Gegevensresidentie

Gegevenslocatie heeft betrekking op de fysieke locatie waar gegevens worden opgeslagen en verwerkt. Vereisten voor gegevenslocatie zijn een veelvoorkomende zorg voor klanten uit de publieke sector, die Microsoft vaak vragen om de locaties waar verschillende soorten gegevens worden opgeslagen en verwerkt, te beperken. Met Microsoft Cloud for Sovereignty kunnen klanten soevereine landingszones (SLZ) configureren om de services en regio's die eindgebruikers kunnen gebruiken te beperken en serviceconfiguratie af te dwingen om klanten te helpen aan hun behoeften voor gegevenslocatie te voldoen.

Gegevenslocatie in Azure

De meeste Azure-services worden regionaal geïmplementeerd en u kunt opgeven waar klantgegevens worden opgeslagen en verwerkt. Voorbeelden van dergelijke regionale services zijn VM's, opslag en SQL Database. Een regio is onderdeel van een geografie en voor regionale services slaat Microsoft geen klantgegevens op buiten de geselecteerde geografie, behalve in vastgelegde omstandigheden. Ga voor meer informatie naar Gegevenslocatie in Azure en de whitepaper Gegevenslocatie en bescherming van persoonsgegevens inschakelen in Microsoft Azure-regio's.

Zoals gedefinieerd in onze serviceovereenkomsten wordt met Klantgegevens alle gegevens bedoeld, inclusief alle tekst-, audio- , video- of afbeeldingsbestanden en software die aan Microsoft worden geleverd door of namens de klant via het gebruik van onlineservices. Klantgegevens omvatten geen professionele servicegegevens. Voor alle duidelijkheid: klantgegevens omvatten geen informatie die wordt gebruikt om resources in de onlineservices te configureren, zoals technische instellingen en resourcenamen.

Bij bepaalde Azure-services kunt u de regio waar een service zoals Microsoft Entra ID, Azure Monitor of Traffic Manager wordt geïmplementeerd, niet opgeven. Deze services zijn wereldwijd actief om kritieke functionaliteit aan klanten te leveren en worden ook wel niet-regionale services genoemd. Tenzij anders aangegeven zorgen niet-regionale services ervoor dat klantgegevens in elk Microsoft-datacenter binnen de openbare Azure-regio's worden opgeslagen en verwerkt. Zie Gegevenslocatie in Azure voor meer informatie.

Gegevens die tussen Azure-regio's worden overgedragen, blijven op het Wereldwijde netwerk van Microsoft. U kunt virtuele netwerken in Azure configureren om alleen toegang vanuit bedrijfsnetwerken met Azure-netwerkbeveiligingsgroepen en Azure Firewall mogelijk te maken. Verder kunt u de toegang vanaf internet tot specifieke locaties beperken met mogelijkheden zoals Aangepaste Geomatch-regels voor Azure Web Application Firewall (WAF) en Voorwaardelijke toegang - Toegang per locatie blokkeren.

Gegevensresidentie in Microsoft Cloud for Sovereignty

Voor de basislijninitiatieven op het gebied van soevereiniteitsbeleid van Microsoft Cloud for Sovereignty is vereist dat u de Azure-regio's configureert waar resources kunnen worden geïmplementeerd. Voor regionale services bepalen de geconfigureerde regio's de geografieën van die services en de effectieve grens van de gegevenslocatie voor de opslag van klantgegevens.

U kunt SLZ's configureren om het gebruik van bepaalde services te beperken, inclusief niet-regionale services die niet voldoen aan uw specifieke behoeften voor gegevenslocatie.

De basisconfiguratie van de SLZ's omvat netwerkregels die bepalen vanaf welke netwerken uw bronnen toegankelijk zijn.

• Gegevens in een applicatie die in een abonnement zijn geïmplementeerd in de langingszones van de Onderneming of Vertrouwelijke onderneming zijn beperkt tot het netwerk van uw organisatie binnen Azure en verbonden met Azure.
• Gegevens in een applicatie die in een abonnement zijn geïmplementeerd in de landingszones Online of Vertrouwelijk online zijn via internet vanaf elke locatie toegankelijk, als de gebruiker of het systeem dat toegang heeft tot de gegevens over de juiste inloggegevens beschikt en er geen firewall- of voorwaardelijke toegangsregels zijn die de toegang blokkeren.

Zie Overzicht van de soevereine landingszone voor meer informatie.

Gegevenslocatie en tolerantie

De regio's die u configureert als toegestane regio's voor Microsoft Cloud for Sovereignty kunnen van invloed zijn op de tolerantie van de productietaken die u implementeert. Meestal zorgt een minder restrictieve regioselectie voor een grotere tolerantie, omdat u toepassingen over meer en verder uit elkaar liggende regio's kunt distribueren. U kunt versleuteling (in rust, onderweg en in gebruik) beschouwen als een alternatieve controlemaatregel voor regiobeperking, vooral voor toepassingen met hoge beschikbaarheidsvereisten.

De meeste Azure-regio's bestaan ​​uit drie of meer beschikbaarheidszones. Opslag- en computerservices die over meerdere beschikbaarheidszones zijn verspreid zijn bestand tegen lokale rampen die een heel datacenter kunnen treffen. Voor tolerantie bij rampen die een hele regio kunnen treffen, hebben veel Azure-regio's ook een regiopaar binnen dezelfde regio, wat automatisch of door de klant geconfigureerd replicatie tussen regio's voor ondersteunde services mogelijk maakt. Om bepaalde normen voor gegevenslocatie te kunnen behalen, hebben sommige regio's geen regiopaar en zijn klanten verantwoordelijk voor de gegevenstolerantie in het onwaarschijnlijke geval van een storing in de hele regio. Ga voor meer informatie naar Regio's met beschikbaarheidszones zonder regiopaar.

Zie ook

• Gegevenslocatie in Azure
• Wereldwijd Microsoft-netwerk - Azure
• Wat zijn Azure-regio's en beschikbaarheidszones?
• Replicatie tussen regio's in Azure
• Meer informatie over hoe Microsoft klantgegevens categoriseert
• Overzicht van privacy- en gegevensbeheer
• Waar uw gegevens zich bevinden
• Gegevensresidentie en gegevensbescherming inschakelen in Microsoft Azure-regio's
• Gegevensresidentie, gegevenssoevereiniteit en compliance in Microsoft Cloud