Wie die Cloud meine Daten souverän geschützt regional speichern kann

Mit der Verbreitung und Bedeutung von Cloud Computing für das wirtschaftliche und gesellschaftliche Leben unserer Zeit ist auch die Fragestellung ins Zentrum gerückt, wo meine Daten gespeichert und verarbeitet werden, wohin sie transferiert werden, wer darauf Zugriff hat und wie sie geschützt sind. Die Microsoft Cloud bietet unseren Kunden vielfältige Möglichkeiten, selbst über diese Fragestellungen zu bestimmen und die Services ganz nach den unternehmens- oder organisationspezifischen Anforderungen oder regulatorischen Verpflichtungen zu konfigurieren. So behält man die Hoheit über seine Daten in der Cloud und schon bald wird dies auch mit Datenhaltung und -verarbeitung in einer eigenen Österreich-Region möglich sein.

Die globale Cloud ist in Wahrheit sehr regional

Die Microsoft Cloud, bestehend aus ca. 200 Rechenzentren weltweit vernetzt durch 200.000km Hochgeschwindigkeitsdatenkabeln ist heute in über 140 Ländern verfügbar. Wenn wir von „der Cloud“ sprechen, ist damit aber keine abstrakte unspezifische Wolke gemeint, sondern im Gegenteil eine hochkomplexe, strukturierte Infrastruktur von hierarchisch gegliederten und verknüpften Geographien, Regionen und Zonen. Was ist damit gemeint?

Um unseren Kunden möglichst global, aus kürzester Distanz und unterbrechungsfrei Cloudservices 24×7 an 365 Tagen im Jahr bereitstellen zu können, bedarf es eines redundant ausgelegten Infrastrukturverbunds, der Hochverfügbarkeit, Service-Elastizität und Recovery nach den höchsten Anforderungen ermöglicht.

Geographien, Regionen und Availability Zones sind die logischen Aufbauebenen der Microsoft Cloud. In Österreich werden wir demnächst eine eigene Cloud-Region, bestehend aus 3 Availability Zones eröffnen. Jede dieser Zonen wird dabei physisch getrennt aus einem eigenen Rechenzentrumsstandort, eigener Stromversorgung, Kühlung und Netzwerkinfrastruktur bestehen. Somit ist die österreichische Region auch beim Ausfall eines ganzen Rechenzentrums weiter verfügbar und betriebsbereit und kann Konfigurationen mit  einem Verfügbarkeits-SLA von 99.99% für virtuelle Server anbieten.

Darüber hinaus wird es aber auch möglich sein, Teile oder sein gesamtes „Business Continuity & Desaster Recovery“ Konzept über mehrere Cloudregionen / -geographien hinweg zu gestalten. Dies erfolgt entweder über sogenannte „paired regions“ innerhalb einer Geographie oder „cross-geo“, wenn die Geographie nur aus einer Region besteht. Für die österreichische Region werden Workloads beispielsweise zusätzlich in einer weiteren Region oder Geographie deployed und Azure Services wie Azure Site Recovery oder Azure Backup für Pairingzwecke genutzt werden können. So können kritische IT-Services auch gegen regionale elementare Ereignisse (Hochwasser, Erdbeben etc.) abgesichert werden, wenn sie im Katastrophenfall noch aus einer anderen Region oder Geographie betrieben werden können.

Regionale Datenhaltung

Als kommerzieller Microsoft Kunde behält man stets Eigentum an seinen Daten. Viele Cloud Services, wie zum Beispiel virtuelle Server, Speicher, Datenbanken etc., sind regional verfügbar und erlauben unseren Kunden somit, die Region der Datenhaltung und -verarbeitung selbst zu bestimmen – in Zukunft auch in Österreich. Für die österreichische Cloudregion werden wir eine vollständige Liste regionaler Cloudservices, die Datenhaltung und -verarbeitung in Österreich ermöglichen, zu einem späteren Zeitpunkt veröffentlichen.

Einzelne, sogenannte „non-regional services“ ermöglichen es nicht, die Region, in die das Service deployed wird auszuwählen. Dazu gehören Services wir Azure Content Delivery Network, das weltweit ein globales Caching Service anbietet, oder Azure Active Directory, das beispielsweise für europäische Kunden seine Daten in unterschiedlichen europäischen Rechenzentren speichert und verarbeitet.

Im Rahmen des Projekts „EU Data Boundary“ werden wir es in der EU ansässigen Kunden aus dem öffentlichen Sektor und Unternehmenskunden künftig jedoch anbieten, all ihre Daten innerhalb der EU zu verarbeiten und zu speichern. Diese Zusage gilt für alle zentralen Cloud-Dienste von Microsoft – Azure, Microsoft 365 und Dynamics 365 und umfasst auch alle personenbezogenen Daten in Diagnosedaten sowie in Daten, die von unseren Services automatisch generiert werden. Das betrifft auch personenbezogene Daten, die wir zur Bereitstellung von technischem Support verwenden

Eine Möglichkeit, Data Residency und Compliance standardisiert zu managen stellen sogenannte Azure Blueprints dar. In Azure Blueprints können Umgebungskriterien, rollenbasierte Zugriffskontrollen zB in Form von Azure Resource Manager Blueprints, unter Verwendung von vordefinierten Vorlagen, die bereits Vorgaben gängiger Standards wie HIPAA, PCI DSS, ISO 27001 u.v.m. beinhalten, definiert werden. In solchen Blueprints können auch erlaubte Speicher- und Verarbeitungsregionen für die enthaltenen Ressource Gruppen (Services) spezifiziert werden.

Verschlüsselung

Microsoft hat vielfältige Maßnahmen physischer, technisch und organisatorischer Natur umgesetzt, um die Daten unserer Kunden vor unbefugten Zugriff zu schützen.

Daten in Azure werden standardmäßig verschlüsselt und über mehrere physische Datenträger verteilt gespeichert. Dabei werde alle Daten, die auf die Azure Speicher Plattform geschrieben werden, mit 256-bit AES Verschlüsselung geschützt, was dem aktuellen FIPS 140-2 Standard entspricht. Für virtuelle Server kommen je nach Betriebssystem BitLocker (Windows) bzw. DM-Crypt (Linux) auf OS-Ebene zum Einsatz. Darüber hinaus werden für Datenbanksysteme „Transparent Data Encryption – TDE“ (Synapse) oder die „Always Encrypted“ Funktion bei Azure SQL Datenbanken verwendet, um nur einige Möglichkeiten zu nennen.

Eine besondere Bedeutung bei der Thematik der Datenverschlüsselung kommt noch dem sogenannten Key Management zu, also wer über den Schlüssel verfügt. In der Microsoft Cloud kann die Verschlüsselung server-seitig (also in der Cloud) bzw. client-seitig (also beim Kunden erfolgen). Bei der Verschlüsselung in der Cloud kann die Schlüsselgenerierung und das Schlüsselmanagement entweder automatisiert über den Azure Key Vault erfolgen, nur das Management von durch den Kunden selbstbereitgestellt Schlüssel („bring your own key“) oder die Schlüssel werden für Schreib- und Leseprozess selbst vom Kunden bereit gestellt sobald sie benötigt werden und auf einer eigenen Hardware verwaltet („customer provided key“). Erfolgt die Verschlüsselung client-seitig hat der cloud provider keinen Zugriff auf den Schlüssel und kann die Daten keinesfalls entschlüsseln. Die Übermittlung an den Cloudprovider erfolgt bereits in verschlüsselter Form, der Schlüssel verbleibt beim Kunden. Jedenfalls zu bedenken ist bei der Wahl des Verschlüsselungsverfahrens, bzw. des Schlüsselmanagements, dass bestimmte Cloudservices nicht mehr funktionieren, wenn sie Daten nicht dekodieren und verarbeiten können. Als Beispiele seinen hier Machine Learning, AI, Analytics, Compliance Governance u.s.w. genannt.

Neben der Verschlüsselung von gespeicherten Daten muss natürlich auch noch die Verschlüsselung von Daten bei der Übertragung bzw. während der Verarbeitung im Prozessor betrachtet werden.

Für den Datenverkehr zwischen den Rechenzentren kommt bei Microsoft sowohl Secure Sockets Layer / Transport Layer Security als auch Internet Protocol Security zum Einsatz. Zur Isolierung der Datenüberlmittlung zu/vom Kunden stehen darüber hinaus auch noch HTTPS/VPN mit oder ohne ExpressRoute zur Verfügung.

Abschließend ist es bereits auch möglich, Daten während der Verarbeitung innerhalb des Prozessors zu verschlüsseln. Entsprechende Prozessoren von Intel (XEON E-2288G in der DCsv-2series) oder AMD stehen hier mittlerweile zur Verfügung

Datenzugriff und -management in der Cloud

Neben dem Schutz vor unberechtigten Datenzugriff durch zB. Verschlüsselungstechnologien (s.o.) kommt dem Management von berechtigten Datenzugriffen („lawful data access“) eine weitere wichtige Rolle zu. Microsoft hat mehrstufige Prozesse umgesetzt, die regeln, unter welchen Umständen wer, wann, wie lange und von wo auf Daten zugreifen kann. Nur in wenigen, ganz klar geregelten Fällen, z.B. bei einem Support Case, können Microsoft Engineers, nach Freigabe durch den Kunden (zum Beispiel innerhalb der Azure Customer Lockbox), auf entschlüsselte Kundendaten zugreifen. Dabei erfolgt die Genehmigung stets nach dem „Just-in-Time“ (nur für einen  genau definierten Zeitraum) und „Least Privilege“ (nur für einen genau definierten Minimal-Zweck) Prinzip. Diese Prinzipien stellen wesentliche Bestandteile des Zero Trust Models dar, mit dem Microsoft die Daten unserer Firmen und Kunden schützt.

Zum Datenmanagement in der Cloud gehört es aber auch, zu regeln, wann (und wie) Daten gelöscht werden und wie mit Datenträgern zu verfahren ist, die unbrauchbar geworden sind. Wenn ein Kunde bei Microsoft seine Cloud Subscription beendet oder diese ausläuft, wird Microsoft die zugehörigen Kundendaten in einem funktional beschränkten Account noch für 90 Tage vorhalten (als „Sicherheitsnetz“ vor versehentlicher Terminierung) und danach innerhalb von weiteren 90 Tagen inklusive aller Backup-Kopien löschen, wie in den Microsoft Online Services Terms vertraglich zugesichert. Physische Datenträger werden am Lebensende auch immer komplett überschrieben und gemäß dem NIST Standard SP 800-88 Rev. 1 vernichtet.

Datenschutz und Compliance mit der Cloud

In der Microsoft Cloud stehen Kunde mittlerweile rund 100 Zertifizierungen/Compliance Standards zur Verfügung, um die Regularien ihres Landes und ihrer Branche erfüllen zu können. Microsoft verpflichtet sich vertraglich, die DSGVO nicht nur innerhalb der europäischen Union sondern weltweit einzuhalten und die Azure Cloud-Services können im Einklang mit der DSGVO genutzt werden. Für Datentransfers außerhalb der EU hat der Europäische Gerichtshof im Juli 2020 die Standardvertragsklauseln als mögliche Grundlage im Sinne der DSGVO bestätigt. Darüber hinaus können Azure Services im Einklang mit den Privacy-Standards ISO/IEC 27018 und ISO/IEC 27701 (als Erweiterung von ISO/IEC 27001) genutzt werden. Microsoft erbringt seine Dienste gemäß geltender Gesetze und Regularien für IT Service Provider, kann seinen Kunden allerdings nicht die Verpflichtung abnehmen, ihre Prozesse und Kontrollmechanismen hinsichtlich Konformität mit industrie- oder branchenspezifischen Vorschriften in Einklang zu bringen, inklusive der Art der Nutzung von Cloud Services. Zu diesem Zweck stellt Microsoft Audit Reports zu vielen nationalen, internationalen und branchenspezifischen Audits weltweit zur Verfügung, so zum Beispiel, HITRUST, ISO 27001, 27018, 27017 & 27701, NIST 800-53, PCI DSS SOC 1, 2, 3 u.v.m. Im Dokument „Shared Responsibility for Cloud Computing“ sind die wesentlichen Aspekte, Rollen und Verantwortlichkeiten zwischen Service Provider und Kunden beim Cloud Computing zusammengefasst.
Die Cloud bietet also vielfältige Möglichkeiten, souveräne sichere Funktionalitäten für seine IT Services zu nutzen. Dabei ist stets darauf zu achten, welche Anforderungen hinsichtlich welcher Daten und Anwendungsfälle zu erfüllen sind bzw. gestellt werden. Ein allgemeingültiger Ansatz wird dabei nicht zum gewünschten Erfolg führen, sondern es ist für jeden Fall eine sorgfältige Risikoabschätzung hinsichtlich der zu erwartenden Gefahren und Auswirkungen im Schadensfall vorzunehmen.

Einen umfassenden und tiefergehenden Überblick über die Möglichkeiten Datenschutz und Data Residency in der Public Cloud umzusetzen bietet das Whitepaper „Enabling Data Residency and Data Protection in Microsoft Azure Regions„.

Für die Zukunft arbeiten wir aber auch schon an noch weitergehenden Möglichkeiten, im Rahmen der Microsoft Cloud for Sovereignty, speziell für unsere öffentlich-rechtlichen Kunden, ihren regulativen, sicherheitsrechtlichen und gesetzlichen Anforderungen bei der Nutzung unserer Cloud Services nachzukommen und von den breiten Möglichkeiten, Funktionalitäten, Flexibilität und Sicherheit unserer Plattform profitieren zu können.

Weitere Informationen
Microsoft Trust Center
Starke Datenintegrität in der Cloud | Microsoft Trust Center
Einfache Compliance in der Cloud
Speicherung und Verarbeitung von Daten ausschließlich in der EU | News Center Microsoft
Was habe ich eigentlich von der Microsoft Cloud Österreich?