Überlegungen zur Souveränität für Azure-Zielzonen

Die Einführung von Cloud Computing bei gleichzeitiger Erfüllung digitaler Souveränitätsanforderungen ist ein komplexer Prozess, der sich erheblich zwischen Organisationen, Branchen und Regionen unterscheiden kann. Microsoft Cloud for Sovereignty geht auf die Souveränitätsanforderungen von Regierungsorganisationen durch eine Kombination aus der Leistungsfähigkeit der globalen Azure-Plattform und mehreren Souveränitätsfunktionen ein, die zu einer Verringerung der Souveränitätsrisiken entwickelt wurden.

Microsoft Cloud for Sovereignty

Microsoft Cloud for Sovereignty bietet Funktionen auf verschiedenen Schichten:

  • Erweiterte souveräne Steuerungsdienste wie Confidential Computing von Azure und Managed Hardware Security Module (Verwaltetes HSM) von Azure Key Vault
  • Souveräner Integritätsschutz durch kodifizierte Architektur, Workloadbeschleuniger, lokalisierte Azure Policy-Initiativen, Tools und Leitfäden
  • Einhaltung gesetzlicher Vorschriften und Transparenz der Aktivitäten des Cloudbetreibers
  • Eine Funktionalität, die auf den Funktionen der öffentliche Azure-Cloud basiert

Diagramm, das die Ebenen der Funktionen von Microsoft Cloud for Sovereignty zeigt.

Kunden des öffentlichen Sektors, die Souveränität benötigen und Azure verwenden möchten, können von Microsoft Cloud for Sovereignty profitieren. Die von Microsoft Cloud for Sovereignty bereitgestellten Tools und Richtlinien wie die souveräne Landezone (Vorschau) können die Festlegung und Bereitstellung einer souveränen Umgebung beschleunigen.

Souveräne Landezone

Die souveräne Landezone (Vorschau) stellt eine dogmatische und angepasste Variante der Azure-Zielzonenarchitektur dar, die für Organisationen vorgesehen ist, die erweiterte Optionen für die Souveränitätssteuerung benötigen. Die souveräne Landezone (Vorschau) richtet Azure-Funktionen wie Dienstresidenz, kundenseitig verwaltete Schlüssel, Azure Private Link und Confidential Computing auf die Erstellung einer Cloudarchitektur aus, in der Daten und Workloads standardmäßig Verschlüsselung und Bedrohungsschutz bieten.

Hinweis

Microsoft Cloud for Sovereignty richtet sich an Regierungsorganisationen Souveränitätsanforderungen. Sie sollten die Einführung zur Architektur der souveränen Landezone (Vorschau) erst dann in Betracht ziehen, wenn Sie sich sorgfältig überlegt haben, ob Sie die Funktionen von Microsoft Cloud for Sovereignty benötigen.

Souveräne Landezone: Entwurfsbereiche

Die Azure-Zielzonenarchitektur besteht aus acht Entwurfsbereichen. Jeder Entwurfsbereich beschreibt Faktoren, die Sie berücksichtigen sollten, bevor Sie eine Zielzone bereitstellen. In den folgenden Abschnitten werden zusätzliche Überlegungen beschrieben, die beim Bereitstellen der souveränen Landezone (Vorschau) gelten. Beachten Sie neben dem Leitfaden zur Azure-Zielzone auch diese neuen Überlegungen.

Ressourcenorganisation

Die souveräne Landezone ist eine angepasste Version der konzeptionellen Azure-Zielzonenarchitektur. Die souveräne Landezone ist auf den Leitfaden ausgerichtet, der im Artikel Anpassen der Azure-Zielzonenarchitektur beschrieben wird.

Verwaltungsgruppen für Confidential Computing

Im folgenden Diagramm wird verdeutlicht, dass die Architektur der souveränen Landezone auf der Azure-Zielzonenarchitektur aufbaut:

  • Unter der Verwaltungsgruppe Zielzonen werden die Verwaltungsgruppen Unternehmen (vertraulich) und Online (vertraulich) hinzugefügt.
  • Außerdem werden eine Reihe spezifischer Richtlinieninitiativen wie Richtliniengrundwerte für Microsoft Cloud for Sovereignty angewendet. Diese Initiativen bieten Steuerungsoptionen wie die standort- und typenspezifische Ressourcenbereitstellung sowie Verschlüsselung.

Diagramm, das die Verwaltungsgruppen einer unabhängigen Zielzone zeigt.

Richtliniengrundwerte für Microsoft Cloud for Sovereignty

Die souveräne Landezone (Vorschau) enthält die Initiativen zu den Richtliniengrundwerten von Microsoft Cloud for Sovereignty. Dadurch können Sie andere Richtliniensätze innerhalb der souveränen Landezone (Vorschau) bereitstellen. Sie können zusätzliche Richtlinien auf die souveränen Landezone (Vorschau) anwenden. Beispiele hierfür sind Richtlinien und Richtliniensätze der Azure-Zielzonen, die auf Kontrollframeworks wie 800 171 Revision 2 des National Institute of Standards and Technology (NIST) und Microsoft Cloud Security Benchmark eingehen.

Die Richtliniengrundwerte für Microsoft Cloud for Sovereignty umfassen:

  • Richtlinien zum Erzwingen der Verwendung von Confidential-Computing-Ressourcen, wenn Workloads in den vertraulichen Verwaltungsgruppen bereitgestellt werden. Diese Richtlinien sind beim Erstellen einer Plattform hilfreich, auf der Workloads im Ruhezustand, während der Übertragung und während der Verwendung geschützt sind. Dadurch wird Microsoft aus der Vertrauenskette entfernt.
  • Standortrichtlinien, die ebenfalls standardmäßig bereitgestellt werden, um Cloudadministrator*innen die Kontrolle darüber zu verleihen, wo Azure-Ressourcen bereitgestellt werden können.
  • Eine Schlüsselverwaltung, die durch das gemäß dem Federal Information Processing Standard (FIPS) 140-2 Level-3 validierte HSM gesteuert und von der Richtlinie erzwungen wird

Die Richtlinien und Meinungen, die die souveräne Landezone (Vorschau) auf Basis der Azure-Zielzone hinzufügt, stellen eine Plattform dar, die standardmäßig auf erhöhte Sicherheit und Vertraulichkeit ausgerichtet ist.

Weitere Informationen zur Initiative zu den Richtliniengrundwerten finden Sie in der Dokumentation zum Vertragsbestand von Microsoft Cloud for Sovereignty.

Netzwerktopologie und -konnektivität

Der Schwerpunkt der souveränen Landezone (Vorschau) liegt auf der operativen Steuerung ruhender Daten sowie von Daten während der Übertragung und während der Verwendung.

Verschlüsselung von Netzwerkdatenverkehr

Die Best Practices für die Netzwerkverschlüsselung finden Sie unter Definieren von Netzwerkverschlüsselungsanforderungen.

Ein- und ausgehende Internetkonnektivität

Ähnlich wie die Bereitstellungen von Azure-Zielzonen unterstützt die Bereitstellung der souveränen Landezone Folgendes:

  • Eine parametrisierte Bereitstellung des Premium-Tarifs von Azure Firewall zum Aktivieren des Schutzes vor verteilten Denial-of-Service-Angriffen (DDoS)
  • Die Bereitstellung einer zentralen Azure Bastion-Infrastruktur

Bevor Sie diese Features aktivieren, lesen Sie die Best Practices für die ein- und ausgehende Konnektivität im Artikel Planen der ein- und ausgehenden Internetkonnektivität.

Sicherheit

Die Architektur der souveränen Landezone nutzt Confidential Computing in den vertraulichen Zielzonen. In den folgenden Abschnitten werden Dienste beschrieben, die Unterstützung für Confidential Computing mit Azure bereitstellen.

Verwaltetes Azure Key Vault-HSM

Bei Key Vault handelt es sich um einen Dienst, der für die Bereitstellung von Confidential-Computing-Ressourcen erforderlich ist. Überlegungen und Empfehlungen zum Entwurf finden Sie unter Verschlüsselung und Schlüsselverwaltung in Azure. Möglicherweise müssen Sie das verwaltete HSM von Azure Key Vault für die Erfüllung gesetzlicher Vorschriften auswählen.

Azure Attestation

Wenn Sie Confidential Computing mit Azure verwenden, können Sie das Gastnachweisfeature von Azure Attestation nutzen. Mit diesem Feature können Sie bestätigen, dass eine vertrauliche VM in einer hardwarebasierten vertrauenswürdigen Ausführungsumgebung (Trusted Execution Environment, TEE) ausgeführt wird, in der Sicherheitsfeatures wie die Isolation und Integrität von Daten aktiviert sind.

Weitere Informationen zum Aktivieren des Gastnachweises finden Sie unter Was ist der Gastnachweis für vertrauliche VMs?.

Governance

In den meisten Fällen ist kein Zugriff auf Kundendaten erforderlich, da Vorgänge, Support und Problembehandlung von Microsoft-Mitarbeiter*innen durchgeführt werden. Gelegentlich muss ein technische Fachkraft von Microsoft auf Kundendaten zugreifen. Dies kann dann geschehen, wenn Kund*innen ein Supportticket initiiert haben oder wenn Microsoft ein Problem identifiziert.

Kunden-Lockbox für Microsoft Azure

Ist der Zugriff in seltenen Fällen erforderlich, können Sie die Kunden-Lockbox für Microsoft Azure verwenden. Dieses Feature stellt eine Schnittstelle bereit, die Sie zum Überprüfen und anschließenden Genehmigen oder Ablehnen von Zugriffsanforderungen auf Kundendaten verwenden können.

Plattformautomatisierung und DevOps

Die souveräne Landezone (Vorschau) ist als GitHub-Repository verfügbar.

Bereitstellungsoptionen

Sie können die gesamte Landezone oder jeweils eine Komponente bereitstellen. Wenn Sie einzelne Komponenten bereitstellen, können Sie diese in Ihren vorhandenen Bereitstellungsworkflow integrieren. Einen Leitfaden zur Bereitstellung finden Sie auf GitHub unter Key Components of the Sovereign Landing Zone Preview Deployment.

Hinweis

Bei der souveränen Landezone (Vorschau) handelt es sich um eine Variante der Azure-Zielzone. Die souveräne Landezone bietet jedoch noch nicht alle Bereitstellungsoptionen, die für die Azure-Zielzonenarchitektur verfügbar sind. Informationen zum Bereitstellen einer souveränen Landezone finden Sie auf GitHub unter Key Components of the Sovereign Landing Zone Preview Deployment.

Das GitHub-Repository enthält die folgenden Komponenten für die souveräne Landezone (Vorschau):

  • Bootstrap: Diese Komponente richtet die Verwaltungsgruppenhierarchie ein und erstellt die Abonnements gemäß der Architektur der souveränen Landezone (Vorschau). Diese Elemente werden unter der Mandantenstammgruppe des Azure-Kundenmandanten bereitgestellt.

  • Platform: Diese Komponente richtet das Hubnetzwerk und die Protokollierungsressourcen ein, die von der Plattform und den Workloads der souveränen Landezone (Vorschau) verwendet werden.

  • Compliance: Diese Komponente erstellt Standardrichtliniensätze und benutzerdefinierte Richtlinien, die in der Umgebung erzwungen werden, und weist diese zu.

  • Dashboard: Diese Komponente bietet Ihnen eine visuelle Darstellung Ihrer Ressourcencompliance.

Compliancedashboard

Ein Compliancedashboard wird als Teil der Bereitstellung der souveränen Landezone (Vorschau) bereitgestellt. Mit diesem Dashboard können Sie die souveräne Landezone (Vorschau) anhand Ihrer Anforderungen und lokalen Gesetze sowie Vorschriften überprüfen. Insbesondere bietet Ihnen das Dashboard Einblicke in die Compliance auf Ressourcenebene in Bezug auf Folgendes:

  • Die Basisrichtlinien, die mit der souveränen Landezone (Vorschau) bereitgestellt werden
  • Weitere benutzerdefinierte Compliance, die bereitgestellt wurde

Weitere Informationen finden Sie in der Dokumentation zum Compliancedashboard.