如何解決雲ERP系統中如影隨形的安全挑戰?
在企業服務市場中,雲ERP始終是一類較為熱門的產品,無論是SAP的S/4 HANA還是Oracle的ERP Cloud,亦或用友的U8 Cloud與金蝶的K/3 Cloud也總是人們所熱議的物件。可是似乎在雲ERP逐漸成熟與推廣開的今日,安全這個老問題卻依然存在。
根據非營利組織Cloud Security Alliance(CSA)的一項研究,企業在進行ERP系統遷移時依然會遇到許多挑戰,特別是在安全方面。
CSA在報告中寫到,雲ERP系統的確可以為企業帶來便利,而且鑑於其中所具有的的各種業務技術,它們的總擁有成本也低於那些本地的ERP系統。2017年,那些同時銷售雲ERP與本地ERP產品的公司表示他們雲服務方面的收入呈現出了兩位數的增長。相比之下,雖然本地軟體的收入也在增加,但增速較為緩慢。
另一方面,CSA也明確指出,由於ERP系統本身的特性,在雲中進行ERP系統保護是一個比較刺手的問題。CSA認為ERP是一個“關鍵業務性的應用程式”,並將它定義為一個支援日常業務執行的軟體。ERP通常會與企業的整個業務系統相整合,並允許所有型別的員工進行訪問,而最為關鍵的是,ERP中會包含那些重要與敏感的企業核心資料及資訊。
CSA研究部主任,也是報告主要作者之一的John Yeoh說道,“ERP中集成了你所有核心的業務流程,因此它將影響你整個業務的運作方式。所以我們有必要談一談在進行ERP或相類似系統的雲遷移時,你業務會受到的那些影響”。
在報告中,CSA警告到,“鑑於其功能的特徵,ERP系統存在極高的
資料應該在哪?
資料冗餘,或資料的實際位置是所有種類雲服務中長期存在的問題,因為資料可以儲存在任何地方的資料中心中,而且還需要符合當地的法律和條例。一項相關的法律就是歐盟釋出的“一般資料保護條例”,該條例將於5月實施,屆時它將限制歐洲公司資料的儲存位置。
報告中寫到,“ERP應用最重要的資產就是其中所擁有的資料”。大多數的供應商會讓企業去進行資料中心的選擇,因此他們可以對資料所在位置進行控制。報告建議到,在企業進行軟體選型時,必須去進行充足的法律與合規性諮詢以便做出合適的選擇,並同時需要確認供應商對於合規性做出的承諾。
誰可以獲得訪問授權?
在進行ERP系統選型時,企業還需要考慮他們將如何進行使用者訪問授權,並能夠去確認訪問者的身份。這需要身份管理、授權系統、單點登入等功能。
Yeoh表示,企業可以做出不同的選擇。比如身份管理,企業可以去使用他們ERP供應商自己的產品,也可以去部署第三方供應商的產品。但是為了找出一套最佳方案,他們應該對自身組織進行定製化的評估,並確認需要進行系統訪問的使用者人數。
而在報告中,CSA還指出,使用者活動和訪問監控也很重要,因為這可以幫助企業揭示出“使用者正在做的事情並檢測出那些惡意和異常的使用者行為”。
誰將對安全進行負責?
Yeoh表示,在雲ERP供應商與企業關係中,確定哪一方進行安全措施負責“永遠是一項挑戰”。他舉出了“雲控制矩陣”(Cloud Controls Matrix)的例子,這是一個安全保障綱要,它不僅幫助企業去確認自己需要的安全程度,而且它還可以幫助企業和雲供應商明確各自的責任。
例如,補丁應該是供應商的工作,他們需要確保自己的產品和服務“沒有漏洞”。但企業需要清楚何時供應商可以完成補丁的製作以便不至於面臨服務停滯的情況,而且企業還必須確保他們的供應商首先去進行這項工作。
CSA的報告繼續補充到,在進行雲ERP選型時,企業還應該對供應商進行盡職調查。他們需要確定供應商符合哪些網路安全協議與標準,比如由國際標準化組織和國際電工委員會共同釋出的ISO / IEC 27000系列標準。企業應該對供應商進行全面的調研,然後進行風險管理評估以權衡雲遷移過程中的風險與收益。
購買現成的SaaS ERP產品還是自己進行“DIY”?
作為一種雲產品,企業既可以通過網際網路去購買那些現成的雲ERP產品,即SaaS ERP,又可以通過AWS或微軟Azure的IaaS架構去構建自己的雲ERP。
但是,CSA的報告警告到,這種兩種模式各有自己的一些問題,而企業也需要去進行相應的處理。例如,SaaS ERP可能更容易遭受到網路攻擊的威脅,因為它們完全執行在網路之中,並且人們可以通過不同地方的瀏覽器對它們進行訪問。而對於那些構建於IaaS中的ERP,雖然IaaS供應商可以對作業系統與企業資料庫進行保護,但企業需要像管理本地部署軟體一樣去維護自身系統的安全。
不過,企業仍然可以通過一些措施來減輕以上兩種雲ERP應用模式中的問題。比如,使用SaaS ERP產品的公司可以使用雲訪問安全代理,或CASB(Cloud Access Security Brokers),這是一種可監控線上活動的網路守衛產品。而那些通過IaaS進行自身雲ERP構建的企業也可以通過與供應商的密切合作以獲得對安全方面的資訊與資料適當的可見性,從而確保所有相關的安全要求都得到遵守。