1+ Mrd. Smartphones, 4 Jahre früher als prognostiziert 50 % 3 Generationen. Erstmals in der modernen Geschichte sind bei den Arbeitnehmern heute

Transkript

1

2 1+ Mrd. Smartphones, 4 Jahre früher als prognostiziert Erstmals in der modernen Geschichte sind bei den Arbeitnehmern heute 3 Generationen vertreten. 50 % der Unternehmenskunden sind auf dem Weg in die Cloud.

3 Social Der Wandel zur digitalen Gesellschaft. Big Data Cloud Digital Work & Life Experiences Mobile MOBILE-FIRST, CLOUD-FIRST. At Microsoft, we are passionate about creating technology that impacts the world and empowers people and organizations to do more and achieve more. [Satya Nadella]

4

5 A Cloud you can Trust Wir bei Microsoft betrachten Ihr Vertrauen nie als selbstverständlich Wir nehmen unsere Verpflichtung ernst, die Kunden in der Welt der Clouds zu schützen. Wir leben Standards und Methoden, die konzipiert wurden, um Ihr Vertrauen zu gewinnen. Wir arbeiten mit der Industrie und den Behörden zusammen, um Vertrauen in das Cloud-System aufzubauen. Businesses and users are going to embrace technology only if they can trust it. Satya Nadella 5

6 Besondere Merkmale der Microsoft-Cloud Vollständige Cloud Hybride Optionen Verpflichtung zu Compliance Führende Innovation

7 Modulare Rechenzentrums-Architektur Massive Skalierung, Ressourcen- Effizienz und Operational Excellence Einheitliche Services-Plattform in 100+ Rechenzentren im Betrieb Global Dark Fiber-Netzwerk Innovative Klima-/Energielösungen reduzieren unsere PUE*-Werte *Power Usage Effectiveness [a measure of overall building load divided by IT load Microsoft average depending on physical location, representing a substantial energy reduction versus the industry average of 1.8.]

8

9 Globale Verfügbarkeit inklusive Deutschland North Central US United Kingdom South West US 2 West Central US West US US Gov Arizona 3 US Gov Texas 3 Central US US Gov Iowa US DoD West South Central US Canada Central US Gov Virginia Canada East US DoD East United Kingdom West East US East US 2 North Europe France 3 France 3 West Europe MAGDEBURG Germany Northeast FRANKFURT Germany Central West India Central India China West 1 South India Korea Central 3 China East 1 East Asia Korea South 3 Japan East Japan West Southeast Asia Globale Investition Über 100 Rechenzentren in 40 Ländern, 38 Regionen Eines der drei größten Netzwerke weltweit Über $15 Mrd. Investition in Infrastruktur Global datacenters Sovereign datacenters IT Betrieb Produkte Sicherheit Kühlung Strom Brazil South Microsoft Data Center-Regionen folgen global definierten Standard Server & Speicher erfüllen Microsoft-Vorgaben Überwachung & Sicherheit Office 365, Microsoft Azure, Microsoft Dynamics Barrieren, Zäune, Alarmanlagen, gesichertes Betriebszentrum Chillers Air Handling Primäre USV-Anlage (Generator) Australia Southeast Australia East Mit der neuen deutschen Cloud ermöglicht Microsoft seinen Kunden und Partnern die Speicherung von Kundendaten in zwei deutschen Rechenzentren an den Standorten Frankfurt am Main und Magdeburg. Die Rechenzentren zeichnen sich durch die folgenden Merkmale aus: Gemäß weltweit gültigen Kriterien für die kommerzielle Microsoft-Cloud ausgewählt Mitarbeiter des Datentreuhänders und von Microsoft sind an die strengen Anforderungen von Microsoft bezüglich des Betrieb von Rechenzentren gebunden Rechenzentren können entweder im Besitz von Microsoft oder angemietet sein

10 Microsoft Cloud mit Deutscher Datentreuhand Markteinführung 2016

11 Ihre neuen Optionen für Cloud Services in Deutschland Microsoft (Public) Cloud Partner Kunde GLOBAL CLOUD SOVEREIGN CLOUD HOSTED PRIVATE Microsofts Cloud ermöglicht schnelle Skalierbarkeit, automatische Software- Updates und nutzungsbasierte Preise Microsoft Cloud Europa (=>EU Recht) Global in relevanten Regionen NAM, SAM, APAC, EMEAse Data Residency in ausgewählten Ländern USA, Australien, Japan, Indien, Canada, UK Souveräne, einzigartige Clouds entwickelt für besondere Bedürfnisse eines Markets US Regierung (Azure Government), Deutschland mit Datentreuhänder Microsoft Cloud Deutschland Data Sovereignty Datensouveränität: Örtliche und technische Trennung der Instanzen Datentreuhandmodell nur in Deutschland SERVICE PROVIDER Vom Microsoft- Partner gehostet und betrieben; mehr Anpassungsmöglichkeiten, um auch speziellen Anforderungen zu erfüllen CLOUD Auf kundeneigenen Ressourcen mit Microsoft-Produkten und -Technologien bereitgestellt HYBRID CLOUD 12

12 Office 365 Deutschland Dienste aus Deutschland Datenhaltung in Deutschland Deutscher Datentreuhänder

13 Ein deutscher Datentreuhänder kontrolliert den Zugriff auf die Daten Der deutscher Datentreuhänder führt alle Handlungen oder Aufgaben mit Zugriff auf Kundendaten oder auf die Infrastruktur, auf der sich Kundendaten befinden, selbst durch oder überwacht diese. Role Based Access Control (RBAC)-Tools kontrollieren jeglichen Zugriff auf Kundendaten Ausschließlich der deutsche Datentreuhänder hat Zugriff auf Server mit Kundendaten Mitarbeiter von Microsoft haben keinerlei administrative Top-Level- Rechte, um Zugriff auf Kundendaten zu gewähren Mitarbeiter von Microsoft können sich nicht auf Server mit Kundendaten einloggen Jeder Zugriff auf Kundendaten muss vom deutschen Datentreuhänder gewährt und kontrolliert werden Tools zur Überwachung des Service haben keinen Zugriff auf Kundendaten Sämtliche Kundendaten: Virtuelle Rechner s, Anhänge, Bilder Storage Blobs Datenbankinhalte

14 Eine souveräne Cloud transformiert blockierte Branchen Durch ein souveränes Cloud-Modell können Cloud- Blocker für Branchen mit sensiblen Daten gelöst werden. Finanzwesen / Versicherung IoT / Industry 4.0 Öffentliche Verwaltung Gesundheitswesen Energiewirtschaft

15

16 vpn

17

18 Productivity-Software as a Service

19 Microsoft s Cloud Prinzipien

20 Bedrohungen und passende Lösungen Sicheres Design Sicherer Code Abwehrtechnologien Angriffe bekämpfen Angreifer entdecken Angreifer sicher isolieren Angriffe rückgängig machen Selbst erstellte Kontrollen DLP, Encryption,... Trainings, Audits,

21 25

22 Sicherheit der Infrastruktur: Defense-in-Depth Strategy: Employ risk-based, multi-dimensional approach to safeguarding services and data Unabhängige Auditierung/Prüfung der Infrastruktur, um anerkannte (Markt-)Standards zu erfüllen ISO 27001, SSAE 16, FISMA, HIPAA, Security Monitoring & Response Data & Keys User Application Host System Internal Network Network Perimeter Facility Data Protection Zugriffskontrolle, Verschlüsselung, Key Management Admin Access Identitätsmanagemen t, Zwei-Faktor- Authentifizierung, Training und Awareness, Screening, Prinzip der geringsten und zeitlich begrenzten Rechte Application Security Zugriffskontrolle, Monitoring, Anti- Malware, Vulnerability Scanning, Patch und Configuration Management Host Protection Zugriffskontrolle, Monitoring, Anti- Malware, Vulnerability Scanning, Patch und Configuration Management Network Security Segmentation, Intrusion Detection, Vulnerability Scanning Network Security Edge ACLs, DOS, Intrusion Detection, Vulnerability Scanning Physical Security Physikalische Kontrollen, Videoüberwachung, Zugangskontrollen Threat Intelligence Feed 26

23 Sicheres Design & kontrollierter Betrieb Unternehmensweite, vorgeschriebene Developmentund Operations-Prozesse verankern Sicherheit in jede Phase des Betriebs. Ein dediziertes Red Team von Sicherheitsexperten simuliert Attacken auf Netzwerk, Plattform und Application Layer, um die Fähigkeit von Azure zu testen, wie Angriffe identifiziert, abgewehrt und beseitigt werden. Simulierte Angriffe Globale, 24x7 Vorfalls- Reaktions-Prozesse, durch die Angriffe und schädliche Aktivitäten entschärft werden. Reaktions-Prozess bei Vorfällen Security Development Lifecycle (SDL) und Operations Security Assurance (OSA) Sicherheit hat für uns Priorität, von der Code Entwicklung bis zur Reaktion bei einem Vorfall. 27

24 Netzwerkschutz Virtuelle Netzwerke Network Security Groups VPN ExpressRoute Verbinden einen oder mehrere Cloud-Service durch die Nutzung privater IP-Adressen Ermöglichen die Kontrolle des Netzwerk-Traffics in und zwischen Azure- Umgebungen und Subnetzen Site-to-Site, Point-to-Site VPN ermöglichen eine sichere Verbindung mit Azure von überall. Private Faserverbindungen zwischen Azure Rechenzentren und der eigenen Infrastruktur. 28

25 Netzwerk Isolation Kunde Administrator Portal Smart API Corp 1 INTERNET VPN Kunde 1 Client Cloud Zugriff Ebene Isoliertes, virtuelles Netzwerk Web Endpunkt (öffentlicher Zugang) Kunde 2 Microsoft Azure RDP Endpunkt (Passwort Zugang) Entwicklung X Entwicklung X Entwicklung Y VNET zu VNET VLAN-zu-VLAN Isolierte, virtuelle Netzwerk Client AZURE: Erlaubt keinen automatischen Internetzugang Erlaubt Zugriff vom Internet und externen Geräten durch private, von anderen Kunden isolierte IP Adressen KUNDE: Konfiguriert Endpunkte für benötigte Zugänge Erstellt Verbindungen mit anderen Cloud und onpremise Ressourcen

26 Identität & Zugriffsmanagement as a Service Azure ermöglicht Kunden Zugriffskontrollen in Multimandanten-Umgebungen Active Directory Azure AD Identitäts- und Zugriffsmanagement mit AD Federation und sicherem Passwort-(Hash²)-Sync. Multi-Faktor Authentifizierung (MFA) Starke Authentifizierung mit einer zusätzlichen Sicherheitsebene für Nutzer Logins. Access Monitoring und Logging Sicherheitsberichte überwachen Zugriffsmuster und identifizieren potentielle Bedrohungen. Single Sign-On Nutzer profitieren von Single Sign-On für Applikationen und Dienste auch in der Cloud. Integration in Anwendungen Entwickler können ihre LOB Anwendung über SSO besser in die Unternehmensinfrastruktur einbinden. 30

27 Datensicherheit Datentrennung Logische Isolierung trennt die Daten der einzelnen Kunden voneinander. Datensicherheit in-transit Mit Standardprotokollen können Daten von/zu Komponenten außerhalb von Azure verschlüsselt werden, wie z.b. HTTPS oder TLS on IIS. Kommunikation innerhalb von Azure wird per Default verschlüsselt. Datensicherheit at-rest Kunden können eine Reihe von Verschlüsselungsmechanismen für virtuelle Maschinen und Storage nutzen, wie Bitlocker oder SQL Transparent Data Encryption. Verschlüsselung Auf verschiedenen Layern können Daten durch den Kunden verschlüsselt werden, bei denen sie die Keys selbst verwalten. Datenredundanz & Lokationen Kunden haben mehrere Optionen Daten zu replizieren, einschließlich der Anzahl an Kopien und der Anzahl an Replikationsstandorten. Datenvernichtung Wenn Kunden Azure verlassen, werden die Daten innerhalb von 90 Tagen vollständig gelöscht. Defekte Datenträger werden NIST konform vernichtet. 31

28

29 Office 365 Sicherheitsmodell Office 365 built-in security Office 365 customer controls Automated operations Microsoft security best practices 24hr monitored physical hardware Isolated customer data Office 365 independent verification and compliance Encrypted data Secure Network

30 Standards und Zertifizierungen Relevant Certification by Region Microsoft Certification Status CERT MARKET REGION Queued or In Progress

31 International National Weltweit Branchenweit größtes Compliance-Portfolio Microsoft erfüllt die Sicherheitsanforderungen von Kunden mit dem branchenweit größten Compliance-Portfolio. ISO ISO Cloud-Kontrollen Matrix PCI DSS Stufe 1 SOC 2 Typ 2 SOC 1 Typ 2 Geteilte Einschätzungen Content Delivery and Security Association HIPAA / HITECH Europäische Union Musterklauseln ENISA IAF China Multi Layer Protection Scheme China GB China CCCPPF Singapur MTCS Stufe 3 Australisches Nachrichten- Direktorat ("Signals Directorate") Neuseeland GCIO Japan Finanzdienstleistung en Paragraph 508 VPAT Vereinigtes Königreich G-Cloud FedRAMP JAB P-ATO FIPS CFR FERPA DISA Stufe 2 Part 11 CJIS IRS 1075 ITAR-ready

32 Compliance Pläne für die Microsoft Cloud Deutschland Die Microsoft Cloud Deutschland basiert auf der weltweiten Instanz der Microsoft Cloud und beinhaltet dieselben zuverlässigen Sicherheits- und Compliance-Kontrollen wie die weltweite Instanz. Ein Großteil der Microsoft Cloud Deutschland Audits wird durch bestehende Audits abgedeckt zusätzliche Audits abgedeckt durch weltweite Zertifizierungen Beide Rechenzentren unterziehen sich den Audits nach weltweiten Microsoft-Standards für Rechenzentren Microsoft Cloud Deutschland-spezifische Kontrollen Daten treuhänderkontrollen Isolierte Systeme in Deutschland Weltweite Managementebene Zusätzliche Datentreuhänder-kontrollen, die von akkreditierten externen Prüfern als Teil von SOC und ISO für alle Cloud-Dienste. PCI- DSS zusätzlich für Azure. IT Grundschutz Compliance Workbook Microsoft Azure Germany, wie sie ihre Compliance-Pflichten erfüllen können In Evaluation: BSI Cloud Computing Compliance Controls Catalogue C5 BSI C5- Attestation für Azure DE

33

34 ANATOMY OF A TYPICAL ATTACK Browser or Doc Exploit Delivery Malicious Attachment Delivery Phishing Attacks ENTER USER DEVICE ESTABLISH Internet Service Compromise Browser or Doc Exploit Execution Malicious Attachment Execution Stolen Credential Use Kernel Exploits Kernel-mode Malware Pass-the-Hash EXPAND NETWORK ENDGAME BUSINESS DISRUPTION LOST PRODUCTIVITY DATA THEFT ESPIONAGE, LOSS OF IP RANSOM

35 Microsoft bietet eine durchgreifende Sicherheitsplattform PROTECT DETECT RESPOND

36 Microsoft bietet eine druchgreifende Sicherheitsplattform

37 Office 365 Advanced Threat Protection (ATP) Hackers attackieren Systeme weltweit mit sich ständig weiterentwickelnden Methoden Organisationen suchen nach sich anpassenden Instrumenten zum Schutz vor diesen Attacken Office 365 Advanced Threat Protection bietet einen weiteren Baustein zum Schutz gegen besondere Angriffsformen Schutz gegen unbekannte malware/viruses Verhaltensanalysen dank Machine Learning Methoden Alarmsysteme für Administratoren Time-of-click protection Real-time Schutz gegen bösartige URLs Ständig wachsende URL- Abdeckung Reporting and tracing Built-in URL Verfolgung Umfangreiche Reports die ständig weiterentwickelt werden

38

39 Verschlüsselungstechnologien Rights Management Service (RMS) s/mime Office 365 Message Encryption Transport Layer Security (TLS) BitLocker Fort Knox Einzelverschlüsselung KeyVault BYOK 3 rd -party Lösungen Inhalte intelligent schützen und nutzen.

40 Aktuelle Office 365 Kundenreferenzen: //BASF //Paul Hartmann //Henkel

41 Aktuelle Azure Kundenreferenzen: Kienzle Automotive GmbH Überwachung der Fahrzeugflotte aus der Cloud erhöht Sicherheit Stadt Ulm Stadt Ulm setzt auf Bürgerbeteiligung mit opendoors und Microsoft Azure Alarmportal für Gefahrengut-Transporte Daten aus Telematiksystemen sammeln und zeitnah auswerten Alarmierung z.b. bei Geschwindigkeitsüberschreitungen mit Name und Standort des Fahrers Backend erfordert eine hochverfügbare und skalierbare Infrastruktur. Link zur Kienzle-Referenz Archive Dialog-Plattform opendoors für Bürgerbeteiligungen Beim Konversionsprojekt der ehemaligen Hindenburg- Kaserne setzt die Stadtplanung schon in einem sehr frühen Planungsstadium auf Information und Partizipation durch die Bürger Open Source Lösung (Drupal 7) auf flexibel skalierbarer Infrastruktur Link zur Ulm-Referenz

42 Vertrauen durch Transparenz und Einblick Nutzen Sie unsere Transparenz und informieren Sie sich im Detail bevor Sie Entscheidungen treffen: Trust-Center für Security, Privacy und Compliance: Office 365: (englisch/deutsch) Azure: Es bietet klare Informationen, wo sich die Daten eines Kunden befinden. wer Zugang zu den Daten hat und wie Microsoft die Daten schützt. welche Zertifizierungen Microsoft erfüllt. Wir bieten dem Kunden als Alternative zum eigenen Audit ein Summary Report der letzten zwei ISO27001 Audits an, um seinen Audit-Pflichten nachzukommen. Offenlegung der Dienstleister und Datenströme Außerdem Office 365 Blog: Azure Blog: Microsoft on the Issues: Brad Smith: Neue Whitepaper im Trust-Center Overview of Security and Compliance in Office Overview of Security and Compliance controls in Office Azure Security: Technical Insights Azure Test Pass Promo Code (75 ):

43 Highly Confidential Not for Distribution 2014 Accenture. All Rights Reserved Avanade Inc. All Rights Reserved Microsoft Corporation. All Rights Reserved. microsoft.de/cloud

44 Microsoft Cloud in Europa Globale Angebote Souveränes Cloud-Angebot Europa Global vernetzte Clouddienste Von regionalen Microsoft- Rechenzentren in Europa bereitgestellt Konform mit EU- Standardvertragsklauseln 2010/87/EU United Kingdom* Kundendaten im Ruhezustand werden im Vereinigten Königreich vorgehalten Erlauben es Kunden und Partnern, auf lokale Anforderungen zum Datenstandort zu reagieren* Konform mit EU- Standardvertragsklauseln 2010/87/EU Microsoft Cloud Deutschland Physisch und logisch getrennte Instanzen von Microsoft Azure, Office 365 und Dynamics 365 Alle Kundendaten und erforderlichen unterstützenden Systeme werden in zwei deutschen Rechenzentren vorgehalten Der Datenaustausch zwischen den Rechenzentren erfolgt über ein privates, vom Internet getrenntes Netzwerk. Ein deutscher Datentreuhänder alleine hat die Kontrolle über den Zugang zu den Kundendaten, soweit der Zugang nicht vom Kunden oder Endnutzer des Kunden ausgeht. Er agiert dabei unter deutschem Recht. Steht allen Kunden und Partner in EU/EFTA zur Verfügung *Azure-Regionen, auch WW-Regionen können frei gewählt werden. Office 365-Regionen werden vorab zugewiesen.

45 Deutschland: Eine neue Microsoft Rechenzentrumsregion West US 2 West Central US West US US Gov Arizona 3 US Gov Texas 3 Central US US Gov Iowa North Central US US DoD West South Central US Canada Central US Gov Virginia Canada East US DoD East United Kingdom West East US East US 2 North Europe United Kingdom South France 3 France 3 West Europe MAGDEBURG Germany Northeast FRANKFURT Germany Central West India Central India China West 1 South India Korea Central 3 China East 1 East Asia Korea South 3 Hybride Optionen 360 Cloud Globale Innovation Japan East Japan West Southeast Asia Globale Investition Über 100 Rechenzentren in 40 Ländern, 38 Regionen Eines der drei größten Netzwerke weltweit Über $15 Mrd. Investition in Infrastruktur Global datacenters Sovereign datacenters Microsoft Data Center-Regionen folgen global definierten Standard IT Brazil South Server & Speicher erfüllen Microsoft-Vorgaben Australia Southeast Australia East Mit der neuen deutschen Cloud ermöglicht Microsoft seinen Kunden und Partnern die Speicherung von Kundendaten in zwei deutschen Rechenzentren an den Standorten Frankfurt am Main und Magdeburg. Die Rechenzentren zeichnen sich durch die folgenden Merkmale aus: Betrieb Überwachung & Sicherheit Gemäß weltweit gültigen Kriterien für die kommerzielle Microsoft-Cloud ausgewählt Produkte Office 365, Microsoft Azure, Microsoft Dynamics Mitarbeiter des Datentreuhänders und von Microsoft sind an die strengen Sicherheit Barrieren, Zäune, Alarmanlagen, gesichertes Betriebszentrum Anforderungen von Microsoft bezüglich des Betrieb von Rechenzentren gebunden Kühlung Chillers Air Handling Rechenzentren können entweder im Besitz von Microsoft oder angemietet sein Strom Primäre USV-Anlage (Generator) 66

46 Microsoft Cloud Optionen für Europa aus Deutschland Microsoft Cloud Europa- Global Cloud Microsoft Cloud Deutschland- Sovereign Cloud Microsoft Azure Office 365 Dynamics 365 Microsoft Azure Deutschland Office 365 Deutschland Dynamics 365 Deutschland North Europe Magdeburg United Kingdom West United Kingdom South Germany Northeast West Europe Germany Central Frankfurt Azure-Regionen können ausgewählt werden, inklusive des Zugriff auf WW Regionen. Office 365-Regionen werden vorab zugewiesen. Microsoft Cloud Deutschland ist verfügbar für alle EU/EFTA-Kunden. Weitere Einzelheiten zum Datenstandort finden Sie unter

47 Die Cloud ist ein Modell, nicht nur ein Rechenzentrum Die Cloud priorisiert Geschwindigkeit und unterstützt Entwickler. Hybride Clouds erlauben es, ein Cloud- Modell konsistent in Public, Partner- und privaten Cloud-Umgebungen zu benutzen, was ultimative Flexibilität bedeutet. Konsistente Platformen und Anwendungen Eine einzige Management Konsole Private Cloud Konsolidierte Daten Operationen MICROSOFT SOLUTIONS Windows Server System Center Windows Azure Pack Hybrid Cloud Schritt in die Cloud MICROSOFT SOLUTIONS Risk Assessment and Data Governance services Microsoft Cloud Hohe Skalierung, Flexibilität und Kosteneffizienz MICROSOFT SOLUTIONS Microsoft Azure Office 365 Dynamics 365 Microsoft Cloud Deutschland Hohe Skalierung, Flexibilität und Deutsche Datentreuhand MICROSOFT SOLUTIONS Microsoft Azure Deutschland Office 365 Deutschland Dynamics 365 Migrieren nach Wunsch & Bedarf: Ihr individueller und ganz eigener Weg in die Cloud. 68

48 IaaS PaaS SaaS Die Microsoft Cloud Services & Deployment Optionen Physischer Standort Deutschland Public Cloud + Datentreuhänder unter deutschem Recht On-Prem Hosted Microsoft Cloud Deutschland Microsoft Cloud Europa

49 Microsoft Cloud Services: IAAS, PAAS, SAAS

50 Entscheidungskriterien, welche Cloud, wann zu wählen ist Es gibt einige Kernfaktoren, die Sie bei der Auswahl der besten Option für Ihre Anforderungen berücksichtigen sollten. Datenstandort und/oder - hoheit Compliance Öffentlicher Sektor oder reglementier te Branche Teilnahmeberechtigung Dienstverfügbarkeit Kundenoder Filialstandort Kosten 71

51 Wie stelle ich fest, welche Cloud meine Anforderungen erfüllt? Check-Liste Öffentlicher Sektor oder reglementierte Branche? Ist meine Organisation Teil der öffentlichen Verwaltung oder ist sie in einer Branche mit Einschränkungen bzw. Vorgaben tätig, die nur in der Microsoft Cloud Deutschland erfüllbar sind? Compliance/Zertifizierungen Welche Compliance-Anforderungen für eine Public Cloud- Nutzung muss ich erfüllen? Sind notwendige Zertifizierungen in der Microsoft Cloud Deutschland verfügbar? Teilnahmeberechtigung Kommen die deutschen Rechenzentren für mich überhaupt in Frage, d.h.: Habe ich eine EU/EFTA Rechnungsadresse? Datenstandort und/oder Datenhoheit Gibt es Anforderungen an den Datenstandort und/oder die Datenhoheit, die ich erfüllen muss? Kosten Stellt der Preis im Entscheidungsprozess einen wesentlichen Faktor dar? Ist der Business Case sehr sensibel bzgl. Kosten? Latenz Ist die Netzwerk-Anbindung (bzgl. Antwortzeiten) für mein Geschäft ausschlaggebend? Dienstverfügbarkeit Welche Dienste möchte ich benutzen? Bietet die Microsoft Cloud Deutschland den Dienst bereits an? Kunden- oder Filialstandort Habe ich Niederlassungen oder Kunden in anderen Ländern? Würden diese Benutzer eine andere Rechenzentrums-Region nutzen wollen (z.b. wegen Latenz) oder müssen (z.b. rechtlich)? Individuelle Anpassung Habe ich eine Lösung, die mehr individuelle Anpassung erfordert, als in der öffentlichen Cloud zur Verfügung steht? Standards und Richtlinien für die Datenführung (Data Governance) Gibt es bestimmte Prozesse oder Kontrollen, die ich bei der Datenführung berücksichtigen muss?

52 Compliance als Kriterium Compliance in Europa Compliance Microsoft Cloud Deutschland CDS ISO/IEC CSA CCM MPAA ENSIA IAF PCI-DSS ISO/IEC Shared Assessments SOC 3 Microsoft Cloud Deutschland wird unter bestehenden Audits größtenteils abgedeckt Benutzt dieselbe Sicherheit und Kontrollen Beinhaltet ISO 27001/18 und SSAE16/ISAE 3402 Die beiden neuen Rechenzentren werden separate Audits unterzogen, wie bei jeder Rechenzentrums-Expansion Unter finden Sie einen Leitfaden IT Grundschutz Compliance Workbook Microsoft Azure Germany, wie Sie ihre Compliance-Pflichten erfüllen können. SOC 2 SOC 1 Regionale Compliance In Planung Zusätzliche Datentreuhänderkontrollen, die von akkreditierten Prüfern als Teil von SOC-, ISO- und PCI-DSS-Audits für jeden Clouddienst von Microsoft unabhängig geprüft würden (PCI-DSS gilt nur für Azure) EU- Spanien ENS GB G-cloud Musterkla FACT useln In Evaluierung BSI Cloud Computing Compliance Controls Catalogue C5 TÜV-Zertifizierung auf Basis der Norm EN für Rechenzentren IT-Grundschutz-Zertifizierungen Aktualisierte Compliance-Informationen erhalten Sie im Microsoft Trust Center

53 ISO27001/ISO27018 Azure Deutschland Eigenständiges Audit von Azure Deutschland inklusive der Datentreuhänderprozesse (logische und physikalische Prozesse)

54 Microsoft Cloud Deutschland gibt dem Kunden die volle Kontrolle & Entscheidungshoheit über seine Daten Kundendaten werden nur in Deutschland gespeichert Kontrolle über den Zugang zu Kundendaten und deren Nutzung 75 75

55 Bei der Microsoft Cloud Deutschland werden die Daten nur in deutschen Rechenzentren gespeichert Die Rechenzentren befinden sich in Deutschland, und der Zutritt wird von einem namhaften deutschen Datentreuhänder kontrolliert Datenabgleich zwischen den beiden Rechenzentren in Deutschland, um den Geschäftsablauf zu sichern und eine Notfall-Wiederherstellung zu ermöglichen Microsoft kann nur vom deutschen Datentreuhänder oder mit Erlaubnis des Kunden Zugang erhalten Ausschließlich der deutsche Datentreuhänder hat die Kontrolle über den Zugang zu den Kundendaten, soweit der Zugang nicht vom Kunden oder Endnutzer des Kunden ausgeht. Er überwacht und prüft jeden gewährten Zugang. Physische Barrieren, Zäune und umfassende Schutzvorkehrungen gegen Naturgewalten Sicherheitsmaßnahmen nach dem neuesten Stand der Technik einschließlich 24-Stunden-Überwachung und - Sicherheitsdienst Der Zugang zu Kundendaten steht unter Kontrolle des Datentreuhänders Kundendaten verbleiben in Deutschland 76

56 Ein eigenständiges deutsches Datennetzwerk zwischen den Rechenzentren in der deutschen Cloud Datenverkehr und Replikation zwischen den beiden Rechenzentren findet über ein dediziertes, von den öffentlichen Azure Rechenzentren separiertes Netzwerk statt, damit die Daten auch hier in Deutschland bleiben. Ausgehender Datenverkehr mit direkter Internetanbindung und minimaler Latenz. 77

57 Eine neue Microsoft Cloud mit deutschem Datentreuhänder Verpflichtungen des Datentreuhänders, was Kundendaten betrifft T-Systems International GmbH, eine Tochtergesellschaft der Deutschen Telekom und ein deutsches Unternehmen mit Sitz in Deutschland, agiert als Datentreuhänder im Auftrag des Kunden und muss jede einzelne Datenherausgabe an Dritte freigeben. T-Systems darf keine Daten, die sie treuhänderisch verwalten (Kundendaten oder Daten über den Kunden) für kommerzielle Zwecke nutzen. T-Systems International GmbH verpflichtet sich als Datentreuhänder vertraglich direkt gegenüber dem Kunden, dass Kundendaten nicht gegenüber Drittparteien offenlegt werden, es sei denn, der Kunde verlangt es oder deutsches Recht erfordert es. Kundendaten in der Microsoft Cloud Deutschland werden Behörden im In- und Ausland nur herausgegeben, sofern dies nach deutschem Recht zulässig ist. Microsoft Kein grundsätzlicher Zugang zu Kundendaten Keine technische Möglichkeit, auf Kundendaten ohne Zustimmung des Datentreuhänders oder des Kunden gemäß den Zugangskontrollrichtlinien zuzugreifen Kein physischer Zugang zu Rechenzentren, in denen Kundendaten gespeichert sind (ohne Begleitung durch den deutschen Datentreuhänder) Datentreuhänder Hat alleine die Kontrolle über den Zugang zu den Kundendaten, soweit der Zugang nicht vom Kunden oder Endnutzer des Kunden ausgeht Führt Aufgaben, die Zugang zu Server mit Kundendaten erfordern, selbst durch oder beaufsichtigt die Ausführung Überwacht und prüft jeden im Einzelfall gewährten Zugang durch Microsoft und beendet den Zugang, wenn das Problem gelöst ist Steuert durch die Microsoft Cloud Control Center die Microsoft Rechenzentrumsregion Deutschland 78

58 Bundesdruckerei verschlüsselt für die Microsoft Cloud Deutschland Die Zertifizierungsstelle der Bundesdruckerei GmbH, D-Trust sichert die Verschlüsselung Bundesdruckerei Certificate Service Manager und Microsoft Azure Deutschland Immer im Service inkludiert: D-TRUST wird für die Server TSL-Zertifikate ausstellen, die die Kommunikation zwischen den Anwendern von Microsoft Azure, Office 365 und Dynamics 365 sowie den Servern in den neuen deutschen Rechenzentren absichern Kunden und Partner können (gegen Aufpreis) auch ihre eigenen Anwendungen in der Microsoft Azure Cloud mit den Zertifikaten der D-Trust absichern CLOUD ADMIN 1 Zertifikat anfragen TLS Active Directory 5 Zertifikat generieren USER Anfrage validieren Certificate Service App (CSA) TLS S/MIME 2 4 Anfrage freigeben 3 Anfrage einreichen DTRUST SERVICE PROVIDER TLS

59 Vertragliche Aspekte der Microsoft Cloud Deutschland Kunde Microsoft Corp Auftragsdatenverarbeiter (EU-Standardvertragsklauseln) Microsoft Ireland Ltd. Lizenzgeber + Auftragsdatenverarbeitung T-Systems International GmbH Datentreuhänder + Auftragsdatenverarbeitung Bietet Kunden eine zusätzliche Option gegen einen Aufpreis Erhältlich für alle EU/EFTA- Kunden Volumen-Lizenzvertrag und finanzielles Commitment gegenüber Microsoft Ireland Operations erforderlich EU-Standardvertragsklauseln mit Microsoft Corporation Microsoft verpflichtet T-Systems, eine Tochtergesellschaft der Deutschen Telekom, vertraglich als Datentreuhänder Microsoft verwaltet alle Aspekte des Betriebs und der Bereitstellung der Microsoft Cloud Deutschland Dienste, die keinen Zugang zu Kundendaten erfordern. Keine Verbindung mit anderen Microsoft Public Cloud Diensten "Datentreuhänder-Vertrag" (incl. Auftragsdatenverarbeitungs-vertrag): Der deutsche Datentreuhänder schließt einen Vertragszusatz mit den Kunden, wonach er Dritten ausschließlich dann Zugang zu den Daten gewähren darf, wenn der Kunde es erlaubt oder deutsches Recht es erfordert. 80

60 HOW THAT CHANGES WITH MICR OSOFT Block Malicious Links within Detonate Executables Within Protection Of Domain (Anti-Spoof) PROTECT USER DEVICE PROTECT Prevent Attackers From Using Stolen Credentials Only Trusted Apps Run On Devices Categorize And Encrypt Sensitive Documents Stolen Credential Use Identify Breaches Immediately With Behaviroural Analysis Uncover And Challenge Identities That Appear To Be Compromised DETECT & RESPOND Enforce Control And DLP Over SaaS Apps NETWORK HOLISTIC APPROACH BUSINESS ENABLEMENT INCREASE PRODUCTIVITY DATA PROTECTION THREAT MANAGEMENT DEFEND Sensitivity: Internal