Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
När din användning av Azure mognar är det viktigt att tänka på styrningen av dina molnresurser. Styrningen omfattar hur klientorganisationens data lagras och hanteras och hur du organiserar dina Azure-resurser. Du kan också behöva följa regelmässiga, juridiska eller avtalsenligt föreskrivna standarder. Den här artikeln innehåller information om hur du överväger styrning och efterlevnad i en lösning med flera klientorganisationer. Det föreslås också några av de viktigaste funktionerna i Azure-plattformen som understödjer dessa frågor.
Viktiga överväganden och krav
Tänk på följande viktiga överväganden och krav.
Resursisolering
Se till att du konfigurerar dina Azure-resurser så att de uppfyller klientorganisationens isoleringskrav. Mer information finns i Azure-resursorganisationen i lösningar med flera klientorganisationer.
Datahantering
När du lagrar data för dina klienters räkning kan du ha krav eller skyldigheter som du behöver uppfylla. Från en klientorganisations perspektiv förväntar de sig ofta ägarskap och kontroll över sina data. Fundera på hur du isolerar, lagrar, får åtkomst till och aggregerar hyresgästernas data. Upptäck klientorganisationens förväntningar och krav som kan påverka hur din lösning fungerar.
Isolering
Granska arkitekturmetoderna för lagring och data i lösningar med flera klienter för att förstå hur du isolerar klientorganisationens data. Överväg om användare har krav på att använda sina egna datakrypteringsnycklar.
Oavsett vilken isolering du implementerar bör du förberedas för att klientorganisationer ska kunna begära en granskning av sina data. Det är en bra idé att dokumentera alla datalager där hyresgästers data kan sparas. Vanliga datakällor innehåller följande typer av resurser:
- Databaser och lagringskonton som distribueras som en del av din lösning
- Identitetssystem, som ofta delas mellan hyresgäster
- Loggfiler
- Informationslager
Suveränitet
Ta reda på om det finns några begränsningar för den fysiska platsen för hyresgästers data som ska lagras eller bearbetas. Dina klienter kan kräva att du lagrar deras data på specifika geografiska platser. De kan också kräva att du inte lagrar deras data på vissa platser. Även om dessa krav ofta bygger på lagstiftning kan de också baseras på kulturella värderingar och normer.
Mer information om datahemvist och suveränitet finns i white paper Enabling data residency and data protection in Microsoft Azure regions (Aktivera datahemvist och dataskydd i Microsoft Azure-regioner).
Hyresgästers åtkomst till data som du lagrar
Klientorganisationer begär ibland direkt åtkomst till de data som du lagrar för deras räkning. De kanske till exempel vill mata in sina data i sin egen datasjö.
Planera hur du ska svara på dessa begäranden. Överväg om någon av klienternas data lagras i delade datalager. Om så är fallet, planera hur man förhindrar klienter från att komma åt andra klienters data.
Undvik att ge direkt åtkomst till databaser eller lagringskonton om du inte har utformat för det här kravet, till exempel genom att använda Valet Key-mönstret. Överväg att skapa ett API eller en automatiserad dataexportprocess i integrationssyfte.
Mer information om integrering med klientorganisationers system och externa system finns i Arkitekturmetoder för klientintegrering och dataåtkomst.
Din åtkomst till hyresgästers data
Fundera på om dina klientorganisationers krav begränsar den personal som kan arbeta med sina data eller resurser. Anta till exempel att du skapar en SaaS-lösning (programvara som en tjänst) som många olika kunder använder. En myndighet kan kräva att endast medborgare i deras land eller region får åtkomst till infrastrukturen och data för sin lösning. Du kan uppfylla det här kravet genom att använda separata Azure-resursgrupper, prenumerationer eller hanteringsgrupper för känsliga kundarbetsbelastningar. Du kan använda rolltilldelningar för rollbaserad åtkomstkontroll i Azure (Azure RBAC) för specifika grupper av användare för att arbeta med dessa resurser.
Sammanställning av data från flera hyresgäster
Fundera på om du behöver kombinera eller aggregera data från flera klienter. Du kan till exempel analysera aggregerade data, träna maskininlärningsmodeller eller tillhandahålla AI-grunddata som kan tillämpas på andra klienter. Se till att dina klienter förstår hur du använder deras data. Inkludera all användning av aggregerade eller anonymiserade data.
Efterlevnadskrav
Det är viktigt att du förstår om du behöver uppfylla några efterlevnadsstandarder. Efterlevnadskrav kan införas i flera scenarier, bland annat:
Du, eller någon av dina klienter, arbetar inom vissa branscher. Om någon av dina klienter till exempel arbetar i sjukvårdsbranschen kan du behöva följa HIPAA-standarden.
Du, eller någon av dina klienter, finns i geografiska eller geopolitiska regioner som kräver efterlevnad av lokala lagar. Om någon av dina klienter till exempel finns i Europa kan du behöva följa GDPR (General Data Protection Regulation).
Du köper en cyberförsäkring för att minska risken för överträdelser. Cyberförsäkringsleverantörer kan kräva att du följer deras standarder och tillämpar specifika kontroller för att din policy ska vara giltig.
Viktig
Efterlevnad är ett delat ansvar mellan Microsoft, dig och dina klienter.
Microsoft ser till att våra tjänster uppfyller en specifik uppsättning efterlevnadsstandarder och tillhandahåller verktyg som Microsoft Defender för molnet som hjälper dig att verifiera att dina resurser har konfigurerats enligt dessa standarder.
Det är ditt ansvar att förstå de efterlevnadskrav som gäller för din lösning och hur du konfigurerar dina Azure-resurser enligt dessa standarder. Mer information finns i Azures efterlevnadserbjudanden.
Den här artikeln innehåller ingen specifik vägledning om hur du uppfyller vissa standarder. I stället får du allmän vägledning om hur du överväger efterlevnad och styrning i en lösning med flera klientorganisationer.
Om olika hyresgäster behöver att du följer olika efterlevnadsstandarder, planera att uppfylla den strängaste standarden i hela din miljö. Det är enklare att följa en strikt standard konsekvent än att följa olika standarder för olika klienter.
Metoder och mönster att tänka på
Resursetiketter
Använd resurstaggar för att spåra klientidentifieraren för klientspecifika resurser eller stämpelidentifieraren när du skalar med hjälp av mönstret Distributionsstämplar. Genom att använda resurstaggar kan du snabbt identifiera resurser som är associerade med specifika klienter eller stämplar.
Åtkomstkontroll
Använd Azure RBAC- för att begränsa åtkomsten till de Azure-resurser som utgör lösningen för flera klientorganisationer. Följ metodtipsen för Azure RBAC, till exempel att tillämpa rolltilldelningar på grupper i stället för användare. Begränsa dina rolltilldelningar så att de ger de minsta behörigheterna som behövs. Undvik långvarig åtkomst till resurser genom att använda just-in-time-åtkomst och funktioner som Microsoft Entra ID Privileged Identity Management.
Diagram över Azure-resurser
Använd Azure Resource Graph för att arbeta med Azure-resursmetadata. Med Hjälp av Resource Graph kan du fråga över ett stort antal Azure-resurser, även om de är spridda över flera prenumerationer. Resource Graph kan fråga efter resurser av en viss typ eller identifiera resurser som konfigurerats på specifika sätt. Du kan också använda den för att spåra historiken för en resurss konfiguration.
Resource Graph kan hjälpa dig att hantera stora Azure-egendomar. Anta till exempel att du distribuerar klientspecifika Azure-resurser i flera Azure-prenumerationer. Genom att använda taggar för dina resurser kan du använda Resource Graph API för att hitta resurser som specifika klientorganisationer eller distributionsstämplar använder.
Microsoft Purview
Överväg att använda Microsoft Purview- för att spåra och klassificera de data som du lagrar. När klientorganisationer begär åtkomst till sina data kan du enkelt fastställa vilka datakällor du ska inkludera.
Kontrollera efterlevnaden av standarder
Använd verktyg som Azure Policy, Defender for Clouds efterlevnadsportal för regelefterlevnad och Azure Advisor. De här verktygen hjälper dig att konfigurera dina Azure-resurser så att de uppfyller efterlevnadskraven och följer de rekommenderade metodtipsen.
Generera efterlevnadsdokumentation
Dina klienter kan kräva att du visar din efterlevnad med specifika standarder. Använd Service Trust Portal för att generera efterlevnadsdokumentation som du kan tillhandahålla till dina klienter eller externa granskare.
Vissa lösningar för flera klientorganisationer innehåller Microsoft 365 och använder tjänster som Microsoft OneDrive, Microsoft SharePoint och Microsoft Exchange Online. Microsoft Purview-portalen hjälper dig att förstå hur dessa tjänster följer regelstandarder.
Mönster för distributionsstämplar
Överväg att följa mönstret för implementeringsstämplar när du behöver uppfylla klientspecifika krav.
Du kan till exempel distribuera stämplar för din lösning till flera Azure-regioner. Sedan kan du tilldela nya hyresgäster till etiketter, baserat på de regioner där de behöver ha sina data lagrade.
På samma sätt kan en ny klientorganisation införa strikta efterlevnadskrav som du inte kan uppfylla i dina befintliga lösningskomponenter. Du kan överväga att distribuera en dedikerad stämpel för den klientorganisationen och sedan konfigurera den enligt deras krav.
Antimönster att undvika
Att inte förstå hyresgästernas efterlevnadskrav. Det är viktigt att inte göra antaganden om de efterlevnadskrav som dina klienter kan införa. Om du planerar att utöka din lösning till nya marknader bör du tänka på den regelmiljö som dina klienter sannolikt kommer att arbeta inom.
Att ignorera god praxis. Om du inte har något omedelbart behov av att följa efterlevnadsstandarder bör du fortfarande följa god praxis när du distribuerar dina Azure-resurser. Du kan till exempel isolera dina resurser, tillämpa principer för att verifiera resurskonfigurationen och tillämpa rolltilldelningar på grupper i stället för användare. Genom att följa god praxis gör du det enklare att följa efterlevnadsstandarder när du så småningom behöver. Du ser också till att du skyddas bättre mot olika säkerhetshot och risker.
Förutsatt att det inte finns några efterlevnadskrav. När du först startar en lösning med flera klienter kanske du inte känner till efterlevnadskraven, eller så behöver du inte följa några. När du växer behöver du förmodligen tillhandahålla bevis för att du uppfyller olika standarder. Använd Defender för molnet för att övervaka din efterlevnadsstatus mot en allmän baslinje, till exempel CIS Microsoft Azure Foundations Benchmark, även innan några formella krav finns på plats.
Planerar inte för hantering. När du distribuerar dina Azure-resurser bör du överväga hur du planerar att hantera dem. Om du behöver göra massuppdateringar av resurser kontrollerar du att du förstår automatiseringsverktyg, till exempel Azure CLI, Azure PowerShell, Resource Graph och Azure Resource Manager-API:erna.
Använder inte hanteringsgrupper. Planera din prenumerations- och hanteringsgruppshierarki, inklusive åtkomstkontroll och Azure Policy-resurser i varje omfång. Det kan vara svårt och störande att introducera eller ändra dessa element när dina resurser används i en produktionsmiljö.
Att misslyckas med att planera din strategi för åtkomstkontroll. Azure RBAC ger en hög grad av kontroll och flexibilitet i hur du hanterar åtkomst till dina resurser. Se till att du använder Microsoft Entra-grupper för att undvika att tilldela behörigheter till enskilda användare. Tilldela roller i omfång som ger en lämplig balans mellan säkerhet och flexibilitet. Använd inbyggda rolldefinitioner där det är möjligt och tilldela roller som ger de minsta behörigheter som krävs.
Använder inte Azure Policy. Det är viktigt att använda Azure Policy för att styra din Azure-miljö. När du har planerat och distribuerat principer kontrollerar du att du övervakar principefterlevnaden och noggrant granskar eventuella överträdelser eller undantag.
Bidragsgivare
Microsoft ansvarar för den här artikeln. Följande deltagare skrev den här artikeln.
Huvudförfattare:
- John Downs | Principal Software Engineer, Azure Patterns &Practices
Andra deltagare:
- Bohdan Cherchyk | Senior kundtekniker, FastTrack för Azure
- Laura Nicolas | Senior kundtekniker, FastTrack för Azure
- Arsen Vladimirskiy | Huvudkundtekniker, FastTrack för Azure
Om du vill se linkedin-profiler som inte är offentliga loggar du in på LinkedIn.