Freigeben über


Datenresidenz

Bei der Datenresidenz geht es um den physischen Ort, an dem Daten gespeichert und verarbeitet werden. Anforderungen an den Datenspeicherort sind ein häufiges Anliegen von Kunden aus dem öffentlichen Sektor, die häufig verlangen, dass Microsoft den Speicherort und die Verarbeitung verschiedener Datentypen einschränkt. Microsoft Cloud for Sovereignty ermöglicht Kuden die Konfiguration von Sovereign Landing Zones (SLZs), um die Dienste und Regionen, die verwendet werden können, einzuschränken und die Dienstkonfiguration zu erzwingen, um die Datenresidenzanforderungen zu erfüllen.

Datenresidenz in Azure

Die meisten Azure-Dienste werden regional bereitgestellt und Sie können angeben, wo Kundendaten gespeichert und verarbeitet werden. Beispiele für solche regionalen Dienste sind VMs, Speicher und SQL-Datenbank. Eine Region ist Teil einer Geografie, und für regionale Dienste speichert Microsoft keine Kundendaten außerhalb der ausgewählten Region, außer in dokumentierten Fällen. Weitere Informationen finden Sie unter Datenresidenz in Azure und im Whitepaper Ermöglichen von Datenresidenz und Datenschutz in Microsoft Azure Regionen.

Kundendaten sind gemäß Definition in den Dienstbedingungen alle Daten, einschließlich aller Text-, Audio-, Video- oder Bilddateien und Software, die für Microsoft durch oder im Auftrag von Kunden durch die Verwendung des Onlinediensts bereitgestellt werden. Kundendaten umfassen keine Professional Services-Daten. Aus Gründen der Klarheit umfassen Kundendaten keine Informationen, die zum Konfigurieren von Ressourcen in den Onlinediensten verwendet werden, wie z. B. technische Einstellungen und Ressourcennamen.

Bei bestimmten Azure-Diensten können Sie nicht die Region angeben, in der ein Dienst ausgeführt wird, z Microsoft Entra ID, Azure Monitor oder Traffic Manager wird bereitgestellt. Diese Dienste sind weltweit tätig, um Kunden wichtige Funktionen bereitzustellen, und werden als nichtregionale Dienste bezeichnet. Sofern nicht anders angegeben, speichern und verarbeiten nicht-regionale Dienste Kundendaten in jedem Microsoft-Rechenzentrum innerhalb der öffentlichen Azure-Regionen. Weitere Informationen finden Sie unter Datenresidenz in Azure.

Die zwischen Azure-Regionen übertragenen Daten verbleiben im Microsoft Global Network. Sie können virtuelle Netzwerke in Azure so konfigurieren, dass der Zugriff nur von Unternehmensnetzwerken mit Azure-Netzwerksicherheitsgruppen und Azure Firewall ermöglicht wird. Darüber hinaus können Sie den Zugriff aus dem Internet mit Funktionen wie benutzerdefinierten Azure Web Application Firewall (WAF) Geomatch-Regeln und bedingtem Zugriff auf bestimmte Standorte beschränken – Blockieren Sie den Zugriff nach Standort.

Datenresidenz in Microsoft Cloud for Sovereignty

Die Sovereignty Baseline-Richtlinieninitiativen von Microsoft Cloud for Sovereignty erfordern, dass Sie die Azure-Regionen konfigurieren, in denen Ressourcen bereitgestellt werden können. Bei regionalen Diensten bestimmen die konfigurierten Regionen die geografische Lage dieser Dienste und die effektive Datenresidenzgrenze für die Speicherung von Kundendaten.

Sie können SLZs so konfigurieren, dass die Nutzung bestimmter Dienste eingeschränkt wird, einschließlich nicht-regionaler Dienste, die Ihren speziellen Anforderungen an die Datenresidenz nicht entsprechen.

Die Grundkonfiguration der SLZs umfasst Netzwerkregeln, die entscheiden, von welchen Netzwerken aus auf Ihre Ressourcen zugegriffen werden kann.

  • Daten in einer Anwendung, die für ein Abonnement in den Landing Zones Corp oder Confidential Corp bereitgestellt wird, sind auf das Netzwerk Ihrer Organisation beschränkt innerhalb von Azure und mit Azure verbunden.
  • Auf Daten in einer Anwendung, die für ein Abonnement in den Landing Zones Online oder Confidential Online bereitgestellt wird, kann über das Internet von überall aus zugegriffen werden, wenn der Benutzer oder das System, das auf die Daten zugreift, über die entsprechenden Anmeldeinformationen verfügt und keine Firewall oder Regeln für den bedingten Zugriff den Zugriff blockieren.

Weitere Informationen finden Sie in der Übersicht zu Sovereign Landing Zone.

Datenresidenz und Resilienz

Die Regionen, die Sie als zulässige Regionen konfigurieren Microsoft Cloud for Sovereignty, können sich auf die Ausfallsicherheit der von Ihnen bereitgestellten Arbeitslasten auswirken. In der Regel ermöglicht eine weniger restriktive Regionsauswahl eine höhere Ausfallsicherheit, da Sie Anwendungen auf mehr und weiter voneinander entfernte Regionen verteilen können. Sie können die Verschlüsselung (im Ruhezustand, während der Übertragung und während der Verwendung) als alternative Kontrollmaßnahme zur Regionseinschränkung in Betracht ziehen, insbesondere für Anwendungen, die hohe Verfügbarkeitsanforderungen haben.

Die meisten Azure-Regionen bestehen aus drei oder mehr Verfügbarkeitszonen. Über mehrere Verfügbarkeitszonen verteilte Speicher- und Rechendienste sind widerstandsfähig gegen lokale Katastrophen, die sich auf ein ganzes Rechenzentrum auswirken können. Um die Widerstandsfähigkeit gegen Katastrophen zu gewährleisten, die eine ganze Region betreffen könnten, verfügen viele Azure-Regionen auch über ein regionales Paar innerhalb derselben Geografie, wodurch automatische oder vom Kunden konfigurierte regionsübergreifende Replikation für unterstützte Dienste. Um bestimmte Datenresidenzstandards zu erreichen, verfügen einige Regionen nicht über ein regionales Paar und Kunden sind für die Datenresilienz im unwahrscheinlichen Fall eines vollständigen Regionsausfalls verantwortlich. Weitere Informationen finden Sie unter Regionen mit Verfügbarkeitszonen und ohne Regionspaar.

Siehe auch