Operaciones de seguridad para SAP en Azure
Este artículo forma parte de la serie de artículos "Ampliación e innovación de la seguridad de SAP: Procedimientos recomendados".
- Seguridad de bases de datos de SQL Server para SAP en Azure
- Microsoft Sentinel para SAP en Azure
- Operaciones de seguridad para SAP en Azure
En este artículo se describen los procedimientos recomendados para las operaciones de seguridad para proteger el entorno de SAP en Azure. Implemente una operación de seguridad completa para SAP en Microsoft Cloud para asegurarse de que la información confidencial de su organización y las aplicaciones están protegidas frente a ciberamenazas.
Control de acceso
Los sistemas SAP son críticos para la empresa en un entorno empresarial. Para asegurarse de que solo el personal autorizado pueda acceder a datos confidenciales y realizar tareas críticas, use el principio de privilegios mínimos al proporcionar acceso de control y administración a los sistemas y aplicaciones SAP. Estas son algunas recomendaciones pertinentes:
Use el control de acceso basado en roles (RBAC) para administrar el acceso a los recursos de carga de trabajo de SAP que se implementan en Azure. Cada suscripción de Azure tiene una relación de confianza con un inquilino de Microsoft Entra. Cree un grupo de Microsoft Entra para administradores de SAP y use RBAC para conceder permisos al grupo de SAP.
El inicio de sesión único (SSO) entre SAP y Microsoft Entra ID o los Servicios de federación de Active Directory (AD FS) permiten a los usuarios de SAP acceder a aplicaciones SAP con software front-end de SAP, como la GUI de SAP o un explorador con HTTP o HTTPS como, por ejemplo, SAP Fiori.
Use Privileged Identity Management (PIM) de Microsoft Entra para administrar y asignar roles a usuarios y grupos para permitirles realizar acciones con privilegios. Estos usuarios solo tienen acceso a los recursos cuando necesitan realizar su trabajo, como detener o iniciar una máquina virtual (VM).
PIM también proporciona funcionalidades automatizadas de solicitud de acceso y aprobación, registro y auditoría para administrar y controlar el acceso con privilegios a los recursos del sistema SAP.
El acceso Just-In-Time (JIT) proporciona al personal autorizado acceso con privilegios elevados temporales a sistemas críticos. Con el acceso JIT, los administradores conceden acceso temporal a una máquina virtual específica o a un conjunto de máquinas virtuales solo cuando es necesario realizar determinadas tareas, como el mantenimiento del sistema o la solución de problemas.
Al ejecutar SAP en Azure, use Azure Key Vault para administrar y proteger datos confidenciales, como contraseñas de administrador de SAP, credenciales de cuenta de servicio de SAP y claves de cifrado. Los escenarios comunes para usar Key Vault son:
- Almacenamiento de contraseñas de SAP: los sistemas SAP requieren contraseñas para componentes, como bases de datos, servidores de aplicaciones y otros servicios de SAP. Use Key Vault para almacenar estas contraseñas de forma segura. Recuperarlos durante el inicio del sistema o cuando necesite acceder al servidor SAP.
- Almacenamiento de claves de cifrado: los sistemas SAP suelen requerir cifrado para la protección de datos. Use Key Vault para almacenar claves de cifrado y protegerlos mediante módulos de seguridad de hardware, que son dispositivos resistentes a alteraciones que protegen las claves criptográficas.
- Almacenamiento de certificados: use Key Vault para almacenar y administrar certificados SSL/TLS, que son necesarios para la comunicación segura entre sistemas SAP y otras aplicaciones.
Cumplimiento normativo
Azure proporciona un conjunto completo de controles de seguridad que le ayudarán a proteger los sistemas SAP que se implementan en Azure. Estas son algunas de las ofertas de cumplimiento de ejemplo que son relevantes para los sistemas SAP:
- ISO/IEC 27001: Azure está certificado con el estándar ISO/IEC 27001, que proporciona un marco para implementar y mantener un sistema de administración de seguridad de la información (ISMS). Esta certificación abarca los controles de seguridad y los procedimientos recomendados, como la seguridad de red, el control de acceso y la administración de riesgos.
- SOC 1, SOC 2 y SOC 3: Azure se audita en el marco de controles de la organización de servicios (SOC), que proporciona un conjunto de controles para que los proveedores de servicios administren los datos de los clientes. SOC 1 es para informes financieros, SOC 2 es para la seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad, y SOC 3 es para la divulgación pública del informe SOC 2.
- Reglamento general de protección de datos (RGPD): Azure cumple con el RGPD, que es un reglamento de privacidad de datos que se aplica a las organizaciones que procesan datos personales de personas de la Unión Europea (UE). Esta oferta de cumplimiento incluye características, como la protección de datos, la notificación de vulneración de datos y la privacidad por diseño.
Puede supervisar esta línea de base de seguridad, revisar las recomendaciones y realizar acciones de corrección para la línea base de incumplimiento para cargas de trabajo de SAP mediante Microsoft Defender for Cloud.
Parches de seguridad
Para su entorno SAP en Azure, existen dos tipos importantes de actualización de seguridad: la actualización de seguridad del sistema operativo y la actualización de seguridad de SAP.
Actualizaciones de seguridad del sistema operativo
Las actualizaciones de seguridad de los sistemas operativos evitan fallos de seguridad, cumplen las normativas del sector, mejoran el rendimiento y protegen la reputación de su empresa. Si ejecuta máquinas virtuales Windows y Linux en Azure, en el entorno local o en otros entornos en la nube, puede usar el Centro de administración de actualizaciones en Azure Automation para administrar las actualizaciones del sistema operativo, incluidas las actualizaciones de seguridad.
Las actualizaciones críticas y de seguridad se publican cada mes. Automatice las actualizaciones y habilite la aplicación automática de actualizaciones de invitado de máquina virtual para mantener el cumplimiento de seguridad de las máquinas virtuales de SAP.
Nota
No se admiten algunas imágenes de Linux para la carga de trabajo de SAP, como Red Hat Enterprise Linux (RHEL) para SAP y SUSE Linux Enterprise Server (SLES) para SAP. Se admiten imágenes de Windows Server. Para obtener información sobre los requisitos para habilitar la actualización automática de invitados de máquinas virtuales y las imágenes de sistemas operativos compatibles, consulte Actualización automática de invitados de máquinas virtuales para máquinas virtuales de Azure.
Actualizaciones de seguridad de SAP
También puede proteger la seguridad de otros componentes de SAP, como bases de datos y aplicaciones. Para más información, consulte las notas SAP relacionadas en el portal de soporte SAP.
Revise periódicamente las notas del sistema operativo de seguridad de SAP porque SAP publica actualizaciones de seguridad muy críticas o correcciones de acceso rápido que requieren una acción inmediata para proteger los sistemas SAP.
La puntuación base de Common Vulnerability Scoring System (CVSS) v3 de la nota de seguridad SAP determina su prioridad. CVSS es un marco abierto y neutral para el proveedor que determina las características y la gravedad de las vulnerabilidades de software. Unifica los enfoques para la evaluación de riesgos en varios proveedores. CVSS está bajo la custodia del Forum of Incident Responders & Security Teams (FIRST). Para más información, consulte Notas y noticias de seguridad de SAP.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de