更全面的供应商风险管理实践和“backup as a service”（BaaS，备份即服务，是云计算领域中的一种服务模式，它提供数据备份和恢复服务。‌这种服务模式允许企业将数据备份和恢复的需求外包给专业的服务提供商，从而减轻企业自身的技术和管理负担。BaaS服务通常包括数据的存储、管理和恢复，确保数据的安全性和可用性。这种服务模式特别适用于那些需要定期备份大量数据的企业，因为它提供了灵活的备份选项和快速的数据恢复能力。此外，BaaS服务提供商通常会提供专业的技术支持和监控，以确保数据的持续保护和快速恢复。‌）是IT领导者正在寻求更好地保护企业免受影响业务的SaaS（一般指软件运营服务。是指用户获取软件服务的一种新形式。它不需要用户将软件产品安装在自己的电脑或服务器上。）事件影响的两种方式。

图源：DC Studio（图片上传者，可以译为用户DC Studio，或者DC Studio） /SHUTTERSTOCK

如果说CrowdStrike（是一家提供网络安全产品和服务以阻止违规行为的公司。它提供跨端点、云工作负载、身份和数据、威胁情报、托管安全服务、IT运营管理、威胁搜索、零信任身份保护和日志管理的云交付保护。CrowdStrike为全球客户提供服务，致力于帮助客户发现攻击即将到来时的征兆，并在漏洞出现前采取措施。公司成立于2011年，总部位于美国德克萨斯州奥斯汀市。）的宕机向首席信息官们强调了什么，那就是现代企业依赖于越来越多的相互连接的系统，其中任何一个系统出现问题都可能使业务运营陷入瘫痪，而这超出了首席信息官们的控制范围。

因此，软件供应链和供应商风险管理在当今的企业高层中变得越来越重要（且频繁被提及），因为企业试图减少其面临的中断风险以及其业务所依赖的关键供应商的业务连续性问题。

如今，SaaS备份和恢复就是一个受到更多关注的领域。许多首席信息官迄今为止都认为这是理所当然的，将其留给他们的SaaS供应商，不仅要提供高于99.999%的正常运行时间，还要成为备份和恢复SaaS孤立数据的唯一实体，这些数据对公司的数据驱动运营越来越重要。

“我们经历了我们的一个SaaS供应商OpCon（是一家提供工作负载自动化和编排软件的公司，专门为银行和信用合作社设计。OpCon的工作负载自动化和编排软件能够帮助企业可靠地在系统、应用程序和环境中自动运行关键业务流程，从而减少手动工作，提高技术投资的回报率。）在MS Azure Central Region（指的是微软Azure云服务在美国中部地区的一次中断事件。这次中断开始于2024年7月18日大约21:56 UTC，影响了包括SharePoint Online、OneDrive for Business、Teams、Microsoft Defender在内的多个关键服务。这次中断不仅影响了Azure本身，还波及到了依赖云系统的航空、股票交易和其他业务，包括一些航空公司的航班停飞、火车站的延误以及银行服务的中断。微软Azure的官方声明指出，这次中断是由于美国中部地区一个网络设备配置错误导致的，这个错误导致网络路由表级联故障，进而导致流量被错误地重定向，服务无法访问。此外，Azure的自动故障转移系统未能按预期工作，导致问题扩散到其他地区。同时，Azure负载均衡系统的一个软件错误也加剧了问题的迅速传播，这个错误阻止了系统正确隔离受影响的区域，允许问题比应有的范围更广泛地传播。这次中断持续了五个多小时，对全球的许多组织造成了重大影响。）期间没有可靠的DR/disaster recovery（灾难恢复计划也称灾备，指自然或人为灾害后，重新启用信息系统的数据、硬件及软体设备，恢复正常商业运作的过程。）的影响，”TruStone Financial（是一家提供金融服务的信用合作社，它通过采用现代技术来提升其服务和运营效率。）首席技术官Gary Jeter（加里·杰特）表示，“夜间处理工作明显延迟，这对我们的信用社和我们的会员产生了很大的影响。这件事与CrowdStrike事件发生在同一天晚上。”

和许多IT领导者一样，Jeter（杰特）正在更加认真地对待保护企业免受影响业务的SaaS事故。

“我们现在更加关注这个问题，”他说，“虽然还没有实施，但我们将把它作为我们的供应商管理和选择流程的一部分。我们还计划扩大我们的enterprise risk management/ERM（企业风险管理，是一个计划、组织、领导、控制一个组织的活动的过程，其目的是为了使一个组织的资产及所得所受的风险影响减为最小。）评估，包括更全面的SaaS供应商的灾难恢复，以确定我们需要确保哪些平台有缓解策略。”

对SaaS备份保险的需求不断增加——被认为对业务连续性至关重要——是在众包罢工之后

研究公司Gartner（高德纳，Gartner Group公司成立于1979年，它是第一家信息技术研究和分析的公司。它为有需要的技术用户来提供专门的服务。Gartner已经成为了一家独立的咨询公司，Gartner公司的服务主要是迎合中型公司的需要，它希望使自己的业务覆盖到IT行业的所有领域，从而让自己成为每一位用户的一站式信息技术服务公司。）预测，在三年内，超过75%的企业将优先考虑对SaaS应用程序和存储在SaaS提供商处的数据进行备份，而今天这一比例为15%。

对SaaS备份保险的需求增加——被认为是业务连续性的关键——是在今夏影响全球业务的CrowdStrike-Microsoft中断之后出现的。

这也反映了越来越多的企业数据存储在SaaS解决方案中：根据Gartner的预测，全球企业客户SaaS支出预计将增长20%，到2024年总计达到2472亿美元，并预计到2025年将达到近3000亿美元。

一、供应商风险管理成为焦点

对于关心保护SaaS数据的首席信息官，Gartner建议审查他们的供应商，以确保数据保护和恢复被纳入SaaS供应商运营的治理方面。首席信息官还应该核实他们的SaaS供应商从所有损失场景中恢复数据的能力。

“许多SaaS解决方案都有备份一些客户数据的能力，但其主要目的不是为了客户直接从客户相关或客户造成的数据问题中恢复数据。供应商备份是为了解决供应商相关问题，不一定是由客户产生的问题，”Gartner分析师兼高级主管Michael Hoeck（迈克尔·霍克）说，“SaaS应用程序的一般原则是共享数据责任。”

虽然数据分析公司Mathematica（是一家提供高科技计算机运算软件的公司。）没有直接受到CrowdStrike中断的影响，但其几个SaaS供应商受到影响，包括一个对Mathematica业务至关重要的系统，该公司的首席信息官Akira Bell（阿基拉·贝尔）说，其为2024年麻省理工学院首席信息官领导力奖的入围者。

“我们还没有开始在SaaS供应商合同规定之外进行我们自己的备份，尽管我想说这是一个越来越值得考虑的问题，”Bell（贝尔）表示，“当我审视我们的恢复能力时，一个日益增长的担忧领域是我们的关键SaaS应用程序。在供应链场景中，我们的第三方可能是我们没有备份的原因。额外的冗余层可能变得至关重要。”

Gartner坚持认为，集成备份即服务解决方案对于保护存储在云中的工作负载并确保运营连续性是必要的。尽管一些SaaS提供商以很少甚至免费的成本提供基本的备份服务，但首席信息官正在探索更全面的方法来保护他们的SaaS数据资产，并确保如果他们的SaaS解决方案失败，他们有一个灾难恢复方法随时可用，Gartner分析师声称。

“并非每个SaaS都有备份自己产品的能力，而对于许多有备份能力的SaaS，这些原生备份能力是很基础的，”领导IDC（国际数据公司，是国际数据集团旗下全资子公司。是信息技术、电信行业和消费科技市场咨询、顾问和活动服务专业提供商。经常发布的市场资讯、预测和资深分析师关于业内热点话题的观点性文章。）的SaaS备份研究的Johnny Yu（约翰尼·余）表示，“Salesforce（创建于1999年3月的一家客户关系管理/CRM 软件服务提供商，总部设于美国旧金山，可提供随需应用的客户关系管理平台）也有一些基础的备份功能，尽管我不认为他们为此收取额外费用。”

例如，Microsoft 365（是微软建基于Microsoft Office 办公室套件的云端办公室方案，包括免费的线上Office Online、线上会议Skype for Business、管理信件的Outlook Web App、建立小组沟通网站的SharePoint Online 等。）定期备份数据，用户可以回滚到这些备份，但有一些限制。例如，他们不能恢复单个文件、电子邮件或Teams（Microsoft Teams，是一款基于聊天的智能团队协作工具，可以同步进行文档共享，并为成员提供包括语音、视频会议在内的即时通讯工具。）对话，Yu（余）解释说。

“主要的收获是每个SaaS（供应商）对客户数据保护的处理方式都不同，而且数据是否得到保护根本不是确定的，”Yu（余）说，“SaaS供应商通常只负责保证其软件的正常运行时间和可访问性。”

二、备份即服务获得了吸引力

IDC的Yu（余）支持Gartner的说法，即企业客户现在正在探索提供“备份即服务”的供应商，在这种服务中，解决方案提供商以这样一种方式打包数据保护，即客户不必购买或管理自己的备份基础设施。

Yu（余）说，大多数数据保护供应商都销售其产品的BaaS版本，包括Veeam（是一家专注于数据保护和灾难恢复的软件公司，为虚拟、云和物理环境提供解决方案。其解决方案旨在帮助企业实现数据的现代化备份，通过自动化、数据复用和灵活的备份策略，确保业务连续性。）、Commvault（是一家提供数据备份、恢复、归档和云服务的软件公司。其解决方案包括 Air Gap Protect、Appranix 重建、文件和对象存档等，旨在提供全面的数据管理功能。）和Cohesity（是一家提供数据管理和安全解决方案的公司，其产品组合包括DataProtect 和 BaaS 服务。其解决方案特点是简单、安全且可扩展，能够轻松地保护和管理数据。），Yu（余）说，而其他如Druva（是一家提供云数据保护和管理服务的公司，其解决方案包括数据备份、灾难恢复和数据治理。）、Backblaze（是一家云服务提供商，提供易于使用、可扩展的云存储解决方案，包括 B2 云存储平台和为个人计算机提供的数据备份解决方案。）和Carbonite（主要提供数据备份和恢复服务，旨在保护企业和个人免受数据丢失的影响。服务通常包括自动化的云备份、灾难恢复计划和数据保护解决方案。）则可以被认为是在BaaS方面更“专业化”。

期望开箱即用获得这种保护的首席信息官们面临风险。

孟菲斯Baptist Memorial Health Care（是一家位于密西西比州的非营利性机构，提供全面的医疗保健服务。成立于1987年4月20日，其总部位于田纳西州孟菲斯。以其专业的医疗团队和先进的技术，为当地居民提供高质量的医疗服务，包括但不限于癌症治疗、心脏护理、神经学服务、妇女和儿童健康等。此外，该机构还注重持续改进和患者体验，通过实施持续改进计划和采用最新的医疗技术，不断提高服务质量和患者满意度。其服务范围不仅局限于医疗治疗，还包括健康教育和预防保健，致力于提高社区的整体健康水平。通过其综合性的服务，其在密西西比州及周边地区享有盛誉，成为当地居民信赖的医疗保健提供者。）的首席信息与数字官Tom Barnett（汤姆·巴尼特）很清楚这些风险，但他——就像其他听到企业高管询问“如果数据在云中，为什么我们需要备份”的信息技术领导者一样——陷入了困境。

“这是我们一直在关注的事情，但要为其争取资金支持有点困难，”Barnett（巴尼特）说，“这需要大量的教育和高层讨论，以便将其与企业风险管理相结合，利用审计结果，并将其与数据保留政策相匹配 —— 所有这些都可能既繁琐又耗时。”

Babson College（巴布森学院，位于美国马萨诸塞州的巴布森公园，是一所专注于商科教育与企业家精神培养的私立商学院，建成于1919年。是美国第一所获得AACSB、AMBA、EQUIS三项国际认证的商学院，其毕业生薪资常年位居全美前列，多次被Forbes、Economist、Money Magazine、Payscale等著名财经杂志评为全美最具价值和投资回报率最高的大学之一。）的首席信息官Patty Patria（帕蒂·帕特里亚），她目前对自己拥有的东西感到满意。Babson College使用Microsoft Copilot（是微软旗下所有GPT-4加持的Copilot功能。2023年9月26日，“Microsoft Copilot”开始通过Win11免费推送。该AI助手是一个集成了在操作系统中的侧边栏工具，可以帮助用户完成各种任务。Copilot依托于底层大语言模型/LLM，用户只需说几句话，做出指示，它就可以创建类似人类撰写的文本和其他内容。）来处理行政任务并提高学生的效率。

“这取决于SaaS应用程序以及围绕该内容的风险水平，或者组织可能有的任何监管要求，”Patria（帕特里亚）说，“大多数SaaS应用程序已经由供应商备份，大多数首席信息官不会进行额外的备份，但也有一些用例需要。”

为了正确看待像Babson这样的组织对微软的依赖，IDC的Yu（余）说，微软提供Microsoft 365备份即服务，保留期长达1年，恢复点小至每10分钟一次（而不是每12小时一次），并对邮件、联系信息、日历项目以及其他一些功能进行精细恢复，每月每GB 0.15美元，用于保护所有数据。

作者：Paula Rooney（宝拉·鲁尼）

Paula Rooney（宝拉·鲁尼）是CIO.com的资深作家。

译者：宝蓝

【睿观：现代企业在保护SaaS（软件即服务）数据方面面临的挑战以及备份即服务（BaaS）的重要性。随着企业对SaaS解决方案的依赖增加，确保数据的安全和恢复能力成为IT领导者关注的重点。以下是主要要点：

1.供应商风险管理的关注增加：

随着企业越来越依赖互联的系统，任何一个系统的故障都可能导致业务中断。尤其是CrowdStrike的宕机事件强调了这一点，IT领导者需要关注软件供应链和供应商风险管理，以减少中断风险。

2.SaaS数据备份的重要性：

许多IT领导者开始重视SaaS数据备份，尤其是在发生服务中断或数据丢失的情况下。Gartner预测，未来三年内超过75%的企业将优先考虑对SaaS应用程序和数据进行备份。

3.备份即服务（BaaS）：

BaaS是一种云计算服务模式，提供数据备份和恢复服务，减少企业自身的技术和管理负担。通过BaaS，企业可以将数据保护责任外包给专业服务提供商，确保数据的安全和可恢复性。

4.SaaS供应商的备份能力：

目前，许多SaaS供应商提供基本的备份服务，但这些服务可能不足以满足企业的需求。Gartner分析师Michael Hoeck指出，SaaS供应商的备份主要是为了应对供应商方面的问题，而不是直接解决客户数据问题。

5.企业对BaaS的兴趣增加：

由于对SaaS数据保护的需求增长，企业越来越倾向于使用BaaS解决方案。BaaS供应商如Veeam、Commvault和Cohesity等提供了全面的数据保护服务，帮助企业应对数据丢失和恢复挑战。

6.实施BaaS的挑战：

尽管BaaS提供了强大的数据保护能力，但一些企业在为其争取资金和实施时面临困难。这需要大量的教育和高层讨论，将BaaS纳入企业风险管理和数据保留政策中。

7.不同SaaS应用的备份策略：

不同的SaaS应用程序对数据备份的处理方式不同。例如，Microsoft 365提供了一些备份功能，但用户可能需要额外的BaaS服务来满足更高的数据保护需求。

总之，随着企业对SaaS解决方案的依赖增加，确保数据的安全和恢复能力变得愈加重要。采用BaaS解决方案可以帮助企业更好地管理数据备份和恢复，降低业务中断的风险。】