Рекомендации по суверенитету для целевых зон Azure

  • Статья

Внедрение облачных вычислений при выполнении требований к цифровому суверенитету является сложным и может значительно отличаться между организациями, отраслями и географическими регионами. Microsoft Cloud для суверенитета отвечает потребностям государственных организаций, сочетая силу глобальной платформы Azure с несколькими возможностями суверенитета, предназначенными для устранения рисков суверенитета.

Microsoft Cloud для суверенитета

Microsoft Cloud для суверенитета предоставляет возможности на различных уровнях:

  • Расширенные независимые службы управления, такие как конфиденциальные вычисления Azure и управляемый аппаратный модуль безопасности Azure Key Vault (управляемый HSM)
  • Независимые охранники через кодифицированную архитектуру, акселераторы рабочих нагрузок, локализованные Политика Azure инициативы, инструменты и рекомендации
  • Соответствие нормативным требованиям и прозрачность действий оператора облака
  • Функциональные возможности, созданные на основе возможностей общедоступного облака Azure

Diagram that shows the layers of capabilities of Microsoft Cloud for Sovereignty.

Клиенты с государственным сектором с суверенитетом нуждающиеся в том, чтобы начать использовать Azure, могут воспользоваться Microsoft Cloud для суверенитета. Средства и рекомендации, которые предоставляет Microsoft Cloud для суверенитета, такие как рабочая зона (предварительная версия), могут ускорить определение и развертывание суверенной среды.

Национальный целевой пояс

Национальный целевой пояс (предварительная версия) — это специализированный вариант архитектуры целевой зоны Azure, предназначенный для организаций, которым требуются расширенные элементы управления суверенитетом. Национальный целевой пояс (предварительная версия) выравнивает такие возможности Azure, как расположение службы, управляемые клиентом ключи, Приватный канал Azure и конфиденциальные вычисления, чтобы создать облачную архитектуру, в которой данные и рабочие нагрузки предлагают шифрование и защиту от угроз по умолчанию.

Примечание.

Microsoft Cloud для суверенитета ориентирован на государственные организации с потребностями суверенитета. Следует тщательно рассмотреть необходимость использования возможностей Microsoft Cloud для суверенитета, а затем рассмотреть возможность внедрения архитектуры национальной целевой зоны (предварительная версия).

Национальные целевые зоны проектирования

Архитектура целевой зоны Azure состоит из восьми областей проектирования. Каждая область проектирования описывает факторы, которые следует учитывать перед развертыванием целевой зоны. В следующих разделах описываются дополнительные рекомендации, которые применяются при развертывании зоны веренной целевой зоны (предварительная версия). Помимо руководства по целевой зоне Azure, следует учитывать эти новые рекомендации.

Организация ресурсов

Национальный целевой пояс — это адаптированная версия концептуальной архитектуры целевой зоны Azure. Национальный целевой пояс соответствует рекомендациям, описанным в статье "Настройка архитектуры целевой зоны Azure".

Группы управления для конфиденциальных вычислений

Как показано на следующей схеме, архитектура зоны размещения Azure основана на архитектуре целевой зоны Azure:

  • В группе управления целевыми зонами добавляются группы управления конфиденциальными корпоративными и конфиденциальными сетевыми группами управления.
  • Также применяются набор конкретных инициатив политики, например базовые показатели политики Microsoft Cloud для суверенитета. Эти инициативы предлагают такие элементы управления, как расположение развертывания ресурсов, типы развертывания ресурсов и шифрование.

Diagram that shows the management groups of a sovereign landing zone.

Базовые показатели политики microsoft Cloud для суверенитета

Целевая зона (предварительная версия) поставляется с развернутыми базовыми инициативами политики Microsoft Cloud для суверенитета. В результате вы можете развернуть другие наборы политик в пределах зоны целевой зоны (предварительная версия). Дополнительные политики можно слоять поверх зоны общения (предварительная версия). Примерами являются политики целевой зоны Azure и наборы политик, которые рассматривают платформы управления, такие как Национальный институт стандартов и технологий (NIST) 800 171 редакции 2 и Microsoft Cloud Security Benchmark.

Базовый план политики независимости Microsoft Cloud для суверенитета состоит из следующих элементов:

  • Политики для принудительного использования ресурсов конфиденциальных вычислений при развертывании рабочих нагрузок в конфиденциальных группах управления. Эти политики помогают создать платформу, в которой рабочие нагрузки защищены неактивных данных, во время передачи и при использовании, что удаляет Корпорацию Майкрософт из цепочки доверия.
  • Политики расположения, которые также развертываются по умолчанию для предоставления управления облачным администратором, где можно развернуть ресурсы Azure.
  • Управление ключами, которое контролируется федеральным стандартом обработки информации (FIPS) 140-2 уровня 3 проверено HSM и применяется политикой.

Политики и мнения, что национальный целевой пояс (предварительная версия) добавляет на вершину целевой зоны Azure, создайте платформу, которая предвзята к повышению безопасности и конфиденциальности по умолчанию.

Дополнительные сведения о базовой инициативе по политике суверенитета см . в документации по портфелям политик microsoft Cloud для суверенитета.

Топология сети и подключения

Рабочая зона посадки (предварительная версия) фокусируется на оперативном управлении неактивных данных, передачей и использованием.

Шифрование сетевого трафика

Рекомендации по шифрованию сети см. в разделе "Определение требований к шифрованию сети".

Подключение к Интернету входящего и исходящего трафика

Как и в случае с развертываниями целевой зоны Azure, развертывание зоны государственной целевой зоны поддерживает следующее:

  • Параметризованное развертывание уровня "Премиум" Брандмауэр Azure для включения распределенной защиты от отказа в обслуживании (DDoS).
  • Развертывание центральной инфраструктуры Бастиона Azure.

Прежде чем включить эти функции, ознакомьтесь с рекомендациями по подключению к Интернету входящего и исходящего трафика в Плане для входящего и исходящего подключения к Интернету.

Безопасность

Архитектура государственной целевой зоны использует конфиденциальные вычисления в конфиденциальных целевых зонах. В следующих разделах описываются службы, обеспечивающие поддержку конфиденциальных вычислений Azure.

Управляемый модуль HSM в Azure Key Vault

Key Vault — это необходимая служба для развертывания ресурсов конфиденциальных вычислений. Рекомендации и рекомендации по проектированию см. в статье "Шифрование и управление ключами" в Azure. Возможно, вам потребуется выбрать управляемый HSM в Azure Key Vault для требований к комплианности.

Аттестация Azure

Если вы используете конфиденциальные вычисления Azure, вы можете воспользоваться функцией аттестации гостей Аттестация Azure. Эта функция помогает подтвердить, что конфиденциальная виртуальная машина выполняется в аппаратной среде доверенного выполнения (TEE) с такими функциями безопасности, как изоляция и целостность.

Дополнительные сведения о включении аттестации гостей см. в статье "Что такое аттестация гостей для конфиденциальных виртуальных машин?".

Система управления

В большинстве случаев персонал Майкрософт выполняет операции, поддержку и устранение неполадок, а также не требует доступа к данным клиента. Иногда инженер Майкрософт должен получить доступ к данным клиента. Эти случаи могут возникнуть в ответ на запросы в службу поддержки, инициированные клиентом, или когда корпорация Майкрософт определяет проблему.

Защищенное хранилище для Microsoft Azure

В редких случаях, когда требуется доступ, можно использовать блокировку клиента для Microsoft Azure. Эта функция предоставляет интерфейс, который можно использовать для проверки, а затем утверждения или отклонения запросов на доступ к данным клиента.

Рассмотрите возможность включения блокировки клиента. Для включения этой функции необходимо включить глобальную Администратор роль, так как это параметр на уровне клиента. Дополнительные сведения о том, как правильно настроить управление доступом на основе ролей для блокировки клиента, см. в разделе "Блокировка клиента" для Microsoft Azure.

Автоматизация платформы и DevOps

Национальный целевой пояс (предварительная версия) доступен в качестве репозитория GitHub.

Параметры развертывания

Вы можете развернуть всю целевую зону или развернуть один компонент одновременно. При развертывании отдельных компонентов их можно интегрировать в существующий рабочий процесс развертывания. Инструкции по развертыванию см. в разделе "Ключевые компоненты предварительной версии развертывания для зоны ведения зоны размещения".

Примечание.

Целевая зона (предварительная версия) является вариантом целевой зоны Azure. Но национальный целевой пояс пока не предлагает все варианты развертывания, доступные для архитектуры целевой зоны Azure. Сведения о развертывании суверенной целевой зоны см. в разделе "Ключевые компоненты предварительного развертывания зоны для зоны зоны главного размещения".

Репозиторий GitHub включает следующие компоненты зоны gitHub (предварительная версия):

  • Начальная загрузка: настраивает иерархию групп управления и создает подписки, которые определяются архитектурой суверенной целевой зоны (предварительная версия). Эти элементы развертываются в корневой группе клиента Azure.

  • Платформа. Настройка центральной сети и ресурсов ведения журнала, используемых платформой и рабочими нагрузками для ведения журнала в центральной целевой зоне (предварительная версия).

  • Соответствие. Создает и назначает наборы политик по умолчанию и пользовательские политики, которые применяются в среде.

  • Панель мониторинга. Предоставляет визуальное представление соответствия ресурсам.

Панель мониторинга соответствия требованиям

Панель мониторинга соответствия развертывается в рамках развертывания государственной целевой зоны (предварительная версия). Эта панель мониторинга помогает проверить целевую зону (предварительную версию) в соответствии с вашими требованиями и местными законами и правилами. В частности, панель мониторинга дает представление о соответствии на уровне ресурсов:

  • Базовые политики, развернутые с помощью государственной целевой зоны (предварительная версия).
  • Другие настраиваемые требования, развернутые.

Дополнительные сведения см. в документации по панели мониторинга соответствия требованиям.