Így zárja majd el az adatokat maga elől a Microsoft
A cég újabb részleteket osztott meg az új németországi adatközpontokkal kapcsolatos terveiről.
Egy hónapja ismertette európai adatközpontbővítési terveit a Microsoft, melynek egy felettébb érdekes elemén már akkor is megakadt a szemünk. A cég Frankfurtban (Germany Central régió) és Magdeburgban (Germany North-East régió) egy-egy új adatközpontot épít, melyekben az eddigi gyakorlatához – és a többi felhős szolgáltatótól is eltérően – elzárja maga elől az általa birtokolt és üzemeltetett szervereken tárolt ügyféladatokat. Azokat teljes mértékben az általa megbízott adatgondnok (data trustee), jelen esetben Deutsche Telekom leányvállalata, a T-Systems fogja kezelni.
(Majdnem) nulla hozzáférés
A lépést az amerika igazságügyi szervek felőli egyre nagyobb nyomás indokolja. Álláspontjuk szerint a Microsoft akkor is kötelezhető az általa üzemeltetett szervereken tárolt ügyféladatok átadására, ha a gépek fizikailag nem az Egyesült Államok területén vannak. A Microsoft persze nem volt hajlandó harc nélkül kötélnek állni, hiszen a (lehetséges) vásárlók meglehetősen bizalmatlanokká váltak az amerikai felhős szolgáltatókkal szemben a Snowden-féle kiszivárogtatások óta. A vállalat azonban már többször is alulmaradt, amikor bírósági döntésig vitte az adatszolgáltatási kéréseket, így radikálisan más megoldás után kellett néznie.
CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.
A gyakorlatban egyelőre nem tesztelt, de a jelenlegi jogi környezet alapján valódi kiútnak tűnő alternatíva gyanánt a Microsoft harmadik felet vont be. A döntés részleteit ismertető újabb blogbejegyzés szerint az adatgondnok szerepét betöltő T-Systemsnek alapesetben mindkét új német adatközpontban kizárólagos adatkezelői joga lesz. A Microsoft kizárólag alaposan indokolt műszaki beavatkozás esetében kérhet és kaphat hozzáférést, előre meghatározott időablakra, melynek lejártával a jogosultság automatikusan hatályát veszti. A hozzáférést csak az adott műszaki problémával foglalkozó mérnök kapja meg, tevékenységét pedig a T-Systems részéről folyamatosan monitorozzák és naplózzák.
Az adatközpontokban az összes digitális és fizikai hozzáférés szerepkör-alapú (role based access model, RBAC), a Microsoft szerint mindez nagyon aprólékos szabályozásra ad majd lehetőséget. A fizikai RBAC pedig azt jeleni, hogy minden Microsoft-alkalmazott látogatását, ami a szolgáltatások üzemeltetésével kapcsolatos, a T-Systemsnek kell jóváhagynia, és a látogatás időtartama alatt végig kíséretet kell biztosítania az érintett ember mellé. Az adatgondnok által alkalmazandó jóváhagyási szabályokról egyelőre még nincs információ, de a Microsoft várhatóan ezekről is ad majd tájékoztatást, ahogy közeledik majd az adatközpontok üzembe helyezése.
Ami Németországban történik, ott is marad
A két adatközpontot összekötő dedikált hálózatot a Microsoft egy (meg nem nevezett) német szolgáltatótól bérli, replikáció és archiválás pedig csak a Germany Central és Germany North-East régiókban üzemelő szerverekre történhet. A vállalat szerint az egyetlen, ami a biztonságos zónákat elhagyhatja, az a minden régióban leképzett indextábla, ami a böngészőket az előfizetéseknek megfelelő adatközponti régiókba irányítja. A Microsoft a két német adatközpontban még a tanúsítványkibocsátói szerepkört sem vállalta, és azt is harmadik (egyelőre szintén ismeretlen) félnek szervezte ki.
A Microsoft tervei egyelőre egyedülállóak, de ha a gyakorlatban is kiállják a próbát, precedensértékűvé válva a többi nagy felhős szolgáltatót is elindíthatják ebbe az irányba.