News Cloud-PC: Windows 365 kostet ab 21,90 Euro pro Benutzer und Monat

[xexex]

Ich meine gelesen zu haben, dass das bei Microsoft auch immer eine Frage des Abos ist

Die Daten werden ja grundsätzlich verschlüsselt, aber natürlich kann im normalen Fall Microsoft dazu gezwungen werden einen Zugriff bei einem gerichtlichen Beschluss zu ermöglichen.

Content protection: Each file is encrypted at rest with a unique AES256 key. These unique keys are encrypted with a set of master keys that are stored in Azure Key Vault.
https://support.microsoft.com/en-us...he-cloud-23c6ea94-3608-48d7-8bf0-80e142edd1e1

Die Verschlüsselung auf Anbieterseite soll ja hier gegen unerlaubten Datenzugriff seitens unberechtigter schützen.

 

[cloudman]

Microsoft auch immer eine Frage des Abos ist (weiß nicht, ob das in diesem Fall auch gilt). Aber manche Funktionen wie die doppelte Verschlüsselung durch Microsoft und den Mandanten selbst meine ich gibt es erst ab einem entsprechenden Plan.

Nein - Abo ist im Grunde nicht die richtige Bezeichnung.
Aber für bestimmte Features sind die Kosten höher. Pläne gibt es nur bei Microsoft 365. Bei Azure kannst du zusammenstellen was du brauchst und das sehr granular.
Wenn dein Key nicht auf dem Server auftauchen soll verwendest du die HSM Option bei Keyvault und zahlst dann dafür mehr

 

[snaxilian]

Aber alles was über 1 Jahr hinweg geht macht doch überhaupt keinen Sinn

Herzlichen Glückwunsch, du hast heraus gefunden warum AWS, Microsoft und Co. so viel Geld verdienen und gleichzeitig so beliebt sind^^
Wenn langfristige Nutzung keinen Sinn macht: Warum kauft dann gefühlt jeder Office 365 anstatt der Kaufversion?

Ich will etwas austesten und dann wieder abreißen? -> Cloud mit pay per use.
Ich brauche gewisse Systeme nur unregelmäßig (Paradebeispiel Abrechnung je Quartal)? -> Cloud mit pay per use.
Ich brauche langfristig konstant die gleichen Ressourcen? Dann mache ich entsprechende Verträge. Der Anbieter hat Planungssicherheit und ich bekomme niedrigere Preise.

Hohe Flexibilität bei den Services. Ich rufe eine API auf und habe, was ich will. Kapazitätsplanung ist das Problem eines anderen und ich habe keine ewig langen und langsame Beschaffungsprozesse.
DAS ist einer der Gründe für den Erfolg von "der Cloud".
Niemand kann in die Zukunft blicken und deshalb ist Kapazitätsplanung eine Gradwanderung. Hält man zu wenig vor, stehen neue Mitarbeiter ohne PC da oder Server können nicht ausgerollt werden. Hält man zu viel vor, hat man PCs/Server zu viel oder zu groß dimensioniert gekauft und überspitzt gesagt Geld verschwendet.
Bei $Cloud hat man aus buchhalterischer Sicht dieses Dilemma nicht. Ja, bei konstanter Anforderung und Auslastung ist das teurer aber dann macht man eben Verträge mit langer Laufzeit bei niedrigeren Kosten und opfert die nicht notwendige Flexibilität.

Bei den ms365 VMs muss es ja auch kein ganz oder gar nicht Wechsel werden. Bei Mitarbeitern mit festem Arbeitsplatz -> eigener PC aber bei denen mit mobilem arbeiten/Homeoffice oder viel beruflicher Reisetätigkeit kann es sinnvoller sein als für diesen Teil der Mitarbeiter eine eigene VDI Farm zu betreiben. Muss man halt durchrechnen.

 

[Miuwa]

Deshalb verschlüsselt man die eigenen Daten vor dem Upload ja auch im besten Fall und gibt den private key nicht an den IaaS/SaaS Betreiber heraus.

Das hilft aber nur wenn du die Cloud als reinen Datenspeicher nutzt. Bei SaaS und IaaS willst du dir Daten ja normalerweise auch verarbeiten.

 

[snaxilian]

Bei IaaS kann ich genauso jede VM per FDE absichern und auch bei SaaS kann man oft entsprechende Verschlüsselung einsetzen, hier am Beispiel von AWS RDS. Relevant ist bei sowas halt, dass der Provider keine Kenntnis von meinem privaten Schlüssel hat oder Zugriff darauf bekommt.
Ja, das ganze wird leider sehr schnell sehr komplex und neben Betrieb der ganzen Services muss man auf einmal Wissen und Verständnis im Bereich PKI und Schlüsselverwaltung haben, wenn man dies umsetzen will oder muss.

Aber zurück zum Thema des Threads, den ms365 VMs. Offensichtlich setzt MS da nicht einmal die grundlegenden Basics an Härtungs- und Sicherungsmaßnahmen um, die Sie ihren Kunden empfehlen: https://twitter.com/gentilkiwi/status/1423206902654177280 🤦‍♂️

 

[M-X]

Find's immer amüsant, dass sich hier so viele solche Schritte von so einem "kleinen Unternehmen" wie MS nicht erklären können. Als würden da nur geistig umnachtete Leute arbeiten, die keine Ahnung haben wie der Hase läuft, aber eben mal

Und du sagst nur weil es ein großes Unternehmen ist macht es Sinn ? Das wäre nicht der erste Service der von MS gestorben ist (Windows Phone aynone ?) VDI sind absolut sinnvoll und haben ihre Nutzer, aber nicht bei den Preisen.

 

[derlorenz]

Und du sagst nur weil es ein großes Unternehmen ist macht es Sinn

Nope, das sage ich nicht. Finde nur die Überheblichkeit einige Kommentare amüsant. Sicher greift MS da ab und an auch mal daneben und über Preise kann man auch immer streiten aber grundsätzlich schlecht ist es eben nicht.

 

[Miuwa]

Bei IaaS kann ich genauso jede VM per FDE absichern und auch bei SaaS kann man oft entsprechende Verschlüsselung einsetzen, hier am Beispiel von AWS RDS. Relevant ist bei sowas halt, dass der Provider keine Kenntnis von meinem privaten Schlüssel hat oder Zugriff darauf bekommt.

Was alles völlig irrelevant ist, wenn der Betreiber zugriff auf den Arbeitsspeicher deiner VM hat.

Bei allem was du da jetzt erwähnt hast geht es darum dass Offline Daten auf der Cloud-Festplatte verschlüsselt werden. Das ist zwar besser als nichts, aber wenn Daten nicht verschlüsselt werden bevor sie dein lokales System verlassen, musst du deinem Cloudanbieter bis zu einem Gewissen Grad vertrauen, egal welche Maßnahmen er auf seiner Seite angeblich trifft. Aber wenn du das tust kann die cloud die Daten im Normalfall eben auch nicht verarbeiten, sondern nur Speichern und Verteilen, womit wir wieder bei reinem Cloud storage sind.

 

[snaxilian]

Jup, damit hast du natürlich Recht. Zum Glück gibt's Ansätze wie TRESOR oder RamCrypt um zu verhindern, dass private keys lesbar im RAM landen. Bieten diese 100%igen Schutz? Afaik nein aber es kommt halt aufs Bedrohungsszenario an. Also vor wem will und muss ich mich schützen? Anhand des Risikomodells ergeben sich Maßnahmen oder man stellt fest, dass keine Maßnahme möglich ist, dann kann man wohl keine Cloud nutzen bzw. nur da wo man volle Kontrolle übers Blech hat, zumindest bei Anbietern die unter solche rechtlichen Aspekte fallen.

 

[M-X]

Das macht doch gar keinen Sinn. Festplattenverschlüsselung hilft nur etwas wenn die Kiste offline ist. Die Daten müssen ja entschlüsselt werden damit das OS Booten kann und die Daten verarbeitet werden können. Da hilft auch RamCrypt nix.

 

[tukse]

Die Entwicklung, alles in die Cloud zu verlagern, halte ich für äußerst besorgniserregend. Sämtliche Kompetenzen werden abgegeben und irgendwann ist die Cloud nicht mehr der bequeme Weg sondern der einzig Mögliche.

 

[snaxilian]

@M-X Du nimmst einen Hypervisor deiner Wahl, ich setze eine VM mit FDE und TRESOR Kernelpatch auf, starte die VM, gebe die Passphrase ein und jetzt versuche du doch bitte vom Hypervisor aus auf die Daten der VM zuzugreifen ohne Kenntnis der Passphrase. Du musst mir nicht glauben aber als Einstieg kannst hier beim Lehrstuhl Informatik der Uni Erlangen einlesen: https://www.cs1.tf.fau.de/research/system-security-group/tresor-trevisor-armored/
Ja, der Spaß ist ein bisschen aufwendig aber nochmal: Es kommt auf den Thread Actor an vor dem ich mich bzw. meine Daten schützen will.
Ansonsten gibt's ja auch noch Intel TME/MKTME bzw. AMD SEV/SME.

@tukse Ach, Schweinezyklus und so. Cloud ist doch schon wieder out und der neueste heiße Sche*ß ist "Edge Computing", also nicht mehr irgendwo sondern nah beim Kunden/Anwender.
Die Nutzung von $Cloud nimmt einem halt viele Probleme ab. $Dinge sind sofort bei Abruf verfügbar, keine Kapazitätsplanung, keine unkalkulierbaren Investitionskosten alle x Jahre und man muss sich nicht mit Datacenter, Hardware und dessen Wartung herum ärgern. Das rechnet sich finanziell erst ab einer gewissen Größe und wenn man dies relativ statisch über einen längeren Zeitraum betreibt. Dropbox ist so ein Paradebeispiel, die irgendwann "die Cloud" verlassen haben und Kram selbst betrieben haben. IT ist halt irgendwie deren Kernaufgabe.
Bist du irgendein Industrie- oder Handelsunternehmen ist IT mehr oder weniger Mittel zum Zweck zur Erfüllung deiner Geschäftsaufgaben und wenn dies unter Einhaltung der TOM der DSGVO und ggf. anderen rechtlichen und sonstigen regulatorischen Rahmenbedingungen in irgendwelchen gemieteten Umgebungen günstiger ist: Warum sollte man dies nicht machen?

Ja, manche Kompetenzen werden abgegeben, z.B. der Betrieb von Exchange HA-Clustern aber ich kenne niemandem, der dem ernsthaft hinterher trauert^^
Genauso sind in den letzten Jahrzehnten auch andere Berufe immer seltener geworden oder existieren kaum noch. Wenn die Abhängigkeiten zu groß oder teuer werden, wird es bestimmt auch wieder komplett selbst zu hostende Lösungen geben.

 

[tukse]

Ja, manche Kompetenzen werden abgegeben, z.B. der Betrieb von Exchange HA-Clustern aber ich kenne niemandem, der dem ernsthaft hinterher trauert^^

Ja, genau darauf, wollte ich hinaus. Noch nicht. Wenn aber vielleicht irgendwann Dienste immer weiter auf die Cloud angepasst werden, könnte man, wenn die Abhängigkeit besonders groß ist, die Preisschraube schön anziehen. Da sehe ich die Gefahr.

 

[snaxilian]

Wenn aber vielleicht irgendwann [...] Da sehe ich die Gefahr.

Warum den so viel hätte wenn vielleicht und irgendwann? Guck dir doch die Ransomware-Monokultur mit Exchange-AD-Windows-Outlook-Office an und dann guck dir die Preiserhöhungen der letzten Jahre an. So what? Entweder du kannst dir als Unternehmen die steigenden Preise leisten bzw. akzeptierst diese oder du suchst dir eine Alternative.

AWS zu teuer? Gehste halt zu Azure, Alibaba, Rackspace, Netways, OVH, Hetzner, GCP wenn man 24x7 seine Zeit mit Migrationen aufgrund von API Deprecations verbingen will, IBM wenn man etwas will das es teuer und langsam ist oder Oracle wenn du wirklich ausgenommen werden willst.
So zumindest bei 0815 Anforderungen. Sobald du Herstellerspezifische Funktionen und Services nutzt, bist du im Vendor-lockin aber das ist einem von Anfang an bewusst und wer so blauäugig und dumm ist und dies ignoriert naja der muss halt Lehrgeld zahlen.

Exchange/Office on-premise wurde auch teurer, da hast du genauso eine Abhängigkeit. Ob die jetzt bei dir steht und Kopfschmerzen bereitet oder sich jemand anderes um den Betrieb kümmert, wo ist da der Unterschied in der Abhängigkeit?
Natürlich gibt es Alternativen. Ja, das erfordert vielleicht rudimentäre Flexibilität bei den Anwendern u.v.a. den Entscheidern aber solange in den Büros und Köpfen nur Outlook, Outlook und Outlook existiert und Excel als als Lösung für jedes Problem Wurzel vieler Probleme genommen wird, bleibt so eine Abhängigkeit und zwar vollkommen egal ob alle 5 Jahre einmalige (steigende) Investitionskosten oder monatliche Kosten.