Portafoglio di criteri di Microsoft Cloud for Sovereignty
Azure offre una gamma di iniziative integrate in linea con vari quadri di conformità normativa e standard di settore. Queste iniziative coprono aspetti critici come la protezione dei dati, la sicurezza della rete e il controllo degli accessi. Applicando configurazioni e controlli efficaci, puoi migliorare la sovranità e la posizione di sicurezza delle risorse di Azure della tua organizzazione e proteggere i dati sensibili da accessi non autorizzati.
Microsoft Cloud for Sovereignty estende le iniziative integrate Azure e le iniziative di policy personalizzate aggiungendo regolarmente nuove iniziative.
Iniziative di criteri integrati di Azure
Le iniziative di criteri integrati di Azure rappresentano un potente set di strumenti che consente il controllo centralizzato delle risorse di Azure e l'applicazione di configurazioni specifiche. Queste iniziative comprendono una raccolta di definizioni di criteri e supportano la conformità con vari quadri normativi, standard di settore e procedure consigliate di sicurezza.
Le iniziative offrono un approccio semplificato e automatizzato alla governance, consentendo alle organizzazioni di gestire e monitorare la conformità su larga scala. Per altre informazioni sulle iniziative di criteri, vedi Cosa sono i criteri di Azure?.
Azure iniziative di policy personalizzate
Azure Le iniziative di policy personalizzate ti aiutano a personalizzare un set di policy in base alle esigenze specifiche della tua organizzazione, dandoti il controllo per applicare gli standard e le regole più adatti al tuo ambiente. Microsoft Cloud for Sovereignty rende accessibili diverse iniziative di policy personalizzate e mappature di conformità tramite il repository industry-policy-portfolio su GitHub. Le iniziative di criteri di Microsoft Cloud for Sovereignty aiutano a personalizzare le implementazioni per ridurre il tempo e la complessità necessari per controllare gli ambienti e contribuire a soddisfare i framework di conformità normativa stabiliti e i requisiti governativi.
Iniziative di criteri di Microsoft Cloud for Sovereignty
Iniziative e mapping di conformità di Microsoft Cloud for Sovereignty, che espandono le iniziative integrate di Azure, aiutano ad automatizzare l'applicazione dei criteri e a promuovere un solido framework di governance che riduce il rischio di non conformità. Inoltre, le iniziative rafforzano anche le misure di protezione dei dati. Le organizzazioni possono utilizzare l'ampia suite di iniziative integrate di conformità normativa disponibili mentre continuiamo ad espandere altri quadri.
Iniziative di criteri di conformità normativa
Microsoft Cloud for Sovereignty gestisce diverse iniziative di policy di conformità normativa nel repository industry-policy-portfolio . Questo portfolio contiene una raccolta di iniziative per aiutarti ad avviare il tuo percorso verso la conformità.
Queste iniziative sono disponibili come iniziative di policy personalizzate e integrate Azure. È possibile trovare le iniziative politiche integrate tramite le pagine del portale politico Azure. Per le iniziative personalizzate, è necessario distribuire l'iniziativa nel tenant. Per ulteriori informazioni, consultare il repository industry-policy-portfolio . Le iniziative politiche e i file contenuti in questo repository intendono fungere da punto di partenza puntare. Questi file non intendono rappresentare soluzioni definitive o esaustive, bensì risorse utili per dare il via ai tuoi sforzi.
Oltre alle iniziative politiche, è possibile trovare informazioni sul quadro politico e sulle politiche specifiche per controllare l'obiettivo mapping nel repository industry-policy-portfolio .
Il portafoglio comprende le seguenti iniziative politiche:
- La direttiva NIS2 (anteprima) migliora la sicurezza informatica e la resilienza delle infrastrutture critiche e dei servizi digitali in tutta l'Unione europea, garantendo un livello più elevato di protezione contro le minacce informatiche.
- Le misure di sicurezza di alto livello dell'ENS (Esquema Nacional de Seguridad) in Spagna impongono controlli di sicurezza per le organizzazioni pubbliche e i fornitori di tecnologie dell'informazione e della comunicazione (TIC), garantendo la conformità agli standard spagnoli e dell'UE per i dati e i servizi proteggere.
- Il Manuale sulla sicurezza delle informazioni della Nuova Zelanda (NZ ISM) ha lo scopo di stabilire processi e controlli per proteggere le informazioni e i sistemi del governo della Nuova Zelanda.
- La baseline sulla sicurezza delle informazioni governative (Baseline informatiebeveiliging Overheid o BIO in olandese) è il quadro di riferimento degli standard fondamentali per la sicurezza delle informazioni a tutti i livelli del governo olandese (governo centrale, municipalità, province e aziende idriche).
- La Strategia Cloud Italiana contiene le linee guida strategiche per la migrazione al cloud dei dati e dei servizi digitali della Pubblica Amministrazione italiana, mentre l'Agenzia Nazionale per la Sicurezza Informatica (ACN) ha emanato un insieme di requisiti per la qualificazione dei Servizi Cloud e delle Infrastrutture di Servizi Cloud.
- Un'iniziativa di criteri di Azure personalizzati e un mapping dei controlli che aiutano i clienti a soddisfare le linee guida definite dal framework di controllo della cybersecurity Cloud Security Alliance (CSA) Cloud Controls Matrix (CCM) v4 per il cloud computing.
- Microsoft Cloud for Sovereignty Politiche globali di base e Microsoft Cloud for Sovereignty Politiche riservate di base.
Microsoft ha recentemente pubblicato altre due iniziative di policy integrate per la conformità normativa: le Microsoft Cloud for Sovereignty Baseline Global Policies e le Microsoft Cloud for Sovereignty Baseline Confidential Policies.
Per maggiori informazioni su queste iniziative in materia di conformità normativa, vedere industry-policy-portfolio.
Iniziative di criteri della baseline di sovranità
Le iniziative di criteri di Microsoft Clouds for Sovereignty sono progettate principalmente per aiutare a dimostrare la conformità rispetto a uno specifico framework di controllo della sicurezza. Tuttavia, le iniziative di criteri della baseline di sovranità sono un set speciale di iniziative integrate di Criteri di Azure intese a integrare i framework con controlli di sovranità.
I controlli di sovranità favoriscono l'uso appropriato delle offerte di Computing riservato di Azure che forniscono misure di protezione dei dati che vanno oltre quanto comunemente richiesto dai framework di controllo della sicurezza esistenti, in un modo facilmente adottabile dalle organizzazioni.
Le iniziative di criteri della baseline di Sovereignty forniscono alle organizzazioni un metodo semplice per configurare più criteri di Azure in modo da risolvere uno o più degli obiettivi di controllo della sovranità, così elencati:
- I dati dei clienti devono essere archiviati ed elaborati interamente in data center che risiedono in regioni geopolitiche approvate in base a requisiti definiti dal cliente.
- I clienti devono approvare l'accesso ai dati dei clienti da parte degli operatori cloud e di servizi gestiti.
- I dati sensibili dei clienti definiti dal cliente devono essere accessibili solo in modo crittografato agli operatori cloud e di servizi gestiti.
- Il cliente deve avere il controllo esclusivo sulla decisione di quali identità possono accedere alle chiavi utilizzate per decrittografare i dati sensibili definiti dal cliente.
Questi obiettivi di controllo rappresentano le procedure consigliate di Azure per risolvere i problemi di sovranità dei dati supportando l'utilizzo e le configurazioni appropriate all'interno di varie offerte di Azure che archiviano o elaborano i dati dei clienti. Se ritieni che siano necessari altri obiettivi di controllo da includere nella baseline, puoi creare una richiesta di funzionalità.
Le iniziative di criteri della baseline di sovranità sono preinstallate con la Sovereign Landing Zone oppure possono essere distribuite in qualsiasi tenant di Azure come Criteri di Azure integrati.
Le iniziative di criteri della baseline di sovranità non sostituiscono le iniziative di conformità normativa integrate né vengono mappate direttamente a qualche framework. Le organizzazioni devono continuare a utilizzare le iniziative esistenti per dimostrare la conformità a tutti i quadri normativi appropriati.
Per maggiori informazioni su come Microsoft concepisce la sovranità dei dati, consulta i nostri white paper.
Importante
Le organizzazioni sono totalmente responsabili nel garantire la propria conformità a tutte le leggi e i regolamenti applicabili. Le informazioni fornite in questo documento non costituiscono consulenza legale e le organizzazioni devono consultare i propri consulenti legali per qualsiasi domanda relativa alla conformità normativa.