在短短几年内,大多数行业的IT部门已完全接受了云计算及其优势。尽管云计算很流行,但它安全吗?
由于云安全漏洞而组成组织的ERP软件时,这通常是新闻的头条新闻。这种负面新闻曾经是组织保持内部部署的动力,但由于迁移到云具有压倒性的优势,企业为了保持竞争力而采取了行动。
从内部部署基础架构过渡到基于云的基础架构时,一些职责已从组织的IT部门转移到云服务提供商(CSP),但是安全仍然是双方都应承担责任的重点。
了解由谁负责哪些安全措施对于确保组织中的数据在云中的安全至关重要。根据专家的说法:“在几乎所有情况下,都是用户(而非云提供商)无法管理用于保护组织数据的控件。” 1
这与我们在ERP实施经验中发现的结果类似–人而不是技术,决定了ERP项目的成功。我们已经看到,ERP实施的所有不同方面(包括安全性)都由于人员,流程和技术之间缺乏组织一致性而失败。
实际上,我们的2019年ERP报告显示,超过三分之一的组织由于组织问题而导致预算超支,一半以上的组织由于组织和/或培训问题而导致时间表超支。
无论您当前正在使用云计算,正在计划迁移到云还是在内部部署,了解安全性设计的区别都非常重要。下面,我们概述了内部部署和云安全之间的主要区别,以及两者的一些优点和缺点。
本地部署和云安全设计之间的最大区别是组织本身承担的责任数量。借助内部部署基础架构,企业可以从头到尾负责ERP系统的安全性。他们采购将要存放数据的服务器,构建和管理用于控制对网络的访问并控制从系统查询和提取数据的防火墙。
在云世界中,这些安全责任在组织和云服务提供商(例如Amazon Web Services或Microsoft Azure)之间共享。这通常被称为“共享责任模型”。根据云客户所订购的服务类型,客户的安全责任有所不同:
对于基础架构即服务(IaaS),云客户不对物理元素负责,例如托管APP或数据中心的实际硬件。相反,他们只需要管理虚拟机的配置,保护虚拟网络并监视网络中的所有APP和接口。
当涉及平台即服务(PaaS)时,云服务提供商将继承其他安全职责。由于客户现在需要支付整个平台的费用,而不仅仅是云基础设施,因此CSP现在可以管理IaaS所列的职责以及虚拟机的供应和虚拟网络的保护。云客户仍然负责其数据,监视其接口并保护其APP。
对于软件即服务(SaaS),CSP负责上述IaaS和PaaS的所有职责,此外,它们还负责APP本身。这是有道理的,因为现在云客户付费使用其平台和云基础架构上托管的CSP APP。在这种情况下,云客户负责其数据和所有接口的安全性。
在任何情况下,客户都有责任确保满足其特定的安全要求。如果您的组织计划迁移到云,则列出所有安全要求将很有帮助。与潜在的CSP会面时,请向他们提供您的要求列表,并让他们审查其服务如何满足您的要求。
需要特别注意的是,即使在基于云的环境中,现在许多责任都由CSP承担,云客户必须遵循适当的流程和程序并聘请知识渊博的人员来维护安全云的完整性。围绕ERP安全性设计和记录流程可以帮助组织为新角色和职责的IT员工做好准备。定义新的业务流程时,强大的业务流程管理方法至关重要。
本地安全性和云安全性注意事项之间的另一个关键区别是访问网络的方式。本地ERP系统仅存在于安装它们的设备上。当业务用户需要在内部部署环境中访问其公司数据时,他们需要物理上位于办公室中(公司网络上)。
例如,员工可以在其工作笔记本电脑上安装SAP,从而允许他们从该设备(当然是在公司网络上)查看公司数据。同一名员工也可能拥有未安装SAP的个人笔记本电脑。这使得控制对APP和数据的访问变得简单,因为只有一个访问点。
尽管这可能给远程工作的员工带来挑战,但他们始终可以使用虚拟专用网(VPN)登录其办公室内设备。VPN是安全的,因为它们需要安全密钥或其他身份管理方式
在基于云的环境中,员工可以通过Web浏览器访问公司APP。这意味着任何具有互联网访问权限的设备都将成为业务关键数据的入口点。
基于云的环境还允许使用APP接口(API)。尽管API可以与内部运行的APP一起使用,但是直到云服务(和软件)提供商开始将API预先构建到其平台中之后,API的使用才得以规范。现在,与第三方软件APP的接口就像暴露适当的API并允许第三方访问您的环境一样容易。
这种轻松的接口具有其优势,但在安全性设计方面又增加了一层复杂性。在本地环境中,通常由IT部门来驱动与外部系统的接口,并且必须与第三方协作来建立通信通道。通过这种方法,可以将安全性考虑因素预先设计到通信通道中。
当使用API在另一个系统中创建,读取,更新或删除数据时,进行适当的计划至关重要。API并非通常需要所有权限才能执行其指定的功能。确定适当的权限及其影响同样重要。我们始终建议您不要走简单的路,而要完全授予API权限。
创建API时,应调查与之连接的系统的安全性。当接口时要问的一个问题是:“如果违反了系统安全性,它将如何影响我们的数据?”考虑到这一点,开发连接器或API可以为您省去麻烦和潜在的诉讼。
无论您具有本地基础结构还是已经在云中,在安全性方面,两者都有一些强大的优势:
在云安全方面,一个巨大的优势是云服务提供商或ERP供应商构建的安全工具的可访问性。通常,需要额外付费,诸如Amazon,Microsoft和Google之类的CSP提供内置的安全工具,可帮助您的IT部门识别和补救网络漏洞,并提供有关如何改进安全设计的建议。
云服务提供商在您的数据安全性(即信誉)上有很多依赖。即使数据泄露是云客户的过错,CSP的声誉也会受到影响。因此,CSP在机器学习方面投入了大量资金,以帮助识别系统中的薄弱环节并在发生攻击时立即通知您。
云中安全性的另一个好处是可以利用API实现自动化级别。这些API使在公司网络与第三方之间协调传入和传出消息变得很简单,从而确保在每个步骤中都采用适当的身份验证方法。
尽管使用API在自动化方面可以被视为优势,但在查看要管理的访问点数量时,也可以将其视为劣势。如果您有多个第三方自动访问您的环境,则可能难以监视所有入站和出站流量。在发生违规的情况下,找出您的安全问题所在就更加困难了。
本地安全设计的一个明显优势是,围绕安全需求明确了职责和所有权。使用物理数据中心,很容易看出客户必须保护对设施的访问。安全要求的所有权落在组织上的100%。
只要组织准备好人员和流程,其数据安全性就会很强。组织不仅必须准备其IT部门,还必须准备其最终用户。尽管最终用户承担的安全性职责非常不同,但他们的角色同样重要。一些组织制定了组织变更管理计划,以使员工为新的ERP系统的安全考虑做好准备。
由于数据中心的所有权完全由企业来承担,因此赋予IT部门的安全职责量是基于云的安全性的两倍以上。
此外,在内部部署环境中,就与第三方的交流而言,通常很少甚至没有自动化。这意味着每次将新供应商添加到您的生态系统时,您的IT部门都必须安全地建立和管理通信渠道。
最后,好像您的IT部门没有足够的能力,大多数用于本地环境的安全工具已过时。随着网络罪犯使用新的方式访问敏感的公司数据,安全工具必须不断发展以应对新的威胁。如果防御无法与威胁相提并论,则IT专业人员必须更加努力地监视网络的安全性。
公司网络上最常见的攻击形式不是病毒或暴力破解。这是社会工程和授予不需要完全访问权限的个人或组的更高权限。这是由于没有统一的IT计划和文档的结果。
您可以通过对所有员工进行攻击者的方法和战术的官方培训来解决社会工程问题。不必要的安全权限可以由内部IT安全专业人员或外部IT审核公司审核和完善。
在选择ERP期间,网络安全是许多组织关注的问题。最终,安全性不再取决于技术,而更多地取决于您的人员和流程。
例如,如果您的内部IT部门不够大,不够熟练或足够准备来管理本地ERP系统的全部安全性,则云托管可能比本地托管更安全。但是,云环境仍然需要内部安全职责,因此强大的内部团队和明确定义的流程仍然至关重要。
客服毛燕