Egemenlik stratejisi tanımlama

Bu makalede, bulut hizmetlerini kullanırken egemenlik stratejinizin nasıl planlandığı açıklanmaktadır. Birçok jeopolitik bölge, gizliliğe duyarlı veriler ve kamu verileri gibi belirli veri türlerini işlemeye yönelik düzenlemelere sahiptir. Düzenlemeler genellikle veri yerleşimi, veriler üzerindeki denetim ve bazen operasyonel bağımsızlık (autarky olarak adlandırılır) ile ilgili egemenlik gereksinimlerini zorunlu kılmaktadır.

Kuruluşunuzun bu düzenlemelere uyması gerektiğinde, egemenlik gereksinimlerini karşılamak için bir strateji tanımlamanız gerekir. Kuruluşunuz şirket içi hizmetlerden bulut hizmetlerine geçerse, egemenlik stratejisini buna göre ayarlamanız gerekir.

Egemenlik stratejinizi modernleştirme

Şirket içi veri merkeziniz için, genellikle egemenlikle ilişkili olan çoğu konudan siz sorumlu olursunuz, örneğin:

• Verilerin depolandığı ve işlendiği veri merkezleri.
• Veri merkezlerine ve fiziksel altyapıya erişim.
• Donanım ve yazılım tedarik zinciri dahil olmak üzere donanım ve yazılım.
• Donanım ve yazılımı doğrulayan güvence işlemleri.
• Olağanüstü durum veya jeopolitik bir olay olduğunda iş sürekliliğini sağlayan altyapı ve süreçler.
• Kimlerin hangi verilere ve sistemlere erişimi olduğunu belirleyen yapılandırmalar ve işlemler.
• Verileri ve sistemleri dış ve iç tehditlere karşı güvenli hale getiren araçlar ve işlemler.

Bulut hizmetlerini benimsediğinizde, bu yönlerin sorumluluğu paylaşılan bir sorumluluğa geçer. Uyumluluk ekibiniz, egemenlik gereksinimlerine uyulup uyulmadığını belirlemek için kullandıkları stratejiyi değiştirir. Uyumluluk ekibi şunları dikkate alır:

• Bulut hizmetlerinin uyumluluğu. Bulut sağlayıcısının hizmetleri egemenlik ve uyumluluk gereksinimlerini nasıl karşılıyor?

• Kuruluşunuzun sorumlu olduğu sistemlerin ve süreçlerin uyumluluğu. Egemenlik ve uyumluluk gereksinimlerini karşılamanıza yardımcı olacak araçlar hangileridir ve bu araçları nasıl kullanırsınız?

Uyumluluk ekibinin aynı hedeflere ulaşan alternatif yöntemleri kullanma izni almak için bir düzenleyiciyle çalışması gerekebilir. Bazı durumlarda, daha fazla seçenek eklenerek veya istenen sonucu elde etmek için belirli bir çözümü kullanmak üzere bir yönerge ayarlanarak bir düzenlemenin değiştirilmesi gerekebilir. Düzenlemenin değiştirilmesi uzun bir süreç olabilir. Ancak, bir düzenlemenin amacına ulaştığınızı gösterebilirseniz muafiyet almak mümkün olabilir.

Örneğin, bir düzenleme kuruluşların belirli bulut hizmetlerini kullanmasını kısıtlayabilir çünkü yalıtım gereksinimleri yalnızca genellikle bulutta bulunmayan donanım yalıtımıyla karşılanabilir. Ancak istenen sonuç sanal yalıtımla da elde edilebilir. Stratejinizin bir parçası olarak, bu olası engelleyiciler ortaya çıktığında düzenleyiciler ve denetçilerle nasıl çalışabileceğinizi belirlemeniz gerekir.

Uyumluluk ve egemenlik gereksinimlerinizi karşılama hakkında daha fazla bilgi için bkz . Egemenlik için Microsoft Bulut.

Bulut hizmetlerinin uyumluluğu

Uyumluluk ekibi, bulut hizmeti uyumluluğunu doğrulamak için aşağıdakiler dahil olmak üzere çeşitli kaynaklar ve yöntemler kullanır:

• Hizmetlerinin nasıl çalıştığı ve nasıl kullanılacağı hakkında satıcı belgeleri , örneğin ABD Federal Risk ve Yetkilendirme Yönetimi Programı (FedRAMP) ürün belgeleri ve sistem güvenlik planları.

• Küresel, bölgesel ve sektör uyumluluk çerçevelerine uyumluluğu onaylayan bağımsız denetçi sertifikaları. Daha fazla bilgi için bkz. Microsoft 365, Azure ve diğer Microsoft hizmetleri için uyumluluk teklifleri.

• Bağımsız denetçilerin bulut hizmetlerinin küresel, bölgesel ve sektör uyumluluk çerçevelerinin gereksinimlerini nasıl karşıladığına ilişkin içgörüler sağlamak için oluşturduğu denetim raporları . Bazı denetim raporları Hizmet Güveni Portalı'nda kullanılabilir.

• Kamu Güvenlik Programı gibi satıcı denetim teklifleri aracılığıyla uyumluluk ekibi tarafından veya adına gerçekleştirilen denetimler (yalnızca belirli müşteriler tarafından kullanılabilir).

• Microsoft mühendislerinin kaynaklarınıza ne zaman eriştiği hakkında ayrıntılı bilgi sağlayan saydamlık günlükleri .

Uyumluluk ekibinizin kullandığı kaynak ve yöntemlerin birleşimi, ihtiyacınız olan içgörü düzeyine, farklı seçeneklerde sahip olduğunuz güvene, kaynaklarınıza ve bütçenize bağlıdır. Üçüncü taraf denetçi sertifikasyonu, ekibinizin denetim gerçekleştirme gereksinimini ortadan kaldırır ve maliyeti daha azdır, ancak denetçi ve denetim sürecine güvenmeyi gerektirir.

Sistemlerinizin ve süreçlerinizin uyumluluğu

Kuruluşunuzun uyumluluk süreçleri ve sistemleri, bulut hizmetlerinin ek özelliklerinden yararlanabilir. Bu özellikleri kullanarak şunları yapabilirsiniz:

• Teknik ilkeleri zorunlu kılma veya raporlama. Örneğin, hizmetlerin veya yapılandırmaların dağıtımını engelleyebilir veya egemenlik ve uyumluluk için teknik gereksinimleri karşılamayen ihlaller bildirebilirsiniz.

• Belirli uyumluluk çerçeveleriyle uyumlu önceden oluşturulmuş ilke tanımlarını kullanın.

• Denetimleri günlüğe kaydetme ve izleme.

• Güvenlik araçlarını kullanın. Daha fazla bilgi için bkz . Güvenlik stratejisi tanımlama.

• Azure gizli bilgi işlem gibi teknik güvence ve izleme özellikleri gerçekleştirin.

Kuruluşunuzun ortamı ve tek tek iş yükleri için bu özellikleri dikkatle göz önünde bulundurun. Her özellik için gereken çaba miktarını, uygulanabilirliği ve işlevi göz önünde bulundurun. Örneğin, ilke zorlama uyumluluğu destekleyen nispeten basit bir yöntemdir, ancak hangi hizmetleri kullanabileceğinizi ve bunları nasıl kullanabileceğinizi kısıtlayabilir. Buna karşılık, teknik güvence çok çaba gerektirir ve yalnızca birkaç hizmet için kullanılabilir olduğundan daha kısıtlayıcıdır. Ayrıca önemli miktarda bilgi gerektirir.

Paylaşılan sorumluluğu benimseme

Bulut hizmetlerini benimsediğinizde, paylaşılan bir sorumluluk modelini benimsersiniz. Hangi sorumlulukların bulut sağlayıcısına kaydığını ve hangilerinin sizinle kaldığını belirleyin. Bu değişikliklerin düzenlemeler için egemenlik gereksinimlerini nasıl etkilediğini anlayın. Daha fazla bilgi için bkz. Bulut hizmetlerinin uyumluluğu'ndaki kaynaklar. Üst düzey bir görünüm elde etmek için aşağıdaki kaynakları göz önünde bulundurun:

• Azure altyapı güvenliği , Microsoft'un fiziksel altyapı için nasıl koruma sağladığını açıklar.

• Azure platform bütünlüğü ve güvenliği , Microsoft'un platforma yönelik tehditlere ve teknik güvence süreçlerine karşı nasıl koruma sağladığını açıklar.

• Azure'da veri yerleşimi, veri yerleşimi özelliklerini açıklar. Avrupa Birliği 'ndeki (AB) müşteriler için bkz . Microsoft AB Veri Sınırı.

Bulut sağlayıcısı, bulutu çalıştıran kritik sistemlerin sürekliliğini sağlayarak kısmen platformun dayanıklılığı aracılığıyla iş sürekliliği sağlar. bir iş yükünün kullandığı hizmetler, iş yüklerinizi oluşturmak için kullanabileceğiniz süreklilik seçenekleri sağlar. İsterseniz Azure Backup veya Azure Site Recovery gibi diğer hizmetleri de kullanabilirsiniz. Daha fazla bilgi için bkz . Azure güvenilirliği belgeleri.

Bulut sağlayıcısı hem iç hem de dış tehditlerden bulut platformuna erişimin güvenliğini sağlamaktan sorumludur. Müşteriler kimlik ve erişim yönetimi, şifreleme ve diğer güvenlik önlemleri aracılığıyla verilerinin güvenliğini sağlamak için sistemlerini yapılandırmakla sorumludur. Daha fazla bilgi için bkz . Güvenlik stratejisi tanımlama.

Verileri ayırt etmek için sınıflandırmaları kullanma

Verilerin gizliliği ve gizliliğe duyarlı veriler içermesi gibi faktörlere bağlı olarak farklı veri türleri ve iş yükleri farklı egemenlik gereksinimlerine sahip olabilir. Kuruluşunuz için hangi veri sınıflandırmalarının geçerli olduğunu ve hangi veri ve sistemlerin hangi sınıflandırmalara tabi olduğunu anlamak önemlidir. Bazı veriler ve uygulamalar birden çok düzenlemeye tabidir ve bu da birleşik gereksinimlere ihtiyaç oluşturabilir. Örneğin, verilerin gizliliği ve sistemin kritikliği ile ilgili bir düzenleme olabilir. Sonuçta elde edilen sınıflandırmalar yüksek gizlilik, düşük kritiklik veya orta düzeyde gizlilik ve yüksek kritiklik olabilir.

Egemenlik gereksinimlerine uyduğunda maliyet, dayanıklılık, ölçeklenebilirlik, güvenlik ve hizmet zenginliği gibi diğer faktörleri etkileyebilir. Egemenlik stratejiniz için veri sınıflandırmasına doğru denetimleri uygulamak önemlidir. Tümüne tek boyuta uyan bir yaklaşım, en yüksek uyumluluk gereksinimlerini destekleyen ve büyük olasılıkla en yüksek maliyetli ve en az yararlı olan bir ortama yol açar.

Sonraki adımlar

• Hakimiyet için Bulut, Azure platformundaki bağımsız özellikler hakkında içgörüler sağlar ve egemenlik gereksinimlerini nasıl ele alınabileceğinizi açıklar.

• Güvenlik ve egemenlik aynı değildir, ancak güvenli değilseniz bağımsız olamazsınız. Bu nedenle , egemenlik stratejinizle tümleşen bir güvenlik stratejisi tanımlamanız gerekir.