Microsoft to światowy gigant IT, którego usługa Microsoft 365 jest najpopularniejszą biznesową platformą do produktywności na całym świecie. Jednak sama marka i nowoczesne centra danych nie wystarczą, aby chronić dane w Microsoft 365 przed błędem ludzkim (np. przypadkowym usunięciem danych) czy chociażby atakami złośliwego oprogramowania wspomaganego technologiami AI. Kluczem do ochrony danych jest kopia zapasowa Microsoft 365.

W tym artykule omówimy najlepsze praktyki backupu Microsoft 365. Innymi słowy, zastanowimy się, co należy wziąć pod uwagę, aby uniknąć utraty danych, zapewnić ciągłość biznesową i zgodność z przepisami oraz zyskać pewność, że sprawne przywrócenie kont użytkowników jest możliwe.

Dlaczego ochrona danych w Microsoft 365 sama w sobie jest niewystarczająca?

Przyczyny utraty danych w chmurze mogą być liczne – od prostych błędów użytkowników, aż po awarie techniczne, a nawet wyrafinowane ataki ransomware. Chociaż Microsoft zapewnia wysokiej klasy infrastrukturę i mechanizmy obronne, pełna odpowiedzialność za kopie zapasowe i bezpieczeństwo danych spoczywa wciąż na użytkownikach.

Model współdzielonej odpowiedzialności (Shared Responsibility Model)

W kontekście usług chmurowych model współdzielonej odpowiedzialności to rodzaj umowy, która definiuje obowiązki dostawcy chmury (w tym przypadku firmy Microsoft) oraz użytkowników końcowych w obszarze zabezpieczania infrastruktury chmurowej i danych w niej przechowywanych.

Microsoft jest odpowiedzialny za ochronę Twoich danych w przypadku:

  • awarii sprzętu,
  • awarii oprogramowania po stronie serwera,
  • przerwy w dostawie prądu w centrum danych,
  • klęsk żywiołowych.

Jak widać, gigant z Redmond odpowiada raczej za zapewnienie dostępności usług, a nie ciągłości biznesowej Twojej organizacji. Odpowiedzialność za ochronę danych na platformie Microsoft 365 (dawniej Office 365) w sytuacjach awaryjnych, w tym przy przypadkowym usunięciu lub całkowitej utracie danych, spoczywa na użytkowniku.

Więcej o modelu współdzielonej odpowiedzialności możesz dowiedzieć się z dokumentacji firmy Microsoft.

Natywne narzędzie do backupu Microsoft 365 z istotnymi ograniczeniami

31 lipca 2024 r. Microsoft udostępnił Microsoft 365 Backup – narzędzie do tworzenia kopii zapasowych zintegrowane z platformą M365. Rozwiązanie to oferuje na tę chwilę podstawową funkcjonalność. Ma też swoje ograniczenia, jeśli chodzi o definiowanie częstotliwości wykonywania backupu czy okresu przechowywania danych. Przechowywanie kopii w tym samym ekosystemie (chmura Azure) to kolejna wada. Co więcej, usługa ta jest płatnym dodatkiem w modelu pay-as-you-go i nie jest domyślnie włączona. Zatem krytyczne dane organizacji nie są chronione bez podjęcia niezbędnych działań przez administratorów IT.

Więcej o natywnym narzędziu Microsoft 365 Backup dowiesz się z naszego artykułu

Najlepsze praktyki, czyli jak skonfigurować kompleksowy backup dla Microsoft 365

Zatem, w jaki sposób zapewnić bezpieczeństwo danych organizacji Microsoft 365 pomimo tych niedoskonałości natywnego rozwiązania? Najlepiej skorzystać z omówionych poniżej najlepszych praktyk w celu zbudowania optymalnej ochrony przed współczesnymi cyberzagrożeniami.

Zapewnij ochronę danych dla krytycznych aplikacji Microsoft 365

Najbardziej oczywistym punktem wyjścia, jeśli chodzi o aplikacje Microsoft 365, jest główny magazyn danych organizacji. OneDrive for Business to usługa odpowiadająca za przechowywanie plików Twojej firmy w chmurze. Backup OneDrive prawdopodobnie będzie wymagał największej ilości miejsca na kopie zapasowe danych Microsoft.

Kolejną usługą, którą należy uwzględnić, jest Exchange Online, a konkretnie całe skrzynki pocztowe pracowników czy skrzynki współdzielone (shared mailbox). Można założyć, że znajduje się tam większość komunikacji firmowej. Dlatego chcesz mieć pewność, że przechowywane tam informacje będą bezpieczne.

Jeśli Twoja firma korzysta z SharePoint Online, zdecydowanie warto rozważyć backup zawartości tej usługi, w tym witryn SharePoint oraz innych typów danych, takich jak listy czy dane aplikacji Microsoft Viva.

Wskazówka: Więcej o usługach M365 przeczytasz w naszym przeglądzie aplikacji Microsoft Office 365.

Jeśli zdecydujesz się chronić krytyczne aplikacje Microsoft 365 za pomocą profesjonalnej platformy do backupu i odzyskiwania danych, takiej jak przykładowo Xopero ONE, zapewnienie kompleksowej ochrony jest dość proste. Podczas tworzenia planu backupu Microsoft 365 wystarczy użyć przełącznika obok każdej aplikacji, aby w pełni zabezpieczyć jej dane.

Wybór aplikacji Microsoft 365 (Wiadomości, OneDrive, Kontakty, Kalendarze), które chcesz zabezpieczyć za pomocą Xopero ONE.

W tym miejscu warto nadmienić, że bliskiej przyszłości planujemy dodać wsparcie dla Microsoft Teams. Wszystko po to, aby zaoferować jeszcze bardziej kompleksowe rozwiązanie do backupu Microsoft 365.

Określ ilość danych, które mają być chronione w ramach backupu

Aby wybrać odpowiedni typ magazynu do przechowywania kopii zapasowych platformy Microsoft 365, musisz najpierw określić ilość danych wymagających ochrony, zwłaszcza tych najbardziej krytycznych.

Skuteczne zarządzanie danymi jest istotne, jeżeli chcemy monitorować użycie danych przez aplikacje M365 i precyzyjnie oszacować zapotrzebowanie na miejsce przeznaczone na backup. Microsoft udostępnia kilka opcji monitorowania, takich jak na przykład raporty użycia aplikacji w Centrum administracyjnym Microsoft 365, które pozwalają zidentyfikować aktywność użytkowników oraz ilość zajmowanego przez nich miejsca w chmurze.

Procedura sprawdzania zużycia danych poprzez poszczególne aplikacji w Centrum administracyjnym Microsoft 365.

Aby oszacować wymagane miejsce, należy tydzień po tygodniu sprawdzać, ile przestrzeni zużywają użytkownicy Microsoft 365. Na podstawie tych informacji można z grubsza obliczyć, ile miejsca będzie potrzebne do wykonywania codziennych, cotygodniowych i comiesięcznych backupów.

Stosuj zasadę 3-2-1 w backupie Microsoft 365

Zasada 3-2-1 ma fundamentalne znaczenie dla bezpieczeństwa kopii zapasowych i powinna być traktowana jako kluczowy element najlepszych praktyk backupu Microsoft 365. Zakłada ona posiadanie 3 kopii danych, w 2 różnych lokalizacjach, z czego 1 kopia powinna być przechowywana poza siedzibą firmy (offsite). Przykładowo, pierwsza kopia może znajdować się na serwerze firmy, druga na urządzeniu NAS w biurze, a trzecia poza biurem, np. w bezpiecznej chmurze.

Ostatecznym celem zasady 3-2-1 jest zapewnienie bezpieczeństwa danych na każdą ewentualność. Jeśli jedna lub nawet dwie kopie ulegną uszkodzeniu, zawsze pozostaje trzecia, która pozwala na szybkie odzyskiwanie danych. Z kolei, jeśli coś stanie się z Twoim magazynem (np. awaria lub pożar w biurze), wciąż masz do dyspozycji bezpieczny magazyn offsite.

Oprócz zasady 3-2-1 istnieją nowsze, bezpieczniejsze podejścia, takie jak 4-3-2 lub 3-2-1-1-0, które zakładają większą redundancję i testowanie kopii zapasowych. Więcej na ten temat przeczytasz w tym artykule na blogu Xopero (w języku angielskim).

Z Xopero ONE możesz łatwo wdrożyć dowolną regułę backupu, definiując automatyczne plany replikacji kopii zapasowych. Dzięki funkcji harmonogramu kopie będą regularnie replikowane do wybranych lokalizacji bez konieczności ręcznej interwencji.

Procedura dodawania planu replikacji kopii zapasowych w Xopero ONE.

Należy również pamiętać, aby unikać przechowywania dwóch kopii danych M365 w tej samej chmurze. Korzystając z natywnego narzędzia Microsoft 365 Backup, jesteśmy ograniczeni do rozwiązania Azure. Zamiast tego warto rozważyć przechowywanie backupów w różnych chmurach – oprócz Azure, Xopero ONE wspiera Google Cloud Platform, AWS, Wasabi, Backblaze, dowolną chmurę zgodną ze standardem S3, a także magazyny on-premises, np. NAS, SMB czy foldery lokalne.

Regularnie twórz kopie zapasowe, aby odzyskać dane z dowolnego punktu w czasie

Kopie zapasowe tworzy się, aby chronić dane przed niespodziewaną katastrofą. Z kolei, odzyskiwanie danych jest kluczowe dla zachowania ciągłości biznesowej, ochrony danych o znaczeniu krytycznym przed cyberatakami oraz szybkiego przywracania utraconych informacji.

Zagrożenia atakują znienacka, dlatego regularny backup danych to konieczność. Możesz tworzyć różne plany backupu dla różnych użytkowników Microsoft 365. Przykładowo, jeśli kilku użytkowników w Twojej organizacji pracuje bardzo intensywnie, ciągle generując nowe dokumenty czy operując na bazach danych, warto rozważyć codzienny backup ich danych. Z kolei w przypadku osób, które nie wprowadzają wielu zmian, backup cotygodniowy, a nawet comiesięczny będzie wystarczającym środkiem ochrony. Dobrą praktyką jest również codzienne tworzenie kopii zapasowych skrzynek pocztowych.

W Xopero ONE możesz utworzyć tyle planów backupu, ile zechcesz. Dla każdego z użytkowników wystarczy wybrać chronione aplikacje M365 oraz pożądaną częstotliwość backupu.

Wybór punktu w czasie, dla którego chcesz przywrócić kopię zapasową Microsoft 365 za pomocą Xopero ONE.

Skonfiguruj polityki retencji

Jak długo przechowywać kopie zapasowe? Z odpowiedzią na to pytanie przychodzą polityki retencji, które mogą się różnić w zależności od wymogów prawnych lub wewnętrznych zasad Twojej organizacji. Dobrze przemyślane ustawienia retencji w połączeniu z funkcjami takimi jak szczegółowe przywracanie (odzyskiwanie granularne) mogą zapobiec utracie danych podczas procesów offboardingu pracowników lub po przypadkowym usunięciu elementów.

Microsoft narzuca natywne, ograniczone polityki retencji. Na przykład, usunięte pliki są przechowywane w koszu maksymalnie przez 93 dni. W przypadku natywnego rozwiązania do backupu (Microsoft 365 Backup) najdłuższy dostępny okres przechowywania kopii to 1 rok. Jeśli potrzebujesz dłuższego czasu przechowywania (np. Twoja organizacja działa w regulowanej branży), rozważ profesjonalne aplikacje do backupu i odzyskiwania danych firm trzecich.

Xopero ONE pozwala przykładowo swobodnie definiować retencję danych według czasu lub liczby kopii, a nawet ustawić retencję nieograniczoną.

Opcje ustawiania retencji w Xopero ONE podczas definiowania planu backupu. Retencja jest ustawiania oddzielnie dla różnych typów kopii.

Skonfiguruj wersjonowanie plików

Jeśli chcesz zachowywać poprzednie wersje plików (np. aby chronić się przed przypadkowym usunięciem), warto korzystać z wersjonowania – w Microsoft 365 funkcja ta jest domyślnie włączona. Należy jednak pamiętać, że może ona przyspieszać zużycie miejsca w chmurze Microsoft. Ponadto, ze względu na jej złożoność, użytkownicy mogą doświadczać błędów w działaniu, takich jak wyświetlanie różnych, niespójnych wersji tego samego dokumentu czy utrata postępu pracy.

Aby uniknąć tych niedogodności, można wykorzystać funkcję szczegółowego przywracania oferowaną przez większość rozwiązań do backupu danych. Pozwala ona przywracać konkretne elementy (np. poszczególne foldery czy wiadomości e-mail) zamiast całych kopii z wybranego punktu w czasie. Choć – podobnie jak w przypadku rozwiązań natywnych – przechowywanie wielu wersji wymaga dodatkowego miejsca, rozwiązania do backupu przeważnie obsługują wiele magazynów danych, gdzie 1 GB przestrzeni może zazwyczaj kosztować dużo mniej niż na platformie Microsoft 365.

Xopero ONE oferuje granularne przywracanie dla Microsoft 365, pozwalając odzyskać tylko wybrane wiadomości e-mail lub pliki/foldery OneDrive z konkretnie wybranego momentu w czasie.

Proces granularnego przywracania w Xopero ONE obejmujący wybór konkretnego punktu w czasie dla kopii, a następnie konkretnych wiadomości e-mail albo plików i folderów OneDrive.

Wzmocnij tożsamość konta administratora backupu

W dzisiejszych czasach atakujący często usuwają kopie zapasowe jeszcze przed zaszyfrowaniem czy uszkodzeniem produkcyjnych danych organizacji. Dlatego niezależnie od tego, czy korzystasz z backupu natywnego, czy rozwiązania firmy trzeciej, konieczne jest zapewnienie maksymalnego bezpieczeństwa konta administratora używanego do tworzenia i przywracania kopii zapasowych.

Zalecane są następujące działania:

  • Nie używaj tych samych poświadczeń dla konta administratora backupu, co w przypadku innych kont administracyjnych, np. Administratora globalnego (Global Administrator).
  • Wymuś uwierzytelnianie wieloskładnikowe (MFA).
  • Ogranicz dostęp do konsoli backupu za pomocą kontroli dostępu opartej na rolach (RBAC).
  • Dobrym pomysłem może być skonfigurowanie konta administratora backupu (oraz awaryjnego konta typu „break-glass”) w ramach domyślnej domeny onmicrosoft.com. Zapewnia to dodatkową ochronę przed blokadą dostępu do produkcyjnej dzierżawy (tenanta) M365, np. w razie problemów z rekordami DNS.

Xopero ONE obsługuje Microsoft jako dostawcę tożsamości (IdP), dzięki czemu można logować się do konsoli zarządzania backupem za pomocą dowolnego konta M365. Oprócz natywnych środków bezpieczeństwa Microsoft 365, nasze narzędzie oferuje własne mechanizmy MFA i RBAC, aby zapewnić najwyższy poziom ochrony danych.

Procedura włączania uwierzytelniania wieloskładnikowego (MFA) i kontroli dostępu opartej na rolach administracyjnych (RBAC) w ustawieniach konsoli zarządzania Xopero ONE.

Testuj przywracanie danych do testowej dzierżawy Microsoft 365

Kopie zapasowe, których nie można poprawnie przywrócić, są bezużyteczne. Jeśli organizacja posiada środowisko testowe (typu sandbox) Microsoft 365, warto testować przywracanie danych przynajmniej raz na kwartał (a najlepiej raz w miesiącu).

Aby uzyskać dostęp do przywróconych danych i zweryfikować ich poprawność, potrzebne będą licencje Microsoft 365 dla każdego konta użytkownika. Jeśli koszt wszystkich licencji w środowisku testowym jest bardzo wysoki (np. Twoja organizacja liczy kilkaset lub więcej użytkowników), możesz ograniczyć testy do wybranej partii losowych kont M365. Wskazówka: Jeśli kwalifikujesz się do programu Microsoft 365 Developer lub jesteś Partnerem Microsoft (odsprzedawcą, konsultantem, ISV), możesz uzyskać dostęp do darmowego demo tenanta.

Uwaga: Wykorzystywanie domyślnej domeny onmicrosoft.com do backupu danych Microsoft 365 nie jest dobrą praktyką. Jest ona powiązana z domeną główną, a zatem stanowi część środowiska produkcyjnego (alias tożsamości tenanta).

Dzięki przeprowadzaniu testów zyskujesz pewność oraz działasz bardziej przewidywalnie i efektywnie w obliczu realnego zagrożenia. Testowanie to także sposób na obliczenie dokładnych wskaźników Recovery Time Objective (RTO) i Recovery Point Objective (RPO). Dzięki czemu wiesz, jak szybko możesz odzyskać dane i jaka jest zalecana częstotliwość backupów dla Twojej organizacji.

Korzystając z Xopero ONE, możesz przywracać dane Microsoft 365 nie tylko na to samo konto użytkownika, ale także na zupełnie nowe, co znacząco ułatwia pracę z niezależnym środowiskiem testowym Microsoft 365.

Wybór miejsca przywracania - na oryginalne konto użytkownika albo zupełnie nowe konto, np. na potrzeby testowego przywracanie kopii zapasowej Microsoft 365.

Xopero ONE – sprawdzone rozwiązanie do backupu Microsoft 365

Jak widać na powyższych przykładach, Xopero ONE może pomóc Twojej organizacji poprzez:

  • Wyeliminowanie natywnych luk w zabezpieczeniach Microsoft 365, takich jak model współdzielonej odpowiedzialności, brak elastyczności backupu i ograniczona retencja.
  • Zapewnienie ochrony krytycznych danych Microsoft 365 na wielu poziomach. Wskazówka: Aby zobaczyć, jak w praktyce chronić dane Microsoft 365 z Xopero ONE krok po kroku, przeczytaj nasz artykuł blogowy na ten temat.

Choć w bieżącym artykule skupiamy się na backupie Microsoft 365, z Xopero ONE zyskujesz znacznie więcej:

  • Wsparcie dla wielu środowisk – kompleksowa ochrona zasobów Twojej organizacji obejmująca komputery użytkowników, serwery, środowiska wirtualne (VMware, Hyper-V), udziały SMB, urządzenia NAS, M365, platformy chmurowe DevOps i Jira.
  • Elastyczne opcje składowania kopii zapasowych – możesz wybrać, gdzie przechowywać kopie danych Microsoft 365: lokalnie (na komputerze), na urządzeniu NAS, w Xopero Cloud Storage (prywatna chmura), wybranej chmurze i nie tylko.
  • Scentralizowane, przyjazne zarządzanie backupami – dzięki prostej i niezwykle intuicyjnej konsoli webowej backup i odzyskiwanie danych Microsoft 365 jest prostsze niż kiedykolwiek wcześniej. Możesz łatwo monitorować zadania wykonywane przez nasz program oraz otrzymywać powiadomienia na Slack i e-mail.
  • Automatyczne tworzenie kopii – zdefiniuj, czy zadanie backupu ma wykonać się raz czy uruchamiać się automatycznie z określoną częstotliwością. Backup M365 z Xopero ONE może być w 100% rozwiązaniem typu „ustaw i zapomnij”. Wbudowana funkcja harmonogramu pozwala na uruchamianie zadań również poza godzinami pracy (tzw. okno backupu).
  • Szyfrowany backup – Twoje dane są zawsze szyfrowane end-to-end. Wybierz preferowany algorytm i długość klucza, aby mieć pewność, że nikt poza Tobą nie odczyta danych.

Jeśli wciąż nie podjąłeś żadnych kroków na rzecz ochrony danych organizacji w Microsoft 365, może teraz jest właściwy moment, aby zastanowić się nad profesjonalnym narzędziem do backupu. Zwłaszcza biorąc pod uwagę groźne i coraz powszechniejsze współczesne zagrożenia, np. ransomware czy ataki wspierane przez AI. Aby podjąć w pełni świadomą decyzję, przetestuj Xopero ONE bez żadnych ograniczeń za darmo przez 14 dni.

Testuj za darmo

How did you like the article?

Excited
0
Happy
0
In Love
0
Not Sure
0
Silly
0

You may also like

Comments are closed.