Odooはクラウドでの利用が想定されており、インターネットがあればどこからでもアクセスができ便利な反面、セキュリティへの注意も必要です。
以下、Odoo環境のセキュリティを強化する上で検討対象となりうる対策をいくつか挙げます。
1.パスワード方針管理
標準のOdooでは強度の弱いパスワードを設定していても、システムからのチェックがありません。
こちら https://github.com/OCA/server-auth/tree/12.0/password_security のOCAモジュールを使用すると、会社レベルでパスワード方針(長さ、複雑さ、有効日数等)を強制することができます。
2.特定のIPアドレスからのみ接続を許可
サーバの設定で対応可能です。
前提として、固定のIPアドレスの使用に問題ないことが必要です。
Odooのバックエンド機能のみ使用する場合(利用者が内部ユーザのみの場合)は対応が容易ですが、ウェブサイトを使用し利用者が不特定多数の場合は、バックエンド機能のディレクトリ(/web/login以外の/web以下のディレクトリ)のみ制限するような工夫が必要です。
3.クライアント証明書
大まかに、TLSサービス事業者のサービスを利用するか、独自にクライアント証明書を発行・認証する仕組みを構築するかで対応が分かれるかと思います。詳細要調査。
4.ワンタイムパスワード
TOTP(Time-based One-time Password)での多要素認証を実現するOCAモジュール https://github.com/OCA/server-auth/tree/12.0/auth_totp があります。
ユーザ毎の設定により、ログイン時にGoogle Authenticator等の認証アプリで生成された確認コードの入力が必須となります。