Proč jít do Exchange Online
Cloudové technologie patří již několik let ke žhavým tématům a mnoho firem postupně opouští zažité prostředí serverů ve vlastním datacentru, nebo serverů pronajatých od třetí strany, a přechází do cloudu. Jedním z největších, nebo možná největším poskytovatelem je potom ekosystém Microsoft Azure / Microsoft 365 kam patří Exchange Online. Exchange Online bývá první službou, která se do cloudu přenáší, je prvním migračním projektem a také prvním setkáním uživatelů s cloudem. Pokud je vše správně, tak se teoreticky pro uživatele se nic zásadního nezmění, co se týče přístupu k poště, každopádně na pozadí je vše už jinak.
Uživatelé, ale, nejsou cílovou skupinou tohoto článku – pojďme se teď podívat na to, co by Vás mělo přesvědčit k migraci do cloudu. Je tu několik argumentů, které se používají často, ale které trochu strhám, protože je považuji za samozřejmost u každého emailového serveru / řešení, které může mít firma nasazeno.
Single Sign on
Častým argumentem je Single Sign-on (SSO), ale na rovinu – pokud máte on premises Exchange server, pak není problém SSO nastavit a provozovat – jedná se prostě o nastavení Kerberos ověřování a jeho delegaci na účty Exchange serverů. Stejně tak lze i Google mail přesvědčit k tomu, aby se ověřoval proti Active Directory, byť trochu složitěji. I emailové servery jako Kerio Connect se umí ověřovat vůči Active Directory pomocí SSO, byť pouze pomocí NTLM.
Přístup odkudkoliv
Druhým argumentem, který vypustím pro “neplatnost” je přístup odkudkoliv. Není žádný problém Exchange služby publikovat do internetu a používat je potom odkudkoliv, mít připojená mobilní zařízení, domácí počítače, bez nutnosti VPN a dalších obstrukcí. Všechna omezení veřejného přístupu vycházejí z bezpečnostních požadavků firmy – při delším zamyšlení je tento bod poloviční. Můžete s on-premises serverem jít na trh a publikovat všechny potřebné služby do internetu, ale potom je třeba všechno opravdu důkladně zajistit, zabezpečit a neustále hlídat, ideálně nasadit AD FS, nebo analogickou službu...
Spolehlivost a dostupnost
Druhý poloviční bod – Exchange Online má opravdu extrémně vysokou dostupnost – za poslední rok a půl neklesla pod 99,97% a většinou je vyšší. (https://docs.microsoft.com/en-us/office365/servicedescriptions/office-365-platform-service-description/service-health-and-continuity) Dosáhnout takovýchto hodnot u on premises řešení není nemožné, jen je to spousta práce a prostředí na to musí být připravené a správně spravované. Samozřejmě to nepůjde se dvěma Exchange servery, které oba jedou na svojí maximální kapacitě, ale je třeba mít postaveno prostředí s dostatečnou kapacitou pro výpadek tak, aby bylo možné provádět údržbu bez omezení služeb. Ale k tomu dále.
A teď k Top Ten!
10. Flexibilita hybridu
Exchange hybrid je skvělá věc pro všechny velikosti podniků – ať už se v hybridním scénáři firma ocitne kvůli tomu, že již předtím používala vlastní Microsoft Exchange Server, nebo kvůli tomu, že to zní jako dobrý nápad. Hybrid nabízí kromě několika málo omezení hlavně spoustu výhod. Velkým tématem u jakéhokoliv emailového řešení je místo. Emaily zabírají spoustu místa, je třeba je zálohovat atd. Zbraň, kterou hybrid nabízí, je přesun velkých schránek, které správcům vyrábí těžké noci, do cloudu, kde si mohou žít v pohodlném prostředí s vysokými limity (viz další kapitoly). Odpadne nutnost jejich zálohování, uvolní se spousta místa, a přitom uživatelé nic nepocítí. Malé mailboxy je možné nechat na on premises serverech a ušetřit tak licence za cloudové mailboxy. Plus je možné samozřejmě pro všechny uživatele používat služby Exchange Online Protection, ať už jsou v cloudu, nebo na on premises (na což jsou třeba licence pro všechny).
9. Velikost schránek, limity a archiv
Když se vrátím k předchozímu bodu, velkou výhodou cloudového Exchange Online, jsou nastavené limity služby. Pokud spravujete větší prostředí, je třeba udržet schránky kvůli úložišti na rozumné velikosti. Bohužel, zkušenosti hovoří jasně – pokud nastavíte pevný limit na velikost mailboxu, minimálně 10% uživatelů ho přesáhne. Potom nastává zábava s exporty do PST, kde administrátoři nemají žádnou kontrolu, ztráta dat při havárii, nebo zcizení počítače atd. Základní velikost (s výjimkou Microsoft 365 Frontline subskripcí, kde je velikost 2 GB ) e-mailové schránky je 50GB (a to i pro schránky zdrojů a sdílené schránky), u vyšších plánů potom 100 GB + neomezený archiv ( prakticky omezený na cca 1,1 TB ). To jsou velikosti schránek, které by si na on premises prostředí vyžádaly pro středně velkou společnost stovky TB úložiště na schránky, transakční logy a zálohy, nebo kopie databází.
Pokud s tím spojíme i limity pro velikost zprávy a přílohy 150 MB, je jasné že objem úložiště, který dává Microsoft k dispozici je obrovský. Není třeba řešit, jestli můžete lidem z obchodního zvednout limit na 10 GB, aby si mohli nechat i staré e-maily, nebo nepouštět přílohy větší než 10 MB.
8. Napojení na celý ekosystém Microsoft 365 & spolupráce
Spolupráce mezi lidmi, odděleními, firmami… moderní spolupráce. Exchange Online je pevně a bez překážek ukotven v celém ekosystém, a dalo by se říct, že je jedním z hlavních nosných prvků. Přes Exchange Online se rozesílají pozvánky ze SharePointu, umožňuje odesílat zprávy o nasdílení souboru z OneDrive, doručit soubor, odpovídat z Outlooku na chat v Microsoft Teams, přílohy v podporovaných formátech (Office .docx, .xlsx, .pptx, .pdf ) je možné zobrazit již v okně e-mailového klienta na PC, Mac i v mobilních zařízeních a upravovat je za pochodu, plánovat schůzky s lidmi nebo skupinami pomocí aplikace FindTime, používat e-mailové workflow přes Microsoft Flow… Možností je tolik a vlastně u žádné z aplikací nepálíte čas nasazením a integrací.
7. eDiscovery
Občas se stává, že se ve firmě, nebo okolo firmy, stane nějaká nepříjemnost. Sběr informací k vyšetřování je vždycky složitá věc, ale eDiscovery umí velmi dobře pomoci. Jedná se o vyhledávání nad všemi úložišti v Microsoft 365, a tedy i e-maily, a je možné vyhledávat podle mnoha parametrů. Nemusí se jednat ani o vyšetřování. Potřebujete zjistit, kdo ze zaměstnanců komunikuje s firmou, kam se materiály v rámci firmy dostaly, nebo zjistit, jestli se mezi lidmi nepřeposílají důvěrné informace? Důkaz, že někdo v e-mailu vypustil tajnou informaci, které se neměla dostat ven? Na tohle všechno je eDiscovery. To vše v přesně daném procesu, s granulárními pověřeními a ve formátu, který je možno prezentovat i mimo firmu.
6. Litigation & In-Place Hold
Službami, respektive funkcionalitami spojenými s ochranou informací, předcházení právním problémům, nebo řešení požadavků spojenými s uchováváním informací řeší Litigation hold a In-Place hold. Litigation hold, nebo-li zadržení informací pro vedení sporu je funkce, kdy v e-mailové schránce jsou zadržovány všechny informace a e-maily, i ty smazané, které potom nejsou dostupné uživateli, a zdají se být opravdu smazány tak, jako kdyby je uživatel smazal a vysypal koš, ale je možné nad nimi právě pomocí eDiscovery případu provádět vyhledávání a výsledky sdílet dotčeným stranám. In-Place hold umožňuje víceméně to samé, jen je možno uchovávat informace rovnou podle klíče, nebo dotazu. Tzn. definovat nějaký KQL dotaz (Keyword Query Language) a uchovávat pouze e-maily, které splňují tyto požadavky. Každopádně In-Place Hold je jako funkcionalita náležející k původním eDiscovery nástrojům vyřazován a možnost zapnout In-Place hold bude odstraněna 1. října 2020. Dochází tak ke konsolidaci eDiscovery a nástrojů Exchange Online do Microsoft 365 Compliance Center, kde jsou k dispozici nové nástroje.
5. Šifrování a podepisování emailů
Zlepšení reputace e-mailů jak interně, tak pro externí příjemce, je rozhodně dobrý nápad. Nasazení šifrování a zabezpečení e-mailu je součástí best practices a Exchange Online v tomto poskytuje nástroj v podobě Office 365 Message Encryption neboli OME. To umožňuje, jak pouze šifrovat obsah, tak použít šablonu „Do not forward“, tedy zakázat přeposlání e-mailu.
Dalším nástrojem, kterým se řeší ne zabezpečení, ale zlepšení reputace e-mailů, je nasazení DKIM, tedy elektronické podepsání hlavičky e-mailu a tím potvrzení toho, zda e-mail opravdu pochází z organizace, ze které to tvrdí. Nasazení DKIM na on premises Exchange serverech vyžaduje nasazení nějakého programu třetí strany (DKIM Signer), který toto řeší, neboť Exchange Server toto neumí nativně. Exchange Online ale touto funkcionalitou disponuje v základu a je to pouze otázka zapnutí podepisování pro doménu a nastavení DNS záznamů. Jednoduché a velmi účinné. V kombinaci s DMARC záznamem a SPF je to jedna ze zásadních věcí, kterou by měla nasadit každá firma a Exchange Online toto umožňuje tak jednoduše, jak to jen lze.
4. Bezpečnost
Bezpečnost Exchange Online se skládá v principu ze dvou věcí – zaprvé dat jako takových ať už na discích na serverech, nebo při přenosu a pak ochranu přístupu ke službě jako takové. Za druhé zabezpečení přístupu.
K prvnímu bodu – všechna data jsou šifrována, ať už je to na discích v datových centrech, kde jsou šifrována BitLockerem, tak v přenosu, kde jsou všechny přenosy zabezpečeny pomocí TLS 1.2 a nejsilnější šifry, kterou protistrana umožňuje.
K bodu druhému – to je komplexní věc, a možná by si zasloužila i vlastní odstavec, ale vezměme to jednoduše. Zabezpečení Exchange serveru je vždy otázka toho, aby byly servery patchovány kvůli nejnovějším exploitům a hrozbám, docházelo k blokování již na úrovni firewallu, přístupu ke službě atd. Exchange Online má k dispozici celý security team Azure, který neustále vyhodnocuje hrozby, útoky a má k dispozici, vzhledem k velikosti prostředí, které spravuje, obrovský přísun dat pro vyhodnocení a učení. Přesto Microsoft spolupracuje s dalšími předními dodavateli internetové bezpečnosti, aby měli opravdu vše, co je třeba a byli schopni poskytnout prémiovou ochranu vašich dat. Druhou částí je patchování, které probíhá na pozadí, bez výpadku, ale vždy včas. Žádné výpadky kvůli instalaci patchů, nebo kvůli tomu, že poslední Windows Update něco rozbil. Pamatování na releasy, pročítání článků atd. Patchování a údržba probíhá automaticky. A to šetří čas, který můžete investovat na rozvoj firmy.
Poslední věcí, která není nativní pro Exchange Online, ale vztahuje se na celý svět Microsoft 365 je vícefaktorové ověřování, neboli MFA. Schválení přístupu do prostředí pomocí dalšího faktoru – kódu z SMS, schválení v aplikaci, hovoru… I když dojde k prolomení hesla, útočník není schopen se přihlásit, dokud nedostane druhý faktor, a ten mu nikdo nedá. Dohromady s nasazením MFA je též žádoucí vypnout starší metody ověřování.
To všechno dělá z Exchange Online velmi bezpečné prostředí. Samozřejmě nic není samospásné a je třeba dodržovat bezpečnostní zásady, neotevírat neznámé přílohy, neklikat na odkazy, nevyplňovat přihlášení do neznámých stránek a podobně. Celková bezpečnost je ovšem na velmi vysoké úrovni.
3. SPAM
K bodu třetímu – SPAM – věc otravná, nebezpečná, nesoucí, jak se v posledních týdnech a měsících ukázalo, obrovský potenciál k ohrožení dat a chodu celé firmy. Malwarem v e-mailech je možné infikovat počítače uvnitř firmy ransomwarem, pomocí phishingových útoků je možné vylákat přístupy k důležitým účtům. Exchange Online Protection je jedno z nejlepších řešení na trhu. Honosí se tím, že zastaví 100% známých virů a zastaví až 99% spamu. Všechny e-maily do Exchange Online procházejí přes pět vrstev filtrů. Sami můžete upravit další spousty nastavení, blokovat nebo povolovat odmény, IP adresy a rozsahy, jazyky a další. Stejně tak odchozí e-maily jsou kontrolovány a pokud je detekován odchozí malware nebo spam, je odesílatel uvržen do karantény a je mu odepřena možnost rozesílat další e-maily.
S tím je spojena i funkce Zero-Hour Auto Purge (ZAP), kdy je po několik dní držena databáze doručených e-mail v organizaci, a pokud je identifikován nový virus, nebo je odhaleno, že se odkaz v e-mailu změnil a začal být nebezpečný, jsou tyto e-maily zpětně zprocesovány v celé organizaci, a přesunuty do karantény. To vše se děje automaticky.
Jsou další technologie, které je možno na Exchange Online navázat, například Safe Links (kontrola odkazů) a Safe Attachments (kontrola příchozích příloh), kdy dochází k velmi pokročilé kontrole příchozích e-mailů, kdy jsou přílohy a odkazy kontrolovány v „detonační komoře“, ale toto jsou již příplatkové funkce. Každopádně stojí za to se na ně podívat a jejich nasazení alespoň zvážit.
2. DLP politiky
Spousta firem investuje peníze a čas zaměstnanců do školení toho, co je a není možno posílat mimo firmu, jaký druh dat nesdílet, co nikdy neposílat, na co si dávat v emailové komunikaci pozor. DLP politiky (Data Loss Prevention) umožňují značnou část této agendy přenést z uživatelů, kteří prostě chybují, nebo zapomínají, na stranu e-mailového systému. Exchange Online umožňuje používání DLP politik, kterými můžete blokovat odchozí e-maily, pokud obsahují soukromé, nebo identifikační údaje, čísla karet, citlivá data, nebo jen upozorňovat uživatele, popřípadě dát možnost e-mail odeslat se schválením. Politiky je možno nastavit velmi podrobně, udělovat výjimky, citlivost spuštění pravidla a jeho limity tak, aby nedocházelo k omezení práce zaměstnanců, ale přitom nedocházelo k úniku dat, anebo byl takový únik identifikován, pokud se nejedná o závažné porušení.
1. Compliance - GDPR a ti další…
Mnoho společností je podřízeno nějakým regulačním požadavkům. V Evropě minimálně všichni podléhají GDPR, mnoho firem má ISO 27001 certifikaci, nebo se jedná o mezinárodní organizace, které musejí splňovat zahraniční standardy jako HIPAA/HITECH, FIPS 140-2 a další z mnohých. Exchange Online není v základu v souladu s těmito normami, ale je celý navržen tak, že je možné jej velmi jednoduše nastavit tak, aby v souladu byl. Není třeba rozsáhlých auditů a doporučení, ale držet se best practices, k mnohým standardům jsou dokonce vyrobeny šablony, podle kterých lze postupovat. A tím si opět ušetřit spoustu času, práce a peněz na jiné věci.
0. Cena
Poslední bod, který je vlastně jedenáctý, je víceméně shrnutím všech předchozích. Cena. Věc, která je samozřejmě až na prvním místě. Dost často se v článcích cenou argumentuje, ale bez dostatečného podložení.
Pokud bychom počítali stylem „Jedna licence Exchange Online Plan 2 stojí 6,70€ na měsíc“ každý si spočítá, že měsíční náklad na firmu o tisíci uživatelích bude poměrně rychle přerůstat cenu pořízení vlastní farmy Exchange Serverů s úložištěm atd. K argumentu se potom většinou připojuje „pomyslete na údržbu hardware, provoz datacentra a licence“, ale ani to ve výsledku nebude ekonomicky dávat příliš smysl, protože firma, která má vlastní Exchange bude mít desítky dalších serverů, takže v celkových nákladech provoz serverů není žádné zvláštní číslo.
Kdy to ale celé začne dávat smysl je, když kromě pořízení serverů, licence na Exchange Servery a Windows Server, CALy, pořízení storage, a dalšího místa na zálohy, elektřinu a klimatizaci začnete přidávat další položky. On premises MFA server, vlastní emailovou bránu / antispam, čas administrátorů, který každý měsíc vypálí na updatování serverů a testování patchů, časy výpadků, čas, který stráví hardeningem proti nejnovějším exploitů a jejich studium, cena řešení třetí strany na přidávání podpisů, cena load balanceru a jeho licencí, hlídání expirujících certifikátů a jejich obnovování a přidávání nových domén, čas, který stráví IT integrací s dalšími systémy. Po tom všem je třeba ještě přičíst přidanou hodnotu funkcí, které jsem popsal výše – Litigation hod, eDiscovery, snadnost nastavení souladu s GDPR a dalšími, šifrování a prostor, který dostane firma pro e-maily a o který se nemusí starat. Pro našich ukázkových tisíc uživatelů po 100 GB schránce a 1TB pro archiv… to už je spousta šuplíků. Navíc všechno toto se dá škálovat pouhým zakoupením dalších licencí. Najali jste 200 zaměstnanců? Nemusíte kupovat další storage, přidávat node do Exchange farmy, přikupovat licence na antispam, kupovat CALy, do všech certifikátů nasazených v prostředí přidávat novou doménu. Prostě koupíte 200 licencí – vyřešeno.
Všechny tyto argumenty jsou pro mne obrovským plusem a důvodem, proč se přestat bát a vydat se směrem k oblakům. Zvláště potom, co zkusíte i další služby Microsoft 365.
Sdílej v médiích