Azure-Einrichtungen, Gelände und physische SicherheitAzure facilities, premises, and physical security

In diesem Artikel wird beschrieben, welche Maßnahmen Microsoft zur Sicherung der Azure-Infrastruktur ergreift.This article describes what Microsoft does to secure the Azure infrastructure.

Infrastruktur der RechenzentrenDatacenter infrastructure

Azure besteht aus einer global verteilten Rechenzentrumsinfrastruktur, die Tausende von Onlinediensten unterstützt und mehr als 100 höchst sichere Einrichtungen weltweit umfasst.Azure is composed of a globally distributed datacenter infrastructure, supporting thousands of online services and spanning more than 100 highly secure facilities worldwide.

Die Infrastruktur bringt Anwendungen und Benutzer weltweit näher zusammen, stellt dabei die Datenresidenz sicher und bietet den Kunden umfassende Optionen hinsichtlich Compliance und Ausfallsicherheit.The infrastructure is designed to bring applications closer to users around the world, preserving data residency, and offering comprehensive compliance and resiliency options for customers. Azure hat 58 Regionen weltweit und ist in 140 Ländern/Regionen verfügbar.Azure has 58 regions worldwide, and is available in 140 countries/regions.

Als Region wird eine Reihe von Rechenzentren bezeichnet, die über ein großes und robustes Netzwerk miteinander verbunden sind.A region is a set of datacenters that is interconnected via a massive and resilient network. Standardmäßig sind Inhaltsverteilung, Lastenausgleich, Redundanz und Verschlüsselung der Sicherungsschicht für den gesamten Azure-Datenverkehr innerhalb einer Region oder für Ortswechsel zwischen Regionen im Netzwerk enthalten.The network includes content distribution, load balancing, redundancy, and data-link layer encryption by default for all Azure traffic within a region or travelling between regions. Azure verfügt über mehr globale Regionen als jeder andere Cloudanbieter und bietet Ihnen damit die Flexibilität, Ihre Anwendungen genau dort bereitzustellen, wo Sie diese benötigen.With more global regions than any other cloud provider, Azure gives you the flexibility to deploy applications where you need them.

Azure-Regionen sind in Geografien unterteilt.Azure regions are organized into geographies. Eine Azure-Geografie sorgt dafür, dass Anforderungen an Datenresidenz, Datenhoheit, Compliance und Ausfallsicherheit innerhalb geografischer Grenzen erfüllt werden.An Azure geography ensures that data residency, sovereignty, compliance, and resiliency requirements are honored within geographical boundaries.

In Geografien können Kunden mit spezifischen Anforderungen an Datenresidenz und Compliance ihre Daten und Anwendungen eng zusammenhalten.Geographies allow customers with specific data-residency and compliance needs to keep their data and applications close. Geografien sind fehlertolerant und erhalten dank ihrer Verbindung mit unserer dedizierten Netzwerkinfrastruktur mit sehr hohen Kapazitäten die Verfügbarkeit auch beim Ausfall einer ganzen Region.Geographies are fault-tolerant to withstand complete region failure, through their connection to the dedicated, high-capacity networking infrastructure.

Verfügbarkeitszonen sind physisch getrennte Standorte in einer Azure-Region.Availability zones are physically separate locations within an Azure region. Jede Verfügbarkeitszone besteht aus mindestens einem Rechenzentrum, dessen Stromversorgung, Kühlung und Netzwerkbetrieb unabhängig funktionieren.Each availability zone is made up of one or more datacenters equipped with independent power, cooling, and networking. Durch Verfügbarkeitszonen können Sie unternehmenskritische Anwendungen mit hoher Verfügbarkeit sowie Wiederherstellbarkeit mit geringer Latenz ausführen.Availability zones allow you to run mission-critical applications with high availability and low-latency replication.

Die folgende Abbildung veranschaulicht, wie die globale Azure-Infrastruktur Regionen und Verfügbarkeitszonen innerhalb der gleichen Datenresidenzgrenze koppelt, um für Hochverfügbarkeit, Notfallwiederherstellung und Sicherungsfunktionen zu sorgen.The following figure shows how the Azure global infrastructure pairs region and availability zones within the same data residency boundary for high availability, disaster recovery, and backup.

Diagramm zur Veranschaulichung der Datenresidenzgenze

Dank der geografischen Verteilung der Rechenzentren ist Microsoft in der Nähe der Kunden und kann so die Netzwerklatenz reduzieren und für georedundante Sicherung und Failover sorgen.Geographically distributed datacenters enables Microsoft to be close to customers, to reduce network latency and allow for geo-redundant backup and failover.

Physische SicherheitPhysical security

Microsoft entwickelt, erstellt und betreibt Rechenzentren so, dass der physische Zugriff auf die Bereiche, in denen Ihre Daten gespeichert sind, streng kontrolliert wird.Microsoft designs, builds, and operates datacenters in a way that strictly controls physical access to the areas where your data is stored. Microsoft weiß genau, wie wichtig der Schutz Ihrer Daten ist, und hat sich den Schutz der Rechenzentren, die Ihre Daten enthalten, auf die Fahnen geschrieben.Microsoft understands the importance of protecting your data, and is committed to helping secure the datacenters that contain your data. Eine komplette Abteilung befasst sich bei Microsoft mit der Entwicklung, der Erstellung und dem Betrieb der Einrichtungen, die Azure unterstützen.We have an entire division at Microsoft devoted to designing, building, and operating the physical facilities supporting Azure. Dieses Team hat die Aufgabe, die physische Sicherheit auf dem neuesten Stand zu halten.This team is invested in maintaining state-of-the-art physical security.

Microsoft verfolgt einen mehrstufigen Ansatz bei der physischen Sicherheit, um das Risiko zu verringern, dass nicht autorisierte Benutzer physischen Zugriff auf Daten und Rechenzentrumsressourcen erhalten.Microsoft takes a layered approach to physical security, to reduce the risk of unauthorized users gaining physical access to data and the datacenter resources. Von Microsoft verwaltete Rechenzentren haben umfassende Schutzebenen: Zugriffsgenehmigung an der Einrichtungsgrenze, an der Gebäudegrenze, im Gebäude und in der Rechenzentrumsetage.Datacenters managed by Microsoft have extensive layers of protection: access approval at the facility’s perimeter, at the building’s perimeter, inside the building, and on the datacenter floor. Physische Sicherheitsebenen sind:Layers of physical security are:

  • Anforderung und Genehmigung des Zugangs.Access request and approval. Sie müssen den Zugang anfordern, bevor Sie im Rechenzentrum eintreffen.You must request access prior to arriving at the datacenter. Sie müssen eine triftige geschäftliche Begründung Ihres Besuchs angeben, z.B. Compliance- oder Überwachungszwecke.You're required to provide a valid business justification for your visit, such as compliance or auditing purposes. Alle Anforderungen werden nach Notwendigkeit des Zugangs von Microsoft-Mitarbeitern genehmigt.All requests are approved on a need-to-access basis by Microsoft employees. Dank der „Notwendigkeit des Zugangs“ kann die Anzahl der Personen, die für die Durchführung einer Aufgabe in Rechenzentren erforderlich sind, auf das absolute Minimum reduziert werden.A need-to-access basis helps keep the number of individuals needed to complete a task in the datacenters to the bare minimum. Nachdem Microsoft die Berechtigung erteilt hat, erhält eine Person ausschließlich zu dem abgegrenzten Bereich des Rechenzentrums Zugang, der gemäß der genehmigten geschäftlichen Begründung erforderlich ist.After Microsoft grants permission, an individual only has access to the discrete area of the datacenter required, based on the approved business justification. Berechtigungen sind auf einen bestimmten Zeitraum befristet und laufen danach ab.Permissions are limited to a certain period of time, and then expire.

  • Grundstücksgrenze der Einrichtung.Facility’s perimeter. Wenn Sie im Rechenzentrum eintreffen, müssen Sie dieses durch einen genau definierten Zugangspunkt betreten.When you arrive at a datacenter, you're required to go through a well-defined access point. In der Regel besteht jeder Zentimeter dieser Eingrenzung aus hohen Zäunen aus Stahl und Beton.Typically, tall fences made of steel and concrete encompass every inch of the perimeter. Die Rechenzentren sind von Kameras umgeben, und ein Sicherheitsteam überwacht die Aufnahmen jederzeit.There are cameras around the datacenters, with a security team monitoring their videos at all times.

  • Eingang in das Gebäude.Building entrance. Der Eingang des Rechenzentrums wird von Sicherheitspersonal überwacht, das eine rigorose Ausbildung durchlaufen hat und gründlichen Hintergrundüberprüfungen unterzogen wurde.The datacenter entrance is staffed with professional security officers who have undergone rigorous training and background checks. Das Sicherheitspersonal geht außerdem routinemäßig das Rechenzentrum ab und überwacht jederzeit die Aufnahmen der Kameras im Rechenzentrum.These security officers also routinely patrol the datacenter, and monitor the videos of cameras inside the datacenter at all times.

  • Im Gebäude.Inside the building. Nachdem Sie das Gebäude betreten haben, müssen Sie eine zweistufige Authentifizierung mittels biometrischer Daten durchlaufen, damit Sie sich weiter im Rechenzentrum bewegen können.After you enter the building, you must pass two-factor authentication with biometrics to continue moving through the datacenter. Nachdem Ihre Identität überprüft wurde, können Sie ausschließlich den Teil des Rechenzentrums betreten, für den der Zugang genehmigt wurde.If your identity is validated, you can enter only the portion of the datacenter that you have approved access to. Sie können sich dort nur für die Dauer der genehmigten Zeitspanne aufhalten.You can stay there only for the duration of the time approved.

  • Rechenzentrumsetage.Datacenter floor. Sie dürfen nur die Etage betreten, für die Sie eine Genehmigung haben.You are only allowed onto the floor that you're approved to enter. Sie müssen eine Personenkontrolle mit Metalldetektor durchlaufen.You are required to pass a full body metal detection screening. Um das Risiko zu verringern, dass ohne unser Wissen unberechtigte Daten in das Rechenzentrum gelangen oder dieses verlassen, dürfen nur genehmigte Geräte in die Rechenzentrumsetage mitgenommen werden.To reduce the risk of unauthorized data entering or leaving the datacenter without our knowledge, only approved devices can make their way into the datacenter floor. Darüber hinaus überwachen Kameras die Vorder- und Rückseite jedes Serverracks.Additionally, video cameras monitor the front and back of every server rack. Wenn Sie die Rechenzentrumsetage verlassen, müssen Sie erneut eine vollständige Personenkontrolle mit Metalldetektor durchlaufen.When you exit the datacenter floor, you again must pass through full body metal detection screening. Bevor Sie das Rechenzentrum verlassen können, müssen Sie sich einer weiteren Sicherheitsüberprüfung unterziehen.To leave the datacenter, you're required to pass through an additional security scan.

Besucher müssen ihre Besucherausweise vor dem Verlassen eines Microsoft-Gebäudes abgeben.Microsoft requires visitors to surrender badges upon departure from any Microsoft facility.

Physische SicherheitsprüfungenPhysical security reviews

Wir überprüfen in regelmäßigen Abständen die physische Sicherheit der Einrichtungen, um sicherzustellen, dass die Rechenzentren die Azure-Sicherheitsanforderungen erfüllen.Periodically, we conduct physical security reviews of the facilities, to ensure the datacenters properly address Azure security requirements. Die Mitarbeiter des Rechenzentrum-Hostinganbieters sind nicht für die Verwaltung von Azure-Diensten zuständig.The datacenter hosting provider personnel do not provide Azure service management. Mitarbeiter können sich nicht bei Azure-Systemen anmelden und haben keinen physischen Zugriff auf den Raum für das Azure-Serverhousing und die Azure-Gehäuse.Personnel can't sign in to Azure systems and don't have physical access to the Azure collocation room and cages.

Geräte mit DatenData bearing devices

Microsoft verwendet bewährte Verfahren und eine Zurücksetzungslösung, die NIST 800-88-konform ist.Microsoft uses best practice procedures and a wiping solution that is NIST 800-88 compliant. Für Festplatten, die nicht zurückgesetzt werden können, verwenden wir ein Verfahren, das die Platte zerstört und eine Wiederherstellung der Daten unmöglich macht.For hard drives that can’t be wiped, we use a destruction process that destroys it and renders the recovery of information impossible. Mögliche Zerstörungsverfahren sind Zersetzen, Schreddern, Pulverisieren oder Verbrennen.This destruction process can be to disintegrate, shred, pulverize, or incinerate. Wir bestimmen die Art der Entsorgung anhand des Ressourcentyps.We determine the means of disposal according to the asset type. Wir bewahren die Dokumentation der Zerstörung auf.We retain records of the destruction.

Entsorgung von AusrüstungEquipment disposal

Am Ende der Nutzungsdauer eines Systems befolgen die für den Betrieb zuständigen Microsoft-Mitarbeiter strenge Verfahren zum Umgang mit Daten und zur Entsorgung von Hardware, um sicherzustellen, dass Hardware, die eventuell Ihre Daten enthält, in keinem Fall nicht vertrauenswürdigen Dritten zugänglich gemacht wird.Upon a system's end-of-life, Microsoft operational personnel follow rigorous data handling and hardware disposal procedures to assure that hardware containing your data is not made available to untrusted parties. Wir verwenden ein sicheres Löschverfahren für Festplatten, die dieses Verfahren unterstützen.We use a secure erase approach for hard drives that support it. Bei Festplatten, die nicht zurückgesetzt werden können, verwenden wir ein Verfahren, das die Platte zerstört und eine Wiederherstellung der Daten unmöglich macht.For hard drives that can’t be wiped, we use a destruction process that destroys the drive and renders the recovery of information impossible. Mögliche Zerstörungsverfahren sind Zersetzen, Schreddern, Pulverisieren oder Verbrennen.This destruction process can be to disintegrate, shred, pulverize, or incinerate. Wir bestimmen die Art der Entsorgung anhand des Ressourcentyps.We determine the means of disposal according to the asset type. Wir bewahren die Dokumentation der Zerstörung auf.We retain records of the destruction. Alle Azure-Dienste setzen anerkannte Dienste zur Speicherung und Entsorgung von Medien ein.All Azure services use approved media storage and disposal management services.

ComplianceCompliance

Wir haben die Azure-Infrastruktur zur Erfüllung einer Vielzahl von internationalen und branchenspezifischen Compliancestandards wie ISO 27001, HIPAA, FedRAMP, SOC 1 und SOC 2 konzipiert und verwalten sie entsprechend.We design and manage the Azure infrastructure to meet a broad set of international and industry-specific compliance standards, such as ISO 27001, HIPAA, FedRAMP, SOC 1, and SOC 2. Wir erfüllen auch länder- bzw. regionsspezifische Standards, z.B. Australia IRAP, UK G-Cloud und Singapore MTCS.We also meet country- or region-specific standards, including Australia IRAP, UK G-Cloud, and Singapore MTCS. In rigorosen Audits durch Drittanbieter – zum Beispiel durch das British Standards Institute – wird die Einhaltung der von diesen Standards geforderten strengen Sicherheitskontrollen überprüft.Rigorous third-party audits, such as those done by the British Standards Institute, verify adherence to the strict security controls these standards mandate.

Eine vollständige Liste der von Azure eingehaltenen Compliancestandards finden Sie unter Complianceangebote.For a full list of compliance standards that Azure adheres to, see the Compliance offerings.

Nächste SchritteNext steps

In den folgenden Artikeln erfahren Sie mehr über den Schutz der Azure-Infrastruktur durch Microsoft:To learn more about what Microsoft does to help secure the Azure infrastructure, see: