התחייבויות הדיגיטליות של Microsoft באירופה

הקשר של Microsoft עם לקוחותיה מבוסס על אמון. בזמנים של חוסר ודאות גיאופוליטית, אנחנו רוצים להראות לאירופה את המחויבות שלנו לספק יציבות דיגיטלית. בהתבסס על ההיצע הרחב של פתרונות ריבונות של Microsoft, רצינו להפגין את התמיכה היציבה ואת המנהיגות שלנו בעזרת חמש מחויבויות נוספות.

לקוחות Microsoft באירופה אינם צריכים לנקוט פעולה כלשהי ויכולים לנצל את קבוצת היכולות המקיפה הזמינה כעת באזורי הענן שלנו המתארחים באירופה. מחויבות החוסן הדיגיטלי של Microsoft משולבת בחוזים עם ממשלות לאומיות באירופה ועם הנציבות האירופית כדי שמחויבות זו תחייב באופן משפטי את Microsoft Corporation ואת כל חברות הבת שלה.

ל- Microsoft יש יכולות ריבונות רבות שכבר זמינות באירופה. ‏Microsoft Cloud for Sovereignty הפך לזמין לכלל המשתמשים בדצמבר 2023 בכל אזורי Azure. זה אומר שללקוחות ממשלתיים ומפוקחים באירופה (ובעולם) יש כעת אפשרות לפרוס את Azure עם תכונות ריבונות מופעלות. יתר על כן, גבול הנתונים של Microsoft באיחוד האירופי עבור הענן של Microsoft יושם באופן מלא בפברואר 2025. מיקום הנתונים המתקדם של Microsoft 365 כבר זמין בצרפת, גרמניה, איטליה, נורווגיה, פולין, ספרד, שווייץ, שוודיה ובריטניה, עם מיקומים גיאוגרפיים עתידיים של אזורים מקומיים באוסטריה, בדנמרק וביוון. נמשיך להרחיב את שירותי הענן שלנו כדי לשפר את השקיפות והשליטה עבור הלקוחות שלנו. מידע נוסף יפורסם בעתיד.

‏Microsoft סבורה שהצעות הענן הציבורי שלנו יכולות לתת מענה לדרישות הריבונות של רוב הלקוחות.  עם הזמן יצרנו מערך חזק של יכולות ריבונות ב- Azure, כולל גבול הנתונים האירופי, Microsoft Cloud for Sovereignty ומחשוב סודי.  רשימה זו כוללת עכשיו את המחויבות שלנו לספק לקבוצה של שותפים אירופיים את הזכויות להשתמש בקוד שלנו אם יהיה צורך בכך כדי להבטיח המשכיות תפעולית.  ‏Bleu ו- Delos Cloud, עם זאת, הם מופעים נפרדים של שירותי הענן של Microsoft הפועלים במרכזי נתונים ריבוניים בענן המופעלים על-ידי שותפים מקומיים עצמאיים בצרפת ובגרמניה, מחוץ לענן הציבורי.  הם מיועדים ללקוחות מסוימים שעומדים בקריטריוני הזכאות ועליהם לעמוד בדרישות הלאומיות המיוחדות, כגון הפעלה תחת השליטה של השותפים המקומיים ועמידה בדרישות SecNumCloud בצרפת ובדרישות פלטפורמת הענן של גרמניה.

בשנה שעברה הכרזנו על עקרונות הגישה לבינה מלאכותית שמבטיחים גישה פתוחה לפלטפורמה שלנו לבינה מלאכותית ולענן עבור מגוון מודלים עסקיים, בקוד פתוח וגם בקוד קנייני, ונמשיך להרחיב את ההתחייבויות האלה בחודשים הקרובים.

‏Microsoft מספקת תובנות נרחבות של ספקים חיצוניים באמצעות אישורי תאימות וביקורות בלתי תלויות. הצעות הענן המסחריות של Microsoft כוללות את אחד ממערכי התאימות הרחבים ביותר בתעשייה ביותר - מעל 100 הצעות תאימות גלובליות, המבוקרות על-ידי ספקים חיצוניים עצמאיים. Microsoft עוברת הערכות קבועות לעמידה בתקנים כגון ISO/IEC 27001 (ניהול אבטחת מידע), ISO/IEC 27017 (אבטחת ענן), ISO/IEC 27018 (פרטיות בענן), וכן אישורי SOC 1,‏ SOC 2,‏ SOC 3 על-ידי מבקרים עצמאיים. באירופה, Azure אושר לתוכניות כמו קטלוג בקרות תאימות של מחשוב ענן (C5) בגרמניה, והוא תואם לתקנות האיחוד האירופי (כגון GDPR, עם דוחות ביקורת הזמינים במרכז יחסי האמון של Microsoft). ‏Microsoft מפרסמת דוחות ביקורת ותיעוד בנושא תאימות בפורטל Service Trust שלה לעיון על-ידי הלקוחות. ביקורות אלה של ספקים חיצוניים מוודאות שהבקרות של Azure פועלות ביעילות ושהלקוחות יקבלו פלטפורמת ענן מאובטחת תואמת. לקבלת מידע נוסף.

אסטרטגיית הגמישות המקיפה של Microsoft מתפרסת על תשתית גלובלית שאין לה תקדים, נתמכת בארכיטקטורת שירות עמידה בפני תקלות וכוללת תכנון חזק להתאוששות לאחר אסון - ומאפשרת ללקוחות לתכנן זמינות גבוהה. ארגונים בעלי עומסי עבודה החיוניים לעסק יכולים ליהנות מאמצעי ההגנה של Microsoft על המהימנות, כגון אזורי זמינות, אזורי יתירות גיאוגרפית ותוכניות המשכיות שנבדקו באופן קפדני, דבר שמפחית את הסיכון לבעיות טכניות. 

בנוסף, כדי לתת מענה לסיכון להפרעה בשירות עקב בעיות גיאו-פוליטיות, Microsoft מציבה שותפים אירופיים ייעודיים עם תכנון להמשך התפעולי במקרה הלא סביר ש- Microsoft תידרש אי פעם על-ידי בית משפט להשעות שירותים.  בהמשך נשתף על כך מידע נוסף.

הכרזה זו מתמקדת בהשקעות שלנו באירופה. נמשיך להשקיע במתן מענה לצרכים של הלקוחות שלנו ברחבי העולם ונבצע השקעות ספציפיות לאזור ולמדינה בהתאם לצורך. Microsoft מחויבת לציית לכל החוקים והתקנות החלים בשווקים שאנו מפעילים.

באפשרותך להחליט היכן יישמר תוכן הלקוח שלך על-ידי בחירת האזור הגיאוגרפי לקבלת שירותים. לדוגמה, ל- Azure יש תשתית גלובלית עם יותר אזורים מכל ספק אחר (מעל 60 ברחבי העולם, כולל רבים באירופה), המספקת לך גמישות בבחירת מיקום נתונים. Microsoft לא תאחסן או תעבד את הנתונים שלך מחוץ לאזור/מיקום גיאוגרפי: מיקום נתונים ב- Azure‏Microsoft לא תאחסן או תעבד את הנתונים שלך מחוץ לאזור/למיקום הגיאוגרפי שתציין ללא הרשאה. תוכן הלקוח נשאר בתוך אזור Azure שנבחר (או באזור הגיאוגרפי) אלא אם כן תאפשר באופן מפורש שכפול למיקומים אחרים לצורך יעילות או אם הדבר נדרש לפי חוק. לדוגמה, אם תבחר אזור Azure באיחוד האירופי, Microsoft תשאיר את הנתונים שלך באזור זה. עבור Microsoft 365, ללקוחות זכאים יש אפשרות לבחור היכן הנתונים שלהם ממוקמים באמצעות ההרחבה 'מיקום נתונים מתקדם של Microsoft 365'. 

Microsoft Azure משתמשת באלגוריתמים קריפטוגרפיים חזקים לפי תקן התעשייה. עבור נתונים במנוחה, Azure משתמשת בהצפנת AES של 256 סיביות עבור כל נתוני לקוח המאוחסנים בענן. AES-256, אחד מהצפנים החזקים ביותר, משמש בשירותים כמו Azure Storage‏, SQL Database,‏ Azure Key Vault ועוד, ועומד בתקני ההצפנה FIPS 140-2. לנתונים בתנועה, Microsoft משתמשת בפרוטוקולי TLS ‏(Transport Layer Security) העדכניים ביותר. ‏Azure Front Door תומך ב- TLS 1.2 (ותומך ב- TLS 1.3) לתקשורת, תוך שימוש בחבילות צופן חזקות, כדי להבטיח הצפנה של נתונים במעבר עם הצפנה סימטרית של 256 סיביות לפחות והחלפה של מפתחות מודרניים.

‏Microsoft מציעה אפשרויות חזקות לניהול מפתחות הצפנה והגנה עליהם ב- Azure. כברירת מחדל, כל שירותי Azure משתמשים בהצפנה חזקה ובמפתחות המנוהלים על-ידי Microsoft כדי להגן על נתוני הלקוחות במנוחה. עם זאת, ללקוחות הזקוקים לשליטה רבה יותר יש אפשרויות בחירה מרובות: באפשרותך להשתמש במפתחות המנוהלים על-ידי לקוחות (CMK) המאוחסנים ב- Azure Key Vault עבור שירותים כגון Azure Storage‏, Azure SQL‏, Azure Cosmos DB וכן הלאה, כדי לשלוט במדיניות רוטציה וגישה עבור המפתחות שלך. אפשר גם לבחור שירות Azure Key Vault HSM מנוהל, שמספק לך מודולים ייעודיים של אבטחת חומרה (עם אישור FIPS 140-2 ברמה 3) לאחסון מפתחות שאתה שולט בהם בלבד. בנוסף, Azure תומך בתרחישי 'הבא את המפתח שלך' ובתרחישים של מפתחות שסופקו על-ידי הלקוח, כדי לאפשר לך ליצור מפתחות מקומיים או ב- HSM חיצוני ולהשתמש בהם בענן. 

לא. הענן של Microsoft נועד למנוע גישה לתוכן של לקוחות על-ידי צוות Microsoft ללא הרשאת הלקוח. כברירת מחדל, למהנדסי Microsoft יש "אפס גישה קבועה" (ZSA) לנתוני לקוחות - אין להם הרשאות ניהוליות קבועות כדי לצפות בתוכן שלך. אם אנשי הצוות של Microsoft יצטרכו לגשת לתוכן של לקוחות כדי לפתור בעיה, עליהם לעבור תהליך קפדני של בקשת גישה Just-in-Time הדורש לקבל אישור מהלקוחות (עבור שירותים מסוימים דרך כספת לקוח) או אישור ניהולי, וכל גישה מוגבלת בזמן, מתועדת במלואה ומבוקרת. פקדים אלה מבוקרים באופן קבוע (לדוגמה, כחלק מ- SOC 2 ואישורים אחרים) כדי להבטיח את התאימות של Microsoft.

מידע על בקשות נתונים של לקוחות ולעקרונות של Microsoft להגנה על נתוני לקוחות, כולל שאלות נפוצות נוספות, זמין בדוח: Government Requests for Customer Data Report | Microsoft CSR.

‏Microsoft עוזרת לך לעמוד בדרישות ההגנה על נתונים באמצעות תשתית ענן מאובטחת משלב התכנון ושירותים נרחבים המוכללים באבטחה. מרכזי הנתונים וארכיטקטורת הרשת של Azure מתוככנים כדי לתת מענה לצרכים של הארגונים עם רגישות האבטחה הגבוהה ביותר. ‏Microsoft משתמשת בבקרות אבטחה מרובות-שכבות ובעקרונות אפס אמון, ומציעה מחשוב סודי של Azure כדי להגן על נתונים בשימוש (כך שמפעילי הענן אינם יכולים לגשת לנתונים שלך במהלך העיבוד). בנוסף, Microsoft מספקת מגוון רחב של כלי אבטחה (יותר מ- 200 תכונות אבטחה, תאימות ופיקוח) כדי להגן על אפליקציות ונתונים. לדוגמה, כל הנתונים מוצפנים במנוחה ובתנועה כברירת מחדל, ו- Microsoft מנטרת ברציפות איומים, תוך מינוף של יותר מ- 65 טריליון אותות אבטחה מדי יום כדי לזהות סיכונים מתפתחים ולהגיב עליהם במהירות. מערך התאימות של Microsoft (עם יותר מ- 100 אישורים) ושיטות האבטחה החזקות שלה עוזרות ללקוחות לעמוד בהתחייבויות שלהם לרגולציה ולהגנה על נתונים ב- Microsoft Cloud.

‏Microsoft מספקת הנחיות למסגרת ארכיטקטונית בתרחישי ניוד וריבוי שירותי ענן. ‏Microsoft Azure תואם במיוחד לטכנולוגיות קוד מקור, כך שיהיה פשוט לעצב את האפליקציה עם רכיבים ניידים. לדוגמה, אפשר להשתמש בשמירה בגורמים מכילים ובתיאום באמצעות Azure Kubernetes Service ‏(AKS), או להשתמש במסדי נתונים כמו PostgreSQL/MySQL ב- Azure, שניתן לנייד אותם מכיוון שהם משתמשים במנועים סטנדרטיים. מומלץ להשתמש בתבניות תשתית כְּקוד (IaC) (תבניות Azure Resource Manager או Terraform) כדי להגדיר את הסביבה שלך באופן נייד. ‏Azure משתלב גם עם כלי CI/CD כגון GitHub שפועלים במגוון עננים. שירותים היברידיים ושירותים עם מספר עננים כגון Azure Arc ו- Azure Local, יכולים לעזור לך לפרוס שירותים של Azure באופן מקומי או בעננים אחרים, כדי להבטיח עקביות ולאפשר ניוד של עומסי עבודה.

כן – Microsoft תומכת בהעברה או העתקה של הנתונים שלך מתוך שירותי הענן של Microsoft ליעדים חיצוניים. Microsoft אינה מציבה הגבלות טכניות על העברת הנתונים שלך מהענן שלה. בכל שלב, יש לך אפשרות לאחזר את כל נתוני הלקוח שלך מ- Azure, כולל נתונים הקשורים לשירותי Microsoft כגון Microsoft 365, באמצעות מנגנונים רגילים. ‏Azure מספק תכונות כגון שירותי ייצוא נתונים, Azure Data Box (עבור העברות נתונים בקנה מידה של פטה-בית באמצעות שליחת חומרה) ואפשרויות רשת במהירות גבוהה (לדוגמה, Azure ExpressRoute או VPN) כדי לסייע בהעברת נתונים לסביבות אחרות. כמו כן, Microsoft אינה דורשת הודעה מראש או הרשאות מיוחדות כדי להוציא את הנתונים שלך - באפשרותך ליזום העברות לפי דרישה ו- Microsoft מציעה יציאת נתונים בחינם לסביבה מקומית או לספק ענן אחר. בנוסף, Microsoft מחויבת בחוזים להבטיח שללקוחות יש אפשרות לחלץ את הנתונים שלהם ושהם יימחקו מהענן של Microsoft לאחר עזיבתם (בהתאם להתחייבויות הגנת הנתונים).