Přeskočit navigaci

Rezidence dat v Azure

Azure má více globálních oblastí než jakýkoli jiný poskytovatel cloudu a nabízí možnosti škálování a rezidence dat nutné k tomu, aby se vaše aplikace po celém světě dostaly blíž k uživatelům.

Jako zákazník si ponecháte vlastnictví zákaznických dat, tj. obsahu, osobních údajů a dalších dat, která poskytnete k uložení a hostování ve službách Azure. Máte také kontrolu nad případnými dalšími zeměpisnými oblastmi, ve kterých se rozhodnete nasadit svá řešení nebo replikovat svá data.

Níže najdete podrobnosti o funkcích služeb, které vyžadují globální replikaci dat.

  • Microsoft k zabezpečení vašich dat využívá několik vrstev zabezpečení a šifrovacích protokolů. Získejte přehled o tom, jak Microsoft využívá šifrování k zabezpečení vašich dat.

    Vaše data ve výchozím nastavení chrání klíče spravované Microsoftem a zákaznická data uložená na fyzických médiích se vždy šifrují s využitím šifrovacích protokolů kompatibilních se standardem FIPS 140-2. Zákazníci můžou ke zvýšení ochrany dat využít také klíče spravované zákazníkem (CMK), dvojité šifrování nebo moduly hardwarového zabezpečení (HSM).

    Veškerý přenos dat mezi datacentry je chráněný s využitím standardů zabezpečení IEEE 802.1AE MAC, které zajišťují ochranu před fyzickými útoky typu man-in-the-middle. Pro zachování odolnosti Microsoft využívá různé síťové cesty, které někdy překračují hranice geografických zón, ale replikace zákaznických dat mezi oblastmi se vždycky přenáší přes šifrovaná síťová připojení.

    V zájmu minimalizace rizika porušení ochrany osobních údajů Microsoft navíc generuje pseudonymní identifikátory, které mu umožňují nabízet globální cloudové služby (včetně provozu a vylepšování služeb, fakturace a ochrany před podvody). Podle pseudonymních identifikátorů není možné přímo identifikovat jednotlivce a přístup k zákaznickým datům, která identifikují jednotlivce, je vždy chráněný výše uvedeným způsobem.

  • Všechny služby Azure je možné používat v souladu s nařízením GDPR. Pokud se zákazníci využívající služby Azure rozhodnou přenést obsah obsahující osobní údaje přes hranice, musí zvážit zákonné požadavky, které se na takové přenosy vztahují. Microsoft nabízí zákazníkům služby a prostředky, které jim pomůžou splnit požadavky vyplývající z nařízení GDPR, které se můžou vztahovat na jejich operace.

    Některé online služby Microsoftu sdílejí data s třetími stranami, které fungují jako jejich dílčí zpracovatelé. Veřejně dostupný seznam dílčích zpracovatelů pro služby Microsoft Online Services obsahuje seznam dílčích zpracovatelů, kteří mají oprávnění ke zpracování zákaznických dat nebo osobních údajů. Všichni tito dílčí zpracovatelé jsou smluvně zavázáni k dodržování nebo přesahování smluvních závazků Microsoftu vůči jeho zákazníkům.

    Microsoft neposkytne třetím stranám (a) přímý, plošný ani neomezený přístup k zákaznickým datům; (b) šifrovací klíče platformy používané k zabezpečení dat ani možnost šifrování rozluštit; (c) přístup k datům, pokud Microsoft ví, že data mají sloužit k jiným účelům, než jsou uvedené v žádosti třetí strany. Další informace o přístupu Microsoftu k zákonnému zveřejňování zákaznických dat v souvislosti s požadavky státních institucí najdete tady.

Většina služeb Azure umožňuje určit oblast, ve které se budou ukládat a zpracovávat data zákazníků. Microsoft může data zákazníků replikovat do dalších oblastí za účelem zajištění jejich odolnosti, ale nebude je ukládat ani zpracovávat mimo vybranou geografickou oblast. Vy a vaši uživatelé můžete přesouvat a kopírovat data zákazníků a přistupovat k nim z jakéhokoli umístění po celém světě.

Další informace o umístění zákaznických dat

Ukládání dat pro regionální služby

Většina služeb Azure se nasazuje regionálně a umožňuje zákazníkům určit oblast, ve které se služba nasadí. Mezi příklady takových služeb Azure patří virtuální počítače, úložiště a SQL Database. Úplný seznam regionálních služeb najdete na stránce Dostupné produkty v jednotlivých oblastech.

Microsoft nebude bez vaší autorizace ukládat ani zpracovávat data zákazníků mimo zákazníkem určenou geografickou oblast.

Microsoft může kopírovat data zákazníků mezi oblastmi v rámci dané geografické oblasti za účelem zajištění redundance dat a z dalších provozních důvodů. Například geograficky redundantní úložiště replikuje data objektů blob, souborů front a tabulek mezi dvěma oblastmi ve stejné geografické oblasti za účelem zvýšení odolnosti dat v případě velké havárie datacentra.

Zaměstnanci Microsoftu (včetně dílčích zpracovatelů), kteří sídlí mimo příslušnou geografickou oblast, mohou vzdáleně provozovat systémy zpracování dat v dané geografické oblasti, ale bez vaší autorizace nebudou mít přístup k zákaznickým datům.

Následující služby mohou ukládat nebo zpracovávat konkrétní data mimo určenou geografickou oblast:

  • Služby Azure Cloud Services, které zálohují softwarové balíčky pro nasazení webové role a role pracovního procesu v USA bez ohledu na oblast nasazení.
  • Služba Language Understanding, která může ukládat data aktivního učení v USA, Evropě nebo Austrálii v závislosti na oblastech vytváření, které zákazník používá. Další informace
  • Služba Azure Machine Learning, která může ukládat nestrukturovaný text poskytnutý zákazníkem (např. názvy pracovních prostorů, skupin prostředků, experimentů, souborů nebo imagí) a parametry spouštění experimentů neboli metadata experimentů v USA pro účely ladění.
  • Služba Azure Databricks, která ukládá údaje o identitách, konkrétní názvy tabulek a informace o cestě k objektům ve Spojených státech.
  • Sériová konzola Azure, která ukládá všechna zákaznická neaktivní uložená data v geografické zóně zvolené zákazníkem, ale při použití prostřednictvím webu Azure Portal může zpracovávat příkazy a konzoly a odezvy mimo tuto geografickou zónu výhradně pro účely zajištění prostředí konzoly v rámci tohoto portálu.
  • Azure Purview ukládá konkrétní názvy tabulek a informace o cestách k souborům a objektům ve Spojených státech.
  • Verze Preview, beta verze a jiné předběžné verze služeb, které obvykle ukládají data zákazníků v USA, ale můžou je ukládat i globálně.

Zákazníci můžou následující služby, úrovně nebo plány Azure nakonfigurovat tak, aby ukládaly data zákazníků pouze v jedné oblasti:

1Rezidence dat v jedné oblasti se ve výchozím nastavení aktuálně poskytuje jenom v oblasti Jihovýchodní Asie (Singapur) v geografické zóně Asie a Tichomoří a v oblasti Brazílie – jih (stát Sao Paulo) v geografické zóně Brazílie. Pro všechny ostatní oblasti se zákaznická data ukládají v příslušné geografické zóně.

2Rezidence dat v jedné oblasti se ve výchozím nastavení aktuálně poskytuje jenom v oblasti Jihovýchodní Asie (Singapur) v geografické zóně Asie a Tichomoří. Pro všechny ostatní oblasti se zákaznická data ukládají v příslušné geografické zóně.

3Funkce umožňující povolit ukládání zákaznických dat v jedné oblasti je aktuálně k dispozici jenom v oblasti Jihovýchodní Asie (Singapur) v geografické zóně Asie a Tichomoří a v oblasti Brazílie – jih (stát Sao Paulo) v geografické zóně Brazílie. Pro všechny ostatní oblasti se zákaznická data ukládají v příslušné geografické zóně.

4V případě Azure Databricks se údaje o identitách, konkrétní názvy tabulek a informace o cestě k objektům ukládají ve Spojených státech. Možnost povolit ukládání všech ostatních zákaznických dat v jedné oblasti je aktuálně k dispozici jenom v oblasti Jihovýchodní Asie (Singapur) v geografické zóně Asie a Tichomoří a v oblasti Brazílie – jih (stát Sao Paulo) v geografické zóně Brazílie. Pro všechny ostatní oblasti se zákaznická data ukládají v příslušné geografické zóně (v souladu se zmíněnou výjimkou).

5ZRS Classic, GRS/RA-GRS a GZRS/RA-GZRS ukládají data ve více oblastech.

6V případě Azure Purview se konkrétní názvy tabulek a informace o cestách k souborům a objektům ukládají ve Spojených státech. S výhradou výše uvedené výjimky je v současné době ve všech geografických oblastech k dispozici možnost povolit ukládání všech ostatních údajů o zákaznících v jedné oblasti.

Úložiště dat pro neregionální služby

Některé služby Azure neumožňují zákazníkům určit oblast, ve které se služba nasadí. Pokud není uvedeno jinak, tyto služby můžou ukládat nebo zpracovávat data zákazníků v jakémkoli datacentru Microsoftu.

  • Služba Azure Content Delivery Network, která poskytuje globální službu ukládání do mezipaměti a ukládá data zákazníků v okrajových umístěních po celém světě.
  • Služba Azure Active Directory (Azure AD), která může ukládat data Azure AD globálně. To se netýká nasazení služby Azure AD v USA (kde se data Azure AD ukládají výhradně v USA) a v Evropě (kde se data Azure AD ukládají v Evropě nebo v USA). Další informace
  • Služba Azure Multi-Factor Authentication, která ukládá ověřovací data v USA. Další informace
  • Služba Azure Security Center, která může ukládat kopie dat zákazníků souvisejících se zabezpečením a shromážděných z prostředků zákazníků nebo k nim přidružených (např. virtuální počítač nebo tenant Azure AD):

    (a) ve stejné geografické oblasti jako daný prostředek, kromě geografických oblastí, ve které Microsoft ještě nenasadil Security Center (v takovém případě se kopie těchto dat budou ukládat v USA).

    (b) v případě, že Security Center ke zpracování těchto dat využívá jinou službu Microsoft Online Services, může tato data ukládat v souladu s pravidly geografické polohy této jiné online služby.

  • Služby, které poskytují globální služby směrování a samy o sobě nezpracovávají nebo neukládají data zákazníků. Patří mezi ně služba Azure Traffic Manager, která zajišťuje vyrovnávání zatížení mezi různými oblastmi, a Azure DNS, která poskytuje služby názvů domén směrující do různých oblastí.

Úplný seznam neregionálních služeb najdete na stránce Dostupné produkty v jednotlivých oblastech po výběru možnosti Neregionální.