Bezpečnosť klientskych dát je jednou z našich najvyšších priorít, a preto sme veľmi radi, že aj samotné Odoo poskytuje v tomto smere skvelý prístup a vysokú spoľahlivosť.
ERP systém Odoo je open source a popri mnohých bezpečnostných opatreniach celý jeho kód neustále skúmajú užívatelia a prispievatelia po celom svete. Hlásenia o chybách z Odoo komunity sú tak jedným z významných zdrojov spätnej väzby týkajúcej sa bezpečnosti.
Aj najbezpečnejší systém ale môže byť zraniteľný, ak sa nedodržia niektoré zásady. V tomto článku vám poradíme, ako zvýšiť a udržať bezpečnosť vašich dát v Odoo na najvyššej úrovni.
1. Aktualizujte systém, je to základ bezpečnosti Odoo
Základom bezpečnosti je mať čo najaktuálnejšiu verziu Odoo. Pravidelnými aktualizáciami viete predchádzať niektorým bezpečnostným chybám, ktoré môžu obsahovať staršie verzie. Možnosti upgradovania Odoo závisia od toho, ako hostujeme Odoo respektíve, akú edíciu (verziu) Odoo používame. Napríklad, ak váš systém beží na Odoo Online, čo je bezplatný cloud Odoo pre Enterprise verzie, aktualizácie sa vykonávajú automaticky a pravidelne.
2. Nastavte pravidlá na prihlasovanie do systému
Nastavenie silného hesla, ktoré používateľ nikomu nezdieľa, je ďalším z pilierov bezpečnosti. Odoo vo všeobecnosti nevynucuje žiadne špeciálne pravidlá pre heslo. Preto toto nastavenie môžete zaviesť buď ako internú politiku vo firme, alebo využiť nejaký modul tretej strany, ktorý vie vynucovať definované pravidlá pre heslo, či vynucovať zmenu hesla po určitom intervale.
Odoo ponúka v základe manažment povolených zariadení, z ktorých sa používateľ do Odoo prihlasuje. Na výber je taktiež 2-faktorové overovanie pomocou autentifikačnej aplikácie ako napríklad Google Authenticator, Microsoft Authenticator, Authy a ďalšie.
Našim klientom vždy odporúčame mať zapnuté 2-faktorové overovanie pre používateľov.
3. Zabezpečte spoľahlivý hosting
V prípade, že vaše Odoo beží na hostingu Odoo online alebo Odoo.sh túto časť zastrešuje Odoo v rámci poskytovania služieb hostingu.
V prípade, že vaše Odoo je hostované formou On-Premise na virtuálnom serveri (VPS) je podstatné, aby ste si zvolili spoľahlivého a overeného providera serverov. Odporúčame DigitalOcean, čo je jeden z najväčších server providerov na svete, prípadne najznámejšieho providera na Slovensku, Websupport.
Taktiež je podstatné zvoliť spoľahlivý operačný systém. Najlepšie riešenie, ktoré overila prax, je v súčasnosti nejaká Linux distribúcia – väčšinou Ubuntu alebo Debian. Následne je veľmi dôležitá pravidelná starostlivosť o systém. Bezpečnostné audity systému a aktualizácie sú nevyhnutné pre udržanie vysokého bezpečnostného štandardu.
V prípade, že máte Odoo hostované formou On-Premise na vlastnom serveri (či už vo forme PC alebo na vlastnom hardware) niekde vo firme, je rovnako potrebné zvoliť vhodný operačný systém, viesť pravidelné aktualizácie a bezpečnostné audity systému. Niektoré firmy majú nastavenú bezpečnostnú politiku tak, že Odoo je dostupné iba v rámci lokálnej siete. Nie je teda dostupné na verejnej adrese a pristupuje sa k nemu buď cez lokálnu sieť priamo vo firme, alebo cez VPN pripojenie.
4. Zálohujte dáta
Hosting Odoo online alebo Odoo.sh má zabezpečené uchovávanie 14 úplných záloh každej databázy Odoo po dobu až 3 mesiacov. Zálohy sa replikujú aspoň v 3 rôznych dátových centrách na aspoň 2 rôznych kontinentoch. Okrem toho má Odoo nastavené ďalšie bezpečnostné protokoly pre prípady hardvérového zlyhania, pre obnovu po havárii, či viacero preventívnych opatrení.
V prípade On-premise sa nám osvedčila forma zálohovania celého systému minimálne raz týždenne na zálohovací server v rámci fungujúcej infraštruktúry. Niektorí provideri ako napr. DigitalOcean to majú plne automatizované v rámci služby doslova za pár eur. Digital Ocean tiež ponúka jednodňové zálohy celého systému. Ak jednodňové zálohy Váš provider neponúka, odporúčame pridať zálohovanie Odoo databázy raz za deň s uchovávaním záloh v rámci servera prípadne ukladania záloh databáz na nejaký externý diskový priestor – cloud.
5. Škoľte používateľov
Slabým článkom v bezpečnosti bývajú častokrát samotní používatelia. Používajú slabé heslá a svojím správaním porušujú zavedené pravidlá. Preto je nevyhnutné vykonávať pravidelné školenia Odoo, ktorými sa zlepšujú návyky pri používaní Odoo.
Veľmi dôležitým faktorom je samotný operačný systém, na ktorom používatelia pracujú s Odoo. Systém musí byť pravidelne aktualizovaný, mal by mať zapnutú aktívnu ochranu a mal by slúžiť primárne ako pracovná stanica.
Taktiež, ak sa do systému Odoo prihlasuje používateľ z nejakého zdieľaného systémového účtu, je potrebné, aby sa po práci z Odoo vždy odhlásil.
6. S programovými úpravami v Odoo a modulmi tretích strán radšej opatrne
Máte v Odoo nainštalované moduly tretích strán prípadne moduly vo forme programových úprav, ktoré vám dodal Odoo partner? Zlatým pravidlom (platí všeobecne pre open source systémy napr. aj pre populárny WordPress), je v tomto prípade mať ich čo najmenej. Obmedzením programových úprav a modulov tretích strán výrazne znížite riziko bezpečnostných incidentov.
Ak sú úpravy systému a moduly tretích strán nevyhnutné, odporúčame do servisnej zmluvy s partnerom zahrnúť aj vykonávanie auditu programových úprav a aktualizácie modulov tretích strán. Takýto postup navrhujeme už v rámci SLA (service level agreement). T. j. ak sa počas mesiaca nevyčerpá počet predplatených hodín, audity vykonáme v rámci zostávajúcich hodín, aby neprepadli. Tiež je potrebné myslieť na to, aby boli audity vykonávané v pravidelných intervaloch.
7. Silné master heslo na správu databáz
V prípade On-premise riešenia sa nastavuje tzv. master password, čo je heslo, ktorým sa manažujú databázy v rámci Odoo. Toto heslo musí spĺňať všetky bezpečnostné štandardy silného hesla. Na ostrom systéme by taktiež mala byť správa databáz buď verejne nedostupná, alebo dodatočne chránená napr. v podobe autentifikácie.
8. Zabezpečte API
Ak v Odoo využívate API, či už vo forme štandardného XML RPC či nejakej nadstavby napr. vo forme REST API, je potrebné, aby jednotlivé funkcie či end pointy boli zabezpečené alebo ponúkali iba tie dáta, ktoré majú byť verejne dostupné.
Aj keď je tematika bezpečnosti oveľa rozsiahlejšia, zhrnuli sme pre vás aspoň základné zásady a postupy týkajúce sa bezpečnosti Odoo ERP systému. Ak by vám tieto informácie nepostačovali alebo vás zaujímalo nejaké špeciálne riešenie, neváhajte nás kontaktovať. Pokúsime sa vaše otázky zodpovedať a prípadné problémy vyriešiť.
