Definiera en suveränitetsstrategi

Den här artikeln beskriver hur du planerar din suveränitetsstrategi när du använder molntjänster. Många geopolitiska regioner har regler för hantering av specifika typer av data, till exempel sekretesskänsliga data och myndighetsdata. Reglerna tillämpar vanligtvis suveränitetskrav relaterade till datahemvist, kontroll över data och ibland driftsberoende (kallas autarky).

När din organisation behöver följa dessa regler bör du definiera en strategi för att uppfylla suveränitetskraven. Om din organisation övergår från lokala tjänster till molntjänster måste du justera suveränitetsstrategin i enlighet med detta.

Modernisera din suveränitetsstrategi

För ditt lokala datacenter ansvarar du för de flesta aspekter som vanligtvis är associerade med suveränitet, inklusive:

  • Datacenter, där data lagras och bearbetas.
  • Åtkomst till datacenter och fysisk infrastruktur.
  • Maskinvara och programvara, inklusive leveranskedjan för maskinvara och programvara.
  • Kontrollprocesser som validerar maskinvara och programvara.
  • Infrastruktur och processer som säkerställer affärskontinuitet om det uppstår en katastrof eller geopolitisk händelse.
  • Konfigurationer och processer som avgör vem som har åtkomst till vilka data och system.
  • Verktyg och processer som skyddar data och system mot yttre och inre hot.

När du antar molntjänster övergår ansvaret för dessa aspekter till ett delat ansvar. Ditt efterlevnadsteam ändrar den strategi som de använder för att avgöra om suveränitetskraven uppfylls. Efterlevnadsteamet anser att:

  • Efterlevnaden av molntjänsterna. Hur uppfyller molnleverantörens tjänster kraven på suveränitet och efterlevnad?

  • Efterlevnaden av de system och processer som din organisation ansvarar för. Vilka verktyg är tillgängliga för att hjälpa dig att uppfylla suveränitets- och efterlevnadskrav och hur använder du dessa verktyg?

Efterlevnadsteamet kan behöva arbeta med en regulator för att få behörighet att använda alternativa metoder som uppnår samma mål. I vissa fall kan en förordning behöva ändras genom att lägga till fler alternativ eller justera ett direktiv för att använda en viss lösning för att få ett avsett resultat. Att ändra regleringen kan vara en lång process. Det kan dock vara möjligt att få undantag om du kan visa att du har uppnått avsikten med en förordning.

En förordning kan till exempel begränsa organisationer från att använda vissa molntjänster eftersom isoleringskraven endast kan uppfyllas med maskinvaruisolering som vanligtvis inte är tillgänglig i molnet. Men det avsedda resultatet kan också erhållas med virtuell isolering. Som en del av din strategi måste du bestämma hur du ska arbeta med tillsynsmyndigheter och granskare när dessa potentiella blockerare uppstår.

Mer information om hur du uppfyller dina efterlevnads- och suveränitetsbehov finns i Microsoft Cloud for Sovereignty.

Efterlevnad av molntjänster

Efterlevnadsteamet använder olika källor och metoder för att verifiera molntjänstefterlevnad, inklusive:

  • Leverantörsdokumentation om hur deras tjänster fungerar och hur de används, till exempel produktdokumentation och systemsäkerhetsplaner för US Federal Risk and Authorization Management Program (FedRAMP).

  • Oberoende granskningscertifieringar som certifierar efterlevnad av globala, regionala och branschefterlevnadsramverk. Mer information finns i Efterlevnadserbjudanden för Microsoft 365, Azure och andra Microsoft-tjänster.

  • Granska rapporter som oberoende granskare skapar för att ge insikter om hur molntjänster uppfyller kraven i globala, regionala och branschefterlevnadsramverk. Vissa granskningsrapporter är tillgängliga i Service Trust Portal.

  • Granskningar som utförs av eller på uppdrag av efterlevnadsteamet via leverantörsgranskningserbjudanden, till exempel Government Security Program (tillgängligt för endast utvalda kunder).

  • Transparensloggar som ger information om när Microsofts tekniker kommer åt dina resurser.

Kombinationen av källor och metoder som ditt efterlevnadsteam använder beror på vilken insiktsnivå du behöver, det förtroende du har för de olika alternativen och dina resurser och din budget. En tredjepartsrevisorscertifiering eliminerar behovet av att ditt team utför en granskning och kostar mindre, men kräver förtroende för revisorn och granskningsprocessen.

Efterlevnad av dina system och processer

Organisationens efterlevnadsprocesser och system kan dra nytta av de ytterligare funktionerna i molntjänster. Du kan använda dessa funktioner för att:

  • Framtvinga eller rapportera om tekniska principer. Du kan till exempel blockera distributionen av tjänster eller konfigurationer eller rapportera överträdelser som inte uppfyller tekniska krav för suveränitet och efterlevnad.

  • Använd fördefinierade principdefinitioner som är anpassade till specifika efterlevnadsramverk.

  • Logga och övervaka granskningar.

  • Använd säkerhetsverktyg. Mer information finns i Definiera en säkerhetsstrategi.

  • Utför funktioner för teknisk säkerhet och övervakning, till exempel konfidentiell databehandling i Azure.

Tänk noga på de här funktionerna för din organisations miljö och enskilda arbetsbelastningar. För varje funktion bör du överväga hur mycket arbete som krävs, tillämpligheten och funktionen. Principtillämpning är till exempel en relativt enkel metod som stöder efterlevnad, men den kan begränsa vilka tjänster du kan använda och hur du kan använda dem. Som jämförelse kräver teknisk säkerhet betydande arbete och är mer restriktiv eftersom den bara är tillgänglig för några få tjänster. Det kräver också en betydande mängd kunskap.

Anta delat ansvar

När du använder molntjänster antar du en modell för delat ansvar. Ta reda på vilka ansvarsområden som övergår till molnleverantören och vilka som finns kvar hos dig. Förstå hur dessa ändringar påverkar suveränitetskraven för förordningar. Mer information finns i resurserna i Efterlevnad av molntjänster. Tänk på följande resurser för att få en övergripande vy:

Molnleverantören tillhandahåller delvis affärskontinuitet via plattformens motståndskraft genom att säkerställa kontinuiteten i kritiska system som driver molnet. De tjänster som en arbetsbelastning använder tillhandahåller kontinuitetsalternativ som du kan använda för att skapa dina arbetsbelastningar. Du kan också använda andra tjänster, till exempel Azure Backup eller Azure Site Recovery. Mer information finns i Dokumentation om Azure-tillförlitlighet.

Molnleverantören ansvarar för att skydda åtkomsten till molnplattformen från både interna och externa hot. Kunderna ansvarar för att konfigurera sina system för att skydda sina data via identitets- och åtkomsthantering, kryptering och andra säkerhetsåtgärder. Mer information finns i Definiera en säkerhetsstrategi.

Använda klassificeringar för att särskilja data

Olika typer av data och arbetsbelastningar kan ha olika suveränitetskrav, beroende på faktorer som datasekretess och om de innehåller sekretesskänsliga data. Det är viktigt att förstå vilka dataklassificeringar som gäller för din organisation och vilka data och system som omfattas av vilka klassificeringar. Vissa data och program omfattas av flera regler, vilket kan skapa behovet av kombinerade krav. Det kan till exempel finnas en förordning som rör datasekretess och ett systems allvarlighetsgrad. De resulterande klassificeringarna kan vara hög konfidentialitet och låg allvarlighetsgrad eller medelhög konfidentialitet och hög kritiskhet.

När du uppfyller suveränitetskraven kan det påverka andra faktorer, till exempel kostnad, motståndskraft, skalbarhet, säkerhet och tjänstrikhet. För din suveränitetsstrategi är det viktigt att tillämpa rätt kontroller på en dataklassificering. En metod som passar alla leder till en miljö som gynnar de högsta efterlevnadskraven, vilket sannolikt är den dyraste och minst fördelaktiga.

Nästa steg

  • Cloud for Sovereignty ger insikter om nationella funktioner på Azure-plattformen och beskriver hur du hanterar suveränitetskrav.

  • Säkerhet och suveränitet är inte samma sak, men du kan inte vara suverän om du inte är säker. Därför måste du definiera en säkerhetsstrategi som integreras med din suveränitetsstrategi.