Datenintegrationssicherheit für SAP in Azure
Dieser Artikel ist Teil der Artikelreihe „SAP-Erweiterungs- und Innovationsdaten: Bewährte Methoden“.
- Identifizieren von SAP-Datenquellen
- Auswählen des besten SAP-Connectors
- Leistung und Problembehandlung für die SAP-Datenextraktion
- Datenintegrationssicherheit für SAP in Azure
- Generische SAP-Datenintegrationsarchitektur
In diesem Artikel werden die Sicherheitsebenen für SAP-Erweiterungsszenarien beschrieben, eine Aufschlüsselung der einzelnen Komponenten sowie Überlegungen und Empfehlungen bereitgestellt. Azure Data Factory-Verwaltungsressourcen setzen auf der Azure Sicherheitsinfrastruktur auf und nutzen Sicherheitsmaßnahmen von Azure.
Die Datenerfassungsebene besteht aus:
- SAP S/4HANA, SAP BW/4HANA oder SAP HANA Enterprise Edition
- Azure Data Lake Storage Gen2
- Data Factory
- Einem virtuellen Computer (VM) mit selbstgehosteter Integration Runtime (SHIR)
Das folgende Diagramm zeigt eine Beispielarchitektur für die Sicherheit der SAP-Datenintegration in Azure. Verwenden Sie die Beispielarchitektur als Ausgangspunkt.
Laden Sie eine Visio-Datei dieser Architektur herunter.
Überlegungen und Empfehlungen
In den folgenden Abschnitten werden Überlegungen zur Datenintegrationssicherheit und Empfehlungen für SAP in Azure beschrieben.
SAP-Sicherheit
Der Leitfaden zur SAP-Sicherheit enthält ausführliche Anleitungen für SAP-Produkte.
Data Lake Storage Gen2-Sicherheit
Lesen Sie die folgenden Überlegungen zur Data Lake Storage Gen2-Sicherheit.
Autorisieren des Zugriffs auf Daten in Azure Storage
Wenn Sie auf Daten in Ihrem Speicherkonto zugreifen, sendet Ihre Clientanwendung eine Anforderung über HTTP/HTTPS an Storage. Standardmäßig ist jede Ressource in Storage geschützt, und jede Anforderung an eine sichere Ressource muss autorisiert werden. Storage bietet viele Optionen zum Autorisieren des Zugriffs auf Daten. Es wird empfohlen, Microsoft Entra-Anmeldeinformationen zu verwenden, um Anforderungen an Daten zu autorisieren, um optimale Sicherheit und Einfachheit zu gewährleisten. Weitere Informationen finden Sie unter Schützen Ihrer Zugriffsschlüssel.
Was ist die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) für Azure-Ressourcen?
Mithilfe von RBAC können Sie die Berechtigungen eines Sicherheitsprinzipals für Blob-, Warteschlangen- und Tabellenressourcen in einem Speicherkonto verwalten. Außerdem können Sie mit der attributbasierten Zugriffssteuerung (Attribute-Based Access Control, ABAC) von Azure Bedingungen zu Azure-Rollenzuweisungen für Blobressourcen hinzufügen. Weitere Informationen finden Sie unter Autorisieren des Zugriffs auf Azure Blob Storage mithilfe von Bedingungen für die Azure-Rollenzuweisung.
Blob Storage-Sicherheit
Berücksichtigen Sie Sicherheitsempfehlungen für Blobspeicher, z. B. Datenschutz, Identitäts- und Zugriffsverwaltung, Netzwerk, Protokollierung und Überwachung. Weitere Informationen finden Sie unter Sicherheitsempfehlungen für Blob Storage.
Data Lake Storage Gen2-Zugriffssteuerung
Data Lake Storage Gen2 unterstützt die folgenden Autorisierungsstrategien:
- RBAC
- Zugriffssteuerungslisten (ACLs)
- Sicherheitsgruppen
- Autorisierung mit gemeinsam verwendetem Schlüssel und SAS (Shared Access Signature)
Es gibt zwei Arten von ACLs in Data Lake Storage Gen2:
- Zugriffs-ACLs steuern den Zugriff auf ein Objekt. Dateien und Verzeichnisse verfügen über Zugriffs-ACLs.
- Standard-ACLs sind Vorlagen für ACLs, die einem Verzeichnis zugeordnet sind. Sie bestimmen die Zugriffs-ACLs für alle untergeordneten Elemente, die unter diesem Verzeichnis erstellt werden. Dateien verfügen über keine Standard-ACLs.
Weisen Sie in einem ACL-Eintrag einzelne Benutzer oder Dienstprinzipale nicht direkt zu. Verwenden Sie Microsoft Entra-Sicherheitsgruppen stets als den zugewiesenen Prinzipal. Diese Vorgehensweise ermöglicht Ihnen, Benutzer oder Dienstprinzipale hinzuzufügen und zu entfernen, ohne ACLs erneut auf eine gesamte Verzeichnisstruktur anzuwenden. Stattdessen können Sie Benutzer und Dienstprinzipale zur entsprechenden Microsoft Entra-Sicherheitsgruppe hinzufügen oder aus dieser entfernen. Weitere Informationen finden Sie unter Zugriffssteuerungslisten.
Data Factory-Sicherheit
Lesen Sie die folgenden Überlegungen zur Data Factory-Sicherheit.
Datenverschiebung
Es gibt zwei Datenverschiebungsszenarien: ein Cloudszenario und ein Hybridszenario. Informationen zur Sicherheit von Datenverschiebungen finden Sie unter Sicherheitsüberlegungen zur Datenverschiebung in Data Factory.
In einem Cloudszenario sind Ihre Quelle als auch Ihr Ziel über das Internet öffentlich zugänglich. Ihre Quelle oder Ihr Ziel können verwaltete Cloudspeicherdienste wie Azure Storage, Azure Synapse Analytics, Azure SQL-Datenbank, Data Lake Storage Gen2, Amazon S3, Amazon Redshift sein, SaaS-Dienste (Software-as-a-Service) wie Salesforce oder Webprotokolle wie FTP (File Transfer Protocol) und Open Data Protocol (OData). Eine vollständige Liste unterstützter Datenquellen finden Sie unter „Unterstützte Datenspeicher und Formate“.
In einem Hybridszenario befindet sich entweder Ihre Quelle oder Ihr Ziel hinter einer Firewall oder in einem lokalen Unternehmensnetzwerk. Oder der Datenspeicher befindet sich in einem privaten oder virtuellen Netzwerk und ist nicht öffentlich zugänglich. In diesem Fall ist der Datenspeicher in der Regel die Quelle. Das Hybridszenario umfasst auch Datenbankserver, die auf virtuellen Computern gehostet werden.
Datenzugriffsstrategien
Ihre Organisation möchte seine Datenspeicher, z. B. lokale oder Cloud-/SaaS-Datenspeicher, vor nicht autorisiertem Zugriff über das Internet schützen. Sie können den Zugriff in Ihrem Clouddatenspeicher steuern, indem Sie Folgendes verwenden:
- Eine private Verbindung aus einem virtuellen Netzwerk zu einer Datenquelle, die für einen privaten Endpunkt aktiviert ist.
- Firewallregeln, die die Konnektivität mithilfe einer IP-Adresse einschränken.
- Authentifizierungsstrategien, bei denen Benutzer ihre Identität nachweisen müssen.
- Autorisierungsstrategien, die Benutzer auf bestimmte Aktionen und Daten einschränken.
Weitere Informationen finden Sie unter Datenzugriffsstrategien.
Speichern von Anmeldeinformationen in Azure Key Vault
Sie können Anmeldeinformationen für Datenspeicher und Computevorgänge in Key Vault speichern. Data Factory ruft die Anmeldeinformationen ab, wenn eine Aktivität ausgeführt wird, die den Datenspeicher oder Compute verwendet. Weitere Informationen finden Sie unter Speichern von Anmeldeinformationen in Key Vault und Verwenden von Key Vault-Geheimnissen in Pipelineaktivitäten.
Verschlüsseln von Anmeldeinformationen
Erwägen Sie in Data Factory die Verschlüsselung von Anmeldeinformationen für lokale Datenspeicher. Auf einem Computer mit einer SHIR können Sie Anmeldeinformationen für jeden Ihrer lokalen Datenspeicher, z. B. verknüpfte Dienste mit vertraulichen Informationen, verschlüsseln und speichern. Weitere Informationen finden Sie unter Verschlüsseln von Anmeldeinformationen für lokale Datenspeicher in Data Factory.
Verwenden einer verwalteten Identität
Wenn Sie eine verwaltete Identität verwenden, müssen Sie keine Anmeldeinformationen verwalten. Eine verwaltete Identität stellt eine Identität für die Dienstinstanz bereit, wenn sie eine Verbindung mit Ressourcen herstellt, die Microsoft Entra-Authentifizierung unterstützen. Es gibt zwei Arten unterstützter verwalteter Identitäten: systemseitig zugewiesene verwaltete Identitäten und benutzerseitig zugewiesene verwaltete Identitäten. Weitere Informationen finden Sie unter Verwaltete Identität für Data Factory.
Verschlüsseln mit kundenseitig verwalteten Schlüsseln
Je nach Ihren Sicherheitsrichtlinien sollten Sie erwägen, Data Factory mit kundenseitig verwalteten Schlüsseln zu verschlüsseln. Weitere Informationen finden Sie unter Verschlüsseln von Data Factory mit kundenseitig verwalteten Schlüsseln.
Verwenden eines verwalteten virtuellen Netzwerks
Wenn Sie eine Azure Integration Runtime in einem von Data Factory verwalteten virtuellen Netzwerk erstellen, wird die Integration Runtime mit dem verwalteten virtuellen Netzwerk bereitgestellt. Sie verwendet private Endpunkte, um eine sichere Verbindung mit den unterstützten Datenspeichern herzustellen. Ein privater Endpunkt ist eine private IP-Adresse in einem bestimmten virtuellen Netzwerk und Subnetz. Das verwaltete virtuelle Netzwerk wird nur in derselben Region wie Data Factory unterstützt. Weitere Informationen finden Sie unter Von Data Factory verwaltetes virtuelles Netzwerk.
Verwenden von Azure Private Link
Wenn Sie Private Link verwenden, können Sie eine Verbindung mit PaaS-Bereitstellungen (Platform-as-a-Service) in Azure über einen privaten Endpunkt herstellen. Eine Liste der PaaS-Bereitstellungen, die Private Link unterstützen, finden Sie unter Private Link für Data Factory.
SHIR-VM-Verbindungen und -Sicherheit
Lesen Sie die folgenden Überlegungen zu SHIR-VM-Verbindungen und -Sicherheit.
Anmeldeinformationen für lokale Datenspeicher
Sie können lokale Datenspeicher-Anmeldeinformationen in Data Factory speichern oder auf die Anmeldeinformationen verweisen, indem Sie Data Factory während der Laufzeit von Key Vault verwenden. Wenn Sie Anmeldeinformationen in Data Factory speichern, verschlüsseln Sie sie immer in einer SHIR. Weitere Informationen finden Sie unter Lokale Datenspeicher-Anmeldeinformationen.
Einrichten einer SHIR, basierend auf Ihrer Netzwerkkonfiguration
Für eine hybride Datenverschiebung sind in der folgenden Tabelle die Empfehlungen für die Netzwerk- und SHIR-Konfiguration zusammengefasst, die sich aus verschiedenen Kombinationen von Quell- und Zielstandort ergeben.
| Quelle | Ziel | Network Configuration | Setup der Integrationslaufzeit |
|---|---|---|---|
| Lokal | Virtuelle Computer und Clouddienste, die in virtuellen Netzwerken bereitgestellt werden | IPSec-VPN (Punkt-zu-Standort oder Standort-zu-Standort) | Installieren einer SHIR auf einem virtuellen Azure-Computer im virtuellen Netzwerk |
| Lokal | Virtuelle Computer und Clouddienste, die in virtuellen Netzwerken bereitgestellt werden | Azure ExpressRoute (Privates Peering) | Installieren einer SHIR auf einem virtuellen Azure-Computer im virtuellen Netzwerk |
| Lokal | Azure-basierte Dienste, die einen öffentlichen Endpunkt haben | ExpressRoute (Microsoft-Peering) | Lokales Installieren einer SHIR oder auf einem virtuellen Azure-Computer |
ExpressRoute oder IPSec-VPN
Die folgenden Abbildungen zeigen, wie Sie mit einer SHIR Daten zwischen einer lokalen Datenbank und einem Azure-Dienst mithilfe von Azure Virtual Network und ExpressRoute oder IPSec-VPN verschieben.
Informationen zu Firewallkonfigurationen und der Einrichtung der Positivliste für IP-Adressen finden Sie unter Sicherheitsüberlegungen für Datenverschiebungen in Data Factory.
Dieses Diagramm zeigt, wie Sie Daten mithilfe des privaten ExpressRoute-Peerings verschieben:
Dieses Diagramm zeigt, wie Sie Daten mithilfe von IPSec-VPN verschieben:
Stellen Sie in der Firewall sicher, dass die IP-Adresse des SHIR-Computers zulässig und entsprechend konfiguriert ist. Die folgenden Clouddatenspeicher erfordern, dass Sie die IP-Adresse des SHIR-Computers zulassen. Einige dieser Datenspeicher erfordern standardmäßig möglicherweise keine Positivliste.
- SQL-Datenbank
- Azure Synapse Analytics
- Data Lake Storage Gen2
- Azure Cosmos DB
- Amazon Redshift
Weitere Informationen finden Sie unter Sicherheitsüberlegungen für Datenverschiebungen in Data Factory und Erstellen und Konfigurieren einer SHIR.
Azure Databricks-Sicherheit
Lesen Sie die folgenden Überlegungen zur Azure Databricks-Sicherheit.
Azure-Sicherheitsbaseline für Azure Databricks
Berücksichtigen Sie die Azure-Sicherheitsbaseline für Azure Databricks. Diese Sicherheitsbaseline wendet Empfehlungen der Microsoft Cloud-Sicherheitsbenchmark, Version 1.0, auf Azure Databricks an. Die Microsoft-Benchmark für Cloudsicherheit bietet Empfehlungen, wie Sie Ihre Cloudlösungen in Azure schützen können.
Azure Synapse Analytics-Sicherheit
Azure Synapse Analytics implementiert eine mehrschichtige Sicherheitsarchitektur für den End-to-End-Schutz Ihrer Daten. Es gibt fünf Ebenen:
Datenschutz identifiziert und klassifiziert vertrauliche Daten und verschlüsselt ruhende sowie in Übertragung befindliche Daten. Empfehlungen zu Datenermittlung und -klassifizierung, Governance und Verschlüsselung finden Sie unter Datenschutz.
Zugriffssteuerung bestimmt das Recht eines Benutzers, mit Daten zu interagieren. Azure Synapse Analytics unterstützt eine Vielzahl von Funktionen, um zu steuern, wer auf welche Daten zugreifen kann. Weitere Informationen finden Sie unter Zugriffssteuerung.
Authentifizierung weist die Identität von Benutzern und Anwendungen nach. Azure SQL-Überprüfung kann Authentifizierungsaktivitäten protokollieren, und ein IT-Administrator kann Berichte und Warnungen konfigurieren, wenn versucht wird, sich von einem verdächtigen Ort aus anzumelden. Weitere Informationen finden Sie unter Authentifizierung.
Netzwerksicherheit isoliert Netzwerkdatenverkehr mit privaten Endpunkten und virtuellen privaten Netzwerken. Es gibt viele Netzwerksicherheitsoptionen, um Azure Synapse Analytics zu schützen. Weitere Informationen finden Sie unter Netzwerksicherheit.
Bedrohungsschutz identifiziert potenzielle Sicherheitsbedrohungen, z. B. ungewöhnliche Zugriffsorte, Angriffe durch Einschleusung von SQL-Befehlen, Authentifizierungsangriffe und mehr. Weitere Informationen finden Sie unter Bedrohungsschutz.
Datendarstellungsebene
Überlegen Sie, wie Sie Sicherheitsfunktionen verwenden können, um die Darstellungsebene zu schützen, einschließlich Power BI. Weitere Informationen finden Sie unter Power BI-Sicherheit und Power BI-Implementierungsplanung: Sicherheit.