Residencia de datos
La residencia de datos se ocupa de la ubicación física donde se almacenan y procesan los datos. Los requisitos de residencia de datos son una preocupación común para los clientes del sector público, quienes a menudo solicitan que Microsoft limite dónde se almacenan y procesan los diferentes tipos de datos. Microsoft Cloud for Sovereignty permite a los clientes configurar Sovereign Landing Zones (SLZ) para restringir los servicios y regiones que los usuarios finales pueden usar y aplicar la configuración del servicio para ayudar a los clientes a satisfacer sus necesidades de residencia de datos.
Residencia de datos en Azure
La mayoría de los servicios de Azure se implementan regionalmente y le permiten especificar dónde los datos de los clientes se almacenan y procesan. Ejemplos de dichos servicios regionales incluyen máquinas virtuales, almacenamiento y bases de datos SQL. Una región es parte de una geografía y para los servicios regionales, Microsoft no almacena datos de clientes fuera de la geografía seleccionada, excepto en circunstancias documentadas. Para más información, vea Residencia de datos en Azure y el documento técnico Habilitación de la residencia y protección de datos en regiones de Microsoft Azure.
Según lo definido en los acuerdos de servicios, Datos del cliente, significan todos los datos, incluidos texto, sonido, vídeo, o archivos de imagen, y software, que se proporcionan a Microsoft en o en nombre del cliente, mediante el uso de servicios en línea. Los datos del cliente no incluyen datos de Servicios Profesionales. Para mayor claridad, los datos del cliente no incluyen información utilizada para configurar recursos en los servicios en línea, como configuraciones técnicas y nombres de recursos.
Ciertos servicios de Azure no le permiten especificar la región donde un servicio, como Microsoft Entra ID, Azure Monitor o Traffic Manager, se implementa. Estos servicios operan globalmente para brindar funcionalidad crítica a los clientes y se denominan servicios no regionales. A menos que se especifique lo contrario, los servicios no regionales almacenan y procesan datos de clientes en cualquier centro de datos de Microsoft dentro de las regiones públicas de Azure. Para obtener más información, consulte Residencia de datos en Azure.
Los datos transferidos entre regiones de Azure permanecen en Microsoft Global Network. Puede configurar redes virtuales en Azure para habilitar el acceso solo desde redes corporativas con grupos de seguridad de red de Azure y Azure Firewall. Además, puede restringir el acceso desde Internet a ubicaciones específicas con capacidades como reglas personalizadas de coincidencia geográfica de Azure Web Application Firewall (WAF) y acceso condicional. - Bloquear el acceso por ubicación.
Residencia de datos en Microsoft Cloud for Sovereignty
Las iniciativas de la directiva de línea de base de soberanía de Microsoft Cloud for Sovereignty requieren que configure las regiones de Azure donde se pueden implementar los recursos. Para los servicios regionales, las regiones configuradas determinan las geografías de esos servicios y el límite efectivo de residencia de datos para el almacenamiento de datos del cliente.
Puede configurar SLZ para restringir el uso de servicios particulares, incluidos servicios no regionales que no satisfacen sus necesidades particulares de residencia de datos.
La configuración básica de las SLZ incluye reglas de red que deciden desde qué redes se puede acceder a sus recursos.
- Los datos de una aplicación implementada en una suscripción en las zonas de aterrizaje Corp o Confidential Corp están restringidos a la red de su organización. dentro de Azure y conectado a Azure.
- Se puede acceder a los datos de una aplicación implementada en una suscripción en las zonas de aterrizaje en línea o confidencial en línea a través de Internet. desde cualquier lugar, si el usuario o sistema que accede a los datos tiene las credenciales adecuadas y no hay ningún firewall ni reglas de acceso condicional que bloqueen el acceso.
Para más información, consulte Información general de la Sovereign Landing Zone.
Residencia de datos y resiliencia
Las regiones que configure como regiones permitidas para Microsoft Cloud for Sovereignty pueden afectar la resistencia de las cargas de trabajo que implemente. Normalmente, una selección de regiones menos restrictiva permite una mayor resiliencia porque puede distribuir aplicaciones en más regiones y más alejadas. Puede considerar el cifrado (en reposo, en tránsito y en uso) como una medida de control alternativa a la restricción regional, especialmente para aplicaciones que tienen requisitos de alta disponibilidad.
La mayoría de las regiones de Azure constan de tres o más zonas de disponibilidad. Los servicios de almacenamiento y computación distribuidos en múltiples zonas de disponibilidad son resistentes a los desastres locales que pueden afectar a todo un centro de datos. Para lograr resiliencia frente a desastres que podrían afectar a toda una región, muchas regiones de Azure también tienen un par regional dentro de la misma geografía, lo que permite la configuración automática o configurada por el cliente replicación entre regiones para servicios compatibles. Para ayudar a lograr ciertos estándares de residencia de datos, algunas regiones no tienen un par regional y los clientes son responsables de la resiliencia de los datos en el improbable caso de que se produzca una falla en toda la región. Para obtener más información, consulte regiones con zonas de disponibilidad y sin par de regiones.
Consulte también
- Residencia de datos en Azure
- Red global de Microsoft: Azure
- ¿Qué son las regiones de Azure y las zonas de disponibilidad?
- Replicación entre regiones en Azure
- Cómo clasifica Microsoft los datos de los clientes
- Visión general de la privacidad y administración de datos
- Dónde residen sus datos
- Habilitación de la residencia y la protección de datos en regiones de Microsoft Azure
- Residencia de datos, soberanía de datos y cumplimiento en la nube de Microsoft