计划、实施和监视 Microsoft Cloud for Sovereignty
Microsoft Cloud for Sovereignty 为整个云实施生命周期的 IT 专业人员和信息安全官员提供工具和指导。 本文的其余部分介绍了实施生命周期的三个阶段的相关功能,参考每篇文章的详细文章。
计划
有严格主权要求的公共部门组织必须将主权目标纳入规划工作中。 此流程可确保有关云采用的战略决策符合这些主权要求。
主权要求
Azure 的 Microsoft Cloud 采用框架是一个完整的生命周期框架,可让云架构师、IT 专业人员和业务决策者实现云采用目标。 此框架提供帮助您创建和实施云业务和技术策略的最佳做法、文档和工具。
您可以阅读评估主权要求来了解如何评估、确定和记录主权要求,并查看这些要求可能适合与 Azure 云采用框架相关的更广泛的规划工作的建议。
Cloud for Sovereignty 的地区可用性
规划的一个关键部分是了解和评估主权相关服务的区域可用性。 文章 Microsoft Cloud for Sovereignty 的国际可用性进行了概述。
数据驻留选项和 EU 数据边界
数据驻留是公共部门数据的常见监管要求。 数据驻留要求可能会限制不同类型数据的存储和处理位置。 有些法规还可能对数据传输位置施加限制。 Microsoft Cloud for Sovereignty 让您能够配置主权登陆区域 (SLZ) 以限制可以使用的服务和区域,并强制执行服务配置以满足数据驻留要求。 有关详细信息,请参阅数据驻留。
而且,EU 数据边界是一个在地理上定义的边界,Microsoft 已承诺在该边界内存储和处理主要商业企业联机服务的客户数据,包括 Azure、Dynamics 365、Power Platform 和 Microsoft 365。 EU 数据边界提供的数据驻留承诺超出了 Microsoft Cloud for Sovereignty 管理的范围,特别是在非区域 Azure 服务的数据驻留方面。 有关详细信息,请参阅 EU 数据边界。
Cloud for Sovereignty 策略组合和基准
主权策略组合包括主权基准策略计划以及旨在帮助满足特定于区域的合规性法规的策略计划。 这些策略计划帮助公共部门客户快速遵守各个监管框架。 这些策略计划还附有相关的控制映射和文档。 有关详细信息,请参阅策略组合。
示例参考体系结构(预览)
SLZ 部署的一个常见场景是使用 LLM 通过检索增强生成 (RAG) 模式使用您自己的数据参与对话。 此模式让您能够利用 LLM 的推理能力,并可以根据您的特定数据生成响应,而无需对模型进行微调。 它帮助将 LLM 无缝集成到您现有的业务流程或解决方案。 探索了如何在主权登陆区域内应用这些技术,同时考虑重要护栏。 有关详细信息,请参阅检索增强生成 (RAG) 模式下的 LLM 和 Azure OpenAI。
实施
在实施阶段,公共部门组织可以使用以下 Microsoft Cloud for Sovereignty 工具和指南加速主权环境的定义和部署。
主权登陆区域
主权登陆区域 (SLZ) 是 Azure 登陆区域 (ALZ) 的一个变体,提供企业规模的专注于静态、传输中和使用中数据的操作控制的云基础结构。 SLZ 将服务驻留、客户管理的密钥、专用链接和机密计算等 Azure 功能结合起来,以创建数据和工作负荷默认加密、免受威胁的云体系结构。 您可以使用单个 PowerShell 命令和一些参数来部署 SLZ。
SLZ 在 GitHub 上提供。 有关详细信息,请参阅主权登陆区域概述。
工作负荷模板
工作负荷模板为常见工作负荷类型提供生产质量、可重用、安全且在设计上合规的自动化部署。 工作负荷模板主要关注以可重用的方式正确配置的一项或多项 Azure 服务的部署。 有关详细信息,请参阅主权登陆区域的工作负荷模板。
登陆区域生命周期管理工具(预览)
Microsoft Cloud for Sovereignty 通过 GitHub 提供以下登陆区域生命周期管理工具:
- 评估:根据确定的最佳做法对 Azure 资源(如位置和 Azure 策略分配)进行部署前评估。
- 策略编译器:简化策略管理过程。 它通过检查关键组件来系统地分析组织的策略计划。
- 偏移分析器:监视云环境的当前状态,并将其与原始预定登陆区域配置进行比较。 它识别关键偏差或变化。
有关详细信息,请参阅登陆区域生命周期管理工具。
帮助保证更多数据主权的 Dataverse 和 Power Platform 环境中的主权护栏(预览)
您可以配置 Dataverse 和 Power Platform 环境来增强数据主权。 您可以使用 Microsoft Power Platform 管理中心对环境和设置进行集中管理,包括用于控制环境创建和管理的租户设置。 您还可以对 Dataverse 和 Power Platform 使用特定的访问控制,以确保符合主权要求。 有关更多信息,请参阅配置您的 Dataverse 和 Power Platform 环境以确保更多数据主权。
加密和密钥管理
为安全和主权实施实施正确的加密和密钥管理策略至关重要。 有关详细信息,请参阅这篇文章。
Azure 机密计算
Microsoft Cloud for Sovereignty 帮助客户以遵守特定监管和主权要求的方式配置和保护数据和资源。 包括确保客户控制之外的各方(包括 Microsoft)无法访问客户数据。 与 Azure 机密计算 (ACC) 一起,Microsoft Cloud for Sovereignty 让客户能够了解并控制对工作负荷的所有访问。 ACC 通过删除或减少云提供商操作员和其他行为者(包括虚拟机监控程序等软件)的特权数据访问来增强客户主权。 除了保护静态和传输中数据的现有解决方案之外,ACC 还可以帮助在整个生命周期中保护数据。 有关详细信息,请参阅 Azure 机密计算。
示例应用程序
使用示例人力资源 (HR) 机密应用程序,它可确保和验证主权登陆区域 (SLZ) 部署的基础结构满足客户工作负荷的机密需求。 有关详细信息,请参阅机密示例应用程序。
迁移和现代化
Microsoft Cloud for Sovereignty 为将工作负荷迁移到云提供工具和指南。 有关详细信息,请参阅工作负荷迁移概述。
监视和审核
除了 Microsoft Azure 提供来监视工作负荷并确保其安全的丰富的服务集(如 Azure Monitor 和 Defender for Cloud)外,Microsoft Cloud for Sovereignty 还推出了新功能和服务。
透明度日志(预览)
为了获得主权客户的信任,Microsoft Cloud for Sovereignty 提供了额外的日志记录和监视控制,以提高 Microsoft 人员活动的透明度。 因此,客户可以获得超出标准公有云功能的可见性,以帮助满足审核和访问控制要求。
透明度日志的可用性是有限的,并受客户资格要求的限制。 获得批准的客户会收到其租户的月度报告,其中汇总了 Microsoft 工程师或支持代理被授予对客户的 Azure 资源的临时访问权限的实例。
有关详细信息,请参阅透明度日志。
Dataverse 和 Power Platform 中的透明度控制(预览)
您还可以在 Dataverse 和 Power Platform 中设置透明度控制,这对于遵守主权策略至关重要。
有关详细信息,请参阅Dataverse 和 Power Platform 中的透明度控制。
政府安全计划
政府安全计划 (GSP) 是一项现有的 Microsoft 计划,旨在为合格的政府参与者提供信任 Microsoft 产品和服务所需的机密信息。 此计划包括对源代码的受控访问、威胁和漏洞信息的交换、参与有关 Microsoft 产品和服务的技术内容以及对透明度中心的访问。 Microsoft Cloud for Sovereignty 已扩展 GSP 计划以覆盖某些 Azure 服务。 如需了解更多信息,请参阅政府安全计划。