SaaS Applicaties als M365, Google Workspace en Salesforce zijn voor veel organisaties bedrijfskritisch met privacy en marktgevoelige data. Het veiligstellen van deze data, onafhankelijk van de aanbieder, is voor deze organisaties geen overbodige luxe maar bittere noodzaak.

Microsoft Office 365 telt wereldwijd nu meer dan 345 miljoen actieve gebruikers. Veel van die gebruikers gaan er van uit dat hun data in Office 365 veilig zijn geback-upt in de cloud en gemakkelijk kunnen worden hersteld. Dat is een misvatting. Microsoft garandeert weliswaar 99,9 procent uptime voor zijn SaaS producten door middel van zogenaamde geo-redundancy, maar dat is geen backup. En er kunnen zich tal van calamiteiten voordoen waarbij het probleem niet de uptime is, maar de integriteit van data.

Microsoft hanteert het Shared Resposibility Model. Oftewel er is een gedeelde verantwoordelijkheid tussen Microsoft en afnemer zoals in onderstaand overzicht van Microsoft wordt getoond.

Dataveiligheid

Microsoft: “Voor elk type cloudimplementatie bent u eigenaar van uw gegevens en identiteiten. U bent verantwoordelijk voor het beschermen van de beveiliging van uw gegevens en identiteiten, on-premises resources en de cloudonderdelen die u controleert (die verschilt per servicetype). Ongeacht het type implementatie blijven de volgende verantwoordelijkheden altijd bij u”:

  • Gegevens
  • Eindpunten
  • Account
  • Toegangsbeheer

Bron: Microsoft Shared Responsibility Model

Microsoft maakt overigens wel backups, echter zijn deze gericht op grote calamiteiten. Zo wordt iedere 12 uur een full backup gemaakt die 14 dagen wordt bewaard. In geval van een grote calamiteit kan je deze via Microsoft Support terug laten zetten als een full-restore. Een individuele mailbox bijvoorbeeld kan niet. En wanneer dat gebeurt is afhankelijk van de drukte bij Microsoft, dat kan zo maar dagen duren.

Daarnaast hanteert Microsoft, afhankelijk van je abonnement, een recycle-bin-proces op data in onder andere Email, Sharepoint en OneDrive. In het standaard bewaarproces van Microsoft wordt Email data in de “recoverable items” bin na 30 dagen definitief verwijderd en in bijvoorbeeld Sharepoint na 93 dagen. Mocht je dit willen verlengen dan kun je een duurder abonnement afsluiten.

“In-Control”

Deze vormen van backuppen is voor een structureel en modern databeveiligingsbeleid onvoldoende. In moment van nood wil je eenvoudig en snel bij je backups kunnen. Je wilt “in-control” zijn: over versies op tijdstip x, zelf retentietijden bepalen, te restoren files of folders makkelijk kunnen vinden, wat je kunt restoren (single item, een folder, een hele share etc.), wanneer je dat doet (nu en geen dagen afhankelijk zijn), wie dat doet met welke rechten en naar welke locatie je dat doet.

Bovendien wil je je backup kopieen niet opslaan binnen dezelfde omgeving en locatie als de primaire data of bij dezelfde Cloud Provider. Ook een Cloud Provider heeft soms met uitval te maken.

Een ander punt van aandacht is dat medewerkers uit dienst kunnen gaan en hun Microsoft account wordt gedeactiveerd. Na 30 dagen wordt deze account en al haar berichten en bestanden definitief door Microsoft gewist. Aangezien het vaak voorkomt dat je een oude email of bestand van die persoon nodig hebt, kan dat niet meer. Of als deze persoon kwaadwillend is en allerlei kritieke emails heeft verwijderd voordat hij of zijn de organisatie heeft verlaten?

Welke keuzes heb ik?

  1. Zelf doen en data vanuit de SaaS Provider zoals Microsoft met M365 naar je eigen locatie backuppen op eigen hardware en software. De voordelen zijn dat je zelf meer aan de knoppen kunt draaien en je lokaal eventuele restores kunt doen. Nadelen zijn meer technische en functionele beheerlast, (praktijk is vaak dat backup “erbij” wordt gedaan en er geen tijd is om continue controles en upgrades uit te voeren), aanschaf van hardware en software, kosten van een eigen datacenter en belasting van internetverbinding.
  2. Uitbesteden door middel van een Backup-as-a-Service (BaaS) en/of Disaster-as-a-Service (DRaaS) oplossing. Oftewel van Cloud naar Cloud en als een dienst afnemen. Dit neemt een grote vlucht. De voordelen zijn immers ook groot. Volledige ontzorging voor het technische beheer, geen dataverkeer naar je eigen locatie, geen selectie en aanschaf van eigen hardware en software en flexibiliteit in aanpak (per maand opzegbaar zonder hoge afschrijvingskosten). En misschien wel de belangrijkste: EENVOUD.
    Er zijn gevestigde leveranciers die hun oplossing aanpassen om SaaS applicaties zoals M365, Google Workspace en Salesforce te backuppen en er zijn nieuwe aanbieders die hun oplossing specifiek voor SaaS applicaties hebben ontwikkeld. Storage Architects heeft onlangs een onderzoek afgerond naar de verschillende opties en heeft een goed overzicht van de verschillen, de voors en tegens.
  3. Niets doen en je (proberen te) laten verzekeren. Dit kan tegenwoordig niet meer. Tegenwoordig zal een Cybersecurity verzekeraar eisen stellen aan het cybersecurity beleid en bedrijfsrisico’s inschatten. Een verzekeraar zal haar tarieven, dekking en voorwaarden (o.a. eigen risico) hierop afstemmen. Zo kan een verzekeraar besluiten helemaal niet te verzekeren, deels met uitsluiting van bepaalde risico’s of volledig. Dan moet er wel een goed beleid zijn en is niets doen geen optie.
  4. En daarnaast heb je allerlei combinaties van bovengenoemde oplossingen maken. Zo kun je eigen software op een VM in een Public Cloud afnemen en naar een S3 target backuppen. Welke keuze het beste bij jouw specifieke situatie past blijft maatwerk. Neem vrijblijvend contact met ons op voor meer advies.

Waar moet de oplossing aan voldoen (BaaS en DRaaS)?

Belangrijke vragen om een goede afweging te maken tussen de verschillende opties zijn onder andere:

  1. Wordt de backup-data opgeslagen op een andere locatie dan de primaire data?
  2. Hoe vaak wordt een backup gemaakt? 1x per dag? Vaker?
  3. Gaat de replicatie technologie efficiënt om met de WAN-verbinding? (deduplicatie, compressie,
  4. Wordt mijn data ge-encrypt tijdens transport (“encryption-in-transit” zoals TLS1.3)? Of terwijl het wordt opgeslagen (‘encryption-at-rest”)?
  5. Welke SaaS applicaties ondersteunt de Backup Provider? (M365, Teams, Azure AD, Sharepoint, Dynamics365, Google Workspace, Salesforce, etc.)
  6. Is het backup target “immutable” en daarmee weerbaar tegen een ransomware aanval?
  7. Ondersteunt de oplossing MFA en RBAC?

Waar moet ik verder op letten?

  1. Heb ik als organisatie te maken met Compliancy regels? (SOC-2 Type 2, ISO27001, GDPR/AVG, etc.)
  2. Val ik onder de NIS2 richtlijn?
  3. Betaal je alleen voor mailboxen en gebruikers of ook per TB opgeslagen data?
  4. Waar wordt mijn data opgeslagen? In Europa?
  5. In welke mate kan de oplossing voldoen aan eigen RPO en RTO eisen?
  6. Heb ik naast mijn reguliere werkzaamheden wel tijd om ook nog backup beheer goed te doen?
  7. Wie beheert de encryption keys?
  8. Wat is de “Barrier-to-Exit”?