Daily Archives: 3. Februar 2016

Security, Compliance und Datenschutz in Office 365 – CSA CCM

Microsoft hat heute auf dem Office Blog eine detaillierte Tabelle veröffentlicht, wie Office 365 konkret und detailliert mit den oben genannten Schwerpunkten umgeht. Microsoft arbeitet diesbezüglich schon lange mit der Cloud Security Alliance (Verein) zusammen und nutzt die  Cloud Alliance Cloud Control Martrix (CSA CCM). In der Cloud Security Alliance als gemeinnützige Organisation sind sowohl Praktiker, als auch die Industrie, Verbände, Regierungen und Unternehmen vereint, um eine Best Practise im Cloud Computing zu finden.

Um den Gold-Standard (STAR) dieser Organisation zu erhalten veröffentlicht Microsoft regelmäßig Selbstbewertungen von Microsoft Azure, Microsoft Dynamics CRM Online und Office 365 im Hinblick auf Security, Compliance und Datenschutz an.

Nun zeigt ein nun veröffentlichtes Mapping Dokument, wie Microsoft mit Office 365 diese Goldstandards erfüllt und damit den Empfehlungen nachkommt. Sie hoffen so, dass ihre Kunden bei einer Due Dilligence Prüfung oder auch allgemein bei einer Beurteilung von Office 365 besser und natürlich für Office 365 entscheiden können.

Die Tabelle wurde wie folgt auf Office Blogs veröffentlicht: (hier ein Screenshot)

Security-MappingOffcie365

Download des gesamten Dokumentes
https://www.microsoft.com/en-us/download/details.aspx?id=50726

Mehr Informationen: http://aka.ms/STP  (Office 365 Service Trust Portal)

Rückfragen zum Mapping

Ihr könnt eine eng. Email schicken an:  cxprad@microsoft.com

Zertifikate

  • ISO 27001
  • ISO 27018
  • SOC Bescheinigung

Für welche Produkte gilt dies?  (in MS Rechenzentren gehostet, auch DE Cloud in Zukunft)

  • Exchange Online
  • Exchange Online-Schutz
  • Sharepoint Online, einschließlich Microsoft Onedrive for Business
  • Skype für Unternehmen
  • On-line-
  • Bürodienste Infrastruktur
  • Suite User Experience
  • Domain Name Service
  • Sicherheit Workload Umwelt

 

 

 

 

Azure directory sync – Was wird genau übertragen?

Ich wurde heute und auch schon mehrfach gefragt, “Was wird genau zwischen meiner Azure Directory in meinen heimat-Rechenzentren und allen dritten gesynct?”

Wir wissen, dass ein sync auf alle Fälle zwischen Europa (Dublin/Amsterdam) und den USA passiert. (Link -Trust Center) Fraglich ist nur, was wird genau gesynct wird, bevor natürlich nur das Portal in seiner Region Zugriff auf die AD hat.

Gesynct wird:

  • Tenant ID
  • Region des “Heimattenant”
  • Domain (default xy.onmicrosoft.com und die eigene verbundene Domain z.B. rakoellner.com)

Damit werden keine personenbezogenen Daten synchronisiert oder übertragen, aber es ist dennoch gewährleitet, dass ein User sich weltweit in Office365/Azure einwählen kann. Denn mit diesen oben genannten Daten kann der zugangsberechtigte User auf seine Azure AD zugreifen und erst in seinem eigenen Portal

 

 

Referenzen:

Es findet auch keine zusätzliche Replikation oder Backup in andere Rechenzentren, ah, sorry, Regionen statt, selbst das Azure Active Directory wird nur zwischen den beiden deutschen Regionen repliziert. Lediglich so eine Art Mini-Indextabelle wird zwischen allen Regionen repliziert, damit diese beiden deutschen Regionen keine Standalone-Lösung sind, sondern nach wie vor Teil der globalen Microsoft Azure Cloud. Diese Indextabelle hilft Azure, die Region zur Subscription zu finden (basierend auf dem Domainnamen (der ist ja eh öffentlich) und die Anfrage auf das entsprechende deutsche Rechenzentrum zu verweisen. Also keinerlei Benutzerdaten! Keine Passwörter, auch nicht als Hash oder Hash-Hash. Beispiel? Ein Login mit “max@contoso.de” an irgendeinem Azureportal: Das Portal sucht nach “@contoso.de” in der Indextabelle, findet “Germany Central”, und schickt dem Browser (noch bevor der Benutzer sein Passwort eingibt) ein Redirect zum Portal für “Germany Central”. Erst dieses Portal hat Zugriff auf die Benutzerinfos im AAD, und natürlich (siehe oben) liegt dieses Portal bereits unter der Obhut des Datentreuhänders.”

Quelle: http://blogs.technet.com/b/ralfwi/archive/2015/11/18/microsoft-cloud-deutsche-datentreuhand.aspx

 

Office 365 Trust Center

(Leider etwas missverständlich)

Wo sind meine Daten?

In einem Rechenzentrum befinden sich die Anwendungssoftware und die Kundendaten, die mit der Software erzeugt werden. Allen Kunden, die sich in einer Region befinden, werden bei Auswahl der Region im Dropdownfeld die Standorte der zugehörigen Rechenzentren und die entsprechenden Dienste angezeigt. Zum Schutz vor Ausfällen oder lokalen Notfällen repliziert Microsoft die Kundendaten jeweils in mindestens zwei Rechenzentren.

Wenn ein Rechenzentrum aus irgendeinem Grund nicht mehr funktioniert, gehen die Kundendaten nicht verloren, da die Anwendungssoftware und die Kundendaten, die mit dieser Anwendungssoftware erzeugt werden, auch in einem zweiten oder möglicherweise sogar in einem dritten Rechenzentrum verfügbar sind. Die Kunden werden über einen Ausfall ggf. nicht unterrichtet, da ein Ausfall in vielen Fällen keine Dienstunterbrechung verursacht (in Abhängigkeit vom jeweiligen Dienst). Die Kunden können davon ausgehen, dass ihre Kundendaten zu jeder Zeit in einem oder mehreren Rechenzentren in der Region verarbeitet werden.

*Wenn ein Kunde aus einer Region, die von seiner Heimatregion abweicht, auf das Online Services-Portal zugreift, werden alle angezeigten Webseiten im Rechenzentrum dieser Region gehostet.

***Bei dem in obigen Karten erwähnten Azure Active Directory handelt es sich um Instanzen von Azure Active Directory, die Verzeichnisdaten enthalten. Eine Kopie der Verzeichnisdaten befindet sich auch in den relevanten Rechenzentren, welche die Office 365-Dienste beherbergen.”

https://www.microsoft.com/online/legal/v2/?docid=25&langid=de-DE

 

MSDN  (weitere folgen)

 


 

weitere Links

For more information regarding the Services, see the administrator privacy section of the Office 365 Trust Center.

For Microsoft Intune, you may visit the Microsoft Intune Trust Center.

For Microsoft Azure Active Directory Premium, you may visit the Microsoft Azure Trust Center.

For Microsoft Rights Management Services, you may visit the Microsoft Rights Management Privacy Statement.

For Microsoft Dynamics CRM Online, you may visit the Microsoft Dynamics CRM Online Privacy Statement.

For Microsoft Dynamics Marketing, you may visit the Microsoft Dynamics Marketing Privacy Statement..

For Microsoft Social Listening, you may visit the Microsoft Social Listening Privacy Statement.

For Microsoft Learning, you may visit the Microsoft Learning Website Privacy Statement.

For Office 365, you may visit the Office 365 Trust Center.

For Microsoft Intune, you may visit the Microsoft Intune Trust Center.

For Microsoft Azure Active Directory Premium, you may visit the Microsoft Azure Trust Center.

For Microsoft Rights Management Services, you may visit the Microsoft Rights Management Privacy Statement.

For Microsoft Dynamics CRM Online, you may visit the Microsoft Dynamics CRM Online Privacy Statement.

For Microsoft Dynamics Marketing, you may visit the Microsoft Dynamics Marketing Privacy Statement.

For Microsoft Social Listening, you may visit the Microsoft Social Listening Privacy Statement.

For Power BI for Office 365, you may visit the Power BI for Office 365 Privacy Statement.

For Microsoft Learning, you may visit the Microsoft Learning Website Privacy Statement.

 

 

 

 

 

 

Neues zu Advanced Threat Analytics – MVA Kurs

Ich freue mich euch heute auf die Advanced Threat Analytics (ATA) hinweisen zu können! Nicht zu verwechseln mit der Advanced Threat Protection :), dazu findet ihr Informationen in diesem Beitrag.

Zur Advanced Threat Analytics gab es vor einiger Zeit schon ein Webinar und nun auch einen MVA Kurs!

 Christopher Chapman und Yuri Diogenes  

byod
Inhalte:
1 | Understanding Advanced Threat Analytics (ATA)
2 | ATA Architecture and Considerations
3 | Enhance Enterprise Mobility with ATA
4 | Planning and Designing ATA
5 | Implementation Scenario
6 | ATA Deployment

7 | Configuring ATA
8 | Reviewing ATA Alerts
9 | ATA Attack Detection
10 | Troubleshooting ATA

Neue Infos von der Artikel 29 Gruppe zu privacy shield?

Heute ab 13:00 Uhr wird es ein Streaming der aktuell tagenden Artikel 29 Gruppe zum privacy shield geben. Fraglich ist natürlich, ob die Mitglieder die Verhandlungsunterlagen haben, weil sonst eine Analyse eher dünn wie die PK und PM sein wird.

Aber wir werden sehen:

 

Link:
https://scic.ec.europa.eu/streaming/article-29-subgroup-implementation-of-the-privacy-directive