Michael Catalano | Director, Product & Industries | April 10, 2023
Dieser Blogbeitrag ist Teil 2 unserer mehrteiligen Reihe zur Datensouveränität in der Cloud.
Im ersten Beitrag dieser Reihe, „Bestimmen Sie, wo Ihre Daten gespeichert werden“, haben wir die Bedeutung des Standorts in Bezug auf die Datensouveränität erörtert. Der Artikel bietet einen Überblick über die öffentlichen und dedizierten Oracle Cloud Infrastructure-(OCI-)Deployment-Modelle und die wachsende Nachfrage der Kunden nach mehr Kontrolle über den physischen Ort, an dem die Daten gespeichert werden. Für einige Kunden hängt die Notwendigkeit der Datenresidenz mit den Geschäftszielen in Bezug auf die Datenverfügbarkeit zusammen, während andere Kunden Vorschriften unterliegen, die geografische Einschränkungen vorschreiben.
Der Ort, an dem Sie Ihre Daten aufbewahren, ist letztlich nur ein Teil einer umfassenden Strategie für die digitale Souveränität. Ein weiterer zu berücksichtigender Faktor ist die Gewissheit, dass Ihre Daten auch wirklich in den von Ihnen ausgewählten physischen und logischen Umgebungen verbleiben. OCI bietet genau diese technische Sicherheit, indem Regionen gruppiert und diese Gruppen von Regionen dann durch strikte geografische Trennung und physische und logische Netzisolierung getrennt werden. Durch diese Trennung kann OCI verschiedene betriebliche Prozesse implementieren und die Datenhoheit der Kunden weiter ausbauen. In OCI bezeichnen wir diese getrennten Gruppierungen von Cloud-Regionen als Realms.
Ein Realm ist eine logische Sammlung von Cloud-Regionen, die voneinander isoliert sind und nicht zulassen, dass Kundeninhalte Realm-Grenzen zu einer Region außerhalb dieses Realms durchbrechen. Auf jedes Realm wird separat zugegriffen. OCI verfügt über mehrere Realms, darunter ein kommerzielles Public Cloud Realm, mehrere Government Cloud Realms für die USA und das Vereinigte Königreich, und die Dedicated Regions jedes Kunden sind in einem eigenen Realm enthalten. Im Laufe des Jahres 2023 wird Oracle EU Sovereign Cloud in seinem eigenen Realm von anderen Cloud-Realms getrennt existieren.
Ein Realm ermöglicht es Oracle, bestimmte Funktionen in verschiedenen Regionen bereitzustellen, die den spezifischen gesetzlichen Anforderungen der verschiedenen Unternehmensklassifizierungen entsprechen.
Die einzigartige isolierte Realm-Architektur von OCI vereinfacht und stärkt die Datenhoheit und -kontrolle, während andere Cloud-Anbieter auf kundenkontrollierte Richtlinien oder vertrauliche Datenverarbeitung setzen. OCI bietet diese Features zwar auch, doch wir vereinfachen die Governance von souveränen Clouds mit Vorgängen, Support und Richtlinien, die sich von den kommerziellen Tätigkeiten von Oracle unterscheiden können.
Sie greifen auf Cloud-Ressourcen und -Dienste über Ihre Cloud-Tenancy zu. Ihre Cloud-Tenancy ist eine sichere und isolierte Partition von OCI, die nur in einem einzigen Realm vorhanden ist. Innerhalb dieser Tenancy können Sie standardmäßig auf Dienste zugreifen und Workloads in allen Regionen innerhalb dieses Realms bereitstellen. Sie können zudem Richtlinien festlegen, um diesen Zugriff einzuschränken.
Es ist jedoch so konzipiert, dass Sie niemals auf Realms außerhalb Ihrer Tenancy zugreifen können. Wenn Sie beispielsweise eine Tenancy im kommerziellen Public Cloud-Realm von OCI haben, können Sie Workloads in einer der kommerziellen Regionen ausführen. Sie können jedoch nicht auf die EU Sovereign Cloud-Regionen von OCI zugreifen, weil diese sich in einem separaten Realm befinden.
Unabhängig davon, in welchem Deployment-Modell oder Realm sich Ihre Tenancy befindet, stellt der „Everything Everywhere“-Ansatz von Oracle sicher, dass dieselben OCI-Services unabhängig vom Realm verfügbar sind, um Ihre Cloud-Innovationsstrategien zu beschleunigen.
Sie wählen von Anfang an die Datenregion aus, in der Sie Ihre Tenancy ansiedeln. Eine Tenancy existiert standardmäßig in einem einzigen Realm und kann auf alle Regionen innerhalb dieses Realms zugreifen. Jedes Realm verfügt über eine eigene Control Plane und Data Plane, und Sie können nicht auf Regionen zugreifen, die sich nicht in Ihrem Realm befinden. Gehostete Daten verbleiben standardmäßig in den Cloud-Regionen eines Realms und können nicht in eine andere Region außerhalb dieses spezifischen Realms verschoben werden.
Oracle Kunden aus dem öffentlichen Sektor vertrauen auf die Realm-Architektur von OCI, um ihre spezifischen Sicherheits- und Compliance-Anforderungen zu erfüllen. Außerdem haben wir diese Methodik sowohl in öffentlichen als auch in dedizierten Cloud-Realms angewandt.
Für die EU Sovereign Cloud von Oracle, die 2023 in Betrieb genommen wird, besteht das Realm zunächst aus zwei Cloud-Regionen in Deutschland und Spanien. Diese Regionen sind komplett von allen anderen Oracle Cloud-Realms getrennt, einschließlich der sieben anderen kommerziellen Regionen, die bereits in der EU aktiv sind.
Wie in der folgenden Abbildung dargestellt, geht der Datenfluss (gekennzeichnet durch grüne Pfeile) nicht über die logischen Grenzen des Realms selbst hinaus und ist auf den Realm selbst beschränkt. Durch die Isolierung des EU Sovereign Cloud-Realms vom kommerziellen Public Cloud-Realm kann Oracle Support- und Betriebspersonal auf EU-Bürger beschränken, einschließlich des physischen und logischen Zugriffs auf das Realm. Die Hardware und die Assets, die für die Bereitstellung dieser Cloud-Regionen verwendet werden, befinden sich im Besitz von EU-Rechtsträgern, die von den bestehenden globalen Oracle Mandanten, einschließlich derjenigen in der EU, getrennt sind, und werden von diesen betrieben und verwaltet. Dieses Konzept bietet zusätzliche Sicherheit, dass alle Aspekte der Verwaltung und des Hostings von Daten in der EU Sovereign Cloud auch wirklich in der EU bleiben.
Lassen Sie uns jetzt über die technischen Vorteile sprechen, die ein Kunde, zum Beispiel eine Regierungsbehörde oder ein EU-Mitgliedsstaat, bei der Ausführung seiner Workloads im EU Sovereign Cloud-Realm erwarten kann.
Ein häufiges Risiko, das die EU-Mitgliedstaaten davon abhält, Workloads in die Public Cloud zu verlagern, ist der Verlust der Kontrolle über den Standort ihrer Daten. EU-Organisationen könnten Bedenken hinsichtlich des Datenflusses aus der EU oder der Replikation auf eine physische Ressource, wie einen Server oder ein Sicherungslaufwerk außerhalb der EU, und der möglichen Auswirkungen extraterritorialer Gesetze, wie z. B. des US CLOUD Act, haben.
Dank dem Oracle EU Sovereign Cloud-Realm können EU-Organisationen nun auf eine einzigartige Architektur zugreifen, die eine klare, einfache Trennung zwischen Betrieb und kommerziellen Bereichen ermöglicht, um die verschärften Compliance-Anforderungen zu erfüllen. Die technischen Mechanismen der Realm-Isolierung und -Governance sind vorhanden, um gehostete Cloud-Inhalte in der EU zu behalten.
Das EU Sovereign Cloud-Realm umfasst zum Start zwei Regionen. Sie können wählen, ob Sie in einer bestimmten Region der EU Sovereign Cloud oder in beiden Regionen arbeiten möchten, je nach Ihren spezifischen Geschäftsanforderungen. Ein Netzwerk mit niedriger Latenz zwischen den Regionen ermöglicht es, dass Anwendungen mehrere Regionen umfassen, und bietet Ausfallsicherheit, wenn eine geografische, regionsweite Katastrophe eintritt, während die gehosteten Daten trotz der Katastrophe innerhalb der EU bleiben.
So wie die Anforderungen von Unternehmen an die Datensouveränität variieren, so variieren auch die Ansätze, die sie zur Erfüllung dieser Anforderungen wählen. Für manche reicht die Möglichkeit, den geografischen Speicherort der Daten zu steuern. Andere wiederum könnten zu dem Schluss kommen, dass ihre Strategie der Datenhoheit mehr Kontrollebenen erfordert. Wie bereits in unserem letzten Beitrag erwähnt, geht es bei der Datensouveränität letztlich um den Gedanken der Kontrolle – denjenigen einen Zugang zu Daten zu ermöglichen, die ihn benötigen, und den Zugang für diejenigen zu beschränken, die das nicht tun. Die Verwendung von Realms durch Oracle fällt in die zweite Kategorie, da der Datenfluss zwischen den Bereichen verschiedener Deployment-Modelle eingeschränkt wird. Warum sollten sie verbunden werden, wenn sie nicht verbunden werden müssen?
Realms sind jedoch nur eine von vielen Optionen zur Stärkung der Souveränität. Oracle Cloud Infrastructure bietet viele Lösungen für Kunden, die eine starke Strategie zur Datensouveränität implementieren möchten, egal ob in einem öffentlichen oder einem dedizierten Cloud-Deployment.
Unser nächster Blogbeitrag dieser Reihe beschäftigt sich mit dem Zugangsmanagement. In diesem Beitrag erörtern wir, wie wichtig es ist, die Kontrolle darüber zu haben, wer auf Ihre Daten zugreifen kann, und die Verfügbarkeit und Übertragbarkeit der Daten für autorisierte Benutzer sicherzustellen. Sowohl die öffentlichen als auch die dedizierten Deployments von Oracle verfügen über Features, die diese Souveränitätsziele fördern können.
Wenn Sie Fragen zu Realms haben oder mehr über Oracle Sovereign Cloud-Lösungen erfahren möchten, wenden Sie sich an einen unserer Vertreter. Weitere Informationen zu den verschiedenen Deployment-Modellen von Oracle finden Sie in den folgenden Ressourcen: