信息化觀察網(wǎng)

事實上，現(xiàn)代ERP系統(tǒng)是從以前的ERP系統(tǒng)擴展而來，其功能包括但已不再僅限于資源規(guī)劃。在過去，ERP系統(tǒng)被看作是一個單一的系統(tǒng)，它可以輔助專門化的業(yè)務(wù)操作，而現(xiàn)代ERP系統(tǒng)是一個獨立的或集成的組件集合，用以幫助管理企業(yè)特定方面的業(yè)務(wù)。從本質(zhì)上看，ERP是一個模塊化的軟件系統(tǒng)，它將金融、人力資源和客戶關(guān)系管理等核心業(yè)務(wù)功能的數(shù)據(jù)結(jié)合起來，幫助組織更有效地運作。

目前ERP有三種主要的部署模式: 傳統(tǒng)的本地部署，云端署模式以及二者兼有的混合模式。

云端ERP部署

傳統(tǒng)上，組織一直在內(nèi)部部署ERP系統(tǒng)，但近年來這種情況一直在發(fā)生變化。在一定程度上，SAP和Oracle確實在幫助和推動組織將ERP系統(tǒng)遷移至云端。除此之外，合作伙伴生態(tài)系統(tǒng)也正在提供真正的規(guī)模來幫助組織采用云。

云雖然不是一個統(tǒng)一的概念，但它具有組織用于ERP的不同類型的部署模型。其中一種主要模式就是云基礎(chǔ)架構(gòu)即服務(wù)（IaaS），通過這種模式，組織可以在AWS、Azure、GCP以及任何其他托管環(huán)境中部署Oracle、SAP或其他ERP產(chǎn)品。

云軟件即服務(wù)（SaaS）模型是另一種流行的ERP部署方法。通過SaaS模型，組織可以根據(jù)多種使用條件（如用戶數(shù)量、具體功能與事項、數(shù)據(jù)量或其他度量單位）對其云應(yīng)用程序進行訂閱。這種模型的代表包括NetSuite、Oracle Cloud ERP、SuccessFactors、Ariba以及SAP S / 4HANA公共云。

用于ERP部署的另一種云服務(wù)模型是平臺即服務(wù)（PaaS）方法。PaaS云服務(wù)模型主要用于擴展SaaS應(yīng)用程序，它是為SaaS應(yīng)用程序開發(fā)自定義功能的唯一方法。

ERP系統(tǒng)遷移至云端的安全預(yù)期

如今，數(shù)字化轉(zhuǎn)型的加速發(fā)展正在進一步推動市場對企業(yè)資源規(guī)劃（ERP）系統(tǒng)的需求，以便組織能夠以協(xié)調(diào)的方式管理其整體業(yè)務(wù)。與此同時，全球化的趨勢也正在迫使組織考慮云解決方案，以防止跨國業(yè)務(wù)出現(xiàn)脫節(jié)運營現(xiàn)象——即便是一些小型企業(yè)也被云運營的經(jīng)濟效益和潛在安全效益等優(yōu)勢所吸引，而紛紛轉(zhuǎn)向云解決方案。

歸根結(jié)底，將ERP系統(tǒng)轉(zhuǎn)移至云端的主要推動因素包括價值實現(xiàn)周期更短、創(chuàng)新速度更快以及不斷增長的可擴展性等等。

這種種因素都在推動組織將現(xiàn)有的內(nèi)部部署ERP解決方案遷移至云端，甚至一些組織還考慮將其首個ERP系統(tǒng)直接接入云端。不過，云遷移從來都不是一件簡單的事，尤其是當涉及的數(shù)據(jù)對業(yè)務(wù)運營至關(guān)重要的時候。

為了更好地了解ERP在云端的實際問題并安全將其遷移至云端，云安全聯(lián)盟（CSA，由Onapsis贊助）針對來自美洲（49%），亞太地區(qū)（26%）以及歐洲、中東和非洲（合稱EMEA，25%）的199名經(jīng)理、C級高管以及員工進行了一項調(diào)查。

對于這項調(diào)查的初衷，云安全聯(lián)盟負責人表示：“

云遷移從來都不是一件簡單的事情，會引發(fā)很多安全和隱私問題，我們希望能夠通過調(diào)查提供一些關(guān)于云遷移和安全問題的有效見解。

1月11日，CSA發(fā)布了這份名為《企業(yè)資源規(guī)劃（ERP）應(yīng)用程序和云采用》的安全報告。該研究發(fā)現(xiàn)，69%的組織正在將包括SAP和Oracle在內(nèi)的流行ERP平臺的數(shù)據(jù)遷移到云端。此外，值得注意的是，美洲和亞太地區(qū)（均為73%）比EMEA（歐洲、中東和非洲）地區(qū)更有可能遷移到云解決方案。因為歐洲、中東和非洲的法規(guī)，如歐盟通用數(shù)據(jù)保護條例（GDPR）限制了技術(shù)采購、云服務(wù)以及第三方政策等組織計劃。

ERP安全挑戰(zhàn)和誤解

雖然目前，許多組織正在將ERP遷移到云端，但該研究還發(fā)現(xiàn)了一些關(guān)于安全性的誤解。該報告指出，鑒于ERP應(yīng)用程序的復(fù)雜性，我們發(fā)現(xiàn)許多組織仍然將其ERP安全策略集中在基礎(chǔ)安全性上，如IAM（身份和訪問管理）、GRC（治理風險和合規(guī)性）以及SoD（職責分離）。

研究發(fā)現(xiàn)，在用于幫助保護云端ERP部署的安全控制措施中，68%的受訪組織使用了IAM控制。其他所用的工具還包括防火墻（63%）、漏洞評估（62%）。以及IDS / IPS應(yīng)用程序（59％）。其中，單點登錄（SSO）是身份和訪問管理（IAM）解決方案的一個重要組成部分，79%的受訪組織使用了SSO對其ERP解決方案進行身份驗證。

但是，想要真正實現(xiàn)安全的云遷移就必須從整體上解決安全問題，將其他方面納入ERP安全策略中，如ERP定制、ERP配置、ERP監(jiān)控、ERP集成、ERP漏洞和其他ERP風險等。

此外，該研究還顯示，對于接受調(diào)查的所有公司而言，“合規(guī)性問題”是其共同面臨的第三大挑戰(zhàn)，占比高達54.29%。排名首位和次位的挑戰(zhàn)分別為“遷移敏感數(shù)據(jù)的實際問題”（64.76%），以及“一般安全問題”（59.05%）。

排名稍后的挑戰(zhàn)還包括“業(yè)務(wù)運營中斷”（46.67%）以及“遷移所需時長”（45.71%）。前者的排名可能有些出人意料，因為一般情況下，組織——特別是高級管理層——通常會將業(yè)務(wù)運營問題優(yōu)先于安全問題。而“業(yè)務(wù)運營中斷”之所以排名稍后，是因為與其他問題相比，這個問題發(fā)生的可能性不大。

除“業(yè)務(wù)運營中斷”挑戰(zhàn)外，對“遷移所需時間”的關(guān)注度也相對較低，這表明組織清楚地知道云遷移是一個漫長的過程，并且不介意花時間來做正確的實踐。這可能是一件好事，因為只有26%的受訪者在預(yù)期的時間范圍內(nèi)實現(xiàn)了數(shù)據(jù)遷移。

如今，云訪問安全代理（CASB）解決方案已經(jīng)不再是一項新技術(shù)，但其仍然是一種與ERP一起在云中使用的新興技術(shù)。這種技術(shù)最常用于美洲（42%），但在亞太地區(qū)（19%）和EMEA地區(qū)（僅11%）則不太受歡迎。不過，預(yù)計這些比例將實現(xiàn)增長。根據(jù)Gartner預(yù)測，到2022年，60%的大型企業(yè)將使用CASB解決方案來管理某些云服務(wù)，而目前這一比例還不到20%。

安全專家表示，無論服務(wù)提供商如何，在任何云遷移過程中，都必須從一開始就植入安全性，并在整個項目中分階段實施。組織關(guān)注的是跨環(huán)境移動敏感數(shù)據(jù)，然后再解決遷移帶來的安全性和合規(guī)性問題。但我們的研究結(jié)果顯示，“在遷移的每個階段實施安全性，可以為客戶節(jié)省超過5倍的實施成本”。

大多數(shù)受訪者預(yù)計，隨著ERP向云端遷移，云中的ERP安全事件會增加。其中，超過1/3的受訪者預(yù)計會有“輕微的風險增加”，另有20%的受訪者預(yù)計“風險會顯著增加”。但是，這些數(shù)字還遠不如“對安全事件的責任混淆”那般令人驚訝：77%的受訪者認為“他們自身需要對ERP應(yīng)用程序的安全性負責”，而48%的受訪者則表示“云服務(wù)提供商應(yīng)該為此負責”。

云提供商（AWS和Azure是數(shù)據(jù)遷移所使用的兩個主要提供商）運營“共享責任”模型，在這種模型中，ERP云安全不僅僅與提供商有關(guān)，也與客戶自身有關(guān)，其中提供商負責基礎(chǔ)架構(gòu)，而客戶則負責數(shù)據(jù)。

例如，Oracle和SAP都提供具有良好安全標準的產(chǎn)品，但組織仍需要圍繞安全性和可見性實施額外控制，就像它們在本地運行這些應(yīng)用程序一樣。此外，大多數(shù)ERP應(yīng)用程序都是定制的，因此客戶在擴展提供商的功能時可能會引入大量潛在的安全漏洞，對于這種情況也需要進行適當?shù)目刂?。可行的一些控制措施包括ERP漏洞評估、ERP監(jiān)控、接口數(shù)據(jù)安全和安全配置等等。

ERP應(yīng)用程序非常復(fù)雜，因此保護ERP應(yīng)用程序也涉及一定程度的復(fù)雜性，需要客戶和提供商共同協(xié)作。提供商應(yīng)該實施安全控制，但是有一些安全控制也需要由客戶自身進行實施，并給予充分的理解和重視。

最后，云安全聯(lián)盟強調(diào)，在將自身業(yè)務(wù)關(guān)鍵型應(yīng)用程序遷移至云端時，那些擁有業(yè)務(wù)關(guān)鍵型應(yīng)用程序的組織需要著力解決上述“令人不安的誤解”，更好地實現(xiàn)數(shù)據(jù)安全遷移。