In meinen Azure– und Microsoft-Kursen – insbesondere bei Einsteiger-Trainings – interessieren sich Teilnehmer in erster Linie für die Themen Sicherheit, Datenschutz/Compliance und Kosten. Sicherheit hat bekanntlich viele Ebenen/Aspekte wie z. B. Anwendungen, Identitäten, Netzwerk, Daten, Verschlüsselung usw. . Am Ende des Tages landen Sie aber stets bei der Infrastruktur und damit bei der Frage, wie die weltweit über 300 Rechenzentren bei Microsoft aufgebaut und organisiert und zertifiziert sind. Wie wäre es mit einer virtuellen Datacenter-Führung?
Ein paar Gedanken vorab. Microsoft betreibt nicht etwa separate Rechenzentren für M365, Azure und/oder Dynamics. Auch der Betrieb des Cloud-Verzeichnisdienstes Entra ID geschieht physikalisch an den gleichen Standorten, an denen sich auch die M365-Kundendaten befinden oder die zugehörigen SaaS-Dienste laufen. Ich Falle von Intra ID und M365 (SaaS) legen Sie übrigens den Rechenzentrumsstandort bei der Anlage des Mandanten selbstständig und dauerhaft fest, wie Sie der folgenden Abbildung entnehmen können. Sie finden die Informationen in den Mandanten-Eigenschaften im Entra-Admin-Center.
Registrieren sich Unternehmen für einen M365-Mandanten, wird der zugehörige Mandant bekanntlich automatisch angelegt, wobei Sie selbst darauf achten sollten, den passenden Rechenzentrumsstandort zu wählen (Default ist nämlich „US“). Dieser kann nachträglich nicht mehr geändert werden. Den damit ebenfalls einhergehenden Datenspeicherort für die in M365 enthaltenen SaaS-Dienste wie Office, Teams, Sharepoint usw. finden Sie übrigens im M365-Admin-Center unter „Einstellungen / Einstellungen der Organisation“ im Tab „Organisationsprofil“ im Abschnitt „Datenspeicherort“.
bei Azure-Diensten hingegen (IaaS oder PaaS) können sie bekanntlich in Abhängig der Dienstverfügbarkeit jedes der weltweit über 60 „Regionen“ wählen, um Ihren Azure-Dienst zu hosten. Eine aktuelle Liste der verfügbaren Standorte können Sie beispielsweise wie folgt schnell per Azure-Powershell ermitteln.
(Get-AzLocation).Location
Trotzdem ist es je nach Clouddienst-Service-Modell (M365/Dynamics: SaaS, Azure: IaaS und PaaS) unterschiedlich, wie z. B. ein Speicherdienst betrieben wird, etwa ein Storage Account (mit Objekt-, Datei- oder Tabellen-Speicher) in Azure versus Sharepoint/Onedrive bei M365 und so ohne weiteres kommen Sie auch nicht von „links“ nach „rechts“.
Letztendlich ist aber Alles virtualisiert und „Software-Defined“. Sie finden also in einem Microsoft-Rechenzentrum im Wesentlichen Industrie-Standart-Server, die mit einem speziell angepassten Windows-Image betrieben werden und einen Hyper-V-Hypervisor ausführen. Kommuniziert wird mit dieser Hardware-Ebene ausschließlich über eine Service-Schicht und API-Calls, im Wesentlichen sind das REST-Schnittstellen.
Azure Compliance und US Cloud Act
Ferner möchte ich zumindest in diesem Beitrag nicht umfassend über die Compliance, Datenschutz oder die Cloud-Act-Problematik referieren. Trotzdem ein paar Fakten in Kürze: Sie finden eine Komplettübersicht aller globalen, regionalen (EMEA) und lokalen Compliance-Angebot von Microsoft-Azure (stets aktualisiert) in der Azure-Compliance-Dokumentation. Muss auch ihr Unternehmen rechtliche oder gesetzliche Standards einhalten, sollten Sie sich hier umgehend informieren und entsprechende Compliance-Experten hinzuziehen. In der Region EMEA und insbesondere in Deutschland betrifft das z. B. vor allem „EU GDPR“, „EU Model Clauses“ „Germany C5“ sowie die Empfehlungen des Workbooks „IT-Grundschutz“.
Ist Ihr Unternehmen in einer regulierten Branche tätig oder trachtet aus eigenem Antrieb nach maximaler Compliance – hier kommt es z. B. auch darauf an, ob Ihr Unternehmen nur eigene Daten in der Cloud speichert oder selbst Daten externer Kunden verwaltet (Auftragsdatenverarbeitung), sollten Sie sich mit der Cloud-Act-Problematik befassen und wie Microsoft derzeit damit umgeht.
Die Problematik des US Cloud Act ist also für deutsche Unternehmen, die Azure als Auftragsdatenverarbeiter nutzen, weiterhin relevant. Der US Cloud Act ermöglicht es US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen, wie Microsoft, gespeichert werden, unabhängig davon, ob diese Daten in den USA oder in anderen Ländern gespeichert sind. Microsoft hat jedoch Maßnahmen ergriffen, um den Datenschutz seiner Kunden zu optimieren. Zu diesem gehört unter anderem die Implementierung von Standardvertragsklauseln und zusätzlichen Schutzmaßnahmen, um sicherzustellen, dass der Zugriff auf Daten im Einklang mit den europäischen Datenschutzgesetzen erfolgt. Microsoft informiert betroffene Kunden, wenn eine Anfrage von US-Behörden eingeht, sofern dies gesetzlich zulässig ist.
Soweit hierzu. Ich habe mich bisher in meiner ganzen IT-Laufbahn sowie im Rahmen meiner publizistischen Tätigkeit sowie in diesem Blog nie zu Compliance-Themen geäußert, sondern mich auf technologische Themen beschränkt, wenngleich ich eine persönliche Meinung dazu habe. Wer mag, darf gerne über die Kommentarfunktion mit mir diskutieren oder mich bei diesbezüglichen Beratungsbedarf direkt kontaktieren.
MS-Datacenter von innen
Bevor wir einen detaillierten Blick in ein virtuelles Rechenzentrum werfen, möchte ich Ihnen noch eine nützliche Dokumentation ans Herz legen. Es handelt sich das Handbuch zur Azure Sicherheit. Wie oben erwähnt hat Azure-Sicherheit viele Aspekte auf unterschiedlichen Ebenen. Sie finden in diesem Ratgeber sowohl Sicherheitsleitfäden für jede Phase Ihrer Cloudmigration als auch den Einstieg in die jeweiligen Dokumentationen zu vielen Sicherheitsdiensten und Funktionen wie „Defender für Cloud“, „Defender für Cloud Apps“, „Defender für Identity“ usw..
Details zu Aufbau, Organisation und Betrieb der Rechenzentren beispielsweisen finden Sie in der Einführung in die Azure-Sicherheit im Abschnitt „Azure platform and infrastructure / infrastructure security /physical security“.
Nun aber rein ins virtuelle Rechenzentrum. Den Eingang finden Sie unter der Adresse https://datacenters.microsoft.com/tour/
Hier können Kunden die Infrastruktur und das Rechenzentrumsdesign von Microsoft erkunden können. Jedes Rechenzentrum enthält Tausende von Servern, die rund um die Uhr laufen. Das umfangreiche Netzwerk sicherer Rechenzentren in Dutzenden von Ländern stellt sicher, dass die gewünschten Dienste stets in der Nähe Ihres Zugriffs auf die Cloud liegen.
Ein Highlight der Tour bietet einen Einblick in die Zukunft des Cloud Computing in Form des „Innovationsraums“. Eine der erwähnenswertesten Innovationen besteht z. B. in Microsofts Konzept der „Nullwasserkühlung“, was den Wasserverbrauch bei der Kühlung von Rechenzentren durch fortschrittliche Technologien vermeidet.
Starten Sie Ihre Tour also wie im richtigen Leben in der Lobby.
Von dort aus geht es in den „Operations Room“.
Relativ neu dabei ist die Integration eines virtuellen Assistenten, der vom Dienst Azure OpenAI unterstützt wird und Ihnen direkt Fragen beantworten kann. Der KI-Assistenten begrüßt Sie beim Start ihrer Rechenzentrum-Tour und begleitet Sie in dabei in Echtzeit. Fragen Sie beispielsweise nach Nachhaltigkeitspraktiken für die Microsoft Cloud-Infrastruktur, Luftkühlungstechnologien, Rechenzentrumssicherheit, Ausfallsicherheitsfunktionen oder die globale Reichweite.
Ich habe den AI-Kollegen exemplarisch nach dem Konzept der „Nullwasserkühlung“ gefragt. Hier die Antwort:“ Das Konzept der Nullwasserkühlung bei Microsoft bezieht sich auf innovative Kühltechnologien, die den Wasserverbrauch in Rechenzentren eliminieren. Microsoft führt seit August 2024 neue Rechenzentrumsdesigns ein, die für die Kühlung kein Wasser mehr benötigen. Microsoft setzt dabei auf Technologien wie direkte Chip-Kühlung und optimierte Temperaturregelungen, die es ermöglichen, Außenluft für die Kühlung zu nutzen, ohne Wasser zu verbrauchen.“.
Werfen wir nun einen Blick auf die „Mechanical Area“ im Freien, um dort beispielsweise die aktuellen Kühltechnologien zu erkunden. Das Thema „Power and Cooling“ wird beispielsweise auch durch ergänzendes Videomaterial unterstützt.
Zum Schluss besuchen wir noch einen Serverraum.
Auch hier finden Sie an zahlreichen Positionen ergänzendes Videomaterial …
… oder Detailansichten, z. B. auf die Server-Blades:
Nun möchte ich Ihnen die weitere Richtung nicht vorkauen. Bei Interesse erkunden Sie das virtuelle Rechenzentren nach eigenem Ermessen.