Information om microsoft cloud for sovereignty baseline confidential policies regulatory compliance built-in initiative

I följande artikel beskrivs hur den inbyggda initiativdefinitionen för Azure Policy Regulatory Compliance mappar till efterlevnadsdomäner och kontroller i Microsoft Cloud for Sovereignty Baseline Confidential Policies. Mer information om den här efterlevnadsstandarden finns i Konfidentiella principer för Microsoft Cloud for Sovereignty Baseline. Om du vill förstå Ägarskap granskar du principtypen och delat ansvar i molnet.

Följande mappningar är till kontrollerna För konfidentiella principer för Microsoft Cloud for Sovereignty Baseline. Många av kontrollerna implementeras med en Azure Policy-initiativdefinition . Om du vill granska den fullständiga initiativdefinitionen öppnar du Princip i Azure-portalen och väljer sidan Definitioner . Leta sedan upp och välj den inbyggda initiativdefinitionen [Preview]: Sovereignty Baseline – Confidential Policies Regulatory Compliance .

Viktigt!

Varje kontroll nedan är associerad med en eller flera Azure Policy-definitioner . Dessa principer kan hjälpa dig att utvärdera efterlevnaden av kontrollen, men det finns ofta inte en en-till-en-matchning eller fullständig matchning mellan en kontroll och en eller flera principer. Därför refererar Efterlevnad i Azure Policy endast till själva principdefinitionerna. Detta säkerställer inte att du är helt kompatibel med alla krav i en kontroll. Dessutom innehåller efterlevnadsstandarden kontroller som inte hanteras av några Azure Policy-definitioner just nu. Därför är efterlevnad i Azure Policy bara en partiell vy över din övergripande efterlevnadsstatus. Associationerna mellan efterlevnadsdomäner, kontroller och Azure Policy-definitioner för den här efterlevnadsstandarden kan ändras över tid. Information om hur du visar ändringshistoriken finns i GitHub-incheckningshistoriken.

SO.1 – Datahemvist

Azure-produkter måste distribueras till och konfigureras för att använda godkända regioner.

ID: MCfS Sovereignty Baseline Policy SO.1 Ownership: Shared

Name
(Azure-portalen)
beskrivning Effekter Version
(GitHub)
Tillåtna platser Med den här principen kan du begränsa vilka platser som organisationen kan ange när den distribuerar resurser. Den används för att genomdriva kraven på geo-efterlevnad. Resursgrupper, Microsoft.AzureActiveDirectory/b2cDirectories och resurser som använder regionen ”global” undantas. avvisa 1.0.0
Tillåtna platser för resursgrupper Med den här principen kan du begränsa de platser som din organisation kan skapa resursgrupper i. Den används för att genomdriva kraven på geo-efterlevnad. avvisa 1.0.0
Tillåtna platser i Azure Cosmos DB Med den här principen kan du begränsa de platser som din organisation kan ange när du distribuerar Azure Cosmos DB-resurser. Den används för att genomdriva kraven på geo-efterlevnad. [parameters('policyEffect')] 1.1.0

SO.3 – Kundhanterade nycklar

Azure-produkter måste konfigureras för att använda kundhanterade nycklar när det är möjligt.

ID: MCfS Sovereignty Baseline Policy SO.3 Ownership: Shared

Name
(Azure-portalen)
beskrivning Effekter Version
(GitHub)
[Förhandsversion]: Azure Recovery Services-valv bör använda kundhanterade nycklar för kryptering av säkerhetskopieringsdata Använd kundhanterade nycklar för att hantera krypteringen i resten av dina säkerhetskopierade data. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer på https://aka.ms/AB-CmkEncryption. Granska, neka, inaktiverad 1.0.0-preview
Både operativsystem och datadiskar i Azure Kubernetes Service-kluster ska krypteras av kundhanterade nycklar Kryptering av operativsystem och datadiskar med kundhanterade nycklar ger mer kontroll och större flexibilitet i nyckelhantering. Detta är ett vanligt krav i många regel- och branschefterlevnadsstandarder. Granska, neka, inaktiverad 1.0.1
HPC Cache-konton bör använda kundhanterad nyckel för kryptering Hantera kryptering i resten av Azure HPC Cache med kundhanterade nycklar. Som standard krypteras kunddata med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Granska, inaktiverad, Neka 2.0.0
Hanterade diskar ska vara dubbelkrypterade med både plattformshanterade och kundhanterade nycklar Högsäkerhetskänsliga kunder som är oroliga för den risk som är kopplad till en viss krypteringsalgoritm, implementering eller nyckel som komprometteras kan välja ytterligare krypteringslager med hjälp av en annan krypteringsalgoritm/-läge på infrastrukturnivån med hjälp av plattformshanterade krypteringsnycklar. Diskkrypteringsuppsättningarna krävs för att använda dubbel kryptering. Läs mer på https://aka.ms/disks-doubleEncryption. Granska, neka, inaktiverad 1.0.0
MySQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen på resten av mySQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. AuditIfNotExists, inaktiverad 1.0.4
PostgreSQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen på resten av postgreSQL-servrarna. Som standard krypteras data i vila med tjänsthanterade nycklar, men kundhanterade nycklar krävs ofta för att uppfylla regelefterlevnadsstandarder. Med kundhanterade nycklar kan data krypteras med en Azure Key Vault-nyckel som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. AuditIfNotExists, inaktiverad 1.0.4
Queue Storage bör använda kundhanterad nyckel för kryptering Skydda din kölagring med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. Granska, neka, inaktiverad 1.0.0
SQL-hanterade instanser bör använda kundhanterade nycklar för att kryptera vilande data Genom att implementera transparent datakryptering (TDE) med din egen nyckel får du ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.0
SQL-servrar bör använda kundhanterade nycklar för att kryptera vilande data Implementering av transparent datakryptering (TDE) med din egen nyckel ger ökad transparens och kontroll över TDE-skyddet, ökad säkerhet med en HSM-stödd extern tjänst och främjande av ansvarsfördelning. Den här rekommendationen gäller för organisationer med ett relaterat efterlevnadskrav. Granska, neka, inaktiverad 2.0.1
Krypteringsomfång för lagringskonto bör använda kundhanterade nycklar för att kryptera vilande data Använd kundhanterade nycklar för att hantera krypteringen i resten av lagringskontots krypteringsomfång. Med kundhanterade nycklar kan data krypteras med en Nyckelvalvsnyckel i Azure som skapas och ägs av dig. Du har fullständig kontroll och ansvar för nyckellivscykeln, inklusive rotation och hantering. Läs mer om krypteringsomfång för lagringskonton på https://aka.ms/encryption-scopes-overview. Granska, neka, inaktiverad 1.0.0
Lagringskonton bör använda kundhanterad nyckel för kryptering Skydda ditt blob- och fillagringskonto med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. Granskning, inaktiverad 1.0.3
Table Storage bör använda kundhanterad nyckel för kryptering Skydda din tabelllagring med större flexibilitet med hjälp av kundhanterade nycklar. När du anger en kundhanterad nyckel används nyckeln för att skydda och kontrollera åtkomsten till nyckeln som krypterar dina data. Att använda kundhanterade nycklar ger ytterligare funktioner för att styra rotationen av nyckelkrypteringsnyckeln eller radera data kryptografiskt. Granska, neka, inaktiverad 1.0.0

SO.4 – Konfidentiell databehandling i Azure

Azure-produkter måste konfigureras för att använda SKU:er för konfidentiell databehandling i Azure när det är möjligt.

ID: MCfS Sovereignty Baseline Policy SO.4 Ownership: Shared

Name
(Azure-portalen)
beskrivning Effekter Version
(GitHub)
Tillåtna resurstyper Med den här principen kan du ange de resurstyper som din organisation kan distribuera. Endast resurstyper som stöder "taggar" och "plats" påverkas av den här principen. Om du vill begränsa alla resurser duplicerar du den här principen och ändrar läget till "Alla". avvisa 1.0.0
Tillåtna SKU:er för virtuell datorstorlek Med den här principen kan du ange en uppsättning SKU:er för virtuella datorer som din organisation kan distribuera. Neka 1.0.1

Nästa steg

Ytterligare artiklar om Azure Policy: