Detailed view of computer hard disk drive components, showcasing circuitry and connectors.
Bulut TeknolojileriMicrosoft 365
Can Yıldız

Bursa’da otomotiv yan sanayi holdingi 1.450 çalışan, 1.450 Exchange mailbox, 8 TB SharePoint dökümanı, 220 Teams kanalı. KVKK denetimi sonrası “veri silme talebi geldiğinde 30 gün içinde tüm yedeklerden de silinmeli” maddesi nedeniyle 3rd party backup zorunlu oldu. Veeam Backup for Microsoft 365 ile 4 ayda kurulduk. Bu yazı o projeden notlar.

M365 Built-in Retention vs 3rd Party Backup

Microsoft tarafı varsayılan retention’ları sunuyor ama yedek değil:

Servis Default retention Notlar
Exchange (deleted items) 14 gün Recoverable items, max 30 gün
SharePoint recycle bin 93 gün Site silinirse 93 gün recoverable
OneDrive 93 gün User silinirse
Teams chat Compliance retention varsa süresizce Default sınırsız ama silinmeye açık

Sorun: Microsoft’un kendi sistemi. Microsoft tarafında ransomware veya account compromise olursa data + backup ikisi birden risk altında. Bağımsız backup şart.

Veeam Architecture

Veeam Backup for M365 (VBM) komponentleri:

  • VBM Server: Job orchestration, web UI, REST API
  • Proxy: M365’e bağlanıp veriyi çeken; throughput’u belirler
  • Repository: Backup verilerinin saklandığı yer (local disk, NAS, S3 compatible object storage)

Holding kurulumu: 1 server (Windows Server 2022, 16 vCPU 64 GB), 4 proxy (her biri 8 vCPU 32 GB), 2 repository (200 TB Veeam Hardened Repo + 80 TB cold tier S3 object storage).

Storage Repository Tasarımı

Backup boyutu hesabı:

Veri Toplam İlk yedek Yıllık ek (incremental)
Exchange (1.450 mailbox × 5 GB ortalama) 7.2 TB 7.2 TB ~~14 TB
SharePoint 8.0 TB 8.0 TB ~~6 TB
OneDrive (1.450 user × 12 GB ortalama) 17 TB 17 TB ~~22 TB
Teams 2.4 TB 2.4 TB ~~5 TB
Toplam 34.6 TB 34.6 TB ~~47 TB/yıl

Compression + dedup ile fiziksel olarak ~%55 oranında. 3 yıllık projeksiyon ~~120 TB.

Backup Job Tasarımı

Tek büyük job kullanmamak — her servis için ayrı:

  • Job 1: Exchange All Mailboxes — Saatlik incremental, 09:00-19:00 mesai saatlerinde her saat başı
  • Job 2: SharePoint Sites — Günlük, 22:00
  • Job 3: OneDrive All Users — Günlük, 23:00
  • Job 4: Teams — Günlük, 02:00
  • Job 5: Critical Mailboxes (CEO, CFO, hukuk, finans) — Her 30 dk, ayrı retention 7 yıl

Retention Policy

Yıllık denetim ihtiyacı + KVKK uyumu için 3-tier retention:

  • Active backup: Son 90 gün, hot storage (Veeam Hardened Repo)
  • Mid-term archive: 90 gün – 2 yıl, warm tier (NAS)
  • Long-term archive: 2 yıl – 7 yıl, S3 compatible object storage (cold)

Granular Restore Senaryoları

Sahada tipik restore talepleri:

Senaryo 1: Tek Email Restore

Kullanıcı yanlışlıkla önemli bir email’i sildi, recoverable items’tan da geçmiş. Veeam Explorer for Exchange ile mailbox aç, 30 gün önceki state’e bak, email seç, restore — orijinal mailbox’a veya PST export.

Senaryo 2: SharePoint Versiyon Restore

Bir Excel dosyası 7 farklı kullanıcı tarafından düzenlenmiş, en son hali yanlış. SharePoint version history 500 versiyonda dolmuş, eski versiyonlar görünmüyor. Veeam Explorer for SharePoint ile 60 gün önceki dosyayı bul, restore.

Senaryo 3: Teams Mesaj Restore

Bir kanaldan bir kullanıcı yanlışlıkla mesaj sildi (chat history). Veeam ile 24 saat önceki state’den o mesajı al ve manual olarak ilgili kişiye PDF olarak ilet.

Senaryo 4: KVKK Silme Talebi

Bir eski çalışan KVKK kapsamında “tüm verilerimi silin” talebinde bulunuyor. Production’dan silindi. Veeam üzerinde de:

Get-VBOJob | ForEach-Object {
  $job = $_
  Get-VBOBackupItem -Job $job -Mailbox "user@domain.com" | Remove-VBOBackupItem -Confirm:$false
}

Compliance log’a bu silmenin tarihi, talep eden, onay sırası kaydediliyor.

Senaryo 5: Ransomware Recovery

Holdingin OneDrive’larına ransomware bulaştı, dosyalar şifrelenmiş. Microsoft Files Restore (built-in) bazı dosyaları geri getirir ama selectively zor. Veeam’le tüm OneDrive 24 saat önceki state’e tek tıkla restore. 1.450 user × ortalama 12 GB = 17 TB restore. Süre: ~~36 saat (proxy throughput’a bağlı).

Object Storage Tier (Capacity Tier)

Veeam Capacity Tier ile hot tier’daki backup’lar belirli yaşa ulaşınca otomatik S3’e taşınıyor. Holding tercih: Wasabi (S3-compatible, $5.99/TB/ay flat fee, egress ücretsiz).

Maliyet karşılaştırma 80 TB cold için:

  • Veeam local disk: kapasite donanımı $8.500 başlangıç + elektrik + bakım
  • AWS S3 Glacier: $0.99/TB/ay = $79/ay ama egress $90/TB
  • Wasabi: $5.99/TB/ay = $479/ay, egress $0
  • Azure Blob Cool: $10/TB/ay = $800/ay + egress

Wasabi seçildi — restore senaryosunda egress maliyeti yok kritik.

Veeam Hardened Repository

Ransomware’in primary backup’ı şifrelemesini önlemek için: Linux based immutable repository. Backup yazıldıktan sonra read-only, root bile silemiyor (single-use credential, ext4 immutable flag).

chattr +i /backup/data.vbk
# Veeam Backup chain'i bu flag'le bekletiyor, 30 gün boyunca silinemiyor

Sahada Düşülen Üç Tuzak

  1. Restore test yapmamak: Yedek alıyorum sanıyorsun, ihtiyaç anında restore çalışmıyor (job hatalı, ağ sorunu, izin eksikliği). Aylık restore drill şart.
  2. Proxy sayısı yetersiz: Tek proxy 1.450 mailbox’u 8 saatte yedekleyemez, job sürekli sarkar. Proxy başına ~~400 mailbox kuralı.
  3. M365 throttling’i hesaplamamak: Microsoft API’leri rate limit uygular. Yoğun saatte job patlar. Backup window 22:00-06:00 ofset et.

CloudSpark olarak Veeam Backup for M365 implementasyon, 3-tier storage tasarımı, ransomware koruma stratejileri ve KVKK uyum projeleri için danışmanlık veriyoruz.

Etiketler:

Benzer İçerikler

🇹🇷 Türkçe🇬🇧 English🇩🇪 Deutsch🇫🇷 Français🇸🇦 العربية🇷🇺 Русский🇪🇸 Español