Microsoft 365 Local und Sovereign Cloud: Microsoft geht neue Wege in Europa

Mit der erweiterten Microsoft Sovereign Cloud präsentiert Microsoft ein umfassendes Cloud-Angebot für europäische Organisationen, das Datenschutz, Compliance und digitale Souveränität konsequent in den Mittelpunkt stellen soll. Die Neuerungen zielen darauf ab, Unternehmen, insbesondere aus dem öffentlichen Sektor und hochregulierten Branchen mit maximaler Kontrolle über ihre Daten, Infrastruktur und Cloud-Zugriffe auszustatten, ohne dabei auf moderne Technologien verzichten zu müssen.

Announcing comprehensive sovereign solutions empowering European organizations - The Official Microsoft Blog

Today, we are taking the next step in strengthening our European Digital Commitments to empower our customers with greater choice, more control over their data privacy and the most robust digital resilience we have ever offered. Building on our 42-year history as a company in Europe, we are expanding our efforts with Microsoft Sovereign Cloud.…

The Official Microsoft BlogJudson Althoff

Kern der neuen Strategie sind drei differenzierte Betriebsmodelle: die Sovereign Public Cloud, die Sovereign Private Cloud sowie die National Partner Clouds. Ergänzt wird das Angebot durch neue Funktionen wie Microsoft 365 Local, Data Guardian, External Key Management und das zentrale Regulated Environment Management.

Die drei neuen Cloud-Modelle im Überblick

Mit der Sovereign Public Cloud integriert Microsoft Souveränitätsfunktionen direkt in die bestehende europäische Public Cloud-Infrastruktur, ohne separate Migration oder dedizierte Umgebungen. Kunden profitieren unter anderem von:

• Verarbeitung und Speicherung sämtlicher Daten ausschließlich in Europa
• Zugriffskontrolle ausschließlich durch Microsoft-Mitarbeitende mit Sitz in Europa
• Vollständiger Verschlüsselung unter Kontrolle der Kunden
• Uneingeschränktem Funktionsumfang im Vergleich zur globalen Public Cloud

Ein zentrales neues Feature ist der Data Guardian: Dieser Dienst stellt sicher, dass Zugriffe durch Microsoft-Techniker außerhalb Europas nur unter Echtzeit-Aufsicht von europäischen Fachkräften erfolgen. Sämtliche Vorgänge werden dabei manipulationssicher protokolliert.

Zusätzlich ermöglicht External Key Management die Verwendung kundeneigener kryptografischer Schlüssel, die auf lokalen Hardware Security Modules (HSMs), etwa von Thales, Utimaco oder Futurex, gespeichert sind und über Azure eingebunden werden. Die vollständige Schlüsselkontrolle verbleibt so beim Kunden.

Für Szenarien mit erhöhten Anforderungen an Sicherheit und Isolation, wie z. B. in Air-Gap-Umgebungen bietet Microsoft mit der Sovereign Private Cloud in Kombination mit Azure Local eine lokale Ausführung seiner Plattform:

• Betrieb von Azure-Workloads im eigenen Rechenzentrum oder bei zertifizierten Partnern
• Unterstützung für hybride oder vollständig isolierte Architekturen
• Einheitliches Management- und Entwicklungserlebnis analog zur Public Cloud

Ein zentrales Element dieser Architektur ist Microsoft 365 Local. Die Lösung soll es ermöglichen Organisationen, zentrale Produktivitätsdienste wie Exchange Server oder SharePoint Server in einem kundeneigenen Azure Local-Cluster zu betreiben, auf Basis einer von Microsoft validierten Referenzarchitektur.

Ob es sich dabei um eine vollständig von Microsoft verwaltete Umgebung (beispielsweise mittels Azure Arc) oder eine klassische On-Premises-Installation handelt, ist derzeit noch nicht abschließend bekannt.

In Frankreich und Deutschland setzt Microsoft auf strategische Partnerschaften für souveräne Cloud-Angebote:

• Frankreich: Mit Bleu, einem Joint Venture von Orange und Capgemini, betreibt Microsoft eine „Cloud de Confiance“, die den französischen SecNumCloud-Standards entspricht.
• Deutschland: Die Delos Cloud, eine Tochter von SAP, stellt eine souveräne Cloud-Lösung für den deutschen öffentlichen Sektor bereit – konform mit den Cloud-Plattform-Anforderungen der Bundesregierung.

Beide Umgebungen bieten vollständig lokal geführte, unabhängig betriebene Infrastrukturen mit entsprechender regulatorischer Absicherung.

Zentrale Steuerung mit Regulated Environment Management

Für die Konfiguration und Überwachung aller neuen Souveränitätsfunktionen stellt Microsoft den Dienst Regulated Environment Management bereit. Über diese zentrale Plattform lassen sich unter anderem folgende Aufgaben umsetzen:

• Richtlinienmanagement (z. B. für den Data Guardian)
• Transparente Protokollierung und Analyse von Zugriffen
• Verwaltung sicherheits- und compliance-relevanter Parameter

Weitere Details zur technischen Umsetzung und Verfügbarkeiten der Lösungen werden wir voraussichtlich im Laufe des Jahres erwarten dürfen.