微軟詳細介紹德國數據中心訪問鎖定計劃

發布日期：2015-12-14 09:38:33  瀏覽次數：3911

        微軟宣布了一項計劃，稱將會為德國的客戶提供額外的一個保護層。本周，微軟一篇新的博客文章公布了更多關于該計劃的更多細節。

        微軟方面此前曾表示，2016年下半年將在德國運營兩座新的數據中心，位于馬哥德堡和法蘭克福。這兩座數據中心將為用戶提供Azure、Office 365和Dynamics CRM Online，使得用戶可以選擇讓他們的數據訪問由第三方控制，而非被微軟控制。微軟方面稱，對保存在這兩座新數據中心內的數據進行訪問是處于T-Systems管控下的，該公司是德國電信的子公司，可以被視為數據信托。

        微軟德國全球生態系統高級項目經理Ralf Wigand在12月8日發表的一篇博客文章中公布了比11月時透露的更多信息。

        所有在德國這兩座新數據中心內保存的數據訪問全新將由一種基于角色的訪問模式（RBAC）控制，Wigand這樣解釋說。這些角色是基于職能的，例如“讀者”、“所有者”，等等，以及/或者基于域的，例如服務器、郵箱、資源組，等。用戶將可以針對一個特定的資源組分配給用戶分配管理員角色，權限將只影響該群組內的資源，而非整個訂購群或者其他資源。

        Wigand繼續說：

        “在這種新模式下，微軟根本沒有權限訪問客戶數據。只有針對像客戶呼叫支持這樣的特殊目的時，Data Trustee才會給微軟工程師授予臨時訪問權限，而且只是針對特定區域。在這個時間之后（使用類似你可能知道的JIT技術），所有訪問都會自動撤銷。如此反復：只有Data Trustee授權給微軟工程師訪問權限。微軟無法自己獲得訪問權限。當然這個過程可能會記錄日志到一個微軟也不能訪問的區域。此外，Data Trustee在會話期間都在，并監管工程師的工作?！?/p>

        對于任何微軟可能會與客戶數據接觸的情況，都需要有一個與服務運營相關的理由，在托管方授權之前要有一個明確定義區域的訪問和明確定義的時間段，他說。所以盡管微軟可以在特殊情況下訪問客戶數據，但是要由German Data Trustee來決定是否授予訪問權限。如果沒有German Data Trustee或者客戶的批準，微軟是不能訪問保存在這兩座數據中心內的數據的。

        數據將只保存在德國的數據中心（德國中部和德國東北部）。這兩座數據中心之間的通信是由從一家德國提供商那里租用的專用網絡線路承載的，以確保不會有數據意外流出德國。Wigand表示，沒有額外的復制或者備份到德國之外的地區。

        “只有一個很小的索引表格在所有地區間復制，以確保德國地區不是單獨的解決方案，但仍然是微軟Azure全球云平臺的一部分，”Wigand這樣表示。

        此外，所有由微軟云在德國發行的SSL證書將有一家外部的證書頒發機構來處理，他補充說。

        “聽起來不錯？是的，聽起來確實很好，因為我們的團隊過去半年一直在開發這套解決方案，我可以告訴你它不僅聽起來很棒，而且它確實很棒，”Wigand這樣表示。

        微軟已經通過自己的Azure Government Cloud（代號“Fairfax”）、Office 365 Government Cloud、CRM Government Cloud向美國政府客戶提供鎖定版的Azure、Office 365和CRM Online。但是即將推出的德國數據訪問擔保將更進一步，試圖安撫隱私倡導者對美國數據訪問策略的擔憂。

        這個新計劃是否足以說服客戶微軟的云計算是值得信賴的——或者至少是比競爭對手是更值得信賴的？我相信明年新的地區開始啟動和運行起來我們就會得到更多的信息……