Wyobraź sobie poranek w firmie: pracownicy nie mogą się zalogować do poczty, aplikacji biznesowych, systemów CRM. Microsoft Teams milczy. SharePoint niedostępny. Przyczyna? Atak na Microsoft Entra ID - centralny system zarządzania tożsamościami - lub po prostu przypadkowe usunięcie krytycznych obiektów przez administratora.
Ten scenariusz nie jest fikcją. Według Microsoft Digital Defense Report 2024, Entra ID jest celem ponad 600 milionów ataków dziennie. W tym artykule wyjaśnimy, dlaczego backup Microsoft Entra ID stał się niezbędnym elementem strategii bezpieczeństwa i ciągłości działania.
Czym jest Microsoft Entra ID i dlaczego jest krytyczny dla biznesu?
Microsoft Entra ID (dawniej Azure Active Directory) to centralna platforma zarządzania tożsamościami i dostępem (IAM) dla ekosystemu Microsoft i nie tylko. To właśnie Entra ID decyduje, kto może zalogować się do jakich zasobów w Twojej organizacji.
Co zarządza Entra ID:
- Konta użytkowników i ich atrybuty
- Grupy i członkostwa (security groups, M365 groups)
- Rejestracje aplikacji (App Registrations) i Service Principals
- Polityki dostępu warunkowego (Conditional Access)
- Role i uprawnienia administracyjne
- Single Sign-On do tysięcy aplikacji SaaS
Integracje Entra ID:
- Microsoft 365 (Exchange, SharePoint, Teams, OneDrive)
- Azure cloud services
- Salesforce, Workday, ServiceNow
- Tysiące aplikacji w galerii Azure AD
- Aplikacje własne przez SAML/OIDC
Mówiąc wprost: jeśli Entra ID przestanie działać lub zostanie skompromitowane, cała organizacja staje. Nie ma logowania, nie ma dostępu do danych, nie ma pracy.
📚 Przeczytaj kompletny przewodnik: Backup: Zasada 3-2-1 i najlepsze praktyki backupu
Model współdzielonej odpowiedzialności Microsoft
Microsoft jasno komunikuje w dokumentacji: ochrona danych w Entra ID to odpowiedzialność klienta. To kluczowa informacja, którą wiele organizacji ignoruje.
| Obszar | Odpowiedzialność Microsoft | Odpowiedzialność klienta |
|---|---|---|
| Infrastruktura | ✓ Dostępność 99.99% | - |
| Geo-redundancja | ✓ Replikacja między DC | - |
| Dane użytkowników | - | ✓ Backup i recovery |
| Konfiguracja | - | ✓ Polityki, role, grupy |
| Przypadkowe usunięcia | Częściowo (30 dni) | ✓ Długoterminowa ochrona |
| Ransomware/malware | - | ✓ Ochrona i recovery |
| Compliance | - | ✓ Retencja logów, audyt |
Microsoft zapewnia, że infrastruktura będzie dostępna. Ale Twoje dane, konfiguracja i możliwość ich odtworzenia - to Twoja odpowiedzialność.
Jakie zagrożenia dotyczą Entra ID?
Cyberataki na tożsamości
Statystyki są alarmujące:
- 600 milionów ataków na tożsamości dziennie (Microsoft Digital Defense Report 2024)
- 277 dni - średni czas wykrycia i powstrzymania naruszenia (IBM Security)
- 3x więcej tożsamości do zarządzania przez wzrost machine identities
Atakujący wiedzą, że najszybszą drogą do kompromitacji organizacji jest przejęcie tożsamości. Atak na Entra ID daje dostęp do wszystkich połączonych systemów.
Błędy ludzkie i przypadkowe usunięcia
Nie wszystkie incydenty to cyberataki:
- Administrator przypadkowo usuwa grupę z 500 użytkownikami
- Skrypt PowerShell z błędem modyfikuje atrybuty masowo
- Źle skonfigurowana polityka Conditional Access blokuje wszystkich
- Usunięcie App Registration używanego przez krytyczną aplikację
Misconfigurations
Błędne konfiguracje to jeden z głównych wektorów incydentów:
- Zbyt szerokie uprawnienia dla Service Principals
- Brak MFA dla kont administracyjnych
- Nieaktualne polityki dostępu warunkowego
- Legacy authentication włączone “tymczasowo”
Insider threats
Pracownik odchodzący z firmy (lub zwalniany) może:
- Usunąć lub zmodyfikować krytyczne obiekty
- Wyeksportować dane przed odejściem
- Pozostawić “backdoor” przez ukryte App Registration
Co Microsoft chroni natywnie - i czego nie chroni
Microsoft Recycle Bin
Microsoft oferuje Recycle Bin dla usuniętych obiektów:
- Użytkownicy: możliwość odtworzenia przez 30 dni
- Grupy M365: możliwość odtworzenia przez 30 dni
- Security Groups: BRAK soft-delete - usunięcie jest permanentne
- App Registrations: BRAK soft-delete
- Service Principals: BRAK soft-delete
Logi i audyt
Microsoft przechowuje logi przez ograniczony czas:
- Sign-in logs: 30 dni (Entra ID P1/P2)
- Audit logs: 30 dni (Entra ID P1/P2)
- Provisioning logs: 30 dni
Dla compliance (GDPR, NIS2, DORA) często wymagana jest retencja minimum 1-2 lat.
Czego Microsoft NIE oferuje natywnie
- Point-in-time restore - nie możesz wrócić do stanu sprzed tygodnia
- Change detection - nie możesz łatwo porównać co się zmieniło
- Backup atrybutów - odtworzony user może nie mieć wszystkich atrybutów
- Długoterminowa retencja logów - max 30 dni w standardzie
- Forensic investigation - ograniczone możliwości dochodzenia
Dlaczego Recycle Bin nie wystarczy?
Scenariusz 1: Ransomware z opóźnionym działaniem
Ransomware infekuje środowisko, ale nie aktywuje się od razu. Przez 45 dni zbiera dane i modyfikuje konfigurację. Po 30 dniach obiekty usunięte “naturalnie” przez polityki retencji są nie do odzyskania z Recycle Bin.
Scenariusz 2: Atak na App Registration
Atakujący kompromituje App Registration używane przez krytyczną aplikację biznesową. Dodaje dodatkowe credentials, modyfikuje permissions. App Registration nie ma Recycle Bin - po usunięciu (nawet przez napastnika) jest stracone.
Scenariusz 3: Masowa modyfikacja atrybutów
Administrator uruchamia skrypt który miał zmienić tytuł stanowiska dla 10 osób. Przez błąd w filtrze zmienia dla 1000 osób. Recycle Bin nie pomoże - obiekty nie zostały usunięte, tylko zmodyfikowane.
Scenariusz 4: Compliance audit
Audytor prosi o logi logowań sprzed 6 miesięcy. Microsoft przechowuje je 30 dni. Bez zewnętrznego backupu - nie masz danych.
Kiedy backup Entra ID jest niezbędny?
Backup Microsoft Entra ID powinien być priorytetem gdy:
Wymogi compliance:
- DORA - Digital Operational Resilience Act dla sektora finansowego
- NIS2 - dyrektywa cyberbezpieczeństwa
- GDPR - retencja logów i możliwość rozliczalności
- ISO 27001 - zarządzanie ciągłością działania
Profil ryzyka:
- Duża organizacja (1000+ użytkowników)
- Złożone środowisko z wieloma App Registrations
- Integracje z krytycznymi aplikacjami biznesowymi
- Historia incydentów bezpieczeństwa
- Sektor finansowy, healthcare, critical infrastructure
Potrzeby operacyjne:
- Szybkie odtwarzanie po incydentach
- Forensic investigation capabilities
- Change tracking i audyt
- Długoterminowa retencja logów
Jak zabezpieczyć Microsoft Entra ID?
Rozwiązania backup dla Entra ID
Na rynku dostępne są dedykowane rozwiązania:
Veeam Data Cloud for Microsoft Entra ID:
- Backup-as-a-Service (SaaS)
- Ochrona users, groups, app registrations, logs
- Unlimited storage included
- Accelerated change detection
- Granular restore
Veeam Backup for Microsoft Entra ID:
- Self-managed software
- Deployment na własnej infrastrukturze
- Integracja z Veeam Data Platform
Best practices
- Backup wszystkich obiektów - users, groups, app registrations, service principals
- Backup logów - sign-in, audit, provisioning z długoterminową retencją
- Regularne testy restore - upewnij się że backup działa
- Change detection - monitoruj zmiany w tenantie
- Data sovereignty - przechowuj backup w odpowiednim regionie (EU dla GDPR)
Podsumowanie
Microsoft Entra ID to krytyczny element infrastruktury IT każdej organizacji korzystającej z ekosystemu Microsoft. Model współdzielonej odpowiedzialności jasno wskazuje, że ochrona danych Entra ID to Twoja odpowiedzialność.
Natywne mechanizmy Microsoft (Recycle Bin, podstawowa retencja logów) nie zapewniają:
- Długoterminowej ochrony
- Point-in-time restore
- Ochrony App Registrations
- Forensic capabilities
- Compliance z regulacjami
W obliczu 600 milionów ataków dziennie na tożsamości, backup Microsoft Entra ID przestał być opcją - stał się niezbędnym elementem strategii bezpieczeństwa.
Chcesz zabezpieczyć Microsoft Entra ID w swojej organizacji? Nasi eksperci pomogą ocenić ryzyko i wdrożyć rozwiązanie backup dopasowane do Twoich potrzeb. Skontaktuj się z nami, aby omówić szczegóły.
Powiązane pojęcia
Poznaj kluczowe terminy związane z tym artykułem w naszym słowniku cyberbezpieczeństwa:
- CSPM (Cloud Security Posture Management) — CSPM (Cloud Security Posture Management) to kategoria narzędzi bezpieczeństwa…
- Backup — Backup (kopia zapasowa) to proces tworzenia duplikatu danych w celu ich…
- Cyberbezpieczeństwo — Cyberbezpieczeństwo to zbiór technik, procesów i praktyk ochrony systemów IT,…
- Google Cloud Platform — Google Cloud Platform (GCP) to usługi chmurowe Google umożliwiające budowanie i…
- NIS2 — NIS2 (Network and Information Security Directive 2) to dyrektywa UE…
Dowiedz się więcej
Zapoznaj się z powiązanymi artykułami w naszej bazie wiedzy:
- 600 milionów ataków dziennie: Jak chronić tożsamości w Microsoft Entra ID?
- Veeam Data Cloud for Microsoft Entra ID: Kompleksowy przewodnik wdrożenia
- Godzina zero: Ransomware zatrzymał fabrykę. Co teraz, czyli dlaczego zaczyna się wyścig z czasem?
- Masz szansę na Cyberbezpieczny Samorząd? Dlaczego audyt jest kluczowym pierwszym krokiem do sukcesu?
- Audyt Kodu Źródłowego - Czym jest, jak działa i dlaczego warto go wykonać
Sprawdź nasze usługi
Potrzebujesz wsparcia w zakresie cyberbezpieczeństwa? Sprawdź:
- Audyty bezpieczeństwa - kompleksowa ocena stanu zabezpieczeń
- Testy penetracyjne - identyfikacja podatności w infrastrukturze
- SOC as a Service - całodobowy monitoring bezpieczeństwa
Poznaj nasze produkty
Rozwiązania wspomniane w tym artykule, które mogą pomóc w ochronie Twojej organizacji:
- Veeam Data Cloud for Microsoft Entra ID — Veeam
- Veeam Data Platform — Veeam
Tematy powiązane
Zobacz również:
