Место расположения данных в Azure

Azure обладает большим числом регионов, чем любой другой поставщик облачных услуг. Платформа предоставляет необходимые варианты мест расположения данных и масштаб, чтобы размещать ваши приложения в непосредственной близости к пользователям по всему миру.

Вы как клиент сохраняете право владения своими данными — содержимым, персональными и другими данными, которые вы предоставляете для хранения и размещения в службах Azure. Корпорация Майкрософт не хранит и не обрабатывает данные клиентов вне указанной вами географической территории за исключением определенных нерегиональных служб. Кроме того, вы можете выбирать любые дополнительные географические регионы для развертывания своих решений или репликации данных.

Сведения о сценариях, в которых для работы службы требуется глобальная репликация данных, приведены ниже.

  • Корпорация Майкрософт защищает ваши данные с помощью нескольких уровней безопасности и протоколов шифрования. Ознакомьтесь с общими сведениями о том, как корпорация Майкрософт использует шифрование для защиты ваших данных.

    По умолчанию Управляемые Майкрософт ключи защищают ваши данные, а данные клиентов, которые хранятся на любых физических носителях, обязательно шифруются с использованием протоколов, соответствующих стандарту шифрования FIPS 140-2. Для улучшенной защиты данных клиенты также могут использовать ключи, управляемые клиентами (CMK), возможности двойного шифрования и (или) аппаратные модули безопасности (HSM).

    Все данные, передаваемые между центрами обработки данных, защищаются в соответствии с требованиями стандартов безопасности IEEE 802.1AE MAC Security, что позволяет предотвратить атаки "злоумышленник в середине". Для обеспечения устойчивости корпорация Майкрософт использует переменные сетевые пути, которые иногда пересекают границы геообъектов. Но данные клиента реплицируются между регионами только с использованием зашифрованных сетевых подключений.

    Кроме того, для минимизации рисков конфиденциальности корпорация Майкрософт создает анонимные идентификаторы, которые позволяют Майкрософт предоставлять глобальные облачные службы (в том числе обеспечивать эксплуатацию и улучшение служб, выставление счетов и защиту от мошенничества). Анонимные идентификаторы не позволяют напрямую идентифицировать личные сведения, а доступ к данным клиентов, по которым можно идентифицировать личность, защищен описанными выше способами.

  • Все службы Azure обеспечивают соответствие Общему регламенту по защите данных Европейского союза (GDPR). Если клиенты, использующие службы Azure, захотят перенести содержимое с персональными данными в другой географический регион, им необходимо будет соблюсти все соответствующие юридические требования. Корпорация Майкрософт предоставляет клиентам услуги и ресурсы для обеспечения соответствия требованиям GDPR, которые могут действовать для их операций.

    Некоторые веб-службы Майкрософт передают данные третьим сторонам, действующим в качестве дополнительных обработчиков данных. В опубликованном списке дополнительных обработчиков данных для Microsoft Online Services указаны дополнительные обработчики, авторизованные для обработки данных клиентов или персональных данных. Все такие дополнительные обработчики данных обязаны по договору соблюдать контрактные обязательства корпорации Майкрософт перед ее клиентами.

    Корпорация Майкрософт не предоставляет каким-либо третьим сторонам: (1) прямой, полный или неограниченный доступ к данным клиентов; (2) ключи шифрования платформы, используемые для защиты данных клиентов, или возможность взломать такое шифрование; (3) доступ к данным клиентов при обнаружении корпорацией Майкрософт того, что такие данные используются для целей, которые не указаны в запросе третьей стороны. Дополнительные сведения о политике корпорации Майкрософт касательно юридического раскрытия данных клиентов по запросу государственных органов доступны здесь.

Большинство служб Azure позволяют указывать регион, в котором будут храниться и обрабатываться данные ваших клиентов. Корпорация Майкрософт может выполнять репликацию в другие регионы для обеспечения устойчивости данных, но не будет хранить и обрабатывать данные клиентов вне выбранного геообъекта. Вы и ваши пользователи можете перемещать, копировать или использовать данные клиентов из любого расположения по всему миру.

Подробнее о расположении данных клиентов

Хранение данных для региональных служб

Большинство служб Azure развертываются регионально и позволяют клиенту указывать регион, в котором будет развернута служба. Примеры таких служб Azure: "Виртуальные машины", служба хранилища и База данных SQL. Полный список региональных служб см. в разделе Доступность продуктов по регионам.

Корпорация Майкрософт может копировать данные клиента между регионами в пределах указанного геообъекта для обеспечения избыточности данных или в других рабочих целях. Так, геоизбыточное хранилище осуществляет репликацию данных больших двоичных объектов, файлов, очередей и таблиц между двумя регионами в пределах одного и того же геообъекта. Это необходимо для повышения устойчивости данных в случае серьезной аварии центра обработки данных.

Корпорация Майкрософт не хранит и не обрабатывает данные клиентов вне геообъекта, указанного клиентом, без вашего разрешения, за исключением следующих региональных служб:

  • Облачные службы Azure, которые осуществляют резервное копирование пакетов развертывания программного обеспечения веб-роли и рабочей роли в США вне зависимости от территории развертывания.
  • Служба "Распознавание речи", которая может хранить данные активного обучения в США, Европе или Австралии в зависимости от регионов разработки, используемых клиентом. Подробнее
  • Служба "Машинное обучение Azure", которая может хранить произвольный текст, предоставленный клиентом (такой как имена рабочих областей, групп ресурсов, экспериментов, файлов и изображений), и параметры экспериментов в США.
  • Платформа Azure Databricks, на которой хранятся данные удостоверений, некоторые имена таблиц и сведения о путях объектов в США.
  • Azure Sentinel
  • Серийная консоль Azure, в которой хранятся все неактивные данные клиентов в выбранном клиентом геообъекте, при использовании на портале Azure может обрабатывать команды и ответы вне этого геообъекта исключительно с целью предоставления возможностей консоли на портале.
  • Службы в предварительной версии, бета-версии или другие предварительные выпуски служб, которые обычно хранят данные клиентов в США, но могут размещать их и в других регионах мира.

Клиенты могут настроить следующие службы, уровни или планы Azure для хранения данных клиентов только в одном регионе:

1Место расположения данных в одном регионе сейчас доступно по умолчанию только для регионов "Юго-Восточная Азия" (Сингапур) в Азиатско-Тихоокеанском географическом регионе и "Южная Бразилия" (штат Сан-Паулу) в географическом регионе Бразилия. Для всех других регионов данные клиентов хранятся в геообъектах.

2Место расположения данных в одном регионе сейчас доступно по умолчанию только для региона "Юго-Восточная Азия" (Сингапур) в Азиатско-Тихоокеанском географическом регионе. Для всех других регионов данные клиентов хранятся в геообъектах.

3Предварительная версия функции хранения данных клиентов в одном регионе сейчас доступна только для регионов "Юго-Восточная Азия (Сингапур)" в Азиатско-Тихоокеанском географическом регионе и "Южная Бразилия" (штат Сан-Паулу) в географическом регионе Бразилия. Для всех других регионов данные клиентов хранятся в геообъектах.

4Для Azure Databricks данные удостоверений, некоторые имена таблиц и сведения о путях к объектам хранятся в США. Возможность хранения всех других данных клиентов в одном регионе сейчас доступна для регионов "Юго-Восточная Азия (Сингапур)" в Азиатско-Тихоокеанском географическом регионе и "Южная Бразилия" (штат Сан-Паулу) в географическом регионе Бразилия. Для всех других регионов данные клиентов хранятся в геообъектах (с указанным выше исключением).

5В классическом хранилище ZRS данные хранятся в нескольких регионах.

Хранение данных для служб без привязки к региону

Некоторые службы Azure не позволяют клиенту указывать регион, в котором будет развернута служба. Эти службы могут хранить или обрабатывать данные клиентов в любом центре обработки данных Майкрософт, если не указано иное.

  • Сеть доставки содержимого Azure, которая предоставляет глобальную службу кэша и хранит данные клиента в пограничных расположениях по всему миру.
  • Служба Azure Active Directory (Azure AD), которая может хранить данные Azure AD по всему миру. Это не распространяется на развертывания Azure AD в США (данные Azure AD хранятся исключительно в США) и в Европе (данные Azure AD хранятся в Европе и США). Подробнее
  • Многофакторная идентификация Azure, которая хранит данные проверки подлинности в США. Подробнее
  • Центр безопасности Azure, в котором может храниться копия данных клиента, касающихся безопасности, которые собраны из ресурса клиента (такого как виртуальная машина или арендатор Azure AD) или связаны с ним:

    а) в том же геообъекте, что и ресурс, за исключением тех геообъектов, в которых корпорация Майкрософт еще не развернула Центр безопасности (в этом случае копия таких данных будет храниться в США);

    б) если Центр безопасности использует для обработки таких данных другую веб-службу Майкрософт, они могут храниться в соответствии с правилами геолокации этой веб-службы.

  • Службы, которые предоставляют глобальные функции маршрутизации и не обрабатывают и не хранят данные клиентов. К таким службам относится Диспетчер трафика Azure, который обеспечивает балансировку нагрузки между различными регионами, а также служба Azure DNS, которая предоставляет службы доменных имен, указывающие маршруты к разным регионам.

Полный список служб без привязки к региону см. на странице Доступность продуктов по регионам (выберите вариант "Без привязки к региону").