[28/04/2021] ¿Los recientes ataques a Microsoft Exchange, ampliamente publicitados, le han hecho darse cuenta de que ahora es el momento de que otro ejecute el correo electrónico de su organización?
En resumen: el grupo de ciberespionaje, Hafnium, y otros actores de amenazas se aprovecharon de vulnerabilidades no reveladas previamente en Exchange Server para hackear decenas de miles de máquinas Exchange Server de cara a Internet. En muchos casos, se trataba de máquinas totalmente actualizadas, que ejecutaban la última versión de Exchange; en otros, las cajas de Exchange Server ejecutaban versiones anteriores que carecían de actualizaciones actuales. Microsoft emitió actualizaciones para las vulnerabilidades el 2 de marzo, pero las vulnerabilidades fueron ampliamente explotadas antes de esa fecha.
Para la mayoría de las víctimas, los atacantes dejaron una puerta trasera en las máquinas comprometidas, lo que les permitió volver a causar estragos más tarde, incluso después de que se implementaron las actualizaciones. En otros casos, se exfiltró información; una investigación de la firma de seguridad Volexity reveló que los atacantes estaban utilizando las vulnerabilidades para robar el contenido completo de los buzones de correo de los usuarios.
Qué dolor.
No es de extrañar que este evento de hacking tan prominente pueda ser el catalizador para que muchas organizaciones reconsideren si vale la pena ejecutar el correo electrónico. Los beneficios de tener el control local y disfrutar de costos amortizados, ahora pueden verse superados por el costo de tener que combatir estos gigantescos ataques en Internet. ¿Por qué no dejar que otro se encargue de la seguridad, las actualizaciones, la defensa y lo demás?
La verdad es que, con algunas notables excepciones, que cubriré más adelante en la historia, probablemente sea hora de que se quite su sombrero de administrador del servidor de correo, y deje que otra persona se encargue del dolor de cabeza que implica ejecutar una implementación de correo electrónico. Los recursos que Microsoft y otros proveedores de la nube tienen, en términos de excelencia operativa, seguridad y recuperación ante desastres, casi con certeza eclipsan el presupuesto y las capacidades de su equipo de TI.
Su capacidad para combatir el correo no deseado y los virus puede ser sólida, pero ¿el tiempo y el dinero invertidos en ello realmente añaden valor al negocio? Administrar un clúster de Exchange, que incluye su almacenamiento, tiempo de actividad, mantenimiento y actualizaciones... a menos que realmente esté a cargo de un negocio de alojamiento de Exchange, es probable que esas tareas sean solo una forma de mantener la operación y no de hacer avanzar el negocio de su organización.
Por supuesto, pasar de una implementación de Exchange Server local a Exchange alojado no es una tarea pequeña y hay mucho que considerar antes de dar el paso.
Proveedores de Exchange alojados
Una decisión básica que deberá tomar es a dónde ir para el alojamiento de Exchange. La más evidente es usar una suscripción de Microsoft, ya sea un plan Microsoft 365, Office 365 o Exchange Online. Si bien las suscripciones "365” incluyen varias iteraciones de la suite de productividad en la nube de la empresa, en esencia, todos los planes son los mismos, se basan en los cientos de miles de servidores Exchange administrados de Microsoft para enviar y recibir miles de millones de mensajes alrededor del mundo.
Es posible que se pregunte: "¿Quién mejor para ejecutar Exchange que las personas que lo hacen?” y hay cierta lógica en esa línea de pensamiento.
Pero también hay otras formas de hacerlo. Si bien muchos proveedores simplemente revenden Office 365 y agregan una capa de soporte al usuario final u otros servicios adicionales como el registro diario y una mejor protección contra el spam, otras compañías como Sherweb, Rackspace, GoDaddy y otras empresas más pequeñas ejecutan una implementación de Exchange multitenant que no forma parte de Microsoft en absoluto. Si solo está interesado en el correo y no en los otros servicios que Microsoft 365 agrega a la oferta, vale la pena investigar estas compañías.
Problemas y consideraciones
Cuando evalúa si Exchange en la nube es el paso correcto para su organización, también hay una serie de factores relacionados que debe considerar. No se trata solo de dónde están sus buzones de correo, sino de todos los diversos y variados servicios de soporte que lo convierten en un servicio de correo electrónico bien administrado.
Híbrido o no híbrido: Desde el 2010, una función única de las versiones de Exchange es la capacidad de operar un sistema "dividido” o "híbrido” para una organización donde algunos buzones de correo se encuentran en Exchange Online y otros en su Exchange Server on premises habitual. Esto tiene muchos beneficios para las organizaciones de mayor tamaño que tienen vínculos profundos con las funcionalidades de Active Directory y MAPI de Exchange, como la sincronización con la administración de identidades y los sistemas de recursos humanos, y le permite satisfacer los requerimientos regulatorios de mantener algunos datos donde usted los controla y otra información menos sensible bajo el control de su proveedor de alojamiento.
Muchas (si no la mayoría) de las organizaciones utilizan implementaciones híbridas durante años, no días o meses. Algunos consideran que la configuración es permanente. Desafortunadamente, esto generalmente no lo protege contra los tipos de amenazas que podrían ser el catalizador para considerar el paso a la nube ahora, ya que todavía tiene su infraestructura local. Pero es un trampolín, y la visión de Microsoft es seguramente que incluso las organizaciones híbridas más firmes eventualmente cederán y dependerán por completo de Exchange Online.
Sin embargo, una advertencia: incluso después de una década de dirigir un negocio de alojamiento de Exchange, Microsoft, por alguna razón, no ha descubierto cómo, desde una perspectiva técnica, hacer que Azure Active Directory sea una fuente autorizada de identidades para sus clientes que comenzaron como clientes híbridos. Entonces, incluso después de que todos los destinatarios de su organización estén en la nube -podría tener un millón de buzones de correo en Exchange Online y literalmente cero on premises- aún debe tener una máquina que ejecute Exchange Server localmente para administrar usuarios, porque ese Exchange Server es responsable de mantener los atributos del esquema de Active Directory para los destinatarios de correo en su organización, y Exchange no sabe cómo buscar en ningún otro lugar.
Migración: Una de las preguntas más difíciles de abordar es cómo migrar sus datos existentes -en algunos casos, años y años de mensajes, archivos adjuntos, entradas de calendario y más- desde su implementación de Exchange actual a cualquier lugar en el que planee hospedarse. Realmente depende de si elige una implementación híbrida o una migración de estilo "levantar y cambiar”, en la que usted pasa a un nuevo servidor en una fecha determinada y deja de usar el servidor antiguo para el correo nuevo.
Existen numerosos servicios de terceros, como SkyKick, CodeTwo, Exchange Migration Manager de Quest y otros que pueden ayudar con la migración del tipo lift and shift, trayendo lentamente el correo en múltiples pasadas para que básicamente tenga una copia sincronizada de todo el correo en la nube, así como en su servidor on premises, y luego ejecutando una última sincronización después de la transición. Con un sistema híbrido, es relativamente fácil usar las herramientas de Microsoft para mover buzones de correo de ida y vuelta a Exchange Online.
Consejo: Un aspecto a considerar antes de la migración es su política de retención. ¿Sería ahora un buen momento para archivar el correo y otros elementos de más de 18 meses o dos años? No tener que mover 1.500 copias de la presentación de PowerPoint de 27MB para el retiro corporativo del 2011, ahorrará horas de tiempo de migración y una cantidad significativa de ancho de banda. Dicho esto, si su organización ya tiene una política formal de retención/ciclo de vida de los documentos, es mejor mover todos los datos que está permitiendo para que permanezcan accesibles en un barrido limpio.
Backup y restauración: ¿Cómo manejará las operaciones de backup y restauración? Microsoft generalmente afirma que la protección de datos incorporada de Exchange, junto con el hardware resistente, es lo suficientemente buena para proteger sus datos almacenados dentro de su servicio, y afirma explícitamente que no ofrece ningún otro tipo de backup.
Aparte de la catastrófica pérdida de datos, tener un correo electrónico alojado no alivia el problema del correo electrónico eliminado por error, la entrada de calendario corrupta o el jefe, con el dedo en el gatillo, que utiliza la función "deslizar para eliminar” en el teléfono. Deberá pagar -probablemente de forma mensual- por otro servicio que proporcione ese servicio crítico de backup y restauración, y su solución de backup actual probablemente no se extenderá a Exchange Online ni a otros proveedores alojados.
Tenga cuidado con las personas que afirman con vehemencia que no es necesario realizar un backup de Exchange Online; cualquier administrador del mundo real necesita la capacidad de restaurar elementos de un backup anterior y no depender completamente de otra parte.
Renunciar al control: El mayor problema con el que luchan muchos administradores y directores de TI cuando se trasladan al correo electrónico alojado es la pérdida de control. TI tiene una gran responsabilidad por la seguridad y protección del negocio, y tradicionalmente ha sido a través del ejercicio y la aplicación de controles y permisos que TI lleva a cabo esas responsabilidades.
Al entregar toda la operación a Microsoft u otro proveedor de alojamiento, puede descargar la responsabilidad del día a día, a expensas del control. El proveedor decide las ventanas de mantenimiento. El proveedor decide las políticas de los terminales. El proveedor decide el ciclo de vida de la versión actual, así como el momento en que se realizan las actualizaciones y cuándo desaparecen las políticas que soportan la compatibilidad con versiones anteriores.
Costos de licencia: Probablemente esté acostumbrado a examinar los costos de actualización de Exchange al observar los costos del servidor de licencias por volumen, las licencias de acceso de cliente estándar y premium correspondientes y sus costos de hardware, y probablemente amortizarlos para fines presupuestarios en un período de tres a cinco años. El cálculo para la nube es más sencillo: la cantidad de buzones de correo conectados (no compartidos) multiplicado por el costo mensual es igual a la cantidad que necesita para anticipar el pago de su tarjeta de crédito.
Pero ¿qué quiere decir que el costo mensual siempre será el mismo? Después de todo, es justo preguntarse si, una vez que el péndulo haya oscilado hacia la mayoría de los buzones de correo alojados, las guerras de precios terminarán y los costos aumentarán. La carrera armamentista de la nube durará mientras las empresas sean solventes, pero cuando algunos de los principales actores tiren la toalla en cuanto a competir por buzones de correo mensuales de tres y cuatro dólares, ¿la economía parecerá tan favorable para la nube como ahora?
Junto a esto, también está lo que llamo WWML, la Weird Web of Microsoft Licensing. El nivel básico de servicio de Exchange Online está disponible para todos a cuatro dólares mensuales, pero ¿desea aplicaciones de Office con eso? ¿Necesita un sistema telefónico basado en la nube? ¿Quiere las funciones de seguridad y protección de archivos adjuntos que se ofrecen a un nivel premium solo en un paquete? ¿Aún necesita licenciar a algunos usuarios para buzones de correo locales si elige un enfoque híbrido? ¿Y si solo algunos usuarios necesitan algunas funciones y otros pueden simplemente arreglárselas con la oferta estándar? Las variables involucradas en la determinación del costo mensual siguen siendo tan complejas, si no más, como en los viejos tiempos on premises.
Gestión del tiempo de inactividad: En primer lugar, es difícil comprender la amplitud real del servicio Microsoft 365/Office 365 en términos de red, hardware y software, que se unen para respaldar la oferta. Esas son muchas cosas que pueden romperse -y no conozco a ningún cliente, ni siquiera a nadie en Microsoft, que pueda argumentar seriamente que Microsoft ha sido bueno comunicándose sobre interrupciones en el servicio y sus causas cuando ocurren.
Mientras tanto, tiene un grupo de usuarios que potencialmente se comunican con su mesa de ayuda en una oleada de solicitudes de "¡Oh no! No puedo recibir correos”, y usted no tiene control, no tiene visibilidad del problema y no tiene idea de cuándo se restaurarán los servicios. La Ley de Murphy también dicta que, si hay una interrupción del servicio, también afectará a sus usuarios más visibles y demandantes, además de a cualquiera que se opuso verbalmente a su traslado a la nube.
No hay solución para esto, es solo algo de lo que hay que estar consciente. Si bien existen herramientas que monitorean ciertos "puntos finales” en el ecosistema de Microsoft 365/Office 365 en pequeños intervalos e informan, realmente no hay nada procesable para usted con esa información, aparte de responder a sus usuarios con, "sí, lo sabemos, le avisaremos cuando vuelva”. No es un servicio de TI sorprendente.
Preocupaciones sobre el ancho de banda: El correo electrónico no es un gran acaparador de datos, aunque Exchange y Outlook pueden ser conversadores. Pero si trabaja en un ambiente de oficina con varios usuarios y ancho de banda limitado, su experiencia podría ser mediocre o peor.
Obviamente, los centros de datos de Microsoft tienen pocas preocupaciones sobre el ancho de banda y la capacidad, pero si está en una sucursal con 20 personas que intentan acceder a Office 365 a través de una sola línea, tendrá problemas -especialmente si todos están reproduciendo Netflix también. Esta es quizás la sorpresa más común para las organizaciones más pequeñas que están acostumbradas a un servidor de correo electrónico local sensible, conectado directamente a la red.
¿Necesita Exchange de todas formas? Una última opción para considerar es alejarse de Exchange por completo. Si bien está más allá del alcance de este artículo, el correo electrónico comercial se puede realizar desde cuentas estándar IMAP y SMTP y clientes como Thunderbird, o incluso Outlook, configurados para usar estándares de correo y no protocolos de Exchange. Si bien las funciones adicionales de colaboración y programación de Exchange son agradables, quizás pueda usar otras soluciones por una parte del costo.
O si necesita colaboración, pero no desea Exchange, considere el software colaborativo basado en estándares como Zoho o Zimbra. Para una tercera alternativa, tal vez Google Workspace (anteriormente G Suite) sea su respuesta: correo en la nube y otras aplicaciones similares a Office para arrancar, pero sin la complejidad de Exchange.
La conclusión es que, si está haciendo un cambio, es mejor considerar primero todas sus opciones.
¿Cuánto tiempo se tarda en pasar a la nube?
Es imposible predecir cuánto tiempo llevará una transición completa al correo electrónico en la nube, ya que depende de cuántos buzones de correo tenga, cuántos datos almacena cada buzón, las limitaciones de ancho de banda de su lado, las limitaciones de control por del lado de Microsoft (los centros de datos de Microsoft 365 ajustan ciertas operaciones de larga duración para garantizar una disponibilidad constante del servicio, y para ayudar a prevenir el escenario de "mal vecino” en el que un suscriptor en un servidor excesivamente provisionado hace algo pesado y paraliza toda la operación), y otros factores.
Por lo general, si hace lift and shift y usa un servicio de migración de datos de terceros, dejaría que el servicio realice varias pasadas para migrar datos durante uno o dos meses y luego tendría una fecha de transición de 60 a 90 días en el futuro. Para empresas más pequeñas, se puede realizar en un fin de semana. Para la implementación híbrida, no hay una duración establecida, ya que esos tipos de configuraciones están diseñadas para usarse a largo plazo.
En una situación de emergencia, puede hacer que el correo entrante nuevo se dirija a casi cualquier proveedor de correo electrónico en unas pocas horas, siempre que tenga una lista actualizada de usuarios para configurar, así como acceso a sus registros DNS y MX para realizar los cambios necesarios. La migración de datos y mensajes existentes no tiene por qué suceder necesariamente junto con la transición al servicio de correo en la nube, lo que puede ser un enfoque útil si descubre que es víctima de un ataque al estilo Hafnium.
Quién no debería mudarse a Exchange alojado
Por supuesto, no todas las organizaciones son adecuadas para Exchange en la nube. Algunas firmas simplemente necesitan el control (como parte de su responsabilidad) de administrar su propio correo. Otros tienen flotas de dispositivos especializados que tarde o temprano no se comunicarán con Exchange Online, ya que elimina la compatibilidad con versiones anteriores del servicio de cifrado TLS.
Otras organizaciones no tienen el ancho de banda de red para soportar la falta de un servidor de correo local, y otras encontrarán que permanecer local durante cinco, siete o incluso diez años termina siendo menos costoso que pagar el correo electrónico mensualmente, dejando de lado a los otros argumentos y beneficios auxiliares.
Las organizaciones en industrias muy reguladas como los servicios financieros, atención médica y legal, y aquellas en otras industrias con grandes cargas en el almacenamiento de información, pueden encontrar que el costo de los recursos dedicados necesarios en la nube hace que el correo electrónico alojado sea una decisión desfavorable.
Por último, es posible que las organizaciones con procesos comerciales establecidos en torno a la integración del correo electrónico a través de MAPI, con versiones anteriores de Outlook, deban permanecer on premises para mantener el control de los clientes finales admitidos. Microsoft ocasionalmente causa problemas mediante el bloqueo del acceso a Office 365 desde versiones anteriores de Outlook y ahora está eliminando la compatibilidad con muchos complementos comerciales en las versiones más nuevas de Outlook, por lo que es posible que tenga una función forzada aquí que no era el caso en Exchange Online en días anteriores.
Las últimas palabras
Si todos somos honestos con nosotros mismos, según la mayoría de las mediciones -relación valor/costo, retorno de la inversión, posición de seguridad y perfil- tiene sentido que una organización promedio aloje su correo electrónico en la nube. Y, en general, si ya es un usuario de Exchange, tiene más sentido pasar a Exchange Online por sí solo o como parte de una suscripción a Microsoft 365 u Office 365.
Solo asegúrese de considerar todas las opciones detenidamente, planifique a fondo y prepare a sus usuarios para la transición antes de apretar el gatillo.
Basado en el artículo de Jonathan Hassell (Computerworld) y editado por CIO Perú