Post on 12-Jan-2017
Bechtle IT-Systemhaus Köln
Raphael Köllner
MVP Office Servers and Services
Eine Microsoft Cloud mit deutscher Datentreuhand
2016
TITLEHERE Einführung ins Thema
Technische Konstruktion
Juristische Konstruktion
Besonderheiten
Start in die Deutsche Trusted Cloud
DEMO
Agenda
#GWAVACon
2016
1.2 billion worldwide users2
300+ million users per month5
48 million members in 57 countries4
57% of Fortune 5004
10,000 new subscribers per week2
3.5 million active users4
Online
5.5+ billion worldwide queries
each month3
450+ million unique users each month6
200+ Cloud Services,
1+ million Servers,
$15B+ Infrastruktur
Investment
1 billion Kunden,
90 countries worldwide
91. - UK South (London)- UK West (Cardiff, Wales)
2016
TITLEHEREWarum?
Verfahren in New York zur Herausgabe eines Hotmail-Kontos an die US Behörden
auf Basis des Commi Store ACT aus einem Microsoft Rechenzentrum in Dublin.
Territoriale Rechenzentren vom Markt gewünscht.
???
#GWAVACon
TECHNICHSCHES KONSTRUKT Im grundlegende technische Änderungen zu der europäischen Cloud gibt es nicht.
„closed cloud“ – kein Backbone zur public Microsoft Cloud / Internet
Microsoft Cloud (FRA, Magdeburg)
#GWAVACon
Kundendaten befinden sich NUR in deutschen Rechenzentren8
Kundendaten verbleiben in Deutschland
Der deutsche Datentreuhänderkontrolliert den gesamtenZugriff und überwacht und
prüft jeden gewährten Zugriff
Microsoft kann nur vomdeutschen
Datentreuhänder odermit Erlaubnis des
Kunden Zugriff erhalten
Die Rechenzentren befinden sich in Deutschland, und der Zugriffwird von einem namhaften deutschen Datentreuhänderkontrolliert
Datenabgleich zwischen den beiden Rechenzentren in Deutschland, um den Geschäftsablauf zu sichern und eineNotfall-Wiederherstellung zu ermöglichen
Der Zugriff auf Kundendaten wird durch Mitarbeiter des Datentreuhänders kontrolliert
Sicherheitsmaßnahmen nach dem neuesten Stand der Technikeinschließlich 24-Stunden-Überwachung und -Sicherheitsdienst
Physische Barrieren, Zäune und umfassende Schutzvorkehrungengegen Naturgewalten
Neue Endpunkte
Funktion Endpunkt
Portal Portal.microsoftazure.de
Storage Core.cloudapi.de
Websites Azurewebsites.de
AzureSQL Database.cloudapi.de
Traffic Manager DNS Azuretrafficmanager.de
Key Vault Vaul.microsoftazure.de
Service & Support für Microsoft Cloud Deutschland
Das Supportmodell für die Microsoft Cloud Deutschland umfasst rundum die Uhr und an 7 Tagen die Woche in Deutschland basiertentechnischen Support für Office 365 und Microsoft Dynamics CRMOnline.
Für Microsoft Azure gilt ein EU-basiertes Supportmitarbeitermodell(während der Geschäftszeiten in Deutschland, außerhalb derdeutschen Geschäftszeiten aus der EU).
Wo zusätzlicher Support benötigt wird, können Supportmitarbeiter zu DevOps außerhalb von Deutschland eskalieren.
Jeder Support, der Zugriff auf die Plattform erfordert (d.h. Zugriff auf Systeme, der potenziell Zugriff auf Kundendaten ermöglicht), wird vom Datentreuhänder beaufsichtigt.
Microsoft beabsichtigt, dass alle in Deutschland basierten technischen Support-Mitarbeiter für die deutsche Cloud SU1-geprüft sind. Support wird auf Deutsch (Hauptsprache) und Englisch (Zweitsprache) zur Verfügung gestellt.
Es werden bei Tools und Prozessen Änderungen eingeführt, um den Datenschutzvorgaben/-einschränkungen des deutschen Cloud-Modells Rechnung zu tragen.
Die Initial Response Times und Dienst-SLAs für die deutsche Cloud richten sich nach dem öffentlichen Cloud-Modell.
Spezifische Support-Angebote und -Preise werden näher an der Markteinführung der deutschen Clouddienste zur Verfügung gestellt.
13
JURISTISCHES KONSTRUKT
#GWAVACon
Die deutsche Trusted Cloud ist ein einmaliges Konstrukt. Keine andere Cloud und auch keine andere Microsoft Cloud besitzt ein solches Konstrukt.
Klassischen Verträgen Datentreuhänder Housing-Model der RZs Zertifikate über D-Trust (Deutsche Bundesdruckerei) ev. BSI-Grundschutz
CR 2/2016 S. 89ff. Die neue Microsoft Cloud als Schutzschild gegen NSA & Co.
Ein deutscher Datentreuhänder kontrolliert den Zugriff auf die Daten
Role Based Access Control (RBAC)-Tools kontrollierenjeglichen Zugriff auf Kundendaten
Ausschließlich der deutsche Datentreuhänder hat Zugriffauf Server mit Kundendaten
Mitarbeiter von Microsoft haben keinerlei administrative Top-Level-Rechte, um Zugriffauf Kundendaten zu gewähren
Mitarbeiter von Microsoft können sich nicht auf Server mit Kundendaten einloggen
Zugriff zum Aufspielen von
Softwareupdates muss vom
deutschen Datentreuhänder
gewährt werden
Tools zur Überwachung
des Service haben keinen
Zugriff auf Kundendaten
Sämtliche Kundendaten:
• Virtuelle Rechner
• E-Mails, Anhänge, Bilder
• Storage Blobs
• Datenbankinhalte
Eine neue Microsoft-Cloud mit deutschem Datentreuhänder
Datentreuhänder• Kontrolliert jeglichen physischen und logischen Zugriff auf
Kundendaten (mit Ausnahme eines Zugriffs durch die Kunden oder deren Endbenutzer)
• Führt Aufgaben, die Zugriff auf Server mit Kundendaten erfordern, selbst durch oder beaufsichtigt die Ausführung
• Überwacht und prüft jeden in jedem Einzelfall den gewährten Zugriff von Microsoft und beendet den Zugriff, wenn das Problem gelöst ist
Microsoft• Kein grundsätzlicher Zugriff auf Kundendaten
• Keine technische Möglichkeit, auf Kundendaten ohne Zustimmung des Datentreuhänders oder des Kunden gemäß der Zugangskontrollrichtlinien zuzugreifen
• Kein physischer Zugang zu Rechenzentren, in denen Kundendaten gespeichert sind (ohne Begleitung durch den deutschen Datentreuhänder)
• Jeder Mitarbeiter von Microsoft, dem der deutsche Datentreuhänder Zugriff gewährt, muss globale Sicherheitskontrollen durchlaufen und bestehen
Verpflichtungen des
Datentreuhänders, was
Kundendaten betrifft
• T-Systems International GmbH, eine Tochtergesellschaft der Deutschen Telekom und ein deutsches Unternehmen mit Sitz in Deutschland, agiert als Datentreuhänder im Auftrag des Kunden und muss jede einzelne Datenherausgabe an Dritte freigeben.
• T-Systems darf keine Daten, die sie treuhänderisch verwalten (Kundendaten oder Daten über den Kunden) für kommerzielle Zwecke nutzen.
• T-Systems International GmbH verpflichtet sich als Datentreuhänder vertraglich direkt gegenüber dem Kunden, dass Kundendaten nicht gegenüber Drittparteien offenlegt werden, es sei denn, der Kunde verlangt es oder deutsches Recht erfordert es
• Kundendaten in der Microsoft Cloud Deutschland werden vor „Herausgabeverlangen ausländischer Behörden“ oder richterlichen Anordnungen zusätzlich durch ein Datentreuhändermodell geschützt.
17
2016
Lizenzen und Übergänge in die DE Cloud
10% 15% 20% 60%
• Microsoft.com Agreement• separaten Kommittent • Server enrollment für die DE Cloud• EA Accountmanager sind gebrieft• Neuer EA abschließen, keine Erweiterung aktuell möglich
2016
Raphael Köllner
Bechtle IT-Systemhaus Köln & CBH Rechtsanwälte
IT-System Engineer & WissMit
Thank You! & Q & A