Responsabilità relative al backup in Microsoft 365

Il modello di responsabilità condivisa di Microsoft definisce le aree di responsabilità tra gli utenti e Microsoft a seconda del tipo di implementazione. Mentre la situazione è semplice nel caso delle applicazioni on-premise, che sono di esclusiva responsabilità dell'utente, le cose si complicano quando si passa al cloud.

Microsoft offre diversi modelli di fornitura di servizi cloud, come Platform-as-a-Service (PaaS), Infrastructure-as-a-Service (IaaS) e Software-as-a-Service (SaaS). A seconda del modello, Microsoft e gli utenti condividono in modo diverso le responsabilità relative ai controlli di rete, all'infrastruttura di identità e directory, alle applicazioni e ai sistemi operativi. Alcune aree, come i dati e gli account, sono sempre di proprietà dell'utente indipendentemente dal modello di distribuzione, mentre altre, come le reti fisiche e gli host, sono sempre di competenza di Microsoft.

Il modello di responsabilità condivisa di Microsoft 365 si basa sul framework SaaS, che consente agli utenti di accedere e utilizzare le app basate sul cloud di Microsoft. Con il SaaS, la maggior parte delle responsabilità viene trasferita a Microsoft, ma non tutte. Approfondiamo questo aspetto.

La responsabilità principale di Microsoft è quella di mantenere attivi e funzionanti i propri servizi cloud, garantendo che milioni di utenti in tutto il mondo possano accedere ai propri ambienti Microsoft 365. A tal fine, Microsoft offre la ridondanza geografica dei data center e la replica integrata per il failover verso un altro data center in caso di emergenza. È proprio da qui che nasce il malinteso più diffuso: le repliche di Microsoft sono gestite e conservate da Microsoft e, pertanto, non appartengono all’utente. Non puoi controllare tali repliche né utilizzarle per recuperare account o file necessari.

Il Modello di Responsabilità Condivisa offre inoltre una migliore comprensione dell’aspetto della sicurezza , una responsabilità condivisa tra Microsoft e l’utente. Quindi, in cosa consiste la responsabilità condivisa in questo caso? Mentre Microsoft è responsabile della sicurezza dell’infrastruttura, compresa la sicurezza fisica dei propri data center e l’autenticazione all’interno dei servizi cloud, l’utente è responsabile della sicurezza a livello di dati. Sorprendentemente, ciò include non solo errori dell'utente come la cancellazione accidentale o lacune nei criteri di conservazione, ma anche attacchi informatici e persino la perdita di dati durante interruzioni causate da Microsoft. Ecco cosa afferma Microsoft nel proprio Contratto di assistenza:

Ci impegniamo a mantenere i Servizi attivi e funzionanti; tuttavia, tutti i servizi online subiscono occasionali interruzioni e disservizi, e Microsoft non è responsabile per eventuali interruzioni o perdite che potresti subire di conseguenza. In caso di interruzione del servizio, potresti non essere in grado di recuperare i tuoi contenuti o i dati che hai archiviato. Ti consigliamo di eseguire regolarmente il backup dei tuoi contenuti e dei dati che archivi sui Servizi o che archivi utilizzando app e servizi di terze parti.

Un altro fattore è la pressione normativa sui titolari dei dati . Normative come il GDPR e l'HIPAA stabiliscono requisiti rigorosi per la sicurezza e l'accesso ai dati. Inoltre, la sovranità dei dati prevista dal GDPR impone ai proprietari dei dati di archiviare copie dei dati in ubicazioni specifiche, il che può essere difficile se non si ha il pieno controllo dell’ubicazione in cui risiedono i dati.

Microsoft afferma chiaramente gli utenti sono i proprietari dei dati e sono responsabili dei propri dati, account e accessi indipendentemente dal tipo di implementazione. Sebbene all'interno di Microsoft 365 siano disponibili diversi strumenti di conformità, questi da soli non garantiscono il rispetto delle normative.

Ora, riassumiamo in che modo Microsoft e i ruoli degli utenti differiscono in termini di infrastruttura, sicurezza e conformità.

Ruolo di Microsoft

Disponibilità e uptime dell'infrastruttura:

• Data center
• Rete
• Applicazioni
• Sistema operativo

Sicurezza:

• Sicurezza dei data center contro guasti software, interruzioni di servizio e disastri
• Sicurezza contro l'accesso non autorizzato all'infrastruttura fisica che ospita Microsoft 365
• Ridondanza dei data center (replica) su più ubicazioni

Conformità in qualità di responsabile del trattamento dei dati:

• Politiche trasparenti e audit
• Risposta alle violazioni e segnalazione tempestiva

Ruolo dell'utente

Infrastruttura:

• Dati degli utenti
• Dispositivi endpoint
• Gestione degli account e degli accessi

Sicurezza:

• Protezione dei dati contro minacce informatiche, disastri ed errori umani
• Backup, conservazione e archiviazione dei dati
• Continuità operativa e ripristino di emergenza

Conformità in qualità di proprietario/titolare dei dati

• Responsabilità per l'accesso ai dati, la privacy, la sicurezza e la conservazione
• Conformità a standard e normative

In qualità di proprietario dei dati, l'utente mantiene sempre la responsabilità dei propri dati e dell'accesso agli stessi, rendendo Soluzioni di backup di terze parti fondamentali per Microsoft 365 la protezione dei dati. Microsoft offre alcuni strumenti integrati per la conservazione dei dati e il ripristino a breve termine, ma questi non sono sufficienti a garantire il pieno controllo sui propri dati.

Nel 2024 Microsoft ha rilasciato Microsoft 365 Backup per Exchange Online, SharePoint Online e OneDrive for Business per ovviare alla mancanza di funzionalità di backup. Tuttavia, anche con questa nuova soluzione, gli utenti devono ancora fare i conti con il principale svantaggio di tutti gli strumenti nativi di Microsoft: tutte le copie dei dati vengono archiviate all’interno del cloud di Microsoft, quindi i dati primari e quelli di backup non sono fisicamente separati. Ciò può compromettere la strategia di protezione dei dati e aumentare il rischio di perdita dei dati.

Per garantire il ripristino dei dati di Microsoft 365 in ogni situazione, è necessario uno strumento di backup di terze parti completo come NAKIVO Backup & Replication, che supporti l'archiviazione locale, fuori sede e sul cloud. La disponibilità di più destinazioni di backup consente di applicare facilmente la regola di backup 3-2-1, archiviando copie dei dati al di fuori dell'infrastruttura Microsoft per una maggiore sicurezza e un miglior controllo.

È possibile proteggere ulteriormente i dati da ransomware e altre minacce informatiche grazie a un'ampia gamma di funzionalità di sicurezza, tra cui la crittografia e l'immutabilità. La soluzione NAKIVO supporta la crittografia AES-256, consentendovi di proteggere i backup prima di trasferirli in rete. Con la funzione di immutabilità, i backup crittografati vengono "bloccati" per un periodo specificato, impedendo qualsiasi modifica o cancellazione durante tale periodo.

Come monitorare e controllare le attività di backup in Microsoft 365 con NAKIVO?

La soluzione di backup NAKIVO offre il vantaggio del monitoraggio di Microsoft 365. Gli strumenti nativi per il monitoraggio e l'audit della sicurezza di Microsoft 365 sono limitati, tra cui il Centro conformità e Microsoft Defender. Tuttavia, sono progettati principalmente per monitorare i dati di origine e non forniscono una panoramica dettagliata delle attività di backup, né dispongono di avvisi automatici sullo stato dei backup.

NAKIVO Backup & Replication, d'altra parte, consente di monitorare tutte le attività di backup di Microsoft 365 da una dashboard web centralizzata. Da lì è possibile controllare i lavori in corso e pianificati e il loro stato, nonché effettuare il monitoraggio dello spazio di storage, delle dimensioni del backup e della velocità del backup. La dashboard visualizza errori e allarmi relativi agli aggiornamenti e alle licenze della soluzione, ai repository, ai trasportatori e alle attività in esecuzione, evidenziandoli in rosso quando il problema è critico.

La soluzione NAKIVO consente di impostare notifiche per e-mail al completamento del backup e di configurare azioni pre e post-backup utilizzando script personalizzati. Tali script possono aiutare ad automatizzare le azioni di risoluzione per problemi noti, come il riavvio di server remoti o l'esecuzione di un altro software dopo il completamento del backup.