云ERP的安全防护 调虽老 可却不得不谈

在企业服务市场中,云ERP始终是一类较为热门的产品,也总是人们所热议的对象。可是似乎在云ERP逐渐成熟与推广开的今日,安全这个老问题却依然老调重弹,反复被人们所提及。

根据非营利组织Cloud Security Alliance(CSA)的一项研究,企业在进行ERP系统迁移时依然会遇到许多挑战,特别是在安全方面。

CSA在报告中写到,云ERP系统的确可以为企业带来便利,而且鉴于其中所具有的的各种业务技术,它们的总拥有成本也低于那些本地的ERP系统。2017年,那些同时销售云ERP与本地ERP产品的公司表示他们云服务方面的收入呈现出了两位数的增长。相比之下,虽然本地软件的收入也在增加,但增速较为缓慢。

另一方面,CSA也明确指出,由于ERP系统本身的特性,在云中进行ERP系统保护是一个比较刺手的问题。CSA认为ERP是一个“关键业务性的应用程序”,并将它定义为一个支持日常业务运行的软件。ERP通常会与企业的整个业务系统相集成,并允许所有类型的员工进行访问,而最为关键的是,ERP中会包含那些重要与敏感的企业核心数据及信息。

CSA研究部主任,也是报告主要作者之一的John Yeoh说道,“ERP中集成了你所有核心的业务流程,因此它将影响你整个业务的运作方式。所以我们有必要谈一谈在进行ERP或相类似系统的云迁移时,你业务会受到的那些影响”。

在报告中,CSA警告到,“鉴于其功能的特征,ERP系统存在极高的网络安全漏洞风险”。对此,CSA列出了一系列企业需要在云ERP系统中解决的问题,并给予了一些建议。

数据应该在哪?

数据冗余,或数据的实际位置是所有种类云服务中长期存在的问题,因为数据可以存储在任何地方的数据中心中,而且还需要符合当地的法律和条例。一项相关的法律就是欧盟发布的“一般数据保护条例”,该条例将于5月实施,届时它将限制欧洲公司数据的存储位置。

报告中写到,“ERP应用最重要的资产就是其中所拥有的数据”。大多数的供应商会让企业去进行数据中心的选择,因此他们可以对数据所在位置进行控制。报告建议到,在企业进行软件选型时,必须去进行充足的法律与合规性咨询以便做出合适的选择,并同时需要确认供应商对于合规性做出的承诺。

谁可以获得访问授权?

在进行ERP系统选型时,企业还需要考虑他们将如何进行用户访问授权,并能够去确认访问者的身份。这需要身份管理、授权系统、单点登录等功能。

Yeoh表示,企业可以做出不同的选择。比如身份管理,企业可以去使用他们ERP供应商自己的产品,也可以去部署第三方供应商的产品。但是为了找出一套最佳方案,他们应该对自身组织进行定制化的评估,并确认需要进行系统访问的用户人数。

而在报告中,CSA还指出,用户活动和访问监控也很重要,因为这可以帮助企业揭示出“用户正在做的事情并检测出那些恶意和异常的用户行为”。

谁将对安全进行负责?

Yeoh表示,在云ERP供应商与企业关系中,确定哪一方进行安全措施负责“永远是一项挑战”。他举出了“云控制矩阵”(Cloud Controls Matrix)的例子,这是一个安全保障纲要,它不仅帮助企业去确认自己需要的安全程度,而且它还可以帮助企业和云供应商明确各自的责任。

例如,补丁应该是供应商的工作,他们需要确保自己的产品和服务“没有漏洞”。但企业需要清楚何时供应商可以完成补丁的制作以便不至于面临服务停滞的情况,而且企业还必须确保他们的供应商首先去进行这项工作。

CSA的报告继续补充到,在进行云ERP选型时,企业还应该对供应商进行尽职调查。他们需要确定供应商符合哪些网络安全协议与标准,比如由国际标准化组织和国际电工委员会共同发布的ISO / IEC 27000系列标准。企业应该对供应商进行全面的调研,然后进行风险管理评估以权衡云迁移过程中的风险与收益。

购买现成的SaaS ERP产品还是自己进行“DIY”?

作为一种云产品,企业既可以通过互联网去购买那些现成的云ERP产品,即SaaS ERP,又可以通过AWS或微软Azure的IaaS架构去构建自己的云ERP。

但是,CSA的报告警告到,这种两种模式各有自己的一些问题,而企业也需要去进行相应的处理。例如,SaaS ERP可能更容易遭受到网络攻击的威胁,因为它们完全运行在网络之中,并且人们可以通过不同地方的浏览器对它们进行访问。而对于那些构建于IaaS中的ERP,虽然IaaS供应商可以对操作系统与企业数据库进行保护,但企业需要像管理本地部署软件一样去维护自身系统的安全。

不过,企业仍然可以通过一些措施来减轻以上两种云ERP应用模式中的问题。比如,使用SaaS ERP产品的公司可以使用云访问安全代理,或CASB(Cloud Access Security Brokers),这是一种可监控在线活动的网络守卫产品。而那些通过IaaS进行自身云ERP构建的企业也可以通过与供应商的密切合作以获得对安全方面的信息与数据适当的可见性,从而确保所有相关的安全要求都得到遵守。

文章来源:数字化企业网