Microsoft Cloud for Sovereignty plannen, implementeren en bijhouden
Microsoft Cloud for Sovereignty biedt tools en begeleiding voor IT-professionals en informatiebeveiligingsfunctionarissen gedurende de gehele levenscyclus van de cloudimplementatie. De rest van dit artikel toont mogelijkheden in de context van drie fasen van een implementatielevenscyclus en verwijst naar gedetailleerde artikelen over elk van de artikelen.
- Plannen: uw cloudmigratie plannen.
- Implementeren: een soevereine en compatibele architectuur implementeren.
- Bewaken en controleren: uw gegevens en workloads bewaken en controleren om ze veilig te houden.
Abonnement
Organisaties uit de openbare sector die strikte soevereiniteitseisen stellen, moeten hun soevereiniteitsdoelstellingen opnemen in hun planningsinspanningen. Dit proces zorgt ervoor dat strategische beslissingen over de adoptie van de cloud in lijn zijn met deze soevereiniteitsvereisten.
Soevereiniteitsvereisten
Het Microsoft Cloud Adoption Framework voor Azure is een raamwerk voor de volledige levenscyclus dat mogelijk maakt dat cloudarchitecten, IT-professionals en zakelijke besluitvormers hun doelstellingen voor cloudadoptie bereiken. Het raamwerk biedt best practices, documentatie en tools die helpen bij het creëren en implementeren van bedrijfs- en technologiestrategieën voor de cloud.
U kunt Soevereiniteitsvereisten evalueren lezen om te begrijpen hoe soevereiniteitsvereisten kunnen worden geëvalueerd, geïdentificeerd en gedocumenteerd, en om aanbevelingen te bekijken voor waar deze vereisten kunnen passen in bredere planningsinspanningen die verband houden met het Cloud Adoption Framework voor Azure.
Geografische beschikbaarheid van Cloud for Sovereignty
Een belangrijk onderdeel van de planning is het begrijpen en evalueren van de regionale beschikbaarheid van soevereiniteitsgerelateerde services. Het artikel Internationale beschikbaarheid van Microsoft Cloud for Sovereignty biedt een overzicht.
Opties voor gegevensopslaglocaties en de EU-gegevensgrens
Een geschikte gegevensopslaglocatie is een veel voorkomende wettelijke vereiste voor gegevens in de openbare sector. Met vereisten voor de gegevensopslaglocatie kan worden beperkt waar verschillende soorten gegevens kunnen worden opgeslagen en verwerkt. Sommige regelgeving kan ook beperkingen opleggen aan de plaats waar gegevens kunnen worden overgedragen. Met Microsoft Cloud for Sovereignty kunt u Sovereign-landingszones (SLZ) configureren om de services en regio's die kunnen worden gebruikt te beperken en serviceconfiguratie af te dwingen om aan de vereisten voor de gegevensopslaglocatie te voldoen. Zie Gegevensopslaglocatie voor meer informatie.
Daarnaast is de EU-gegevensgrens een geografisch gedefinieerde grens waarbinnen Microsoft de verplichting is aangegaan klantgegevens op te slaan en te verwerken voor grote onlinediensten voor commerciële ondernemingen, zoals Azure, Dynamics 365, Power Platform en Microsoft 365. De EU-gegevensgrens biedt verplichtingen ten aanzien van de gegevensopslaglocatie die verder gaan dan wat Microsoft Cloud for Sovereignty beheert, met name met betrekking tot de opslaglocatie van gegevens voor niet-regionale Azure-services. Zie EU-gegevensgrens voor meer informatie.
Beleidsportfolio en baseline voor Cloud for Sovereignty
Het beleidsportfolio voor soevereiniteit omvat de beleidsinitiatieven in het kader van de soevereiniteits-baseline en beleidsinitiatieven die zijn ontworpen om u te helpen om te voldoen aan regiospecifieke nalevingsregelgeving. Deze beleidsinitiatieven helpen klanten uit de openbare sector bij hun inspanningen om zich snel aan verschillende regelgevingskaders te houden. Deze beleidsinitiatieven gaan vergezeld van bijbehorende controlemappings en documentatie. Zie beleidsportfolio voor meer informatie.
Voorbeeld van een referentiearchitectuur (preview)
Een veelvoorkomend scenario voor de implementatie van een Sovereign-landingszone (SLZ) is dat er LLM's worden gebruikt om gesprekken aan te gaan met behulp van uw eigen gegevens via het RAG-patroon (Retrieval Augmented Generation). Met dit patroon kunt u het redeneervermogen van LLM's benutten, en antwoorden genereren op basis van uw specifieke gegevens zonder dat u het model hoeft te verfijnen. Het vergemakkelijkt de naadloze integratie van LLM's in uw bestaande bedrijfsproces of oplossingen. Ontdek hoe deze technologieën kunnen worden toegepast binnen Sovereign-landingszones, waarbij ook belangrijke beschermingsmechanismen worden overwogen. Zie LLM's en Azure OpenAI in RAG-patronen (Retrieval Augmented Generation) voor meer informatie.
Implementeren
Tijdens de implementatiefase kunnen organisaties uit de openbare sector de definitie en implementatie van soevereine omgevingen versnellen met behulp van Microsoft Cloud for Sovereignty-tools en -richtlijnen.
Sovereign-landingszone
De Sovereign-landingszone (SLZ) is een variant van de Azure-landingszone (ALZ) die een cloudinfrastructuur op ondernemingsniveau biedt, gericht op operationele controle over gegevens in rust, onderweg en in gebruik. Een SLZ brengt Azure-mogelijkheden, zoals serviceresidentie, door de klant beheerde sleutels, privékoppelingen en confidential computing, op één lijn om een cloudarchitectuur te creëren waarin gegevens en workloads standaard zijn ingesteld op versleuteling en bescherming tegen bedreigingen. U kunt een SLZ implementeren met één PowerShell-opdracht en een paar parameters.
SLZ is beschikbaar via GitHub. Zie Overzicht van de Sovereign-landingszone voor meer informatie.
Workloadsjablonen
Workloadsjablonen bieden herbruikbare, veilige en geautomatiseerde implementaties van productiekwaliteit voor veelvoorkomende typen workloads. Een workloadsjabloon richt zich op de goed geconfigureerde implementatie van een of meer Azure-services op een herbruikbare manier. Zie Workloadsjablonen voor Sovereign-landingszone voor meer informatie.
Tools voor het levenscyclusbeheer van landingszones (preview)
Microsoft Cloud for Sovereignty biedt de volgende tools voor het levenscyclusbeheer van landingszones via GitHub:
- Evaluatie: met deze tool wordt voorafgaande aan de implementatie een evaluatie van Azure-resources uitgevoerd, waarbij bijvoorbeeld hun locaties en de Azure-beleidstoewijzingen worden getoetst aan bewezen best practices.
- Policy Compiler: met deze tool wordt het beleidsbeheerproces gestroomlijnd. Deze compiler analyseert systematisch de beleidsinitiatieven van uw organisatie door de belangrijkste componenten te onderzoeken.
- Drift Analyzer: met deze tool wordt de huidige status van de cloudomgeving bewaakt en vergeleken met de oorspronkelijk beoogde configuratie van de landingszone. Deze tool identificeert kritische afwijkingen of veranderingen.
Zie Tools voor het beheer van de levenscyclus van landingszones voor meer informatie.
Beschermingsmechanismen voor soevereiniteit binnen Dataverse- en Power Platform-omgevingen voor meer gegevenssoevereiniteit (preview)
U kunt Dataverse- en Power Platform-omgevingen configureren voor betere gegevenssoevereiniteit. U kunt gebruikmaken van het Microsoft Power Platform-beheercentrum voor gecentraliseerd beheer van omgevingen en instellingen, inclusief tenantinstellingen voor het controleren van het maken en beheren van omgevingen. U kunt ook specifieke toegangscontroles gebruiken voor Dataverse en Power Platform om naleving van de soevereiniteitsvereisten te garanderen. Zie Uw Dataverse- en Power Platform-omgeving configureren voor meer gegevenssoevereiniteit voor meer informatie.
Versleuteling en sleutelbeheer
Het is van cruciaal belang om de juiste strategie voor versleuteling en sleutelbeheer te implementeren voor een veilige en soevereine implementatie. Zie dit artikel voor meer informatie.
Confidential computing in Azure
Microsoft Cloud for Sovereignty helpt klanten hun gegevens en resources te configureren en te beschermen op een manier die hen helpt te voldoen aan hun specifieke vereisten op het gebied van regelgeving en soevereiniteit. Het houdt onder meer in dat ervoor wordt gezorgd dat partijen buiten de controle van de klant, waaronder Microsoft, geen toegang krijgen tot klantgegevens. Samen met confidential computing in Azure (ACC) Microsoft Cloud for Sovereignty biedt het klanten inzicht in en controle over alle toegang tot hun workloads. ACC vergroot de soevereiniteit van de klant door gegevenstoegang met bevoegdheden voor een cloudprovideroperator en andere partijen, inclusief software zoals de hypervisor, te verwijderen of te verminderen. ACC helpt gegevens gedurende de hele levenscyclus te beschermen, als aanvulling op bestaande oplossingen, die gegevens in rust en onderweg beschermen. Zie Confidential computing in Azure voor meer informatie.
Voorbeeldtoepassing
Gebruik een voorbeeld van een HR-toepassing (Human Resources) die werkt met vertrouwelijke gegevens en die ervoor zorgt, en ook garandeert, dat de infrastructuur die door de Sovereign-landingszone (SLZ) is geïmplementeerd, voldoet aan de behoeften van klanten wat betreft de bescherming van workloads die vertrouwelijke gegevens omvatten. Zie Voorbeeldtoepassing die werkt met vertrouwelijke gegevens.
Migreren en moderniseren
Microsoft Cloud for Sovereignty biedt tools en richtlijnen voor het migreren van workloads naar de cloud. Zie het Overzicht van workload-migraties voor meer informatie.
Bewaken en controleren
Naast de uitgebreide reeks services die Microsoft Azure biedt om uw workloads te bewaken en deze veilig te houden, zoals Azure Monitor en Defender for Cloud, introduceert Microsoft Cloud for Sovereignty nieuwe mogelijkheden en services.
Transparantielogboeken (preview)
Om het vertrouwen van soevereine klanten te winnen biedt Microsoft Cloud for Sovereignty extra controles voor logboekregistratie en monitoring waarmee het niveau van transparantie in de personeelsactiviteiten van Microsoft wordt vergroot. Hierdoor hebben klanten zichtbaarheid dat verder gaat dan de standaardmogelijkheden van de openbare cloud om te helpen bij audit- en toegangscontrolevereisten.
Transparantielogboeken zijn op beperkte basis beschikbaar en afhankelijk van de vereisten voor klantgeschiktheid Goedgekeurde klanten ontvangen maandelijks een rapport voor hun tenant met een overzicht van de gevallen waarin een Microsoft-technicus of -ondersteuningsmedewerker tijdelijke toegang krijgt tot de Azure-resources van de klant.
Zie transparantielogboeken voor meer informatie.
Transparantiecontroles in Dataverse en Power Platform (preview)
U kunt ook transparantiecontroles instellen in Dataverse en Power Platform, die van cruciaal belang zijn voor de naleving van het soevereiniteitsbeleid.
Zie Transparantiecontroles in Dataverse en Power Platform voor meer informatie.
Overheidsbeveiligingsprogramma
Het overheidsbeveiligingsprogramma is een bestaand Microsoft-programma dat is ontworpen om gekwalificeerde overheidsdeelnemers te voorzien van de vertrouwelijke informatie die zij nodig hebben om Microsoft-producten en -services te kunnen vertrouwen. Het programma omvat gecontroleerde toegang tot broncode, uitwisseling van informatie over bedreigingen en kwetsbaarheden, betrokkenheid bij technische inhoud over Microsoft-producten en -services en toegang tot transparantiecentra. Microsoft Cloud for Sovereignty heeft het overheidsbeveiligingsprogramma uitgebreid met enkele Azure-services. Zie Overheidsbeveiligingsprogramma voor meer informatie.