Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Kontrollierte Güter sind in erster Linie Waren, einschließlich Komponenten und technischen Daten, die militärische oder nationale Sicherheit von Bedeutung haben, die im Inland von der kanadischen Regierung kontrolliert und im Verteidigungsproduktionsgesetz definiert werden. Eine Übersicht über kontrollierte Waren, deren Regulierung und die damit verbundenen rechtlichen Zuständigkeiten finden Sie unter Was sind kontrollierte Waren? Einzelpersonen und Organisationen müssen sich im Programm für kontrollierte Waren (CGP) registrieren, wenn sie kontrollierte Waren überprüfen, besitzen oder übertragen müssen.
Kontrollierte Waren und Clouddienste
Viele Organisationen, die im CGP registriert sind, verwalten technische Daten von kontrollierten Gütern in digitaler Form und versuchen, die Vorteile öffentlicher Clouddienste für diese Workloads zu nutzen. Am 16. Mai 2024 veröffentlichte die Direktion für kontrollierte Güter (CGD) aktualisierte Leitlinien zur Verwendung oder Bereitstellung von Cloudlösungen für kontrollierte Warendaten. Der CGD-Cloudleitfaden beschreibt die gemeinsame Verantwortung für den Schutz kontrollierter Warendaten zwischen einem Clouddienstanbieter (Cloud Service Provider, CSP) und CGP-Registranten, die die Nutzung von Clouddiensten in Betracht ziehen könnten.
Microsoft und kontrollierte Waren
Microsoft Canada Inc. ist sowohl für traditionelle Zwecke als auch für Online-Clouddienste beim CGP registriert. Ein Verzeichnis von Organisationen, die beim CGP registriert sind, finden Sie unter Suchen von Personen und Organisationen, die im Programm für kontrollierte Waren registriert sind.
Obwohl es keine Konformitätszertifizierung für kontrollierte Waren gibt, enthält die CGP-Registrierung von Microsoft einen genehmigten Sicherheitsplan für kontrollierte Waren, in dem die Ausrichtung mit dem CGD-Cloudleitfaden für in-Scope-Dienste beschrieben wird. In diesem Artikel werden überlegungen für CGP-Registranten bei der Bewertung von Microsoft Online Services für Workloads mit kontrollierten Waren ausführlich erläutert.
Zu Microsoft gehörende Cloudplattformen und -dienste
Microsoft bietet weltweit ein breites Portfolio an kommerziellen Clouddiensten. Angesichts unterschiedlicher Produktbedingungen und -funktionen und komplexer regulatorischer Überlegungen empfiehlt Microsoft, dass Kunden nur die folgenden Dienste auf ihre Eignung zum Speichern und Verarbeiten kontrollierter Warendaten prüfen:
Azure Core Services in der Region Kanada umfassen die Azure Core Online Services, die in den Datenschutz- & Sicherheitsbestimmungen in den Produktbedingungen angegeben sind und innerhalb einer Region Kanada (derzeit Kanada, Mitte oder Kanada, Osten) bereitgestellt werden können. Informationen zu den in kanadischen Regionen verfügbaren Azure Core Services finden Sie unter Verfügbare Azure-Produkte nach Region .
Kanada Region Office Core Services sind Exchange Online, SharePoint Online, OneDrive for Business und Teams.
Alle Vorschau- oder Vorabversionen dieser Dienste, die dem Kunden zur optionalen Verwendung vor ihrer allgemeinen Verfügbarkeit zur Verfügung stehen, sind nicht gegenstands dieses Leitfadens.
Kanada Region Azure Core Services und Canada Region Office Core Services sind Teil der globalen Cloudinfrastruktur von Microsoft. Einige kanadische Defence Industrial Base-Kunden sind möglicherweise auch berechtigt, auf die Cloudangebote von Microsoft für US-Behörden zuzugreifen. Die Auswertung dieser US-basierten Angebote im Kontext von Daten zu kontrollierten Waren geht über den Rahmen dieses Artikels hinaus.
Kontrollierte Waren und Microsoft Cloud Services
Die Microsoft Cloud ist ein global bereitgestellter und standardisierter Satz von Onlinediensten, die Kunden zur Verfügung stehen, um bestimmte Geschäftsanforderungen zu bewerten, zu beschaffen, zu konfigurieren und bereitzustellen. Wenn der Cloudmandant des Kunden ordnungsgemäß konfiguriert ist, bietet er Den Kunden gegenüber herkömmlichen lokalen Technologiebereitstellungen mehr Flexibilität, erweiterte Funktionen und eine verbesserte Sicherheit. Microsoft gestaltet seine Onlinedienste so, dass Kundendaten sicher sind und unter der Kontrolle des Kunden stehen. Microsoft ist im Allgemeinen nicht in der Lage, die Bereitstellung seiner Onlinediensteangebote anzupassen, um bestimmte Kundenanforderungen zu erfüllen.
Kunden, die cloudbasierte Dienste nutzen, tragen die letztendliche Verantwortung für die Einhaltung gesetzlicher Vorschriften für kontrollierte Waren und den Schutz von Daten zu kontrollierten Waren, die sie in der Cloud speichern. Zu den Verpflichtungen zur gemeinsamen Verantwortung des Kunden gehören:
- Sicherstellen, dass ihre Nutzung dieser Dienste den geltenden Gesetzen entspricht, einschließlich der Gesetze zur Prüfung, zum Besitz oder zur Übertragung von kontrollierten Waren.
- Bewertung, ob ein Clouddienst, einschließlich einer Funktion oder eines Tools innerhalb eines Diensts, für den Umgang mit relevanten Kategorien von kontrollierten Gütern geeignet ist, einschließlich Daten, die auch kontrollen gemäß US-Vorschriften wie dem International Traffic in Arms Regulations (ITAR) unterliegen könnten. Dies kann die Bewertung der Angemessenheit der Sicherheitsvorkehrungen des Clouddienstanbieters, Verpflichtungen zur Datenresidenz (Speicherung ruhender Daten), des Speicherorts der Datenverarbeitung, des Speicherorts der Datenübertragung, der Überwachung von Drittanbietern und features oder Tools umfassen, die eine menschliche Überprüfung von Kundendaten umfassen können (z. B. die Überprüfung der Ausgabe einiger KI-Dienste zur Verhinderung von Missbrauch).
- Auswerten und Anwenden von Cloudsicherheitsfeatures, um den Zugriff auf kontrollierte Warendaten einzuschränken, die der Kunde in der Cloud speichert.
- Sicherstellen, dass kontrollierte Warendaten nicht in Kopfzeilen, Dokumentnamen oder Dateipfaden enthalten sind.
- Implementierung der eigenen Sicherheitskontrollen des Kunden und anderer Maßnahmen zum Umgang mit Restrisiken im Zusammenhang mit dem unbefugten Zugriff auf kontrollierte Warendaten, einschließlich der Sicherstellung, dass Microsoft-Mitarbeitern keinen Zugriff auf kontrollierte Warendaten in einer Weise zur Verfügung gestellt wird, in der sie kontrollierte Warendaten überprüfen, besitzen oder übertragen müssen, es sei denn, der Kunde entscheidet, dass die Person zur Untersuchung kontrollierter Waren zugelassen ist.
Im Zusammenhang mit dem Betrieb von Onlinediensten ist Microsoft nicht im konstruktiven Besitz von Daten über kontrollierte Waren. Microsoft-Mitarbeiter haben keine Kenntnis vom Charakter der Daten, die Kunden in ihre Onlinedienste hochladen. Microsoft hat auch keine kommerzielle Möglichkeit, zu verstehen, welche seiner Kunden seine Onlinedienste zum Speichern und Verarbeiten von kontrollierten Warendaten verwenden oder verwenden möchten.
Ausrichtung an kontrollierten Gütern für Cloud-Dienstanbieter
Onlinedienste sind standardisierte kommerzielle Standarddienste, die Kunden gemäß dem Volumenlizenzvertrag von Microsoft bereitgestellt werden. Diese Vereinbarung umfasst den Nachtrag zum Datenschutz von Microsoft-Produkten und -Diensten (DPA) und die Microsoft-Produktbedingungen (Produktbedingungen).
Microsoft hat die Azure Core Services für die Region Kanada und die Kanada Region Office Core Services entworfen und implementiert, um international anerkannte Sicherheitsmethoden und -richtlinien einzuhalten. Viele Microsoft Online Services wurden vom Canadian Centre for Cybersecurity im Rahmen des IT-Sicherheitsbewertungsprozesses (ITSM.50.100) des Clouddienstanbieters für das CCCS Medium Cloud Security Profile bewertet. Darüber hinaus verpflichtet sich Microsoft, technische und organisatorische Maßnahmen zu implementieren und zu verwalten, die den Anforderungen in ISO 27001, ISO 27002 und ISO 27018 entsprechen. Darüber hinaus entspricht jeder Azure Core Service der Region Kanada und der Canada Region Office Core Service (mit begrenzten, veröffentlichten Ausnahmen) auch den Kontrollstandards und -frameworks, die Teil von SSAE 18 SOC 1 Type II und SSAE 18 SOC 2 Type II sind. Weitere Informationen finden Sie unter DPA und Datenschutz & Sicherheitsbestimmungen in den Produktbedingungen.
Der Sicherheitsplanleitfaden des CGD enthält die folgenden wichtigen Definitionen:
- Zugang: In der Lage zu sein, kontrollierte Waren zu prüfen, zu besitzen oder zu übertragen.
- Untersuchen: Im Detail zu betrachten oder einer Analyse zu unterziehen, um wesentliche Merkmale oder Bedeutungen zu entdecken.
- Besitz: Entweder tatsächlicher Besitz, bei dem die Person direkte physische Kontrolle über ein kontrolliertes Gut zu einem bestimmten Zeitpunkt hat, oder konstruktiven Besitz, wenn die Person zu einem bestimmten Zeitpunkt die Macht und die Absicht hat, die Kontrolle über ein kontrolliertes Gut direkt oder durch eine andere Person oder Personen auszuüben.
- Übertragung: In Bezug auf ein kontrolliertes Gut, um es zu verwerfen oder seinen Inhalt in irgendeiner Weise offenzulegen.
Unter Berücksichtigung der Sicherheitskontrollen und Betriebspraktiken, die für Azure Core Services in der Region Kanada und Für Office Core Services der Region Kanada implementiert wurden, ist Microsoft davon aus, dass es nicht auf kontrollierte Warendaten zugreift, diese überprüft, besitzt oder überträgt, während solche Dienste oder zugehöriger technischer Support bereitgestellt werden.
Technischer Support
Microsoft Online Services sind so konzipiert, dass Microsoft keinen Einblick in die Art und Zeit hat, wie oder wann ein Kunde Onlinedienste zum Speichern oder Verarbeiten von kontrollierten Warendaten (oder anderen Arten von Daten) verwendet. Microsoft-Mitarbeiter haben keinen standardmäßigen ständigen Zugriff auf Kundendaten in Onlinediensten. In sehr eingeschränkten Support- und Engineering-Szenarien benötigen Support- oder Technische Mitarbeiter von Microsoft möglicherweise Zugriff auf Kundendaten. In diesen seltenen Fällen kann Microsoft-Support- oder Engineering-Mitarbeitern (die sich in der Regel außerhalb Kanadas befinden) über JUST-in-Time-Management-Systeme (Privileged Access Management, JUST-in-Time) zugriff auf Kundendaten gewährt werden, die von der Verwaltung überwacht werden. Mithilfe des Workflows mit eingeschränktem Zugriff wird der Zugriff auf Kundendaten sorgfältig kontrolliert, protokolliert und widerrufen, wenn sie nicht mehr benötigt werden. Selbst in diesen Szenarien weiß Microsoft nicht, ob Workloads für kontrollierte Waren impliziert sind.
Das global bereitgestellte Support- und Engineering-Personal von Microsoft wird nicht in Übereinstimmung mit den Anforderungen der Vorschriften für kontrollierte Waren bewertet. Aus diesem Zweck liegt es in der Verantwortung des Kunden, zu bestimmen, welche Daten während eines Support-Engagements innerhalb der Onlinedienste verarbeitet oder mit Microsoft freigegeben werden sollen. Im Allgemeinen liegt es in der Verantwortung des Kunden sicherzustellen, dass seine Nutzung von Onlinediensten nicht dazu führt, dass diese Mitarbeiter kontrollierte Waren untersuchen.
Der CGP-Leitfaden definiert den Begriff "Untersuchen", indem daten im Detail berücksichtigt oder einer Analyse unterzogen werden, um ihre wesentlichen Merkmale oder Bedeutungen zu ermitteln. Dieser Leitfaden legt nahe, dass die zufällige Exposition gegenüber Daten, die vorübergehend sind und nicht dazu führen, dass sie im Detail berücksichtigt oder ihre wesentliche Bedeutung bestimmt wird, keine "Untersuchung" eines kontrollierten Guts beinhaltet.
Als zusätzliche Risikominderungsmaßnahme empfiehlt Microsoft Kunden, das Feature "Kunden-Lockbox" mit In-Scope-Diensten zu aktivieren. Kunden-Lockbox gibt dem Kunden die Kontrolle über Supportworkflows, die Zugriff auf Kundendaten erfordern, indem der Kunde solche Anfragen mit erhöhten Rechten genehmigen oder ablehnen kann. Weitere Informationen zur Kunden-Lockbox:
Hinweis
In-Scope Online Services unterstützen in der Regel die Kunden-Lockbox-Funktion mit einigen Ausnahmen. Es liegt in der Verantwortung des Kunden, dies bei der Bewertung der Eignung von Onlinediensten für die Verwendung mit kontrollierten Warenworkloads zu berücksichtigen.
Eingeschränkter Kanadischer Support
Es kann begrenzte Szenarien geben, in denen die Untersuchung oder der Besitz von kontrollierten Gütern erforderlich ist, um technische Unterstützung bei Technologiebereitstellungen oder Problembehandlungen zu leisten. Wenn eine detaillierte Prüfung erforderlich ist, sollte der Kunde eine separate Zusammenarbeit mit Microsoft Canada anfordern, die eine explizite vertragliche Verpflichtung umfasst, um sicherzustellen, dass Mitarbeiter, die kontrollierte Warendaten überprüfen müssen, in Kanada ansässig sind und die Sicherheit gemäß den Vorschriften über kontrollierte Waren bewertet wird. Es liegt in der Verantwortung des Kunden, diese benutzerdefinierte Vereinbarung direkt mit Microsoft Canada zu schließen. Wenden Sie sich an Ihr Microsoft-Kontoteam, um weitere Informationen zu erfahren.
Aufzeichnungen
Microsoft hat keine Kenntnis vom Charakter oder Inhalt der Daten, die Kunden in Onlinediensten speichern oder verarbeiten könnten, und hat keine Möglichkeit, Benachrichtigungen von Kunden zu erhalten, die sich auf die Arten von Daten beziehen, die sie in Onlinedienste hochladen. Daher verfügt Microsoft nicht über eine kommerzielle Möglichkeit, nachzuverfolgen, welche Seiner Kunden seine Onlinedienste zum Speichern und Verarbeiten von kontrollierten Warendaten verwenden oder verwenden möchten. Aufzeichnungspflichten verbleiben ausschließlich beim Kunden, wenn er sich für die Nutzung der Onlinedienste von Microsoft entscheidet.
Sicherheitsvorfälle
Die Benachrichtigungsverpflichtungen von Microsoft für Sicherheitsvorfälle für Onlinedienste sind im DPA dokumentiert. Microsoft-Mitarbeiter haben keine Kenntnisse über die Art bestimmter Kundendaten, die von einem Sicherheitsvorfall betroffen sein könnten. Es liegt in der Verantwortung des Kunden (oder des CGP-Registranten), festzustellen, ob ein bestimmter Sicherheitsvorfall kontrollierte Warendaten umfasst, und dem CGP berichtigen zu müssen, wie in Abschnitt 10 (h) der Verordnung vorgeschrieben.
Häufig gestellte Fragen
Wo befinden sich support- und engineering-Mitarbeiter von Microsoft Online Services?
Microsoft betreibt Supportdienste für seine kommerziellen Cloudangebote an vielen Standorten auf der ganzen Welt für Kunden in verschiedenen Regionen und Ländern.
Was sind die Bürgeradressen der Cloudrechenzentren von Microsoft in Kanada?
Microsoft gibt die Bürgeradressen seiner Rechenzentren nicht öffentlich bekannt. Wir haben diese Richtlinie festgelegt, um unsere Rechenzentrumseinrichtungen zu schützen. Microsoft betreibt derzeit zwei Cloudregionen in Kanada– Kanada, Mitte mit Standorten in Toronto und Kanada, Osten mit Standorten in Quebec City. Wir empfehlen Kunden, bei Bedarf auf die Cloudregion zu verweisen, in der ihre Daten anstelle physischer Adressen in ihren Sicherheitsplänen für kontrollierte Waren gespeichert werden.
Wo werden Daten in Microsoft Online Services gespeichert?
Datenresidenz bezieht sich auf die Cloudgeografie oder -region, in der ruhende Kundendaten gespeichert werden. Verwenden Sie die folgenden Links, um zu verstehen, wie Sie die aktuellen Datenresidenz- und Datenresidenzverpflichtungen für dienste im Bereich ermitteln können:
- Übersicht über Microsoft 365 Data Residency
- Informationen dazu, wo Ihre Microsoft 365-Kundendaten gespeichert werden
- Datenresidenz in Azure
Kunden sind für die Bewertung verantwortlich, ob ein bestimmter Clouddienst die Konfiguration der Datenresidenz ermöglicht (einschließlich aller Ausnahmen, die in den Produktbedingungen oder im Microsoft Trust Center angegeben sind). Nicht alle Onlinedienste ermöglichen die Konfiguration des Datenspeichers in bestimmten Cloudregionen.
Wo werden Daten in Microsoft Online Services verarbeitet?
Die Datenverarbeitung umfasst Computingvorgänge, die Clouddienste für Kundendaten ausführen, um erforderliche Onlinedienste bereitzustellen. Es liegt in der Verantwortung des Kunden zu bewerten, ob die Verarbeitung, Speicherung oder Übertragung von Daten außerhalb Kanadas innerhalb von Clouddiensten oder im Rahmen des technischen Supports erfolgen kann und ob möglicherweise eine Exportgenehmigung erforderlich ist.
Für Azure Core Services in der Region Kanada speichert oder verarbeitet Microsoft Kundendaten nicht ohne Ihre Autorisierung außerhalb des vom Kunden angegebenen geografischen Raums. Kunden sollten Datenresidenz in Azure – Weitere Informationen zum Datenspeicherort des Kunden überprüfen und Folgendes auswerten:
- Um die Resilienz aufrechtzuerhalten, verwendet Microsoft variable Netzwerkpfade, die manchmal geografische Grenzen überschreiten, aber die Replikation von Kundendaten zwischen Regionen wird immer über verschlüsselte Netzwerkverbindungen übertragen.
- Microsoft-Mitarbeiter (einschließlich Unterauftragsverarbeitern), die sich außerhalb des Geografischen Raums befinden, können Datenverarbeitungssysteme im geografischen Raum remote betreiben, aber nicht ohne Genehmigung durch den Kunden auf Kundendaten zugreifen.
- Bestimmte Dienste ermöglichen es dem Kunden möglicherweise nicht, die Bereitstellung in einer bestimmten Azure-Region oder einem bestimmten geografischen Hauptgebiet (geo) zu konfigurieren, oder eine eingeschränkte Verarbeitung oder Speicherung an anderen Standorten durchführen, wie im Microsoft Trust Center beschrieben (das Microsoft möglicherweise von Zeit zu Zeit aktualisiert, aber Microsoft fügt keine Ausnahmen für Dienste hinzu, die nicht mehr in der Vorschauversion enthalten sind).
- Wenn ein Kundenadministrator oder Benutzer eine Aktion in den Diensten ausführt, die eine Datenübertragung aus dem kanadischen Geografischen Raum initiiert, schränkt Microsoft solche vom Kunden initiierten Übertragungen nicht ein. Dies würde den normalen Geschäftsbetrieb für den Kunden stören.
Für Kanada Region Office Core Services werden Daten in der Regel am nächstgelegenen Ort verarbeitet, an dem die Daten gespeichert sind, aber einige Vorgänge können Kundendaten in kommerziellen Azure-Cloudregionen außerhalb Kanadas verarbeiten. Eine vollständige Liste dieser Länder/Regionen finden Sie unter Azure-Geografien.
Was sind die Überlegungen bei der Verwendung von generativen KI-Lösungen mit kontrollierten Gütern?
Die generativen KI-Lösungen von Microsoft, einschließlich Azure OpenAI Service und Copilot-Diensten und -Funktionen, verwenden die Daten Ihrer organization nicht ohne Ihre Erlaubnis zum Trainieren von Basismodellen. Ihre Daten sind für OpenAI nicht verfügbar oder werden nicht zum Trainieren von OpenAI-Modellen verwendet. Ihre Daten bleiben bei der Nutzung von Azure OpenAI Service und Copilots privat und unterliegen unseren geltenden Datenschutz- und Vertraglichen Verpflichtungen, einschließlich der Verpflichtungen, die wir im Datenschutzzusatz von Microsoft, in den Produktbedingungen von Microsoft und in der Microsoft-Datenschutzerklärung eingehen.
Mit dem Engagement von Microsoft für verantwortungsvolle KI setzen Azure OpenAI-Dienste Missbrauchsüberwachungsprozesse ein, einschließlich menschlicher Überprüfung, um Instanzen von wiederkehrenden Inhalten und/oder Verhaltensweisen zu erkennen und zu entschärfen, die eine Verwendung des Diensts auf eine Weise vorschlagen, die gegen den Verhaltenskodex oder andere anwendbare Produktbedingungen verstoßen könnte. Kunden sollten bewerten, wie Daten mithilfe der unter Azure OpenAI Data, Privacy, and Security verfügbaren Ressourcen behandelt werden und wie sie sich bewerben können, um eine Ausnahme von der Überwachung von Missbrauch und der überprüfung durch Personen zu erhalten.
Weitere Informationen zu Daten, Datenschutz und Sicherheit für Microsoft Copilot für Microsoft 365 finden Sie unter Daten, Datenschutz und Sicherheit für Microsoft 365 Copilot.
Welche Exportgenehmigungen sind erforderlich, wenn kontrollierte Waren mit Microsoft Online Services verwendet werden?
Kunden sollten sich bei Global Affairs Canada (oder anderen Aufsichtsbehörden) in Bezug auf Exportgenehmigungen beraten lassen, die erforderlich sein können, wenn azure Core Services und Die Hauptdienste der Region Kanada bewertet werden, einschließlich, aber nicht beschränkt auf Szenarien, in denen Datenspeicherung, Netzwerkdaten während der Übertragung, Datenverarbeitung oder Übertragung außerhalb Kanadas erfolgen können.
Microsoft übernimmt keine Haftung oder Verantwortung dafür, dass es ohne unsere ausdrückliche Zustimmung zu einer Exportlizenzanwendung als Partei hinzugefügt wird. Weitere Informationen finden Sie in den häufig gestellten Fragen zum Microsoft-Export.
Welche anderen Sicherheits- und Datenschutzfeatures können bei der Konfiguration eines Onlinediensts im Gültigkeitsbereich für die Verwendung mit kontrollierten Waren nützlich sein?
Es liegt in der Verantwortung des Kunden sicherzustellen, dass die Nutzung von Onlinediensten nicht dazu führt, dass unbefugte Personen, einschließlich Microsoft Online Services-Mitarbeiter, kontrollierte Waren untersuchen, besitzen oder übertragen werden. Dies kann z. B. der Kunde die Bewertung und Einführung von Sicherheitsfeatures umfassen, die in bestimmten Onlinediensten verfügbar sind. Zu den relevanten Features gehören:
- Kunden-Lockbox: Microsoft empfiehlt Kunden, das Feature "Kunden-Lockbox" mit In-Scope-Diensten als zusätzliche Risikominderungsmaßnahme zu aktivieren. Kunden-Lockbox gibt dem Kunden die Kontrolle über Supportworkflows, die Zugriff auf Kundendaten erfordern, indem der Kunde solche Anfragen mit erhöhten Rechten genehmigen oder ablehnen kann. Weitere Informationen zur Kunden-Lockbox finden Sie unter:
- Microsoft Purview Information Protection: Mit Vertraulichkeitsbezeichnungen von Microsoft Purview Information Protection können Sie Ihre organization klassifizieren und schützenDaten von, wobei sichergestellt wird, dass die Produktivität der Benutzer und ihre Fähigkeit zur Zusammenarbeit nicht beeinträchtigt werden. Microsoft empfiehlt Kunden, geeignete Vertraulichkeitsbezeichnungen und zugehörige Datenschutzrichtlinien für kontrollierte Warendaten in Office Core Services bereitzustellen und zu konfigurieren.
- Microsoft Purview Double Key Encryption (DKE):Office-Apps (Outlook, Word, Excel und PowerPoint unter Windows) unterstützen die Verwendung der Doppelschlüsselverschlüsselung und bieten eine End-to-End-Verschlüsselungskonfigurationsoption. Office-Dokumente und der E-Mail-Text werden von den Office-Clientanwendungen mit einem Schlüsselverwaltungsdienst und schlüssel verschlüsselt, der der Kontrolle des Kunden unterliegt. Wenn Inhalte mit DKE verschlüsselt werden, kann die Gesamtfunktionalität von Microsoft 365 Core Services, einschließlich vieler kundenseitig konfigurierter Sicherheitsfeatures, reduziert werden, da die Microsoft-Cloudinfrastruktur keinen Zugriff auf Ihren privaten Schlüssel hat und keine Cloudverarbeitung der verschlüsselten Daten durchführen kann. Dies schränkt beispielsweise einige Funktionen ein, z. B. die cloudbasierte Verhinderung von Datenverlust (Data Loss Prevention, DLP), die Verwendung von Office Web-Apps und die gemeinsame Dokumenterstellung. Mit DKE in der Cloud verschlüsselte Kundendaten sind für Microsoft-Support- oder -Techniker nicht unverschlüsselt zugänglich. DKE muss mit Microsoft Purview Information Protection für die Dienstverschlüsselung und die Verwendung von Vertraulichkeitsbezeichnungen für Inhalte bereitgestellt werden.
- Azure Confidential Computing: Confidential Computing in Azure verbessert die Sicherheit über verschiedene Aspekte der Compute-Cloudinfrastruktur hinweg und hält sich an die Branchendefinition von Confidential Computing. Während die vorhandene Verschlüsselung ruhende Daten und Daten während der Übertragung schützt, schützt oder verschlüsselt Confidential Computing Daten während der Verarbeitung oder Berechnung im Arbeitsspeicher mithilfe neuer hardwarebasierter vertrauenswürdiger Ausführungsumgebungen in Azure. Die Confidential Computing-Angebote von Azure gehen über betriebliche Sicherheitsvorkehrungen und Speicherschutz hinaus, um Workloadisolation mit hardwarebasiertem Vertrauen bereitzustellen. Das Confidential Computing-Bedrohungsmodell zielt darauf ab, die Fähigkeit eines Cloudanbieterbetreibers und anderer Akteure in der Domäne des Mandanten zu entfernen oder zu verringern, auf Code und Daten zuzugreifen, während dieser ausgeführt wird. Bei Verwendung mit Datenverschlüsselung im Ruhezustand und während der Übertragung beseitigt Confidential Computing die größte Verschlüsselungsbarriere – die Verschlüsselung während der Verwendung –, indem sensible oder streng regulierte Datasets und Anwendungsworkloads auf einer sicheren öffentlichen Cloudplattform geschützt werden.
- Azure Key Vault: Azure Key Vault Managed HSM (Hardwaresicherheitsmodul) ist ein vollständig verwalteter, hochverfügbar und standardkonformer Clouddienst, mit dem Sie kryptografische Schlüssel für Ihre Cloudanwendungen mithilfe von HSMs mit FIPS 140-2 Level 3-Validierung schützen können. Dies ist eine von mehreren wichtigen Verwaltungslösungen in Azure.
Was sind die Überlegungen im Zusammenhang mit verbundenen Office-Diensten?
Microsoft Office besteht aus Clientsoftwareanwendungen und verbundenen Erfahrungen , die Es Ihnen ermöglichen, effektiver zu erstellen, zu kommunizieren und zusammenzuarbeiten. Die Zusammenarbeit mit anderen an einem auf OneDrive gespeicherten Dokument oder die Übersetzung des Inhalts eines Word-Dokuments in eine andere Sprache sind Beispiele für verbundene Erfahrung. Einige verbundene Erfahrungen, die als optionale verbundene Erfahrungen bezeichnet werden, auf die zugegriffen werden kann, wenn Sie die Office-Apps verwenden, um ihre Funktion über das Internet (oder andere Microsoft Online Services) auszuführen.
Einige verbundene Office-Erfahrungen analysieren Kundeninhalte in Office-Apps, um Ihnen Entwurfsempfehlungen, Bearbeitungsvorschläge, Datenerkenntnisse und ähnliche Features bereitzustellen. Die Analyse von Inhalten auf diese Weise ist eine weitere Form der Datenverarbeitung und kann in kommerziellen Azure-Cloudregionen außerhalb Kanadas auftreten.
Kunden sollten Office Connected Experiences als Teil ihrer Bewertung von kontrollierten Waren und Microsoft Online Services einbeziehen, einschließlich der Möglichkeit , die Nutzung von Erfahrungen zu steuern, die Inhalte für Dokumente analysieren , auf die bestimmte Vertraulichkeitsbezeichnungen angewendet wurden.
Was sind die allgemeinen Einschränkungen der End-to-End-Verschlüsselung mit Clouddiensten?
End-to-End-Verschlüsselung oder E2EE impliziert in der Regel, dass Inhalte verschlüsselt werden, bevor sie an die Cloud gesendet werden, und nur vom vorgesehenen Empfänger entschlüsselt werden, wenn sie aus der Cloud empfangen werden. Bei E2EE sind nur die beiden Endpunktsysteme an der Ver- und Entschlüsselung der Daten beteiligt. Wenn die Clouddienstinfrastruktur keinen kontrollierten Zugriff auf den Verschlüsselungsschlüssel zum Entschlüsseln der Daten hat, ist die Verarbeitung dieser Daten eingeschränkt. Beispielsweise würden cloudbasierte Schadsoftwareüberprüfungen, das Erzwingen von cloudbasierten Dlp-Regeln (Data Loss Prevention, Verhinderung von Datenverlust) für Inhalte und die Dokumentbearbeitung mit mehreren Benutzern nicht funktionieren, wenn der Clouddienstanbieter die Daten nicht entschlüsseln könnte, um die erforderliche Verarbeitung auszuführen.
Microsoft Double Key Encryption bietet eine End-to-End-Verschlüsselungskonfigurationsoption für die Verwendung mit einer Teilmenge Office 365 Daten, die den strengsten Datenschutzanforderungen unterliegen. Die Bereitstellungsanforderungen müssen bei der Bewertung dieser Funktion sorgfältig überprüft werden.
Hinweis
Der End-to-End-Verschlüsselungsbegriff kann andere Interpretationen haben, einschließlich im Kontext einer definierten Sicherheitsgrenze. Es liegt in der Verantwortung des Kunden, die in Online services verfügbaren Verschlüsselungsoptionen zu bewerten und zu konfigurieren.
Welche Ressourcen sind verfügbar, um eine sichere Cloudkonfiguration zu implementieren, die die Sicherheitsrichtlinien meiner Organisation erzwingt?
Microsoft veröffentlicht umfassende Informationen zum Entwerfen, Konfigurieren und Betreiben sicherer Cloudmandantenkonfigurationen. Die Microsoft Cloud Adoption Framework für Azure bietet einen hilfreichen Ausgangspunkt für IaaS- und PaaS-Workloads. Der Zero Trust-Bereitstellungsplan mit Microsoft 365 enthält Anleitungen zum Erstellen Zero Trust Sicherheit mit Microsoft 365.
Was geschieht, wenn kontrollierte Warendaten auch anderen Exportkontrollbestimmungen unterliegen?
Kunden sind dafür verantwortlich, zu bestimmen, ob Microsoft-Dienste (einschließlich Onlinedienste, technischer Support und professionelle Dienste) für die Speicherung oder Verarbeitung von Informationen geeignet sind, die einem bestimmten Gesetz oder einer bestimmten Vorschrift unterliegen, und für die Nutzung der Microsoft-Dienste in einer Weise, die mit den gesetzlichen und behördlichen Verpflichtungen übereinstimmt. Obwohl Szenarien mit Daten zu kontrollierten Waren, die nicht kanadischen Exportkontrollbestimmungen unterliegen, nicht in den Geltungsbereich dieses Artikels fallen, können die Informationen im Abschnitt Ressourcen für Kunden hilfreich sein.
Ressourcen
- Kontrollierte Waren: Prüfung, Besitz oder Übertragung
- Leitfaden zur Verwendung oder Bereitstellung von Cloudlösungen für kontrollierte Warendaten
- Blog: Aktualisierungen des Whitepapers für Azure Export-Steuerelemente
- Microsoft Azure – Export Controls White Paper
- Office 365 - Exportkontrollen Whitepaper
- Exportieren von Microsoft-Produkten – Häufig gestellte Fragen
- International Traffic in Arms Regulations (ITAR) – Microsoft Compliance
- US Export Administration Regulations (EAR) – Microsoft Compliance