資料落地
資料落地涉及儲存和處理資料的實際位置。 資料落地需求是公共部門客戶普遍關心的問題,他們經常要求 Microsoft 限制不同類型資料的儲存和處理位置。 Microsoft Cloud for Sovereignty 可讓客戶設定主權登陸區域 (SLZ),限制終端使用者所能使用的服務和區域,並強制服務設定以協助客戶實現資料落地需求。
Azure 中的資料落地
大多數 Azure 服務都是按區域部署,讓您可以指定儲存和處理客戶資料的位置。 此類區域服務的範例包括 VM、儲存體和 SQL 資料庫。 區域是地理位置的一部分,對於區域服務,除了在有書面證明的情況下,Microsoft 不會將其客戶資料儲存在所選地理位置之外。 如需詳細資訊,請參閱 Azure 中的資料落地和技術白皮書在 Microsoft Azure 區域中啟用資料落地和資料保護。
如服務合約中所定義,客戶資料係指由於客戶 (或代表客戶) 使用線上服務而提供給 Microsoft 的所有資料,包括所有文字、聲音、視訊或影像檔和軟體。 客戶資料不包括專業服務資料。 為明確起見,客戶資料不包括用於設定線上服務中資源的資訊,例如技術設定和資源名稱。
特定 Azure 服務不允許您指定部署服務 (例如 Microsoft Entra ID、Azure 監視器或流量管理員) 所在的區域。 這些服務在全球範圍內營運,為客戶提供重要功能,並稱為非區域服務。 除非另有說明,否則非區域服務會在 Azure 公用區域內的任何 Microsoft 資料中心儲存和處理客戶資料。 如需詳細資訊,請參閱 Azure 中的資料落地。
Azure 區域之間傳輸的資料會保留在 Microsoft 全球網路。 您可以將 Azure 中的虛擬網路設定為僅允許從使用 Azure 網路安全性群組和 Azure 防火牆的公司網路進行存取。 此外,您還可以使用 Azure Web 應用程式防火牆 (WAF) Geomatch 自訂規則和 條件式存取 - 依據位置封鎖存取等功能,將從 Internet 進行的存取限制在特定位置。
Microsoft Cloud for Sovereignty 中的資料落地
Microsoft Cloud for Sovereignty 的主權基準原則計劃要求您必須設定可部署資源的 Azure 區域。 對於區域服務,設定的區域決定這些服務的地理位置以及客戶資料儲存的有效資料落地邊界。
您可以設定 SLZ 來限制特定服務的使用,包括無法滿足您特定資料落地需求的非區域服務。
SLZ 的基本設定包括決定可從哪些網路存取您資源的網路規則。
- 部署至公司或機密公司登陸區域中訂閱之應用程式的資料僅限於您組織設在 Azure 中且已連接至 Azure 的網路。
- 如果存取資料的使用者或系統有適當的認證,且沒有防火牆或條件式存取規則封鎖存取,則可以透過網路從任何位置存取部署至線上或機密線上登陸區中訂閱之應用程式的資料。
如需詳細資訊,請參閱 主權登陸區域概觀。
資料落地和復原能力
您設定為 Microsoft Cloud for Sovereignty 允許區域的區域可能會影響您所部署工作負載的復原能力。 通常,選擇限制較少的區域可讓復原能力更強,因為您可以將應用程式散發到更多、更遠的區域。 您可以考慮將加密 (待用、傳輸中和使用中) 當做區域限制的替代控制措施,這對有高可用性需求的應用程式來說,尤其如此。
大多數 Azure 區域都是由三個或更多Azure 可用性區域所組成。 分佈在多個可用性區域的儲存體服務和計算服務具有復原性,可抵禦可能影響整個資料中心的當地災害。 為了抵禦可能影響整個區域的災害,許多 Azure 區域也會在同一個地理位置內設有區域配對,並為支援的服務啟用自動或客戶設定的跨區域複寫。 為了協助實現特定資料落地標準,部分區域不設區域配對,而由客戶客戶負責在不太可能發生整個區域失敗的情況下提供資料復原能力。 如需詳細資訊,請參閱有可用性區域但無區域配對的區域。