Definire una strategia di sovranità

Questo articolo descrive come pianificare la strategia di sovranità quando si usano i servizi cloud. Molte aree geopolitiche hanno normative per la gestione di tipi specifici di dati, ad esempio dati sensibili alla privacy e dati governativi. Le normative applicano in genere i requisiti di sovranità correlati alla residenza dei dati, al controllo sui dati e talvolta all'indipendenza operativa (definita autarky).

Quando l'organizzazione deve rispettare queste normative, è necessario definire una strategia per soddisfare i requisiti di sovranità. Se l'organizzazione passa dai servizi locali ai servizi cloud, è necessario modificare di conseguenza la strategia di sovranità.

Modernizzare la strategia di sovranità

Per il data center locale, si è responsabili della maggior parte degli aspetti che in genere sono associati alla sovranità, tra cui:

  • Data center, in cui vengono archiviati ed elaborati i dati.
  • Accesso ai data center e all'infrastruttura fisica.
  • Hardware e software, tra cui la catena di fornitura hardware e software.
  • Processi di controllo che convalidano hardware e software.
  • Infrastruttura e processi che garantiscono la continuità aziendale in caso di emergenza o di eventi geopolitici.
  • Configurazioni e processi che determinano chi può accedere a quali dati e sistemi.
  • Strumenti e processi che proteggono i dati e i sistemi dalle minacce esterne e interne.

Quando si adottano i servizi cloud, la responsabilità di questi aspetti passa a una responsabilità condivisa. Il team di conformità modifica la strategia usata per determinare se vengono soddisfatti i requisiti di sovranità. Il team di conformità prende in considerazione:

  • Conformità dei servizi cloud. In che modo i servizi del provider di servizi cloud soddisfano i requisiti di sovranità e conformità?

  • Conformità dei sistemi e dei processi di cui l'organizzazione è responsabile. Quali strumenti sono disponibili per soddisfare i requisiti di sovranità e conformità e come si usano questi strumenti?

Il team di conformità potrebbe dover collaborare con un autorità di regolamentazione per ottenere l'autorizzazione a usare metodi alternativi che raggiungono gli stessi obiettivi. In alcuni casi, potrebbe essere necessario modificare una normativa aggiungendo altre opzioni o modificando una direttiva per usare una determinata soluzione per ottenere un risultato previsto. La modifica della regolazione può essere un processo lungo. Tuttavia, potrebbe essere possibile ottenere esenzioni se si può dimostrare di aver raggiunto l'intento di una regolamentazione.

Ad esempio, una regolamentazione potrebbe impedire alle organizzazioni di usare determinati servizi cloud perché i requisiti di isolamento possono essere soddisfatti solo con l'isolamento hardware in genere non disponibile nel cloud. Ma il risultato previsto può anche essere ottenuto con isolamento virtuale. Come parte della strategia, è necessario determinare come lavorare con autorità di regolamentazione e revisori quando si verificano questi potenziali bloccanti.

Per altre informazioni su come soddisfare le esigenze di conformità e sovranità, vedere Microsoft Cloud for Sovranità.

Conformità dei servizi cloud

Il team di conformità usa varie origini e metodi per verificare la conformità del servizio cloud, tra cui:

  • Documentazione del fornitore sul funzionamento dei servizi e su come usarli, ad esempio la documentazione del prodotto Us Federal Risk and Authorization Management Program (FedRAMP) e i piani di sicurezza del sistema.

  • Certificazioni revisori indipendenti che certificano la conformità ai framework di conformità globali, regionali e del settore. Per altre informazioni, vedere Offerte di conformità per Microsoft 365, Azure e altri servizi Microsoft.

  • Report di controllo creati dai revisori indipendenti per fornire informazioni dettagliate sul modo in cui i servizi cloud soddisfano i requisiti dei framework di conformità globali, regionali e del settore. Alcuni report di controllo sono disponibili in Service Trust Portal.

  • Controlli eseguiti da o per conto del team di conformità tramite offerte di controllo fornitore, ad esempio il Programma di sicurezza per enti pubblici (disponibile solo per selezionare i clienti).

  • Log di trasparenza che forniscono informazioni dettagliate sui casi in cui i tecnici Microsoft accedono alle risorse.

La combinazione di origini e metodi usati dal team di conformità dipende dal livello di informazioni dettagliate necessarie, dalla fiducia disponibile nelle diverse opzioni e dalle risorse e dal budget. Una certificazione di revisore di terze parti elimina la necessità che il team esegua un controllo e costi meno, ma richiede fiducia nel processo di controllo e revisore.

Conformità dei sistemi e dei processi

I processi e i sistemi di conformità dell'organizzazione possono trarre vantaggio dalle funzionalità aggiunte dei servizi cloud. È possibile usare queste funzionalità per:

  • Applicare o creare report sui criteri tecnici. Ad esempio, è possibile bloccare la distribuzione di servizi o configurazioni o segnalare violazioni che non soddisfano i requisiti tecnici per la sovranità e la conformità.

  • Usare definizioni di criteri predefinite allineate a framework di conformità specifici.

  • Registrare e monitorare i controlli.

  • Usare gli strumenti di sicurezza. Per altre informazioni, vedere Definire una strategia di sicurezza.

  • Eseguire funzionalità di controllo tecnico e monitoraggio, ad esempio confidential computing di Azure.

Considerare attentamente queste funzionalità per l'ambiente dell'organizzazione e i singoli carichi di lavoro. Per ogni funzionalità, considerare la quantità di lavoro necessaria, l'applicabilità e la funzione. Ad esempio, l'applicazione dei criteri è un metodo relativamente semplice che supporta la conformità, ma può limitare i servizi che è possibile usare e come usarli. In confronto, la garanzia tecnica richiede notevoli sforzi ed è più restrittiva perché è disponibile solo per alcuni servizi. Richiede anche una notevole quantità di conoscenze.

Adottare la responsabilità condivisa

Quando si adottano servizi cloud, si adotta un modello di responsabilità condivisa. Determinare quali responsabilità passare al provider di servizi cloud e quali rimangono con l'utente. Comprendere in che modo tali modifiche influiscono sui requisiti di sovranità per le normative. Per altre informazioni, vedere le risorse in Conformità dei servizi cloud. Per ottenere una visualizzazione generale, considerare le risorse seguenti:

Il provider di servizi cloud garantisce parzialmente la continuità aziendale tramite la resilienza della piattaforma garantendo la continuità dei sistemi critici che operano nel cloud. I servizi usati da un carico di lavoro offrono opzioni di continuità che è possibile usare per compilare i carichi di lavoro. In alternativa, è possibile usare altri servizi, ad esempio Backup di Azure o Azure Site Recovery. Per altre informazioni, vedere la documentazione sull'affidabilità di Azure.

Il provider di servizi cloud è responsabile della protezione dell'accesso alla piattaforma cloud da minacce interne ed esterne. I clienti sono responsabili della configurazione dei sistemi per proteggere i dati tramite la gestione delle identità e degli accessi, la crittografia e altre misure di sicurezza. Per altre informazioni, vedere Definire una strategia di sicurezza.

Usare le classificazioni per distinguere i dati

Diversi tipi di dati e carichi di lavoro possono avere requisiti di sovranità diversi, a seconda di fattori quali la riservatezza dei dati e se contengono dati sensibili alla privacy. È importante comprendere quali classificazioni dei dati si applicano all'organizzazione e quali dati e sistemi sono soggetti alle classificazioni. Alcuni dati e applicazioni sono soggetti a più normative, che possono creare la necessità di requisiti combinati. Ad esempio, potrebbe esserci una normativa relativa alla riservatezza dei dati e alla criticità di un sistema. Le classificazioni risultanti potrebbero essere alta riservatezza e bassa criticità o riservatezza media e criticità elevata.

Quando si rispettano i requisiti di sovranità, può influire su altri fattori, ad esempio costi, resilienza, scalabilità, sicurezza e ricchezza dei servizi. Per la strategia di sovranità, è importante applicare i controlli corretti a una classificazione dei dati. Un approccio unico porta a un ambiente che favorisca i requisiti di conformità più elevati, che è probabilmente il più costoso e meno vantaggioso.

Passaggi successivi

  • Cloud for Sovranità fornisce informazioni dettagliate sulle funzionalità sovrane nella piattaforma Azure e descrive come soddisfare i requisiti di sovranità.

  • La sicurezza e la sovranità non sono uguali, ma non è possibile essere sovrani se non si è sicuri. È quindi necessario definire una strategia di sicurezza che si integra con la strategia di sovranità.