企业资源规划软件是许多组织的关键业务应用程序,根据云安全联盟的一项研究,当从内部部署迁移到云时,需要考虑一些关键的安全问题。
CSA研究名为“企业资源规划(ERP)应用程序和云采用”,由Onapsis赞助并于1月11日发布。该研究发现,69%的组织正在将包括SAP和Oracle在内的流行ERP平台的数据迁移到云端。虽然许多组织正在将ERP迁移到云端,但该研究还发现了一些关于安全性的误解。
“鉴于ERP应用程序的复杂性,我们仍然看到组织将其ERP安全战略集中在基础安全性,如IAM [身份和访问管理],GRC [治理风险和合规性]和SoD [职责分离],”JP Perez-Etchegoyen ,Onapsis首席技术官和CSA ERP安全工作组主席告诉eWEEK。“但必须从整体上解决安全问题,并应考虑其他方面,如ERP定制,ERP配置,ERP监控,ERP集成,ERP漏洞和其他ERP风险。”
该研究发现,在用于帮助保护云中ERP部署的安全控制措施中,68%的组织使用IAM控制。使用的其他工具包括防火墙(63%)和漏洞评估(62%)。
云ERP部署
传统上,组织一直在内部部署ERP系统,但近年来这种情况一直在发生变化。Perez-Etchegoyen评论说SAP和Oracle肯定在帮助和推动组织迁移到云。此外,他还指出,合作伙伴生态系统正在提供真正的规模来帮助组织采用云。
云虽然不是一个统一的概念,但它具有组织用于ERP的不同类型的部署模型。使用的一种模型是云基础架构即服务(IaaS),其中组织在AWS,Azure,GCP和任何其他托管环境中部署Oracle,SAP或其他ERP产品。
“这非常像在本地运行,但在托管环境中运行,”Perez-Etchegoyen说。“根据服务协议,您可能对作为客户的应用程序的安全负责,或者它可能是与提供商的共同责任。”
云软件即服务(SaaS)模型是另一种流行的ERP部署方法。Perez-Etchegoyen解释说,通过SaaS模型,云中可以使用应用程序,供组织根据每年的用户数进行订阅。其中一些例子是NetSuite,Oracle Cloud ERP,SuccessFactors,Ariba和SAP S / 4HANA Public Cloud。
用于ERP部署的另一种云服务模型是平台即服务(PaaS)方法。Perez-Etchegoyen表示,PaaS云服务模型主要用于扩展SaaS应用程序,其功能在应用程序中不可用。
“它[PaaS]是为SaaS应用程序开发自定义功能的唯一方法,”他说。“在Oracle云上安装WebLogic的例子将是IaaS,因为您实际上是在购买计算能力并自行部署应用程序。”
ERP安全
迁移到云还涉及了解安全性的共享责任模型。Perez-Etchegoyen表示,ERP云安全不仅仅与提供商有关,也与客户有关。
例如,Oracle和SAP都提供具有良好安全标准的产品,但组织仍需要围绕安全性和可见性实施额外控制,就像它们在本地运行这些应用程序一样。他补充说,大多数ERP应用程序都是定制的,因此客户可以在扩展提供商的功能时引入大量潜在的安全漏洞,并且需要对其进行适当的控制。
根据Perez-Etchegoyen的说法,组织应该实施的一些控制措施包括ERP漏洞评估,ERP监控,接口数据安全和安全配置。
“ERP应用程序很复杂,因此保护ERP应用程序涉及一定程度的复杂性,需要客户和提供商一起工作,”他说。“应该由提供商实施安全控制,但是有一些安全控制需要由客户实施并且理解是关键。