Condividi tramite


Residenza dei dati

La residenza dei dati riguarda la posizione fisica in cui i dati vengono archiviati ed elaborati. I requisiti di residenza dei dati sono una preoccupazione comune per i clienti del settore pubblico, che spesso richiedono a Microsoft di limitare il luogo in cui vengono archiviati ed elaborati i diversi tipi di dati. Microsoft Cloud for Sovereignty consente ai clienti di configurare le sovereign landing zone per limitare i servizi e le aree che gli utenti finali possono utilizzare e per applicare la configurazione del servizio allo scopo di aiutare i clienti a soddisfare le esigenze di residenza dei dati.

Residenza dei dati in Azure

La maggior parte dei servizi di Azure viene distribuita a livello regionale e ti consente di specificare dove vengono memorizzati ed elaborati i dati dei clienti. Esempi di tali servizi regionali includono macchine virtuali, archiviazione e database SQL. Un'area è parte di una geografia e per i servizi regionali, Microsoft non archivia i dati dei clienti al di fuori della geografia selezionata, tranne in circostanze documentate. Per ulteriori informazioni, vedi Residenza dei dati in Azure e il whitepaper Abilitazione della residenza e della protezione dei dati nelle aree di Microsoft Azure.

Come definito nei contratti dei nostri servizi, con dati dei clienti si intendono tutti i dati, inclusi tutti i file di testo, audio, video o immagine, e tutto il software forniti a Microsoft dal cliente o per suo conto tramite servizi online. I dati dei clienti non includono i dati dei servizi professionali. Per maggiore chiarezza, i dati dei clienti non includono le informazioni utilizzate per configurare le risorse nei servizi online, come le impostazioni tecniche e i nomi delle risorse.

Alcuni servizi di Azure non ti consentono di specificare l'area in cui si trova un servizio, ad esempio Microsoft Entra ID, Monitoraggio di Azure o Gestione traffico. Questi servizi operano a livello globale per fornire funzionalità critiche ai clienti e sono definiti servizi non regionali. Se non diversamente specificato, i servizi non regionali archiviano ed elaborano i dati dei clienti in qualsiasi data center Microsoft all'interno delle aree pubbliche di Azure. Per ulteriori informazioni, vedi Residenza dei dati in Azure.

I dati trasferiti tra le aree di Azure rimangono nella rete globale Microsoft. Puoi configurare reti virtuali in Azure per abilitare l'accesso solo da reti aziendali con gruppi di sicurezza di rete di Azure e Firewall di Azure. Inoltre, puoi limitare l'accesso da Internet a posizioni specifiche con funzionalità quali regole personalizzate di corrispondenza geografica di Azure Web Application Firewall (WAF) e Accesso condizionale - Bloccare l'accesso in base alla posizione.

Residenza dei dati in Microsoft Cloud for Sovereignty

Le iniziative di criteri della baseline di sovranità di Microsoft Cloud for Sovereignty richiedono che siano configurate le aree geografiche di Azure in cui è possibile distribuire le risorse. Per i servizi regionali, le aree configurate determinano le geografie di tali servizi e il limite effettivo di residenza dei dati per l'archiviazione dei dati dei clienti.

Puoi configurare le sovereign landing zone per limitare l'uso di servizi particolari, inclusi servizi non regionali che non soddisfano le tue particolari esigenze di residenza dei dati.

La configurazione di base delle sovereign landing zone include regole di rete che decidono da quali reti è possibile accedere alle risorse.

  • I dati in un'applicazione distribuita in un abbonamento nelle zone di destinazione Corp o Confidential Corp sono limitati alla rete della tua organizzazione all'interno di Azure e connessi ad Azure.
  • I dati in un'applicazione distribuita in un abbonamento nelle zone di destinazione Online o Confidential Online sono accessibili tramite Internet da qualsiasi luogo, se l'utente o il sistema che accede ai dati ha le credenziali appropriate e non ci sono firewall o regole di accesso condizionato che bloccano l'accesso.

Per ulteriori informazioni, vedi Panoramica della Sovereign Landing Zone.

Residenza dei dati e resilienza

Le aree che configuri come aree consentite per Microsoft Cloud for Sovereignty possono influire sulla resilienza dei carichi di lavoro distribuiti. In genere, una selezione meno restrittiva dell'area consente una maggiore resilienza perché puoi distribuire le applicazioni in più aree e più distanti. Puoi considerare la crittografia (a riposo, in transito e in uso) come una misura di controllo alternativa alla limitazione dell'area, soprattutto per le applicazioni che hanno requisiti di disponibilità elevata.

La maggior parte delle aree di Azure è costituita da tre o più zone di disponibilità. I servizi di archiviazione e di elaborazione distribuiti in più zone di disponibilità sono resilienti ai disastri locali che possono colpire un intero data center. Per garantire la resilienza contro i disastri che potrebbero colpire un'intera area, molte aree di Azure dispongono anche di una coppia regionale all'interno della stessa geografia, consentendo una replica tra aree automatica o configurata dal cliente per i servizi supportati. Per contribuire a raggiungere determinati standard di residenza dei dati, alcune aree non dispongono di una coppia regionale e i clienti sono responsabili della resilienza dei dati nell'improbabile caso di un guasto nell'intera area. Per ulteriori informazioni, vedi Aree con zone di disponibilità e nessuna coppia di aree.

Vedi anche