Hay que tener en cuenta que un ERP habitualmente estaba en la intranet, sin exposición de los datos confidenciales, maestros, etc, de la empresa a Internet, y si se accedía desde fuera hasta él, la buena práctica era hacerlo con un tunel VPN para evitar interceptación en la comunicación, como un man-in-the-middle.

En este aspecto, la ventaja de Odoo al ser un "todo en uno", se convierte en tener tan expuesta a los riesgos intrínsecos de Internet tanto la web/CMS/ecommerce como los datos confidenciales de la empresa.

Algunas definiciones a tener en cuenta:

- Perímetro:

Frontera entre Internet y el cloud.

De forma heredada los cortafuegos(FW) han funcionado como perímetro, desde basados en la capa IP y TCP y hasta HTTP.

En el caso de Odoo con un FW a nivel web, WAF, se pueden mitigar por ejemplo accesos o peticiones directamente al API de backend o controller: un ejemplo sería una inyeccción SQL que traspasara el ORM (aunque según Odoo Enterprise lo tienen muy perfeccionado) y accediera a la base de datos.

Otro ejemplo común sería, la alta frecuencia de peticiones que puede afrontar un producto en un comercio electrónico. También con un WAF se pueden mitigar, aunque depende del escenario, con un API GW con rate limit, se podrían controlar.

En los proveedores de cloud pública el "nuevo" perímetro es la identidad del origen, controlado por los IAM ( Identity and Access Management ). Un ejemplo sería tener segundo factor de autenticación en el puerto SSH de una máquina abierto el FW tanto a nivel de red como de host, o sea que accedes al SSH con correo y teléfono...

- HIDS ( Host Intrusion Detection System ):

El HIDS, se refiere a que actua dentro del sistema operativo, host, si por ejemplo, fuera un kubernetes actuaría a nivel de worker o nodo, y analizaría los eventos de cada contenedor.

Un HIDS, por tanto, es un sistema que detecta con expresiones regulares y otras técnicas, y genera alertas en base a eventos (SIEM) para ser revisadas por un Analista de Seguridad que analice cada alerta y compruebe si en la matriz de confusión es una detección verdadera o falsa.

Un ejemplo Open Source es Wazuh ( OSSEC+++ ).

- NIDS( Network Intrusion Detection System ):

Es un sistema que detecta patrones al igual que el HIDS, pero en vez de basarse en eventos y logs del sistema se basa en detectar patrones en el tráfico de red.

Un ejemplo Open Source es Security Onion ( Snort+++ )

- IPS ( Intrusion Prevention System ):

Este sistema es igual que el HIDS, pero llegado cierto umbral, bloquea automáticamente el origen del tráfico de red.

La prueba fácil para saber si tu proveedor cloud dispone de éste tipo de prevención es ejecutar un escáner web a tu URL de Odoo con OWASP ZAP. Si no te bloquea la IP y la pone en lista negra es que no lo tiene en su cloud. También decir que ejecutar un escáner a una URL que no es propiedad tuya no es legal o ético. En otras palabras, has de tener un contrato para ejecutar la auditoría en una ventana de tiempo y desde un origen estipulado para que los analistas de seguridad conozcan que es un evento permitido y te exceptuen en las reglas del IPS y FW, si es que es una auditoría en regla.

Todo este trabajo lo suelen llevar a cabo equipos en SOC/CSIRT/CERT.

Un SIEM de seguridad analizaría todas las dimensiones de seguridad (disponibilidad, autenticidad, integridad, confidencialidad, trazabilidad) del sistema al completo.

Ahora mismo, no conozco con exactitud, se está publicando un nuevo Esquema Nacional de Seguridad (ENS), que tengo entendido pretenden que sea transparente pero también desconozco si se utilizarán tecnologías open source (transparentes).

Interesante, si vas a asistir a OCA days en Logroño o a los días de presentaciones organizados por AEODOO, sería interesante que hicieras un ponencia para presentar el proyecto.