Sicherheit während der Migration über Mover-DiensteMover services migration security

Mover-Dienste bestehen aus einer hochverfügbaren Infrastruktur mit dem Hauptzweck, Dateien zwischen Cloudspeicher-Anbietern zu verschieben.Mover services consist of a highly available infrastructure with the primary purpose of moving files between cloud storage providers. Wir wissen, wie wichtig Sicherheit und Zuverlässigkeit für unsere Kunden sind, und bieten jedem Kunden einen maßgeschneiderten Service.We understand the importance of security and reliability to our customers, and provide a level of service tailored for each customer. Wir sind um eine ständige Verbesserung bemüht, und die hier vorgestellten Praktiken sollten als Mindeststandard für unsere Implementierung betrachtet werden.We are dedicated to continually improving, and the practices presented here should be considered the minimum standard of our implementation.

Sichere Speicher und ÜbertragungSecure storage & transfers

Die via Mover übertragenen Dateien werden unter Verwendung des AES-256-Standards verschlüsselt.The files transmitted through Mover are encrypted using the AES-256 standard. Ihre Dateien werden verschlüsselt, sobald sie bei uns eintreffen.Your files are encrypted as soon as we receive them. Die Verschlüsselungsschlüssel werden von uns verwaltet.We manage the encryption keys.

Mover verwendet Microsoft Azure für unsere Serverinfrastruktur.Mover uses Microsoft Azure for our server infrastructure. Weitere Informationen zur Sicherheit bei Microsoft finden Sie auf der Microsoft Azure-Website.You can find more information about Microsoft's security at the Microsoft Azure website.

Ihre Dateien werden zwischen den von Ihnen ausgewählten Diensten und unseren Servern über einen sicheren Kanal mit TLS 1.2 (Transport Layer Security)-Verschlüsselung, dem Standard für sichere Internet-Netzwerkverbindungen, gesendet.Your files are sent between the services you choose and our servers over a secure channel using TLS 1.2 (Transport Layer Security) encryption, the standard for secure Internet network connections.

ZugriffAccess

Wir setzen alles daran, Ihre Daten vor unbefugtem Zugriff zu schützen.We work hard to protect your information from unauthorized access. Microsoft-Mitarbeitern ist es nicht gestattet, den Inhalt der von Ihnen über Mover übertragenen Dateien anzuzeigen.Microsoft employees are prohibited from viewing the content of files you transmit through Mover. Nur Datei-Metadaten, z. B. Dateinamen und -Pfade, sind zum Zweck der Unterstützung Ihrer Migrationen für Microsoft-Mitarbeiter einsehbar.Only file metadata such as file names and paths are readable by Microsoft employees in order to support your migrations.

Sicherheit in vier HauptbereichenSecurity in four primary areas

Wir sorgen für Sicherheit in vier Hauptbereichen:Security for us comes in four primary areas:

Autorisierung des DienstsAuthorization of service

Während der Authentifizierung bei einem Cloudspeicher-Anbieter oder einem anderen Dienst, müssen Authentifizierungsdaten erfasst und für die spätere Verwendung gespeichert werden.During the process of authentication with a cloud storage provider or other service, we require the collection of authentication data to be retrieved and stored for later use. Es gibt zwei primäre Methoden zur Erfassung dieser Daten: OAuth und die direkte Erfassung von Kennwörtern und Schlüsseln.There are two primary methods that are used to collect this data, OAuth and Direct password or key collection.

OAuthOAuth

OAuth (Open Authorization) ist ein Webstandard, der es Endbenutzern ermöglicht, Dritten den Zugriff auf ihre Serverressourcen zu gestatten, ohne die Anmeldeinformationen freizugeben.OAuth (Open Authorization) is a web standard which provides a process for end users to authorize third-party access to their server resources without sharing credentials. Weitere Informationen hierzu finden Sie unter:More information can be found at:

Obwohl die genaue Verschlüsselungsmethode je nach Browser unterschiedlich ist, ist eine starke TLS-Verschlüsselung zwischen Mover und dem Benutzer für die anfängliche Autorisierung erforderlich.Although the exact encryption method varies browser by browser, Mover requires strong TLS encryption between Mover and the user for the initial authorization. Bei jedem unserer OAuth-Tokenaustausche wird zum Herstellen der Verbindung mit dem Autorisierungsserver TLS 1.2 verwendet.All our OAuth token exchanges use TLS 1.2 to connect to the authorizing server. OAuth ermöglicht es dem Benutzer, Mover jederzeit den Zugriff auf den Drittanbieterdienst durch Widerrufen unseres Tokens zu verweigern.OAuth will allow the user to deny Mover access to the third-party service at any time by revoking our token.

Direkte Erfassung von Kennwörtern oder SchlüsselnDirect password or key collection

Jegliche Erfassung von Kennwörtern und Schlüsseln über unsere Weboberfläche erfolgt über eine sichere TLS-Verbindung mit starkem Chiffrierungsverfahren, in der Regel 256-Bit AES oder stärker.All password or key collection occurs through our web interface over a secure TLS connection utilizing strong ciphers, generally 256-bit AES or stronger.

Speichern von Benutzer-AutorisierungsinformationenStorage of user authorization information

Um durchgehend auf den Dienst des Benutzers zugreifen zu können, müssen wir Autorisierungsinformationen speichern.For us to have continual access to the user’s service, we need to store authorization credentials. Im Falle von OAuth oder OAuth-ähnlichen Diensten (z. B. Box) wird ein Autorisierungstoken abgelegt, das uns den Zugriff ermöglicht.For OAuth or OAuth-like services such as Box, we store an authorization token which grants us access.

Wenn es ein direktes Kennwort oder einen Schlüssel, z. B. Amazon S3, gibt, müssen wir direkte Autorisierungsinformationen speichern.If there is a direct password or key, such as Amazon S3, we need to store direct authorization credentials.

Diese Informationen sind der Schlüssel für den Zugriff auf die Dateien des Kunden, und wir achten sorgfältig darauf, dass diese ordnungsgemäß gesichert werden.These credentials are the key to accessing the customer’s files, and we take special care to secure credentials properly. Alle Token und Kennwörter werden unter Verwendung von AES-256 verschlüsselt mit Einschluss sowohl globaler als auch benutzerspezifischer Verschlüsselungsschlüssel.All tokens and passwords are encrypted using AES-256, wrapped with both global and user-specific encryption keys. Diese Daten werden dann in unseren internen Datenbankservern ohne externen Zugriff gespeichert.This data is then stored in our internal database servers with no outside access.

Sicherheit der InfrastrukturSecurity of infrastructure

Unsere Infrastruktur wird gegen externe Angriffe geschützt.Our infrastructure is secured from external attacks. Die folgenden Serverklassen verfügen über sorgfältig umgesetzte Sicherheitsrichtlinien.The following classes of servers have carefully implemented security policies.

RunnerRunners

Runner sind unsere Server, die Dateien verschieben.Runners are our servers that move files. Da unsere Dienste auf ausgehende Verbindungen angewiesen sind, ist unsere Sicherheitsrichtlinie eindeutig und sicher.Because our services rely on outbound connections, our security policy is straightforward and secure. Es sind kein externer Zugriff auf diese Server zulässig.There is no outside access allowed to these servers. Der gesamte ausgehende Datenverkehr wird durch eine Punkt-Firewall übertragen und die dahinter liegende Infrastruktur bleibt so verborgen.All outbound traffic is pushed through a point firewall, obfuscating the infrastructure behind.

Bei Wartungsarbeiten wird der SSH-Zugriff über ein zwei Phasen-Verfahren ermöglicht.For maintenance, SSH access is allowed through a two stage process. Der Zugriff auf das Verwaltungsnetzwerk ist nur über zweistufige Authentifizierung und SSH-Schlüssel möglich, und dann von dort aus der SSH-Zugriff auf die einzelnen Server nur über SSH-Schlüssel.Access to the management network is only possible with two factor authentication and SSH keys, then from there SSH access to the individual servers only via SSH keys. Zur weiteren Erhöhung der Sicherheit ist eingehendes SSH nur von bestimmten genehmigten IP-Adressen zulässig.To further increase security, inbound SSH is only allowed from specific white-listed IP addresses.

API-ServerAPI servers

Unsere API-Server, sowohl für unsere öffentliche als auch für die interne API, verfügen über eine öffentlich zugängliche Schnittstelle.Our API servers, both for our public API and internal API, have a public facing interface. Der Hauptunterschied besteht darin, dass unsere API-Server eine öffentlich zugängliche Schnittstelle erfordern, die vollständig offen ist.The main difference is that our API servers require a public-facing web interface that is completely open. Nur TLS-Webdatenverkehr ist über diese Schnittstelle zulässig.Only TLS web traffic is allowed into this interface. Im Hinblick auf unsere öffentliche API ist nur authentifizierter sitzungsbasierter Datenverkehr zulässig.For our public API, only authenticated session based traffic is allowed. Bei der API für interne Anwendungen wird der gesamte Zugriff über unsere verwalteten API-Schlüssel gesichert.For our internal application API, all access is secured through our managed API keys.

WebschnittstelleWeb interface

Alle Anwendungen von Mover mit einer Webschnittstelle werden mithilfe starker TLS-Chiffrierungsverfahren geschützt.All applications by Mover that have a web interface are secured using TLS strong ciphers. Benutzereingaben, einschließlich Benutzernamen und Kennwörter, werden über diese verschlüsselte TLS-Verbindung, die durch unser websiteweites 2048-Bit-TLS-Zertifikat gekennzeichnet ist, sicher an das Back-End übergeben.User input, including username and passwords, are passed securely to the backend over this encrypted TLS connection, identified by our site-wide 2048-bit TLS certificate.

Benutzerdaten auf ihrem Weg durch unsere SystemeUser data as it flows through us

Während des Übertragungsprozesses werden alle Dateien auf unsere Runner-Server heruntergeladen, in Microsoft Azure untergebracht und dann an Microsoft 365-Migrations-APIs weitergeleitet.During the process of a transfer, all files are downloaded to our Runner servers, located in Microsoft Azure, then processed through to Microsoft 365 Migration APIs. Jeder Schritt stützt sich auf TLS-verschlüsselte Protokolle.Each step relies on TLS cryptographic protocols.

Während des Vermittlungsprozesses wird von Mover vorübergehend eine Kopie Ihrer Datei in einem verschlüsselten Dateisystem verwaltet, bevor er sie nach Microsoft 365 hochlädt.During mediation process, Mover temporarily maintains a copy of your file on an encrypted file system before it uploads it to Microsoft 365. Sobald der Upload der Datei überprüft wurde, wird sie sofort aus unserem Cache entfernt.As soon as the upload of the file has been verified, we immediately remove the file from our cache. Wir behalten niemals eine Kopie Ihrer Daten.We never keep a copy of your data. Wir helfen Ihnen bei der Übertragung Ihrer Daten und haben keinen Vorteil oder ein Interesse daran, Ihre Daten zu behalten.We facilitate the transfer of your data and we have no interest in, or benefit from, retaining your data.