Wohin gehen meine Daten? Kontrolle über die Datenspeicherung und Verarbeitung in der EU bei Microsoft Azure

Transcript

1. Webinar Wohin gehen meine Daten? Rainer Stropek software architects gmbh

   http://www.timecockpit.com [email protected] @rstropek Kontrolle über die Datenspeicherung und Verarbeitung in der EU bei Microsoft Azure Web Mail Twitter

2. Vorstellung  Rainer Stropek Developer, Entrepreneur Azure MVP , MS

   Regional Director Trainer bei IT-Visions  Contact software architects gmbh [email protected] Twitter: @rstropek

3. Agenda Die Veröffentlichungen der letzten Monate haben die Sensibilität hinsichtlich

   Ort und Speicherung von Daten in der Cloud geschärft. Kunden wollen wissen, wo ihre Daten liegen, wann Personen außerhalb ihrer Organisation darauf zugreifen, wie sie die Daten möglichst vollständig innerhalb der EU halten, etc. In dem Vortrag erläutert Rainer Stropek, MVP für Microsoft Azure, den Stand der Dinge in der Microsoft Cloud. Er gibt einen Überblick über die geltenden Nutzungsbedingungen und erklärt im Überblick auch den technischen Hintergrund. Anhand des Azure-Verwaltungsportals wird gezeigt, worauf beim Aufbau von Systemen in Azure zu achten ist, wenn man die EU-Rechenzentren von Azure nutzen möchte

4. Customer Empathy Map Was brauchen Kunden? Was hören, fühlen und

   denken Kunden über SaaS und die Cloud? Vertrauen Tool developed by the company XPLANE Source: http://innovatus.org.uk/2012/01/empathy-maps/

5. Gerüchte und „Bauchgefühl“  „Keine Kontrolle darüber, wohin meine Daten

   gehen?“ Einfluss auf Ort der Speicherung und Verarbeitung der Daten  „Ich vertraue auf Datenschutz in Europe, nicht in den USA“ Geltende Rechtsnormen  „US Konzerne sind nur der verlängerte Arm der NSA“ Zusammenarbeit der Cloud-Konzerne mit US Justiz  Gründe für Abrücken von der Cloud Fehlendes Wissen (technisch und vertraglich) Fehlendes Vertrauen Tatsächliche Show-Stopper

6. Azure-Geographie

7. Azure 18 Rechenzentren Zwei Rechenzentren in EU Irland (nahe Dublin)

   Holland (nahe Amsterdam) http://azure.microsoft.com/en-us/support/trust- center/privacy/control-location/

8. Kontrolle über Region  Ressourcen werden einer Region zugeordnet Verfügbarkeitsmatrix

   Dienste/Regionen  Rechenzentrumspaare für Ausfallssicherheit „Microsoft may copy customer data between regions within a given geography for data redundancy or other operational purposes” (Quelle)  Ausnahmen Preview-Services Manche Dienste, bei denen aus technischen Gründen verteilte Speicherung notwendig ist (Details siehe später)

9. Demo Regionszuordnung Portal SQL Database Virtual Machine Web App ARM

   Template Azure Resource Manager Web App with DB Azure CLI

10. Vertragliches

11. Demo Azure Trust Center http://azure.microsoft.com/ de-de/support/trust- center/

12. Kunde wählt Region  Daten werden in der gewählten Region

    gespeichert und verarbeitet  Ausnahme: Support Microsoft Support Team agiert global „Such personnel may access customer data to provide customer support, troubleshoot the service, or comply with legal requirements” (Quelle)  Technische Ausnahmen Siehe folgende Seite

13. Ausnahmen  Cloud Services software deployment packages Backup to US

     Azure RemoteApp “Store end user names and device IP addresses globally”  Preview-Versionen Verfügbarkeit oft auf wenige Regionen eingeschränkt  Content Delivery Network (CDN)  Azure Active Directory data Für Europa: „Active Directory data is stored in Europe or the United States”  Azure Multi-Factor Authentication Gespeichert in den USA  Global routing functions Traffic Manager, Azure DNS http://azure.microsoft.com/en-us/support/trust-center/privacy/control-location/

14. Staatliche Anfragen  Kein direkter oder uneingeschränkter Zugriff Nur spezifische

    Anfragen werden behandelt  Regierungen müssen geltenden Rechtsweg einhalten  Regelmäßige Veröffentlichung von Statistiken  Erster Cloud-Provider, der ISO 27018 zertifiziert wird http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=61498  Einsatz für gerichtliche Durchsetzung der Policies http://digitalconstitution.com/ http://azure.microsoft.com/en-us/support/trust-center/privacy/government-requests/

15. EU Datenschutz  Microsoft unterliegt der EU-Datenschutzrichtlinie  Safe-Harbor Grenzübergreifenden

    Informationsfluss inkl. personenbezogener Daten http://www.export.gov/safeharbor/  Modellklauseln für EU-Verträge Siehe Matrix Feature/Compliance Genehmigung der EU-Datenschutzgruppe für Artikel 29 http://azure.microsoft.com/de-de/support/trust-center/privacy/control-location/

16. Fazit

17. Fazit  Technisch: Kontrolle über verwendete RZ-Regionen Klar definierte Ausnahmen

    berücksichtigen  Vertraglich: Klar definierte, vertragliche Zusagen Gerichtliche Durchsetzung gegenüber Regierungen  Standardisierung als Vorteil Sowohl technisch als auch vertraglich  Nicht vergessen: Eigene Richtlinien kritisch hinterfragen Beispiel: Support durch eigene IT aus dem Ausland „Microsoft does not control or limit the geographies from which customers or their end users may access customer data” (Quelle)

18. Webinar Fragen? Rainer Stropek software architects gmbh [email protected] http://www.timecockpit.com @rstropek

    Danke für die Teilnahme Mail Web Twitter