如果CrowdStrike的停機事件給CIO們帶來了一些啟示,那就是現代企業依賴越來越多的互聯系統,其中任何一個系統的中斷都可能在CIO無法控制的情況下癱瘓業務運營。
因此,軟件供應鏈和供應商風險管理已成為C級高管越來越重要(且頻繁)的討論話題,企業試圖減少對關鍵供應商的依賴,以避免停機事件和業務連續性問題。
如今,SaaS備份與恢復逐漸成為一個受到更多關注的領域,許多CIO迄今為止都對此視為理所當然,將這一責任完全交給SaaS供應商,不僅要求他們提供超過99.999%的正常運行時間,還指望他們作為唯一的數據備份與恢復實體,然而,SaaS孤立的數據對企業的數據驅動運營變得越來越關鍵。
“我們曾經歷過一家SaaS供應商OpCon在微軟Azure中央區域停機期間,缺乏完善的災難恢復計劃所帶來的影響,”TruStone Financial的CTO Gary Jeter說,“夜間處理作業大幅延遲,這對我們的信用合作社和會員產生了巨大影響,而且,這件事恰好發生在CrowdStrike事件的同一晚上。”
像Jeter這樣的許多IT領導者如今更加重視防范SaaS事故對業務的影響。
“我們現在對此更加關注,”他說,“雖然還未實施,但我們會將其納入我們的供應商管理和選擇流程,我們還計劃擴大企業風險管理(ERM)評估范圍,以包括更全面的SaaS供應商災難恢復計劃,來確定哪些平臺需要確保具備緩解策略。”
研究機構Gartner預測,未來三年內,超過75%的企業將優先考慮SaaS應用程序和存儲在SaaS供應商處的數據備份,而這一比例目前僅為15%。
對SaaS備份保險的需求不斷增長——被認為對業務連續性至關重要——這一趨勢是在今年夏季全球受到CrowdStrike與微軟停機事件影響之后加劇的。
這也反映了企業數據存儲在SaaS解決方案中的日益增長:Gartner預計,到2024年,全球企業客戶SaaS支出將增長20%,達到2472億美元,并預計在2025年接近3000億美元。
供應商風險管理成為焦點
對于擔心保護SaaS數據的CIO,Gartner建議他們審查供應商,確保數據保護與恢復已納入SaaS供應商運營的治理體系中,CIO還應驗證SaaS供應商是否具備從所有數據丟失場景中恢復數據的能力。
“許多SaaS解決方案確實具備一定的客戶數據備份能力,但其主要目的并不是直接為客戶恢復與客戶相關或由客戶引發的問題。供應商的備份主要用于解決與供應商相關的問題,不一定是由客戶引發的情況,”Gartner分析師兼高級總監Michael Hoeck說道,“SaaS應用的一個通用原則是數據責任共享。”
雖然數據分析公司Mathematica并未直接受到CrowdStrike停機事件的影響,但其幾家SaaS供應商受到了波及,其中一家是Mathematica業務中至關重要的系統。Mathematica的CIO Akira Bell表示,他是2024年MIT CIO領導獎的入圍者之一。
“我們目前還沒有在SaaS供應商合同規定之外進行自有備份,盡管我認為這是一個日益受到關注的考慮因素,”Bell說道,“在我審視我們的恢復能力時,日益引起關注的一個領域是我們的關鍵SaaS應用。在供應鏈場景中,我們的第三方可能是導致我們無法進行備份的原因。增加一層冗余可能變得至關重要。”
Gartner認為,集成“備份即服務”解決方案對于保護存儲在云端的工作負載并確保運營的連續性是必要的。雖然一些SaaS供應商提供基礎的備份服務,且費用很低甚至免費,但CIO們正在探索更全面的方式來保護他們在SaaS中的數據資產,并確保在SaaS解決方案出現故障時,他們擁有現成的災難恢復方法,Gartner分析師指出。
“并不是每個SaaS產品都有備份功能,即便有,許多原生備份功能也比較基礎,”負責IDC SaaS備份研究的Johnny Yu說道,“例如,Salesforce也有一些基礎備份功能,盡管我認為他們并不收取額外費用。”
Yu解釋說,Microsoft 365會定期進行數據的原生備份,用戶可以回滾到這些備份,但這些備份也有局限性。例如,用戶無法恢復單個文件、電子郵件或Teams對話。
“主要的結論是,每個SaaS供應商對客戶數據保護的處理方式不同,而且數據是否得到保護從來不能被視為理所當然,”Yu說,“SaaS供應商通常唯一可以保證的責任是他們的軟件的正常運行時間和可訪問性。”
備份即服務獲得關注
IDC的Yu支持Gartner的觀點,即企業客戶現在正在探索那些提供“備份即服務”的供應商,這些解決方案提供商以一種方式打包數據保護,使得客戶無需購買或管理自己的備份基礎設施。
大多數數據保護供應商都出售其產品的BaaS(備份即服務)版本,包括Veeam、Commvault和Cohesity,Johnny Yu說道,而其他一些如Druva、Backblaze和Carbonite則被認為在BaaS方面更加“專業化”。
那些期望開箱即用的CIO面臨風險。
Baptist Memorial Health Care(孟菲斯)的CIDO Tom Barnett深知這些風險,但他——就像其他聽到業務高管問“既然數據在云端,為什么還需要備份”的IT領導者一樣——陷入了困境。
“這是我們關注的一件事,但很難為其申請資金,”Barnett說,“這需要大量的教育和高層管理討論,才能將其與企業風險管理相匹配,同時利用審計發現并與數據保留政策相對照——這些都可能非常繁瑣且耗時。”
Babson College的CIO Patty Patria表示,她對目前使用Microsoft Copilot處理行政任務和提高學生效率的情況感到滿意。
“這取決于SaaS應用程序的性質以及與該內容相關的風險級別或任何監管要求,”Patria說道,“大多數SaaS應用程序已經由供應商進行備份,大多數CIO不會進行額外的備份,但在某些用例中可能需要這樣做。”
為了更好理解像Babson College這樣依賴Microsoft的組織,IDC的Yu解釋說,Microsoft提供的Microsoft 365 Backup作為服務的一部分,保留期最長為1年,恢復點最小為每10分鐘(而不是每12小時),并且可以細粒度恢復郵件、聯系人信息、日歷項目等其他功能,價格為每月每GB 0.15美元。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號