[[222803]]

在企業(yè)服務(wù)市場中，云ERP始終是一類較為熱門的產(chǎn)品，無論是SAP的S/4 HANA還是Oracle的ERP Cloud，亦或用友的U8 Cloud與金蝶的K/3 Cloud也總是人們所熱議的對象。可是似乎在云ERP逐漸成熟與推廣開的今日，安全這個老問題卻依然存在。

根據(jù)非營利組織Cloud Security Alliance（CSA）的一項研究，企業(yè)在進行ERP系統(tǒng)遷移時依然會遇到許多挑戰(zhàn)，特別是在安全方面。

CSA在報告中寫到，云ERP系統(tǒng)的確可以為企業(yè)帶來便利，而且鑒于其中所具有的的各種業(yè)務(wù)技術(shù)，它們的總擁有成本也低于那些本地的ERP系統(tǒng)。2017年，那些同時銷售云ERP與本地ERP產(chǎn)品的公司表示他們云服務(wù)方面的收入呈現(xiàn)出了兩位數(shù)的增長。相比之下，雖然本地軟件的收入也在增加，但增速較為緩慢。

另一方面，CSA也明確指出，由于ERP系統(tǒng)本身的特性，在云中進行ERP系統(tǒng)保護是一個比較刺手的問題。CSA認(rèn)為ERP是一個“關(guān)鍵業(yè)務(wù)性的應(yīng)用程序”，并將它定義為一個支持日常業(yè)務(wù)運行的軟件。ERP通常會與企業(yè)的整個業(yè)務(wù)系統(tǒng)相集成，并允許所有類型的員工進行訪問，而最為關(guān)鍵的是，ERP中會包含那些重要與敏感的企業(yè)核心數(shù)據(jù)及信息。

CSA研究部主任，也是報告主要作者之一的John Yeoh說道，“ERP中集成了你所有核心的業(yè)務(wù)流程，因此它將影響你整個業(yè)務(wù)的運作方式。所以我們有必要談一談在進行ERP或相類似系統(tǒng)的云遷移時，你業(yè)務(wù)會受到的那些影響”。

在報告中，CSA警告到，“鑒于其功能的特征，ERP系統(tǒng)存在極高的網(wǎng)絡(luò)安全漏洞風(fēng)險”。對此，CSA列出了一系列企業(yè)需要在云ERP系統(tǒng)中解決的問題，并給予了一些建議。

數(shù)據(jù)應(yīng)該在哪？

數(shù)據(jù)冗余，或數(shù)據(jù)的實際位置是所有種類云服務(wù)中長期存在的問題，因為數(shù)據(jù)可以存儲在任何地方的數(shù)據(jù)中心中，而且還需要符合當(dāng)?shù)氐姆珊蜅l例。一項相關(guān)的法律就是歐盟發(fā)布的“一般數(shù)據(jù)保護條例”，該條例將于5月實施，屆時它將限制歐洲公司數(shù)據(jù)的存儲位置。

報告中寫到，“ERP應(yīng)用最重要的資產(chǎn)就是其中所擁有的數(shù)據(jù)”。大多數(shù)的供應(yīng)商會讓企業(yè)去進行數(shù)據(jù)中心的選擇，因此他們可以對數(shù)據(jù)所在位置進行控制。報告建議到，在企業(yè)進行軟件選型時，必須去進行充足的法律與合規(guī)性咨詢以便做出合適的選擇，并同時需要確認(rèn)供應(yīng)商對于合規(guī)性做出的承諾。

誰可以獲得訪問授權(quán)？

在進行ERP系統(tǒng)選型時，企業(yè)還需要考慮他們將如何進行用戶訪問授權(quán)，并能夠去確認(rèn)訪問者的身份。這需要身份管理、授權(quán)系統(tǒng)、單點登錄等功能。

Yeoh表示，企業(yè)可以做出不同的選擇。比如身份管理，企業(yè)可以去使用他們ERP供應(yīng)商自己的產(chǎn)品，也可以去部署第三方供應(yīng)商的產(chǎn)品。但是為了找出一套最佳方案，他們應(yīng)該對自身組織進行定制化的評估，并確認(rèn)需要進行系統(tǒng)訪問的用戶人數(shù)。

而在報告中，CSA還指出，用戶活動和訪問監(jiān)控也很重要，因為這可以幫助企業(yè)揭示出“用戶正在做的事情并檢測出那些惡意和異常的用戶行為”。

誰將對安全進行負(fù)責(zé)？

Yeoh表示，在云ERP供應(yīng)商與企業(yè)關(guān)系中，確定哪一方進行安全措施負(fù)責(zé)“永遠是一項挑戰(zhàn)”。他舉出了“云控制矩陣”（Cloud Controls Matrix）的例子，這是一個安全保障綱要，它不僅幫助企業(yè)去確認(rèn)自己需要的安全程度，而且它還可以幫助企業(yè)和云供應(yīng)商明確各自的責(zé)任。

例如，補丁應(yīng)該是供應(yīng)商的工作，他們需要確保自己的產(chǎn)品和服務(wù)“沒有漏洞”。但企業(yè)需要清楚何時供應(yīng)商可以完成補丁的制作以便不至于面臨服務(wù)停滯的情況，而且企業(yè)還必須確保他們的供應(yīng)商首先去進行這項工作。

CSA的報告繼續(xù)補充到，在進行云ERP選型時，企業(yè)還應(yīng)該對供應(yīng)商進行盡職調(diào)查。他們需要確定供應(yīng)商符合哪些網(wǎng)絡(luò)安全協(xié)議與標(biāo)準(zhǔn)，比如由國際標(biāo)準(zhǔn)化組織和國際電工委員會共同發(fā)布的ISO / IEC 27000系列標(biāo)準(zhǔn)。企業(yè)應(yīng)該對供應(yīng)商進行全面的調(diào)研，然后進行風(fēng)險管理評估以權(quán)衡云遷移過程中的風(fēng)險與收益。

購買現(xiàn)成的SaaS ERP產(chǎn)品還是自己進行“DIY”？

作為一種云產(chǎn)品，企業(yè)既可以通過互聯(lián)網(wǎng)去購買那些現(xiàn)成的云ERP產(chǎn)品，即SaaS ERP，又可以通過AWS或微軟Azure的IaaS架構(gòu)去構(gòu)建自己的云ERP。

但是，CSA的報告警告到，這種兩種模式各有自己的一些問題，而企業(yè)也需要去進行相應(yīng)的處理。例如，SaaS ERP可能更容易遭受到網(wǎng)絡(luò)攻擊的威脅，因為它們完全運行在網(wǎng)絡(luò)之中，并且人們可以通過不同地方的瀏覽器對它們進行訪問。而對于那些構(gòu)建于IaaS中的ERP，雖然IaaS供應(yīng)商可以對操作系統(tǒng)與企業(yè)數(shù)據(jù)庫進行保護，但企業(yè)需要像管理本地部署軟件一樣去維護自身系統(tǒng)的安全。

不過，企業(yè)仍然可以通過一些措施來減輕以上兩種云ERP應(yīng)用模式中的問題。比如，使用SaaS ERP產(chǎn)品的公司可以使用云訪問安全代理，或CASB（Cloud Access Security Brokers），這是一種可監(jiān)控在線活動的網(wǎng)絡(luò)守衛(wèi)產(chǎn)品。而那些通過IaaS進行自身云ERP構(gòu)建的企業(yè)也可以通過與供應(yīng)商的密切合作以獲得對安全方面的信息與數(shù)據(jù)適當(dāng)?shù)目梢娦?，從而確保所有相關(guān)的安全要求都得到遵守。

 【編輯推薦】