Киберустойчивость в SAP Business One: Accelera восстанавливает работу за 4 часа

Accelera — это компания, занимающаяся корпоративным технологическим консалтингом и интеграцией , выступающая в качестве реселлера с добавленной стоимостью (VAR) и специализированного партнера по внедрению, настройке и поддержке ERP-системы SAP Business One . Благодаря сильным стратегическим позициям и консолидированной деятельности в Латинской Америке, особенно на чилийском рынке, компания обслуживает крупные корпорации, которым необходима высокая доступность и строгая техническая совместимость.

В числе основных клиентов компании — многонациональная компания, работающая в для крупных горнодобывающих предприятий, чья распределенная операционная архитектура включает в себя унифицированные базы данных и критически важные дочерние компании, расположенные в 14 странах.

Реальная проблема

Сложная ситуация для Accelera и ее клиентской базы была обусловлена ​​двумя критически важными факторами в области инфраструктуры, эксплуатации и безопасности:

• Технологический переход SAP HANA: глобальное решение SAP о миграции экосистемы SAP Business One с традиционного менеджера SQL Server на платформу SAP HANA, работающую в оперативной памяти, привело к сбоям на аппаратном уровне. данных в оперативной памяти требует высоконадежных аппаратных характеристик (сертифицированные серверы с высокой плотностью оперативной памяти и специализированными процессорами). Для клиентов Accelera поддержание этой среды в рамках собственной (локальной) модели увеличило общую стоимость владения (TCO) в пять-десять раз по сравнению с предыдущей локальной архитектурой, что сделало локальную поддержку финансово нецелесообразной.
• Уязвимость периметра и человеческая ошибка: у клиента, занимающегося майнингом, первоначальная стратегия централизовала базы данных SAP Business One дочерних компаний на собственном физическом сервере, расположенном в Австралии. Эта централизация без надлежащих мер безопасности привела к масштабной кибератаке (программы-вымогатели/вторжение), парализовавшей операции и одновременно повредившей информацию из 14 стран.
• Финансовые и операционные последствия: Параллельно, в другом инциденте с участием холдинговой компании, объединяющей 17 компаний и контролируемой Accelera, человеческая ошибка привела к повреждению основной базы данных ERP. В рамках традиционной модели поддержки диагностика и исправление потребовали бы отправки физической базы данных непосредственно в лаборатории SAP, что привело бы к прогнозируемому простою в течение двух недель, влекущему за собой полное отключение системы .

Архитектура решения

Для решения проблемы финансовых ограничений SAP HANA и защиты прикладного уровня от инцидентов компания Accelera внедрила современную архитектуру на основе экосистемы решений Skyone:

• Skyone Autosky: используется как платформа как услуга (PaaS) для выполнения миграции без изменений (без изменений кода или переписывания монолитной архитектуры) с SAP Business One в публичное облако (AWS, Oracle Cloud Infrastructure – OCI, Azure или Google Cloud Platform – GCP). Теперь система работает в инкапсулированном и централизованном режиме, распределяя доступ конечным пользователям через веб-браузер (Web Access) или через плагин Skyone Autosky.
• Расширенный уровень аутентификации и безопасности: доступ по протоколу HTTPS (порт 443) и TCP 491, исключающий необходимость сложных VPN-туннелей. Реализация архитектуры «нулевого доверия», при которой устройство пользователя изолировано от серверов приложений и баз данных. Обязательная аутентификация с поддержкой многофакторной аутентификации (MFA) через QR-код, адаптивная reCAPTCHA для защиты от атак методом перебора и единый вход (SSO) через SAML 2.0, интегрированный с Entra ID.
• Механизм автоматического масштабирования: собственные алгоритмы, которые круглосуточно отслеживают состояние среды, регулируя распределение виртуальных ЦП и ОЗУ каждую минуту на основе фактического использования активными пользователями и нагрузки на систему SAP HANA ERP.
• Skyone Studio: оркестратор, интегрирующий iPaaS (подключающий более 400 систем и API), слой Lakehouse для высокопроизводительной бизнес-аналитики и агентов генеративного искусственного интеллекта (GenAI), позволяющий перейти от пассивной отчетности к прогнозированию и оповещениям в реальном времени на основе базы данных SAP B1.

Технические проблемы

Для осуществления этого перехода потребовалось преодолеть серьезные архитектурные сложности:

• Снижение зависимости от поставщика и задержек в HANA: основной технический компромисс заключался в балансе между чрезвычайно высоким потреблением операций ввода-вывода в секунду и пропускной способностью, требуемыми технологией обработки данных в оперативной памяти SAP HANA, и предсказуемостью затрат. Компания Skyone снизила финансовый риск, преобразовав переменные комиссии гипермасштабируемых провайдеров в прозрачные цены в местной валюте для каждого пользователя.
• Управление временными IP-адресами: механизм автоматического масштабирования работает с динамически инициализируемыми и завершаемыми временными серверами. Это постоянно изменяет публичные IP-адреса внутренней инфраструктуры, что препятствует целенаправленным атакам и внешним методам сканирования.
• Многопользовательская и выделенная сегрегация: обеспечение строгой логической изоляции данных между дочерними компаниями, занимающимися майнингом, и 17 компаниями холдинга, гарантирующее, что частные виртуальные сети каждого клиента предотвратят горизонтальное распространение угроз во время выполнения.

Выполнение

Внедрение и развертывание осуществлялось поэтапно, с целью минимизации рисков простоя:

1. Этап обнаружения и семантического аудита: сопоставление всех таблиц, настроек, дополнений партнеров и отчетов в SAP Crystal Reports, используемых местными компаниями.
2. Разработка образов с использованием серверных шаблонов: создание предварительно настроенных и стандартизированных образов в Skyone Autosky Admin для развертывания экземпляров SAP Business One. Тестирование проводилось в изолированной и защищенной песочнице перед развертыванием в производственной среде.
3. Пилотная миграция и проверка отказоустойчивости: поскольку клиент из горнодобывающей отрасли сопротивлялся полной миграции своего основного бизнеса в собственные силы , компания Accelera использовала гибкость публичного облака, управляемого Skyone, для миграции только базы данных своего чилийского филиала в изолированном режиме, создав таким образом среду для проверки работоспособности и обеспечения отказоустойчивости.
4. Внедрение и активация политик периметра: официальная публикация образов ERP-системы, активация автоматических журналов аудита, настройка белых списков IP-адресов и определение окон для автоматического и контролируемого ежедневного резервного копирования.

Измеримые результаты

Результаты модернизации инфраструктуры и системы безопасности с помощью решений Skyone продемонстрировали неоспоримые показатели эффективности:

• 100% операционная доступность при защите от программ-вымогателей: Во время масштабной кибератаки, которая зашифровала и парализовала локальные серверы в Австралии (приведя к сбоям в работе клиентов в 14 странах), чилийская служба, размещенная на платформе Skyone Autosky, оставалась на 100% активной, защищенной и работоспособной. Уровень нулевого доверия предотвратил перемещение или компрометацию облачной базы данных злоумышленниками.
• Сокращение времени восстановления до достижения целевого показателя (RTO) на 98,8%: В случае инцидента с повреждением данных, затронувшего холдинговую компанию, объединяющую 17 предприятий в Чили, традиционная модель SAP потребовала бы 14 дней (336 часов) общего простоя. Благодаря усовершенствованной системе управления аварийными ситуациями Skyone, последний автоматический снимок, сделанный предыдущей ночью, был успешно восстановлен, что сократило время восстановления всего до 4 часов.
• Оптимизация совокупной стоимости владения оборудованием: необходимость инвестировать в очень дорогие физические серверы, сертифицированные для SAP HANA, устранена, что преобразует капитальные затраты в предсказуемые операционные затраты.
• Гарантированное сохранение и целостность данных: внедрение автоматизированных процедур резервного копирования со стандартным сроком хранения 7 последовательных дней и круглосуточная поддержка для критически важных запросов на восстановление технической информации.

Уроки, извлеченные из опыта

• Инфраструктура как страховой полис: выбор управляемых облачных архитектур с упором на проактивную безопасность должен оцениваться не только по показателям производительности (задержка/IOPS), но и по способности гарантировать непрерывность бизнесавреальных сценариях катастроф.
• Ценность заключается в данных, а не в оборудовании: современное управление ИТ требует от представителей по обеспечению ценности (VAR) сокращения времени, затрачиваемого на обслуживание физических серверов, и сосредоточения внимания на уровне создания ценности: управлении данными и применении прогнозных алгоритмов (таких как в Skyone Studio) для генерации бизнес-аналитики.

Часто задаваемые вопросы

1. Как Skyone Autosky защищает SAP Business One от кибератак и программ-вымогателей?

Skyone Autosky использует архитектуру кибербезопасности, основанную на принципе «нулевого доверия». В отличие от традиционной модели, которая предоставляет доступ к ERP-серверам из интернета или требует использования уязвимых VPN-сетей, платформа полностью изолирует серверы приложений и базы данных (такие как SAP HANA и SQL Server). Пользователь проходит аутентификацию непосредственно на портале через браузер или плагин с помощью зашифрованных SSL-соединений (порты HTTPS 443 и TCP 491). Временное разрешение на подключение получает только IP-адрес аутентифицированного устройства, а серверы с автоматическим масштабированием используют динамически обновляемые временные IP-адреса, нейтрализуя попытки вторжения, атаки методом перебора паролей и распространение вредоносного ПО по сети.

2. Каково время восстановления (RTO) системы Skyone Autosky в случае повреждения данных в ERP-системе?

Платформа Skyone Autosky предлагает автоматизированную, управляемую и распределенную стратегию резервного копирования в высоконадежных публичных облаках (таких как AWS S3 и OCI). Система выполняет непрерывное ежедневное создание снимков сервисов и баз данных с политикой хранения по умолчанию в течение 7 последовательных дней. В критических случаях потери данных или сбоев в работе процесс аварийного восстановления имеет параметризованное целевое время восстановления (RTO) до 4 часов, обеспечивая немедленное возвращение к продуктивной работе с последней восстановленной точки.

3. Как компания Skyone Autosky решает проблему высоких затрат на миграцию с SAP Business One на SAP HANA?

Переход с SQL Server на SAP HANA требует наличия локальных серверов с чрезвычайно высокими аппаратными характеристиками из-за обработки данных в оперативной памяти, что может увеличить затраты на локальную инфраструктуру в 5-10 раз. Skyone Autosky устраняет необходимость в высоких капитальных затратах (CAPEX) благодаря собственной технологии миграции без использования кода. ERP-система переносится на архитектуру PaaS с автоматизированными механизмами масштабирования, которые ежеминутно изменяют размер виртуальных ЦП и памяти в зависимости от фактического спроса. Это оптимизирует ресурсы и обеспечивает стабильное и предсказуемое ценообразование в местной валюте.

4. Что такое Skyone Studio и как она применяет генеративный искусственный интеллект (GenAI) к корпоративным данным?

Skyone Studio — это интегрированное решение для управления данными, которое объединяет возможности iPaaS (интеграционная платформа с собственными коннекторами для более чем 400 систем, включая SAP B1), архитектуру Lakehouse для сложных аналитических запросов и фреймворки агентов генеративного искусственного интеллекта (GenAI). Вместо того чтобы полагаться исключительно на статические отчеты из прошлого, Skyone Studio объединяет разрозненные базы данных и позволяет создавать настраиваемых интеллектуальных агентов. Эти агенты интерпретируют структурированные и неструктурированные данные для выдачи упреждающих оповещений, прогнозирования сценариев и автоматизации рабочих процессов через человеко-интерактивные интерфейсы.