Microsoft Cloud for Sovereignty

Wat is het en hoe werkt het?

Microsoft lanceert een nieuwe publieke dienst genaamd Microsoft Cloud for Sovereignty. Dit programma is een antwoord op de vooruitstrevende privacy- en beveiligingswetgevingen die opgesteld zijn door onder andere  de Europese unie. Sinds kort biedt Microsoft een geautomatiseerde Sovereign landing zone template aan in de Azure cloud, die uiteraard mede gebaseerd is op de European Cloud Principles.

Uit ervaring weten we dat landing zone template integreren in een bestaand Azure landschap, oftewel in een ‘Brown field’ scenario, wel uitdagingen met zich meebrengt.

In dit blog nemen we je mee in een aantal aandachtspunten en design area’s die je helpen bij het opzetten van een Sovereign landing zone en hoe deze te integreren in je huidige Azure omgeving.

Wat is Microsoft Cloud for Sovereignty?

Het Microsoft Cloud for Sovereignty programma biedt meer ondersteuning, richtlijnen, tools en een Azure landing zone specifiek voor overheidsinstanties. Gemeentelijk – en overheidsorganisaties zijn nu instaat om de digitale innovatie te omarmen en tegelijkertijd compliant zijn aan de regionale en nationale wet- en regelgeving.

Microsoft Cloud for Sovereignty bestaat uit een aantal lagen zodat die ondersteunen dat overheidsinstanties hun digital innovatie kunnen uitbouwen, in controle zijn over data en vervolgens workloads kunnen implementeren.

In deze blog gaan we dieper in op de Sovereign guardrails. Deze guardrails onderscheiden een sovereign landing zone (SLZ) van een basis landing zone LZ.

Sovereign Controls

Met het gebruik van Azure policy worden beleidsregels vertaald in policies definitions. Deze policies worden op verschillende niveau’s gebruikt. Met Sovereignty Control Objectives gaat het concreet over controls die bepalen; in welke regio en naar welke resource je de data of de service draait en opslaat en dat de encryptie gebeurt door middel van je eigen unieke sleutel (CMK). Je kunt aanvullende policies gebruiken bijvoorbeeld om te zorgen dat men bepaalde “Confidential compute” models gebruikt en welke type Azure resources men kan uitrollen in de omgeving. Hier zijn enkele voorbeelden:

Hoe ziet een Sovereign Landing Zone eruit?

Een Sovereign Landing Zone is simpelweg een afgeleide van een appliciation landing zone, die gebaseerd is op het Cloud Adoption Framework (CAF). Een Appliciation landing zone bestaat uit een aantal basiscomponenten zoals; virtual networking, Role-Based-Access-Control, Budgets, Tagging, logging en workbooks. Het verschil wordt gemaakt door van een aantal Azure policies die de volgende zaken afdwingen:

  • Locatie waar je data opslaat
  • Deployment van confidential compute resources
  • Opslaan van log data naar een specifieke log analytics workspace
  • Deployen van resources met een “customer managed key”
  • Het afdwingen van een aantal encryptie standaarden

Wat betekent dit voor de platform landing zones?

Onder het platform voorzien we een additionele (platform) landing zones waar een dedicated cluster voor Log Analytics en een Azure Key Vault Managed Hardware Security Module (HSM) uitgerold wordt in een afzonderlijke landing zone. Het gebruik van een dedicated log analytics cluster bevat ondersteuning voor Customer-managed keys en Lockbox, deze 2 features helpen bij afschermen van de data voor 3de. Alle logging gegevens voor een sovereign landing zone (slz) worden weggeschreven naar de dedicated log analytics cluster.

Wat betekent dit voor de sovereign landing zones?

Op een sovereign landing zone (slz) worden er met behulp van extra Azure Policies een aantal beleidsregels afgedwongen om te zorgen dat een overheden kunnen voldoen aan de vereiste privacy- en beveiligingswetgevingen. Op de governance en resource organisation design area’s zullen wat aanpassen moeten gebeuren.

 

Extra Security MG
2 subscriptions:

  • 1 voor dedicated log analytcs Cluster
  • 1 voor een HSM KeyVault

 

 

 

Voorbeeld: Aanpassen Management Group structuur

 

  • Dedicated MG genaamd Corporate Confidential
  • SLZs zullen onder deze MG geplaatst worden
  • Azure policies worden op MG niveau geployed

Voorbeeld: Assignment Azure policies

Azure policies voor locatie en resource type bepaling zijn:

  • Allowed Locations
  • listOfResourceTypesAllowed
  • listOfAllowedSKUs

Azure Policies voor het afdwingen en vervolgens configureren van log data naar een specifieke Log Analytics resource:

  • Deploy-Diagnostics

Subscription vending

Met subscription vending creëer je vanuit het platform een geautomatiseerde manier om subscriptions aan te maken. Vervolgens rol- en configureer je een aantal basiscomponenten Management Groups, role based access control, networking, etc binnen de landing zone. Als laatste stap wijst men de landing zone toe aan een Dev/OPS team om vervolgens workloads in uit te rollen. Bij het uitrollen van een sovereign landing zone maken we vanuit Azure DevOps gebruik van conditions in de pipeline om extra parameters mee te kunnen geven bij het uitrollen.

Main.yaml

Sovereign.yaml

Conclusie

Samenvattend hebben we een aantal onderwerpen aangestipt die kunnen helpen bij het configureren en het deployment van een Sovereign landing zone waaronder een aantal guardrails die van toepassing zijn.

Raf Nijs
Raf Nijs
Principal Consultant

Meer blogs

image description
Raf Nijs | Principal Consultant
Neem contact op
Als je graag meer wilt weten over sovereign landing zones, nodigen we je uit om snel contact met ons op te nemen. We bespreken graag de mogelijkheden van sovereign landing zones.
Neem contact op