IT Security w chmurze jak chronić dane i systemy przy Dynamics 365
ChmuraERP
Microsoft Dynamics 365

IT Security w chmurze: jak chronić dane i systemy przy Dynamics 365

Avatar autora

MS POS

Spis treści

  1. Czym jest IT Security w chmurze?
  2. Shared responsibility, czyli kto za co odpowiada w chmurze?
  3. 7 filarów bezpieczeństwa chmury w firmie wdrożeniowej
  4. Bezpieczeństwo w praktyce projektów ERP i retail

Wdrożenia ERP i WMS coraz częściej nie kończą się na jednym systemie. Dochodzą integracje z e-commerce, przewoźnikami, platformami BI, mobilną pracą magazynu i zdalnym dostępem dla zespołów, partnerów oraz serwisu.

W wyżej wspomnianych układach temat IT Security w chmurze wraca regularnie, bo rośnie liczba połączeń, punktów dostępu i danych, które krążą między środowiskami, a jeden błąd w konfiguracji potrafi przełożyć się na realne ryzyko operacyjne.

Najczęstszy błąd mentalny jest zaskakująco prosty: „dostawca chmury odpowiada za wszystko”. W rzeczywistości to przekonanie usypia czujność w najbardziej wrażliwych obszarach: uprawnieniach, rolach, integracjach i zasadach dostępu. W chmurze dostawca odpowiada za bezpieczeństwo infrastruktury, a firma za bezpieczeństwo tego, co konfiguruje, uruchamia i komu daje dostęp.

Czym jest IT Security w chmurze?

IT Security, czyli bezpieczeństwo w chmurze, to kompleksowy zestaw zasad i praktyk, których celem jest ochrona biznesu, systemów i danych również wtedy, gdy działają na usługach chmurowych. W praktyce chodzi o to, aby tylko uprawnione osoby miały właściwy dostęp, dane były zabezpieczone na każdym etapie, a konfiguracja środowiska nie zostawiała otwartej furtki dla atakujących.

Najczęstsze obszary zagrożeń w chmurze można sprowadzić do trzech kategorii:

  • Tożsamość i dostęp: przejęcia kont, spowodowane głównie przez brak MFA (uwierzytelniania wieloskładnikowego) i brak odpowiedniej kontroli.
  • Dane: nieautoryzowany dostęp, wycieki danych przez niewystarczająco zabezpieczone integracje.
  • Konfiguracja: błędne ustawienia usług, publicznie dostępne zasoby, otwarte porty, brak polityk i monitoringu zmian.

Shared responsibility, czyli kto za co odpowiada w chmurze?

Odpowiedzialność za bezpieczeństwo w chmurze jest zawsze dzielona między dostawcę usług cloud a organizację, która z nich korzysta. Żeby to dobrze zrozumieć, warto spojrzeć na zakres odpowiedzialności w zależności od modelu chmurowego.  

  • SaaS (Oprogramowanie jako usługa) - polega na dostarczeniu gotowej aplikacji, co świadczy o odpowiedzialności dostawcy za bezpieczeństwo i prawidłowość działania samej usługi, jak i warstwy infrastruktury, na której działa. Po stronie firmy pozostaje przede wszystkim właściwe zarządzanie dostępem, rolami użytkowników i konfiguracją ustawień bezpieczeństwa w ramach oprogramowania.
  • PaaS (Platforma jako usługa) - dostawca odpowiada nie tylko za infrastrukturę chmurową, lecz także system operacyjny oraz całe środowisko uruchomieniowe aplikacji. Organizacja odpowiada za bezpieczeństwo oprogramowania, konfigurację usług, ochronę danych oraz nadawanie uprawnień użytkownikom.  
  • IaaS (Infrastruktura jako usługa) - dostawca zapewnia podstawową infrastrukturę oraz warstwę wizualizacji pozwalającą na uruchamianie maszyn wirtualnych. Ten model gwarantuje firmie największą elastyczność - i jednocześnie odpowiedzialność - w zakresie oprogramowania, systemu operacyjnego, zabezpieczeń, polityki i sposobu działania środowiska.

Niezależnie od tego, czy firma korzysta z SaaS, PaaS czy IaaS, jedna zasada pozostaje niezmienna: po stronie organizacji zawsze leży odpowiedzialność za tożsamość i dostęp (kto ma uprawnienia) oraz za bezpieczeństwo danych w zakresie ich udostępniania, eksportu i właściwej konfiguracji.

7 filarów bezpieczeństwa chmury w firmie wdrożeniowej

Poniższe filary warto traktować jak checklistę wdrożeniową. W projektach ERP, WMS i integracjach to właśnie one decydują, czy bezpieczeństwo jest „wbudowane” w architekturę chmurową, czy zostaje dopięte dopiero po incydencie.

  1. Identity and Access Management (IAM) - zasady zarządzania tożsamością użytkowników i dostępem do systemów, usług oraz danych. W chmurze IAM jest pierwszą linią obrony, bo większość ataków zaczyna się od przejęcia konta lub błędnie nadanych uprawnień. Warto pamiętać o unikaniu kont współdzielonych w organizacji, jeśli jest to możliwe, a także wymuszeniu co najmniej dwuetapowej weryfikacji kont użytkowników. Uzupełnieniem MFA powinny być polityki dostępu warunkowego, które ograniczają logowanie z nieautoryzowanych lokalizacji i urządzeń.
  2. Zasada minimalnych uprawnień - użytkownik powinien mieć dokładnie taki dostęp, jaki jest potrzebny do jego stanowiska pracy, ani więcej, ani mniej. Należy budować role pod procesy, a nie pod osoby. Pomocne jest udzielanie dostępu czasowego do zadań administracyjnych.
  3. Ochrona danych i klasyfikacja - dane powinny być zabezpieczone na poziomie przechowywania, przetwarzania i udostępniania. Skuteczne będzie sklasyfikowanie danych na poszczególne kategorie (np. finansowe, operacyjne, personalne), aby ustalić ich zasady eksportu, retencji i dostępu.
  4. Bezpieczna integracja API (ERP, e-commerce, WMS, BI) - ochrona kanałów wymiany danych między systemami. Integracje to jeden z najczęstszych wektorów ryzyka, bo działają całodobowo i często używają kont technicznych. W związku z tym rekomendujemy uwierzytelnianie oparte o tokeny oraz monitoring występujących anomalii.
  5. Monitoring i logowanie zdarzeń - bez odpowiedniego monitoringu nie ma realnej kontroli potencjalnych nieprawidłowości, jest tylko deklaracja. Trzeba pamiętać o zbieraniu logów z kluczowych komponentów, a także ustawić alerty na zdarzenia krytyczne i określić procedurę eskalacji.
  6. Backup i odtwarzanie po incydencie - strategia kopii zapasowych, co pozwoli na odtworzenie działania po awarii lub innej sytuacji krytycznej. Backup bez testów wdrożeniowych bywa fałszywym poczuciem bezpieczeństwa, dlatego należy wykonywać regularne próby i zaplanować scenariusze awaryjne.
  7. Governance i zgodność (polityki, audyt, dokumentacja) - zestaw reguł i procesów, które utrzymują bezpieczeństwo po zakończeniu projektu. Dzięki temu standardy nie kończą się na go live.

MS POS pracuje przy wdrożeniach w ekosystemach Microsoft Dynamics 365 oraz POS Cegid Retail Y2, co daje naturalne spojrzenie na bezpieczeństwo zarówno od strony działania firmy, jak i od strony tego, jak zaprojektować środowisko oraz integracje, aby ryzyko nie rosło wraz z rozwojem systemu.

Bezpieczeństwo w praktyce projektów ERP i retail

W projektach ERP oraz środowiskach retail bezpieczeństwo nie rozgrywa się w jednym miejscu. To nie jest temat „modułu” ani pojedynczej konfiguracji. Jeśli firma pracuje na rozwiązaniach takich jak Microsoft Dynamics 365, które obejmują wiele obszarów działalności, od finansów i sprzedaży po logistykę i obsługę klienta, to security dotyczy całego łańcucha procesów i wszystkich punktów styku z innymi systemami. Innymi słowy: wystarczy jeden słaby element, by ryzyko przeniosło się na resztę organizacji.

Co istotne, tym słabym elementem nie musi być wyłącznie system czy integracja. Równie często jest nim człowiek: błędnie nadane uprawnienia, nieświadome kliknięcie w złośliwy link czy pominięcie procedury mogą uruchomić łańcuch konsekwencji w całej organizacji.

Pierwszym obszarem, który wymaga dyscypliny, są konta administracyjne i role projektowe. W trakcie wdrożenia naturalnie pojawia się potrzeba szerokich uprawnień: konfiguracji, migracji danych, testów, integracji. Problem zaczyna się wtedy, gdy dostęp „na czas projektu” nie ma terminu wygaśnięcia, a role wdrożeniowe zaczynają funkcjonować jak stałe role operacyjne. Bez jasnej granicy między administracją, zespołem projektowym i użytkownikami biznesowymi łatwo o sytuację, w której audyt dostępu staje się formalnością, a nie realnym narzędziem kontroli.

Integracje to drugi, bardzo typowy wektor ryzyka. W sprzedaży detalicznej praktycznie zawsze mamy cały ekosystem: e-commerce, POS, WMS, platformy lojalnościowe, systemy płatności, integracje z przewoźnikami i raportowanie. Każda integracja korzysta z kont technicznych, kluczy, tokenów, uprawnień i często działa non stop. Jeśli nie ma rotacji sekretów, ograniczeń uprawnień kont technicznych oraz monitoringu anomalii, integracja potrafi stać się „cichym kanałem”, który działa długo, zanim ktokolwiek zauważy problem. Co istotne, większość incydentów w takich środowiskach nie wynika z zaawansowanej „magii hakerskiej”, tylko z prostych zaniedbań w kontroli dostępu i w konfiguracji.

Szczególnie ryzykownym obszarem są środowiska deweloperskie, testowe i produkcyjne. W projektach ERP presja czasu sprzyja skrótom: kopiowaniu danych z produkcji do testów, tworzeniu wspólnych kont, tymczasowych eksportów i plików, które krążą między zespołami. Ryzyko „przecieków” nie musi oznaczać celowego działania, często jest efektem braku zasad: kto może pracować na danych realnych, czy dane są anonimizowane, gdzie i jak długo są przechowywane. Jeśli do tego dołożymy wiele podmiotów w projekcie - dostawców, integratorów, partnerów - to temat przestaje być poboczny.

MS POS wspiera transformację cyfrową poprzez wdrożenia aplikacji biznesowych ekosystemu Microsoft Dynamics 365 oraz rozwiązań retail, takich jak Cegid Retail Y2, opartych o architekturę chmurową. Kluczową rolę odgrywa geo-replikacja usług i danych, uzupełniona o kopie zapasowe, monitoring, testy i aktualizacje, co gwarantuje wysoką dostępność i ciągłość pracy nawet w razie awarii systemu. W obszarze bezpieczeństwa zapewniane są procedury ochrony danych oraz mechanizmy bezpieczeństwa oparte o role i uprawnienia użytkowników.

Komentarze (0)

Napisz komentarz

Nie ma tutaj jeszcze żadnego komentarza, bądź pierwszy!

Napisz komentarz
Dodaj komentarz

Przeczytaj również:

Case StudyERP

Implementacja Dynamics 365 w 12 tygodni

MS POS  rozwija  kulturę innowacji  oraz  cyfrowej ekspansji  wykorzystując narzędzia  Dynamics  365 i  Power  Platform Block Quote Co osiągnęliśmy: W sumie prace zajęły nam około 12 tygodni Wdrożenie całego systemu w 3 miesiące Nasz wkład wewnętrzny mieścił się w przedziale 50-60 dni Tylko 2 seniorów ze wsparciem 2-3 juniorów w fazie przygotowania oraz implementacji Nasze wnioski:  D365 można wdrożyć szybko i przy stosunkowo niewielkim nakładzie pracy w ciągu kilku miesięcy Warto pozostać przy standardzie w pierwszej fazie wdrożenia 3-6 miesięcy prac (sześć miesięcy dla rozszerzonej funkcjonalności)  Kraje: Niemcy Polska Środowisko technologiczne: Dynamics 365 Finance HR Marketing SCM Sales Customer Service Power BI Power Apps Innowacyjne rozwiązania Microsoft Implementacja D365 objęła dwa kraje: Niemcy oraz Polskę, jej zakres to pełna administracja finansowa ze wszystkimi lokalnymi wymogami prawnymi, zakupy, zapasy, sprzedaż i fakturowanie. Ponadto wprowadziliśmy nowy sprzęt, części zamienne i umowy serwisowe. Główną częścią aktualizacji była kontrola zapasów oraz inwentarz, które uległy znacznej poprawie po aktualizacji do D365. Widząc dużą wartość w połączonych rozwiązaniach, wdrożyliśmy również integrację CRM wspierającą nasze procesy sprzedażowe oraz Power BI, dzięki czemu mamy natychmiastowy dostęp do danych z bogatymi wizualizacjami. Na każdym etapie wdrożenia zastosowaliśmy zwinne podejście, innowacyjne i sprawdzone narzędzia oraz przejrzyste zasady współpracy. Zwiększenie efektywności i dostęp do kluczowych danych Duże wyzwanie biznesowe stanowiły rozproszone dane oraz usprawnienie współpracy między zespołami wewnątrz organizacji, jak i zewnętrznymi dostawcami usług finansowo-księgowych i obszarów HR. W czasie rosnącej popularności pracy zdalnej wiele zadań wymagało automatyzacji, a znaczna ilość manualnych procesów musiała zostać zastąpiona rozwiązaniami technologicznymi. Dzięki wdrożeniu Dynamics 365 zyskaliśmy więcej kontroli nad kluczowymi procesami, takimi jak: zarządzanie projektami oraz ich rozliczanie, rozrachunki z odbiorcami, raportowanie i zarządzanie zasobami ludzkimi. Ponadto dotychczasowa wersja AX2012 nie była dostatecznie efektywna, natomiast wdrożona wersja D365 nie tylko zapewniła znacznie szybsze procesowanie danych, ale także bardziej udoskonalony interfejs użytkownika, bardziej płynną oraz intuicyjną obsługę. Cała implementacja została przeprowadzona w trzy miesiące, umożliwiając nam pełne korzystanie z nowego systemu. Połączenie funkcjonalności rozwiązań Microsoft Wdrożenie standardu Dynamics 365 w ciągu niecałych trzech miesięcy umożliwiło dostęp do kluczowych integracji Office 365, Dynamics 365 CRM oraz Power Platform, a także narzędzi komunikacji Microsoft Teams. Płynna integracja z tymi kluczowymi systemami i aplikacjami biznesowymi dodatkowo pomogła zwiększyć produktywność i umożliwiła wzrost wydajności o od 3% do 9% wśród pracowników obsługi back office i średnio o 10% wśród wszystkich pracowników firmy. Wynika to w dużej mierze z faktu, że zwykli użytkownicy nie muszą już zmagać się ze żmudnymi zadaniami, takimi jak wprowadzanie faktur i wyszukiwanie danych. Silosy komunikacyjne są również demontowane dzięki zintegrowanym systemom i udostępnianiu danych. Oznacza to, że możliwa jest wydajna współpraca między zespołami w wielu lokalizacjach, co zwiększa efektywność i skraca czas realizacji zadań. Pełna elastyczność oraz bieżący dostęp do aktualizacji W często zmieniającym się środowisku biznesowym elastyczna platforma pozwala skalować system w górę lub w dół, w zależności od potrzeb. Wraz z Dynamics 365 zmienił się model licencjonowania. Można teraz dokonywać zakupu tego, co aktualnie potrzebuje organizacja, kiedy tego potrzebuje, niezależnie od tego, czy chodzi o dodawanie/usuwanie użytkowników, ale także zwiększanie/zmniejszanie dostępnych aplikacji i modułów. Ostatecznie oznacza to, że nasza firma jest zabezpieczona na przyszłość i lepiej przygotowana na zmieniający się rynek. W przeciwieństwie do Dynamics AX, który wiązał się z dużymi ręcznie wprowadzanymi zmianami, D365 dostarcza progresywne, przyrostowe aktualizacje w regularnych odstępach czasu. Większe zmiany są dostarczane jako parametry lub klucze konfiguracyjne z możliwością podjęcia decyzji o ich włączeniu. Automatyzacja procesu aktualizacyjnego zapewnia optymalną wydajność, efektywność i bezpieczeństwo, a także eliminuje nakłady związane z manualnym przeprowadzaniem tych procesów. Block Quote
Avatar autora

MS POS

Obrazek wyróżniający dla 'Implementacja Dynamics 365 w 12 tygodni'
Logo firmy MS POS
zweryfikowano
5/5(1 głosy)

MS POS

Knowledge is the Solution

Microsoft Dynamics 365
Łódzkie
70 osób
Zobacz profil
Branża
Automotive, Biura rachunkowe, Produkcyjna, Transportowa
Opis
MS POS Poland specjalizuje się w transformacji cyfrowej i optymalizacji procesów biznesowych przedsiębiorstw w oparciu o rozwiązania Microsoft Dynamics 365 oraz Power Platform....
rozwiń
Poprzedni