Место расположения данных

Место расположения данных — это физическое местоположение, где хранятся и обрабатываются данные. Соблюдение требований к месту расположения данных является распространенной проблемой для клиентов из государственного сектора, поэтому они часто требуют от Майкрософт ограничивать места хранения и обработки различных типов данных. Microsoft Cloud for Sovereignty позволяет клиентам настраивать суверенные целевые зоны (SLZs) для ограничения набора служб и регионов, которые могут использовать конечные пользователи, и принудительно применять конфигурацию служб для удовлетворения существующих у клиента требований к месту расположения данных.

Место расположения данных в Azure

Большинство служб Azure развертываются на региональном уровне, позволяя указать, где должны храниться и обрабатываться данные клиента. К примерам таких региональных служб относятся виртуальные машины, хранилища и База данных SQL. Регион является частью географии, и в случае региональных служб Майкрософт не хранит данные клиента за пределами выбранной географии, за исключением описанных в документации обстоятельств. Дополнительные сведения см. в статье Место расположения данных в Azure и техническом документе Обеспечение соблюдения места расположения данных и защиты данных в регионах Microsoft Azure.

Согласно определению в соглашениях об обслуживании под данными клиента понимаются все данные, включая все текстовые, звуковые, видео- и графические файлы, а также программное обеспечение, передаваемые корпорации Майкрософт клиентом или от имени клиента посредством веб-служб. Данные о клиентах не включают данные о профессиональных услугах. Необходимо уточнить, что данные клиента не включают информацию, используемую для настройки ресурсов в веб-службах, например технические параметры и имена ресурсов.

Некоторые службы Azure не позволяют указать регион, в котором развертывается служба, например Microsoft Entra ID, Azure Monitor или Диспетчер трафика. Эти службы работают по всему миру, предоставляя клиентам критически важную функциональность, и называются нерегиональными службами. Если не указано иное, нерегиональные службы могут хранить и обрабатывать данные клиента в любом центре обработки данных Майкрософт в общедоступных регионах Azure. Дополнительные сведения см. статье Место расположения данных в Azure.

Данные, передаваемые между регионами Azure, остаются в глобальной сети Майкрософт. Вы можете настроить виртуальные сети в Azure, чтобы обеспечить доступ только из корпоративных сетей, с помощью групп безопасности сетей Azure и Брандмауэра Azure. Кроме того, вы можете ограничить доступ из Интернета к определенным местам с помощью таких возможностей, как пользовательские правила геофильтрации Брандмауэра веб-приложений Azure (WAF) и условного доступа с блокировкой доступа по местоположению.

Место расположения данных в Microsoft Cloud for Sovereignty

Инициативы политики для базового плана суверенитета в Microsoft Cloud for Sovereignty предполагают настройку регионов Azure, в которых можно развертывать ресурсы. Для региональных служб настроенные регионы определяют географию этих служб и действующую границу места расположения данных для хранения данных клиента.

Вы можете настроить SLZ, чтобы ограничить использование определенных служб, включая нерегиональные службы, которые не соответствуют вашим потребностям в отношении места хранения данных.

Базовая конфигурация SLZ включает сетевые правила, которые определяют, из каких сетей можно получить доступ к вашим ресурсам.

• Данные в приложении, развернутом в подписке в целевых зонах Корп. или Корп. - конфиденциальные, доступны только из сети вашей организации в Azure и подключенной к Azure.
• Доступ к данным в приложении, развернутом в подписке в целевых зонах Онлайн или Онлайн - конфиденциальные, можно получить через Интернет откуда угодно, если пользователь или система, осуществляющие доступ к данным, имеют соответствующие учетные данные и доступ не блокируется брандмауэром или правилами условного доступа.

Подробные сведения см. в разделе Обзоре суверенной целевой зоны.

Место расположения данных и устойчивость

Регионы, которые вы настраиваете в качестве разрешенных регионов для Microsoft Cloud for Sovereignty, могут влиять на устойчивость развертываемых вами рабочих нагрузок. Как правило, менее строгий выбор регионов обеспечивает большую устойчивость, поскольку вы можете распределять приложения по большему количеству регионов и по более удаленным друг от друга регионам. Как альтернативу ограничению количества регионов можно рассмотреть шифрование (при хранении, при передаче и при использовании), в особенности для приложений с высокими требованиями к доступности.

Большинство регионов Azure состоят из трех или более зон доступности. Службы хранения и вычислений, распределенные по нескольким зонам доступности, устойчивы к локальным авариям, способным затронуть весь центр обработки данных. Для обеспечения устойчивости к авариям, которые могут затронуть весь регион, многие регионы Azure также имеют региональную пару в пределах одной и той же географии, что позволяет использовать автоматическую или настраиваемую клиентом межрегиональную репликацию для поддерживаемых служб. Чтобы обеспечить достижение определенных стандартов, связанных с местом расположения данных, в некоторых регионах нет региональной пары, и клиенты несут ответственность за устойчивость данных в маловероятном случае отказа всего региона. Дополнительную информацию см. в статье Регионы с зонами доступности и без региональной пары.

См. также

• Место расположения данных в Azure
• Глобальная сеть Майкрософт — Azure
• Что представляют собой регионы Azure и зоны доступности?
• Межрегиональная репликация в Azure
• Как Майкрософт классифицирует данные клиентов
• Обзор конфиденциальности и управления данными
• где находятся ваши данные
• Обеспечение соблюдения места расположения данных и защиты данных в регионах Microsoft Azure
• Место расположения данных, суверенитет данных и соответствие в Microsoft Cloud