共用方式為

Azure 登陸區域的主權考慮

  • 發行項

在滿足數字主權需求的同時採用雲端運算很複雜,而且在組織、產業和地理位置之間可能會有很大的差異。 Microsoft Cloud for Sovereignty 藉由將全球 Azure 平台的強大功能與數個主權功能結合在一起,以解決政府組織的主權需求,這些功能旨在協助降低主權風險。

Microsoft Cloud for Sovereignty

Microsoft Cloud for Sovereignty 提供各種層級的功能:

  • 進階主權控制服務,例如 Azure 機密運算和 Azure 金鑰保存庫 受控硬體安全性模組(受控 HSM)
  • 透過編纂架構、工作負載加速器、當地語系化 Azure 原則 計劃、工具和指引的主權護欄
  • 雲端操作員活動的法規合規性和透明度
  • 建置在 Azure 公用雲端功能之上的功能

此圖顯示 Microsoft Cloud for Sovereignty 的功能層級。

擁有主權需求的公共部門客戶想要開始使用 Azure,可以受益於 Microsoft Cloud for Sovereignty。 Microsoft主權雲端所提供的工具和指導方針,例如主權登陸區域(預覽),可以加速主權環境的定義和部署。

主權登陸區域

主權登陸區域 (預覽) 是 Azure 登陸區域架構量身打造變體,適用於需要進階主權控制的組織。 主權登陸區域 (預覽) 會對齊 Azure 功能,例如服務落地、客戶管理的密鑰、Azure Private Link 和機密運算,以建立雲端架構,其中數據與工作負載預設會提供加密和保護威脅。

注意

Microsoft雲端主權面向具有主權需求的政府組織。 您應該仔細考慮您是否需要 Microsoft Cloud for Sovereignty 功能,然後才考慮採用主權登陸區域 (預覽) 架構。

主權登陸區域設計區域

Azure 登陸區域架構包含八 個設計區域。 每個設計區域都會描述部署登陸區域之前要考慮的因素。 下列各節說明部署主權登陸區域時適用的其他考慮(預覽)。 除了 Azure 登陸區域指引之外,也請記住這些新的考慮。

資源組織

主權登陸區域是量身打造的 Azure 登陸區域概念架構版本。 主權登陸區域符合量身打造 Azure 登陸區域架構中所述的指導方針。

機密運算的管理群組

如下圖所示,主權登陸區域架構建置在 Azure 登陸區域架構上:

  • 在登陸區域管理群組下會新增機密公司機密在線管理群組。
  • 也會套用一組特定的原則計劃, 例如,Microsoft雲端主權原則基準。 這些計劃提供控制措施,例如資源部署位置、資源部署類型和加密。

顯示主權登陸區域管理群組的圖表。

Microsoft雲端主權原則基準

主權登陸區域(預覽版)隨附部署的Microsoft雲端主權原則基準計劃。 因此,您可以在主權登陸區域內部署其他原則集(預覽)。 您可以在主權登陸區域上分層額外的原則(預覽)。 範例包括 Azure 登陸區域原則和原則集,可解決控制架構,例如國家標準與技術研究院 (NIST) 800 171 修訂 2 和 Microsoft Cloud Security Benchmark。

Microsoft雲端主權原則基準包含:

  • 當工作負載部署至機密管理群組時,強制使用機密運算資源的原則。 這些原則可協助建立一個平臺,其中工作負載在待用、傳輸中,以及正在使用中,這會從信任鏈結中移除Microsoft。
  • 位置原則,預設也會部署,以提供雲端管理員控制可部署 Azure 資源的位置。
  • 密鑰管理是由聯邦資訊處理標準 (FIPS) 140-2 層級 3 驗證的 HSM 所控制,並由原則強制執行。

主權登陸區域 (預覽) 在 Azure 登陸區域之上所新增的原則和意見,會建立預設偏向於增加安全性和機密性的平臺。

如需主權原則基準計劃的詳細資訊,請檢閱 Microsoft Cloud for Sovereignty 原則組合 檔。

網路拓撲和連線能力

主權登陸區域 (預覽) 著重於待用數據的操作控制、傳輸中和使用中。

網路流量加密

如需網路加密的最佳做法,請參閱 定義網路加密需求

因特網輸入和輸出連線能力

與 Azure 登陸區域部署類似,主權登陸區域部署支援:

  • 用於啟用分散式阻斷服務 (DDoS) 保護的進階層 Azure 防火牆 參數化部署。
  • 部署中央 Azure Bastion 基礎結構。

在開啟這些功能之前,請參閱規劃輸入和輸出因特網連線中的 因特網輸入和輸出連線的最佳做法。

安全性

主權登陸區域架構會使用機密登陸區域中的機密運算。 下列各節說明提供 Azure 機密運算支持的服務。

Azure Key Vault 受控 HSM

金鑰保存庫 是部署機密運算資源的必要服務。 如需設計考慮和建議,請參閱 Azure 中的加密和密鑰管理。 您可能需要選擇 Azure 金鑰保存庫 受控 HSM 以符合規範需求。

Azure 證明

如果您使用 Azure 機密運算,則可以利用 Azure 證明 的來賓證明功能。 這項功能有助於確認機密 VM 在硬體型受信任執行環境 (TEE) 上執行,並啟用隔離和完整性等安全性功能。

如需啟用客體證明的詳細資訊,請參閱 什麼是機密 VM 的客體證明?

治理

在大部分情況下,Microsoft人員執行作業、支援和疑難解答,而且不需要存取客戶數據。 有時候,Microsoft工程師需要存取客戶數據。 這些案例可能會針對客戶起始的支援票證或Microsoft找出問題時提出。

適用於 Microsoft Azure 的客戶加密箱

在需要存取的情況下,您可以使用 客戶加密箱Microsoft Azure。 這項功能提供介面,可讓您用來檢閱並核准或拒絕客戶數據存取要求。

平台自動化和 DevOps

主權登陸區域 (預覽) 可作為 GitHub 存放庫

部署選項

您可以部署整個登陸區域,也可以一次部署一個元件。 當您部署個別元件時,您可以將它們整合到現有的部署工作流程中。 如需部署指引,請參閱 主權登陸區域預覽部署的主要元件。

注意

主權登陸區域 (預覽) 是 Azure 登陸區域的變體。 但主權登陸區域尚未提供 Azure 登陸區域架構可用的所有部署選擇。 如需部署主權登陸區域的相關信息,請參閱 主權登陸區域預覽部署的主要元件。

GitHub 存放庫包含下列主權登陸區域 (預覽) 元件:

  • Bootstrap:設定管理群組階層,並依照主權登陸區域的架構來建立訂用帳戶(預覽)。 這些專案會部署在 Azure 客戶租使用者的租使用者根群組之下。

  • 平台:設定主權登陸區域 (預覽) 平臺和工作負載所使用的中樞網路和記錄資源。

  • 合規性:建立並指派預設原則集,以及環境中強制執行的自定義原則。

  • 儀錶板:為您提供資源合規性的視覺表示法。

合規性儀錶板

合規性儀錶板會部署為主權登陸區域 (預覽) 部署的一部分。 此儀錶板可協助您根據需求和當地法律和法規來驗證主權登陸區域(預覽)。 具體而言,儀錶板可讓您深入瞭解資源層級的合規性:

  • 使用主權登陸區域部署的基準原則(預覽)。
  • 已部署的其他自定義合規性。

如需詳細資訊,請參閱 合規性儀錶板檔