Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
SAP è una tecnologia comune usata oggi da molte organizzazioni nei carichi di lavoro più cruciali. Quando si pianifica l'architettura SAP, è necessario prestare particolare attenzione a garantire che l'architettura sia affidabile e sicura. L'obiettivo di questo articolo è documentare i criteri di progettazione di sicurezza, conformità e governance per SAP su scala aziendale in Azure. L'articolo illustra le raccomandazioni di progettazione, le procedure consigliate e le considerazioni di progettazione specifiche per la distribuzione della piattaforma SAP in Azure. Per prepararsi completamente alla governance di una soluzione aziendale, è importante esaminare le linee guida nell'area di progettazione della zona di destinazione di Azure per la governance e la conformità della sicurezza
Le soluzioni cloud ospitano inizialmente applicazioni singole e relativamente isolate. Man mano che i vantaggi delle soluzioni cloud sono diventati chiari, il cloud ha ospitato molti carichi di lavoro su larga scala, ad esempio SAP in Azure. Affrontare problemi di sicurezza, affidabilità, prestazioni e costi delle distribuzioni in una o più aree è diventato fondamentale per tutto il ciclo di vita dei servizi cloud.
La visione per la sicurezza, la conformità e la governance della zona di destinazione su scala aziendale SAP in Azure consiste nell'offrire alle organizzazioni strumenti e processi per prevenire i rischi e prendere decisioni efficaci. La zona di destinazione su scala aziendale definisce i ruoli e le responsabilità di governance e conformità della sicurezza, in modo che tutti sappiano cosa ci si aspetta da essi.
Modello di responsabilità condivisa
Quando si valutano i servizi cloud pubblici, è fondamentale comprendere quali attività sono gestite dal provider di servizi cloud e quali dal cliente. Nel modello di responsabilità condivisa, la divisione delle responsabilità tra un provider di servizi cloud e i clienti dipende dal modello di hosting cloud del carico di lavoro: software as a service (SaaS), piattaforma distribuita come servizio (PaaS) o infrastruttura distribuita come servizio (IaaS). I clienti sono sempre responsabili della gestione dei dati, degli endpoint e degli account e degli accessi, indipendentemente dal modello di distribuzione cloud.
Il diagramma seguente illustra la divisione delle attività tra le zone di responsabilità nel modello di responsabilità condivisa cloud di Microsoft:
Per altre informazioni sul modello di responsabilità condivisa, vedere Responsabilità condivisa nel cloud.
Raccomandazioni per la progettazione della sicurezza
La sicurezza è una responsabilità condivisa tra Microsoft e i clienti. È possibile caricare le proprie immagini di macchine virtuali e database in Azure oppure usare immagini da Azure Marketplace. Tuttavia, queste immagini necessitano di controlli di sicurezza che soddisfano i requisiti dell'applicazione e dell'organizzazione. È necessario applicare i controlli di sicurezza specifici del cliente al sistema operativo, ai dati e al livello applicazione SAP.
Per indicazioni sulla sicurezza generalmente accettate, vedere le procedure consigliate per la sicurezza informatica del Centro per la sicurezza internet (CIS).
Le zone di destinazione di Azure hanno indicazioni specifiche sulla sicurezza di rete basata su zero attendibilità per proteggere i flussi di traffico e del perimetro di rete. Per altre informazioni, vedere Strategie di sicurezza di rete in Azure.
Abilitare Microsoft Defender for Cloud
Le aziende che usano topologie di rete hub-spoke spesso distribuiscono modelli di architettura cloud in più sottoscrizioni di Azure. Nel diagramma di distribuzione cloud seguente la casella rossa evidenzia un gap di sicurezza. La casella gialla mostra l'opportunità di ottimizzare le appliance virtuali di rete tra carichi di lavoro e sottoscrizioni.
Microsoft Defender for Cloud offre una protezione dalle minacce e offre una visione olistica dell'intero comportamento di sicurezza aziendale.
Abilitare Microsoft Defender for Cloud Standard per SAP nelle sottoscrizioni di Azure per:
Rafforzare il comportamento di sicurezza dei data center e fornire protezione avanzata dalle minacce per carichi di lavoro locali e ibridi in Azure e in altri cloud.
Vedere la posizione di sicurezza complessiva in SAP nelle sottoscrizioni di Azure e verificare la conformità della sicurezza delle risorse tra le VM, i dischi e le applicazioni SAP.
Delegare un ruolo personalizzato di amministratore SAP con accesso just-in-time.
Usare la configurazione dedicata di Microsoft Defender per endpoint per gli host SAP in esecuzione in Linux e Windows per assicurarsi che il panorama applicativo SAP sia sicuro e che le prestazioni del server SAP siano ottimizzate. Per altre informazioni, usare i riferimenti seguenti:
Lo screenshot seguente mostra il dashboard di protezione del carico di lavoro nel portale di Azure:
Abilitare la soluzione Microsoft Sentinel per SAP
Microsoft Sentinel è una soluzione scalabile, nativa del cloud, per la gestione degli eventi di informazioni di sicurezza (SIEM) e per la risposta automatizzata all'orchestrazione della sicurezza (SOAR). Microsoft Sentinel fornisce funzionalità intelligenti di analisi sicurezza e intelligence sulle minacce per l'azienda, offrendo un'unica soluzione per il rilevamento degli avvisi, la visibilità delle minacce, la ricerca proattiva e la risposta alle minacce.
La soluzione Microsoft Sentinel per SAP offre i vantaggi seguenti:
- La soluzione è fortemente influenzata dall'esperienza di Microsoft nella protezione dei propri sistemi SAP.
- Fornisce regole di rilevamento predefinite comprovate, playbook per azioni automatizzate per la sicurezza SAP e cartelle di lavoro per visualizzare la copertura ottenuta in base a framework diffusi, ad esempio NIST, SOX, ecc.
- Rileva e abilita la risposta alle minacce alla sicurezza nell'intero stack SAP (AS ABAP, AS JAVA e SAP Business Technology Platform).
- Si integra con Microsoft Unified Security Operations Platform per offrire una visualizzazione unificata degli avvisi di sicurezza e degli eventi imprevisti in tutti i prodotti Microsoft Defender, Microsoft Sentinel e Microsoft Security Copilot.
Per altre considerazioni sulla progettazione, vedere questo articolo.
Autenticazione sicura
Single Sign-On (SSO) è la base per l'integrazione di prodotti SAP e Microsoft. I token Kerberos di Active Directory, combinati con prodotti di sicurezza di terze parti, hanno abilitato questa funzionalità sia per le applicazioni basate su SAP GUI che per web browser per anni. Quando un utente accede alla workstation ed esegue correttamente l'autenticazione, Active Directory rilascia un token Kerberos. Un prodotto di sicurezza di terze parti usa quindi il token Kerberos per gestire l'autenticazione all'applicazione SAP senza che l'utente deve ripetere l'autenticazione.
È anche possibile crittografare i dati in transito dal front-end dell'utente verso l'applicazione SAP integrando il prodotto di sicurezza di terze parti con comunicazioni di rete sicure (SNC) per DIAG (GUI SAP), RFC e SPNEGO per HTTPS.
Microsoft Entra ID con SAML 2.0 può anche fornire l'accesso SSO a una gamma di applicazioni SAP e piattaforme come SAP NetWeaver, SAP HANA e SAP Cloud Platform. Per altre informazioni, vedere la sezione Gestione delle identità e degli accessi.
Rafforzamento dei sistemi operativi
Assicurarsi di rafforzare la protezione avanzata del sistema operativo per eliminare le vulnerabilità che potrebbero causare attacchi al database SAP.
Alcuni controlli aggiuntivi assicurano l'installazione sicura della base:
- Controllare regolarmente l'integrità dei file di sistema.
- Limitare l'accesso al sistema operativo.
- Limitare l'accesso fisico al server.
- Proteggere l'accesso al server a livello di rete.
Isolare le reti virtuali
Isolare e limitare l'accesso ai servizi e ai protocolli di rete. Per un controllo più rigoroso, è possibile proteggere l'architettura di rete hub-spoke consigliata usando diversi meccanismi di sicurezza di Azure:
Isolare l'applicazione SAP e i server di database da Internet o dalla rete locale facendo passare tutto il traffico attraverso la rete virtuale hub, connessa alla rete spoke tramite il peering di rete virtuale. Le reti virtuali con peering garantiscono che la soluzione SAP in Azure sia isolata dalla rete Internet pubblica.
Monitorare e filtrare il traffico usando Azure Monitor, i gruppi di sicurezza di rete di Azure, o i gruppi di sicurezza applicazioni.
Usare Firewall di Azure o una delle appliance virtuali di rete disponibili sul mercato.
Per misure di sicurezza di rete più avanzate, implementare una rete perimetrale. Per altre informazioni, vedere Implementare una rete perimetrale tra Azure e il data center locale.
Isolare le DMZ e le appliance di rete virtuali dal resto dell'ambiente SAP, configurare il collegamento privato di Azure e gestire e controllare in modo sicuro le risorse SAP su Azure.
Il diagramma dell'architettura seguente illustra come amministrare una topologia di rete virtuale di Azure con isolamento e restrizione dei servizi e dei protocolli di rete tramite gruppi di sicurezza di rete. Assicurarsi che la sicurezza di rete sia conforme anche ai requisiti dei criteri di sicurezza dell'organizzazione.
Per altre informazioni su SAP sulla sicurezza di rete di Azure, vedere Operazioni di sicurezza SAP in Azure.
Crittografare i dati a riposo
I dati inattivi sono informazioni nell'archiviazione persistente su supporti fisici, in qualsiasi formato digitale. I supporti possono includere file su supporti magnetici o ottici, dati archiviati e backup dei dati. Azure offre un'ampia gamma di soluzioni di archiviazione dati, tra cui file, dischi, BLOB e tabelle. La crittografia dei dati inattivi in Archiviazione di Azure avviene per impostazione predefinita, con la possibilità per il cliente di configurarla opzionalmente. Per ulteriori informazioni, vedere Crittografia dei dati inattivi di Azure e Panoramica sulla crittografia di Azure.
La crittografia lato server (SSE) per SAP in macchine virtuali di Azure protegge i dati e consente di soddisfare gli impegni di sicurezza e conformità dell'organizzazione. SSE crittografa automaticamente i dati inattivi nel sistema operativo gestito di Azure e nei dischi dati durante la persistenza dei dati nel cloud. SSE crittografa i dati del disco gestito di Azure in modo trasparente usando la crittografia AES a 256 bit, una delle crittografie a blocchi più complesse disponibili ed è conforme a FIPS 140-2. La crittografia sul lato server non influisce sulle prestazioni del disco gestito e non comporta costi aggiuntivi. Per altre informazioni sui moduli di crittografia sottostanti dischi gestiti da Azure, vedere API di crittografia : nuova generazione.
La crittografia di Archiviazione di Azure è abilitata per tutti gli account di Azure Resource Manager e non può essere disabilitata. Poiché i dati sono crittografati per impostazione predefinita, non è necessario modificare il codice o le applicazioni per usare la crittografia di Archiviazione di Azure.
Per la crittografia del server di database SAP, usare la tecnologia di crittografia nativa SAP HANA. Se si usa il database SQL di Azure, usare Transparent Data Encryption (TDE) offerto dal provider DBMS per proteggere i file di dati e di log e assicurarsi che anche i backup siano crittografati.
Proteggere i dati in transito
I dati sono in transito o in volo quando si spostano da una posizione a un'altra, sia internamente in sede che all'interno di Azure o esternamente, come attraverso Internet all'utente finale. Azure offre diversi meccanismi per mantenere privati i dati in transito. Tutti i meccanismi possono usare metodi di protezione come la crittografia. ad esempio:
- Comunicazione tramite reti private virtuali (VPN), tramite la crittografia IPsec/IKE
- Transport Layer Security (TLS) 1.2 o versione successiva tramite componenti di Azure come Azure Application Gateway o Azure Front Door
- Protocolli disponibili nelle macchine virtuali di Azure, ad esempio Windows IPsec o SMB
La crittografia con MACsec, uno standard IEEE a livello di collegamento dati, viene abilitata automaticamente per tutto il traffico di Azure tra i data center di Azure. Questa crittografia garantisce la riservatezza e l'integrità dei dati dei clienti. Per altre informazioni, vedere Protezione dei dati dei clienti di Azure.
Gestire chiavi e segreti
Per controllare e gestire chiavi e segreti di crittografia del disco per sistemi operativi Windows non HANA e non Windows, usare Azure Key Vault. Key Vault offre funzionalità per il provisioning e la gestione dei certificati SSL/TLS. È anche possibile proteggere i segreti con moduli di protezione hardware.You can also protect secrets with hardware security modules (HSMs). SAP HANA non è supportato con Azure Key Vault, quindi è necessario usare metodi alternativi come le chiavi SAP ABAP o SSH.
Proteggere le applicazioni Web e per dispositivi mobili
Per le applicazioni con connessione Internet come SAP Fiori, assicurarsi di distribuire il carico per ogni requisito dell'applicazione mantenendo i livelli di sicurezza. Per la sicurezza di livello 7, è possibile usare un web application firewall (WAF) di terze parti disponibile in Azure Marketplace.
Per le app per dispositivi mobili, Microsoft Enterprise Mobility + Security può integrare applicazioni con connessione Internet SAP in quanto consente di proteggere e proteggere l'organizzazione e consente ai dipendenti di lavorare in modi nuovi e flessibili.
Gestire in modo sicuro il traffico
Per le applicazioni con connessione Internet, è necessario assicurarsi di distribuire il carico per ogni requisito dell'applicazione mantenendo i livelli di sicurezza. Il bilanciamento del carico è la distribuzione dei carichi di lavoro tra più risorse di calcolo. Il bilanciamento del carico mira a ottimizzare l'uso delle risorse, aumentare la velocità effettiva, ridurre al minimo i tempi di risposta ed evitare di sovraccaricare singole risorse. Il bilanciamento del carico può anche migliorare la disponibilità condividendo un carico di lavoro tra risorse di calcolo ridondanti.
I servizi di bilanciamento del carico indirizzano il traffico alle macchine virtuali nella subnet dell'applicazione. Per la disponibilità elevata, questo esempio usa SAP Web Dispatcher e Azure Load Balancer Standard. Questi due servizi supportano anche l'estensione della capacità effettuando lo scaling orizzontale. È anche possibile usare Azure Application Gateway o altri prodotti partner, a seconda del tipo di traffico e delle funzionalità necessarie, ad esempio l'inoltro e la terminazione SSL (Secure Sockets Layer).
È possibile classificare i servizi di bilanciamento del carico di Azure in base alle dimensioni globali e HTTP/S rispetto alle dimensioni non HTTP/S.
I servizi di bilanciamento del carico globale distribuiscono il traffico tra back-end a livello di area, cloud o servizi locali ibridi. Questi servizi instradano il traffico dell'utente finale al back-end disponibile più vicino. Questi servizi ottimizzano anche la disponibilità e le prestazioni reagendo alle modifiche apportate all'affidabilità o alle prestazioni del servizio. È possibile considerare questi servizi come sistemi che bilanciano il carico tra istanze dell'applicazione, endpoint o unità di scalabilità ospitate in diverse aree geografiche.
I servizi di bilanciamento del carico regionale distribuiscono il traffico all'interno di reti virtuali tra macchine virtuali o endpoint di servizio zonali e con ridondanza di zona all'interno di una regione. È possibile considerare questi servizi come sistemi che bilanciano il carico tra macchine virtuali, contenitori o cluster all'interno di un'area in una rete virtuale.
I servizi di bilanciamento del carico HTTP/S sono servizi di bilanciamento del carico di livello 7 che accettano solo il traffico HTTP/S e sono destinati ad applicazioni Web o altri endpoint HTTP/S. I servizi di bilanciamento del carico HTTP/S includono funzionalità come offload SSL, WAF, bilanciamento del carico basato sul percorso e affinità di sessione.
I servizi di bilanciamento del carico non HTTP/S che possono gestire il traffico non HTTP/S sono consigliati per carichi di lavoro non Web.
La tabella seguente riepiloga i servizi di bilanciamento del carico di Azure per categoria:
| Servizio | Globale o regionale | Traffico consigliato |
|---|---|---|
| Frontdoor di Azure | Generale | HTTP/S |
| Gestore del traffico | Generale | Non HTTP/S |
| Gateway delle applicazioni | Regionale | HTTP/S |
| Bilanciatore di carico Azure | Regionale | Non HTTP/S |
Frontdoor è una rete di distribuzione di applicazioni che fornisce il servizio globale di bilanciamento del carico e accelerazione del sito per le applicazioni Web. Frontdoor offre funzionalità di livello 7 come l'offload SSL, il routing basato sul percorso, il failover rapido e la memorizzazione nella cache per migliorare le prestazioni e la disponibilità delle applicazioni.
Gestione traffico è un servizio di bilanciamento del carico del traffico basato su DNS che consente di distribuire il traffico in modo ottimale ai servizi tra aree di Azure globali, offrendo al tempo stesso disponibilità elevata e velocità di risposta. Poiché Traffic Manager è un servizio di bilanciamento del carico basato su DNS, effettua il bilanciamento del carico solo a livello di dominio. Per questo motivo, non può eseguire il failover altrettanto rapidamente di Frontdoor, a causa di problemi comuni relativi alla memorizzazione nella cache DNS e ai sistemi che non rispettano il TTL DNS.
Il gateway delle applicazioni fornisce un controller di distribuzione di applicazioni gestito che offre varie funzionalità di bilanciamento del carico a livello 7. È possibile usare Application Gateway per ottimizzare la produttività della web-farm eseguendo l'offloading della terminazione SSL ad alto utilizzo di CPU al gateway.
Azure Load Balancer è un servizio di bilanciamento del carico in ingresso e in uscita di livello 4 a prestazioni elevate e a bassa latenza per tutti i protocolli UDP e TCP. Load Balancer gestisce milioni di richieste al secondo. Il bilanciatore di carico è ridondante a livello di zona, garantendo un'elevata disponibilità tra le zone di disponibilità.
Fare riferimento all'albero delle decisioni seguente per prendere decisioni relative al bilanciamento del carico delle applicazioni SAP in Azure:
Ogni applicazione SAP ha requisiti univoci, quindi considerare il grafico di flusso e la raccomandazione precedenti come punti di partenza per una valutazione più dettagliata. Se l'applicazione SAP è costituita da più carichi di lavoro, valutare ogni carico di lavoro separatamente. Una soluzione completa può includere due o più soluzioni di bilanciamento del carico.
Monitorare la sicurezza
Monitoraggio di Azure per soluzioni SAP è un prodotto di monitoraggio nativo di Azure per scenari SAP che funziona sia con SAP in macchine virtuali di Azure che con istanze Large di HANA. Con Monitoraggio di Azure per soluzioni SAP è possibile raccogliere dati di telemetria dall'infrastruttura e dai database di Azure in una posizione centrale e correlare visivamente i dati di telemetria per una risoluzione dei problemi più rapida.
Decisioni di definizione dell'ambito di sicurezza
I consigli seguenti sono relativi a vari scenari di sicurezza. I requisiti relativi alla soluzione di sicurezza devono essere economici e scalabili.
| Ambito (scenario) | Raccomandazione | Note |
|---|---|---|
| Vedere una visualizzazione consolidata della posizione di sicurezza di Azure e in sede. | Microsoft Defender per il Cloud Standard | Microsoft Defender for Cloud Standard consente di eseguire l'onboarding di computer Windows e Linux da locale e cloud e di visualizzare un comportamento di sicurezza consolidato. |
| Crittografare tutti i database SAP in Azure per soddisfare i requisiti normativi. | Crittografia nativa di SAP HANA e TDE SQL | Per i database, usare la tecnologia di crittografia nativa SAP HANA. Se si usa il database SQL, abilitare TDE. |
| Proteggere un'applicazione SAP Fiori per gli utenti globali con traffico HTTPS. | Frontdoor di Azure | Frontdoor è una rete di distribuzione di applicazioni che fornisce un servizio di bilanciamento del carico globale e accelerazione del sito per le applicazioni Web. |
Raccomandazioni per la progettazione della conformità e della governance
Azure Advisor è gratuito e consente di ottenere una visualizzazione consolidata in SAP nelle sottoscrizioni di Azure. Consultare le raccomandazioni di Azure Advisor per la progettazione dell'affidabilità, della resilienza, della sicurezza, delle prestazioni, dei costi e dell'eccellenza operativa.
Usare Criteri di Azure
Azure Policy consente di far rispettare gli standard organizzativi e valutare la conformità su larga scala tramite la dashboard di compliance. Azure Policy offre una visualizzazione aggregata per valutare lo stato complessivo dell'ambiente, con la possibilità di eseguire un'analisi dettagliata per raggiungere la granularità per singola risorsa e policy.
Azure Policy aiuta anche a ottenere la conformità delle risorse tramite la remediazione in blocco per le risorse esistenti e la remediazione automatica per le nuove risorse. I criteri di Azure di esempio applicano percorsi consentiti al gruppo di gestione, richiedendo un tag e il relativo valore per le risorse, creando una macchina virtuale usando un disco gestito o criteri di denominazione.
Gestire i costi di SAP in Azure
La gestione dei costi è molto importante. Microsoft offre diversi modi per ottimizzare i costi, ad esempio prenotazioni, ridimensionamento corretto e snoozing. È importante comprendere e impostare avvisi per i limiti di spesa dei costi. È possibile estendere questo monitoraggio per l'integrazione con la soluzione di gestione complessiva dei servizi IT (ITSM).
Automatizzare le distribuzioni SAP
Risparmiare tempo e ridurre gli errori automatizzando le distribuzioni SAP. La distribuzione di scenari SAP complessi in un cloud pubblico non è un'attività semplice. I team di base sap potrebbero avere familiarità con le attività tradizionali di installazione e configurazione di sistemi SAP locali. La progettazione, la compilazione e il test delle distribuzioni cloud richiedono spesso informazioni aggiuntive sul dominio. Per altre informazioni, vedere Automazione della piattaforma sap su scala aziendale e DevOps.
Bloccare le risorse per i carichi di lavoro di produzione
Creare le risorse di Azure necessarie all'inizio del progetto SAP. Una volta completate tutte le aggiunte, gli spostamenti e le modifiche e quando la distribuzione di SAP in Azure è operativa, bloccare tutte le risorse. Solo un amministratore con privilegi avanzati può quindi sbloccare e consentire la modifica di una risorsa, ad esempio una macchina virtuale. Per altre informazioni, vedere Bloccare le risorse per impedire modifiche impreviste.
Implementare il controllo degli accessi in base al ruolo
Personalizzare i ruoli di controllo degli accessi in base al ruolo per le sottoscrizioni SAP in Azure spoke per evitare modifiche accidentali correlate alla rete. È possibile consentire ai membri del team dell'infrastruttura di SAP su Azure di distribuire le macchine virtuali in una rete virtuale di Azure e impedire loro di apportare modifiche alla rete virtuale connessa alla sottoscrizione dell'hub tramite peering. D'altra parte, è possibile consentire ai membri del team di rete di creare e configurare reti virtuali, ma impedire loro di distribuire o configurare macchine virtuali nelle reti virtuali in cui sono in esecuzione le applicazioni SAP.
Usare Azure Connector per SAP LaMa
All'interno di un ambiente SAP tipico, vengono spesso distribuiti diversi scenari applicativi, ad esempio ERP, SCM e BW, ed è in corso la necessità di eseguire copie di sistema SAP e aggiornamenti del sistema SAP. Esempi sono la creazione di nuovi progetti SAP per le versioni tecniche o dell'applicazione o l'aggiornamento periodico dei sistemi di controllo di qualità dalle copie di produzione. Il processo end-to-end per le copie e gli aggiornamenti del sistema SAP può essere sia lungo che richiedere molto lavoro.
SAP Landscape Management (LaMa) Enterprise Edition può supportare l'efficienza operativa automatizzando diversi passaggi necessari per la copia o l'aggiornamento del sistema SAP. Azure Connector per LaMa consente la copia, l'eliminazione e la rilocazione di dischi gestiti da Azure per consentire al team operativo SAP di eseguire rapidamente copie di sistema e aggiornamenti del sistema SAP, riducendo le attività manuali.
Per le operazioni sulle macchine virtuali, Il connettore di Azure per LaMa può ridurre i costi di esecuzione per l'ambiente SAP in Azure. È possibile arrestare o deallocare e avviare le macchine virtuali SAP, che consentono di eseguire determinati carichi di lavoro con un profilo di utilizzo ridotto. Ad esempio, tramite l'interfaccia LaMa è possibile pianificare la macchina virtuale sandbox SAP S/4HANA in modo che sia online dalle 08:00 alle 18:00, 10 ore al giorno, invece di eseguire 24 ore. Il connettore di Azure per LaMa consente anche di ridimensionare le macchine virtuali quando si verificano richieste di prestazioni direttamente da LaMa.
Decisioni di definizione dell'ambito di conformità e governance
Per vari scenari di conformità e governance sono disponibili le raccomandazioni seguenti. I requisiti nella sfera richiedono che la soluzione sia conveniente e scalabile.
| Ambito (scenario) | Raccomandazione | Note |
|---|---|---|
| Configurare un modello di governance per le convenzioni di denominazione standard ed estrarre i report in base al centro di costo. | Criteri di Azure e tag di Azure | Usare insieme i Criteri di Azure e l'etichettatura per soddisfare i requisiti. |
| Evitare l'eliminazione accidentale delle risorse di Azure. | Blocchi per le risorse di Azure | I blocchi delle risorse di Azure impediscono l'eliminazione accidentale delle risorse. |
| Ottenere una visualizzazione consolidata delle aree opportunità per l'ottimizzazione dei costi, la resilienza, la sicurezza, l'eccellenza operativa e le prestazioni per SAP nelle risorse di Azure | Azure Advisor | Azure Advisor è gratuito e consente di ottenere una visualizzazione consolidata in SAP nelle sottoscrizioni di Azure. |
Passaggi successivi
- Introduzione alla sicurezza di Azure
- GUIDA all'architettura di SAP in Azure
- Carichi di lavoro SAP in Azure: elenco di controllo per la pianificazione e la distribuzione
- Procedure consigliate per la migrazione di applicazioni SAP ad Azure, parte 1
- SAP in Azure: progettazione per efficienza e operazioni
- Guida alla pianificazione e all'implementazione di Macchine virtuali di Azure per SAP NetWeaver
- Configurare Microsoft Defender per Endpoint su Windows Server con SAP
- Linee guida per la distribuzione per Microsoft Defender per endpoint in Linux per SAP