12月14日報道,11月中旬,微軟宣布了一項計劃,稱將會為德國的客戶提供額外的一個保護層。本周,微軟一篇新的博客文章公布了更多關于該計劃的更多細節(jié)。
微軟方面此前曾表示,2016年下半年將在德國運營兩座新的數據中心,位于馬哥德堡和法蘭克福。這兩座數據中心將為用戶提供Azure、Office365和DynamicsCRMOnline,使得用戶可以選擇讓他們的數據訪問由第三方控制,而非被微軟控制。微軟方面稱,對保存在這兩座新數據中心內的數據進行訪問是處于T-Systems管控下的,該公司是德國電信的子公司,可以被視為數據信托。
微軟德國全球生態(tài)系統(tǒng)高級項目經理RalfWigand在12月8日發(fā)表的一篇博客文章中公布了比11月時透露的更多信息。
所有在德國這兩座新數據中心內保存的數據訪問全新將由一種基于角色的訪問模式(RBAC)控制,Wigand這樣解釋說。這些角色是基于職能的,例如“讀者”、“所有者”,等等,以及/或者基于域的,例如服務器、郵箱、資源組,等。用戶將可以針對一個特定的資源組分配給用戶分配管理員角色,權限將只影響該群組內的資源,而非整個訂購群或者其他資源。
Wigand繼續(xù)說:
“在這種新模式下,微軟根本沒有權限訪問客戶數據。只有針對像客戶呼叫支持這樣的特殊目的時,DataTrustee才會給微軟工程師授予臨時訪問權限,而且只是針對特定區(qū)域。在這個時間之后(使用類似你可能知道的JIT技術),所有訪問都會自動撤銷。如此反復:只有DataTrustee授權給微軟工程師訪問權限。微軟無法自己獲得訪問權限。當然這個過程可能會記錄日志到一個微軟也不能訪問的區(qū)域。此外,DataTrustee在會話期間都在,并監(jiān)管工程師的工作。”
對于任何微軟可能會與客戶數據接觸的情況,都需要有一個與服務運營相關的理由,在托管方授權之前要有一個明確定義區(qū)域的訪問和明確定義的時間段,他說。所以盡管微軟可以在特殊情況下訪問客戶數據,但是要由GermanDataTrustee來決定是否授予訪問權限。如果沒有GermanDataTrustee或者客戶的批準,微軟是不能訪問保存在這兩座數據中心內的數據的。
數據將只保存在德國的數據中心(德國中部和德國東北部)。這兩座數據中心之間的通信是由從一家德國提供商那里租用的專用網絡線路承載的,以確保不會有數據意外流出德國。Wigand表示,沒有額外的復制或者備份到德國之外的地區(qū)。
“只有一個很小的索引表格在所有地區(qū)間復制,以確保德國地區(qū)不是單獨的解決方案,但仍然是微軟Azure全球云平臺的一部分,”Wigand這樣表示。
此外,所有由微軟云在德國發(fā)行的SSL證書將有一家外部的證書頒發(fā)機構來處理,他補充說。
“聽起來不錯?是的,聽起來確實很好,因為我們的團隊過去半年一直在開發(fā)這套解決方案,我可以告訴你它不僅聽起來很棒,而且它確實很棒,”Wigand這樣表示。
微軟已經通過自己的AzureGovernmentCloud(代號“Fairfax”)、Office365GovernmentCloud、CRMGovernmentCloud向美國政府客戶提供鎖定版的Azure、Office365和CRMOnline。但是即將推出的德國數據訪問擔保將更進一步,試圖安撫隱私倡導者對美國數據訪問策略的擔憂。
這個新計劃是否足以說服客戶微軟的云計算是值得信賴的——或者至少是比競爭對手是更值得信賴的?我相信明年新的地區(qū)開始啟動和運行起來我們就會得到更多的信息……
