Il modello di responsabilità condivisa di Office 365

La comprensione della necessità del backup SaaS è migliorata, ma sentiamo ancora spesso dire: “Perché dovrei eseguire il backup dei dati di Microsoft 365 Exchange Online, SharePoint Online, OneDrive for Business e Microsoft Teams? Non ci pensa Microsoft?”

È naturale presumere che, poiché si trova nel cloud, sia coperto. Ma lo è davvero?

Per fare un po’ di chiarezza in questa discussione, abbiamo creato un modello a responsabilità condivisa di Microsoft 365. Questo modello utilizza i principi fondamentali del modello a responsabilità condivisa di Microsoft, ma con un’enfasi più approfondita specificamente sui dati di Microsoft 365. È progettato per aiutare te (e chiunque sia vicino a questa tecnologia) a stabilire una chiara distinzione e a capire esattamente cosa gestisce Microsoft e quali responsabilità ricadono sull’azienda stessa. Dopotutto, sono i tuoi dati ed è tua la responsabilità di proteggerli. Per approfondire ulteriormente questo punto, Microsoft concorda sulla necessità di proteggere i dati di Microsoft 365 e consiglia di archiviarli utilizzando una soluzione di terze parti. Il Contratto di servizio Microsoft stabilisce: “Ti consigliamo di eseguire regolarmente il backup dei contenuti e dei dati che memorizzi sui servizi o che archivi utilizzando app e servizi di terze parti”. Adottando misure proattive per salvaguardare i dati, consenti alla tua organizzazione di prevenire potenziali perdite di dati e garantire la continuità aziendale.

Sei pronto a proteggere Microsoft 365? Scopri di più sul leader di mercato nel backup di Microsoft 365.

Cos’è il modello a responsabilità condivisa?

Prima di iniziare, definiamo questo modello. Il modello a responsabilità condivisa è un framework che consente di capire di quali componenti e attività sei responsabile in un ambiente IT. Pertanto, questo modello è studiato per aiutarti a stabilire dove finiscono i tuoi obblighi e dove iniziano quelli di un provider di servizi.

Il ruolo di Microsoft nel modello

Man mano che iniziamo a esplorare il modello a responsabilità condivisa di Microsoft 365, diventerà molto chiaro che le principali responsabilità di Microsoft in Microsoft 365 si concentrano su tutte le attività relative all’infrastruttura di back-end e alla resilienza dell’erogazione dei servizi, in modo che le interruzioni del servizio siano minime o nulle. Pensa a Microsoft come all’elaboratore dei dati.

Il ruolo del cliente nel modello

Il cliente è proprietario dei propri dati quando risiedono in Microsoft 365. È il reparto IT del cliente che ha la responsabilità di garantire che rimangano sotto il suo controllo e che abbia accesso ai suoi dati aziendali d’importanza critica. Comprende tutti i dati creati, archiviati e condivisi tra le app e i servizi Microsoft 365.

Quindi, come può un ambiente IT proteggere tutto questo? Le best practice per la protezione dei dati prevedono la necessità di disporre di un backup, archiviato indipendentemente dall’origine, che possa essere facilmente ripristinato entro un Obiettivo Recovery Time Objective (RTO) accettabile. In questo caso, si tratterebbe di un backup dei dati di Microsoft 365 su cui il reparto IT del cliente ha il controllo completo e l’accesso, archiviato separatamente tramite una terza parte, in modo da poter essere ripristinato durante qualsiasi tipo di incidente di perdita di dati.

Nel corso di questo blog completeremo questo modello a responsabilità condivisa in un formato visivo. Nella metà superiore del modello, vedrai la responsabilità di Microsoft per il servizio cloud principale Microsoft 365. Nella metà inferiore, completeremo con dettagli la responsabilità che ricade sull’azienda o, più probabilmente, su di te, che stai leggendo.

Componenti chiave del modello a responsabilità condivisa

Responsabilità principale

Iniziamo parlando in particolare della responsabilità principale di ciascun gruppo. La responsabilità principale di Microsoft è incentrata sulla sua infrastruttura globale e sull’impegno nei confronti di milioni di clienti per mantenere attiva e funzionante questa infrastruttura. Ciò significa che devono fornire costantemente un uptime affidabile per i loro servizi cloud e supportare la produttività degli utenti in tutto il mondo.

La responsabilità di un’organizzazione IT è quella di avere accesso e controllo completi sui propri dati di importanza critica per l’azienda, indipendentemente da dove risiedano, che si tratti del data center o di Microsoft 365. Questa responsabilità non scompare magicamente solo perché l’organizzazione ha preso la decisione aziendale di utilizzare un’applicazione SaaS.

Tecnologia di supporto

Qui puoi vedere la tecnologia di supporto progettata per aiutare ciascun gruppo a soddisfare le proprie responsabilità principali. Microsoft 365 include funzionalità di replica dei dati integrate, che forniscono la georidondanza da data center a data center per ridurre al minimo (e quasi eliminare) le interruzioni di app e servizi Microsoft. Questa funzionalità è necessaria. Ad esempio, se qualcosa va storto in uno dei data center globali di Microsoft, può essere eseguito il failover nella destinazione di replica e, nella maggior parte dei casi, gli utenti sono completamente ignari di qualsiasi cambiamento.

Tuttavia, la replica non è un backup e in Microsoft 365 questa replica non è nemmeno la TUA replica; è di Microsoft. Per spiegare ulteriormente questo punto, dedica un minuto a riflettere su questa ipotetica domanda sul backup e la replica:

In generale, quale ti protegge meglio: Un backup o una replica?

Mi piace porre questa domanda al pubblico dal vivo e osservare la discussione e le idee che emergono. Alcuni di voi potrebbero obiettare che la risposta corretta è una replica, perché un’applicazione replicata in modo continuo o quasi continuo su un secondo sito fornisce ridondanza in caso di guasto e può eliminare le interruzioni dell’applicazione. Tuttavia, altri potrebbero obiettare che ci sono problemi con una strategia di protezione dei dati basata solo sulla replica. Ad esempio, anche i dati cancellati o corrotti vengono replicati insieme ai dati validi, e ciò significa che la replica ora include la stessa eliminazione o danneggiamento. Coloro che appartengono a questo gruppo potrebbero ritenere che un backup ti protegga meglio poiché esistono vulnerabilità specifiche relative alla perdita di dati da cui solo un backup può proteggerti.

La risposta corretta a questa domanda trabocchetto è che hai bisogno di entrambi! Questo principio fondamentale è alla base della strategia di protezione dei dati di Veeam da oltre 15 anni. Basta guardare al nostro prodotto di punta, che non a caso si chiama Veeam Backup & Replication.

Allora perché le soluzioni di backup per Microsoft 365 di Veeam non includono funzionalità di replica? Beh, Microsoft ha già provveduto a questa parte. L’unico pezzo che manca è un backup.

Ti starai chiedendo: “E il cestino di Microsoft 365? È una specie di backup.” Sì, Microsoft dispone di molte diverse opzioni per il cestino e può aiutare gli amministratori o gli utenti con un ripristino da una perdita di dati limitata e a breve termine. Questi cestini sono una piccola parte delle più ampie policy di retention di Microsoft, che sono un labirinto profondo e complicato che determina quale tipo di dati viene conservato e per quanto tempo, a seconda di ciascun servizio Microsoft 365. A rendere le cose ancora più complicate, queste impostazioni possono essere ulteriormente personalizzate dall’amministratore e non seguono un protocollo standard. Quando si parla con gli amministratori di Microsoft 365, spesso hanno difficoltà a gestire e monitorare queste policy. In genere, gli amministratori ritengono di essere coperti, salvo scoprire il contrario quando ormai è troppo tardi.

Un ottimo esempio di ciò è quando un dipendente lascia l’azienda. Dopo un mese, tali dati vengono spesso eliminati definitivamente. Ricordate quel complicato modello di proiezione dei ricavi su cui Sally Smith stava lavorando all’inizio dell’anno? Ha lasciato l’azienda qualche settimana fa ed era archiviato nel suo OneDrive. Quindi, non c’è più. Dovremo ricominciare da zero.  

Veeam è fermamente convinta che per avere davvero accesso e controllo completi sui dati aziendali di importanza critica, affidarsi a un cestino non è sufficiente; è necessaria una retention completa dei dati. Ciò include la retention a breve termine, la retention a lungo termine e la capacità di colmare tutte le lacune nelle policy di retention con un facile ripristino per qualsiasi scenario di perdita di dati. Ti serve inoltre avere a portata di mano le opzioni di ripristino granulare, ripristino in blocco e ripristino point-in-time.

È inoltre importante notare che Microsoft ha recentemente rilasciato la propria soluzione di backup separata per i dati di Microsoft 365 nel 2024, confermando ulteriormente che il servizio Microsoft 365 stesso non è intrinsecamente protetto all’interno del servizio cloud. Include una nuova tecnologia in grado di eseguire il backup e il ripristino di grandi volumi di dati Exchange, SharePoint e OneDrive a una velocità fulminea. Veeam e Microsoft hanno una stretta partnership e Veeam è stato uno dei primi fornitori di backup a integrare questa nuova tecnologia di backup nei propri prodotti per l’utilizzo da parte dei clienti.

Sicurezza

Mentre ci occupiamo del livello successivo del Modello a responsabilità condivisa di Microsoft 365, parliamo di sicurezza, che è sempre un argomento scottante. Vedrai che il modello è strategicamente progettato come un modello integrato, e non come modelli separati, perché sia Microsoft che la tua organizzazione IT sono responsabili di alcuni aspetti e devono lavorare insieme.

Microsoft protegge Microsoft 365 a livello di infrastruttura. Ciò comprende la sicurezza fisica dei suoi data center e l’autenticazione e l’identificazione all’interno dei suoi servizi cloud, oltre alle protezioni per utenti e amministratori integrate nell’interfaccia utente di Microsoft 365.

Oltre al livello di infrastruttura, esistono molte funzionalità di sicurezza integrate che possono contribuire a rafforzare la resilienza informatica. Ciò include funzionalità di sicurezza come l’autenticazione a più fattori (MFA), che verifica gli utenti con un passaggio aggiuntivo che non è facilmente duplicabile dagli aggressori. Esistono anche vari tipi di crittografia sfruttati in Microsoft 365 per garantire che solo le parti autorizzate possano accedere alle informazioni originali, come i file su un dispositivo o in transito tra gli utenti, ad esempio i messaggi di posta elettronica in Exchange Online e i messaggi in Teams. Sono disponibili anche funzionalità di rilevamento proattivo delle minacce, che possono aiutare a prevenire, rilevare e rispondere ad attività sospette nel tuo ambiente. Microsoft utilizza inoltre un sistema di registrazione centralizzato per analizzare le attività che potrebbero indicare che si è verificato un incidente di sicurezza. Sebbene tutti questi meccanismi di sicurezza presentino dei vantaggi, i tuoi dati non sono comunque responsabilità di Microsoft.    

L’organizzazione IT è ancora responsabile della sicurezza di Microsoft 365 a livello di dati. C’è un lungo elenco di rischi per la sicurezza dei dati interni ed esterni, tra cui la cancellazione accidentale, gli amministratori che abusano del loro accesso e il ransomware, solo per citarne alcuni. Guarda questo video di cinque minuti su come il ransomware può avere la meglio su Microsoft 365. Già solo questo ti farà venire gli incubi.

Molte soluzioni di backup sono in grado di estendere molte delle capacità intrinseche dell’infrastruttura di Microsoft, estendendo il supporto dell’ambiente di backup alle organizzazioni IT. Ad esempio, l’autenticazione a più fattori e la crittografia durante il trasferimento e alla destinazione finale sono coperti per offrire una protezione aggiuntiva ai dati di backup di Microsoft 365.

Regolamentazione

L’ultimo componente del modello a responsabilità condivisa di Microsoft 365 consiste nel pensare ai requisiti legali e di conformità. Microsoft chiarisce molto bene nel Microsoft 365 Trust Center che i dati ti appartengono e che il loro ruolo è quello di responsabile dell’elaborazione dei dati. Questo è il motivo per cui l’azienda si concentra sulla privacy dei dati e, come si può vedere dal loro sito, dispone di un ottimo elenco di funzionalità e certificazioni del settore per mantenere la conformità dei servizi cloud di Microsoft 365. Nonostante i tuoi dati risiedano in Microsoft 365, il ruolo di un’organizzazione IT continua a essere quello di proprietario dei dati. Questa responsabilità è accompagnata da numerose pressioni esterne del tuo settore, nonché da richieste di conformità da parte dei tuoi colleghi del reparto legale, della conformità o delle risorse umane.

Esempi e scenari

Cosa accade se ti affidi a Microsoft per l’esecuzione di una responsabilità che invece è tua? In caso di incidenti di perdita di dati come la cancellazione accidentale o gli attacchi ransomware, Microsoft fornisce alcune reti di sicurezza. Tuttavia, tali soluzioni servono per esigenze di perdita di dati a breve termine o per strumenti di conformità come il Legal Hold, che rendono molto difficile ripristinare esattamente ciò di cui si ha bisogno. Se scegli di affidarti a Microsoft per la restituzione dei dati persi, non esiste una garanzia reale su se e quando tali dati potranno essere restituiti. Ecco perché è così importante prendere sul serio il tuo ruolo di proprietario dei dati. Quando hai accesso e controllo completi sui tuoi dati di Microsoft 365 archiviati tramite una terza parte, hai il potere di ripristinarli a tuo piacimento.

Vantaggi e problematiche

Il Modello a responsabilità condivisa offre alle organizzazioni il vantaggio di sapere con assoluta certezza di cosa sono responsabili. Aiuta inoltre a responsabilizzare le organizzazioni e i reparti IT sui compiti e le attività che devono svolgere. Il rischio è di non prendere sul serio le proprie responsabilità. Ci sono ancora molte organizzazioni che sono consapevoli delle proprie responsabilità in questo modello, ma preferirebbero di gran lunga convincersi di avere meno responsabilità per i propri dati Microsoft 365 di quante ne abbiano in realtà.

Best practice per l’implementazione del modello

Il primo passo per implementare in modo efficace il Modello a responsabilità condivisa in qualità di proprietario dei dati in Microsoft 365 è assicurarsi che i dati siano protetti tramite terze parti in grado di garantire che il backup sia separato dalla sua origine. Tuttavia, tutto questo richiede più di una qualsiasi soluzione di backup. Devi assicurarti di disporre della personalizzazione del backup, della flessibilità del ripristino e delle potenti funzionalità di ricerca richieste dalla tua azienda.

Come Veeam può esserti d’aiuto

Ora dovresti avere una migliore comprensione di ciò che Microsoft copre esattamente all’interno di Microsoft 365 e perché fa quello che fa. Senza un backup di Microsoft 365, hai un accesso e un controllo limitati sui tuoi dati, e puoi facilmente cadere vittima di lacune nella policy di retention e dei pericoli legati alla perdita dei dati. Puoi anche esporti ad alcuni gravi rischi di sicurezza, interni ed esterni, oltre all’esposizione normativa. Sebbene l’adozione del backup di Microsoft 365 di terze parti sia in aumento, un sondaggio ha rilevato che, sorprendentemente, il 71% delle aziende non era ancora protetto. 

Stai cercando una soluzione di backup di Microsoft 365 semplice e facile da usare?

Basta guardare al leader di settore. Veeam offre due opzioni principali per proteggere Microsoft 365:

Veeam non è solo un leader nel Magic Quadrant di Gartner, ma è stata anche valutata con la capacità di esecuzione più elevata per la quinta volta. Prova Veeam e potrai constatarlo di persona!

Contenuti correlati

Exit mobile version