Bechtle IT-Systemhaus Köln

Raphael Köllner

MVP Office Servers and Services

Eine Microsoft Cloud mit deutscher Datentreuhand

2016

Raphael Köllner

Bechtle IT-Systemhaus Köln & CBH Rechtsanwälte

IT-System Engineer & WissMit

2016

TITLEHERE Einführung ins Thema

Technische Konstruktion

Juristische Konstruktion

Besonderheiten

Start in die Deutsche Trusted Cloud

DEMO

Agenda

#GWAVACon

2016

Warum?

2016

1.2 billion worldwide users2

300+ million users per month5

48 million members in 57 countries4

57% of Fortune 5004

10,000 new subscribers per week2

3.5 million active users4

Online

5.5+ billion worldwide queries

each month3

450+ million unique users each month6

200+ Cloud Services,

1+ million Servers,

$15B+ Infrastruktur

Investment

1 billion Kunden,

90 countries worldwide

91. - UK South (London)- UK West (Cardiff, Wales)

2016

TITLEHEREWarum?

Verfahren in New York zur Herausgabe eines Hotmail-Kontos an die US Behörden

auf Basis des Commi Store ACT aus einem Microsoft Rechenzentrum in Dublin.

Territoriale Rechenzentren vom Markt gewünscht.

???

#GWAVACon

TECHNICHSCHES KONSTRUKT Im grundlegende technische Änderungen zu der europäischen Cloud gibt es nicht.

„closed cloud“ – kein Backbone zur public Microsoft Cloud / Internet

Microsoft Cloud (FRA, Magdeburg)

#GWAVACon

Kundendaten befinden sich NUR in deutschen Rechenzentren8

Kundendaten verbleiben in Deutschland

Der deutsche Datentreuhänderkontrolliert den gesamtenZugriff und überwacht und

prüft jeden gewährten Zugriff

Microsoft kann nur vomdeutschen

Datentreuhänder odermit Erlaubnis des

Kunden Zugriff erhalten

Die Rechenzentren befinden sich in Deutschland, und der Zugriffwird von einem namhaften deutschen Datentreuhänderkontrolliert

Datenabgleich zwischen den beiden Rechenzentren in Deutschland, um den Geschäftsablauf zu sichern und eineNotfall-Wiederherstellung zu ermöglichen

Der Zugriff auf Kundendaten wird durch Mitarbeiter des Datentreuhänders kontrolliert

Sicherheitsmaßnahmen nach dem neuesten Stand der Technikeinschließlich 24-Stunden-Überwachung und -Sicherheitsdienst

Physische Barrieren, Zäune und umfassende Schutzvorkehrungengegen Naturgewalten

Karte

http://azuredatacentermap.azurewebsites.net/

Neue Endpunkte

Funktion Endpunkt

Portal Portal.microsoftazure.de

Storage Core.cloudapi.de

Websites Azurewebsites.de

AzureSQL Database.cloudapi.de

Traffic Manager DNS Azuretrafficmanager.de

Key Vault Vaul.microsoftazure.de

Und heute?

Schauen wir mal nach:

DE Trusted Cloud

Service & Support für Microsoft Cloud Deutschland

Das Supportmodell für die Microsoft Cloud Deutschland umfasst rundum die Uhr und an 7 Tagen die Woche in Deutschland basiertentechnischen Support für Office 365 und Microsoft Dynamics CRMOnline.

Für Microsoft Azure gilt ein EU-basiertes Supportmitarbeitermodell(während der Geschäftszeiten in Deutschland, außerhalb derdeutschen Geschäftszeiten aus der EU).

Wo zusätzlicher Support benötigt wird, können Supportmitarbeiter zu DevOps außerhalb von Deutschland eskalieren.

Jeder Support, der Zugriff auf die Plattform erfordert (d.h. Zugriff auf Systeme, der potenziell Zugriff auf Kundendaten ermöglicht), wird vom Datentreuhänder beaufsichtigt.

Microsoft beabsichtigt, dass alle in Deutschland basierten technischen Support-Mitarbeiter für die deutsche Cloud SU1-geprüft sind. Support wird auf Deutsch (Hauptsprache) und Englisch (Zweitsprache) zur Verfügung gestellt.

Es werden bei Tools und Prozessen Änderungen eingeführt, um den Datenschutzvorgaben/-einschränkungen des deutschen Cloud-Modells Rechnung zu tragen.

Die Initial Response Times und Dienst-SLAs für die deutsche Cloud richten sich nach dem öffentlichen Cloud-Modell.

Spezifische Support-Angebote und -Preise werden näher an der Markteinführung der deutschen Clouddienste zur Verfügung gestellt.

13

Tipp für Microsoft Cloud Deutschland

JURISTISCHES KONSTRUKT

#GWAVACon

Die deutsche Trusted Cloud ist ein einmaliges Konstrukt. Keine andere Cloud und auch keine andere Microsoft Cloud besitzt ein solches Konstrukt.

Klassischen Verträgen Datentreuhänder Housing-Model der RZs Zertifikate über D-Trust (Deutsche Bundesdruckerei) ev. BSI-Grundschutz

CR 2/2016 S. 89ff. Die neue Microsoft Cloud als Schutzschild gegen NSA & Co.

Ein deutscher Datentreuhänder kontrolliert den Zugriff auf die Daten

Role Based Access Control (RBAC)-Tools kontrollierenjeglichen Zugriff auf Kundendaten

Ausschließlich der deutsche Datentreuhänder hat Zugriffauf Server mit Kundendaten

Mitarbeiter von Microsoft haben keinerlei administrative Top-Level-Rechte, um Zugriffauf Kundendaten zu gewähren

Mitarbeiter von Microsoft können sich nicht auf Server mit Kundendaten einloggen

Zugriff zum Aufspielen von

Softwareupdates muss vom

deutschen Datentreuhänder

gewährt werden

Tools zur Überwachung

des Service haben keinen

Zugriff auf Kundendaten

Sämtliche Kundendaten:

• Virtuelle Rechner

• E-Mails, Anhänge, Bilder

• Storage Blobs

• Datenbankinhalte

Eine neue Microsoft-Cloud mit deutschem Datentreuhänder

Datentreuhänder• Kontrolliert jeglichen physischen und logischen Zugriff auf

Kundendaten (mit Ausnahme eines Zugriffs durch die Kunden oder deren Endbenutzer)

• Führt Aufgaben, die Zugriff auf Server mit Kundendaten erfordern, selbst durch oder beaufsichtigt die Ausführung

• Überwacht und prüft jeden in jedem Einzelfall den gewährten Zugriff von Microsoft und beendet den Zugriff, wenn das Problem gelöst ist

Microsoft• Kein grundsätzlicher Zugriff auf Kundendaten

• Keine technische Möglichkeit, auf Kundendaten ohne Zustimmung des Datentreuhänders oder des Kunden gemäß der Zugangskontrollrichtlinien zuzugreifen

• Kein physischer Zugang zu Rechenzentren, in denen Kundendaten gespeichert sind (ohne Begleitung durch den deutschen Datentreuhänder)

• Jeder Mitarbeiter von Microsoft, dem der deutsche Datentreuhänder Zugriff gewährt, muss globale Sicherheitskontrollen durchlaufen und bestehen

Verpflichtungen des

Datentreuhänders, was

Kundendaten betrifft

• T-Systems International GmbH, eine Tochtergesellschaft der Deutschen Telekom und ein deutsches Unternehmen mit Sitz in Deutschland, agiert als Datentreuhänder im Auftrag des Kunden und muss jede einzelne Datenherausgabe an Dritte freigeben.

• T-Systems darf keine Daten, die sie treuhänderisch verwalten (Kundendaten oder Daten über den Kunden) für kommerzielle Zwecke nutzen.

• T-Systems International GmbH verpflichtet sich als Datentreuhänder vertraglich direkt gegenüber dem Kunden, dass Kundendaten nicht gegenüber Drittparteien offenlegt werden, es sei denn, der Kunde verlangt es oder deutsches Recht erfordert es

• Kundendaten in der Microsoft Cloud Deutschland werden vor „Herausgabeverlangen ausländischer Behörden“ oder richterlichen Anordnungen zusätzlich durch ein Datentreuhändermodell geschützt.

17

Aufbau:

Azure Express Route

Azure Express Route

Verfügbarkeit (12.09.2016)

PowerShell

2016

Lizenzen und Übergänge in die DE Cloud

10% 15% 20% 60%

• Microsoft.com Agreement• separaten Kommittent • Server enrollment für die DE Cloud• EA Accountmanager sind gebrieft• Neuer EA abschließen, keine Erweiterung aktuell möglich

2016

Live Demo

2016

Raphael Köllner

Bechtle IT-Systemhaus Köln & CBH Rechtsanwälte

IT-System Engineer & WissMit

Thank You! & Q & A

2016

2016