Servicios de identidad y seguridad de Azure con SAP RISE

En este artículo se detalla la integración de los servicios de identidad y seguridad de Azure con una carga de trabajo de SAP RISE. Además, se explica el uso de algunos servicios de supervisión de Azure para un panorama de SAP RISE.

Inicio de sesión único para SAP

El inicio de sesión único (SSO) está configurado para muchos entornos de SAP. Con las cargas de trabajo de SAP que se ejecutan en ECS/RISE, los pasos para implementar no difieren de un sistema SAP de ejecución nativa. Los pasos de integración con el inicio de sesión único basado en Microsoft Entra ID están disponibles para cargas de trabajo típicas administradas de ECS/RISE:

• Tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con SAP NetWeaver
• Tutorial: Integración del inicio de sesión único (SSO) de Microsoft Entra con SAP Fiori
• Tutorial: Integración de Microsoft Entra con SAP HANA

Método de inicio de sesión único	Proveedor de identidades	Caso de uso típico	Implementación
SAML/OAuth	Microsoft Entra ID	SAP Fiori, Web GUI, Portal, HANA	Configuración por cliente
SNC	Microsoft Entra ID	SAP GUI	Configuración por cliente
SPNEGO	Active Directory (AD)	GUI web, SAP Enterprise Portal	Configuración por cliente y SAP

El inicio de sesión único en Active Directory (AD) del dominio de Windows para el entorno de SAP administrado por ECS/RISE, con el cliente de inicio de sesión seguro de SSO de SAP, requiere la integración de AD para dispositivos de usuario final. Con SAP RISE, los sistemas Windows no se integran con el dominio de Active Directory del cliente. La integración de dominios no es necesaria para el inicio de sesión único con AD/Kerberos, ya que el token de seguridad de dominio se lee en el dispositivo cliente y se intercambia de forma segura con el sistema SAP. Póngase en contacto con SAP si necesita algún cambio para integrar el inicio de sesión único basado en AD o usar productos de terceros distintos del cliente de inicio de sesión seguro de SAP SSO, ya que es posible que se requiera alguna configuración en los sistemas administrados de RISE.

Copilot para seguridad con SAP RISE

Copilot para seguridad es un producto de seguridad de IA generativa que permite a los profesionales de seguridad y TI responder a amenazas cibernéticas, procesar señales y evaluar la exposición al riesgo a la velocidad y escala de la IA. Tiene su propio portal y experiencias insertadas en Microsoft Defender XDR, Microsoft Sentinel e Intune.

Se puede usar con cualquier origen de datos compatible con Defender XDR y Sentinel, incluido SAP RISE/ECS. A continuación se muestra la experiencia independiente.

En esta imagen se muestra un ejemplo de la experiencia de Microsoft Copilot para seguridad mediante un mensaje para investigar un incidente de SAP.

Además de eso, la experiencia de Copilot para seguridad está insertada en el portal de Defender XDR. Junto a un resumen generado por IA, se proporcionan de serie recomendaciones y correcciones como el restablecimiento de contraseñas para SAP. Obtenga más información sobre la interrupción de ataques de SAP automática aquí.

En esta imagen se muestra un ejemplo de Microsoft Copilot para seguridad que analiza un incidente detectado en SAP RISE a través de Defender XDR. La ingesta de datos se realiza a través de la solución Microsoft Sentinel para aplicaciones de SAP.

Microsoft Sentinel con SAP RISE

La solución Microsoft Sentinel para SAP certificada por SAP RISE le permite supervisar y detectar actividades sospechosas, así como responder a las mismas. Microsoft Sentinel protege los datos críticos frente a ciberataques sofisticados para sistemas SAP hospedados en Azure, otras nubes o infraestructura local. La solución Microsoft Sentinel para SAP BTP amplía esa cobertura a SAP Business Technology Platform (BTP).

La solución le permite obtener visibilidad de las actividades de los usuarios en SAP RISE/ECS y en las capas de lógica de negocios de SAP y aplicar el contenido integrado de Sentinel.

• Use una única consola para supervisar todo su patrimonio empresarial, incluidas las instancias de SAP en SAP RISE/ECS en Azure y otras nubes, el patrimonio nativo de SAP Azure y el local
• Detecte y responda automáticamente a las amenazas: detecte actividades sospechosas como la elevación de privilegios, los cambios no autorizados, las transacciones confidenciales, la exfiltración de datos y mucho más con capacidades de detección listas para usar
• Correlacione la actividad de SAP con otras señales: detecte con mayor precisión las amenazas de SAP mediante la correlación cruzada entre puntos de conexión, datos de Microsoft Entra y mucho más
• Personalice en función de sus necesidades: desarrolle sus propias detecciones para supervisar las transacciones confidenciales y otros riesgos empresariales
• Visualización de los datos con libros integrados

En este diagrama se muestra un ejemplo de Microsoft Sentinel conectado a través de una máquina virtual o contenedor intermediario al sistema SAP administrado por SAP. La máquina virtual o contenedor intermediario se ejecuta en la propia suscripción del cliente con el agente de conector de datos de SAP configurado. La conexión a SAP Business Technology Platform (BTP) usa las API públicas de SAP para el Servicio de administración de registros de auditoría.

Para SAP RISE/ECS, la solución Microsoft Sentinel debe implementarse en la suscripción de Azure del cliente. Todas las partes de la solución Sentinel son administradas por el cliente y no por SAP. La conectividad de red privada de la red virtual del cliente es necesaria para llegar a los paisajes de SAP administrados por SAP RISE/ECS. Normalmente, esta conexión se realiza a través del emparejamiento de red virtual establecido o a través de alternativas descritas en este documento.

Para habilitar la solución, solo se requiere un usuario RFC autorizado y no es necesario instalar nada en los sistemas SAP. El agente de recopilación de datos SAP basado en contenedores que se incluye con la solución puede instalarse tanto en máquinas virtuales como en AKS o cualquier entorno Kubernetes. El agente recopilador usa un usuario de servicios SAP para consumir datos de registro de aplicaciones de su entorno SAP a través de la interfaz RFC mediante llamadas de RFC estándar.

• Métodos de autenticación admitidos en SAP RISE: nombre de usuario y contraseña de SAP o certificados X509/SNC
• Actualmente solo se pueden realizar conexiones basadas en RFC con entornos SAP RISE/ECS

Importante

• La ejecución de Microsoft Sentinel en un entorno de SAP RISE/ECS requiere: importación de una solicitud de cambio de transporte de SAP para los siguientes campos de registro o el origen: información de dirección IP de cliente del registro de auditoría de seguridad de SAP, registros de tabla de base de datos (versión preliminar), registro de salida de cola. El contenido integrado de Sentinel (detecciones, libros y cuadernos de estrategias) proporciona una amplia cobertura y correlación sin esos orígenes de registro.
• La infraestructura de SAP y los registros del sistema operativo no están disponibles para Sentinel en RISE, debido al modelo de responsabilidad compartida.

Respuesta automática con las funcionalidades SOAR de Sentinel

Use cuadernos de estrategias creados previamente para las funcionalidades de seguridad, orquestación, automatización y respuesta (SOAR) para reaccionar rápidamente a las amenazas. Un primer escenario popular es el bloqueo de usuarios de SAP con la opción de intervención de Microsoft Teams. El patrón de integración puede aplicarse a cualquier tipo de incidente y servicio objetivo que se extienda hacia SAP Business Technology Platform (BTP) o Microsoft Entra ID con el fin de reducir la superficie de ataque.

Para más información sobre Microsoft Sentinel y SOAR para SAP, consulte la serie de blogs De cero a héroe en cobertura de seguridad con Microsoft Sentinel para sus señales de seguridad críticas de SAP.

Esta imagen muestra un incidente de SAP detectado por Sentinel que ofrece la opción de bloquear al usuario sospechoso en SAP ERP, SAP Business Technology Platform o Microsoft Entra ID.

Para más información sobre Microsoft Sentinel y SAP, incluida una guía de implementación, consulte la documentación del producto de Sentinel.

Supervisión de Azure para SAP con SAP RISE

Azure Monitor para soluciones de SAP es una solución nativa de Azure para la supervisión de su sistema SAP. Amplía la funcionalidad de supervisión de la plataforma Azure Monitor con soporte técnico para recopilar datos sobre los detalles de SAP NetWeaver, la base de datos y el sistema operativo.

SAP RISE/ECS es un servicio totalmente administrado para el entorno de SAP y, por tanto, la Supervisión de Azure para SAP no está diseñada para usarse para este entorno administrado. SAP RISE/ECS no admite ninguna integración con Azure Monitor para soluciones de SAP. La supervisión y los informes propios de SAP se usan y se proporcionan al cliente tal y como se define en su descripción del servicio con SAP.

Azure Center for SAP Solutions

Al igual que con Azure Monitor para soluciones de SAP, SAP RISE/ECS no admite ninguna integración con Azure Center for SAP solutions en ninguna capacidad. Todas las cargas de trabajo de SAP RISE se implementan mediante SAP y se ejecutan en el inquilino y la suscripción de Azure de SAP, sin acceso por parte del cliente a los recursos de Azure.

Pasos siguientes

Consulte la documentación:

• Descripción general de la integración de Azure con SAP RISE
• Opciones de conectividad de red en Azure con SAP RISE
• Integración de servicios de Azure con SAP RISE
• Implementación de la solución Microsoft Sentinel para aplicaciones SAP®
• Implementación de la solución Microsoft Sentinel para SAP® BTP