Share via

Zagadnienia dotyczące niezależności stref docelowych platformy Azure

  • Artykuł

Wdrażanie przetwarzania w chmurze przy jednoczesnym spełnieniu wymagań dotyczących niezależności cyfrowej jest złożone i może się znacznie różnić między organizacjami, branżami i lokalizacjami geograficznymi. Chmura firmy Microsoft dla suwerenności odpowiada potrzebom organizacji rządowych, łącząc możliwości globalnej platformy Azure z kilkoma możliwościami suwerenności, które mają pomóc w ograniczeniu ryzyka suwerenności.

Microsoft Cloud for Sovereignty

Usługa Microsoft Cloud for Sovereignty oferuje możliwości w różnych warstwach:

  • Zaawansowane usługi suwerennej kontroli, takie jak poufne przetwarzanie platformy Azure i zarządzany sprzętowy moduł zabezpieczeń usługi Azure Key Vault (zarządzany moduł HSM)
  • Suwerenne zabezpieczenia dzięki skodyfikowanej architekturze, akceleratorom obciążeń, zlokalizowanym inicjatywom, narzędziom i wskazówkom usługi Azure Policy
  • Zgodność z przepisami i przejrzystość działań operatora chmury
  • Funkcje oparte na możliwościach chmury publicznej platformy Azure

Diagram that shows the layers of capabilities of Microsoft Cloud for Sovereignty.

Klienci sektora publicznego z potrzebami niezależności, którzy chcą zacząć korzystać z platformy Azure, mogą korzystać z chmury microsoft Cloud for Sovereignty. Narzędzia i wytyczne zapewniane przez usługę Microsoft Cloud for Sovereignty, takie jak suwerenna strefa docelowa (wersja zapoznawcza), mogą przyspieszyć definiowanie i wdrażanie suwerennego środowiska.

Suwerenna strefa docelowa

Suwerenna strefa docelowa (wersja zapoznawcza) to dostosowany wariant architektury strefy docelowej platformy Azure przeznaczony dla organizacji wymagających zaawansowanych mechanizmów kontroli suwerenności. Suwerenna strefa docelowa (wersja zapoznawcza) jest zgodna z możliwościami platformy Azure, takimi jak rezydencja usługi, klucze zarządzane przez klienta, usługa Azure Private Link i poufne przetwarzanie w celu utworzenia architektury chmury, w której dane i obciążenia domyślnie oferują szyfrowanie i ochronę przed zagrożeniami.

Uwaga

Chmura firmy Microsoft dla suwerenności jest ukierunkowana na organizacje rządowe z potrzebami suwerenności. Należy dokładnie rozważyć, czy potrzebujesz możliwości suwerenności chmury firmy Microsoft, a dopiero potem rozważ wdrożenie suwerennej architektury strefy docelowej (wersja zapoznawcza).

Obszary projektowe suwerennej strefy docelowej

Architektura strefy docelowej platformy Azure składa się z ośmiu obszarów projektowych. W każdym obszarze projektowania opisano czynniki, które należy wziąć pod uwagę przed wdrożeniem strefy docelowej. W poniższych sekcjach opisano dodatkowe zagadnienia, które mają zastosowanie podczas wdrażania suwerennej strefy docelowej (wersja zapoznawcza). Oprócz wskazówek dotyczących strefy docelowej platformy Azure należy również pamiętać o tych nowych zagadnieniach.

Organizacja zasobów

Suwerenna strefa docelowa jest dostosowaną wersją architektury koncepcyjnej strefy docelowej platformy Azure. Suwerenna strefa docelowa jest zgodna ze wskazówkami opisanymi w temacie Dostosowywanie architektury strefy docelowej platformy Azure.

Grupy zarządzania na potrzeby poufnego przetwarzania

Jak pokazano na poniższym diagramie, architektura suwerennej strefy docelowej opiera się na architekturze strefy docelowej platformy Azure:

  • W grupie zarządzania Strefami docelowymi są dodawane poufne grupy zarządzania w trybie online i poufne.
  • Stosowany jest również zestaw konkretnych inicjatyw zasad, na przykład punkt odniesienia zasad chmury firmy Microsoft dla suwerenności. Te inicjatywy oferują mechanizmy kontroli, takie jak lokalizacja wdrożenia zasobów, typy wdrożeń zasobów i szyfrowanie.

Diagram that shows the management groups of a sovereign landing zone.

Punkt odniesienia zasad chmury dla suwerenności firmy Microsoft

Suwerenna strefa docelowa (wersja zapoznawcza) jest dostarczana z wdrożonych inicjatyw bazowych zasad chmury dla suwerenności firmy Microsoft. W związku z tym można wdrożyć inne zestawy zasad w suwerennej strefie docelowej (wersja zapoznawcza). Dodatkowe zasady można warstwować w górnej części suwerennej strefy docelowej (wersja zapoznawcza). Przykłady obejmują zasady i zestawy zasad strefy docelowej platformy Azure, które dotyczą struktur kontroli, takich jak National Institute of Standards and Technology (NIST) 800 171 Revision 2 i Microsoft Cloud Security Benchmark.

Punkt odniesienia zasad chmury suwerennej firmy Microsoft składa się z następujących elementów:

  • Zasady wymuszania korzystania z poufnych zasobów obliczeniowych podczas wdrażania obciążeń w poufnych grupach zarządzania. Te zasady pomagają utworzyć platformę, na której obciążenia są chronione w spoczynku, podczas przesyłania i podczas ich używania, co usuwa firmę Microsoft z łańcucha zaufania.
  • Zasady lokalizacji, które są również wdrażane domyślnie w celu zapewnienia kontroli administratora chmury nad miejscem wdrażania zasobów platformy Azure.
  • Zarządzanie kluczami, które jest kontrolowane przez Federal Information Processing Standard (FIPS) 140-2 poziom-3 zweryfikowane moduły HSM i wymuszane przez zasady.

Zasady i opinie, które suwerenna strefa docelowa (wersja zapoznawcza) dodaje do strefy docelowej platformy Azure, tworzą platformę, która jest domyślnie stronnicza w kierunku zwiększenia bezpieczeństwa i poufności.

Aby uzyskać więcej informacji na temat inicjatywy bazowej zasad suwerenności, zapoznaj się z dokumentacją portfela zasad suwerenności w chmurze firmy Microsoft.

Topologia sieci i łączność

Suwerenna strefa docelowa (wersja zapoznawcza) koncentruje się na operacyjnej kontroli danych magazynowanych, przesyłanych i używanych.

Szyfrowanie ruchu sieciowego

Aby uzyskać najlepsze rozwiązania dotyczące szyfrowania sieci, zobacz Definiowanie wymagań dotyczących szyfrowania sieci.

Łączność przychodząca i wychodząca z Internetu

Podobnie jak w przypadku wdrożeń strefy docelowej platformy Azure, wdrożenie suwerennej strefy docelowej obsługuje:

  • Sparametryzowane wdrożenie warstwy Premium usługi Azure Firewall w celu włączenia ochrony przed rozproszoną odmową usługi (DDoS).
  • Wdrażanie centralnej infrastruktury usługi Azure Bastion.

Zanim włączysz te funkcje, zapoznaj się z najlepszymi rozwiązaniami dotyczącymi łączności przychodzącej i wychodzącej z Internetu w temacie Plan for inbound and outbound internet connectivity (Planowanie przychodzącej i wychodzącej łączności internetowej).

Zabezpieczenia

Suwerenna architektura strefy docelowej korzysta z poufnego przetwarzania w poufnych strefach docelowych. W poniższych sekcjach opisano usługi, które zapewniają obsługę poufnego przetwarzania na platformie Azure.

Zarządzany moduł HSM usługi Azure Key Vault

Usługa Key Vault jest niezbędną usługą do wdrażania poufnych zasobów obliczeniowych. Aby zapoznać się z zagadnieniami i zaleceniami dotyczącymi projektowania, zobacz Szyfrowanie i zarządzanie kluczami na platformie Azure. Może być konieczne wybranie zarządzanego modułu HSM usługi Azure Key Vault, aby spełnić wymagania dotyczące zgodności.

Azure Attestation

Jeśli korzystasz z poufnego przetwarzania na platformie Azure, możesz skorzystać z funkcji zaświadczania gościa w usłudze Azure Attestation. Ta funkcja pomaga potwierdzić, że poufne maszyny wirtualne działają na sprzętowym zaufanym środowisku wykonywania (TEE) z włączonymi funkcjami zabezpieczeń, takimi jak izolacja i integralność.

Aby uzyskać więcej informacji na temat włączania zaświadczania gościa, zobacz Co to jest zaświadczanie gościa dla poufnych maszyn wirtualnych?.

Ład korporacyjny

W większości przypadków pracownicy firmy Microsoft wykonują operacje, pomoc techniczną i rozwiązywanie problemów, a dostęp do danych klientów nie jest wymagany. Czasami inżynier firmy Microsoft musi uzyskiwać dostęp do danych klientów. Te przypadki mogą pojawić się w odpowiedzi na bilety pomocy technicznej inicjowane przez klienta lub gdy firma Microsoft zidentyfikuje problem.

Funkcja Skrytka klienta dla platformy Microsoft Azure

W rzadkich okolicznościach, gdy wymagany jest dostęp, możesz użyć skrytki klienta dla platformy Microsoft Azure. Ta funkcja udostępnia interfejs, którego można użyć do przeglądania, a następnie zatwierdzania lub odrzucania żądań dostępu do danych klientów.

Rozważ włączenie skrytki klienta. Aby włączyć tę funkcję, musisz mieć rolę globalnej Administracja, ponieważ jest to ustawienie dla całej dzierżawy. Aby uzyskać więcej informacji na temat prawidłowego konfigurowania kontroli dostępu opartej na rolach dla blokady klienta, zobacz Blokada klienta dla platformy Microsoft Azure.

Automatyzacja platformy i metodyka DevOps

Suwerenna strefa docelowa (wersja zapoznawcza) jest dostępna jako repozytorium GitHub.

Opcje wdrażania

Możesz wdrożyć całą strefę docelową lub wdrożyć jeden składnik naraz. Podczas wdrażania poszczególnych składników można je zintegrować z istniejącym przepływem pracy wdrażania. Aby uzyskać wskazówki dotyczące wdrażania, zobacz Kluczowe składniki wdrożenia suwerennej strefy docelowej w wersji zapoznawczej.

Uwaga

Suwerenna strefa docelowa (wersja zapoznawcza) jest wariantem strefy docelowej platformy Azure. Jednak suwerenna strefa docelowa nie oferuje jeszcze wszystkich opcji wdrażania dostępnych dla architektury strefy docelowej platformy Azure. Aby uzyskać informacje o wdrażaniu suwerennej strefy docelowej, zobacz Kluczowe składniki wdrożenia suwerennej strefy docelowej w wersji zapoznawczej.

Repozytorium GitHub zawiera następujące składniki suwerennej strefy docelowej (wersja zapoznawcza):

  • Bootstrap: konfiguruje hierarchię grup zarządzania i tworzy subskrypcje zgodnie z architekturą suwerennej strefy docelowej (wersja zapoznawcza). Te elementy są wdrażane w grupie głównej dzierżawy dzierżawy klienta platformy Azure.

  • Platforma: konfiguruje sieć piasty i zasoby rejestrowania, które są używane przez suwerenną platformę i obciążenia strefy docelowej (wersja zapoznawcza).

  • Zgodność: tworzy i przypisuje domyślne zestawy zasad oraz zasady niestandardowe, które są wymuszane w środowisku.

  • Pulpit nawigacyjny: zapewnia wizualną reprezentację zgodności zasobów.

Pulpit nawigacyjny zgodności

Pulpit nawigacyjny zgodności jest wdrażany w ramach wdrożenia suwerennej strefy docelowej (wersja zapoznawcza). Ten pulpit nawigacyjny pomaga zweryfikować suwerenną strefę docelową (wersja zapoznawcza) zgodnie z wymaganiami i lokalnymi przepisami i przepisami. W szczególności pulpit nawigacyjny zapewnia wgląd w zgodność na poziomie zasobów z:

  • Zasady punktu odniesienia wdrożone z suwerenną strefą docelową (wersja zapoznawcza).
  • Inne niestandardowe zgodność, która została wdrożona.

Aby uzyskać więcej informacji, zobacz dokumentację pulpitu nawigacyjnego zgodności.