Odoo có an toàn hay không? Đây là câu hỏi mà nhiều khách hàng nào khi tìm đến cũng đưa ra và đang có xu hướng tăng lên. Điều này không quá bất ngờ khi thông tin các công ty bị tấn công mạng ngày càng nhiều. Những thông tin này khiến mọi người trở nên lo lắng và dè chừng hơn khi triển khai một hệ thống CNTT cho công ty của mình.
Làm cách nào để chúng ta tự bảo vệ trước những tin tặc này? Đây là những câu hỏi mà nhiều doanh nhân phải đối mặt. Ngày nay, mọi công ty phần lớn phụ thuộc vào phần mềm kinh doanh vì vậy một cuộc tấn công hoặc hack mạng có thể gây ra những hậu quả nghiêm trọng.
Khách hàng của Odoo ERP phần lớn sử dụng nền tảng lưu trữ Odoo.sh. Mặc dù bạn cũng có thể lưu trự Odoo cục bộ (tại chỗ) tuy nhiên trong blog này chúng ta giả định môi trường Odoo.sh. Odoo, Odoo.sh…để tìm hiểu sự an toàn đến mức nào.
Khi đề cập đến về bảo mật thì thường có hai dạng: mất dữ liệu (do bị đánh cắp) và không thể truy cập vào dữ liệu của bạn. Chúng ta hãy xem xét kỹ hơn hai vấn đề bảo mật này.
Mất dữ liệu (do trộm cắp)
Rủi ro bảo mật lớn nhất đối với việc mất dữ liệu là những nhân viên có quyền truy cập vào phần mềm hoặc cơ sở dữ liệu Odoo. Ví dụ: nhân viên cần quyền truy cập vào dữ liệu khách hàng và sản phẩm cho công việc hàng ngày của họ. Bởi vì họ có thể xem được dữ liệu này, họ cũng có thể đánh cắp chúng. Điều này có thể được thực hiện bằng cách xuất hoặc thậm chí chụp ảnh. Thật không may, không có nhiều phương án để ngăn chặn điều này. Tất cả những gì bạn có thể làm là hạn chế quyền truy cập vào những thông tin nhạy cảm nhất.
Odoo cung cấp các tùy chọn sau cho việc này:
Chính sách mật khẩu (độ dài tối thiểu) và kiểm tra độ mạnh của mật khẩu
Xác minh hai bước dựa trên thời gian (2FA TOTP)
Kết nối LDAP và đăng nhập
Đăng nhập nhà cung cấp Oauth (Google, Microsoft *, Facebook) * Microsoft Azure AD wordt nog niet ondersteund
Mật khẩu được bảo vệ bằng mã hóa PBKDF2 + SHA512 tiêu chuẩn công nghiệp. Thông tin đăng nhập luôn được gửi an toàn qua HTTPS. Cũng có thể đặt giới hạn tốc độ và thời gian cho những lần đăng nhập lặp lại. Các chính sách mật khẩu khác, chẳng hạn như các ký tự bắt buộc, không được hỗ trợ theo mặc định.
Vấn đề với tất cả các tùy chọn bảo mật trên thì vẫn không có gì là an toàn 100%. Với mỗi phương pháp, bạn có những thuận lợi và bất lợi riêng. Đối với nhiều công ty, sự kết hợp giữa các phương án một và hai là đủ. Có chính sách mật khẩu tốt và sau đó xác minh hai bước qua SMS hoặc qua trình xác thực.
Ngoài rủi ro mất dữ liệu do truy cập vào Odoo, còn có nguy cơ truy cập cơ sở dữ liệu và truy cập vào các máy chủ vật lý của Odoo. Rủi ro này nhỏ hơn nhiều lần so với việc truy cập vào chính Odoo. Không thể truy cập trực tiếp vào cơ sở dữ liệu Odoo trên Odoo.sh.
Các biện pháp khác nhau đã được thực hiện để đảm bảo tính bảo mật của dữ liệu, ví dụ như thông qua truy cập vật lý hoặc bởi nhân viên. Bạn có thể đọc điều này trên trang bảo mật của Odoo.
Không thể truy cập dữ liệu của bạn
Không có quyền truy cập vào dữ liệu của bạn có thể do nhiều nguyên nhân, chẳng hạn như lỗi trong phần mềm, lỗi phần cứng nhưng cũng có thể do các nguyên nhân lớn hơn như vi rút, tấn công mạng, ransomware hoặc bị hack.
Các biện pháp bảo mật
Để hạn chế rủi ro, Odoo đã tích hợp các biện pháp bảo vệ. Khi phát triển phần mềm, an toàn là điều tối quan trọng (Odoo Secure theo thiết kế). Odoo tham gia chương trình Bảo đảm và Rủi ro Bảo mật CSA (STAR). Máy chủ Odoo Cloud được lưu trữ trong các trung tâm dữ liệu đáng tin cậy ở các khu vực khác nhau trên thế giới (ví dụ: OVH, Google Cloud) và tất cả chúng phải vượt quá tiêu chí bảo mật vật lý của Odoo, chẳng hạn như:
Quyền truy cập có giới hạn, chỉ những nhân viên được ủy quyền của trung tâm dữ liệu mới có thể truy cập thực tế
Kiểm soát truy cập vật lý với huy hiệu bảo mật hoặc bảo mật sinh trắc học
Camera an ninh giám sát các vị trí trung tâm dữ liệu 24/7
Nhân viên an ninh tại chỗ 24/7
Phục hồi sao lưu Odoo
Nhưng nếu mọi thứ gặp trục trặc, Odoo có thể không sao lưu.
Odoo lưu giữ 14 bản sao lưu đầy đủ của mỗi cơ sở dữ liệu Odoo trong tối đa ba tháng
Các bản sao lưu được sao chép trong ít nhất ba trung tâm dữ liệu khác nhau, trên ít nhất hai lục địa khác nhau.
Bạn cũng có thể tải xuống các bản sao lưu thủ công dữ liệu trực tiếp của mình bất kỳ lúc nào thông qua phần phụ trợ Odoo.sh. Vì việc tải xuống bản sao lưu là một rủi ro bảo mật (mất mát, trộm cắp) nên điều này không được khuyến khích.
Odoo đã triển khai nhân rộng cục bộ với tính năng giám sát và chuyển đổi dự phòng thủ công mất chưa đến năm phút, cho các dịch vụ được lưu trữ trên máy chủ kim loại trần, nơi có thể xảy ra lỗi phần cứng.
Khôi phục: Trong trường hợp mất điện hoàn toàn, với trung tâm dữ liệu hoàn toàn ngừng hoạt động trong một thời gian dài, ngăn chuyển đổi dự phòng sang chế độ chờ cục bộ (theo Odoo, chưa bao giờ xảy ra cho đến nay, đây là trường hợp xấu nhất), Odoo có các mục tiêu sau:
Kết luận
Odoo an toàn như thế nào? Tôi nghĩ rằng chúng ta có thể kết luận rằng công ty Odoo đang làm mọi thứ có thể để làm cho phần mềm an toàn nhất có thể. Được thực hiện các biện pháp bảo mật tốt để giữ cho hệ thống Odoo an toàn nhất có thể. Tuy nhiên cần biết rằng bảo mật 100% là không thể khi luôn có rủi ro. Bạn có thể hạn chế những rủi ro này và đảm bảo rằng mình biết phải làm gì trong trường hợp xảy ra sự cố.