Dela via


Dataresidens

Dataresidens handlar om den fysiska platsen där data lagras och bearbetas. Krav på dataresidens är ett vanligt problem för kunder inom offentlig sektor, som ofta begär att Microsoft begränsar var olika typer av data lagras och bearbetas. Microsoft Cloud for Sovereignty gör det möjligt för kunder att konfigurera Sovereign landningszoner (SLZ) i syfte att begränsa de tjänster och regioner som slutanvändare kan använda, samt framtvinga tjänstekonfigurationer som hjälper kunderna uppnå sina dataresidensbehov.

Dataresidens i Azure

De flesta Azure-tjänster distribueras regionalt och gör att du kan ange var kunddata lagras och bearbetas. Exempel på sådana regionala tjänster inkluderar virtuella datorer, lagring och SQL-databas. En region är en del av en geografi, och för regionala tjänster lagrar Microsoft inte kunddata utanför den valda geografin, förutom under dokumenterade omständigheter. För mer information, se Dataresidens i Azure och vitboken Aktivera dataresidens och dataskydd i Microsoft Azure-regioner.

Enligt definierat i våra tjänsteavtal omfattar kunddatan alla data, inklusive alla text-, ljud-, video- och bildfiler samt all programvara som tillhandahålls till Microsoft av kunden eller å dennes vägnar via onlinetjänster. Kunddata inkluderar inte data från Professional Services. För tydlighets skull inkluderar kunddatan inte information som används för att konfigurera resurser i onlinetjänsterna, såsom tekniska inställningar och resursnamn.

Vissa Azure-tjänster gör det inte möjligt för dig att ange den region där en tjänst, till exempel Microsoft Entra ID, Azure Monitor eller Traffic Manager, finns distribuerad. Dessa tjänster verkar globalt för att leverera kritisk funktionalitet till kunder, och kallas för "icke-regionala tjänster". Om inget annat anges lagrar och bearbetar icke-regionala tjänster kunddata i alla Microsoft-datacenter inom offentliga Azure-regioner. Mer information finns i Dataresidens i Azure.

Data som överförs mellan Azure-regioner finns kvar i Microsofts globala nätverk. Du kan konfigurera virtuella nätverk i Azure för att endast aktivera åtkomst från företagsnätverk med Azure-nätverkssäkerhetsgrupper och Azure-brandvägg. Vidare kan du begränsa åtkomst från internet till specifika platser med funktioner såsom Geomatch-anpassade regler för Azure-brandvägg för webbaserade program (WAF) och Villkorlig åtkomst – Blockera åtkomst efter plats.

Dataresidens i Microsoft Cloud for Sovereignty

Suveränitetspolicyinitiativ på grundnivå för Microsoft Cloud for Sovereignty kräver att du konfigurerar Azure-regionerna där resurser kan distribueras. För regionala tjänster bestämmer de konfigurerade regionerna geografierna för dessa tjänster och den effektiva dataresidensgränsen för kunddatalagring.

Du kan konfigurera SLZ:er för att begränsa användningen av specifika tjänster, inklusive icke-regionala tjänster som inte uppfyller dina specifika behov för dataresidens.

Baskonfigurationen för SLZ:erna inkluderar nätverksregler som bestämmer från vilka nätverk dina resurser kan nås.

  • Data i ett program som distribueras till en prenumeration i Corp- eller Confidential Corp-landningszonerna är begränsade till din organisations nätverk inom Azure och ansluten till Azure.
  • Data i ett program som distribueras till en prenumeration i Online- eller Konfidentiella Online-landningszoner kan nås via internet från var som helst, detta så länge användaren eller systemet som får åtkomst till datan har lämpliga autentiseringsuppgifter och det inte finns några regler för brandvägg eller villkorlig åtkomst som blockerar åtkomsten.

För mer information, se Översikt över Sovereign landningszon.

Dataresidens och motståndskraft

De regioner som du konfigurerar som tillåtna regioner för Microsoft Cloud for Sovereignty kan påverka motståndskraften hos de arbetsbelastningar du distribuerar. Vanligtvis möjliggör mindre restriktivt val av regioner större motståndskraft, detta eftersom du kan distribuera program över fler och mer spearerade regioner. Du kan överväga kryptering (i vila, under transport och under användning) som en alternativ kontrollåtgärd för regionbegränsning, i synnerhet öfr program med höga tillgänglighetskrav.

De flesta Azure-regioner består av tre eller fler tillgänglighetszoner. Lagrings- och beräkningstjänster utspridda över flera tillgänglighetszoner är motståndskraftiga mot lokala katastrofer som kan påverka ett helt datacenter. För motståndskraft mot katastrofer som kan påverka en hel region har många Azure-regioner också ett regionalt par inom samma geografi, vilket möjliggör automatisk eller kundkonfigurerad replikering över flera regioner för tjänster som stöds. För att hjälpa till att uppnå vissa standarder för dataresidens har vissa regioner inget regionalt par, och kunder är ansvariga för datamotståndskraft i den osannolika händelsen av ett fullständigt regionfel. För mer information, se Regioner med tillgänglighetszoner och inget regionpar.

Se även