評估主權需求

適用於 Azure 的 Microsoft 雲端採用架構是完整的生命週期架構，可協助雲端架構師、IT 專業人員和業務決策者達成其雲端採用目標。 此架構提供有助於建立和實作雲端業務與技術策略的最佳做法、文件和工具。 有嚴格主權需求的公共部門組織可將其主權目標納入規劃工作，讓關於雲端採用的策略決策與這些主權需求保持一致。

本文重點介紹組織可能需要評估、識別和記錄其主權需求的領域，並對這些需求可能在哪些方面適合投入更廣泛與適用於 Azure 的雲端採用架構相關聯之規劃工作提供建議。

識別主權資料

資料主權需求可能包括對保留資料所有權的規定以及對指定資料儲存、使用和傳輸方法的規定。 資料主權需求有時還可能包括有關資料落地的限制或規定。 及早了解組織雲端旅程中的這些需求有助於建立資料主權的通用設計模式，而不是期待工作負載負責人開發解決方案來滿足主權需求。

遵循 Azure 雲端採用架構的組織會在規劃階段找出要移轉至雲端的候選工作負載，然後在整備階段設計代管這些工作負載的環境。 這些活動可以讓組織識別目標狀態雲端環境中需要特殊處理的主權資料類型。

Microsoft 使用多種類型的資料，例如提供給 Microsoft 的個人資訊以及上傳至雲端服務以提供線上和專業服務的客戶資料。 Microsoft 的資料保護責任記載於 Microsoft 產品和服務資料保護附錄 (DPA) 中，並已納入組織與 Microsoft 簽訂的合約中。 DPA 指定 Microsoft 管理的不同資料類型，並描述 Microsoft 用於保護這些資料類型的做法。

許多組織都有既定資料治理計劃，指定處理敏感性資料的需求，並可使用此資訊判斷資料主權需求是適用於所有資料分類還是僅適用於其中一部分。 組織在雲端服務中上傳和維護其資料時，他們有責任遵循其資料處理需求準確分類、標記和管理資料。 部分組織可能需要使用雲端採用做為審查其資料分類計劃的機會。

如需有關如何將資料分類套用至雲端採用的診，請參閱 Azure 中的資料分類和雲端治理指南。

資料主權需求範例

有嚴格資料主權需求的組織可能需要在移轉工作負載至雲端時，對下列其中一些代表性案例進行規劃。

資料分類標記

分類標記可識別有特殊處理需求的資源。 雖然分類標記是套用至文件，但也可以套用至資產。 客戶可以使用 Azure 的原生標記功能，將分類標記套用至計算服務和資料存放區等資源以及 Azure 中的邏輯結構 (例如訂閱和管理群組)。

如需詳細資訊，請參閱 Azure 中的標記和 Microsoft Purview 電子文件探索解決方案。

資料分類界限

組織選擇彙總類似分類的資料 (或應用程式) 時，通常會部署安全界限做為允許資料儲存位置的邊界。 客戶在 Azure 中部署工作負載時，他們可以使用訂閱和管理群組，在組織的雲端環境中建立邏輯邊界。 這些邊界有助於降低與未經授權存取相關的保密風險以及與資料彙總及歸屬相關的隱私權風險。

有嚴格資料主權需求的組織可能需要考慮是否要在階層式模型下組織其環境，其中較高層級的權限繼承較低層級的權限 (例如，在 Bell-LaPadula 模型中的情形)，或考慮是否要實作非階層式模型，其中使用強制存取控制來建立將環境各個部分與環境其餘部分區隔的邊界。 在 Azure 雲端採用架構的整備階段設計登陸區域時，有關組織如何管理資料分類界限的決策至關重要。

如需詳細資訊，請參閱 Azure 中的管理群組和資料治理。

資料落地

必須滿足資料落地需求的組織應特別注意他們需要哪些 Azure 服務來支援工作負載，以及這些服務在地理區域上的可用位置。 Azure 服務會部署在支援低延遲網路連線和可用性區域等功能的區域。 這些區域群組地理群組，提供額外的復原和災害復原功能。

如果組織需要維護其工作負載的資料落地，則必須確保所使用的 Azure 服務可在其偏好的區域和地理位置中使用。 此外，有些服務是在全球範圍部署，不會在特定區域或地理位置內為存放在該服務中的資料提供資料落地。

如需資料落地、Azure 區域和可用性區域以及 Azure 服務區域可用性的詳細資訊，請參閱下列文章：

• Microsoft Cloud for Sovereignty 資料落地
• Azure 中的資料落地
• Azure 區域和可用性區域。
• Azure 產品 (依地區)。

資料的擁有權、保管權和可攜性

有嚴格資料主權需求的客戶，對於誰持有 Azure 中所儲存資料的擁有權、誰可以存取該資料，以及如果客戶選擇將其工作負載轉移至其他平台，對該資料會有什麼影響，通常會產生許多疑問。 這些需求在範圍和特異性方式可能各有不同，但這些問題通常多半與資料託管於 Microsoft Cloud Service 中會發生什麼情況的基本問題有關。

為了協助從高層次解決這些問題，並為客戶提供一個起點來確定適用於雲端服務提供者的資料主權需求，Microsoft 已發佈一系列有關保護和管理客戶資料的文章，以解決其中許多問題，而這些文章可在信任中心線上取得。

如需詳細資訊，請參閱 Microsoft 的資料管理。

維護雲端中的營運主權

營運主權需求可能會影響 Azure 中環境的設計、更新和管理方式。 因此，在 Azure 雲端採用架構整備階段中完成技術設計之前，務必清楚地了解這些需求。 常見的營運主權需求可能包括：

• 對行政人員的所在地和國籍的限制。
• 限制雲端服務提供者特殊權限存取的存取控制需求。
• 對高可用性和災害復原的要求。

請務必清楚了解這些需求的意圖以及其降低的風險，因為其中許多需求是在雲端使用與內部部署常用方法不同的方法來滿足。

組織確定營運主權需求後，可以選取適當的技術和行政主權控制，以提供適當等級的風險降低和保證。 選取主權控制時，請務必了解，選擇某些可提供額外營運主權的功能時，會限制組織採用其他 Azure 服務的選項。

例如，需要對其 Azure 工作負載進行機密計算的組織，必須將其架構選擇限制為可在 Azure 機密計算上執行的服務，例如機密虛擬機或機密容器。 因此，通常最好將營運主權需求與特定資料分類建立關聯，而不是採用所有工作負載和資料都必須滿足最嚴格主權需求集的方法。

此外，在 Azure 等超大規模雲端運算平台中，還有一些營運主權需求 (例如，可以獨立於外部網路和系統執行) 不可行，這些平台依賴於定期平台更新來使系統保持最佳狀態。

營運主權需求範例

一些常見的營運主權需求，以及可滿足這些需求相關 Azure 服務和功能的範例如下：

軟體安全性

軟體安全性需求可能包括開發活動，例如套用特定加密保護措施、進行程式碼審查以及執行應用程式安全性和滲透測試。 這也可能包括作業程序，例如實作存取控制、使用加密技術以及監控安全性事件。

Microsoft 提供各種功能來協助客戶滿足 Microsoft 開發軟體和客戶開發軟體的營運主權需求。 Microsoft 在開發 Azure 的平台等級軟體時，遵循安全開發生命週期 (SDL)。 SDL 的 12 項做法已納入 Microsoft 的設計流程和程序，並在 Microsoft 保證活動中定期進行評估。 此外，Microsoft 還提供可協助客戶在其軟體開發生命週期中採用安全開發生命週期做法的功能。

如需詳細資訊，請參閱 Microsoft 安全開發生命週期和 Azure 上的安全開發最佳做法。

基礎架構安全性

在 Azure 上執行的工作負載可以利用 Microsoft 開發的許多功能來確保平台的完整性。 這些功能包括其韌體、軟體和主機基礎結構。 組織可能會有隔離其資料與雲端營運商的營運主權需求。 Azure 提供一些功能，客戶可以使用這些功能來利用公用雲端的敏捷性和復原能力，同時保持與雲端服務提供者及其管理人員的隔離。 對硬體等級證明、軟體完整性驗證 (例如，安全開機) 和安全金鑰管理有相關需求的組織，可以檢閱 Microsoft 的平台完整性和安全性做法，並存取稽核文件以驗證這些功能的實作。

如需詳細資訊，請參閱平台完整性與安全性和 Azure 基礎結構安全性。

對待用資料、傳輸中資料和使用中資料的加密有助於滿足各種與資料機密性和隱私權相關的營運主權需求。 不過，需要這些功能的組織必須規劃加密金鑰的建立和管理。 Azure 提供範圍廣泛的待用資料加密模型讓客戶從中選擇，從為雲端託管資料提供零知識加密的用戶端加密方法，到提供與原生雲端服務最高度互通性的服務管理金鑰，應有盡有。

此外，希望盡量減少對主機作業系統、核心、Hypervisor 和管理人員等平台元件之信任需求的組織，還可以實作使用中資料加密。 Azure 機密計算包含數個部署在硬體架構安全隔離區中的計算服務，這些隔離區使用 Intel Software Guard Extensions (SGX) 或 AMD Secure Encrypted Virtualization (SEV-SNP) 加密記憶體內部資料。

有營運主權需求而需要實作加密的組織必須熟悉 Azure 中的下列加密功能：

• Azure 磁碟加密
• Azure 儲存體服務加密
• Azure SQL 始終加密
• Azure Key Vault
• Azure 受控 HSM
• 客戶自控金鑰 (攜帶您自己的金鑰)
• Azure 機密計算服務

作業和復原

營運安全性需求既適用於 Microsoft 所建立和管理用於操作 Azure 平台的平台等級軟體，也適用於屬於工作負載一部分的客戶管理的軟體。 雲端運算的責任分擔模型將管理責任從客戶轉移到雲服務提供者。 視消費的雲服務類型而定，Microsoft 可能會負責管理和更新資料中心、作業系統和服務執行階段的裸機基礎結構。 Microsoft 的資訊安全工程組織實作營運安全性計劃，此計劃是透過營運安全性做法以 Microsoft 安全開發生命週期 (SDL) 做法為基礎所建置。 這些做法包括 Microsoft 安全回應中心所實作的秘密管理、滲透測試和安全性監視。

在極少數情況下，Microsoft 可能需要存取客戶資料來解決可能影響服務的問題。 對變更控制和 Privileged Access Management 有相關營運主權需求的客戶可能需要啟用 Azure 的客戶加密箱，讓他們可以在 Microsoft 的支援工作流程中核准存取要求。

此外，對平台軟體更新的核准和排程有嚴格需求的客戶還可能需要考慮 Azure 專用主機，這可讓客戶使用維護設定來控制主機層級平台維護活動。 加之，客戶也必須審視其復原需求，以判斷是否有任何對託管工作負載所用服務與區域的主權限制。

對營運連續性的營運主權需求 (例如，要求必須將工作負載部署在高度可用設定中以維持正常運作) 可能與資料落地相關資料主權需求相衝突 (例如，將工作負載限制在未提供不同位置的地理邊界內)。

組織應儘早評估這些需求，並考慮平衡這些需求的最佳方式。

• Microsoft 資訊安全工程
• 存取合規性和稽核報告
• Azure 客戶加密箱
• 對 Azure 中虛擬機器的維護
• 使用維護設定管理 VM 更新
• Azure 可靠性