更全面的供应商风险管理实践以及“备份即服务”是IT领导者为了更好地防止SaaS事故影响其业务的两种重要措施。
如果CrowdStrike的停机事件给CIO们带来了一些启示,那就是现代企业依赖越来越多的互联系统,其中任何一个系统的中断都可能在CIO无法控制的情况下瘫痪业务运营。
因此,软件供应链和供应商风险管理已成为C级高管越来越重要(且频繁)的讨论话题,企业试图减少对关键供应商的依赖,以避免停机事件和业务连续性问题。
如今,SaaS备份与恢复逐渐成为一个受到更多关注的领域,许多CIO迄今为止都对此视为理所当然,将这一责任完全交给SaaS供应商,不仅要求他们提供超过99.999%的正常运行时间,还指望他们作为唯一的数据备份与恢复实体,然而,SaaS孤立的数据对企业的数据驱动运营变得越来越关键。
“我们曾经历过一家SaaS供应商OpCon在微软Azure中央区域停机期间,缺乏完善的灾难恢复计划所带来的影响,”TruStone Financial的CTO Gary Jeter说,“夜间处理作业大幅延迟,这对我们的信用合作社和会员产生了巨大影响,而且,这件事恰好发生在CrowdStrike事件的同一晚上。”
像Jeter这样的许多IT领导者如今更加重视防范SaaS事故对业务的影响。
“我们现在对此更加关注,”他说,“虽然还未实施,但我们会将其纳入我们的供应商管理和选择流程,我们还计划扩大企业风险管理(ERM)评估范围,以包括更全面的SaaS供应商灾难恢复计划,来确定哪些平台需要确保具备缓解策略。”
研究机构Gartner预测,未来三年内,超过75%的企业将优先考虑SaaS应用程序和存储在SaaS供应商处的数据备份,而这一比例目前仅为15%。
对SaaS备份保险的需求不断增长——被认为对业务连续性至关重要——这一趋势是在今年夏季全球受到CrowdStrike与微软停机事件影响之后加剧的。
这也反映了企业数据存储在SaaS解决方案中的日益增长:Gartner预计,到2024年,全球企业客户SaaS支出将增长20%,达到2472亿美元,并预计在2025年接近3000亿美元。
供应商风险管理成为焦点
对于担心保护SaaS数据的CIO,Gartner建议他们审查供应商,确保数据保护与恢复已纳入SaaS供应商运营的治理体系中,CIO还应验证SaaS供应商是否具备从所有数据丢失场景中恢复数据的能力。
“许多SaaS解决方案确实具备一定的客户数据备份能力,但其主要目的并不是直接为客户恢复与客户相关或由客户引发的问题。供应商的备份主要用于解决与供应商相关的问题,不一定是由客户引发的情况,”Gartner分析师兼高级总监Michael Hoeck说道,“SaaS应用的一个通用原则是数据责任共享。”
虽然数据分析公司Mathematica并未直接受到CrowdStrike停机事件的影响,但其几家SaaS供应商受到了波及,其中一家是Mathematica业务中至关重要的系统。Mathematica的CIO Akira Bell表示,他是2024年MIT CIO领导奖的入围者之一。
“我们目前还没有在SaaS供应商合同规定之外进行自有备份,尽管我认为这是一个日益受到关注的考虑因素,”Bell说道,“在我审视我们的恢复能力时,日益引起关注的一个领域是我们的关键SaaS应用。在供应链场景中,我们的第三方可能是导致我们无法进行备份的原因。增加一层冗余可能变得至关重要。”
Gartner认为,集成“备份即服务”解决方案对于保护存储在云端的工作负载并确保运营的连续性是必要的。虽然一些SaaS供应商提供基础的备份服务,且费用很低甚至免费,但CIO们正在探索更全面的方式来保护他们在SaaS中的数据资产,并确保在SaaS解决方案出现故障时,他们拥有现成的灾难恢复方法,Gartner分析师指出。
“并不是每个SaaS产品都有备份功能,即便有,许多原生备份功能也比较基础,”负责IDC SaaS备份研究的Johnny Yu说道,“例如,Salesforce也有一些基础备份功能,尽管我认为他们并不收取额外费用。”
Yu解释说,Microsoft 365会定期进行数据的原生备份,用户可以回滚到这些备份,但这些备份也有局限性。例如,用户无法恢复单个文件、电子邮件或Teams对话。
“主要的结论是,每个SaaS供应商对客户数据保护的处理方式不同,而且数据是否得到保护从来不能被视为理所当然,”Yu说,“SaaS供应商通常唯一可以保证的责任是他们的软件的正常运行时间和可访问性。”
备份即服务获得关注
IDC的Yu支持Gartner的观点,即企业客户现在正在探索那些提供“备份即服务”的供应商,这些解决方案提供商以一种方式打包数据保护,使得客户无需购买或管理自己的备份基础设施。
大多数数据保护供应商都出售其产品的BaaS(备份即服务)版本,包括Veeam、Commvault和Cohesity,Johnny Yu说道,而其他一些如Druva、Backblaze和Carbonite则被认为在BaaS方面更加“专业化”。
那些期望开箱即用的CIO面临风险。
Baptist Memorial Health Care(孟菲斯)的CIDO Tom Barnett深知这些风险,但他——就像其他听到业务高管问“既然数据在云端,为什么还需要备份”的IT领导者一样——陷入了困境。
“这是我们关注的一件事,但很难为其申请资金,”Barnett说,“这需要大量的教育和高层管理讨论,才能将其与企业风险管理相匹配,同时利用审计发现并与数据保留政策相对照——这些都可能非常繁琐且耗时。”
Babson College的CIO Patty Patria表示,她对目前使用Microsoft Copilot处理行政任务和提高学生效率的情况感到满意。
“这取决于SaaS应用程序的性质以及与该内容相关的风险级别或任何监管要求,”Patria说道,“大多数SaaS应用程序已经由供应商进行备份,大多数CIO不会进行额外的备份,但在某些用例中可能需要这样做。”
为了更好理解像Babson College这样依赖Microsoft的组织,IDC的Yu解释说,Microsoft提供的Microsoft 365 Backup作为服务的一部分,保留期最长为1年,恢复点最小为每10分钟(而不是每12小时),并且可以细粒度恢复邮件、联系人信息、日历项目等其他功能,价格为每月每GB 0.15美元。
