更全面的供應商風險管理實踐以及“備份即服務”是IT領導者為了更好地防止SaaS事故影響其業(yè)務的兩種重要措施。

如果CrowdStrike的停機事件給CIO們帶來了一些啟示，那就是現(xiàn)代企業(yè)依賴越來越多的互聯(lián)系統(tǒng)，其中任何一個系統(tǒng)的中斷都可能在CIO無法控制的情況下癱瘓業(yè)務運營。

因此，軟件供應鏈和供應商風險管理已成為C級高管越來越重要(且頻繁)的討論話題，企業(yè)試圖減少對關鍵供應商的依賴，以避免停機事件和業(yè)務連續(xù)性問題。

如今，SaaS備份與恢復逐漸成為一個受到更多關注的領域，許多CIO迄今為止都對此視為理所當然，將這一責任完全交給SaaS供應商，不僅要求他們提供超過99.999%的正常運行時間，還指望他們作為唯一的數(shù)據(jù)備份與恢復實體，然而，SaaS孤立的數(shù)據(jù)對企業(yè)的數(shù)據(jù)驅(qū)動運營變得越來越關鍵。

“我們曾經(jīng)歷過一家SaaS供應商OpCon在微軟Azure中央?yún)^(qū)域停機期間，缺乏完善的災難恢復計劃所帶來的影響，”TruStone Financial的CTO Gary Jeter說，“夜間處理作業(yè)大幅延遲，這對我們的信用合作社和會員產(chǎn)生了巨大影響，而且，這件事恰好發(fā)生在CrowdStrike事件的同一晚上?！?/p>

像Jeter這樣的許多IT領導者如今更加重視防范SaaS事故對業(yè)務的影響。

“我們現(xiàn)在對此更加關注，”他說，“雖然還未實施，但我們會將其納入我們的供應商管理和選擇流程，我們還計劃擴大企業(yè)風險管理(ERM)評估范圍，以包括更全面的SaaS供應商災難恢復計劃，來確定哪些平臺需要確保具備緩解策略。”

研究機構(gòu)Gartner預測，未來三年內(nèi)，超過75%的企業(yè)將優(yōu)先考慮SaaS應用程序和存儲在SaaS供應商處的數(shù)據(jù)備份，而這一比例目前僅為15%。

對SaaS備份保險的需求不斷增長——被認為對業(yè)務連續(xù)性至關重要——這一趨勢是在今年夏季全球受到CrowdStrike與微軟停機事件影響之后加劇的。

這也反映了企業(yè)數(shù)據(jù)存儲在SaaS解決方案中的日益增長：Gartner預計，到2024年，全球企業(yè)客戶SaaS支出將增長20%，達到2472億美元，并預計在2025年接近3000億美元。

供應商風險管理成為焦點

對于擔心保護SaaS數(shù)據(jù)的CIO，Gartner建議他們審查供應商，確保數(shù)據(jù)保護與恢復已納入SaaS供應商運營的治理體系中，CIO還應驗證SaaS供應商是否具備從所有數(shù)據(jù)丟失場景中恢復數(shù)據(jù)的能力。

“許多SaaS解決方案確實具備一定的客戶數(shù)據(jù)備份能力，但其主要目的并不是直接為客戶恢復與客戶相關或由客戶引發(fā)的問題。供應商的備份主要用于解決與供應商相關的問題，不一定是由客戶引發(fā)的情況，”Gartner分析師兼高級總監(jiān)Michael Hoeck說道，“SaaS應用的一個通用原則是數(shù)據(jù)責任共享?！?/p>

雖然數(shù)據(jù)分析公司Mathematica并未直接受到CrowdStrike停機事件的影響，但其幾家SaaS供應商受到了波及，其中一家是Mathematica業(yè)務中至關重要的系統(tǒng)。Mathematica的CIO Akira Bell表示，他是2024年MIT CIO領導獎的入圍者之一。

“我們目前還沒有在SaaS供應商合同規(guī)定之外進行自有備份，盡管我認為這是一個日益受到關注的考慮因素，”Bell說道，“在我審視我們的恢復能力時，日益引起關注的一個領域是我們的關鍵SaaS應用。在供應鏈場景中，我們的第三方可能是導致我們無法進行備份的原因。增加一層冗余可能變得至關重要。”

Gartner認為，集成“備份即服務”解決方案對于保護存儲在云端的工作負載并確保運營的連續(xù)性是必要的。雖然一些SaaS供應商提供基礎的備份服務，且費用很低甚至免費，但CIO們正在探索更全面的方式來保護他們在SaaS中的數(shù)據(jù)資產(chǎn)，并確保在SaaS解決方案出現(xiàn)故障時，他們擁有現(xiàn)成的災難恢復方法，Gartner分析師指出。

“并不是每個SaaS產(chǎn)品都有備份功能，即便有，許多原生備份功能也比較基礎，”負責IDC SaaS備份研究的Johnny Yu說道，“例如，Salesforce也有一些基礎備份功能，盡管我認為他們并不收取額外費用?！?/p>

Yu解釋說，Microsoft 365會定期進行數(shù)據(jù)的原生備份，用戶可以回滾到這些備份，但這些備份也有局限性。例如，用戶無法恢復單個文件、電子郵件或Teams對話。

“主要的結(jié)論是，每個SaaS供應商對客戶數(shù)據(jù)保護的處理方式不同，而且數(shù)據(jù)是否得到保護從來不能被視為理所當然，”Yu說，“SaaS供應商通常唯一可以保證的責任是他們的軟件的正常運行時間和可訪問性?！?/p>

備份即服務獲得關注

IDC的Yu支持Gartner的觀點，即企業(yè)客戶現(xiàn)在正在探索那些提供“備份即服務”的供應商，這些解決方案提供商以一種方式打包數(shù)據(jù)保護，使得客戶無需購買或管理自己的備份基礎設施。

大多數(shù)數(shù)據(jù)保護供應商都出售其產(chǎn)品的BaaS(備份即服務)版本，包括Veeam、Commvault和Cohesity，Johnny Yu說道，而其他一些如Druva、Backblaze和Carbonite則被認為在BaaS方面更加“專業(yè)化”。

那些期望開箱即用的CIO面臨風險。

Baptist Memorial Health Care(孟菲斯)的CIDO Tom Barnett深知這些風險，但他——就像其他聽到業(yè)務高管問“既然數(shù)據(jù)在云端，為什么還需要備份”的IT領導者一樣——陷入了困境。

“這是我們關注的一件事，但很難為其申請資金，”Barnett說，“這需要大量的教育和高層管理討論，才能將其與企業(yè)風險管理相匹配，同時利用審計發(fā)現(xiàn)并與數(shù)據(jù)保留政策相對照——這些都可能非常繁瑣且耗時?！?/p>

Babson College的CIO Patty Patria表示，她對目前使用Microsoft Copilot處理行政任務和提高學生效率的情況感到滿意。

“這取決于SaaS應用程序的性質(zhì)以及與該內(nèi)容相關的風險級別或任何監(jiān)管要求，”Patria說道，“大多數(shù)SaaS應用程序已經(jīng)由供應商進行備份，大多數(shù)CIO不會進行額外的備份，但在某些用例中可能需要這樣做?！?/p>

為了更好理解像Babson College這樣依賴Microsoft的組織，IDC的Yu解釋說，Microsoft提供的Microsoft 365 Backup作為服務的一部分，保留期最長為1年，恢復點最小為每10分鐘(而不是每12小時)，并且可以細粒度恢復郵件、聯(lián)系人信息、日歷項目等其他功能，價格為每月每GB 0.15美元。