Безпека даних на всіх рівнях в Business Central

На тлі подій із хакерською атакою на одного із телеком операторів, хочеться приділити увагу темі безпеки даних в ERP.

Будь-яке сучасне бізнес-рішення повинно мати вбудовану систему безпеки, яка допомагає захистити вашу базу даних та інформацію, що в ній міститься, від несанкціонованого доступу. Воно також має дозволяти вам налаштовувати, що автентифікованим користувачам дозволено робити в базі даних, наприклад, які дані вони можуть читати та змінювати. Давайте розглянемо як реалізовано безпеку даних у ERP-cистемі Microsoft Dynamics 365 Business Central.

Безпека користувачів

Перш ніж користувачі зможуть увійти в Business Central, вони повинні бути автентифіковані як дійсні користувачі, які мають можливість туди потрапляти. Підхід до автентифікації продиктований тим, що Business Central постачається як «хмарний» сервіс, котрий повністю розгорнутий в датацентрах Microsoft Azure і, відповідно, до нього надається доступ через систему тенантів Microsoft. Таким чином, користувач тільки тоді зможе потрапити в ERP-систему, коли в нього буде налаштований обліковий запис в Microsoft Entra ID (попередня назва – Microsoft Azure Active Directory). До таких облікових записів Microsoft вимагає багатофакторної автентифікації.

Рівні безпеки і дозволів Business Central

Система безпеки містить інформацію про дозволи, надані кожному користувачеві, який може отримати доступ до певної бази даних. Ця інформація містить ролі, призначені користувачам, а також будь-які дозволи, надані окремим користувачам.

Існує чотири рівні доступу (permissions) до даних в Business Central:

• База даних (Database)

• Компанія (Company)

• Об'єкт (Object)

• Запис (Record)

Першим рівнем безпеки, коли ви відкриваєте Business Central, є безпека бази даних.

Після запуску Business Central і спроби відкрити базу даних ваші облікові дані перевіряються. У Business Central ви можете відкривати лише компанії в поточній базі даних, доступ до яких вам було надано. База даних може містити декілька компаній. Кожна компанія може використовувати власні таблиці, а також може ділитися таблицями з іншими компаніями. Коли ви відкриваєте компанію в Business Central, ваша можливість доступу до інформації визначається системою безпеки. Безпека на рівні об’єктів — це набір дозволів для об’єктів системи (таблиця, форма відображення, звіт, програмний код), які утворюють набір дозволів. Набори дозволів визначають доступ, який мають користувачі, і завдання, які користувачі можуть виконувати з об’єктами в базі даних. Безпека на рівні записів дозволяє обмежити доступ користувача до даних у таблиці.

Доступи – це перегляд, створення, видалення, редагування.

Також можна налаштувати додаткову безпеку в Business Central, створюючи фільтри безпеки для даних таблиці. Фільтр безпеки описує набір записів у таблиці, до яких користувач має дозвіл на доступ. Ви можете вказати, наприклад, що користувач може читати лише ті записи, які містять інформацію про конкретного клієнта. Це означає, що користувач не може отримати доступ до записів, які містять інформацію про інших клієнтів. 

Безпека хмарного сховища

Дані, що належать одному орендарю сховища, зберігаються в ізольованій базі даних і ніколи не змішуються з даними інших орендарів. Це забезпечує повну ізоляцію даних у повсякденному використанні та сценаріях резервного копіювання/відновлення. 

Business Central використовує базу даних Azure SQL як технологію баз даних для своїх середовищ. База даних SQL Azure — це повністю керована служба реляційної бази даних із вбудованою високою доступністю, резервним копіюванням, локальним і регіональним резервуванням.

База даних SQL Azure захищає продуктивні (production) і тестові (sandboxes) середовища Business Central, автоматично створюючи резервні копії, які зберігаються протягом 28 днів. Адміністратори можуть використовувати центр адміністрування Business Central для відновлення середовища до будь-якого конкретного моменту за останні 28 днів.

Адміністратори також можуть використовувати центр адміністрування Business Central для відновлення видалених робочих або ізольованих середовищ протягом семи днів після їх видалення.

Крім того, Business Central використовує шифрування, щоб захистити дані клієнта такими способами:

• Дані в стані спокою шифруються за допомогою прозорого шифрування даних (TDE) і резервного шифрування.

• Резервні копії даних завжди зашифровані.

• Весь мережевий трафік у службі шифрується за допомогою стандартних протоколів шифрування.

Варто також зазначити, що вендор Microsoft демонструє постійну зосередженість на безпеці та анонсував кілька нових функцій з безпеки для продуктів, зокрема нові інструменти, які допоможуть компаніям захищати дані, виявляти та реагувати на загрози безпеки у вигляді кібератак.

Слід пам’ятати, що безпека у хмарі – це спільна відповідальність провайдера та користувача. Тому компаніям важливо, з одного боку, обрати надійного хмарного провайдера, а з іншого – впроваджувати у себе кращі практики безпеки. 

Для захисту від кібератак у хмарному середовищі ми радимо використовувати модель нульової довіри, де перевірці підлягає будь-який запит до бази даних компанії. Модель Zero Trust у поєднанні з можливостями безпеки рішень Microsoft Azure створює хмарне середовище, яке надійно захищено і невразливе для кібератак. Важливо відмітити, що Microsoft щороку витрачає понад 1 млрд доларів лише на посилення безпеки Azure, а над удосконаленням хмари працюють близько 3500 спеціалістів.