Friedberg - Fotolia

Magdeburg und Frankfurt: So funktioniert Microsofts Azure-Cloud für Deutschland

Microsoft hat eine isolierte Azure-Cloud für Deutschland angekündigt, auf deren Daten nur ein Treuhänder zugreifen kann. Wie funktioniert das System?

Dieser Artikel behandelt

Cloud-Sicherheit

Am 11. November 2015 hat Microsoft zwei deutsche Rechenzentren für seine Public Cloud Microsoft Azure angekündigt, in denen deutschen Kunden IaaS-Dienste (Infrastructure as a Service) sowie mit Dynamics CRM und Office 365 auch SaaS-Produkte (Software as a Service) angeboten werden sollen.

Im Gegensatz zu deutschen Rechenzentren zum Beispiel von Amazon oder VMware will Microsoft nach eigenen Angaben aber keinerlei Zugriff auf Kundendaten haben, Verwaltung und Pflege der Rechenzentren und Kundendaten werden vielmehr dem sogenannten „Datentreuhänder“ T-Systems übertragen. Rainer Strassner aus dem Azure Datacenter Team von Microsoft Deutschland gab in einem Vortrag auf dem Microsoft Technical Summit 2015 Einblick in das Konzept von Microsofts Deutschland-Cloud.

Deutsche Cloud von globaler Azure-Infrastruktur isoliert

Die beiden Azure-Rechenzentren für Deutschland werden in Magdeburg und Frankfurt am Main entstehen, um auch deutschen Kunden die Möglichkeit für georedundante Hochverfügbarkeitsszenarien zu geben. Zwischen beiden Data Centern soll eine private Netzwerkverbindung für den Datenverkehr sorgen, ansonsten sei die deutsche Azure-Cloud aber komplett von der übrigen Azure-Infrastruktur isoliert.

Der Datentreuhänder T-Systems – die Wortneuschöpfung ist laut Rainer Strassner in einem Kundengespräch entstanden – soll dabei die alleinige Verfügungsgewalt über die in der deutschen Azure-Cloud gespeicherten Daten erhalten. Mit diesem organisatorischen Kniff will Microsoft rechtlichen Problemen entgehen, wenn vor allem amerikanische staatliche Stellen den Zugriff auf die Kundendaten einfordern. Derzeit läuft in den USA ein Gerichtsverfahren, weil Microsoft die Herausgabe von in Irland gespeicherten Kundendaten verweigert.

Die Trennung der deutschen Azure-Cloud von der übrigen Azure-Infrastruktur erschöpft sich dabei nicht in der getrennten Speicherung von beispielsweise SQL- oder E-Mail-Daten, sondern sieht sogar die Nutzung einer eigenen Azure-Active-Directory-Umgebung vor. In der europäischen Azure-Cloud werden Active-Directory-Daten weltweit mit anderen Azure-Data-Centern synchronisiert und repliziert, Microsofts deutsches Cloud-Angebot dagegen isoliert selbst Azure-Active-Directory-Daten.

Das hohe Maß der Abschirmung hat aber auch seinen Preis, erstens finanziell durch den zu erwartenden Preisaufschlag für die deutschen Azure-Services, zweitens auch organisatorisch, da globale Kunden beide Cloud-Angebote zusammen nicht ohne einen deutlichen Mehraufwand nutzen können werden.

Laut Rainer Strassner sei es während frühzeitiger Partner- und Kundengespräche ein häufig gehörter Kundenwunsch gewesen, sensible Daten in der deutschen Cloud, rechenintensive Workloads dagegen aus Kostengründen in der regulären Azure-Cloud zu hosten. Ohne aufwendige Anpassungen sei dies aber „Out-of-the-Box derzeit nicht möglich.“ Allerdings arbeite man an Lösungen und wolle diese Interoperabilität später nachliefern.

Datentreuhänder T-Systems verwaltet Kundendaten

Die Hardware der deutschen Rechenzentren gehört Microsoft und auch Design und Planung gehen auf Microsoft zurück. Sowohl der physische als auch der logische Zugriff auf die Infrastruktur entzieht sich Microsoft nach eigenen Angaben aber vollständig. Als Datentreuhänder ist T-Systems dabei nicht nur für Pflege und Wartung der Kundendaten, sondern auch der Infrastruktur betraut.

Bei Problemen ist demnach in erster Linie T-Systems als Rechenzentrumsbetreiber in der Pflicht, sofern nötig kann Microsoft-Mitarbeitern über rollenbasierte Zugangskontrollen per Remote-Sitzung aber punktuell der Zugriff auf die Systeme übertragen werden. Die gesamte Remote-Sitzung soll dabei durch T-Systems-Mitarbeiter überwacht und protokolliert werden.

Bei größeren Rollouts oder Updates nutzt Microsoft dagegen eigene Server, die dann nach einer Überprüfung von T-Systems ebenfalls durch T-Systems selbst in die deutsche Azure-Cloud übertragen werden. Die Frage nach möglichen Backdoors in der Microsoft-Software beantwortete Rainer Strassner mit Verweis auf das Microsoft Transparency Center in Brüssel, über das ausgewählte öffentliche Stellen Einblick in den Source Code von Microsoft-Produkten erhalten können. T-Systems selbst soll diese Möglichkeit allerdings nicht eingeräumt werden.

Die Roadmap für die beiden deutschen Azure-Standorte sieht eine geschlossene Preview-Phase bereits Anfang 2016 vor, Hardware, Netzwerk und erste Services seien bereits jetzt im internen Testbetrieb. Ab dem zweiten Halbjahr 2016 sollen dann Stück für Stück die ersten Azure-Services für Kunden zur Verfügung stehen, zunächst IaaS-Ressourcen, auf deren Basis dann später auch die SaaS-Anwendungen Office 365 und Dynamics CRM. Bis Ende 2016 sollen deutsche Microsoft-Kunden dann Zugriff auf das gesamte Azure-Portfolio erhalten.

Eine einfache Migration von Azure-Workloads in die deutschen Azure-Rechenzentren wird es allerdings aufgrund der strikten Trennung nicht geben, im Grunde müssen also alle virtuellen Maschinen und Konfigurationsdateien zunächst aus der bestehenden Azure-Cloud exportiert werden, um anschließend in die deutsche Microsoft-Cloud importiert zu werden. Je umfangreicher die Applikation, umso komplexer entsprechend der Migrationsprozess.

Keine Verträge nach deutschem Recht

Während Microsoft viel Lob für seine Deutschland-Cloud erhält, für René Büst von Crisp Research beispielsweise zeige die zweijährige Planungsphase „die Weitsicht, mit der sich Microsoft (…) mit der Herausforderung des deutschen Cloud-Marktes auseinandergesetzt hat“, bleibt doch ein zentraler Kritikpunkt bestehen: Auch für die deutschen Azure-Standorte wird es keine Verträge nach strengem deutschem Recht mit der Microsoft Deutschland GmbH geben, sondern weiterhin nach europäischem Recht mit Gerichtsbarkeit in Irland.

Dementsprechend betonte Rainer Strassner während seines Vortrages auch mehrmals, mit der deutschen Azure-Cloud ändere sich im Vergleich zum bisherigen Azure-Angebot nichts an der generellen Datensicherheit, und auch beim Thema Datenschutz könne man keine strengere Handhabung nach deutschen Datenschutzgesetzen erwarten.

Als einziger Mehrwert für deutsche Unternehmen bleibt damit der sicherlich nicht zu unterschätzende Zugewinn an Datensouveränität, weil Kundendaten deutscher Unternehmen mit diesem Konzept nachvollziehbar in einer deutschen Public Cloud bleiben. Konkurrierende Public-Cloud-Anbieter wie Amazon, Google, Rackspace, IBM und Co. können dies in der Form so derzeit nicht bieten. Für René Büst gibt es entsprechend auch keine Gründe mehr, die für IT-Entscheider „gegen die Nutzung von Cloud-Lösungen á la Microsoft“ sprechen würden.

Neben all den technischen und organisatorischen Problemen, die eine deutsche Cloud mit sich bringt, wird sich aber wohl erst zeigen müssen, ob das so sorgfältig über zwei Jahre hinweg ausgetüftelte juristische Konstrukt zwischen T-Systems und Microsoft einer möglichen Belastung auch wirklich standhalten wird. Noch kann also niemand sagen, ob in den USA später nicht einfach T-Systems statt Microsoft zur Herausgabe von Kundendaten gezwungen werden kann.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im November 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Cloud-Sicherheitsstandards

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close