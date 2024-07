Software-as-a-Service-Anwendungen (SaaS) sind heute genauso in jedem Rechenzentrum zu finden wie die Nutzung von Cloud-Services. Dabei haben Unternehmen verstanden, dass es sich bei der Sicherung von SaaS-Daten um eine geteilte Verantwortung handelt. Darüber hinaus müssen IT-Verantwortliche bei Backup- und Recovery-Strategien auch die Compliance-Vorgaben beachten. Diese Mischung an Anforderungen führt viele IT-Entscheider zu der Wahl eines Cloud-Dienstes, um sichere und zuverlässige Backups und Wiederherstellungen zu gewährleisten. Anwender, die dabei nicht unbedingt auf große Hyperscaler setzen wollen, können im europäischen Raum den Anbieter Keepit nutzen, der seine Services Cloud-nativ auf SaaS-Anwendungen abgestimmt hat.

Keepit bietet derzeit Support für einige der wichtigsten und am häufigsten genutzten SaaS-Tools:

Innerhalb Microsoft 365 sichert die Lösung Exchange Online, OneDrive, SharePoint, Gruppen und Teams. Weitere Applikationen werden folgen und Anwender können auf der Webseite des Anbieters die aktuellen Release Noteseinsehen.

Der Anbieter stellt Rechenzentren in den Regionen USA, Canada, Australien, UK, Deutschland, Dänemark und der Schweiz weltweit zur Verfügung. Dies soll sicherstellen, dass Kunden, die ihre Daten nicht überall vorhalten können, dies in der eigenen Region tun können. Diese Ressourcen sind unter anderem für NIST, HIPAA, PCI und ISO/IEC 27001zertifiziert.

Für hohe Datenverfügbarkeit und Schutz vor Datenverlust werden vier Kopien angefertigt und jeweils zwei in unterschiedlichen Rechenzentren und dort an unterschiedlichen Speicherplätzen abgelegt, was hohe Redundanz gewährleistet, die nicht auf Ressourcenkosten den Kunden geht.

Keepit offeriert für jede SaaS-Anwendung drei verschiedene Preismodelle: Business Essentials, Enterprise Unlimited und Governance Plus. Die unterschiedlichen Funktionen lassen sich auf der Pricing-Seite je nach Applikation abrufen. Für konkrete Preise müssen interessierte IT-Verantwortliche den Anbieter kontaktieren. In der Regel wird pro Seat abgerechnet und zusätzliche Kosten für Zugriff, Egress oder Ingress fallen laut Keepit nicht an. Darüber hinaus gibt es das kostenfreie Angebot Identity Basics, das für Azure AD Standard konzipiert wurde und Nutzer, Gruppen, Rollenzuweisungen sowie Admin Units sichert. Identity Basics bietet Datenaufbewahrung für ein Jahr und Sicherheitsfunktionen wie SSO ( Single Sign-On ) und MFA ( Multifaktor-Authentifizierung ). Das Paket Business Essentials richtet sich an kleinere Unternehmen, die nur begrenzte Aufbewahrungsanforderungen haben beziehungsweise erfüllen müssen. Enterprise Unlimited soll die Bedürfnisse größerer Umgebungen adressieren, wobei hier unbegrenzte Datenvorhaltung , umfassender API -Support und Rund-um-die-Uhr-Service integriert sind. Governance Plus ist für hochregulierte Branchen gedacht, die komplexe Compliance-Vorgaben erfüllen müssen. Dieses Angebot umfasst die Features von Enterprise Unlimited sowie Regulierungsschreiben und Änderungen und angepasste Datenverarbeitungsvereinbarung (Data Processing Agreement, DPA). Besonders wählerischen Anwender haben zudem die Möglichkeit, individuelle Bundles anzufragen und zu verhandeln.

Installation, Verwaltung und Dashboard

Keepit verspricht, dass sich das erste Setup innerhalb von fünf Minuten durchführen lässt, unabhängig von der Größe des Unternehmens. Dafür muss der Administrator im ersten Schritt einen Connector für die jeweilige SaaS-Anwendung anlegen. Die Keepit-Plattform lässt sich gleichzeitig für mehrere Apps nutzen und über das Dashboard ansteuern.

Abbildung 2: In wenigen Minuten lässt sich ein neuer Connector für eine SaaS-App anlegen.

Das Dashboard ist übersichtlich und einfach verständlich gestaltet. Der Admin erhält eine Bestätigung, wenn der Connector angelegt ist zusammen mit einer kurzen Zusammenfassung über den Account. Danach kann das Backup individuell konfiguriert werden.

Dabei kann der IT-Verantwortliche beispielsweise für Microsoft 365 auswählen, welche Quellen ins Backup integriert werden sollen, so zum Beispiel Groups & Teams, Chats oder SharePoint.

Abbildung 3: Das Dashboard ermöglicht eine schnelle und einfach Konfiguration der jeweiligen Backups.

Auf einer höheren Eben im Menüpunkt Connector sieht der Admin alle seine eingerichteten Connectors und kann sie unkompliziert auswählen und verwalten.

Abbildung 4: Der Admin kann alle seine SaaS-Connectors über das Dashboard einsehen und verwalten.

Konfiguration

Die Konfiguration der Backup-Jobs gestaltet sich dank der Benutzeroberfläche ebenso übersichtlich. Das System zeigt, ob ein Backup eingerichtet, konfiguriert und gestartet wurde. Ebenso lässt sich der Start- und Endzeitpunkt der Datensicherung einsehen und ob der Prozess erfolgreich abgeschlossen wurde.

Abbildung 5: Der Admin kann sofort sehen, ob ein Backup angelegt oder gestartet wurde und dies für jede SaaS-App individuell.

Anwender können granular auswählen, welche Elemente der einzelnen SaaS-Anwendungen in das Backup integriert werden sollen. In der folgenden Abbildung wurden zum Beispiel die Teams Chats nicht für die Datensicherung angeklickt.

Abbildung 6: Auf dieser Ebene kann der Admin die zu sichernden Komponenten für das Backup definieren und das Backup direkt starten.

Auch innerhalb der spezifizierten Backup-Elemente kann detailliert der zu sichernde Inhalt bestimmt werden, beispielsweise die Art der Mails, die ins Backup aufgenommen werden sollen.

Abbildung 7: Granulare Datenauswahl optimiert nicht nur das Backup, sondern auch das Restore.

Bei der Nutzung verschiedener Connectors beziehungsweise SaaS-Apps unterschiedet sich die Benutzeroberfläche nur minimal, sodass die Haptik der Bedienung immer gleichbleibt. Kann der Administrator unter Microsoft 365 zwischen Teams, SharePoint oder Exchange wählen, sieht das GUI für EntraID nur wenig anders aus.

Abbildung 8: Das Dashboard bietet für alle unterschiedlichen SaaS-Apps eine ähnliche Konfigurationsoberfläche.

Monitoring

Das Monitoring gibt sofortige Einblicke in die Leistung aktueller und vergangener Sicherungsaufträge. Es zeigt einen Überblick über alle Connector-Aktivitäten an, insbesondere über alle vergangenen, aktuellen und geplanten Aufträge. Der Job-Monitor zeigt auch Statistiken zu jedem Auftrag (unter anderem die Größe des Backups oder die Anzahl der wiederhergestellten Objekte), die Gründe für unvollständige Aufträge und eine Liste der übersprungenen Objekte.

Abbildung 9: Das Monitoring gibt den Gesundheitsstatus der Daten sowie kommende und ältere Backup-Aufträge und die gesicherten Inhalte an.

Die Plattform benachrichtigt IT-Verantwortliche automatisch, wenn Risiken oder Probleme mit dem Backup auftreten. In den meisten Fällen kann die adaptive Cloud-Backup-Engine Unterbrechungsprobleme erfolgreich umgehen, wie zum Beispiel die Übertragung von Daten aus der primären Arbeitslast, aber in Fällen, in denen die Automatisierung nicht ausreicht, erfordert das System einen manuellen Eingriff.

Abbildung 10: Alle Backup-Jobs werden mit allen relevanten Details aufgeführt.

Darüber hinaus stehen den Admins grafische Visualisierungen zur Verfügung, die genaue Leistungsmetriken ersichtlich macht. So sind beispielsweise die Größe der Daten, die Anzahl der geänderten Daten oder die Größe der Snapshotseinsehbar.

Abbildung 11: Grafische Darstellungen verdeutlichen die Resultate des Monitorings.

Restore

Wie bereits erwähnt sind über das Dashboard sofortige Datenwiederherstellungen (Instant Restore) möglich. Dafür steht dem Anwender eine umfassende Suchfunktion zur Verfügung. Diese Funktion heißt Universal Restore View und ermöglicht es, Daten mit einem Mausklick sofort wieder in den primären Datensatz zurückzukopieren, und dies bei voller Granularität.

Die Suche lässt sich über alle Connectors hinweg und unabhängig vom eigenen Standort über den Browser durchführen. Dabei lässt sich sehr genau nach einzelnen Datensätzen suchen, von übergeordneten Ordnern bis hin zu Dateien wie Videos, Bildern, E-Mails oder Dokumenten. Der Admin kann die Suche zudem auf Größe, Datum oder anderen Parametern der Datenobjekte ausweiten.

Abbildung 12: Administratoren können einzelne Snapshots oder Files für eine Wiederherstellung auswählen.

Ein Restore lässt sich auf verschiedene Weise durchführen:

In-Place Restore

Granular Restore

Cross-User Restore

Der Restore-Prozess kann auf zwei Wegen umgesetzt werden – mittel einem Shared Link oder über einen Restore Wizard.

Mit einem Shared Link sendet der Admin einen schreibgeschützten Link zu einer Online-Version der gefundenen Daten. Für Sicherheitsgründe kann der Link zeitabhängig und passwortgeschützt sein. Dieses sehr Tool ermöglicht den Endbenutzern einen schnellen, einfachen und sicheren Zugriff auf die gelöschten oder verlorenen Daten, von denen die Nutzer dann schnell die richtige Version herunterladen und verwenden können.

Abbildung 13: Für einzelne Dateien kann der Anwender entscheiden, ob die jüngste Version oder alle vorhandenen Versionen wiederhergestellt werden sollen.

Der Restore Wizard führt durch die Wiederherstellung von Daten in einem der wichtigsten Microsoft-365-Datenbereiche: Exchange (einschließlich öffentlicher Ordner), OneDrive, SharePoint oder Gruppen & Teams. Mit dem Assistenten können Anwender den Snapshot auswählen, von dem aus sie wiederherstellen möchten, den Umfang der Daten, die Wiederherstellungsmethode und die Behandlung von Duplikaten. Alle Daten können an Ort und Stelle wiederhergestellt werden, das heißt an ihrem ursprünglichen Speicherort. Mail, Kalender, In-Place-Archive und OneDrive können auch in einem neuen Ordner wiederhergestellt werden, sodass die Daten an einem neuen Speicherort im selben Benutzerkonto wiederhergestellt werden.

Audit Log

Damit Admins im Nachhinein dokumentieren können, wird im Audit Log festgehalten, wer was wann getan hat. Das Audit-Protokoll ist sowohl über die Benutzeroberfläche als auch über die API für die Integration in Produkte von Drittanbietern wie zum Beispiel Protokollanalyse-Tools verfügbar.

Abbildung 14: Das Audit Log soll sicherstellen, dass Compliance-Vorgaben erfüllt werden.

Die RTBF-Kennzeichnungen (Right to be Forgotten) stellen sicher, dass Datenelemente nicht in der Produktionsdatenbank wiederhergestellt werden können. RTBF-Labels schützen Dateien, indem sie verhindern, dass sie in Übereinstimmung mit der DSGVO in der Vorschau angezeigt, heruntergeladen oder wiederhergestellt werden.

Zugriffskontrolle

Die Zugriffskontrolle ist insbesondere bei Cloud-nativen Anwendungen von großer Bedeutung. Über eine integrierte rollenbasierte Zugriffskontrolle gibt Keepit dem Admin die Möglichkeit, spezifische Nutzerrollen festzulegen. So ist zum Beispiel jeder neu angelegte Connector nur für den Master-Administrator, Compliance-Admin und Audit-Verantwortliche zugreifbar. Der Backup-Admin kann diesen Connector nur einsehen, wenn er ihn selbst angelegt hat. Mittels eines Lock-Symbols lassen sich dann generelle Zugriffe erlauben oder verhindern.

Anwender mit beschränkten Zugriffsrechten sehen die unzugänglichen Connectors ausgegraut und haben keinerlei Einsicht in die Details des Connectors. Das System merkt sich, auf welche Connectors ein Benutzer Zugriff hatte, wenn ihm bestimmte Benutzerrollen zugewiesen wurden.