微软Azure正在迅速成为大型金融服务企业的公共云选择。全球金融服务机构（GFI）选择Azure来增强或取代内部应用程序环境的一些最大原因是：Azure云提供的高级别安全性。异常控制企业在其订阅中可能存在过度遵从性和安全性。Azure在数据治理和保护方面的许多特性。一长串Azure云所遵循的全球监管标准。有关详细信息，请参阅Microsoft信任中心。全球监管的Azure解决方案要求构建Azure是为了让企业能够控制区域之间的数据流，以及控制谁有权访问和管理这些数据。在我们开始讨论解决方案之前，我们需要定义需求。全球监管实例许多政府和联盟已经制定了有关数据存储方式、存储位置和管理方式的法律法规。更为严格和熟知的一些例子是：欧盟（EU）通用数据保护条例（GDPR）是一个法律框架，为收集和处理居住在欧盟的个人的个人信息制定指导方针。德国联邦数据保护法是一部处理雇员数据的条件和对数据主体所享有权利的限制的法律。数据本地化和管理法是一项法律，规定收集到的有关德国公民的数据必须得到适当保护和加密，只能存储在德国政治疆界内的物理设备上，而且只能由德国公民管理。中国网络安全法（CSL）是一套涉及数据本地化、基础设施和管理的法律。加拿大加拿大个人信息保护和电子文件法案（PIPEDA）保护加拿大各地的消费者数据，防止滥用和泄露。体系结构和设计要求除上述监管要求外，还有针对这些情况的技术要求。云应用程序和基础架构架构师有机会开发既能提供业务功能又不违反国际法律法规的解决方案。以下是需要考虑的一些要求。全球化一个全球化的商业模式每天都能连续进入多个金融市场。这些市场在运营、语言、文化以及监管方面都有所不同。尽管存在这些差异，但放置在云计算中的服务需要在这些市场上保持一致，以确保可管理性和客户体验。服务和数据管理德国和中国是只允许本国公民管理数据和数据所在基础设施的国家的主要例子。数据本地化许多国家要求至少有一部分对其国家拥有主权的数据保留在本国境内。受监管的数据不能转移到国外，不符合监管要求的数据也不能转移到该国。可靠性由于上述许多要求，高可用性、数据复制和灾难恢复的设计变得稍微复杂一些。例如，数据只能复制到符合国家或地区标准和法律的位置。同样，如果触发了灾难恢复场景，则必须确保在灾难恢复站点中运行的应用程序没有跨越法律或标准边界来访问信息。身份验证必须建立适当的身份验证，以支持基于角色和身份的访问控制，以确保只有有意和合法授权的个人才能访问资源。Azure解决方案安全组件Azure Active Directory（Azure AD）azureactivedirectory（azuread）是基于云的activedirectory版本，因此它利用了云的灵活性、可伸缩性和性能，同时保留了客户已经习惯的AD功能。其中一个功能是能够创建可管理的子域，并且只包含与该国家或地区相关的标识。azuread还提供了区分企业对企业关系（B2B）和企业对客户关系（B2C）的功能。这种区别有助于澄清客户对其自身数据的访问权限和管理访问权限之间的区别蓝色哨兵azuresentinel是一个可扩展的云计算原生安全信息事件管理（SIEM）和安全协调自动响应（SOAR）解决方案。Azure Sentinel在整个企业范围内提供智能安全分析和威胁情报，为警报检测、威胁可见性、主动搜索和威胁响应提供单一解决方案。Azure密钥库 Azure密钥库帮助保护云应用程序和服务使用的加密密钥和机密。密钥保险库优化了密钥管理过程，使您能够保持对访问和加密数据的密钥的控制。开发人员可以在几分钟内创建用于开发和测试的密钥，然后将它们迁移到生产密钥。安全管理员可以根据需要授予（和撤消）密钥权限。基于角色的访问控制对于任何使用云的组织来说，云资源的访问管理都是一项关键功能。基于角色的访问控制（RBAC）帮助您管理谁有权访问Azure资源，他们可以对这些资源做什么，以及他们可以访问哪些区域。RBAC是建立在 Azure资源管理器 上的授权系统，它提供对Azure资源的细粒度访问管理。Azure安全中心Azure安全中心是一个统一的基础设施安全管理系统，它加强了数据中心的安全态势。它还提供了跨云中混合工作负载的高级威胁保护，无论它们是否在Azure中，以及内部部署。治理组件蓝色蓝图azureblueprints帮助您以可重复的方式部署和更新云环境，使用诸如azureresourcemanager模板这样的可组合构件来配置资源、基于角色的访问控制和策略。蓝图可用于为给定位置或地理区域部署某些策略或控件。可以在我们的样本库中找到。Azure策略Azure策略是Azure中用于创建、分配和管理策略的服务。这些策略对您的资源实施不同的规则和效果，因此这些资源始终符合您的公司标准和服务级别协议。例如，可以将策略设置为仅允许某些角色访问一组资源。另一个例子是设置一个策略，在给定的资源组中只允许某些大小的资源。如果将新资源添加到组中，策略将自动应用于该实体。Azure策略配置示例可以在我们的GitHub存储库中找到。Azure虚拟数据中心程序（VDC）azurevirtualdatacenter程序（VDC）是一组方法原型的集合，旨在帮助企业跨应用程序和工作负载环境标准化部署和控制。VDC利用了多种其他的Azure产品，包括Azure策略和Azure蓝图。VDC示例可以在我们的GitHub存储库中找到。基础设施组件Azure站点恢复（ASR）Azure Site Recovery（ASR）在Azure区域之间或本地环境与Azure之间提供数据复制和灾难恢复服务。ASR可以很容易地配置为在国家/地区内外的Azure区域之间进行复制和故障转移。高可用性虚拟机（基础设施即服务IaaS）的高可用性可以通过多种方式在Azure云中实现。Azure提供两种本机故障转移方法：Azure可用性集（AS）是一组部署在同一个Azure数据中心内的容错域和更新域的虚拟机组。可用性设置确保应用程序不受单点故障的影响，例如网络交换机或服务器机架的电源单元。Azure可用性集提供99.95%的服务级别协议（SLA）。可用性区域（AZ）类似于一个可用性集，虚拟机跨故障域和更新域部署。不同之处在于，AZs通过将vm分布在同一区域内的多个Azure数据中心，提供了更高级别的可用性（SLA为99.99%）。对于Platform-as-a-Service（PaaS），高可用性内置于服务中，不需要由配置为上面的IaaS服务。静态数据加密静态数据加密是一种常见的安全要求。在Azure中，组织可以对静态数据进行加密，而无需定制密钥管理解决方案的风险或成本。组织可以选择让Azure完全管理静态加密。此外，组织有各种选项来密切管理加密或加密密钥。结论以上功能在Azure业界领先的区域覆盖范围和广泛的全球网络中都可用。微软对全球法规遵从性、数据保护、数据隐私和安全性的承诺，使得Azure在将复杂的任务关键工作负载迁移到云上时，具有独特的地位来支持GFSIs。有关Azure合规性的详细信息，请访问Microsoft信任中心合规性概述页。