Planowanie, implementowanie i monitorowanie Microsoft Cloud for Sovereignty

Microsoft Cloud for Sovereignty zapewnia narzędzia i wskazówki dla specjalistów IT i inspektorów ds. bezpieczeństwa informacji na każdym etapie wdrażania chmury. Pozostała część tego artykułu przedstawia możliwości w kontekście trzech etapów cyklu życia wdrożenia i zawiera odniesienia do szczegółowych artykułów na temat każdego z nich.

1. Plan: zaplanuj migrację do chmury.
2. Wdrażaj: wdrażaj suwerenną i zgodną architekturę.
3. Monitoruj i audytuj: monitoruj i audytuj swoje dane i obciążenia, aby zapewnić ich bezpieczeństwo.

Plan

Organizacje sektora publicznego, które mają rygorystyczne wymagania dotyczące suwerenności, muszą uwzględnić swoje cele w zakresie suwerenności w swoich wysiłkach planistycznych. Ten proces gwarantuje, że strategiczne decyzje dotyczące wdrożenia chmury będą zgodne z wymaganiami dotyczącymi suwerenności.

Wymagania suwerenności

Microsoft Cloud Adoption Framework dla Azure to platforma obejmująca pełny cykl życia, która pomaga architektom chmury, specjalistom IT i decydentom biznesowym osiągnąć cele związane z wdrażaniem chmury. Struktura dostarcza najlepszych praktyk, dokumentacji i narzędzi, które pomagają tworzyć i wdrażać strategie biznesowe i technologiczne dla chmury.

Możesz przeczytać Ocenę wymagań suwerenności, by zrozumieć, jak ocenić, zidentyfikować i udokumentować swoje wymagania dotyczące suwerenności, a także przedstawiono zalecenia dotyczące miejsc, w których te wymagania mogą pasować do ich szerszych działań planistycznych związanych z platformą wdrażania chmury dla platformy Azure.

Dostępność geograficzna Cloud for Sovereignty

Kluczową częścią planowania jest zrozumienie i ocena regionalnej dostępności usług związanych z suwerennością. Artykuł Dostępność międzynarodowa Microsoft Cloud for Sovereignty zawiera omówienie.

Opcje przechowywania danych i granica danych UE

Miejsce przechowywania danych jest powszechnym wymogiem regulacyjnym dotyczącym danych sektora publicznego. Wymogi dotyczące miejsca przechowywania danych mogą ograniczać miejsce przechowywania i przetwarzania różnych typów danych. Niektóre przepisy mogą również nakładać ograniczenia dotyczące miejsca przekazywania danych. Microsoft Cloud for Sovereignty umożliwia skonfigurowanie suwerennych stref lądowania (SLZ) w celu ograniczenia usług i regionów, z których można korzystać, oraz wymuszenia konfiguracji usług w celu spełnienia wymagań dotyczących miejsca przechowywania danych. Aby uzyskać więcej informacji, zobacz Miejsce przechowywania danych.

Ponadto granica danych UE to geograficznie określona granica, w ramach której firma Microsoft zobowiązała się do przechowywania i przetwarzania danych klientów na potrzeby głównych komercyjnych usług online dla przedsiębiorstw, w tym Azure, Dynamics 365, Power Platform i Microsoft 365. Granica danych UE przewiduje zobowiązania dotyczące przechowywania danych wykraczające poza zakres Microsoft Cloud for Sovereignty zarządza, szczególnie wokół miejsca zamieszkania danych dla nieregionalnych usług platformy Azure. Aby uzyskać więcej informacji, zobacz Geograficzne ograniczenie przetwarzania danych z UE.

Portfolio zasad Cloud for Sovereignty dla różnych scenariuszy i plan bazowy

Portfolio zasad suwerenności obejmuje podstawowe inicjatywy suwerenności i inicjatywy, które pomagają spełnić przepisy dotyczące zgodności obowiązujące w regionie. Te inicjatywy polityczne pomagają klientom z sektora publicznego w ich wysiłkach zmierzających do szybkiego dostosowania się do różnych ram regulacyjnych. Inicjatywom tym towarzyszą powiązane mapowania kontroli i dokumentacja. Aby uzyskać więcej informacji, zobacz Portfolio zasad.

Przykładowa architektura odwołań (wersja zapoznawcza)

Często spotykaną sytuacją dla wdrożenia SLZ jest użycie LLM do konwersacji przy użyciu własnych danych za pośrednictwem wzorca Pobierania generowania (RAG). Ten wzorzec pozwala na poprawianie umiejętności z porozumiań w programie LLM i generowanie odpowiedzi na podstawie określonych danych bez konieczności dostrojenia modelu. Ułatwia ono płynne zintegrowanie oprogramowania LLM z istniejącymi procesami biznesowymi lub rozwiązaniami. Opisano sposób stosowania tych technologii w różnych strefach docelowych przy jednoczesnym uwzględnieniu ważnych informacji na temat sposobu działania tych technologii. Aby uzyskać więcej informacji, zobacz LLM i platformę Azure OpenAI we wzorcu Pobierania poprawionej generacji (RAG).

Implementowanie

Na etapie wdrażania organizacje sektora publicznego mogą przyspieszyć definiowanie i wdrażanie suwerennych środowisk, korzystając z narzędzi i wytycznych Microsoft Cloud for Sovereignty.

Suwerenna Strefa Lądowania

Suwerenna Strefa Lądowania (SLZ) jest odmianą Strefy lądowania Azure (ALZ), który zapewnia infrastrukturę chmurową na skalę korporacyjną, skupiającą się na operacyjnej kontroli danych przechowywanych, przesyłanych i używanych. SLZ łączy możliwości platformy Azure, takie jak miejsce zamieszkania usługi, klucze zarządzane przez klienta, łącza prywatne i przetwarzanie poufne, aby utworzyć architekturę chmury, w której dane i obciążenia są domyślnie szyfrowane i chronione przed zagrożeniami. Możesz wdrożyć SLZ za pomocą jednego polecenia PowerShell i kilku parametrów.

SLZ jest dostępne na GitHub. Aby uzyskać więcej informacji, zobacz Omówienie suwerennej strefy lądowania.

Szablony obciążenia

Szablony obciążeń zapewniają zautomatyzowane wdrożenia o jakości produkcyjnej, wielokrotnego użytku, bezpieczne i zgodne z projektem dla typowych typów obciążeń. Szablon obciążenia koncentruje się na prawidłowo skonfigurowanym wdrożeniu co najmniej jednej usługi platformy Azure w sposób umożliwiający ponowne użycie. Aby uzyskać więcej informacji, zobacz Szablony obciążenia dla suwerennej strefy lądowania.

Narzędzia strefy docelowej zarządzania cyklem życia (wersja zapoznawcza)

Microsoft Cloud for Sovereignty oferuje następujące narzędzia do zarządzania cyklem życia strefy docelowej za pośrednictwem GitHub:

• Ocena: pozwala wstępnie oceniać zasoby platformy Azure, takie jak ich lokalizacje i przypisania zasad platformy Azure, w stosunku do ustalonych najlepszych rozwiązań.
• Kompilator zasad: upraszcza proces zarządzania zasadami. Program programowo analizuje inicjatywy systemowe organizacji, klikając kluczowe składniki.
• Analizator ustawień: umożliwia monitorowanie i porównanie bieżącego stanu środowiska w chmurze z oryginalną konfiguracją strefy docelowej. Umożliwia zidentyfikowanie najważniejszych zmian lub zmian.

Aby uzyskać więcej informacji, zobacz Narzędzia do zarządzania cyklem życia strefy docelowej.

Suwerenne zabezpieczenia w środowiskach Dataverse i Power Platform dla większej suwerenności danych (wersja zapoznawcza)

Konfigurowanie środowisk Dataverse i Power Platform pod kątem poprawionej suwerenności danych. Centrum administracyjnego Microsoft Power Platform można używać do scentralizowanego zarządzania środowiskami i ustawieniami, w tym ustawienia dzierżawcy, służące do kontrolowania tworzenia i zarządzania środowiskiem. Można również użyć określonych formantów dostępu dla Dataverse i Power Platform w celu zapewnienia zgodności z wymaganiami dotyczącymi bezpieczeństwa. Więcej informacji znajdziesz w temacie Konfigurowanie środowisk Dataverse i Power Platform pod kątem większej suwerenności danych.

Szyfrowanie i zarządzanie kluczami

W celu zapewnienia bezpiecznego i suwerennego wdrożenia kluczowe jest wdrożenie właściwej strategii szyfrowania i zarządzania kluczami. Aby uzyskać więcej informacji, zobacz ten artykuł.

Poufne obliczenia usługi Azure

Microsoft Cloud for Sovereignty pomaga klientom konfigurować i chronić ich dane i zasoby w sposób zgodny z ich konkretnymi wymogami regulacyjnymi i dotyczącymi suwerenności. Obejmuje to zapewnienie, że strony pozostające poza kontrolą klienta, w tym firma Microsoft, nie będą miały dostępu do danych klienta. Razem z poufnym przetwarzaniem danych na platformie Azure (ACC) Microsoft Cloud for Sovereignty zapewnia klientom wgląd i kontrolę nad całym dostępem do ich obciążeń. ACC zwiększa suwerenność klienta, usuwając lub ograniczając uprzywilejowany dostęp do danych dla operatora dostawcy usług w chmurze i innych podmiotów, w tym oprogramowania takiego jak hypervisor. Oprócz istniejących rozwiązań, które chronią dane w spoczynku i transporcie, ACC pomaga chronić dane przez cały ich cykl życia. Aby uzyskać więcej informacji, zobacz Poufne obliczenia usługi Azure.

Aplikacja przykładowa

W celu upewnienia się i sprawdzenia, czy wdrożona infrastruktura suwerennej strefy docelowej (SLZ) obsługuje poufne potrzeby prac dotyczących klientów, zaprojektowaliśmy poufną przykładową aplikację z zasobami ludzkimi (HR). Aby uzyskać więcej informacji, zobacz Przykładową aplikację poufną.

Migruj i modernizuj

Microsoft Cloud for Sovereignty zawiera narzędzia i wskazówki dotyczące migracji prac do chmury. Aby uzyskać więcej informacji, zobacz Omówienie migracji obciążenia.

Monitorowanie i inspekcje

Oprócz bogatego zestawu usług Microsoft Azure umożliwiających monitorowanie obciążeń i zapewnianie ich bezpieczeństwa, takich jak Azure Monitor i Defender for Cloud, Microsoft Cloud for Sovereignty wprowadza nowe możliwości i usługi.

Dzienniki przejrzystości (wersja zapoznawcza)

Aby zdobyć zaufanie suwerennych klientów, Microsoft Cloud for Sovereignty zapewnia dodatkowe funkcje rejestrowania i monitorowania, które zwiększają poziom przejrzystości działań personelu firmy Microsoft. W rezultacie klienci mają wgląd wykraczający poza standardowe możliwości chmury publicznej, co pomaga w spełnieniu wymagań związanych z audytem i kontrolą dostępu.

Dzienniki przejrzystości są dostępne w ograniczonym zakresie i podlegają wymaganiom kwalifikacyjnym klienta. Zatwierdzeni klienci otrzymują miesięczny raport dla swoich dzierżawców, który podsumowuje przypadki, w których inżynier firmy Microsoft lub agent pomocy technicznej uzyskał tymczasowy dostęp do zasobów platformy Azure klienta.

Aby uzyskać więcej informacji, zobacz sekcję Dzienniki przejrzystości.

Kontrolki przejrzystości w usługach Dataverse i Power Platform (wersja zapoznawcza)

Można również ustawić formanty w Dataverse i Power Platform, które zapewniają zgodność z zasadami zachowania zgodności z zasadami suwerenności danych.

Aby uzyskać więcej informacji, zobacz Kontrolki przejrzystości w Dataverse i Power Platform.

Rządowy Program Bezpieczeństwa

Rządowy program bezpieczeństwa (GSP) to istniejący program firmy Microsoft, którego celem jest zapewnienie wykwalifikowanym uczestnikom rządowym poufnych informacji niezbędnych do zapewnienia zaufania do produktów i usług firmy Microsoft. Program obejmuje kontrolowany dostęp do kodu źródłowego, wymianę informacji o zagrożeniach i lukach w zabezpieczeniach, zaangażowanie w treści techniczne dotyczące produktów i usług firmy Microsoft oraz dostęp do Centrów przejrzystości. Microsoft Cloud for Sovereignty rozszerza program GSP na niektóre usługi Azure. Więcej informacji znajdziesz w Rządowym programie bezpieczeństwa.

Zobacz też

• Dlaczego warto użyć publicznej chmury firmy Microsoft dla usługi Sovereignty?
  
• Pojęcia Suwerennej Strefy Lądowania