数据驻留
数据驻留涉及存储和处理数据的物理位置。 数据驻留要求是公共部门客户普遍关心的问题,他们经常要求 Microsoft 限制不同类型数据的存储和处理位置。 Microsoft Cloud for Sovereignty 让客户能够配置主权登陆区域 (SLZ),以限制最终用户可以使用的服务和区域,并执行服务配置,帮助客户实现数据驻留需求。
Azure 中的数据驻留
大多数 Azure 服务都是按区域部署的,您可以指定客户数据的存储和处理位置。 此类区域服务的示例包括 VM、存储和 SQL 数据库。 区域属于地理位置部分,对于区域服务,Microsoft 不会将客户数据存储在所选地理位置之外,除非有文件记录的情况。 有关更多信息,请参阅 Azure 中的数据驻留和白皮书在 Microsoft Azure 地区启用数据驻留和数据保护。
如我们的服务协议中所定义的,客户数据表示客户或代表客户通过对联机服务提供给 Microsoft 的所有数据,包括所有文本、声音、视频或图像文件以及软件。 客户数据不包括专业服务数据。 为明确起见,客户数据不包括用于配置联机服务中的资源的信息,如技术设置和资源名称。
某些 Azure 服务不允许您指定已部署服务(例如 Microsoft Entra ID、Azure Monitor 或流量管理器)的区域。 这些服务在全球范围内运营,为客户提供关键功能,被称为非区域服务。 除非另有说明,非区域服务在 Azure 公共区域内的任何 Microsoft 数据中心存储和处理客户数据。 有关详细信息,请参阅 Azure 中的数据驻留。
Azure 区域之间传输的数据保留在 Microsoft 全球网络。 您可以在 Azure 中配置虚拟网络,以仅允许从具有 Azure 网络安全组和 Azure 防火墙的企业网络进行访问。 此外,您可以使用以下功能限制从 Internet 到特定位置的访问:Azure Web 应用程序防火墙 (WAF) Geomatch 自定义规则和条件访问 - 按位置阻止访问。
Microsoft Cloud for Sovereignty 中的数据驻留
Microsoft Cloud for Sovereignty 的主权基准策略计划要求您配置可以在其中部署资源的 Azure 区域。 对于区域服务,配置的区域决定了这些服务的地理位置以及客户数据存储的有效数据驻留边界。
您可以配置 SLZ 以限制特定服务的使用,包括不能满足您的特定数据驻留需求的非区域服务。
SLZ 的基本配置包括决定可以从哪些网络访问您的资源的网络规则。
- 部署到公司或机密公司登陆区域中的订阅的应用程序中的数据仅限于贵组织在 Azure 内并连接到 Azure 的网络。
- 部署到在线或机密在线登陆区域中的订阅的应用程序中的数据可以通过互联网从任何地方访问,只要访问数据的用户或系统具有适当的凭据,并且没有防火墙或条件访问规则阻止访问。
有关详细信息,请参阅主权登陆区域概述。
数据驻留和复原能力
您为 Microsoft Cloud for Sovereignty 配置为允许区域的区域可能会影响您部署的工作负载的复原能力。 通常,限制较少的区域选择可以实现更大的复原能力,因为您可以将应用程序分布到更多、更远的区域。 您可以考虑将加密(静态、传输中和使用中)作为区域限制的替代控制措施,特别是对于有高可用性要求的应用程序。
大多数 Azure 区域由三个或更多可用性区域组成。 分布在多个可用性区域的存储和计算服务可抵御可能影响整个数据中心的局部灾难。 为了抵御可能影响整个区域的灾难,许多 Azure 区域还在同一地理位置内设有区域对,为支持的服务启用自动或客户配置的跨区域复制。 为了帮助实现某些数据驻留标准,某些区域没有区域对,并且万一整个区域发生故障时,由客户负责数据恢复。 有关详细信息,请参阅具有可用性区域且无区域对的区域。