Sicherheit und Integrität

Online bearbeiten

Unterstützt IBM® Storage Protect Microsoft™ 365 for Cloud die Datendeduplizierung und -komprimierung?

IBM Storage Protect for Cloud Microsoft 365 wendet eine Standard-ZIP-Komprimierung auf Daten an. Obwohl unsere DAT-Dateien Deduplizierungsalgorithmen unterstützen können, unterstützen wir derzeit keine Deduplizierung auf Blob-Speicher, da dies ein physisches/virtuelles Speichersystem erfordert, das nicht so kosteneffizient ist wie Azure Cold Storage. Da unsere Sicherungsdaten verschlüsselt sind und der Verschlüsselungsschlüssel dynamisch ist, ist die Deduplizierungsleistung möglicherweise nicht optimal.

Mein Unternehmen plant die Verwendung des Features "Kundenschlüssel" in Microsoft 365, sodass wir unsere eigenen Verschlüsselungsschlüssel für unsere Daten in Microsoft 365steuern können. Werden diese Daten von IBM Storage Protect for Cloud Microsoft 365 gesichert und zurückgeschrieben, wenn sie aktiviert sind?

Die Kundenschlüsselfunktion in Microsoft 365 verschlüsselt die ruhenden Daten in Microsoft 365, was bedeutet, dass Microsoft nicht auf diese verschlüsselten Daten zugreifen kann. IBM Storage Protect for Cloud Microsoft 365 verwendet jedoch Benutzerberechtigungsnachweise oder App-Profile, um mit einer API auf Kundendaten zuzugreifen, genau wie der Endbenutzer, der auf das Szenario zugreift, in dem die Daten mit echten Inhalten entschlüsselt werden. Daher ist der Sicherungs-und Wiederherstellungsservice nicht betroffen. Weitere Informationen finden Sie unter „Übersicht über Kundenschlüssel“ auf der Microsoft-Website.

Sind Sicherungsdaten unveränderlich?

Ja, IBM Storage Protect for Cloud stellt sicher, dass Sicherungsdaten unveränderlich sind, und wir verwenden verschiedene Maßnahmen, um den Zugriff zu schützen und zu steuern, damit die Sicherungsdaten immer verschlüsselt werden:
  • Verschlüsselung: Sicherungsdaten werden mit eindeutigen Schlüsseln für jeden Tenant verschlüsselt. Alle Daten werden während der Übertragung mit TLS verschlüsselt. 1.2/1.3 und IBM verwenden ausschließlich offiziell unterstützte APIs, die verschlüsselte Verbindungen für Backups aufrechterhalten. Ruhende Daten werden standardmäßig mit einem von IBMverwalteten Schlüssel gesichert, obwohl Kunden ihre eigenen Schlüssel verwenden können.
  • Speicherisolierung: IBM bietet Kunden die Möglichkeit, ihre Daten innerhalb einer einzigen Region zu isolieren, unterstützt Multi-Geo-Konfigurationen und bietet kundeneigenen Speicher. Dadurch wird sichergestellt, dass die Daten innerhalb der Region physisch isoliert bleiben und niemals über die Regionen der Rechenzentren hinweg repliziert werden.
  • Logische Isolierung: IBM Storage Protect for Cloud ist von Ihrer Produktionsumgebung getrennt. Es umfasst delegierte Verwaltungs-und rollenbasierte Zugriffskontrollen, um zu verhindern, dass nicht berechtigte Benutzer Sicherungen ändern oder löschen.
  • Unveränderlicher Speicher : Auf Sicherungsdatenkopien kann nicht direkt über die Produktbenutzerschnittstelle oder API zugegriffen werden und sie können weder durch privilegierte noch durch nicht privilegierte Benutzer der Plattform beeinträchtigt werden. Daten können nur exportiert, in die Produktion zurückgeschrieben oder unzulässig gelöscht werden, wenn eine vordefinierte Datenaufbewahrungsrichtlinie erfüllt ist.

    Unter bestimmten Umständen können Kunden das manuelle Löschen von Daten über den IBM Support anfordern, was eine Überprüfung erfordert. IBM ermöglicht es berechtigten Administratoren auch, DSAR (Data Subject Access Request) zu verarbeiten, indem personenbezogene Daten wie angefordert aus den Systemen entfernt werden. Der DSAR kann auch vollständig innerhalb unserer Plattform für ein zusätzliches Schutzniveau deaktiviert werden.

  • Ransomware Protection:IBM Storage Protect for Cloud lernt aus Ihren Sicherungen und warnt Sie vor ungewöhnlichen Aktivitäten, die auf einen Kompromiss oder eine Ransomware-Attacke hinweisen könnten. Wiederherstellungspunkte vor dem Vorfall sind eindeutig identifiziert und Alerts können so konfiguriert werden, dass sie Administratoren erreichen, um die Auswirkungen eines Verstoßes zu minimieren.

Wie werden Daten nach einem Datenlöschvorgang gemäß der DSGVO behandelt?

Der Prozess kann in zwei Szenarien unterteilt werden:
  • Löschen eines gesamten Objekts – Bei diesem Szenario wird ein Objekt vollständig entfernt, z. B. ein Postfach oder OneDrive. Das gesamte Objekt wird zusammen mit allen zugehörigen Daten dauerhaft gelöscht.
  • Löschen einzelner Elemente – Bei diesem Szenario werden bestimmte Elemente wie Dateien oder Dokumente entfernt. Die Indexeinträge, die mit diesen einzelnen Elementen verknüpft sind, werden dauerhaft gelöscht, um sicherzustellen, dass die Daten zerstört und nicht wiederherstellbar sind.