規劃、實作和監視 Microsoft Cloud for Sovereignty
Microsoft Cloud for Sovereignty 在整個雲端實作生命週期中,為 IT 專業人員和資訊安全官提供工具和指引。 本文的其餘部分以實作生命週期的三個階段為背景介紹其中功能,並參考每一篇文章的詳細內容。
規劃
有嚴格主權需求的公共部門組織必須將主權目標納入其規劃工作中。 此程序可確保有關採用雲端技術的策略決策符合這些主權需求。
主權需求
適用於 Azure 的 Microsoft 雲端採用架構是完整的生命週期架構,可讓雲端架構師、IT 專業人員和業務決策者達成其雲端採用目標。 此架構提供可協助您建立和實作雲端業務與技術策略的最佳做法、文件和工具。
您可以閱讀評估主權需求,了解如何評估、識別和記錄主權需求,並檢閱對這些需求可能適合在哪些方面投入更廣泛與 Azure 適用雲端採用架構相關聯之規劃工作提供的建議。
Cloud for Sovereignty 的地區可用性
規劃的重點部分是要了解和評估主權相關服務的區域可用性。 文章 Microsoft Cloud for Sovereignty 的國際可用性提供這方面的概觀。
資料落地選項和 EU 資料邊界
資料落地是公共部門資料的一般法規需求。 資料落地需求可以限制儲存和處理不同類型資料的所在位置。 有些法規還可能會對可進行資料傳輸的位置施加限制。 Microsoft Cloud for Sovereignty 可讓您設定主權登陸區域 (SLZ),以限制可使用的服務和區域,並強制服務設定以滿足資料落地需求。 如需詳細資訊,請參閱資料落地。
此外,EU 資料邊界還是地理上定義的邊界,Microsoft 承諾在其中儲存和處理主要商業企業線上服務 (包括 Azure、Dynamics 365、Power Platform 和 Microsoft 365) 的客戶資料。 EU 資料邊界提供的資料落地承諾超出 Microsoft Cloud for Sovereignty 管理的範疇,尤其是在非區域 Azure 服務的資料落地方面。 如需詳細資訊,請參閱 EU 資料邊界。
Cloud for Sovereignty 原則組合和基準
主權原則組合包含主權基準原則計畫以及旨在協助符合區域特定合規性規定的原則計畫。 這些原則計劃可協助公共部門客戶快速符合各種法規架構。 這些原則計劃也附帶相關的控制對應和文件。 如需詳細資訊,請參閱原則組合。
範例參考架構 (預覽版)
SLZ 部署的常見案例是使用 LLM,透過擷取擴增生成 (RAG) 模式使用您自己的資料進行交談。 此模式讓您可以利用 LLM 的推理能力,並根據您的特定資料產生回應,而無需對模型進行微調。 有助於將 LLM 緊密整合到您現有的商務程序或解決方案中。 探索如何在主權登陸區中運用這些技術,同時考慮使用重要的護欄。 如需詳細資訊,請參閱擷取擴增生成 (RAG) 模式中的 LLM 和 Azure OpenAI。
實作
在實作階段,公共部門組織可以使用 Microsoft Cloud for Sovereignty 工具和方針來輔助主權環境的定義和部署。
主權登陸區域
主權登陸區域 (SLZ) 是 Azure 登陸區域 (ALZ) 的主張變體,提供側重於待用、傳輸中和使用中資料操作控制的企業級雲端基礎結構。 SLZ 使服務落地、客戶自控金鑰、私人連結和機密計算等 Azure 功能密切結合,以建立資料和工作負載預設需要免受威脅之加密與保護的雲端架構。 您可以使用單一 PowerShell 命令和幾個參數來部署 SLZ。
SLZ 可在 GitHub 上取得。 如需詳細資訊,請參閱 主權登陸區域概觀。
工作負載範本
工作負載範本為一般工作負載類型提供生產品質、可重複使用、安全且符合設計規範的自動化部署。 工作負載範本側重於以可重複使用方式正確設定一項或多項 Azure 服務的部署。 如需詳細資訊,請參閱主權登陸區域的工作負載範本。
登陸區域生命週期管理工具 (預覽版)
Microsoft Cloud for Sovereignty 透過 GitHub 提供下列登陸區域生命週期管理工具:
- 評量:根據已建立的最佳做法對 Azure 資源 (例如其位置和 Azure 原則指派) 執行部署前評估。
- 原則編譯器 :簡化原則管理程序。 這會檢查關鍵元件,有系統地分析組織的原則計畫。
- 漂移分析器:監視雲端環境的目前狀態,並將其與其原始預期登陸區域設定進行比較。 找出重大偏差或變化。
如需詳細資訊,請參閱登陸區域生命週期管理工具。
Dataverse 和 Power Platform 環境中的主權護欄,用於取得更多資料主權 (預覽版)
您可以設定 Dataverse 和 Power Platform 環境來增強資料主權。 您可以使用 Microsoft Power Platform 系統管理中心來集中管理環境和設定,包括用於控制環境建立和管理的租用戶設定。 還可以對 Dataverse 和 Power Platform 使用特定的存取控制,確保符合主權需求。 如需詳細資訊,請參閱設定 Dataverse 與 Power Platform 環境以取得更多資料主權。
加密和金鑰管理
實作正確的加密和金鑰管理策略對於安全且有主權的實作至關重要。 如需詳細資訊,請參閱這篇文章。
Azure 機密計算
Microsoft Cloud for Sovereignty 以符合客戶特定法規、安全性和主權需求的方式,協助他們設定並保護其資料和資源。 這包括確保客戶控制範圍之外的各方 (包括 Microsoft) 無法存取客戶資料。 Microsoft Cloud for Sovereignty 與 Azure 機密計算 (ACC) 一起,讓客戶了解並控制所有對其工作負載的存取。 ACC 移除或降低雲端提供者營運商及其他參與者 (包括 Hypervisor 等軟體) 的特殊權限資料存取,以增強客戶主權。 除了保護待用和傳輸中資料的現有解決方案之外,ACC 還可在整個生命週期中協助保護資料。 如需詳細資訊,請參閱 Azure 機密計算。
範例應用程式
使用範例人力資源 (HR) 機密申請,確保並驗證主權登陸區域 (SLZ) 部署的基礎結構是否滿足客戶工作負載的機密需求。 如需詳細資訊,請參閱機密範例申請。
移轉與現代化
Microsoft Cloud for Sovereignty 提供將工作負載移轉至雲端的工具和指引。 如需詳細資訊,請參閱工作負載移轉概觀。
監視和稽核
除了 Microsoft Azure 所提供用於監視工作負載和確保其安全的一系列服務 (例如 Azure 監視器和適用於雲端的 Defender) 之外,Microsoft Cloud for Sovereignty 還推出新的功能與服務。
透明度記錄 (預覽版)
為了贏得主權客戶的信任,Microsoft Cloud for Sovereignty 提供提高 Microsoft 人員活動透明度的額外記錄和監視控制措施。 因此,客戶會有超出標準公用雲端功能的可見度,可以協助滿足稽核和存取控制需求。
透明度記錄僅限在一定的範圍使用,並受到客戶資格要求的規範。 獲得核准的客戶會收到其租用戶的每月報表,摘要列出其中已授與 Microsoft 工程師或支援專員暫時存取客戶 Azure 資源之權限的執行個體。
如需詳細資訊,請參閱透明度記錄。
Dataverse 和 Power Platform (預覽版) 中的透明度控制
您還可以在 Dataverse 和 Power Platform 中設定透明度控制,這對於遵守主權原則至關重要。
如需詳細資訊,請參閱Dataverse 和 Power Platform 中的透明度控制項。
政府安全性計劃
政府安全性計劃 (GSP) 是現有的 Microsoft 計劃,旨在為合格的政府參與者提供信任 Microsoft 產品和服務所需的機密資訊。 此計劃包括受控存取原始程式碼、交換威脅和弱點資訊、參與 Microsoft 產品和服務相關技術內容以及存取透明中心。 Microsoft Cloud for Sovereignty 已擴充 GSP 計劃來涵蓋某些 Azure 服務。 如需詳細資訊,請參閱政府安全性計劃。