微軟詳細(xì)介紹德國數(shù)據(jù)中心訪問鎖定計劃

ZD至頂網(wǎng)軟件頻道消息11月中旬，微軟宣布了一項(xiàng)計劃，稱將會為德國的客戶提供額外的一個保護(hù)層。本周，微軟一篇新的博客文章公布了更多關(guān)于該計劃的更多細(xì)節(jié)。

微軟方面此前曾表示，2016年下半年將在德國運(yùn)營兩座新的數(shù)據(jù)中心，位于馬哥德堡和法蘭克福。這兩座數(shù)據(jù)中心將為用戶提供Azure、Office 365和Dynamics CRM Online，使得用戶可以選擇讓他們的數(shù)據(jù)訪問由第三方控制，而非被微軟控制。微軟方面稱，對保存在這兩座新數(shù)據(jù)中心內(nèi)的數(shù)據(jù)進(jìn)行訪問是處于T-Systems管控下的，該公司是德國電信的子公司，可以被視為數(shù)據(jù)信托。

微軟德國全球生態(tài)系統(tǒng)高級項(xiàng)目經(jīng)理Ralf Wigand在12月8日發(fā)表的一篇博客文章中公布了比11月時透露的更多信息。

所有在德國這兩座新數(shù)據(jù)中心內(nèi)保存的數(shù)據(jù)訪問全新將由一種基于角色的訪問模式（RBAC）控制，Wigand這樣解釋說。這些角色是基于職能的，例如“讀者”、“所有者”，等等，以及/或者基于域的，例如服務(wù)器、郵箱、資源組，等。用戶將可以針對一個特定的資源組分配給用戶分配管理員角色，權(quán)限將只影響該群組內(nèi)的資源，而非整個訂購群或者其他資源。

Wigand繼續(xù)說：

“在這種新模式下，微軟根本沒有權(quán)限訪問客戶數(shù)據(jù)。只有針對像客戶呼叫支持這樣的特殊目的時，Data Trustee才會給微軟工程師授予臨時訪問權(quán)限，而且只是針對特定區(qū)域。在這個時間之后（使用類似你可能知道的JIT技術(shù)），所有訪問都會自動撤銷。如此反復(fù)：只有Data Trustee授權(quán)給微軟工程師訪問權(quán)限。微軟無法自己獲得訪問權(quán)限。當(dāng)然這個過程可能會記錄日志到一個微軟也不能訪問的區(qū)域。此外，Data Trustee在會話期間都在，并監(jiān)管工程師的工作。”

對于任何微軟可能會與客戶數(shù)據(jù)接觸的情況，都需要有一個與服務(wù)運(yùn)營相關(guān)的理由，在托管方授權(quán)之前要有一個明確定義區(qū)域的訪問和明確定義的時間段，他說。所以盡管微軟可以在特殊情況下訪問客戶數(shù)據(jù)，但是要由German Data Trustee來決定是否授予訪問權(quán)限。如果沒有German Data Trustee或者客戶的批準(zhǔn)，微軟是不能訪問保存在這兩座數(shù)據(jù)中心內(nèi)的數(shù)據(jù)的。

數(shù)據(jù)將只保存在德國的數(shù)據(jù)中心（德國中部和德國東北部）。這兩座數(shù)據(jù)中心之間的通信是由從一家德國提供商那里租用的專用網(wǎng)絡(luò)線路承載的，以確保不會有數(shù)據(jù)意外流出德國。Wigand表示，沒有額外的復(fù)制或者備份到德國之外的地區(qū)。

“只有一個很小的索引表格在所有地區(qū)間復(fù)制，以確保德國地區(qū)不是單獨(dú)的解決方案，但仍然是微軟Azure全球云平臺的一部分，”Wigand這樣表示。

此外，所有由微軟云在德國發(fā)行的SSL證書將有一家外部的證書頒發(fā)機(jī)構(gòu)來處理，他補(bǔ)充說。

“聽起來不錯？是的，聽起來確實(shí)很好，因?yàn)槲覀兊膱F(tuán)隊過去半年一直在開發(fā)這套解決方案，我可以告訴你它不僅聽起來很棒，而且它確實(shí)很棒，”Wigand這樣表示。

微軟已經(jīng)通過自己的Azure Government Cloud（代號“Fairfax”）、Office 365 Government Cloud、CRM Government Cloud向美國政府客戶提供鎖定版的Azure、Office 365和CRM Online。但是即將推出的德國數(shù)據(jù)訪問擔(dān)保將更進(jìn)一步，試圖安撫隱私倡導(dǎo)者對美國數(shù)據(jù)訪問策略的擔(dān)憂。

這個新計劃是否足以說服客戶微軟的云計算是值得信賴的——或者至少是比競爭對手是更值得信賴的？我相信明年新的地區(qū)開始啟動和運(yùn)行起來我們就會得到更多的信息……