简单性陷阱：为什么云电子邮件应该出现在每个 BCP 对话中？

云计算本应简化一切。对于大多数工作负载来说，确实如此。对于那些在微软环境中工作的人来说，Microsoft 365 承诺并在很大程度上实现了这样一个世界：在这里，电子邮件、日历和协作都可以正常工作，而且不需要考虑支持这些工作的服务器。.

但世界正在发生变化。贸易紧张局势和数据主权争端已经证明了这一点。中断不再是边缘情况。.

2026 年 1 月、, 微软 365 全球瘫痪. .电子邮件停止。Outlook 无法加载。日历访问消失了。爆炸半径不是一家公司。而是平台上的所有租户，同时发生。.

对于每一个没有后备方案的组织来说，业务连续性都会受到威胁。而对于根据 DORA 或 NIS2 等法规运营的组织来说，这不再仅仅是一个运营问题。它是监管合规的失败，存在罚款、强制报告和潜在监管干预的风险。.

在多个司法管辖区和行业，监管机构正在提高对业务连续性实际含义的要求：

• 多拉 (2025 年 1 月全面实施）：金融行业组织必须维护并定期测试记录在案的信息和通信技术连续性计划，确保系统在中断期间保持运行，并积极降低来自第三方云提供商的风险。制定 SLA 并不被视为充分的缓解措施。.

如果发现组织违规，监管机构有权实施补救计划、进行额外审计、限制某些业务活动或加强监督。.

• NIS2在能源、卫生、交通、公共管理和数字基础设施方面，《公约》规定了几乎相同的义务。电子邮件系统明确属于该范围。处罚范围 全球年营业额的 2%. .举证责任在于组织，而不是监管机构。.

监管机构可以强制要求采取纠正措施，要求提供详细的合规证据，严重时还可以限制或禁止与基本或重要服务相关的业务运营，直到恢复合规为止。.

• GDPR 和数据主权： 完全由总部位于美国的云提供商保存的电子邮件数据，无论服务器实际位于何处，都会受到美国《云法案》的强制披露。对于从事医疗保健、法律服务和临床研究等受监管行业的欧洲企业来说，这是一个真实且持续的合规风险。.

监管机构希望企业能够证明对数据居住地和法律管辖区的控制，这是任何超级分销商都无法完全代表企业做出的保证。.

要求业务连续性的法规不止这些。根据您所在的行业和地域，许多其他框架也规定了类似的义务：

所有这些框架的共同点都是一样的：企业要对连续性负责，而不是供应商。"我们的云提供商宕机了 "这句话在任何一个司法管辖区都无法让审计人员满意。.

答案不是放弃 M365。而是扩展它。通过采用主动备用架构，您可以在不影响终端用户的情况下实现弹性和业务连续性。.

在这种架构中，一个环境在正常状态下处理 100% 的实时流量。第二个环境则保持连续的奇偶校验，并在主服务器出现故障时承担流量。当然，故障切换流程需要事先规划和测试，以便在需要时可审计和可操作。.

如下图所示，有三个关键方面是主动-备用架构的基础：

1 - An 自动同步工具诸如 CB Exchange Server Sync, 此外，该系统还能保持跨平台双向邮件和日历的一致性，同时让您完全掌控数据位置。.

2 - A 邮件网关, 如 Postfix，提供受控缓冲区，以便在中断期间将电子邮件重新路由到辅助端点。.

3 - 预先创建的电子邮件客户端配置文件, 以快速将用户切换到这些辅助端点。所有终端用户都必须为两个系统预置配置文件，以避免 "首次运行 "配置延迟。我们建议使用经典的 Outlook 作为电子邮件客户端，或确保所有用户都接受过使用 OWA 作为 “零设置 ”后备方案的培训。.

对于备用的替代环境，您可以根据贵组织的基础设施偏好和主权要求，考虑以下两个选项。.

最适合 有数据主权要求、受监管行业、欧盟业务或现有内部基础设施的组织。.

如何使用

• 内部 Exchange 用作备用替代环境，托管在企业自己的数据中心。.
• CB Exchange Server Sync 在 Microsoft 365 和内部部署的 Exchange 之间保持邮件、联系人和日历的持续双向同步。所有数据在两个系统中均保持一致。.
• 在正常状态下，Microsoft 365 会处理所有实时流量。.
• 故障切换时，邮件自动通过内部 Exchange 路由。.

最终用户的故障转移流程：

• Outlook 台式机、手机和 OWA 可连接到任何可用的环境。.
• 界面完全相同（无需学习新系统，无需遵循紧急程序）。.
• 中断期间创建的任何邮件都会在恢复时自动同步回 Microsoft 365。.

数据主权优势：

• 静止的电子邮件数据保存在企业自己的数据中心，由企业自己管辖，硬件由企业自己控制。.
• 完整的监管链和可审计性
• 对 DORA 第三方风险规定的直接、明显答复

审计人员看到的 实时运行、可测试的备用环境。不是政策文件。不是 SLA 参考。连续性证明。.

最适合 这些机构包括：希望实现完全云冗余的机构、已经在评估供应商多样化的机构，或没有内部部署基础设施（或没有考虑建立内部部署基础设施的团队）的机构。.

如何使用

• Google Workspace 用作备用替代环境。它是一个独立的供应商基础设施，占用不同的数据中心空间，出现故障的可能性也不同。.
• 邮件网关（如 Postfix）集中接收并管理路由，控制故障转移流，而不依赖于 MX 传播
• CB Exchange Server Sync 可在后台悄无声息地与 Google Workspace 保持持续的双向邮件和日历对等。您将在两个系统中获得相同的数据。.
• 在正常状态下，Microsoft 365 可处理 100% 的实时流量。.
• 故障切换时，网关上的半自动路由翻转会将流量重定向到 Google Workspace。.
• 这就避免了 MX 大脑分裂（在实时转换过程中，当 MX 记录的更改在 DNS 解析器中传播不一致时，就会发生分裂路由冲突）。.

最终用户的故障转移流程：

• 熟悉 Outlook 的用户可以在故障切换期间通过邮件连接器使用它，也可以切换到 Gmail Web 或 Gmail Mobile 界面。.

数据主权说明：

该选项很方便，因为它避免了拥有或维护基础设施的需要，但它不能提供与选项 1 相同的内部部署所有权保证。数据主权取决于 Google Workspace 部署配置和区域设置。对于有严格管辖要求的组织而言，方案 1 是更好的选择。.

无论哪种部署模式适合组织，底层架构都能提供相同的保证：

• 冗余 终端用户看不到，审计人员却能看到
• 主动-备用架构 持续同步。无需冷待机、无需备份恢复、无需手动数据恢复
• A 故障切换流 在需要之前进行规划和测试

• 将审计就绪作为默认状态当 DORA 或 NIS2 审查员问及组织如何确保电子邮件的连续性时，答案是实时 运行的系统，而不是参考供应商 SLA 的政策文件
• 将主权作为商业差异化因素:在欧盟，许多公共部门和关键基础设施合同都要求在国内或仅在欧盟处理数据。在澳大利亚，APRA CPS 230 将责任直接延伸到第三方供应商。在美国，FBI CJIS 和 NYDFS 等框架要求组织（而非其供应商）严格控制敏感数据。在所有这三种情况下，能够证明数据主权的组织都赢得了任务，而仅有云计算的竞争者是无法竞标的。.
• 零信任，电子邮件的可操作性在业务连续性和恢复能力方面：最有弹性的业务连续性和恢复能力假定任何系统都可能发生故障，并据此进行设计。上文介绍的具有持续同步功能的主动-备用架构就是这种假设在应用于组织最不能承受损失的工作负载时的表现。.
• 保持领先地位的投资当前，投资混合电子邮件弹性的组织正在采取积极主动的姿态，在监管、运营和市场需求之前进行定位，而不是事后作出反应。.

云本应简化一切。对于大多数工作负载来说，它成功了。但是 没有韧性的简单只是名字更好听的脆弱.

当监管机构找上门来，或当重大故障导致运营停顿时，您是否认为“我们相信供应商的服务水平协议”会是一个被接受的答案吗？

盲目相信单一云供应商正常运行时间的时代已经过去，尤其是对于电子邮件等关键业务系统而言。无论对方使用什么平台，电子邮件都是唯一能正常工作的通信渠道。这也许就是为什么它几乎是所有关键业务互动的核心。它对每一种客户关系、每一种监管义务、每一笔交易都至关重要。一旦失败，下游的一切都会随之失败。.

对于以前只依赖 Microsoft 365 的企业来说，建立一个实时、可测试的双环境架构不仅仅是技术上的谨慎。它现在已经成为监管常识。. 无论这意味着增加一个内部 Exchange 备用机以实现完全主权，还是使用 Google Workspace 进行云到云故障切换以实现供应商多样性，重点都是一样的。.

复原力必须从一开始就设计好，这样当简单性失效时，连续性就不会失效。.

想进一步了解这种主动-Stanby 架构以及如何 CB Exchange Server Sync 在您的方案中是否可行？与我们的技术专家进行一次专门的免费咨询：