Sicherheit von Rechenzentren (Übersicht)
Wie hostet Microsoft seine Onlinedienste?
Microsoft stellt Kunden rund um die Uhr an 365 Tagen im Jahr mehr als 200 Clouddienste bereit, einschließlich Unternehmensdienste wie Microsoft Azure, Microsoft 365 und Microsoft Dynamics 365. Diese Dienste werden in der Cloudinfrastruktur von Microsoft gehostet, die aus global verteilten Rechenzentren, Edgecomputingknoten und Dienstbetriebscentern besteht. Sie werden von einem der weltweit größten globalen Netzwerke mit umfangreichem Glasfasernetz unterstützt und verbunden.
Der Fokus der Rechenzentren, die unsere Cloudangebote unterstützen, liegt auf hoher Zuverlässigkeit, erstklassigen Betriebsprozessen, Kosteneffektivität, Umweltfreundlichkeit und einer vertrauenswürdigen Online-Benutzeroberfläche für Kunden und Partner weltweit. Microsoft testet die Sicherheit der Rechenzentren regelmäßig durch interne Audits und Drittanbieter-Audits. Deshalb vertrauen die am stärksten regulierten Organisationen der Welt der Microsoft-Cloud, die mit mehr Zertifizierungen kompatibel ist als jeder andere Clouddienst.
Wie schützt Microsoft seine Rechenzentren vor nicht autorisiertem Zugriff?
Der Zugriff auf physische Rechenzentren wird eng von äußeren und inneren Perimetern gesteuert, wobei die Sicherheit auf jeder Ebene erhöht wird, einschließlich Perimeterumgrenzung, Sicherheitsfachkräfte, gesperrte Serverracks, integrierte Alarmsysteme, Rund-um-die-Uhr-Videoüberwachung durch das Betriebscenter und mehrstufige Zugriffssteuerung. Nur erforderliche Arbeitskräfte sind für den Zugriff auf Microsoft-Rechenzentren autorisiert. Der logische Zugriff auf die Microsoft 365-Infrastruktur, einschließlich Kundendaten, ist innerhalb von Microsoft-Rechenzentren nicht zulässig.
Unsere Sicherheitszentren (Security Operations Centers) verwenden Videoüberwachung zusammen mit integrierten elektronischen Zugangskontrollsystemen, um Rechenzentrumsstandorte und -einrichtungen zu überwachen. Kameras sind strategisch positioniert, um eine effektive Abdeckung des Perimeters der Einrichtung, der Eingänge, von Verladebuchten, Serverkäfigen, Korridoren im Gebäude und anderen sensiblen sicherheitsrelevanten Punkten zu gewährleisten. Im Rahmen unseres mehrstufigen Sicherheitskonzepts generieren alle nicht autorisierten Zugangsversuche, die von den integrierten Sicherheitssystemen erkannt werden, Alarmierungen des Sicherheitspersonals, um sofort darauf reagieren und diese beheben zu können.
Wie schützt Microsoft seine Rechenzentren vor Umweltgefährdungen?
Microsoft setzt eine Vielzahl von Schutzmaßnahmen ein, um die Verfügbarkeit von Rechenzentren vor Umweltbedrohungen zu schützen. Die Standorte unserer Rechenzentren werden strategisch ausgewählt, um das Risiko durch eine Vielzahl von Faktoren zu minimieren, z. B. Überflutungen, Erdbeben, Naturkatastrophen und andere Naturkatastrophen. Unsere Rechenzentren verwenden Klimakontrolle, um optimierte, bedingte Räume für Arbeitskräfte, Geräte und Hardware zu überwachen und zu warten. Branderkennungs- und Unterdrückungssysteme und Wassersensoren helfen dabei, Feuer- und Wasserschäden an Geräten zu erkennen und zu verhindern.
Katastrophen sind nicht vorhersehbar, aber die Rechenzentren und das Betriebspersonal von Microsoft bereiten sich auf Katastrophen vor, um die Kontinuität des Betriebs zu gewährleisten, falls unerwartete Ereignisse eintreten sollten. Eine robuste Architektur und aktuelle, getestete Kontinuitätspläne mindern potenzielle Schäden und fördern die schnelle Wiederherstellung des Rechenzentrumsbetriebs. Krisenmanagementpläne schaffen Klarheit über Rollen, Verantwortlichkeiten und Minderungsaktivitäten vor, während und nach einer Krise. Die in diesen Plänen festgelegten Rollen und Kontakte erleichtern in Krisensituationen eine wirksame Eskalation in der Befehlskette nach oben.
Wie überprüft Microsoft die Effektivität der Sicherheit von Rechenzentren?
Wir wissen, dass unsere Kunden die Vorteile der Cloud nur dann in vollem Umfang nutzen können, wenn sie ihrem Cloud-Dienstanbieter vertrauen können. Unsere Infrastruktur und breite Palette an Clouddiensten wurde von Grund auf so entwickelt, dass sie die höchsten Anforderungen unserer Kunden im Hinblick auf Sicherheit und Datenschutz erfüllt. Wir unterstützen unsere Kunden bei der Einhaltung nationaler, regionaler und branchenspezifischer Anforderungen an die Erfassung und Verwendung von personenbezogenen Daten, indem wir das umfassendste Compliance-Angebot aller Cloud-Dienstanbieter bereitstellen..
Unsere Cloudinfrastruktur und Angebote erfüllen eine breite Palette internationaler und branchenspezifischer Compliance-Standards, z. B. SO, HIPAA, FedRAMP und SOC, sowie landesspezifische Standards wie IRAP (Australien), G-Cloud (Großbritannien) und MTCS (Singapur). Strenge Überwachungen von Drittanbietern überprüfen unsere Einhaltung der strengen Sicherheitskontrollen, die diese Standards erfordern. Überwachungsberichte für unsere Infrastruktur- und Cloudangebote für Rechenzentren sind im Microsoft Service Trust Portal verfügbar.
Verwandte externe Vorschriften & Zertifizierungen
Die Onlinedienste von Microsoft werden regelmäßig auf die Einhaltung externer Vorschriften und Zertifizierungen überprüft. In der folgenden Tabelle finden Sie Informationen zur Überprüfung von Kontrollen im Zusammenhang mit der Sicherheit von Rechenzentren.
| Externe Überwachungen | Section | Datum des letzten Berichts |
|---|---|---|
|
ISO 27001 (Azure) Erklärung zur Anwendbarkeit Zertifikat |
A.11: Physische und Umgebungssicherheit | 21. November 2024 |
| SOC 1 (Azure) | PE-1: Bereitstellung des physischen Datencenterzugriffs PE-2: Sicherheitsüberprüfung für Rechenzentren PE-3: Überprüfung des Datencenterbenutzendenzugriffs PE-4: Physische Zugriffsmechanismen für Rechenzentren PE-5: Monitoring der physischen Überwachung von Rechenzentren PE-6: Wartung kritischer Datencenterumgebungen PE-7: Umweltkontrollen für Rechenzentren PE-8: Incident Response für Rechenzentren |
Dienstag, 18. Februar 2025 |
| SOC 2 (Azure) | PE-1: Bereitstellung des physischen Datencenterzugriffs PE-2: Sicherheitsüberprüfung für Rechenzentren PE-3: Überprüfung des Datencenterbenutzendenzugriffs PE-4: Physische Zugriffsmechanismen für Rechenzentren PE-5: Monitoring der physischen Überwachung von Rechenzentren PE-6: Wartung kritischer Datencenterumgebungen PE-7: Umweltkontrollen für Rechenzentren PE-8: Incident Response für Rechenzentren |
Dienstag, 18. Februar 2025 |