Microsoft 365 中的備份責任
微軟的"共同責任模型"闡述了根據部署類型,使用者與微軟之間的責任範圍。對於僅由使用者負責的本地部署應用程式而言,責任劃分相當簡單;但一旦轉向雲,情況便會變得更加複雜。
微軟提供多種雲端服務交付模式,例如平台即服務 (PaaS)、基礎架構即服務 (IaaS) 以及軟體即服務 (SaaS)。根據不同的模式,微軟與使用者在網路控制、身分識別與目錄基礎架構、應用程式及作業系統方面的責任分配方式各不相同。 某些領域(例如資料和帳戶)無論採用何種交付模式,始終由使用者擁有;而其他領域(例如實體網路和主機)則始終由微軟負責。
Microsoft 365 的共同責任模式基於 SaaS 架構,讓使用者能夠存取並使用 Microsoft 的雲端應用程式。在 SaaS 模式下,大部分責任由 Microsoft 承擔,但並非全部。讓我們進一步探討這一點。
了解 Microsoft 365 共同責任模型
微軟的主要責任 是為了維持其雲端服務的正常運作,確保全球數百萬使用者能夠存取他們的 Microsoft 365 環境。為此,微軟提供了資料中心的地理冗餘機制,以及內建的複寫功能,以便在發生災難時進行故障移轉,並切換至另一個資料中心。這正是最大誤解的來源:微軟的複本由微軟管理並保留,因此並不屬於您。 您無法控制這些副本,也無法利用它們來取回所需的帳戶或檔案。
"共同責任模式"也有助於更深入理解 安全層面,這是微軟與使用者之間的共同責任。那麼,在此情況下所謂的"共同責任"究竟指什麼?微軟負責基礎架構的安全性,包括資料中心的實體安全與雲端服務內的驗證機制;而使用者則負責資料層級的安全性。令人意外的是,這不僅包含使用者疏失(例如誤刪資料或保留政策漏洞),還包括網路攻擊,甚至因微軟導致的服務中斷期間所造成的資料遺失。以下是微軟在其 服務協議:
我們致力於確保服務持續運作;然而,所有線上服務偶爾都會發生中斷或停機,微軟對您因此可能遭受的任何中斷或損失概不負責。若發生停機情況,您可能無法取回您所儲存的內容或資料。我們建議您定期備份您儲存於本服務中,或透過第三方應用程式及服務所儲存的內容與資料。
另一個因素是 數據持有者面臨的合規壓力. 諸如《一般資料保護規範》(GDPR)和《健康保險可攜與責任法案》(HIPAA)等法規,對資料安全與存取設有嚴格需求。此外,GDPR 的資料主權規定要求資料所有者將資料副本儲存於指定位置,若您無法完全掌控資料的存放位置,這將是一項艱鉅的挑戰。
微軟明確表示 無論部署類型為何,使用者皆為資料所有者,須對其資料、帳戶及存取權限負責。儘管 Microsoft 365 內建多種合規工具,但僅憑這些工具並不能保證符合法規要求。
現在,讓我們總結一下微軟與使用者角色在基礎架構、安全性及合規性方面的差異。
微軟的角色
基礎設施可用性與運作時間:
- 資料中心
- 網路
- 應用
- 作業系統
安全性:
- 資料中心針對軟體故障、系統中斷及災難的防護措施
- 防止未經授權存取託管 Microsoft 365 的實體基礎架構
- 跨多個位置的資料中心冗餘(複製)
作為資料處理者的合規要求:
- 透明的政策與審計
- 對資料外洩事件的應對與及時通報
使用者角色
基礎設施:
- 使用者資料
- 終端裝置
- 帳戶與存取管理
安全性:
- 針對網路威脅、災難及人為錯誤的資料保護
- 資料備份、保留與歸檔
- 業務連續性與災難還原
作為資料所有者/控制者的合規義務
- 對資料存取、隱私、安全及保存的責任
- 遵守標準與法規
微軟對您的資料不承擔責任
身為資料擁有者,使用者始終對其資料及對該資料的存取權限負有責任,這使得 第三方備份解決方案對 Microsoft 365 至關重要 資料保護。微軟提供了一些內建工具,用於資料保留和短期還原,但這些工具不足以確保您能完全掌控您的資料。
微軟於 2024 年發布了適用於 Exchange Online、SharePoint Online 及 OneDrive for Business 的 Microsoft 365 Backup,以解決備份功能不足的問題。然而,即使有了這項新解決方案,使用者仍須面對所有微軟原生工具的主要缺點:所有資料副本皆儲存於微軟雲端之中,因此您的主要資料與備份資料並未在物理層面上分開存放。這可能危及您的資料保護策略,並增加資料遺失的風險。
掌握您的資料主導權:NAKIVO 第三方備份解決方案的優勢
為了確保在各種情境下都能還原 Microsoft 365 資料,您需要一款功能全面的第三方備份工具,例如 NAKIVO Backup & Replication 該解決方案支援本地、異地及雲端儲存。透過將資料副本儲存於 Microsoft 基礎架構之外,多重備份目標可協助您輕鬆落實"3-2-1"備份法則,從而提升安全性與管控能力。
您可以透過多種安全特點(包括加密與不可變性)進一步保護資料,使其免受勒索軟體及其他網路威脅的侵害。NAKIVO 解決方案支援 AES-256 加密,讓您能在透過網路傳輸備份前先進行加密保護。藉由不可變性特點,加密後的備份會在指定期間內被"鎖定",防止在此期間遭到任何修改或刪除。
如何使用 NAKIVO 監控和稽核 Microsoft 365 中的備份活動?
NAKIVO 備份解決方案具備監控 Microsoft 365 的優勢。目前針對 Microsoft 365 安全監控與稽核的原生工具相當有限,包括"合規中心"和"Microsoft Defender"。然而,這些工具主要設計用於監控原始資料,既無法提供備份活動的詳細概覽,也缺乏針對備份狀態的自動化警示功能。
NAKIVO Backup & Replication另一方面,該解決方案讓您能夠透過集中式的網頁式儀表板,監控所有 Microsoft 365 備份活動。在此,您可以查看當前及排程中的工作及其狀態,並監控備份儲存空間、備份大小與速度。儀表板會顯示與解決方案更新、授權、儲存庫、傳輸器及執行中活動相關的錯誤與警示,若問題屬重大性質,系統將以紅色標示。
NAKIVO 解決方案讓您能夠設定備份完成時的 email 通知,並透過自訂腳本配置備份前後的操作。這些腳本可協助您針對已知問題自動化執行修復措施,例如在備份完成後重新啟動遠端伺服器,或執行其他軟體。
