企业资源规划(ERP)软件是许多组织的关键业务应用程序,根据云安全联盟(CSA)的一项研究显示,当企业将ERP从内部部署迁移至云端时,需要考虑一些关键的安全问题。
事实上,现代ERP系统是从以前的ERP系统扩展而来,其功能包括但已不再仅限于资源规划。在过去,ERP系统被看作是一个单一的系统,它可以辅助专门化的业务操作,而现代ERP系统是一个独立的或集成的组件集合,用以帮助管理企业特定方面的业务。从本质上看,ERP是一个模块化的软件系统,它将金融、人力资源和客户关系管理等核心业务功能的数据结合起来,帮助组织更有效地运作。
目前ERP有三种主要的部署模式: 传统的本地部署,云端署模式以及二者兼有的混合模式。
云端ERP部署
传统上,组织一直在内部部署ERP系统,但近年来这种情况一直在发生变化。在一定程度上,SAP和Oracle确实在帮助和推动组织将ERP系统迁移至云端。除此之外,合作伙伴生态系统也正在提供真正的规模来帮助组织采用云。
云虽然不是一个统一的概念,但它具有组织用于ERP的不同类型的部署模型。其中一种主要模式就是云基础架构即服务(IaaS),通过这种模式,组织可以在AWS、Azure、GCP以及任何其他托管环境中部署Oracle、SAP或其他ERP产品。
云软件即服务(SaaS)模型是另一种流行的ERP部署方法。通过SaaS模型,组织可以根据多种使用条件(如用户数量、具体功能与事项、数据量或其他度量单位)对其云应用程序进行订阅。这种模型的代表包括NetSuite、Oracle Cloud ERP、SuccessFactors、Ariba以及SAP S / 4HANA公共云。
用于ERP部署的另一种云服务模型是平台即服务(PaaS)方法。PaaS云服务模型主要用于扩展SaaS应用程序,它是为SaaS应用程序开发自定义功能的唯一方法。
ERP系统迁移至云端的安全预期
如今,数字化转型的加速发展正在进一步推动市场对企业资源规划(ERP)系统的需求,以便组织能够以协调的方式管理其整体业务。与此同时,全球化的趋势也正在迫使组织考虑云解决方案,以防止跨国业务出现脱节运营现象——即便是一些小型企业也被云运营的经济效益和潜在安全效益等优势所吸引,而纷纷转向云解决方案。
归根结底,将ERP系统转移至云端的主要推动因素包括价值实现周期更短、创新速度更快以及不断增长的可扩展性等等。
这种种因素都在推动组织将现有的内部部署ERP解决方案迁移至云端,甚至一些组织还考虑将其首个ERP系统直接接入云端。不过,云迁移从来都不是一件简单的事,尤其是当涉及的数据对业务运营至关重要的时候。
为了更好地了解ERP在云端的实际问题并安全将其迁移至云端,云安全联盟(CSA,由Onapsis赞助)针对来自美洲(49%),亚太地区(26%)以及欧洲、中东和非洲(合称EMEA,25%)的199名经理、C级高管以及员工进行了一项调查。
对于这项调查的初衷,云安全联盟负责人表示:
云迁移从来都不是一件简单的事情,会引发很多安全和隐私问题,我们希望能够通过调查提供一些关于云迁移和安全问题的有效见解。
1月11日,CSA发布了这份名为《企业资源规划(ERP)应用程序和云采用》的安全报告。该研究发现,69%的组织正在将包括SAP和Oracle在内的流行ERP平台的数据迁移到云端。此外,值得注意的是,美洲和亚太地区(均为73%)比EMEA(欧洲、中东和非洲)地区更有可能迁移到云解决方案。因为欧洲、中东和非洲的法规,如欧盟通用数据保护条例(GDPR)限制了技术采购、云服务以及第三方政策等组织计划。
ERP安全挑战和误解
虽然目前,许多组织正在将ERP迁移到云端,但该研究还发现了一些关于安全性的误解。该报告指出,鉴于ERP应用程序的复杂性,我们发现许多组织仍然将其ERP安全策略集中在基础安全性上,如IAM(身份和访问管理)、GRC(治理风险和合规性)以及SoD(职责分离)。
研究发现,在用于帮助保护云端ERP部署的安全控制措施中,68%的受访组织使用了IAM控制。其他所用的工具还包括防火墙(63%)、漏洞评估(62%)。以及IDS / IPS应用程序(59%)。其中,单点登录(SSO)是身份和访问管理(IAM)解决方案的一个重要组成部分,79%的受访组织使用了SSO对其ERP解决方案进行身份验证。
但是,想要真正实现安全的云迁移就必须从整体上解决安全问题,将其他方面纳入ERP安全策略中,如ERP定制、ERP配置、ERP监控、ERP集成、ERP漏洞和其他ERP风险等。
此外,该研究还显示,对于接受调查的所有公司而言,“合规性问题”是其共同面临的第三大挑战,占比高达54.29%。排名首位和次位的挑战分别为“迁移敏感数据的实际问题”(64.76%),以及“一般安全问题”(59.05%)。
排名稍后的挑战还包括“业务运营中断”(46.67%)以及“迁移所需时长”(45.71%)。前者的排名可能有些出人意料,因为一般情况下,组织——特别是高级管理层——通常会将业务运营问题优先于安全问题。而“业务运营中断”之所以排名稍后,是因为与其他问题相比,这个问题发生的可能性不大。
除“业务运营中断”挑战外,对“迁移所需时间”的关注度也相对较低,这表明组织清楚地知道云迁移是一个漫长的过程,并且不介意花时间来做正确的实践。这可能是一件好事,因为只有26%的受访者在预期的时间范围内实现了数据迁移。
如今,云访问安全代理(CASB)解决方案已经不再是一项新技术,但其仍然是一种与ERP一起在云中使用的新兴技术。这种技术最常用于美洲(42%),但在亚太地区(19%)和EMEA地区(仅11%)则不太受欢迎。不过,预计这些比例将实现增长。根据Gartner预测,到2022年,60%的大型企业将使用CASB解决方案来管理某些云服务,而目前这一比例还不到20%。
安全专家表示,无论服务提供商如何,在任何云迁移过程中,都必须从一开始就植入安全性,并在整个项目中分阶段实施。组织关注的是跨环境移动敏感数据,然后再解决迁移带来的安全性和合规性问题。但我们的研究结果显示,“在迁移的每个阶段实施安全性,可以为客户节省超过5倍的实施成本”。
大多数受访者预计,随着ERP向云端迁移,云中的ERP安全事件会增加。其中,超过1/3的受访者预计会有“轻微的风险增加”,另有20%的受访者预计“风险会显著增加”。但是,这些数字还远不如“对安全事件的责任混淆”那般令人惊讶:77%的受访者认为“他们自身需要对ERP应用程序的安全性负责”,而48%的受访者则表示“云服务提供商应该为此负责”。
云提供商(AWS和Azure是数据迁移所使用的两个主要提供商)运营“共享责任”模型,在这种模型中,ERP云安全不仅仅与提供商有关,也与客户自身有关,其中提供商负责基础架构,而客户则负责数据。
例如,Oracle和SAP都提供具有良好安全标准的产品,但组织仍需要围绕安全性和可见性实施额外控制,就像它们在本地运行这些应用程序一样。此外,大多数ERP应用程序都是定制的,因此客户在扩展提供商的功能时可能会引入大量潜在的安全漏洞,对于这种情况也需要进行适当的控制。可行的一些控制措施包括ERP漏洞评估、ERP监控、接口数据安全和安全配置等等。
ERP应用程序非常复杂,因此保护ERP应用程序也涉及一定程度的复杂性,需要客户和提供商共同协作。提供商应该实施安全控制,但是有一些安全控制也需要由客户自身进行实施,并给予充分的理解和重视。
最后,云安全联盟强调,在将自身业务关键型应用程序迁移至云端时,那些拥有业务关键型应用程序的组织需要着力解决上述“令人不安的误解”,更好地实现数据安全迁移。