In diesem Artikel finden Sie Informationen zur Nutzung von Nucleus als Software as a Service (SaaS) und Betrieb mit einem ERP (z.B. oxaion ERP).
Allgemeine Regelungen
Oxaion stellt einem Kunden für den Betrieb seines ERPs die Nucleus-Oberfläche als Software as a Service in der Cloud zur Verfügung. Die Oberfläche muss lizensiert werden.
Leistungsbeschreibung
Betrieb der Nucleus Oberfläche
Oxaion übernimmt den Betrieb der Nucleus Oberfläche für den Kunden.
Je Kunde wird eine für den Kunden spezifische URL bereitstellen, die dann den Zugriff auf das jeweilige (Cloud- oder on premises installierte) ERP des Kunden darstellt. Die URL wird nach folgendem Schema vergeben:
https://kunde.nucleus.apteancloud.com
Oxaion liefert den On-Premises Kunden ein Softwareprodukt namens "NUCLEUS Gateway Connector" aus, das im Unternehmensnetzwerk des Kunden zu installieren ist und das die Kommunikation zwischen dem ERP und der Nucleus-Cloud-Plattform übernimmt.
Jeder Kunde hat innerhalb der Nucleus-Plattform in der Cloud seine eigene, exklusive Umgebung. Dazu zählen ein eigener Nucleus-Server, ein eigenes Nucleus-Backend, einen eigenen Gateway-Server und ein für den Kunden eingerichtetes Schema in der zentralen Cloud-Datenbank.
Voraussetzung für die Erbringung der Serviceleistungen und die Betreuung durch oxaion ist ein Zugriff der oxaion auf die Nucleus Umgebung des Kunden aus dem oxaion Netz heraus. Der Kunde erklärt sich mit diesem Zugang einverstanden und stellt notwendige Benutzerprofile bereit.
Oxaion führt jede Nacht eine Sicherung der Umgebungen durch. Nächtliche Datenbank-Snapshots werden 7 Tage lang aufbewahrt. Ein Restore kann nur als gesamte Datenbank erfolgen, Restores einzelner Datensätze oder Tabellen bzw. abweichender Zeitpunkte können nicht durchgeführt werden.
Deployment Nucleus
Der Betrieb von Nucleus wird von oxaion in der Microsoft Azure Cloud Region Germany West (Frankfurt) durchgeführt. Sollte des Rechenzentrum im Desaster Fall nicht verfügbar sein, wird der Betrieb automatisch auf ein Rechenzentrum der Region Germany North verlegt.
Alle zum Betrieb von Nucleus notwendigen Komponenten (bis auf den Gateway-Connector und die zugrundeliegenden oxaion-Applikation) werden über einen Azure Kubernetes Service (AKS) ausgeliefert und gehostet.
Bei der Einrichtung für einen Kunden werden folgende Teile kundenspezifisch, also komplett von anderen Kundenumgebungen zur Verfügung gestellt:
- Nucleus Server (für die Kommunikation zwischen der Oberfläche und dem on premises installierten ERP)
- Nucleus Backend (für die in der Cloud notwendige Datenhaltung wie z.B. User, Dashboards und Pinnwand)
- Nucleus Gateway-Server (für die Verbindung mit dem on premises installierten Gateway Connector)
Die komplette Kunden-Installation im AKS erfolgt pro Kunde in einem separaten Namespace und erfolgt weitestgehend automatisiert.
Über AKS zur Verfügung gestellte Network Policies wird sicher gestellt, dass keine Kommunikation zwischen das Namespaces möglich ist.
Datenhaltung in der Cloud
Die für den Betrieb erforderlichen Datenbanken werden in einem Azure SQL-Datenbanken Elastic Pool gehalten. Die Daten der Kunden werden mittels Schemas voneinander getrennt vorgehalten. Es werden nur für den Betrieb der Oberfläche relevante Daten in der Cloud pro Kunde gespeichert. Dies sind:
- User
- Dashboards
- Pinnwand
- Konfigurationen
Die Geschäftsdaten eines Kunden werden nicht in Nucleus gespeichert, sondern nur im zugrundeliegenden ERP-System.
Sicherheit
Alle Konfigurationen bzw. Deployments dürfen nur vom oxaion Operations Team durchgeführt werden. Nur dieses hat die entsprechenden Berechtigungen, in der Cloud die Installationsprozesse und Konfigurationen durchzuführen.
Verschlüsselung der Kommunikation
Die Kommunikation vom Endgerät zur Azure Cloud und zum on premises ERP (Gateway Connector) ist durch das Secure Sockets Layer (SSL) Protokoll verschlüsselt.
Cloudflare
Die Kommunikation vom Endgerät zur Azure Cloud und zum on premises ERP (Gateway Connector) ist durch die Internet-Firewall Lösung der Firma Cloudflare zusätzlich gesichert. Diese Firewall kann auf Kunden-Wunsch von oxaion so konfiguriert werden, dass nur bestimmte IP-Adressen für die Kommunikation zugelassen sind.
Nucleus Gateway Server und Connector
Der für den Kunden in der Cloud vorhandene Gateway Server wird mit dem beim Kunden on premises installierten Gateway Connector so konfiguriert, dass nur die Kommunikation zwischen diesen beiden Endpunkten möglich ist.
Authentifizierung
Die Authentifizierung für die Anmeldung an einer Kunden-Instanz kann über folgende Wege erfolgen
- ein über den Kunden bereit gestelltes Entra ID
- ein über den Kunden bereit gestelltes on premises LDAP (Lightweight Directory Access Protocol)
Weiterhin besteht die Möglichkeit eine 2 Faktor Authentifizierung (2FA) für den Kunden einzurichten.
Zertifizierungen
Azure Zertifizierungen
Die aufgeführten Zertifikate sind nur eine Auswahl der Zertifikate, die für den Azure-Rechenzentrums-Betrieb von Microsoft gelten:
- Germany IT-Grundschutz workbook - Azure Compliance _ Microsoft Docs.pdf
- EU Cloud Code of Conduct - Azure Compliance _ Microsoft Docs.pdf
- Risk_Assessment_and_Compliance_Guide_for_Financial_Institutions_in_the_Microsoft_Cloud.pdf
- Microsoft Azure GxP Guideline (FINAL) July 2020.pdf
- Dokumentation zur Azure-Compliance _ Microsoft Docs.pdf
- Datenschutz-Grundverordnung - Microsoft GDPR _ Microsoft Docs.pdf
- Data Residency in Azure _ Microsoft Azure.pdf
- Azure - IT Grundschutz Workbook in German.pdf
- Azure_Compliance_Maps.pdf
- 500225 ISMS17 2021-10-19 englisch logo 27001.pdf
- 13 Effective Security Controls for ISO 27001 Compliance.pdf
Weitere Zertifizierungen sind im Azure Compliance-Portal zu finden: Dokumentation zur Azure-Compliance | Microsoft Docs
Risikobewertung
Richtlinie zur Risikobewertung der Microsoft Cloud
Richtlinie zur Risikobewertung für Microsoft Cloud
Aufbewahrung, Löschung und Vernichtung von Daten in Microsoft 365
Aufbewahrung, Löschung und Vernichtung von Daten in Microsoft 365
- Keine Stichwörter