Freigeben über

Grundlegendes zum Zugriff auf Cloudbetreiber

  • Artikel

Beim Ausführen von Workloads in der öffentlichen Cloud ist ein häufiges Problem in Bezug auf die digitale Souveränität das Ausmaß, in dem der Cloudbetreiber Zugriff auf die Systeme hat, auf denen Ihre Workload ausgeführt wird. Dieser Artikel bietet eine technische Übersicht über den Zugriff des Cloudbetreibers, damit Sie risikobasierte Entscheidungen treffen können, die die Workloadarchitektur beeinflussen. Informationen zum Zugriff auf Kundendaten für Anfragen von Strafverfolgungsbehörden finden Sie im Bericht zu Anforderungen von Strafverfolgungsbehörden.

Operatorzugriff

Der Betrieb der Cloudinfrastruktur und -plattform ist eine Zusammenarbeit zwischen verschiedenen Serviceteams, z. B. Rechenzentrumstechnikern, Softwaretechnikern und Cybersicherheitsexperten. Auf hoher Ebene gibt es zwei Arten von Vorgängen:

  • Physischer Betrieb: Verwaltung der Rechenzentren und der physischen Infrastruktur in den Cloudregionen.
  • Logische Vorgänge: Verwalten der logischen (Software)-Komponenten, die Clouddienste bereitstellen.

Die unterschiedliche Natur dieser Vorgänge bedeutet, dass sie verschiedene Arten von Spezialisten benötigen. Die Trennung der Belange stellt sicher, dass diese separaten Teams diese Arten von Vorgängen ausführen.

Physische Vorgänge

Microsoft entwirft, erstellt und betreibt Rechenzentren auf eine Weise, die den physischen Zugriff auf die Bereiche, in denen Ihre Daten gespeichert sind, streng kontrolliert. Microsoft verfolgt einen mehrstufigen Ansatz zur physischen Sicherheit, um das Risiko zu verringern, dass nicht autorisierte Benutzer physischen Zugriff auf Daten und andere Datencenterressourcen erhalten. Rechenzentren, die physisch von Microsoft verwaltet werden, verfügen über umfassende Schutzebenen: Zugriffsgenehmigung am Umkreis der Einrichtung, am Umkreis des Gebäudes, im Gebäude und auf der Rechenzentrumsebene. Weitere Informationen finden Sie unter Übersicht über die Sicherheit des Rechenzentrums.

Rechenzentrumstechniker sorgen dafür, dass die physische Infrastruktur ausgeführt wird, was die Installation, Behebung und den Austausch von Netzwerk- und Servergeräten sowie die Wartung von Strom- und Kühlsystemen umfasst. Wenn Techniker logischen Zugriff auf Microsoft Onlinedienste-Systeme benötigen, ist ihr Zugriff auf die Vorgänge festgelegt, die sie ausführen müssen.

Rechenzentrumstechniker können physische Speichergeräte verarbeiten. Alle Daten auf Speichergeräten werden verschlüsselt, häufig mit mehreren Verschlüsselungsebenen, mit Schlüsseln, auf die Rechenzentrumstechniker keinen Zugriff haben. Weitere Informationen finden Sie unter Verschlüsselung und Schlüsselverwaltung (Übersicht). Speichergeräte werden sicher entsorgt, wie unter Zerstörung von Datenlagernden Geräten erwähnt.

Servergeräte sind mit einem Hardwarevertrauensgrund konzipiert, der die Integrität von Komponenten wie host, Baseboard Management Controller (BMC) und allen Peripheriegeräten überprüft. Weitere Informationen finden Sie unter Integrität und Sicherheit der Azure-Plattform.

Rechenzentrumstechniker müssen möglicherweise Vorgänge an Netzwerkgeräten ausführen. Mit einigen Ausnahmen wird der Netzwerkdatenverkehr während der Übertragung verschlüsselt, sodass versehentlicher oder böswilliger Zugriff auf Netzwerkdatenverkehr keine Daten verfügbar macht.

Logische Vorgänge

Die meisten logischen Vorgänge, auch als Plattformvorgänge bezeichnet, sind automatisiert und erfordern keinen Operatorzugriff. Techniker müssen jedoch gelegentlich vorbeugende Wartungen durchführen, ein durch Überwachungssysteme identifiziertes Problem beheben oder ein Problem basierend auf einem Kundensupportticket beheben. In den meisten Kundensupportfällen benötigen die Techniker keinen Zugriff auf die Plattform, um das Problem zu beheben.

Identität und Zugriff

Microsoft Onlinedienste sind so konzipiert, dass Techniker von Microsoft Dienste betreiben können, ohne auf Kundeninhalte zuzugreifen. Microsoft-Techniker verfügen standardmäßig über Zero Standing Access (ZSA) auf Kundeninhalte und keinen privilegierten Zugriff auf die Produktionsumgebung. Microsoft Onlinedienste ein JIT-Modell (Just-In-Time), Just-Enough-Access (JEA) verwenden, um Serviceteamtechnikern temporären privilegierten Zugriff auf Produktionsumgebungen zu gewähren, wenn ein solcher Zugriff zur Unterstützung von Microsoft Onlinedienste erforderlich ist. Das JIT-Zugriffsmodell ersetzt den traditionellen, dauerhaften administrativen Zugriff durch einen Prozess, bei dem Techniker bei Bedarf eine vorübergehende Erhöhung in privilegierte Rollen beantragen können. Weitere Informationen finden Sie unter Übersicht über die Identitäts- und Zugriffsverwaltung.

In Fällen, in denen Microsoft-Techniker aufgrund eines Supporttickets Zugriff benötigen, können Sie den Zugriff über die Kunden-Lockbox gewähren, sofern sie für den Dienst verfügbar ist und Sie ihn aktiviert haben. Weitere Informationen zu Kunden-Lockbox und den unterstützten Diensten finden Sie unter Kunden-Lockbox für Azure und Microsoft Purview-Kunden-Lockbox.

Wenn der Zugriff genehmigt wird, ist dieser Zugriff auf die Vorgänge begrenzt, die der Techniker ausführen muss, und ist zeitgebunden. Alle Anforderungen und Genehmigungen werden protokolliert und auf Anomalien überwacht. Außerdem muss das Azure-Betriebspersonal sichere Administratorarbeitsstationen (SAWs) verwenden. Bei SAWs verwenden Verwaltungsmitarbeiter ein individuell zugewiesenes Administratorkonto, das von einem Standardbenutzerkonto getrennt ist. Weitere Informationen finden Sie unter Komponenten und Grenzen des Azure-Informationssystems.

Verschlüsselungsschlüssel

Standardmäßig Onlinedienste Microsoft ruhende daten und während der Übertragung mit von Microsoft verwalteten Schlüsseln verschlüsseln. Bei Verwendung von von Microsoft verwalteten Schlüsseln Onlinedienste Microsoft die für die Dienstverschlüsselung verwendeten Stammschlüssel automatisch generieren und sicher speichern. Sie können die Dienstverschlüsselung mit kundenseitig verwalteten Schlüsseln verwenden, um Ihre Verschlüsselungsschlüssel zu steuern. Microsoft-Mitarbeiter können nicht direkt auf kundenseitig verwaltete Schlüssel zugreifen, da sie in Azure Key Vault oder in Azure Key Vault verwaltetem HSM gespeichert sind. Microsoft-Dienste verwenden Umschlagverschlüsselung. Darüber hinaus wird der Schlüsselverschlüsselungsschlüssel im Azure Key Vault-Dienst gespeichert und kann nicht exportiert werden. Weitere Informationen finden Sie unter Verschlüsselung und Schlüsselverwaltung (Übersicht).

Wenn Ihr organization die Infrastruktur für die Schlüsselverwaltung steuern muss, können Sie die Verwendung von Azure Key Vault Managed HSM in Betracht ziehen, das Schlüsselhoheit, Verfügbarkeit, Leistung und Skalierbarkeit bietet.

Zugriff auf Dienstkomponenten und Daten

Inwieweit ein Techniker mit den entsprechenden Berechtigungen und Genehmigungen Zugriff auf Dienstkomponenten und Daten hat, hängt vom Dienst, der Workloadarchitektur und der Konfiguration ab.

Prävention und Erkennung

Einzelne Dienste bieten möglicherweise Konfigurationsoptionen, mit denen Sie bestimmte Arten des Operatorzugriffs verhindern können. Die Konfiguration kann sich auf die Funktionalität oder die Möglichkeit von Microsoft auswirken, Support bereitzustellen. Daher müssen Sie diese Faktoren bei der Entscheidung über das akzeptable Risikoniveau berücksichtigen. Microsoft Cloud for Sovereignty können bei Richtlinien helfen, die die Konfiguration von Diensten erzwingen, um bestimmte Anforderungen zu erfüllen.

Microsoft Cloud for Sovereignty Transparenzprotokolle bieten Einblick in Fälle, in denen Microsoft-Techniker über den Just-In-Time-Zugriffsdienst auf Kundenressourcen zugegriffen haben. Auf diese Weise können Sie einen solchen Just-In-Time-Operatorzugriff erkennen und den Datenbereich verstehen, der für einen Operator sichtbar gewesen sein könnte. Die Dienste können Ihnen auch helfen, den Operatorzugriff durch Überwachungs-, Protokollierungs- und Überwachungsfunktionen ausführlicher zu erkennen. Sie können die Protokollierungs- und Überwachungsdaten für eine gründliche Sicherheitsanalyse in ein SIEM-System (Security Information and Event Management) wie Microsoft Sentinel einspeisen.