Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Kontrollierte Güter sind in erster Linie Waren, einschließlich Komponenten und technischen Daten, die militärische oder nationale Sicherheit von Bedeutung haben. Die kanadische Regierung kontrolliert diese Waren im Inland und definiert sie im Defence Production Act. Eine Übersicht über kontrollierte Waren, deren Regulierung und die damit verbundenen rechtlichen Zuständigkeiten finden Sie unter Was sind kontrollierte Waren. Einzelpersonen und Organisationen müssen sich im Programm für kontrollierte Waren (CGP) registrieren, wenn sie kontrollierte Waren überprüfen, besitzen oder übertragen müssen.
Kontrollierte Waren und Clouddienste
Viele Organisationen, die im CGP registriert sind, verwalten technische Daten von kontrollierten Gütern in digitaler Form und versuchen, die Vorteile öffentlicher Clouddienste für diese Workloads zu nutzen. Am 16. Mai 2024 veröffentlichte die Direktion für kontrollierte Güter (CGD) aktualisierte Leitlinien zur Verwendung oder Bereitstellung von Cloudlösungen für kontrollierte Warendaten. Der CGD-Cloudleitfaden beschreibt die gemeinsame Verantwortung für den Schutz kontrollierter Warendaten zwischen einem Clouddienstanbieter (Cloud Service Provider, CSP) und CGP-Registranten, die die Nutzung von Clouddiensten in Betracht ziehen könnten.
Microsoft und kontrollierte Waren
Microsoft Canada Inc. ist sowohl für traditionelle Zwecke als auch für Online-Clouddienste beim CGP registriert. Ein Verzeichnis von Organisationen, die beim CGP registriert sind, finden Sie unter Suchen von Personen und Organisationen, die im Programm für kontrollierte Waren registriert sind.
Obwohl es keine Konformitätszertifizierung für kontrollierte Waren gibt, enthält die CGP-Registrierung von Microsoft einen genehmigten Sicherheitsplan für kontrollierte Waren, in dem die Ausrichtung mit dem CGD-Cloudleitfaden für in-Scope-Dienste beschrieben wird. In diesem Artikel werden überlegungen für CGP-Registranten bei der Bewertung von Microsoft Online Services für Workloads mit kontrollierten Waren ausführlich erläutert.
In-Scope-Cloudplattformen und -Dienste von Microsoft
Microsoft bietet weltweit ein breites Portfolio an kommerziellen Clouddiensten. Angesichts unterschiedlicher Produktbedingungen und -funktionen und komplexer regulatorischer Überlegungen empfiehlt Microsoft, dass Kunden nur die folgenden Dienste auf ihre Eignung zum Speichern und Verarbeiten kontrollierter Warendaten prüfen:
Kanada Region Azure Core Services bestehen aus den Azure Core Online Services, die in den Datenschutz- & Sicherheitsbestimmungen in den Produktbedingungen aufgeführt sind und innerhalb einer Region Kanada (derzeit Kanada, Mitte oder Kanada, Osten) bereitgestellt werden können. Informationen zu Azure Core Services, die in kanadischen Regionen verfügbar sind, finden Sie unter Azure Verfügbare Produkte nach Region .
Kanada Region Office Core Services sind Exchange Online, SharePoint Online, OneDrive for Business und Teams.
Alle Vorschau- oder Vorabversionen dieser Dienste, die Ihnen zur optionalen Verwendung vor ihrer allgemeinen Verfügbarkeit zur Verfügung stehen, fallen nicht in den Geltungsbereich dieser Anleitung.
Canada Region Azure Core Services und Canada Region Office Core Services sind Teil der globalen Cloudinfrastruktur von Microsoft. Einige kanadische Defence Industrial Base-Kunden sind möglicherweise auch berechtigt, auf die Cloudangebote von Microsoft für US-Behörden zuzugreifen. Die Auswertung dieser US-basierten Angebote im Kontext von Daten zu kontrollierten Waren geht über den Rahmen dieses Artikels hinaus.
Kontrollierte Waren und Microsoft Cloud Services
Die Microsoft Cloud ist ein global bereitgestellter und standardisierter Satz von Onlinediensten, die Kunden bewerten, beschaffen, konfigurieren und bereitstellen können, um bestimmte Geschäftsanforderungen zu erfüllen. Wenn Sie Ihren Cloudmandanten ordnungsgemäß konfigurieren, erhalten Sie gegenüber herkömmlichen lokalen Technologiebereitstellungen mehr Flexibilität, erweiterte Funktionen und verbesserte Sicherheit. Microsoft gestaltet seine Onlinedienste so, dass Kundendaten sicher und unter Ihrer Kontrolle sind. Microsoft kann in der Regel nicht anpassen, wie online Services-Angebote bereitgestellt werden, um bestimmte Kundenanforderungen zu erfüllen.
Wenn Sie sich für die Nutzung von Clouddiensten entscheiden, tragen Sie letztendlich die Verantwortung für die Einhaltung der gesetzlichen Vorschriften für kontrollierte Waren und den Schutz von Daten zu kontrollierten Waren, die Sie in der Cloud speichern. Zu Ihren Verpflichtungen zur gemeinsamen Verantwortung gehören:
- Sicherstellen, dass Ihre Nutzung dieser Dienste den geltenden Gesetzen entspricht, einschließlich der Gesetze für die Prüfung, den Besitz oder die Übertragung von kontrollierten Waren.
- Bewertung, ob ein Clouddienst, einschließlich einer Funktion oder eines Tools innerhalb eines Diensts, für den Umgang mit relevanten Kategorien von kontrollierten Gütern geeignet ist, einschließlich Daten, die auch kontrollen gemäß US-Vorschriften wie dem International Traffic in Arms Regulations (ITAR) unterliegen könnten. Diese Bewertung kann die Bewertung der Angemessenheit der Sicherheitsvorkehrungen des Clouddienstanbieters, der Verpflichtungen zur Datenresidenz (Speicherung ruhender Daten), des Speicherorts der Datenverarbeitung, des Speicherorts der Datenübertragung, der Überwachung von Drittanbietern und der Features oder Tools umfassen, die eine menschliche Überprüfung von Kundendaten umfassen können (z. B. die Überprüfung der Ausgabe einiger KI-Dienste zur Verhinderung von Missbrauch).
- Auswerten und Anwenden von Cloudsicherheitsfeatures, um den Zugriff auf kontrollierte Warendaten einzuschränken, die Sie in der Cloud speichern.
- Sicherstellen, dass kontrollierte Warendaten nicht in Kopfzeilen, Dokumentnamen oder Dateipfaden enthalten sind.
- Implementierung Ihrer eigenen Sicherheitskontrollen und anderer Maßnahmen zum Verwalten von Restrisiken im Zusammenhang mit dem unbefugten Zugriff auf kontrollierte Warendaten, einschließlich der Sicherstellung, dass Microsoft-Mitarbeitern keinen Zugriff auf kontrollierte Warendaten in einer Weise gewährt wird, die es erfordert, dass sie kontrollierte Warendaten überprüfen, besitzen oder übertragen müssen, es sei denn, Sie entscheiden, dass die Person zur Untersuchung kontrollierter Waren zugelassen ist.
Im Zusammenhang mit dem Betrieb von Onlinediensten ist Microsoft nicht im konstruktiven Besitz von Daten über kontrollierte Waren. Microsoft-Mitarbeiter haben keine Kenntnis vom Charakter der Daten, die Kunden in ihre Onlinedienste hochladen. Microsoft hat auch keine kommerzielle Möglichkeit, zu verstehen, welche seiner Kunden seine Onlinedienste zum Speichern und Verarbeiten von kontrollierten Warendaten verwenden oder verwenden möchten.
Ausrichtung an kontrollierten Gütern für Cloud-Dienstanbieter
Onlinedienste sind standardisierte kommerzielle Standarddienste, die Microsoft kundenseitig gemäß dem Volumenlizenzvertrag bereitstellt. Diese Vereinbarung umfasst den Nachtrag zum Datenschutz von Microsoft-Produkten und -Diensten (DPA) und die Microsoft-Produktbedingungen (Produktbedingungen).
Microsoft hat die Canada Region Azure Core Services und die Canada Region Office Core Services entworfen und implementiert, um international anerkannte Sicherheitspraktiken und -richtlinien einzuhalten. Das Canadian Centre for Cybersecurity hat viele Microsoft Online Services im Rahmen des It-Technologiebewertungsprozesses (ITSM.50.100) des Clouddienstanbieters für das CCCS Medium Cloud Security Profile bewertet. Darüber hinaus verpflichtet sich Microsoft, technische und organisatorische Maßnahmen zu implementieren und zu verwalten, die den Anforderungen in ISO 27001, ISO 27002 und ISO 27018 entsprechen. Darüber hinaus entspricht jede Kanada Region Azure Core Service und Canada Region Office Core Service (mit begrenzten, veröffentlichten Ausnahmen) auch den Kontrollstandards und Frameworks, die Teil von SSAE 18 SOC 1 Type II und SSAE 18 SOC 2 Type II sind. Weitere Informationen finden Sie unter DPA und Datenschutz & Sicherheitsbestimmungen in den Produktbedingungen.
Der Sicherheitsplanleitfaden des CGD enthält die folgenden wichtigen Definitionen:
- Zugang: In der Lage zu sein, kontrollierte Waren zu untersuchen, zu besitzen oder zu übertragen.
- Untersuchen: Im Detail zu betrachten oder einer Analyse zu unterziehen, um wesentliche Merkmale oder Bedeutungen zu entdecken.
- Besitz: Entweder tatsächlicher Besitz, bei dem die Person direkte physische Kontrolle über ein kontrolliertes Gut zu einem bestimmten Zeitpunkt hat, oder konstruktiven Besitz, wenn die Person zu einem bestimmten Zeitpunkt die Macht und die Absicht hat, die Kontrolle über ein kontrolliertes Gut direkt oder durch eine andere Person oder Personen auszuüben.
- Übertragung: In Bezug auf ein kontrolliertes Gut, um es zu verwerfen oder seinen Inhalt in irgendeiner Weise offenzulegen.
Angesichts der Sicherheitskontrollen und Betriebspraktiken, die für die Region Kanada Azure Core Services und die Office Core Services der Region Kanada implementiert wurden, greift Microsoft bei der Bereitstellung solcher Dienste oder des zugehörigen technischen Supports nicht auf kontrollierte Warendaten zu, prüft, besitzt oder überträgt sie nicht.
Technischer Support
Microsoft-Onlinedienste sind so konzipiert, dass Microsoft nicht erkennt, wie oder wann ein Kunde OnlineDienste verwendet, um kontrollierte Warendaten (oder andere Arten von Daten) zu speichern oder zu verarbeiten. Microsoft-Mitarbeiter haben keinen standardmäßigen ständigen Zugriff auf Kundendaten in Onlinediensten. In sehr eingeschränkten Support- und Entwicklungsszenarien benötigen Support- oder Technische Mitarbeiter von Microsoft möglicherweise Zugriff auf Kundendaten. In diesen seltenen Fällen können Microsoft-Support- oder Engineering-Mitarbeiter (die sich in der Regel außerhalb Kanadas befinden) zugriff auf Kundendaten unter Aufsicht der Verwaltung erhalten, indem sie temporäre Anmeldeinformationen über JIT-Systeme (Just-in-Time- Privileged Access Management) verwenden. Durch die Verwendung des Workflows mit eingeschränktem Zugriff wird der Zugriff auf Kundendaten sorgfältig kontrolliert, protokolliert und widerrufen, wenn sie nicht mehr benötigt werden. Selbst in diesen Szenarien weiß Microsoft nicht, ob Workloads für kontrollierte Waren impliziert sind.
Das global bereitgestellte Support- und Engineering-Personal von Microsoft wird nicht in Übereinstimmung mit den Anforderungen der Vorschriften für kontrollierte Waren bewertet. Aufgrund dieser Einschränkung sind Kunden dafür verantwortlich, zu bestimmen, welche Daten während eines Support-Engagements innerhalb von Onlinediensten verarbeitet oder an Microsoft freigegeben werden sollen. Im Allgemeinen sind Kunden dafür verantwortlich, sicherzustellen, dass ihre Nutzung von Online-Diensten nicht dazu führt, dass diese Mitarbeiter kontrollierte Waren untersuchen.
Der CGP-Leitfaden definiert den Begriff "Untersuchen", indem daten im Detail berücksichtigt oder einer Analyse unterzogen werden, um ihre wesentlichen Merkmale oder Bedeutungen zu ermitteln. Dieser Leitfaden legt nahe, dass die zufällige Exposition gegenüber Daten, die vorübergehend sind und nicht dazu führen, dass sie im Detail berücksichtigt oder ihre wesentliche Bedeutung bestimmt wird, keine "Untersuchung" eines kontrollierten Guts beinhaltet.
Als zusätzliche Risikominderungsmaßnahme empfiehlt Microsoft Kunden, das Feature "Kunden-Lockbox" mit In-Scope-Diensten zu aktivieren. Kunden-Lockbox gibt dem Kunden die Kontrolle über Supportworkflows, die Zugriff auf Kundendaten erfordern, indem der Kunde solche Anfragen mit erhöhten Rechten genehmigen oder ablehnen kann. Weitere Informationen zur Kunden-Lockbox finden Sie unter:
Hinweis
In-Scope Online Services unterstützen in der Regel die Kunden-Lockbox-Funktion mit einigen Ausnahmen. Kunden sollten dieses Feature bei der Bewertung der Eignung von Onlinediensten für die Verwendung mit kontrollierten Warenworkloads berücksichtigen.
Eingeschränkter Kanadischer Support
Es kann begrenzte Szenarien geben, in denen die Untersuchung oder der Besitz von kontrollierten Gütern erforderlich ist, um technische Unterstützung bei Technologiebereitstellungen oder Problembehandlungen zu leisten. Wenn eine detaillierte Prüfung erforderlich ist, sollte der Kunde eine separate Zusammenarbeit mit Microsoft Canada anfordern, die eine explizite vertragliche Verpflichtung umfasst, um sicherzustellen, dass Mitarbeiter, die kontrollierte Warendaten überprüfen müssen, in Kanada ansässig sind und die Sicherheit gemäß den Vorschriften über kontrollierte Waren bewertet wird. Es liegt in der Verantwortung des Kunden, diese benutzerdefinierte Vereinbarung direkt mit Microsoft Canada zu schließen. Wenden Sie sich an Ihr Microsoft-Kontoteam, um weitere Informationen zu erfahren.
Aufzeichnungen
Microsoft hat keine Kenntnis vom Charakter oder Inhalt der Daten, die Kunden in Onlinediensten speichern oder verarbeiten könnten, und hat keine Möglichkeit, Benachrichtigungen von Kunden zu erhalten, die sich auf die Arten von Daten beziehen, die sie in Onlinedienste hochladen. Daher verfügt Microsoft nicht über eine kommerzielle Möglichkeit, nachzuverfolgen, welche Seiner Kunden seine Onlinedienste zum Speichern und Verarbeiten von kontrollierten Warendaten verwenden oder verwenden möchten. Aufzeichnungspflichten verbleiben ausschließlich beim Kunden, wenn er sich für die Nutzung der Onlinedienste von Microsoft entscheidet.
Sicherheitsvorfälle
Die Benachrichtigungsverpflichtungen von Microsoft für Sicherheitsvorfälle für Onlinedienste sind im DPA dokumentiert. Microsoft-Mitarbeiter haben keine Kenntnis von der Art bestimmter Kundendaten, die sich auf einen Sicherheitsvorfall auswirken könnten. Es liegt in der Verantwortung des Kunden (oder des CGP-Registranten), festzustellen, ob ein bestimmter Sicherheitsvorfall kontrollierte Warendaten umfasst, und dem CGP berichtigen zu müssen, wie in Abschnitt 10 (h) der Verordnung vorgeschrieben.
Häufig gestellte Fragen
Wo befinden sich support- und engineering-Mitarbeiter von Microsoft Online Services?
Microsoft betreibt Supportdienste für seine kommerziellen Cloudangebote an vielen Standorten auf der ganzen Welt für Kunden in verschiedenen Regionen und Ländern.
Was sind die Bürgeradressen der Cloudrechenzentren von Microsoft in Kanada?
Microsoft gibt die Bürgeradressen seiner Rechenzentren nicht öffentlich bekannt. Wir haben diese Richtlinie festgelegt, um unsere Rechenzentrumseinrichtungen zu schützen. Microsoft betreibt derzeit zwei Cloudregionen in Kanada– Kanada, Mitte mit Standorten in Toronto und Kanada, Osten mit Standorten in Quebec City. Wir empfehlen Kunden, bei Bedarf auf die Cloudregion zu verweisen, in der ihre Daten anstelle physischer Adressen in ihren Sicherheitsplänen für kontrollierte Waren gespeichert werden.
Wo werden Daten in Microsoft Online Services gespeichert?
Datenresidenz bezieht sich auf die Cloudgeografie oder -region, in der ruhende Kundendaten gespeichert werden. Verwenden Sie die folgenden Links, um zu verstehen, wie Sie die aktuellen Datenresidenz- und Datenresidenzverpflichtungen für dienste im Bereich ermitteln können:
- Übersicht über Microsoft 365 Data Residency
- Informationen dazu, wo Ihre Microsoft 365-Kundendaten gespeichert werden
- Datenresidenz in Azure
Kunden sind für die Bewertung verantwortlich, ob ein bestimmter Clouddienst die Konfiguration der Datenresidenz ermöglicht (einschließlich aller Ausnahmen, die in den Produktbedingungen oder im Microsoft Trust Center angegeben sind). Nicht alle Onlinedienste ermöglichen die Konfiguration des Datenspeichers in bestimmten Cloudregionen.
Wo werden Daten in Microsoft Online Services verarbeitet?
Die Datenverarbeitung umfasst Computingvorgänge, die Clouddienste für Kundendaten ausführen, um erforderliche Onlinedienste bereitzustellen. Es liegt in der Verantwortung des Kunden zu bewerten, ob die Verarbeitung, Speicherung oder Übertragung von Daten außerhalb Kanadas innerhalb von Clouddiensten oder im Rahmen des technischen Supports erfolgen kann und ob möglicherweise eine Exportgenehmigung erforderlich ist.
Für Die Region Kanada Azure Core Services speichert oder verarbeitet Microsoft Kundendaten nicht außerhalb des vom Kunden angegebenen geografischen Raums ohne Ihre Genehmigung. Kunden sollten Datenresidenz in Azure – Weitere Informationen zum Speicherort von Kundendaten überprüfen und Folgendes auswerten:
- Um die Resilienz aufrechtzuerhalten, verwendet Microsoft variable Netzwerkpfade, die manchmal geografische Grenzen überschreiten, aber die Replikation von Kundendaten zwischen Regionen wird immer über verschlüsselte Netzwerkverbindungen übertragen.
- Microsoft-Mitarbeiter (einschließlich Unterauftragsverarbeitern), die sich außerhalb des Geografischen Raums befinden, können Datenverarbeitungssysteme im geografischen Raum remote betreiben, aber nicht ohne Genehmigung durch den Kunden auf Kundendaten zugreifen.
- Bestimmte Dienste ermöglichen es dem Kunden möglicherweise nicht, die Bereitstellung in einer bestimmten Azure Region oder einem geografischen Hauptgebiet (Geo) zu konfigurieren, oder eine eingeschränkte Verarbeitung oder Speicherung an anderen Standorten durchführen, wie im Microsoft Trust Center beschrieben (das Microsoft möglicherweise von Zeit zu Zeit aktualisiert, aber Microsoft fügt keine Ausnahmen für Dienste hinzu, die nicht mehr in der Vorschauversion enthalten sind).
- Wenn ein Kundenadministrator oder Benutzer eine Aktion in den Diensten ausführt, die eine Datenübertragung aus dem kanadischen Geografischen Raum initiiert, schränkt Microsoft solche vom Kunden initiierten Übertragungen nicht ein. Dies würde den normalen Geschäftsbetrieb für den Kunden stören.
Bei Kanada Region Office Core Services werden Daten in der Regel am nächsten an dem Ort verarbeitet, an dem die Daten gespeichert sind, aber einige Vorgänge können Kundendaten in Azure kommerziellen Cloudregionen außerhalb Kanadas verarbeiten. Eine vollständige Liste dieser Länder/Regionen finden Sie unter Azure Geografien.
Was sind die Überlegungen bei der Verwendung von generativen KI-Lösungen mit kontrollierten Gütern?
Die generativen KI-Lösungen von Microsoft, einschließlich Azure OpenAI Service- und Copilot-Diensten und -Funktionen, verwenden die Daten Ihrer organization nicht ohne Ihre Erlaubnis zum Trainieren von Basismodellen. Ihre Daten sind für OpenAI nicht verfügbar oder werden nicht zum Trainieren von OpenAI-Modellen verwendet. Ihre Daten bleiben bei der Nutzung Azure OpenAI Service und Copilots privat und unterliegen unseren geltenden Datenschutz- und Vertraglichen Verpflichtungen, einschließlich der Verpflichtungen, die wir im Datenschutzzusatz von Microsoft, in den Produktbedingungen von Microsoft und in der Microsoft-Datenschutzerklärung eingehen.
Mit dem Engagement von Microsoft für verantwortungsvolle KI setzen Azure OpenAI-Dienste Missbrauchsüberwachungsprozesse ein, einschließlich menschlicher Überprüfung, um Fälle von wiederkehrenden Inhalten und Verhaltensweisen zu erkennen und zu entschärfen, die eine Verwendung des Diensts auf eine Weise vorschlagen, die gegen den Verhaltenskodex oder andere anwendbare Produktbedingungen verstoßen könnte. Kunden sollten bewerten, wie Daten mithilfe der unter Azure OpenAI Data, Privacy, and Security verfügbaren Ressourcen behandelt werden, und wie sie eine Ausnahme von der Überwachung von Missbrauch und menschlicher Überprüfung beantragen können.
Weitere Informationen zu Daten, Datenschutz und Sicherheit für Microsoft Copilot für Microsoft 365 finden Sie unter Daten, Datenschutz und Sicherheit für Microsoft 365 Copilot.
Welche Exportgenehmigungen sind erforderlich, wenn kontrollierte Waren mit Microsoft Online Services verwendet werden?
Kunden sollten sich bei Global Affairs Canada (oder anderen Aufsichtsbehörden) in Bezug auf Exportgenehmigungen beraten lassen, die erforderlich sein können, wenn die Microsoft Canada Region Azure Core Services und Canada Region Office Core Services bewertet werden, einschließlich, aber nicht beschränkt auf Szenarien, in denen Datenspeicherung, Netzwerkdaten während der Übertragung, Datenverarbeitung oder Übertragung außerhalb Kanadas erfolgen können.
Microsoft übernimmt keine Haftung oder Verantwortung dafür, dass es ohne unsere ausdrückliche Zustimmung zu einer Exportlizenzanwendung als Partei hinzugefügt wird. Weitere Informationen finden Sie in den häufig gestellten Fragen zum Microsoft-Export.
Welche anderen Sicherheits- und Datenschutzfeatures können bei der Konfiguration eines Onlinediensts im Gültigkeitsbereich für die Verwendung mit kontrollierten Waren nützlich sein?
Es liegt in der Verantwortung des Kunden sicherzustellen, dass die Nutzung von Onlinediensten nicht dazu führt, dass unbefugte Personen, einschließlich Microsoft Online Services-Mitarbeiter, kontrollierte Waren untersuchen, besitzen oder übertragen werden. Diese Verantwortung kann z. B. den Kunden betreffen, der die in bestimmten Onlinediensten verfügbaren Sicherheitsfeatures auswertet und übernimmt. Zu den relevanten Features gehören:
- Kunden-Lockbox: Microsoft empfiehlt Kunden, das Feature "Kunden-Lockbox" mit In-Scope-Diensten als zusätzliche Risikominderungsmaßnahme zu aktivieren. Kunden-Lockbox gibt dem Kunden die Kontrolle über Supportworkflows, die Zugriff auf Kundendaten erfordern, indem der Kunde solche Anfragen mit erhöhten Rechten genehmigen oder ablehnen kann. Weitere Informationen zur Kunden-Lockbox finden Sie unter:
- Microsoft Purview Information Protection: Mit Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection können Sie Ihre organization klassifizieren und schützenDaten von, wobei sichergestellt wird, dass die Produktivität der Benutzer und ihre Fähigkeit zur Zusammenarbeit nicht beeinträchtigt werden. Microsoft empfiehlt Kunden, geeignete Vertraulichkeitsbezeichnungen und zugehörige Datenschutzrichtlinien für kontrollierte Warendaten in Office Core Services bereitzustellen und zu konfigurieren.
- Microsoft Purview Double Key Encryption (DKE):Office-Apps (Outlook, Word, Excel und PowerPoint unter Windows) unterstützen die Verwendung der Doppelschlüsselverschlüsselung und bieten eine End-to-End-Verschlüsselungskonfigurationsoption. Office-Dokumente und der E-Mail-Text werden von den Office-Clientanwendungen mit einem Schlüsselverwaltungsdienst und schlüssel verschlüsselt, der der Kontrolle des Kunden unterliegt. Wenn Inhalte mit DKE verschlüsselt werden, kann die Gesamtfunktionalität von Microsoft 365 Core Services, einschließlich vieler kundenseitig konfigurierter Sicherheitsfeatures, reduziert werden, da die Microsoft-Cloudinfrastruktur keinen Zugriff auf Ihren privaten Schlüssel hat und keine Cloudverarbeitung der verschlüsselten Daten durchführen kann. Diese Einschränkung wirkt sich beispielsweise auf einige Funktionen aus, z. B. die cloudbasierte Verhinderung von Datenverlust (Data Loss Prevention, DLP), die Verwendung von Office Web-Apps und die gemeinsame Dokumenterstellung. Mit DKE in der Cloud verschlüsselte Kundendaten sind für Microsoft-Support- oder -Techniker nicht unverschlüsselt zugänglich. DKE muss mit Microsoft Purview Information Protection für die Dienstverschlüsselung und die Verwendung von Vertraulichkeitsbezeichnungen für Inhalte bereitgestellt werden.
- Azure Confidential Computing: Confidential Computing auf Azure erhöht die Sicherheit in verschiedenen Aspekten der Compute-Cloudinfrastruktur und hält sich an die Branchendefinition von Confidential Computing. Während die vorhandene Verschlüsselung ruhende Daten und Daten während der Übertragung schützt, schützt oder verschlüsselt Confidential Computing Daten während der Verarbeitung oder Berechnung im Arbeitsspeicher mithilfe neuer hardwarebasierter vertrauenswürdiger Ausführungsumgebungen in Azure. Azure Confidential Computing-Angebote gehen über betriebliche Sicherheitsvorkehrungen und Speicherschutz hinaus, um die Workloadisolation mit hardwarebasiertem Vertrauen zu ermöglichen. Das Confidential Computing-Bedrohungsmodell zielt darauf ab, die Fähigkeit eines Cloudanbieterbetreibers und anderer Akteure in der Domäne des Mandanten zu entfernen oder zu verringern, auf Code und Daten zuzugreifen, während dieser ausgeführt wird. Bei Verwendung mit Datenverschlüsselung im Ruhezustand und während der Übertragung beseitigt Confidential Computing die größte Verschlüsselungsbarriere – die Verschlüsselung während der Verwendung –, indem sensible oder streng regulierte Datasets und Anwendungsworkloads auf einer sicheren öffentlichen Cloudplattform geschützt werden.
- Azure Key Vault: Azure Key Vault Verwaltetes HSM (Hardwaresicherheitsmodul) ist ein vollständig verwalteter, hochverfügbarer, standardkonformer Clouddienst mit nur einem Mandanten, mit dem Sie kryptografische Schlüssel für Ihre Cloudanwendungen mithilfe von HSMs, die mit FIPS 140-2 Level 3 validiert sind, schützen können. Dies ist eine von mehreren wichtigen Verwaltungslösungen in Azure.
Was sind die Überlegungen im Zusammenhang mit verbundenen Office-Diensten?
Microsoft Office besteht aus Clientsoftwareanwendungen und verbundenen Erfahrungen , die Es Ihnen ermöglichen, effektiver zu erstellen, zu kommunizieren und zusammenzuarbeiten. Die Zusammenarbeit mit anderen an einem auf OneDrive gespeicherten Dokument oder die Übersetzung des Inhalts eines Word-Dokuments in eine andere Sprache sind Beispiele für verbundene Erfahrung. Einige verbundene Erfahrungen, die als optionale verbundene Erfahrungen bezeichnet werden und auf die Sie zugreifen können, wenn Sie die Office-Apps verwenden, um ihre Funktion über das Internet (oder andere Microsoft Online Services) auszuführen.
Einige verbundene Office-Erfahrungen analysieren Kundeninhalte in Office-Apps, um Ihnen Entwurfsempfehlungen, Bearbeitungsvorschläge, Datenerkenntnisse und ähnliche Features bereitzustellen. Die Analyse von Inhalten auf diese Weise ist eine weitere Form der Datenverarbeitung und kann in Azure kommerziellen Cloudregionen außerhalb Kanadas auftreten.
Kunden sollten Office Connected Experiences als Teil ihrer Bewertung von kontrollierten Waren und Microsoft Online Services einbeziehen, einschließlich der Möglichkeit, die Verwendung von Erfahrungen zu steuern, die Inhalte für Dokumente analysieren , auf die bestimmte Vertraulichkeitsbezeichnungen angewendet wurden.
Was sind die allgemeinen Einschränkungen der End-to-End-Verschlüsselung mit Clouddiensten?
End-to-End-Verschlüsselung oder E2EE impliziert in der Regel, dass Inhalte verschlüsselt werden, bevor sie an die Cloud gesendet werden, und nur vom vorgesehenen Empfänger entschlüsselt werden, wenn sie aus der Cloud empfangen werden. Bei E2EE sind nur die beiden Endpunktsysteme an der Ver- und Entschlüsselung der Daten beteiligt. Wenn die Clouddienstinfrastruktur keinen kontrollierten Zugriff auf den Verschlüsselungsschlüssel zum Entschlüsseln der Daten hat, ist die Verarbeitung dieser Daten eingeschränkt. Beispielsweise würden cloudbasierte Schadsoftwareüberprüfungen, das Erzwingen von cloudbasierten Dlp-Regeln (Data Loss Prevention, Verhinderung von Datenverlust) für Inhalte und die Dokumentbearbeitung mit mehreren Benutzern nicht funktionieren, wenn der Clouddienstanbieter die Daten nicht entschlüsseln könnte, um die erforderliche Verarbeitung auszuführen.
Microsoft Double Key Encryption bietet eine End-to-End-Verschlüsselungskonfigurationsoption für die Verwendung mit einer Teilmenge Office 365 Daten, die den strengsten Datenschutzanforderungen unterliegen. Überprüfen Sie die Bereitstellungsanforderungen sorgfältig, wenn Sie diese Funktion auswerten.
Hinweis
Der End-to-End-Verschlüsselungsbegriff kann andere Interpretationen aufweisen, einschließlich im Kontext einer definierten Sicherheitsgrenze. Es liegt in der Verantwortung des Kunden, die in Online services verfügbaren Verschlüsselungsoptionen zu bewerten und zu konfigurieren.
Welche Ressourcen sind verfügbar, um eine sichere Cloudkonfiguration zu implementieren, die die Sicherheitsrichtlinien meiner Organisation erzwingt?
Microsoft veröffentlicht umfassende Informationen zum Entwerfen, Konfigurieren und Betreiben sicherer Cloudmandantenkonfigurationen. Microsoft Cloud Adoption Framework für Azure bietet einen hilfreichen Ausgangspunkt für IaaS- und PaaS-Workloads. Der Zero Trust-Bereitstellungsplan mit Microsoft 365 enthält Anleitungen zum Erstellen Zero Trust Sicherheit mit Microsoft 365.
Was geschieht, wenn kontrollierte Warendaten auch anderen Exportkontrollbestimmungen unterliegen?
Kunden sind dafür verantwortlich, zu bestimmen, ob Microsoft-Dienste (einschließlich Onlinedienste, technischer Support und professionelle Dienste) für die Speicherung oder Verarbeitung von Informationen geeignet sind, die einem bestimmten Gesetz oder einer bestimmten Vorschrift unterliegen, und für die Nutzung der Microsoft-Dienste in einer Weise, die mit den gesetzlichen und behördlichen Verpflichtungen übereinstimmt. Obwohl Szenarien mit Daten zu kontrollierten Waren, die nicht kanadischen Exportkontrollbestimmungen unterliegen, nicht in den Geltungsbereich dieses Artikels fallen, können die Informationen im Abschnitt Ressourcen für Kunden hilfreich sein.
Ressourcen
- Kontrollierte Waren: Prüfung, Besitz oder Übertragung
- Leitfaden zur Verwendung oder Bereitstellung von Cloudlösungen für kontrollierte Warendaten
- Blog: Azure Der Export von Steuerelementen in Whitepaper-Updates
- Microsoft Azure – Exportsteuerelemente Whitepaper
- Office 365 - Exportkontrollen Whitepaper
- Exportieren von Microsoft-Produkten – Häufig gestellte Fragen
- International Traffic in Arms Regulations (ITAR) – Microsoft Compliance
- US Export Administration Regulations (EAR) – Microsoft Compliance