Microsoft lanceert een nieuwe publieke dienst genaamd Microsoft Cloud for Sovereignty. Dit programma is een antwoord op de vooruitstrevende privacy- en beveiligingswetgevingen die opgesteld zijn door onder andere de Europese unie. Sinds kort biedt Microsoft een geautomatiseerde Sovereign landing zone template aan in de Azure cloud, die uiteraard mede gebaseerd is op de European Cloud Principles.
Uit ervaring weten we dat landing zone template integreren in een bestaand Azure landschap, oftewel in een ‘Brown field’ scenario, wel uitdagingen met zich meebrengt.
In dit blog nemen we je mee in een aantal aandachtspunten en design area’s die je helpen bij het opzetten van een Sovereign landing zone en hoe deze te integreren in je huidige Azure omgeving.
Wat is Microsoft Cloud for Sovereignty?
Het Microsoft Cloud for Sovereignty programma biedt meer ondersteuning, richtlijnen, tools en een Azure landing zone specifiek voor overheidsinstanties. Gemeentelijk – en overheidsorganisaties zijn nu instaat om de digitale innovatie te omarmen en tegelijkertijd compliant zijn aan de regionale en nationale wet- en regelgeving.
Microsoft Cloud for Sovereignty bestaat uit een aantal lagen zodat die ondersteunen dat overheidsinstanties hun digital innovatie kunnen uitbouwen, in controle zijn over data en vervolgens workloads kunnen implementeren.
In deze blog gaan we dieper in op de Sovereign guardrails. Deze guardrails onderscheiden een sovereign landing zone (SLZ) van een basis landing zone LZ.
Sovereign Controls
Met het gebruik van Azure policy worden beleidsregels vertaald in policies definitions. Deze policies worden op verschillende niveau’s gebruikt. Met Sovereignty Control Objectives gaat het concreet over controls die bepalen; in welke regio en naar welke resource je de data of de service draait en opslaat en dat de encryptie gebeurt door middel van je eigen unieke sleutel (CMK). Je kunt aanvullende policies gebruiken bijvoorbeeld om te zorgen dat men bepaalde “Confidential compute” models gebruikt en welke type Azure resources men kan uitrollen in de omgeving. Hier zijn enkele voorbeelden:
Hoe ziet een Sovereign Landing Zone eruit?
Een Sovereign Landing Zone is simpelweg een afgeleide van een appliciation landing zone, die gebaseerd is op het Cloud Adoption Framework (CAF). Een Appliciation landing zone bestaat uit een aantal basiscomponenten zoals; virtual networking, Role-Based-Access-Control, Budgets, Tagging, logging en workbooks. Het verschil wordt gemaakt door van een aantal Azure policies die de volgende zaken afdwingen:
- Locatie waar je data opslaat
- Deployment van confidential compute resources
- Opslaan van log data naar een specifieke log analytics workspace
- Deployen van resources met een “customer managed key”
- Het afdwingen van een aantal encryptie standaarden
Wat betekent dit voor de platform landing zones?
Onder het platform voorzien we een additionele (platform) landing zones waar een dedicated cluster voor Log Analytics en een Azure Key Vault Managed Hardware Security Module (HSM) uitgerold wordt in een afzonderlijke landing zone. Het gebruik van een dedicated log analytics cluster bevat ondersteuning voor Customer-managed keys en Lockbox, deze 2 features helpen bij afschermen van de data voor 3de. Alle logging gegevens voor een sovereign landing zone (slz) worden weggeschreven naar de dedicated log analytics cluster.
Wat betekent dit voor de sovereign landing zones?
Op een sovereign landing zone (slz) worden er met behulp van extra Azure Policies een aantal beleidsregels afgedwongen om te zorgen dat een overheden kunnen voldoen aan de vereiste privacy- en beveiligingswetgevingen. Op de governance en resource organisation design area’s zullen wat aanpassen moeten gebeuren.
Extra Security MG
2 subscriptions:
- 1 voor dedicated log analytcs Cluster
- 1 voor een HSM KeyVault