゾーン アーキテクチャでは、機密ランディング ゾーンでコンフィデンシャル コンピューティングを使用します。 以降のセクションでは、Azure Confidential Computing のサポートを提供するサービスについて説明します。

Azure Key Vault マネージド HSM

Key Vault は、コンフィデンシャル コンピューティング リソースをデプロイするために必要なサービスです。 暗号化とキー管理の設計上の考慮事項と推奨事項については、「Azure での暗号化とキー管理」を参照してください。 コンプライアンスの要件に応じて、Azure Key Vault マネージド HSM を選択することが必要になる場合があります。

Azure Attestation

Azure Confidential Computing を使用する場合は、Azure Attestation のゲスト構成証明機能を利用できます。 この機能は、分離や整合性などのセキュリティ機能が有効になっているハードウェア ベースの高信頼実行環境 (TEE) で機密 VM が実行されていることを確認するのに役立ちます。

ゲスト構成証明を有効にする方法の詳細については、「機密 VM のゲスト構成証明とは」を参照してください。

ガバナンス

ほとんどの場合、Microsoft の担当者は操作、サポート、トラブルシューティングを行い、顧客データへのアクセスは必要ありません。 場合によっては、Microsoft のエンジニアは顧客データにアクセスする必要があります。 このようなケースは、お客様が開始したサポート チケットに応じて、または Microsoft が問題を特定したときに発生する可能性があります。

Microsoft Azure 用カスタマー ロックボックス

アクセスが必要なまれな状況では、Microsoft Azure のカスタマー ロックボックスを使用できます。 この機能は、ユーザーが顧客データへのアクセス要求を確認してから、承認または拒否するためのインターフェイスを提供します。

カスタマー ロックボックスを有効にすることを検討してください。 この機能はテナント全体の設定であるため、この機能を有効にするにはグローバル管理者ロールが必要です。 カスタマー ロックボックスのロールベースのアクセス制御を正しく設定する方法の詳細については、「Microsoft Azure 用カスタマー ロックボックス」を参照してください。

プラットフォームの自動化と DevOps

ソブリン ランディング ゾーン (プレビュー) は、GitHub リポジトリとしてお使いいただけます。

展開オプション

ランディング ゾーン全体をデプロイすることも、一度に 1 つのコンポーネントをデプロイすることもできます。 個々のコンポーネントをデプロイするときに、それらを既存のデプロイ ワークフローに統合できます。 デプロイのガイダンスについては、「ソブリン ランディング ゾーン (プレビュー) デプロイの主要コンポーネント」を参照してください。

Note

ソブリン ランディング ゾーン (プレビュー) は、Azure ランディング ゾーンのバリエーションです。 ただし、ソブリン ランディング ゾーンでは、Azure ランディング ゾーン アーキテクチャで使用できるデプロイの選択肢がまだ提供されていません。 ソブリン ランディング ゾーンのデプロイの詳細については、「ソブリン ランディング ゾーン (プレビュー) デプロイの主要コンポーネント」を参照してください。

GitHub リポジトリには、次のソブリン ランディング ゾーン (プレビュー) コンポーネントが含まれています。

  • ブートストラップ: 管理グループ階層を設定し、ソブリン ランディング ゾーン (プレビュー) のアーキテクチャに従ってサブスクリプションを作成します。 これらの要素は、Azure 顧客テナントのテナント ルート グループの下にデプロイされます。

  • プラットフォーム: ソブリン ランディング ゾーン (プレビュー) プラットフォームとワークロードで使用されるハブ ネットワークとログ リソースを設定します。

  • コンプライアンス: 環境に適用される既定のポリシー セットとカスタム ポリシーを作成して割り当てます。

  • ダッシュボード: リソース コンプライアンスを視覚的に表現します。

コンプライアンス ダッシュボード

コンプライアンス ダッシュボードは、ソブリン ランディング ゾーン (プレビュー) のデプロイの一部としてデプロイされます。 このダッシュボードは、要件と現地の法令に照らしてソブリン ランディング ゾーン (プレビュー) を検証するのに役立ちます。 具体的には、ダッシュボードには、次に対するリソースレベルのコンプライアンスに関する分析情報を提供します。

  • ソブリン ランディング ゾーン (プレビュー) と共にデプロイされるベースライン ポリシー。
  • デプロイされているその他のカスタム コンプライアンス。

詳細については、コンプライアンス ダッシュボードのドキュメントを参照してください。