Planifier, mettre en œuvre et surveiller Microsoft Cloud for Sovereignty
Microsoft Cloud for Sovereignty fournit des outils et des conseils aux professionnels de l’informatique et aux responsables de la sécurité de l’information tout au long du cycle de vie de la mise en œuvre du cloud. Le reste de cet article présente les fonctionnalités dans le contexte de trois étapes d’un cycle de vie de mise en œuvre et fait référence à des articles détaillés sur chacun des articles.
- Plan : Planifiez votre migration vers le cloud.
- Implémenter : Implémenter une architecture souveraine et conforme.
- Surveillez et auditez : surveillez et auditez vos données et charges de travail pour les sécuriser.
Plan
Les organisations du secteur public qui ont des exigences strictes en matière de souveraineté doivent intégrer leurs objectifs de souveraineté dans leurs efforts de planification. Ce processus garantit que les décisions stratégiques concernant l’adoption du cloud s’alignent sur ces exigences de souveraineté.
Exigences en matière de souveraineté
Microsoft Cloud Adoption Framework pour Azure est un cadre de cycle de vie complet qui permet aux architectes du cloud, aux professionnels de l’informatique et aux décideurs d’atteindre leurs objectifs d’adoption du cloud. Le cadre fournit les pratiques recommandées, la documentation et les outils qui vous aident à créer et à mettre en œuvre des stratégies commerciales et technologiques pour le cloud.
Vous pouvez lire le document Évaluer les exigences souveraines pour comprendre comment évaluer, identifier et documenter les exigences de souveraineté, et consulter les recommandations sur la manière dont ces exigences peuvent s’intégrer dans les efforts de planification élargis associés à Cloud Adoption Framework pour Azure.
Disponibilité géographique de Cloud for Sovereignty
Un aspect clé de la planification consiste à comprendre et à évaluer la disponibilité régionale des services liés à la souveraineté. L’article Disponibilité internationale de Microsoft Cloud for Sovereignty fournit un aperçu.
Options de résidence des données et limites de données de l’UE
La résidence des données est une exigence réglementaire courante pour les données du secteur public. Les exigences en matière de résidence des données peuvent limiter l’emplacement où différents types de données peuvent être stockés et traités. Certaines réglementations peuvent également imposer des restrictions sur l’emplacement où les données peuvent être transférées. Microsoft Cloud for Sovereignty vous permet de configurer des zones d’atterrissage souveraines (SLZ) pour restreindre les services et les régions qui peuvent être utilisés et appliquer la configuration du service pour répondre aux exigences en matière de résidence des données. Pour plus d’informations, consultez Résidence des données.
En outre, la limite de données de l’UE est une limite géographiquement définie à l’intérieur de laquelle Microsoft s’est engagé à stocker et à traiter les données des clients pour les principaux services en ligne des entreprises commerciales, notamment Azure, Dynamics 365, Power Platform et Microsoft 365. La limite de données de l’UE prévoit des engagements en matière de résidence des données au-delà de ce que Microsoft Cloud for Sovereignty gère, en particulier en ce qui concerne la résidence des données pour les services Azure non régionaux. Pour plus d’informations, voir Limite de données de l’UE.
Portefeuille et référence de stratégies Cloud for Sovereignty
Le portefeuille de stratégies souveraines comprend des initiatives en matière de stratégie de ligne de base Sovereignty et des initiatives en matière de stratégie conçues pour aider à respecter les réglementations de conformité spécifiques à une région. Ces initiatives de stratégie aident les clients du secteur public dans leurs efforts pour adhérer rapidement aux divers cadres réglementaires. Ces initiatives de stratégie sont accompagnées de documentation et de mappages de contrôle associés. Pour plus d’informations, consultez Portefeuille de stratégies.
Exemple d’architecture de référence (version préliminaire)
Un scénario courant de déploiement SLZ consiste à utiliser les LLM pour engager des conversations avec vos propres données via le schéma RAG. Ce modèle vous permet d’exploiter les capacités de raisonnement des LLM et de générer des réponses basées sur vos données spécifiques sans nécessiter un réglage fin du modèle. Il facilite l’intégration transparente des LLM dans vos processus ou solutions métier existants. Explorez la manière dont ces technologies peuvent être appliquées aux zones d’atterrissage souveraines, tout en tenant également compte des garde-fous importants. Pour plus d’informations, voir LLM et Azure OpenAI dans le schéma RAG.
Mettre en œuvre
Pendant la phase de mise en œuvre, les organisations du secteur public peuvent accélérer la définition et le déploiement d’environnements souverains en utilisant les outils et les directives de Microsoft Cloud for Sovereignty.
Zone d’atterrissage souveraine
La zone d’atterrissage souveraine (SLZ) est une variante de la zone d’atterrissage Azure (ALZ) qui fournit une infrastructure cloud à l’échelle de l’entreprise axée sur le contrôle opérationnel des données au repos, en transit et en cours d’utilisation. Une SLZ aligne les fonctionnalités d’Azure telles que la résidence des services, les clés gérées par le client, les liens privés et l’informatique confidentielle pour créer une architecture cloud dans laquelle les données et les charges de travail utilisent par défaut le chiffrement et la protection contre les menaces. Vous pouvez déployer une SLZ avec une commande PowerShell unique et quelques paramètres.
SLZ est disponible sur GitHub. Pour plus d’informations, consultez Vue d’ensemble de la zone d’atterrissage souveraine.
Modèles de charge de travail
Les modèles de charge de travail fournissent des déploiements automatisés de qualité de production, réutilisables, sécurisés et conformes dès la conception pour les types de charge de travail courants. Un modèle de charge de travail se concentre sur le déploiement correctement configuré d’un ou plusieurs services Azure de manière réutilisable. Pour plus d’informations, consultez Modèles de charge de travail pour la zone d’atterrissage souveraine.
Outils de gestion du cycle de vie de la zone d’atterrissage (version préliminaire)
Microsoft Cloud for Sovereignty offre les outils de gestion du cycle de vie des zones d’atterrissage suivants via GitHub :
- Évaluation : effectue une évaluation préalable au déploiement des ressources Azure, telles que leurs emplacements et leurs affectations de stratégie Azure, par rapport aux meilleures pratiques établies.
- Compilateur de politiques : rationalise le processus de gestion des politiques. Il analyse systématiquement les initiatives en matière de stratégie de votre organisation en examinant les composants clés.
- Analyseur de dérive : surveille et compare l’état actuel du nuage environnement avec sa configuration de zone d’atterrissage prévue à l’origine. Il identifie les déviations ou modifications critiques.
Pour en savoir plus, voir Outils de gestion du cycle de vie des zones d’atterrissage.
Garde-fous souverains dans les environnements Dataverse et Power Platform pour une souveraineté des données optimale (version préliminaire)
Vous pouvez configurer vos environnements Dataverse et Power Platform pour une souveraineté des données améliorée. Vous pouvez utiliser le centre d’administration Microsoft Power Platform pour la gestion centralisée des environnements et paramètres, y compris les paramètres client pour contrôler la création et la gestion des environnements. Vous pouvez également utiliser des contrôles d’accès spécifiques pour Dataverse et Power Platform afin de garantir la conformité avec les besoins en matière de souveraineté. Pour plus d’informations, consultez Configurer vos environnements Dataverse et Power Platform pour une souveraineté des données optimale.
Gestion du chiffrement et des clés
Il est crucial de mettre en œuvre la bonne stratégie de gestion du chiffrement et des clés pour une mise en œuvre sécurisée et souveraine. Pour plus d’informations, consultez cet article.
Informatique confidentielle Azure
Microsoft Cloud for Sovereignty aide les clients à configurer et à protéger leurs données et ressources de manière conforme à leurs exigences spécifiques en matière de réglementation et de souveraineté. Cela implique de garantir que les parties qui sont en dehors du contrôle du client, y compris Microsoft, ne puissent pas accéder aux données du client. Avec l’Informatique confidentielle Azure (ACC), Microsoft Cloud for Sovereignty offre aux clients une visibilité et un contrôle sur tous les accès à leurs charges de travail. ACC renforce la souveraineté du client en supprimant ou en réduisant l’accès aux données privilégiées pour un opérateur de fournisseur de cloud et d’autres acteurs, y compris les logiciels tels que l’hyperviseur. ACC aide à protéger les données tout au long de son cycle de vie en complément des solutions existantes, qui protègent les données au repos et en transit. Pour en savoir plus, consultez Informatique confidentielle Azure.
Exemple d’application
Utilisez un exemple d’application confidentielle de ressources humaines (RH) qui garantit et valide que l’infrastructure déployée Zone d’atterrissage souveraine (SLZ) répond aux besoins confidentiels des charges de travail des clients. Pour en savoir plus, consultez Création d’un exemple d’application.
Migrer et moderniser
Microsoft Cloud for Sovereignty offre des outils et des instructions pour la migration des charges de travail vers le cloud. Pour plus d’informations, consultez Vue d’ensemble des migrations de la charge de travail.
Surveiller et auditer
En plus de l’ensemble complet de services fournis par Microsoft Azure pour surveiller vos charges de travail et les sécuriser, comme Azure Monitor et Defender for Cloud, Microsoft Cloud for Sovereignty introduit de nouvelles fonctionnalités et de nouveaux services.
Journaux de transparence (version préliminaire)
Pour gagner la confiance des clients souverains, Microsoft Cloud for Sovereignty fournit des contrôles de journalisation et de surveillance supplémentaires qui augmentent le niveau de transparence dans les activités du personnel Microsoft. En conséquence, les clients bénéficient d’une visibilité allant au-delà des fonctionnalités standard du cloud public pour répondre aux exigences d’audit et de contrôle d’accès.
Les journaux de transparence sont disponibles de manière limitée et sous réserve des conditions d’éligibilité du client. Les clients approuvés reçoivent un rapport mensuel pour leur locataire qui résume les instances où un ingénieur ou un agent du support Microsoft obtient un accès temporaire aux ressources Azure du client.
Pour plus d’informations, consultez Journaux de transparence.
Contrôles de transparence dans Dataverse et Power Platform (version préliminaire)
Vous pouvez également définir des contrôles de transparence dans Dataverse et Power Platform, qui sont cruciaux pour se conformer aux stratégies souveraines.
Pour en savoir plus, consultez Contrôles de transparence dans Dataverse et Power Platform.
Programme de sécurité gouvernemental
Le programme de sécurité gouvernemental (GSP) est un programme Microsoft existant conçu pour fournir aux participants gouvernementaux qualifiés les informations confidentielles dont ils ont besoin pour faire confiance aux produits et services Microsoft. Le programme comprend l’accès contrôlé au code source, l’échange d’informations sur les menaces et les vulnérabilités, la participation au contenu technique des produits et services Microsoft et l’accès aux centres de transparence. Microsoft Cloud for Sovereignty a étendu le programme GSP pour couvrir certains services Azure. Pour plus d’informations, consultez Programme de sécurité gouvernemental.