Планирование, внедрение и мониторинг Microsoft Cloud for Sovereignty
Microsoft Cloud for Sovereignty предоставляет инструменты и рекомендации для ИТ-специалистов и специалистов по информационной безопасности на протяжении всего жизненного цикла внедрения облака. Оставшаяся часть этой статьи представляет возможности в контексте трех этапов жизненного цикла внедрения и содержит ссылки на подробные статьи по каждой из статей.
- Планирование. Планирование миграции в облако.
- Внедрение. Внедрение суверенной архитектуры, соответствующей требованиям.
- Мониторинг и аудит. Мониторинг и аудит данных и рабочих нагрузок для обеспечения их безопасности.
План
Организации государственного сектора, предъявляющие строгие требования к суверенитету, должны включать свои цели суверенитета в действия по планированию. Этот процесс гарантирует, что стратегические решения о внедрении облака будут соответствовать требованиям к суверенитету.
Требования к суверенитету
Microsoft Cloud Adoption Framework для Azure — это платформа полного жизненного цикла, которая позволяет облачным архитекторам, ИТ-специалистам и лицам, принимающим бизнес-решения, достичь своих целей по внедрению облака. Платформа предлагает рекомендации, документацию и инструменты, которые помогают создавать и реализовывать бизнес-стратегии и технологические стратегии для облака.
Вы можете ознакомиться со статьей Оценка суверенных требований, чтобы понять, как оценить, определить и задокументировать свои требования к суверенитету, а также приводятся рекомендации о том, где эти требования могут использоваться для их действий по более широкому планированию, связанных с Cloud Adoption Framework для Azure.
Геодоступность Cloud for Sovereignty
Ключевой частью планирования является понимание и оценка региональной доступности служб, связанных с суверенитетом. В статье Международная доступность Microsoft Cloud for Sovereignty содержится общий обзор.
Параметры определения мест расположения данных и граница данных ЕС
Определение мест расположения данных является общим нормативным требованием к данным из государственного сектора. Требования к месту расположения данных могут ограничивать возможности хранения и обработки различных типов данных. Некоторые правила могут также налагать ограничения на то, куда можно передавать данные. Microsoft Cloud for Sovereignty позволяет настроить суверенные целевые зоны (SLZ), чтобы ограничить службы и регионы, которые можно использовать, а также настроить конфигурацию служб для выполнения требований к месту расположения данных. Дополнительные сведения см. в разделе Место расположения данных.
Кроме того, граница данных ЕС это географически определенная граница, в рамках которой Microsoft обязуется хранить и обрабатывать данные клиентов крупных коммерческих корпоративных веб-служб, включая Azure, Dynamics 365, Power Platform и Microsoft 365. Граница данных ЕС предусматривает обязательства по местам расположения данных, выходящие за рамки сферы действия Microsoft Cloud for Sovereignty, особенно в отношении местонахождения данных для нерегиональных служб Azure. Дополнительные сведения см. в разделе Граница данных ЕС.
Портфель политик и базовые показатели Cloud for Sovereignty
Портфель политики суверенитета включает в себя инициативы политики для базового плана суверенитета и инициативы политики, предназначенные для обеспечения соответствия нормативным требованиям, характерным для конкретного региона. Эти инициативы политики помогают клиентам государственного сектора быстро соблюдать различные нормативные базы. Эти инициативы политики сопровождаются соответствующими сопоставлениями контроля и документацией. Для получения дополнительных сведений см. статью Портфель политики.
Пример эталонной архитектуры (предварительная версия)
Распространенным сценарием для развертывания SLZ является использование моделей LLM для участия в беседах с использованием ваших собственных данных через Шаблон дополнения ответа результатами поиска (Retrieval Augmented Generation, RAG). Этот шаблон позволяет вам использовать логические способности моделей LLM и генерировать ответы на основе ваших конкретных данных, не требуя тонкой настройки модели. Это облегчает плавную интеграцию моделей LLM в существующие бизнес-процессы или решения. Рассматривается, как эти технологии могут применяться в суверенных целевых зонах, а также рассматриваются важные ограждения. Для получения дополнительной информации см. раздел Модели LLM и Azure OpenAI в шаблоне дополнения ответа результатами поиска (Retrieval Augmented Generation, RAG).
Внедрение
На этапе внедрения организации государственного сектора могут ускорить определение и развертывание суверенных сред, используя инструменты и рекомендации Microsoft Cloud for Sovereignty.
Суверенная целевая зона
Суверенная целевая зона (SLZ) — это вариант целевой зоны Azure (ALZ), который предоставляет облачную инфраструктуру корпоративного масштаба, ориентированную на оперативный контроль за неактивными, передаваемыми и используемыми данными. SLZ объединяет возможности Azure, такие как местоположение службы, ключи, управляемые клиентом, частные ссылки и конфиденциальные вычисления, для создания облачной архитектуры, в которой данные и рабочие нагрузки по умолчанию шифруются и защищаются от угроз. Вы можете развернуть SLZ с помощью одной команды PowerShell и нескольких параметров.
SLZ доступен в GitHub. Подробные сведения см. в разделе Обзоре суверенной целевой зоны.
Шаблоны рабочих нагрузок
Шаблоны рабочих нагрузок обеспечивают качественные, безопасные, соответствующие требованиям дизайна, автоматизированные развертывания с возможностью многократного использования, для распространенных типов рабочих нагрузок. Шаблон рабочей нагрузки ориентирован на правильно настроенное развертывание одной или нескольких служб Azure с возможностью повторного использования. Подробные сведения см. в разделе Шаблоны рабочих нагрузок суверенной целевой зоны.
Средства управления жизненным циклом целевой зоны (предварительная версия)
Microsoft Cloud for Sovereignty предоставляет следующие инструменты управления жизненным циклом целевой зоны через GitHub:
- Оценка: выполняет оценку ресурсов Azure перед развертыванием, например их расположения и назначения политик Azure, на соответствие установленным рекомендациям.
- Компилятор политик: упрощает процесс управления политиками. Он систематически анализирует инициативы по политикам вашей организации, исследуя ключевые компоненты.
- Анализатор дрейфа: отслеживает и сравнивает текущее состояние облачной среды с исходной запланированной конфигурацией целевой зоны. Он выявляет критические отклонения или изменения.
Дополнительные сведения см. в разделе Инструменты управления жизненным циклом целевых зон.
Суверенные ограждения в средах Dataverse и Power Platform для большего суверенитета данных (предварительная версия)
Вы можете настроить среды Dataverse и Power Platform для повышения суверенитета данных. Вы можете использовать Центр администрирования Microsoft Power Platform для централизованного управления средами и настройками, включая настройки клиента для контроля создания среды и управления ею. Вы также можете использовать специальные элементы управления доступом для Dataverse и Power Platform, чтобы обеспечить соответствие требованиям суверенитета. Дополнительную информацию см. в разделе Настройка сред Dataverse и Power Platform для большей независимости данных и Элементы управления доступом для Dataverse и Power Platform.
Управление ключами и шифрование
Крайне важно реализовать правильную стратегию шифрования и управления ключами для безопасной и суверенной реализации. Дополнительные сведения см. в этой статье.
Конфиденциальные вычисления Azure
Microsoft Cloud for Sovereignty помогает клиентам настраивать и защищать свои данные и ресурсы, используя способы, которые помогают им соответствовать их конкретным нормативным требованиям, требованиям к безопасности и суверенитету. Это включает в себя предотвращение доступа к данным клиента для стороны, находящихся вне контроля клиента, включая Microsoft. Наряду с конфиденциальными вычислениями Azure (ACC) Microsoft Cloud for Sovereignty предоставляет клиентам видимость и полный контроль над доступом к их рабочим нагрузкам. ACC повышает суверенитет данных клиентов, удаляя или ограничивая привилегированный доступ к данным для оператора поставщика облачных служб и других участников, включая такое программное обеспечение, как гипервизор. ACC помогает защищать данные на протяжении всего их жизненного цикла в дополнение к существующим решениям, которые защищают неактивные и передаваемые данные. Дополнительные сведения см. в разделе Конфиденциальные вычисления Azure.
Пример приложения
Используйте образец конфиденциального приложения отдела кадров (HR), который гарантирует и подтверждает, что развернутая инфраструктура суверенной целевой зоны (Sovereign Landing Zone, SLZ) удовлетворяет требованиям конфиденциальности рабочих нагрузок клиентов. Дополнительную информацию см. в разделе Пример конфиденциального приложения.
Миграция и модернизация
Microsoft Cloud for Sovereignty предоставляет инструменты и рекомендации по переносу рабочих нагрузок в облако. Дополнительные сведения см. в разделе Обзор переноса рабочих нагрузок.
Мониторинг и аудит
В дополнение к богатому набору служб, предоставляемых Microsoft Azure для мониторинга ваших рабочих нагрузок и обеспечения их безопасности, таких как Azure Monitor и Defender for Cloud, Microsoft Cloud for Sovereignty предлагает новые возможности и службы.
Журналы прозрачности (предварительная версия)
Чтобы заслужить доверие суверенных клиентов, Microsoft Cloud for Sovereignty предлагает дополнительные элементы управления для ведения журнала и мониторинга, которые повышают уровень прозрачности действий персонала Microsoft. В результате клиенты получают больше информации, чем стандартные возможности общедоступного облака, что помогает выполнять требования аудита и контроля доступа.
Журналы прозрачности доступны в ограниченном объеме, они основаны на требованиях клиента. Утвержденные клиенты получают ежемесячный отчет для своего клиента, в котором предоставляется сводка случаев, когда инженеру Microsoft или агенту поддержки предоставляется временный доступ к ресурсам Azure клиента.
Дополнительные сведения см. в разделе журналы прозрачности.
Механизмы управления прозрачностью в Dataverse и Power Platform (предварительная версия)
Вы также можете установить элементы управления прозрачностью в Dataverse и Power Platform, которые имеют решающее значение для соблюдения суверенной политики.
Дополнительную информацию см. в разделе Управление прозрачностью в Dataverse и Power Platform.
Программа государственной безопасности
Программа государственной безопасности (GSP) — это существующая программа Microsoft, предназначенная для предоставления квалифицированным правительственным участникам конфиденциальной информации, необходимой им для укрепления доверия к продуктам и услугам Microsoft. Программа включает контролируемый доступ к исходному коду, обмен информацией об угрозах и уязвимостях, участие в техническом контенте о продуктах и услугах Microsoft, а также доступ к центрам прозрачности. Microsoft Cloud for Sovereignty расширил программу GSP, включив в нее некоторые службы Azure. Дополнительную информацию см. в разделе Программа государственной безопасности.