Azure 提供一系列符合各种法规合规性框架和行业标准的内置举措。 这些计划涵盖数据保护、网络安全和访问控制等关键方面。 通过实施强大的配置和控制,您可以增强组织 Azure 资源的主权和安全地位,并保护敏感数据免遭未经授权的访问。
Microsoft Cloud for Sovereignty 通过定期添加更多举措来扩展现有的 Azure 内置举措和自定义政策举措。
Azure 内置策略计划
Azure 内置策略计划是一个强大的工具集,可实现对 Azure 资源的集中控制和对特定配置的强制执行。 这些计划包括一系列策略定义,支持遵守不同监管框架、行业标准和安全最佳做法。
这些计划提供了一种简化的自动化的治理方法,让组织能够大规模管理和监视合规情况。 有关策略计划的更多信息,请参阅什么是 Azure policy?。
Azure 自定义政策举措
Azure Policy 自定义举措可帮助您专门针对组织的独特要求定制一组策略,使您能够控制实施最适合您环境的标准和规则。 Microsoft Cloud for Sovereignty 提供了多个自定义政策举措和合规性映射。 它们可以通过 GitHub 上的 industry-policy-portfolio 存储库进行部署。 Microsoft Cloud for Sovereignty 策略计划有助于自定义部署,以减少审核环境所需的时间和复杂度,并可以帮助满足既定的法规合规框架和政府要求。
Microsoft Cloud for Sovereignty 策略计划
Microsoft Cloud for Sovereignty 计划和合规性映射对 Azure 内置计划进行扩展,可帮助您自动执行策略并建立强大的治理框架,降低不合规风险。 此外,这些计划还加强了数据保护措施。 当我们在其他框架上继续扩展时,组织可以使用大量可用的法规合规内置计划。
法规合规策略计划
Microsoft Cloud for Sovereignty 在 industry-policy-portfolio 存储库中维护多项法规合规性政策举措。 此产品组合包含一系列举措,可帮助您开始合规性之旅。
这些举措以 Azure 内置举措和自定义政策举措的形式提供。 您可以通过 Azure Policy 门户页面找到内置政策举措。 对于自定义举措,需要将举措部署到租户中。 有关详细信息,请参阅 industry-policy-portfolio 存储库。 该存储库中包含的政策举措和文件旨在作为起点。 这些文件并非最终或全面的解决方案,而是帮助您快速开始工作的有用资源。
除了政策举措之外,您还可以在 industry-policy-portfolio 存储库中找到有关政策框架和控制目标映射的具体政策的信息。
该产品组合包括以下政策举措:
- NIS2 指令(预览版)增强整个欧盟关键基础结构和数字服务的网络安全和弹性,确保对网络威胁提供更高级别的保护。
- 西班牙 Esquema Nacional de Seguridad (ENS) 高级安全措施要求对公共组织和信息通信技术 (ICT) 提供商进行安全控制,从而确保符合西班牙和欧盟标准以保护数据和服务。
- 新西兰信息安全手册 (NZ ISM) 旨在建立保护新西兰政府信息和系统的流程和控制措施。
- 政府信息安全基线(荷兰语为 Baseline informatiebeveiliging Overheid 或 BIO)是荷兰各级政府(中央政府、市、省和水务局)信息安全的基本标准框架。
- 意大利云战略包含意大利公共管理部门向数据云和数字服务迁移的战略指南,国家网络安全局 (ACN) 发布了一系列云服务和云服务基础设施的资格要求。
- 一个自定义 Azure 策略计划和控制映射,帮助客户满足云安全联盟 (CSA) 云控制矩阵 (CCM) v4 云计算网络安全控制框架定义的指南的要求。
- Microsoft Cloud for Sovereignty 基线全局政策和 Microsoft Cloud for Sovereignty 基线机密政策。
Microsoft 最近又发布了两项监管合规性内置政策举措:Microsoft Cloud for Sovereignty 基线全局政策和 Microsoft Cloud for Sovereignty 基线机密政策。
有关这些法规合规性政策举措的详细信息,请参阅 industry-policy-portfolio。
主权基准策略计划
Microsoft Clouds for Sovereignty 策略计划主要是为了帮助证明特定的安全控制框架的合规性。 但是,主权基准策略计划是一组特殊的内置 Azure Policy 计划,用途是通过主权控制来补充框架。
主权控制帮助适当使用以易于采用的方式为组织提供超出现有安全控制框架通常需要的数据保护屏障的 Azure 机密计算产品/服务。
主权基准策略计划为组织提供了一种简单的方法,以解决一个或多个主权控制目标的方式配置多个 Azure 策略,如下所示:
- 客户数据必须完全在位于根据客户定义的要求批准的地理区域的数据中心存储和处理。
- 客户必须批准云和托管服务操作员访问客户数据。
- 客户定义的敏感客户数据只能以加密方式供云和托管服务操作员访问。
- 客户必须对决定哪些身份可以访问用于解密客户定义的敏感数据的密钥有独占控制权。
这些控制目标是 Azure 建议的最佳做法,通过支持存储或处理客户数据的各个 Azure 产品/服务中的适当使用和配置来解决数据主权问题。 如果您感觉基准中还有必要包含其他一些控制目标,您可以创建功能请求。
主权基准策略计划随主权登陆区域预装,或者可以作为内置 Azure Policy 部署在任何 Azure 租户中。
主权基准策略计划不会取代内置的法规合规计划或直接映射到任何框架。 组织应继续利用其现有计划来证明遵守所有适当的监管框架。
有关 Microsoft 如何看待数据主权的更多信息,请查看我们的白皮书。
重要提示
组织全权负责确保自身遵守所有适用的法律和法规。 本文档中提供的信息不构成法律建议,组织应咨询其法律顾问来了解有关法规合规的任何问题。