Mit der Verbreitung und Bedeutung von Cloud Computing f\u00fcr das wirtschaftliche und gesellschaftliche Leben unserer Zeit ist auch die Fragestellung ins Zentrum ger\u00fcckt, wo meine Daten gespeichert und verarbeitet werden, wohin sie transferiert werden, wer darauf Zugriff hat und wie sie gesch\u00fctzt sind. Die Microsoft Cloud bietet unseren Kunden vielf\u00e4ltige M\u00f6glichkeiten, selbst \u00fcber diese Fragestellungen zu bestimmen und die Services ganz nach den unternehmens- oder organisationspezifischen Anforderungen oder regulatorischen Verpflichtungen zu konfigurieren. So beh\u00e4lt man die Hoheit \u00fcber seine Daten in der Cloud und schon bald wird dies auch mit Datenhaltung und -verarbeitung in einer eigenen \u00d6sterreich-Region m\u00f6glich sein.<\/p>\n
Die Microsoft Cloud, bestehend aus ca. 200 Rechenzentren weltweit vernetzt durch 200.000km Hochgeschwindigkeitsdatenkabeln ist heute in \u00fcber 140 L\u00e4ndern verf\u00fcgbar. Wenn wir von „der Cloud“ sprechen, ist damit aber keine abstrakte unspezifische Wolke gemeint, sondern im Gegenteil eine hochkomplexe, strukturierte Infrastruktur von hierarchisch gegliederten und verkn\u00fcpften Geographien, Regionen und Zonen. Was ist damit gemeint?<\/p>\n
Um unseren Kunden m\u00f6glichst global, aus k\u00fcrzester Distanz und unterbrechungsfrei Cloudservices 24×7 an 365 Tagen im Jahr bereitstellen zu k\u00f6nnen, bedarf es eines redundant ausgelegten Infrastrukturverbunds, der Hochverf\u00fcgbarkeit, Service-Elastizit\u00e4t und Recovery nach den h\u00f6chsten Anforderungen erm\u00f6glicht.<\/p>\n
Geographien, Regionen und Availability Zones sind die logischen Aufbauebenen der Microsoft Cloud. In \u00d6sterreich werden wir demn\u00e4chst eine eigene Cloud-Region, bestehend aus 3 Availability Zones er\u00f6ffnen. Jede dieser Zonen wird dabei physisch getrennt aus einem eigenen Rechenzentrumsstandort, eigener Stromversorgung, K\u00fchlung und Netzwerkinfrastruktur bestehen. Somit ist die \u00f6sterreichische Region auch beim Ausfall eines ganzen Rechenzentrums weiter verf\u00fcgbar und betriebsbereit und kann Konfigurationen mit\u00a0 einem Verf\u00fcgbarkeits-SLA von 99.99% f\u00fcr virtuelle Server anbieten.<\/p>\n
Dar\u00fcber hinaus wird es aber auch m\u00f6glich sein, Teile oder sein gesamtes „Business Continuity & Desaster Recovery“ Konzept \u00fcber mehrere Cloudregionen \/ -geographien hinweg zu gestalten. Dies erfolgt entweder \u00fcber sogenannte „paired regions“ innerhalb einer Geographie oder „cross-geo“, wenn die Geographie nur aus einer Region besteht. F\u00fcr die \u00f6sterreichische Region werden Workloads beispielsweise zus\u00e4tzlich in einer weiteren Region oder Geographie deployed und Azure Services wie Azure Site Recovery<\/a> oder Azure Backup f\u00fcr Pairingzwecke genutzt werden k\u00f6nnen. So k\u00f6nnen kritische IT-Services auch gegen regionale elementare Ereignisse (Hochwasser, Erdbeben etc.) abgesichert werden, wenn sie im Katastrophenfall noch aus einer anderen Region oder Geographie betrieben werden k\u00f6nnen.<\/p>\n Als kommerzieller Microsoft Kunde beh\u00e4lt man stets Eigentum an seinen Daten. Viele Cloud Services, wie zum Beispiel virtuelle Server, Speicher, Datenbanken etc., sind regional verf\u00fcgbar und erlauben unseren Kunden somit, die Region der Datenhaltung und -verarbeitung selbst zu bestimmen<\/a> – in Zukunft auch in \u00d6sterreich. F\u00fcr die \u00f6sterreichische Cloudregion werden wir eine vollst\u00e4ndige Liste regionaler Cloudservices, die Datenhaltung und -verarbeitung in \u00d6sterreich erm\u00f6glichen, zu einem sp\u00e4teren Zeitpunkt ver\u00f6ffentlichen.<\/p>\n Einzelne, sogenannte „non-regional services“<\/a> erm\u00f6glichen es nicht, die Region, in die das Service deployed wird auszuw\u00e4hlen. Dazu geh\u00f6ren Services wir Azure Content Delivery Network, das weltweit ein globales Caching Service anbietet, oder Azure Active Directory, das beispielsweise f\u00fcr europ\u00e4ische Kunden seine Daten in unterschiedlichen europ\u00e4ischen Rechenzentren speichert und verarbeitet.<\/p>\n Im Rahmen des Projekts „EU Data Boundary<\/a>“ werden wir es in der EU ans\u00e4ssigen Kunden aus dem \u00f6ffentlichen Sektor und Unternehmenskunden k\u00fcnftig jedoch anbieten, all ihre Daten innerhalb der EU zu verarbeiten und zu speichern. Diese Zusage gilt f\u00fcr alle zentralen Cloud-Dienste von Microsoft \u2013 Azure, Microsoft 365 und Dynamics 365 und umfasst auch alle personenbezogenen Daten in Diagnosedaten sowie in Daten, die von unseren Services automatisch generiert werden. Das betrifft auch personenbezogene Daten, die wir zur Bereitstellung von technischem Support verwenden<\/p>\n Eine M\u00f6glichkeit, Data Residency und Compliance standardisiert zu managen stellen sogenannte Azure Blueprints<\/a> dar. In Azure Blueprints k\u00f6nnen Umgebungskriterien, rollenbasierte Zugriffskontrollen zB in Form von Azure Resource Manager Blueprints, unter Verwendung von vordefinierten Vorlagen, die bereits Vorgaben g\u00e4ngiger Standards wie HIPAA, PCI DSS, ISO 27001 u.v.m. beinhalten, definiert werden. In solchen Blueprints k\u00f6nnen auch erlaubte Speicher- und Verarbeitungsregionen f\u00fcr die enthaltenen Ressource Gruppen (Services) spezifiziert werden.<\/p>\n Microsoft hat vielf\u00e4ltige Ma\u00dfnahmen physischer, technisch und organisatorischer Natur umgesetzt, um die Daten unserer Kunden vor unbefugten Zugriff zu sch\u00fctzen.<\/p>\n Daten in Azure werden standardm\u00e4\u00dfig verschl\u00fcsselt und \u00fcber mehrere physische Datentr\u00e4ger verteilt gespeichert. Dabei werde alle Daten, die auf die Azure Speicher Plattform geschrieben werden, mit 256-bit AES Verschl\u00fcsselung gesch\u00fctzt, was dem aktuellen FIPS 140-2 Standard entspricht. F\u00fcr virtuelle Server kommen je nach Betriebssystem BitLocker (Windows) bzw. DM-Crypt (Linux) auf OS-Ebene zum Einsatz. Dar\u00fcber hinaus werden f\u00fcr Datenbanksysteme „Transparent Data Encryption – TDE<\/a>“ (Synapse) oder die „Always Encrypted<\/a>“ Funktion bei Azure SQL Datenbanken verwendet, um nur einige M\u00f6glichkeiten zu nennen.<\/p>\n Eine besondere Bedeutung bei der Thematik der Datenverschl\u00fcsselung kommt noch dem sogenannten Key Management zu, also wer \u00fcber den Schl\u00fcssel verf\u00fcgt. In der Microsoft Cloud kann die Verschl\u00fcsselung server-seitig (also in der Cloud) bzw. client-seitig (also beim Kunden erfolgen). Bei der Verschl\u00fcsselung in der Cloud kann die Schl\u00fcsselgenerierung und das Schl\u00fcsselmanagement entweder automatisiert \u00fcber den Azure Key Vault<\/a> erfolgen, nur das Management von durch den Kunden selbstbereitgestellt Schl\u00fcssel („bring your own key“) oder die Schl\u00fcssel werden f\u00fcr Schreib- und Leseprozess selbst vom Kunden bereit gestellt sobald sie ben\u00f6tigt werden und auf einer eigenen Hardware verwaltet („customer provided key“). Erfolgt die Verschl\u00fcsselung client-seitig hat der cloud provider keinen Zugriff auf den Schl\u00fcssel und kann die Daten keinesfalls entschl\u00fcsseln. Die \u00dcbermittlung an den Cloudprovider erfolgt bereits in verschl\u00fcsselter Form, der Schl\u00fcssel verbleibt beim Kunden. Jedenfalls zu bedenken ist bei der Wahl des Verschl\u00fcsselungsverfahrens, bzw. des Schl\u00fcsselmanagements, dass bestimmte Cloudservices nicht mehr funktionieren, wenn sie Daten nicht dekodieren und verarbeiten k\u00f6nnen. Als Beispiele seinen hier Machine Learning, AI, Analytics, Compliance Governance u.s.w. genannt.<\/p>\n Neben der Verschl\u00fcsselung von gespeicherten Daten muss nat\u00fcrlich auch noch die Verschl\u00fcsselung von Daten bei der \u00dcbertragung bzw. w\u00e4hrend der Verarbeitung im Prozessor betrachtet werden.<\/p>\n F\u00fcr den Datenverkehr zwischen den Rechenzentren kommt bei Microsoft sowohl Secure Sockets Layer \/ Transport Layer Security als auch Internet Protocol Security zum Einsatz. Zur Isolierung der Daten\u00fcberlmittlung zu\/vom Kunden stehen dar\u00fcber hinaus auch noch HTTPS\/VPN mit oder ohne ExpressRoute<\/a> zur Verf\u00fcgung.<\/p>\n Abschlie\u00dfend ist es bereits auch m\u00f6glich, Daten w\u00e4hrend der Verarbeitung innerhalb des Prozessors zu verschl\u00fcsseln<\/a>. Entsprechende Prozessoren von Intel (XEON E-2288G in der DCsv-2series<\/a>) oder AMD<\/a> stehen hier mittlerweile zur Verf\u00fcgung<\/p>\n Neben dem Schutz vor unberechtigten Datenzugriff durch zB. Verschl\u00fcsselungstechnologien (s.o.) kommt dem Management von berechtigten Datenzugriffen („lawful data access“) eine weitere wichtige Rolle zu. Microsoft hat mehrstufige Prozesse umgesetzt, die regeln, unter welchen Umst\u00e4nden wer, wann, wie lange und von wo auf Daten zugreifen kann. Nur in wenigen, ganz klar geregelten F\u00e4llen, z.B. bei einem Support Case, k\u00f6nnen Microsoft Engineers, nach Freigabe durch den Kunden (zum Beispiel innerhalb der Azure Customer Lockbox<\/a>), auf entschl\u00fcsselte Kundendaten zugreifen. Dabei erfolgt die Genehmigung stets nach dem „Just-in-Time“ (nur f\u00fcr einen\u00a0 genau definierten Zeitraum) und „Least Privilege“ (nur f\u00fcr einen genau definierten Minimal-Zweck) Prinzip. Diese Prinzipien stellen wesentliche Bestandteile des Zero Trust Models<\/a> dar, mit dem Microsoft die Daten unserer Firmen und Kunden sch\u00fctzt.<\/p>\n Zum Datenmanagement in der Cloud geh\u00f6rt es aber auch, zu regeln, wann (und wie) Daten gel\u00f6scht werden und wie mit Datentr\u00e4gern zu verfahren ist, die unbrauchbar geworden sind. Wenn ein Kunde bei Microsoft seine Cloud Subscription beendet oder diese ausl\u00e4uft, wird Microsoft die zugeh\u00f6rigen Kundendaten in einem funktional beschr\u00e4nkten Account noch f\u00fcr 90 Tage vorhalten (als „Sicherheitsnetz“ vor versehentlicher Terminierung) und danach innerhalb von weiteren 90 Tagen inklusive aller Backup-Kopien l\u00f6schen, wie in den Microsoft Online Services Terms<\/a> vertraglich zugesichert. Physische Datentr\u00e4ger werden am Lebensende auch immer komplett \u00fcberschrieben und gem\u00e4\u00df dem NIST Standard SP 800-88 Rev. 1<\/a> vernichtet.<\/p>\n In der Microsoft Cloud stehen Kunde mittlerweile rund 100 Zertifizierungen\/Compliance Standards<\/a> zur Verf\u00fcgung, um die Regularien ihres Landes und ihrer Branche erf\u00fcllen zu k\u00f6nnen. Microsoft verpflichtet sich vertraglich, die DSGVO nicht nur innerhalb der europ\u00e4ischen Union sondern weltweit einzuhalten und die Azure Cloud-Services k\u00f6nnen im Einklang mit der DSGVO<\/a> genutzt werden. F\u00fcr Datentransfers au\u00dferhalb der EU hat der Europ\u00e4ische Gerichtshof im Juli 2020 die Standardvertragsklauseln als m\u00f6gliche Grundlage im Sinne der DSGVO best\u00e4tigt. Dar\u00fcber hinaus k\u00f6nnen Azure Services im Einklang mit den Privacy-Standards ISO\/IEC 27018<\/a> und ISO\/IEC 27701<\/a> (als Erweiterung von ISO\/IEC 27001<\/a>) genutzt werden. Microsoft erbringt seine Dienste gem\u00e4\u00df geltender Gesetze und Regularien f\u00fcr IT Service Provider, kann seinen Kunden allerdings nicht die Verpflichtung abnehmen, ihre Prozesse und Kontrollmechanismen hinsichtlich Konformit\u00e4t mit industrie- oder branchenspezifischen Vorschriften in Einklang zu bringen, inklusive der Art der Nutzung von Cloud Services. Zu diesem Zweck stellt Microsoft Audit Reports zu vielen nationalen, internationalen und branchenspezifischen Audits<\/a> weltweit zur Verf\u00fcgung, so zum Beispiel, HITRUST, ISO 27001, 27018, 27017 & 27701, NIST 800-53, PCI DSS SOC 1, 2, 3 u.v.m. Im Dokument „Shared Responsibility for Cloud Computing<\/a>“ sind die wesentlichen Aspekte, Rollen und Verantwortlichkeiten zwischen Service Provider und Kunden beim Cloud Computing zusammengefasst. Einen umfassenden und tiefergehenden \u00dcberblick \u00fcber die M\u00f6glichkeiten Datenschutz und Data Residency in der Public Cloud umzusetzen bietet das Whitepaper „Enabling Data Residency and Data Protection in Microsoft Azure Regions<\/a>„.<\/p>\n F\u00fcr die Zukunft arbeiten wir aber auch schon an noch weitergehenden M\u00f6glichkeiten, im Rahmen der Microsoft Cloud for Sovereignty<\/a>, speziell f\u00fcr unsere \u00f6ffentlich-rechtlichen Kunden, ihren regulativen, sicherheitsrechtlichen und gesetzlichen Anforderungen bei der Nutzung unserer Cloud Services nachzukommen und von den breiten M\u00f6glichkeiten, Funktionalit\u00e4ten, Flexibilit\u00e4t und Sicherheit unserer Plattform profitieren zu k\u00f6nnen.<\/p>\n Weitere Informationen Mit der Verbreitung und Bedeutung von Cloud Computing f\u00fcr das wirtschaftliche und gesellschaftliche Leben unserer Zeit ist auch die Fragestellung ins Zentrum ger\u00fcckt, wo meine Daten gespeichert und verarbeitet werden, wohin sie transferiert werden, wer darauf Zugriff hat und wie sie gesch\u00fctzt sind. Die Microsoft Cloud bietet unseren Kunden vielf\u00e4ltige M\u00f6glichkeiten, selbst \u00fcber diese Fragestellungen […]<\/p>\n","protected":false},"author":40,"featured_media":718645,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[],"class_list":["post-718642","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","specials-sustainable-futures-de-at","stories-sustainable-platform-de-at","stories-wie-kann-ich-rechenzentren-nachhaltiger-gestalten","businessPriorities-applications-infrastructure-de-at"],"_links":{"self":[{"href":"https:\/\/pulse.microsoft.com\/de-at\/wp-json\/wp\/v2\/posts\/718642"}],"collection":[{"href":"https:\/\/pulse.microsoft.com\/de-at\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/pulse.microsoft.com\/de-at\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/pulse.microsoft.com\/de-at\/wp-json\/wp\/v2\/users\/40"}],"replies":[{"embeddable":true,"href":"https:\/\/pulse.microsoft.com\/de-at\/wp-json\/wp\/v2\/comments?post=718642"}],"version-history":[{"count":5,"href":"https:\/\/pulse.microsoft.com\/de-at\/wp-json\/wp\/v2\/posts\/718642\/revisions"}],"predecessor-version":[{"id":799179,"href":"https:\/\/pulse.microsoft.com\/de-at\/wp-json\/wp\/v2\/posts\/718642\/revisions\/799179"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/pulse.microsoft.com\/de-at\/wp-json\/wp\/v2\/media\/718645"}],"wp:attachment":[{"href":"https:\/\/pulse.microsoft.com\/de-at\/wp-json\/wp\/v2\/media?parent=718642"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/pulse.microsoft.com\/de-at\/wp-json\/wp\/v2\/categories?post=718642"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Regionale Datenhaltung<\/h2>\n
Verschl\u00fcsselung<\/h2>\n
Datenzugriff und -management in der Cloud<\/h2>\n
Datenschutz und Compliance mit der Cloud<\/h2>\n
\nDie Cloud bietet also vielf\u00e4ltige M\u00f6glichkeiten, souver\u00e4ne sichere Funktionalit\u00e4ten f\u00fcr seine IT Services zu nutzen. Dabei ist stets darauf zu achten, welche Anforderungen hinsichtlich welcher Daten und Anwendungsf\u00e4lle zu erf\u00fcllen sind bzw. gestellt werden. Ein allgemeing\u00fcltiger Ansatz wird dabei nicht zum gew\u00fcnschten Erfolg f\u00fchren, sondern es ist f\u00fcr jeden Fall eine sorgf\u00e4ltige Risikoabsch\u00e4tzung hinsichtlich der zu erwartenden Gefahren und Auswirkungen im Schadensfall vorzunehmen.<\/p>\n
\n<\/strong>Microsoft Trust Center<\/a>
\nStarke Datenintegrit\u00e4t in der Cloud | Microsoft Trust Center<\/a>
\nEinfache Compliance in der Cloud<\/a>
\nSpeicherung und Verarbeitung von Daten ausschlie\u00dflich in der EU | News Center Microsoft<\/a>
\nWas habe ich eigentlich von der Microsoft Cloud \u00d6sterreich?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"