Office 365 en back-ups: extra huiswerk voor scholen

Hoe veilig zijn Office 365-gegevens in de cloud? Veel onderwijsorganisaties vertrouwen volledig op Microsoft vanuit het idee ‘het zit wel goed in de cloud’. Zij vergeten daarbij alleen wel dat de standaardmogelijkheden niet al hun eisen afdekken en dat zij zelf verantwoordelijk blijven voor hun data.

Met Microsoft Office 365 draait je volledige Office-omgeving in de cloud. Je zou zeggen dat je data hier veilig zijn; het is een stabiele omgeving en je data staan veilig op de servers van Microsoft; dat biedt zekerheid voor dagelijks gebruik. Als het om cloudsoftware gaat is dit de denkwijze die veel organisaties hanteren. Uit onderzoek van 451 Research blijkt bijvoorbeeld dat bijna de helft volledig vertrouwt op de cloudleverancier als het gaat om back-ups en het terughalen van verloren gegane data (recovery). Slechts een kwart maakt zelf actief back-ups of gebruikt hier een oplossing van een derde partij voor.

Bestaande mogelijkheden schieten tekort

Hoezo is dit een probleem? Office 365 biedt toch back-up en recovery? “Terechte vragen, maar deze mogelijkheden hebben wel zo hun beperkingen”, zegt Pieter Oosterhof, licentiemanager bij SLBdiensten. “Er zijn verschillende problemen. Maar de belangrijkste is dat de standaardbewaarperiode die Microsoft aanhoudt voor data verschilt per Office-onderdeel en ook niet standaard voldoet aan de eisen vanuit de overheid, zoals de bewaarplicht voor bepaalde documenten. Dit is niet alleen mijn mening, dit wordt ook onderschreven door onderzoek van onder meer Gartner.” Microsoft biedt gebruikers een back-up van de hele omgeving, retentie, ‘versioning’ (het bewaren van verschillende versies van gewijzigde bestanden) en een restore-proces. Maar een restoreverzoek van je hele omgeving kan dagen duren en is niet gratis.

“Er is op dit moment nog te weinig bewustzijn rondom het onderwerp back-ups, waardoor scholen kwetsbaarder zijn dan zij beseffen”

Wanneer datagegevens worden weggegooid, worden ze opgeslagen in de recycle bin. De inrichting van dit proces verschilt voor applicaties als Sharepoint, OneDrive en Exchange. Zo is de standaardbewaarperiode van bestanden na het leegmaken van de prullenbak binnen Exchange 14 dagen (uit te breiden tot 30 dagen voor beheerders) en 93 dagen voor Sharepoint. Na deze periode zijn bestanden permanent verwijderd. Deze periode is zelfs niet gegarandeerd. Bijvoorbeeld wanneer de maximale capaciteit voor Sharepoint wordt overschreden voor de gehele gebruikersorganisatie, wist Microsoft automatisch bestanden in de prullenbakken om ruimte vrij te maken.

Retentie

Met retentiebeleid voorkom je dat belangrijke informatie verwijderd wordt. Bijvoorbeeld voor de administratie, contracten, agenda-afspraken, maar ook voor een mailbox van een oud-werknemer. Daarmee worden deze gegevens wel degelijk voor een bepaalde periode bewaard.

Helaas zijn de Office 365-tools voor de back-up niet heel eenvoudig in gebruik, omdat zij niet primair ontwikkeld zijn voor back-up en restoredoeleinden. “Daardoor missen zij verschillende functionaliteiten, bijvoorbeeld om bestanden in bulk te herstellen naar een bepaald punt in de tijd. Binnen Office is deze mogelijkheid er alleen per afzonderlijk bestand of de hele omgeving, waardoor de mogelijkheid ontbreekt om snel te herstellen na een ransomware-aanval.”

Los daarvan is het onderbrengen van back-ups op dezelfde locatie als van de oorspronkelijke data ook onverstandig. “Als het gaat om databescherming geldt de 3-2-1-regel”, zegt Oosterhof. “Bewaar altijd minstens drie versies van een bestand, op twee verschillende plekken waarvan één vaak on-premise is en met een kopie elders. En eigenlijk zou je daar nog aan toe moeten voegen: niet bij één leverancier. Want als puntje bij paaltje komt garandeert Microsoft alleen de beschikbaarheid van het platform en niet de data. Daarvoor blijf je als klant zelf verantwoordelijk. Niet onbelangrijk, want de AVG schrijft dit ook zo voor.”

“Als het gaat om databescherming geldt de 3-2-1-regel: bewaar altijd minstens 3 versies van een bestand, op 2 verschillende plekken waarvan 1 on-premise en met een kopie elders” 

Ga voor goedkoper, veiliger en gemakkelijker

Wil je gebruikmaken van een backup-optie van Microsoft, bedenk dan dat dit maar tot een bepaalde periode terug de tijd in kan en dat het veel tijd gaat kosten. Alle reden dus om je eens goed te verdiepen in de beschikbare back-up-oplossingen in de markt. Oosterhof heeft dit zelf ook gedaan en erkent dat dit geen makkelijk karwei is. “Het aanbod en de door leveranciers geboden mogelijkheden veranderen voortdurend.” Maar overall valt wel te zeggen dat deze oplossingen meestal lagere kosten en een groter gebruiksgemak met zich meebrengen dan de dekking die Microsoft biedt.

“Er zijn allerlei gradaties als het gaat om bescherming van data, de ene partij gaat daarin wat verder dan de andere”, zegt Oosterhof. “Worden metadata bijvoorbeeld ook bewaard en is er dekking voor alle workloads? Niet alleen Sharepoint, Exchange en OneDrive, maar ook voor je data in pakweg Teams. En wat is de gemiddelde back-upsnelheid? Omdat je als onderwijsorganisatie met grote datahoeveelheden te maken hebt, is dat ook van belang.”

Vaak kwetsbaarder dan gedacht

Elke organisatie zal hierin zijn eigen afwegingen maken. Voor de één zal de behoorlijk ‘premium’ aandoende propositie van het Deense KeepIt aantrekkelijk zijn, terwijl de ander naar een aanbieder als Barracuda kijkt. “Nog steeds zeer compleet, bijvoorbeeld met de inclusie van metadata als onderdeel van je back-ups vanaf het eerste kwartaal van 2020, maar ook interessant vanwege de gratis licenties voor studenten.” Andere aanbieders zijn onder meer Veeam, Arcserve en Acronis. “Ook die zijn het overwegen waard. Ik zou scholen in ieder geval willen aanraden om eens goed na te denken over hun beleid rondom back-up en recovery en om hun zwakke plekken in kaart te brengen. Want er is op dit moment nog te weinig bewustzijn rondom het onderwerp back-ups, waardoor scholen kwetsbaarder zijn dan zij beseffen.”