Pianificare, implementare e monitorare Microsoft Cloud for Sovereignty
Microsoft Cloud for Sovereignty fornisce strumenti e indicazioni per professionisti IT e responsabili della sicurezza delle informazioni durante l'intero ciclo di vita dell'implementazione del cloud. La parte restante di questo articolo presenta funzionalità nel contesto delle tre fasi del ciclo di vita dell'implementazione e fa riferimento ad articoli dettagliati in ciascuno di essi.
- Pianifica: pianifica la tua migrazione al cloud.
- Implementare: implementare un'architettura sovrana e conforme.
- Monitoraggio e audit: monitora e controlla i tuoi dati e carichi di lavoro per mantenerli sicuri.
Pianificazione
Le organizzazioni del settore pubblico che hanno severi requisiti di sovranità devono incorporare i loro obiettivi di sovranità nei loro sforzi di pianificazione. Questo processo garantisce che le decisioni strategiche sull'adozione del cloud siano in linea con tali requisiti di sovranità.
Requisiti di sovranità
Microsoft Cloud Adoption Framework per Azure è un framework per l'intero ciclo di vita che consente ad architetti del cloud, professionisti IT e decisori aziendali di raggiungere i propri obiettivi di adozione del cloud. Il framework Fornisce procedure consigliate, documentazione e strumenti che ti aiutano a creare e implementare strategie aziendali e tecnologiche per il cloud.
Puoi leggere Valutare i requisiti sovrani per comprendere come valutare, identificare e documentare i requisiti di sovranità ed esaminare raccomandazioni su dove tali requisiti possono inserirsi in attività di pianificazione più ampie associate al Cloud Adoption Framework per Azure.
Geodisponibilità di Cloud for Sovereignty
Una parte fondamentale della pianificazione è comprendere e valutare la disponibilità regionale di servizi legati alla sovranità. L'articolo Disponibilità internazionale di Microsoft Cloud for Sovereignty fornisce una panoramica.
Opzioni di residenza dei dati e EU Data Boundary
La residenza dei dati è un requisito normativo comune per i dati del settore pubblico. I requisiti di residenza dei dati possono limitare il luogo in cui è possibile archiviare ed elaborare diversi tipi di dati. Alcune normative potrebbero anche imporre restrizioni su dove possono essere trasferiti i dati. Microsoft Cloud for Sovereignty ti consente di configurare le Sovereign Landing Zones (SLZ) per limitare i servizi e le aree che possono essere utilizzati e applicare la configurazione del servizio per soddisfare i requisiti di residenza dei dati. Per ulteriori informazioni, vedi Residenza dei dati.
Inoltre, l'EU Data Boundary è un limite definito geograficamente entro il quale Microsoft si è impegnata ad archiviare ed elaborare i dati dei clienti per i principali servizi online di aziende commerciali tra cui Azure, Dynamics 365, Power Platform e Microsoft 365. L'EU Data Boundary fornisce impegni di residenza dei dati oltre ciò che Microsoft Cloud for Sovereignty gestisce, in particolare per quanto riguarda la residenza dei dati per servizi di Azure non regionali. Per ulteriori informazioni, vedi EU Data Boundary.
Portafoglio di criteri e baseline di Cloud for Sovereignty
Il portafoglio di criteri di sovranità include le iniziative di criteri della baseline di sovranità e le iniziative di criteri progettate per contribuire a soddisfare le normative di conformità specifiche dell'area geografica. Queste iniziative di criteri aiutano i clienti del settore pubblico nei loro sforzi ad aderire rapidamente ai vari quadri normativi. Queste iniziative di criteri sono accompagnate da mapping e documentazione dei controlli associati. Per altre informazioni, consulta il portafoglio di criteri.
Esempio di architettura di riferimento (anteprima)
Uno scenario comune per la distribuzione di zone di destinazione sovrane consiste nell'utilizzare LLM per impegnarsi in conversazioni utilizzando i propri dati tramite il modello RAG (Retrieval Augmented Generation). Questo modello ti consente di sfruttare le capacità di ragionamento degli LLM e generare risposte basate sui tuoi dati specifici senza richiedere la messa a punto del modello. Facilita la perfetta integrazione degli LLM nei processi o nelle soluzioni aziendali esistenti. Esplora come queste tecnologie possono essere applicate all'interno delle zone di destinazione sovrane, considerando anche importanti misure di protezione. Per ulteriori informazioni, vedi LLM e OpenAI di Azure nel modello RAG (Retrieval Augmented Generation).
Implementazione
Durante la fase di implementazione, le organizzazioni del settore pubblico possono accelerare la definizione e l'implementazione di ambienti sovrani utilizzando gli strumenti e le linee guida di Microsoft Cloud for Sovereignty.
Sovereign Landing Zone
La Sovereign Landing Zone (SLZ) è una variante della zona di destinazione di Azure che fornisce un'infrastruttura cloud di livello aziendale incentrata sul controllo operativo di dati inattivi, in transito e in uso. Una SLZ allinea le funzionalità di Azure come la residenza dei servizi, le chiavi gestite dal cliente, i collegamenti privati e il computing riservato per creare un'architettura cloud in cui dati e carichi di lavoro utilizzano per impostazione predefinita la crittografia e la protezione dalle minacce. Puoi distribuire una SLZ con un singolo comando di PowerShell e alcuni parametri.
La SLZ è disponibile in GitHub. Per ulteriori informazioni, vedi Panoramica della Sovereign Landing Zone.
Modelli di carico di lavoro
I modelli di carico di lavoro forniscono distribuzioni automatizzate di qualità produttiva, riutilizzabili, sicure e conformi fin dalla progettazione per tipi di carichi di lavoro comuni. Un modello di carico di lavoro è incentrato sulla distribuzione correttamente configurata di uno o più servizi di Azure in modo riutilizzabile. Per ulteriori informazioni, vedi Modelli di carico di lavoro per la Sovereign Landing Zone.
Strumenti di gestione del ciclo di vita delle zone di destinazione (anteprima)
Microsoft Cloud for Sovereignty fornisce i seguenti strumenti di gestione del ciclo di vita delle zone di destinazione tramite GitHub:
- Valutazione: esegue una valutazione pre-distribuzione delle risorse Azure, come le loro posizioni e le assegnazioni di policy Azure, rispetto alle best practice stabilite.
- Policy Compiler: semplifica il processo di gestione delle policy. Analizza sistematicamente le iniziative di criteri della tua organizzazione esaminando i componenti chiave.
- Drift Analyzer: monitora e confronta lo stato attuale del cloud ambiente con la configurazione originale della zona di atterraggio prevista. Identifica deviazioni o cambiamenti critici.
Per ulteriori informazioni, vedi Strumenti di gestione del ciclo di vita di una zona di destinazione.
Protezioni sovrane in ambienti Dataverse e Power Platform per una maggiore sovranità dei dati (anteprima)
Puoi configurare gli ambienti Dataverse e Power Platform per una sovranità dei dati migliorata. Puoi utilizzare l'interfaccia di amministrazione di Microsoft Power Platform per la gestione centralizzata di ambienti e impostazioni, comprese le impostazioni del tenant per controllare la creazione e la gestione dell'ambiente. Puoi anche utilizzare controlli di accesso specifici per Dataverse e Power Platform per garantire la conformità ai requisiti di sovranità. Per altre informazioni, vedi Configurare gli ambienti Dataverse e Power Platform per una maggiore sovranità dei dati.
Crittografia e gestione delle chiavi
È fondamentale implementare la giusta strategia di crittografia e di gestione delle chiavi per un'implementazione sicura e sovrana. Per ulteriori informazioni, vedi questo articolo.
Computing riservato di Azure
Microsoft Cloud for Sovereignty aiuta i clienti a configurare e proteggere i propri dati e risorse in modo da aiutarli a conformarsi ai requisiti normativi e di sovranità specifici. Ciò include la garanzia che le parti esterne al controllo del cliente, inclusa Microsoft, non possano accedere ai dati del cliente. Insieme a Computing riservato di Azure (ACC), Microsoft Cloud for Sovereignty fornisce ai clienti visibilità e controllo su tutti gli accessi ai propri carichi di lavoro. L’ACC migliora la sovranità del cliente rimuovendo o riducendo l’accesso privilegiato ai dati per un operatore del provider di servizi cloud e altri attori, inclusi software come l’hypervisor. ACC aiuta a proteggere i dati durante l'intero ciclo di vita degli stessi in aggiunta alle soluzioni esistenti, le quali proteggono i dati inattivi e in transito. Per ulteriori informazioni, vedi Computing riservato di Azure.
Applicazione di esempio
Utilizza un'applicazione riservata di esempio per le risorse umane (HR) che garantisca e convalidi che l'infrastruttura distribuita della zona di destinazione sovrana (SLZ) soddisfa le esigenze riservate dei carichi di lavoro dei clienti. Per ulteriori informazioni, vedi Applicazione di esempio riservata.
Migrare e modernizzare
Microsoft Cloud for Sovereignty fornisce strumenti e indicazioni per la migrazione dei carichi di lavoro al cloud. Per altre informazioni, vedi Panoramica delle migrazioni dei carichi di lavoro.
Monitoraggio e controllo
Oltre al ricco set di servizi che Microsoft Azure fornisce per monitorare i carichi di lavoro e mantenerli sicuri, come Monitoraggio di Azure e Defender per il cloud, Microsoft Cloud for Sovereignty introduce nuove funzionalità e servizi.
Registri di trasparenza (anteprima)
Per guadagnare la fiducia dei clienti sovrani, Microsoft Cloud for Sovereignty fornisce controlli di registrazione e monitoraggio aggiuntivi che aumentano il livello di trasparenza nelle attività del personale Microsoft. Di conseguenza, i clienti hanno visibilità oltre le funzionalità standard del cloud pubblico per aiutare nei requisiti di controllo degli accessi.
I registri di trasparenza sono disponibili in numero limitato e soggetti a requisiti di idoneità del cliente. I clienti approvati ricevono un report mensile per il proprio tenant che riepiloga i casi in cui a un tecnico Microsoft o a un agente del supporto viene concesso l'accesso temporaneo alle risorse di Azure del cliente.
Per altre informazioni, vedi Registri di trasparenza.
Controlli di trasparenza in Dataverse e Power Platform (anteprima)
Puoi anche impostare controlli di trasparenza in Dataverse e Power Platform, che sono fondamentali per garantire la conformità a criteri sovrani.
Per altre informazioni, vedi Controlli di trasparenza in Dataverse e Power Platform.
Programma di sicurezza governativa
Il Programma di sicurezza governativa è un programma Microsoft esistente progettato per fornire ai partecipanti governativi qualificati le informazioni riservate di cui hanno bisogno per fidarsi dei prodotti e dei servizi Microsoft. Il programma include l'accesso controllato al codice sorgente, lo scambio di informazioni su minacce e vulnerabilità, il coinvolgimento su contenuti tecnici relativi a prodotti e servizi Microsoft e l'accesso ai Centri per la trasparenza. Microsoft Cloud for Sovereignty ha ampliato il Programma di sicurezza gobernativa per coprire alcuni servizi di Azure. Per ulteriori informazioni, vedi Programma di sicurezza governativa.