企業(yè)資源規(guī)劃軟件是許多組織的關鍵業(yè)務應用程序，根據云安全聯(lián)盟的一項研究，當從內部部署遷移到云時，需要考慮一些關鍵的安全問題。

CSA研究名為“企業(yè)資源規(guī)劃(ERP)應用程序和云采用”，由Onapsis贊助并于1月11日發(fā)布。該研究發(fā)現(xiàn)，69%的組織正在將包括SAP和Oracle在內的流行ERP平臺的數據遷移到云端。雖然許多組織正在將ERP遷移到云端，但該研究還發(fā)現(xiàn)了一些關于安全性的誤解。

“鑒于ERP應用程序的復雜性，我們仍然看到組織將其ERP安全戰(zhàn)略集中在基礎安全性，如IAM [身份和訪問管理]，GRC [治理風險和合規(guī)性]和SoD [職責分離]，”JP Perez-Etchegoyen ，Onapsis首席技術官和CSA ERP安全工作組主席告訴eWEEK。“但必須從整體上解決安全問題，并應考慮其他方面，如ERP定制，ERP配置，ERP監(jiān)控，ERP集成，ERP漏洞和其他ERP風險。”

該研究發(fā)現(xiàn)，在用于幫助保護云中ERP部署的安全控制措施中，68%的組織使用IAM控制。使用的其他工具包括防火墻(63%)和漏洞評估(62%)。

云ERP部署

傳統(tǒng)上，組織一直在內部部署ERP系統(tǒng)，但近年來這種情況一直在發(fā)生變化。Perez-Etchegoyen評論說SAP和Oracle肯定在幫助和推動組織遷移到云。此外，他還指出，合作伙伴生態(tài)系統(tǒng)正在提供真正的規(guī)模來幫助組織采用云。

云雖然不是一個統(tǒng)一的概念，但它具有組織用于ERP的不同類型的部署模型。使用的一種模型是云基礎架構即服務(IaaS)，其中組織在AWS，Azure，GCP和任何其他托管環(huán)境中部署Oracle，SAP或其他ERP產品。

“這非常像在本地運行，但在托管環(huán)境中運行，”Perez-Etchegoyen說。“根據服務協(xié)議，您可能對作為客戶的應用程序的安全負責，或者它可能是與提供商的共同責任。”

云軟件即服務(SaaS)模型是另一種流行的ERP部署方法。Perez-Etchegoyen解釋說，通過SaaS模型，云中可以使用應用程序，供組織根據每年的用戶數進行訂閱。其中一些例子是NetSuite，Oracle Cloud ERP，SuccessFactors，Ariba和SAP S / 4HANA Public Cloud。

用于ERP部署的另一種云服務模型是平臺即服務(PaaS)方法。Perez-Etchegoyen表示，PaaS云服務模型主要用于擴展SaaS應用程序，其功能在應用程序中不可用。

“它[PaaS]是為SaaS應用程序開發(fā)自定義功能的唯一方法，”他說。“在Oracle云上安裝WebLogic的例子將是IaaS，因為您實際上是在購買計算能力并自行部署應用程序。”

ERP安全

遷移到云還涉及了解安全性的共享責任模型。Perez-Etchegoyen表示，ERP云安全不僅僅與提供商有關，也與客戶有關。

例如，Oracle和SAP都提供具有良好安全標準的產品，但組織仍需要圍繞安全性和可見性實施額外控制，就像它們在本地運行這些應用程序一樣。他補充說，大多數ERP應用程序都是定制的，因此客戶可以在擴展提供商的功能時引入大量潛在的安全漏洞，并且需要對其進行適當的控制。

根據Perez-Etchegoyen的說法，組織應該實施的一些控制措施包括ERP漏洞評估，ERP監(jiān)控，接口數據安全和安全配置。

“ERP應用程序很復雜，因此保護ERP應用程序涉及一定程度的復雜性，需要客戶和提供商一起工作，”他說。“應該由提供商實施安全控制，但是有一些安全控制需要由客戶實施并且理解是關鍵。