Microsoft Cloud for Sovereignty 原則組合

Azure 提供一系列符合各種法規合規性架構和業界標準的內建計劃。 這些計劃涉及資料保護、網路安全和存取控制等重要層面。 您可以強制執行可靠的設定和控制，增強組織的 Azure 資源主權和安全地位，並保護敏感性資料免遭未經授權的存取。

Microsoft Cloud for Sovereignty 定期新增更多計畫來擴充現有 Azure 內建計畫。

Azure 內建原則計劃

Azure 內建原則計畫功能強大的工具集，可跨 Azure 資源進行集中控制並強制特定設定。 這些計劃包括一系列原則定義，並支援遵守各種法規架構、業界標準和安全性最佳做法。

計劃提供簡化且自動化的治理方法，讓組織可以大規模管理和監視合規性。 如需原則計劃的詳細資訊，請參閱什麼是 Azure 原則？。

Microsoft Cloud for Sovereignty 原則計劃

對 Azure 內建計劃進行擴充的 Microsoft Cloud for Sovereignty 計劃和合規性對應，可協助您自動化原則強制，並建立健全的管理架構以降低違規風險。 此外，這些計劃還會強化資料保護措施。 在我們繼續對其他架構進行擴充的同時，組織可以使用大量可用的法規合規性內建計劃。

法規合規性原則計畫

Microsoft Cloud for Sovereignty 維護幾個規合規性原則計畫。

其中一項原則計畫是支援政府資訊安全基準 (荷蘭文為 Baseline informatiebeveiliging Overheid 或 BIO) 中的雲端特定技術需求，這是荷蘭各級政府 (中央政府、市、省和水務) 資訊安全的基礎標準架構。 如需 BIO 雲端主題計劃的詳細資訊，請參閱 azure-policy/built-in-policies/policySetDefinitions。

Microsoft Cloud for Sovereignty 最近發佈了另外兩項法規合規性內建原則計畫；Microsoft Cloud for Sovereignty 基準全域原則和 Microsoft Cloud for Sovereignty 基準機密原則。

主權基準原則計劃

Microsoft Clouds for Sovereignty 原則計畫主要是為了協助證明對特定安全性控制架構的合規性而設計。 不過，主權基準原則計劃是一組特殊的內建 Azure 原則計劃，旨在透過主權控制來補充架構。

主權控制有助於正確使用 Azure 機密計算供應項目，這些供應項目以易於組織採用的方式提供資料保護護欄，超出了現有安全控制架構通常需要的範圍。

主權基準原則計畫為組織提供簡單的方法來設定多個 Azure 原則，以解決一個或多個主權控制目標，如下所示：

• 客戶資料必須完全在位於根據客戶已定義需求核准之地緣政治區域的資料中心中儲存和處理。
• 客戶必須核准雲端和受控服務業者存取客戶資料。
• 客戶定義的敏感性客戶資料只能以加密方式供雲端和受控服務業者存取。
• 客戶必須對決定哪些身分識別可以存取用於解密客戶已定義敏感性資料的金鑰擁有獨佔控制權。

這些控制目標是 Azure 建議的最佳做法，可在各種儲存或處理客戶資料的 Azure 產品中支援適當使用方式和設定，以解決資料主權問題。 如果您認為基準中還需要包含其他控制目標，您可以建立功能要求。

主權基準原則計劃已預先安裝主權登陸區域，但也可以做為內建 Azure 原則部署在任何 Azure 租用戶中。

主權基準原則計劃並不取代內建法規合規性計劃或直接對應至任何架構。 組織應繼續使用其現有計劃來證明對所有相應法規架構的合規性。

如需有關 Microsoft 如何檢視資料主權，請檢閱我們的技術白皮書。

自訂原則計畫

Microsoft Cloud for Sovereignty 透過 GitHub 上的 Cloud for Sovereignty 原則組合使多個自訂原則計劃和合規性對應可存取。 Microsoft Cloud for Sovereignty 原則計畫有助於自訂部署，可縮短對環境進行稽核所需的時間和複雜性，並幫助滿足既定法規合規性架構和政府需求。

目前的自訂計畫側重於：

• 義大利雲端策略包含義大利公共行政部門移轉至資料與數位服務雲端的策略方針，國家網路安全局 (CAN) 發佈了一套雲端服務和雲端服務基礎結構資格的需求。 此存放庫中包含的原則計劃和檔案旨在做為起點。 這些檔案並非最終或完整的解決方案，而是協助您快速啟動工作的有用資源。

• 自訂 Azure 原則計畫和控制對應，可協助客戶滿足雲端安全聯盟 (CSA) 雲端控制矩陣 (CCM) v4 雲端運算網路安全控制架構定義的方針。

若要協助部署自訂原則計畫，請參閱 GitHub 上的 New-PolicySets.ps1 指令碼。 此外，您還可以將適用於雲端的 Microsoft Defender 功能用於自訂計劃。

重要

組織應承擔全部責任，確保其本身遵守所有相關法律與法規。 本文件中提供的資訊不構成法律建議，組織應諮詢其法律顧問以了解任何有關法規合規性的問題。

另請參閱

• Azure 原則內建計劃定義
  
• 什麼是 Azure 原則？