SAP HANA on Azure (Large Instances) のセキュリティに関する考慮事項を調べる
転送中のデータの暗号化
HANA Large Instance と VM の間で転送されるデータは暗号化されません。 別の方法として、HANA DBMS と JDBC/ODBC ベースのアプリケーションの間で、アプリケーション レベルの暗号化を有効にできます。
保存データの暗号化
HANA Large Instance に使用されるストレージでは、ディスクに格納されるデータを透過的に暗号化できます。 HANA L インスタンス ユニットのデプロイ時に、この種の暗号化を有効にすることができます。 また、デプロイの実行後に暗号化されたボリュームを変更することもできます。 暗号化されていないボリュームから暗号化されたボリュームへの移行は透過的に行われ、ダウンタイムは発生しません。
Type I クラスの SKU では、ブート LUN が格納されているボリュームが暗号化されます。 HANA L インスタンスの Type II クラスの SKU の場合、OS 方式でブート LUN を暗号化する必要があります。
- 既定では、保存データには Transparent Data Encryption (TDE) に基づくストレージ暗号化が HANA Large Instances によって使用されます。
- HANA Large Instances と仮想マシンの間での転送時には、データは暗号化されません。 データ転送を暗号化するには、アプリケーション固有の暗号化を有効にします。 SAP Note #2159014 をご覧ください。
- 分離により、HANA Large Instances のマルチテナント環境におけるテナント間のセキュリティが確保されます。 テナントは独自の VLAN を使用して分離されています。
- 「Azure のネットワーク セキュリティに関するベスト プラクティス」は便利なガイダンスです。
- すべてのデプロイと同様、オペレーティング システムを強化することをお勧めします。
- 物理的なセキュリティを確保するために、Azure データセンターへのアクセスは、承認されているユーザーのみに制限します。 お客様が物理サーバーにアクセスすることはできません。