SAP 워크로드 보안
Azure는 SAP 워크로드를 보호하는 데 필요한 모든 도구를 제공합니다. SAP 애플리케이션은 organization 대한 중요한 데이터를 포함할 수 있습니다. 보안 인증 방법, 강화된 네트워킹 및 암호화를 사용하여 SAP 아키텍처를 보호해야 합니다.
ID 관리 구성
영향: 보안
ID 관리는 중요한 리소스에 대한 액세스를 제어하는 정책을 적용하는 프레임워크입니다. ID 관리 컨트롤은 가상 네트워크 내부 또는 외부의 SAP 워크로드에 액세스합니다. SAP 워크로드에 대해 고려해야 할 세 가지 ID 관리 사용 사례가 있으며 ID 관리 솔루션은 각각 다릅니다.
Microsoft Entra ID 사용
조직은 완전 관리 ID 및 액세스 관리 서비스인 Microsoft Entra ID 통합하여 Azure에서 Windows 및 Linux 가상 머신의 보안을 향상시킬 수 있습니다. Microsoft Entra ID SAP 운영 체제에 대한 최종 사용자의 액세스를 인증하고 권한을 부여할 수 있습니다. Microsoft Entra ID 사용하여 Azure에 있는 도메인을 만들거나 온-프레미스 Active Directory ID와 통합하는 데 사용할 수 있습니다. 또한 Microsoft Entra ID Microsoft 365, Dynamics CRM Online 및 파트너의 많은 SaaS(Software-as-a-Service) 애플리케이션과 통합됩니다. ID 전파를 위해 SCIM(도메인 간 ID 관리)에 시스템을 사용하는 것이 좋습니다. 이 패턴을 사용하면 최적의 사용자 수명 주기가 가능합니다.
자세한 내용은 다음을 참조하세요.
- Microsoft Entra ID와 SCIM 동기화
- 자동 사용자 프로비저닝을 위한 SAP Cloud Platform Identity Authentication 구성
- SAP NetWeaver와 SSO(Single Sign-On) 통합 Microsoft Entra
- Microsoft Entra ID 및 OpenSSH를 사용하여 Azure에서 Linux 가상 머신에 로그인
- Microsoft Entra ID 사용하여 Azure에서 Windows 가상 머신에 로그인합니다.
Single Sign-On 구성
SAP 프런트 엔드 소프트웨어(SAP GUI) 또는 HTTP/S가 있는 브라우저를 사용하여 SAP 애플리케이션에 액세스할 수 있습니다. Microsoft Entra ID 또는 AD FS(Active Directory Federation Services)를 사용하여 SSO(Single Sign-On)를 구성하는 것이 좋습니다. SSO를 사용하면 최종 사용자가 가능한 경우 브라우저를 통해 SAP 애플리케이션에 연결할 수 있습니다.
자세한 내용은 다음을 참조하세요.
- SAP HANA SSO
- SAP NetWeaver SSO
- SAP Fiori SSO
- SAP Cloud Platform SSO
- SuccessFactors SSO
- Microsoft Entra 개요
애플리케이션별 지침 사용
SAP Analytics Cloud, SuccessFactors 및 SAP Business Technology Platform에 대한 SAP ID 인증 서비스를 참조하는 것이 좋습니다. Microsoft Entra ID 및 SAP ID 인증 서비스를 사용하여 SAP Business Technology Platform의 서비스를 Microsoft Graph와 통합할 수도 있습니다.
자세한 내용은 다음을 참조하세요.
일반적인 고객 시나리오는 MICROSOFT Teams에 SAP 애플리케이션을 배포하는 것입니다. 이 솔루션에는 Microsoft Entra ID SSO가 필요합니다. Microsoft 상업용 마켓플레이스를 탐색하여 Microsoft Teams에서 사용할 수 있는 SAP 앱을 확인하는 것이 좋습니다. 자세한 내용은 Microsoft 상업용 Marketplace를 참조하세요.
표 1 - 권장되는 SSO 메서드 요약
| SAP 솔루션 | SSO 메서드 |
|---|---|
| Fiori, WebGui와 같은 SAP NetWeaver 기반 웹 애플리케이션 | SAML(Security Assertion Markup Language ) |
| SAP GUI | Windows Active Directory 또는 Microsoft Entra Domain Services 또는 타사 솔루션이 있는 Kerberos |
| SAP PaaS 및 SaaS 애플리케이션(예: SAP BUSINESS Technology Platform(BTP), Analytics Cloud, Cloud Identity Services, SuccessFactors, Cloud for Customer, Ariba | SAML/OAuth/JSON JWT(웹 토큰) 및 SAP ID 인증 서비스와 직접 또는 프록시로 Microsoft Entra ID 미리 구성된 인증 흐름 |
RBAC(역할 기반 액세스 제어) 사용
영향: 보안
배포하는 SAP 워크로드 리소스에 대한 액세스를 제어하는 것이 중요합니다. 모든 Azure 구독은 Microsoft Entra 테넌트와 트러스트 관계를 맺습니다. Azure RBAC(Azure 역할 기반 액세스 제어)를 사용하여 ORGANIZATION 내의 사용자에게 SAP 애플리케이션에 대한 액세스 권한을 부여하는 것이 좋습니다. 특정 범위에서 사용자 또는 그룹에 Azure 역할을 할당하여 액세스를 부여합니다. 범위는 구독, 리소스 그룹 또는 단일 리소스일 수 있습니다. scope 사용자 및 SAP 워크로드 리소스를 그룹화한 방법에 따라 달라집니다.
자세한 내용은 다음을 참조하세요.
네트워크 및 애플리케이션 보안 적용
네트워크 및 애플리케이션 보안 제어는 모든 SAP 워크로드에 대한 기본 보안 조치입니다. SAP 네트워크 및 애플리케이션에 엄격한 보안 검토 및 기준 제어가 필요하다는 생각을 적용하는 것이 중요합니다.
허브-스포크 아키텍처를 사용합니다. 공유 서비스와 SAP 애플리케이션 서비스를 구분하는 것이 중요합니다. 허브-스포크 아키텍처는 보안에 대한 좋은 접근 방식입니다. 관리 서비스 및 DNS와 같은 허브의 공유 서비스와 별도로 워크로드별 리소스를 자체 가상 네트워크에 유지해야 합니다.
SAP 네이티브 설정의 경우 허브-스포크 설정의 일부로 Azure용 SAP Cloud Connector 및 SAP Private Link 사용해야 합니다. 이러한 기술은 SAP BTP(비즈니스 기술 플랫폼)에 대한 SAP 확장 및 혁신 아키텍처를 지원합니다. Azure 네이티브 통합은 Azure 가상 네트워크 및 API와 완전히 통합되며 이러한 구성 요소가 필요하지 않습니다.
네트워크 보안 그룹을 사용합니다. NSG(네트워크 보안 그룹)를 사용하면 SAP 워크로드에서 네트워크 트래픽을 필터링할 수 있습니다. SAP 애플리케이션에 대한 액세스를 허용하거나 거부하는 NSG 규칙을 정의할 수 있습니다. 온-프레미스 IP 주소 범위에서 SAP 애플리케이션 포트에 대한 액세스를 허용하고 공용 인터넷 액세스를 거부할 수 있습니다. 자세한 내용은 네트워크 보안 그룹을 참조하세요.
애플리케이션 보안 그룹을 사용합니다. 일반적으로 애플리케이션 개발에 대한 보안 모범 사례는 클라우드에도 적용됩니다. 여기에는 사이트 간 요청 위조로부터 보호, XSS(교차 사이트 스크립팅) 공격 저지 및 SQL 삽입 공격 방지와 같은 항목이 포함됩니다.
ASG(애플리케이션 보안 그룹)를 사용하면 워크로드의 네트워크 보안을 더 쉽게 구성할 수 있습니다. ASG는 VM에 대한 명시적 IP 대신 보안 규칙에서 사용할 수 있습니다. 그런 다음, VM이 ASG에 할당됩니다. 이 구성은 이 추상화 계층으로 인해 다른 애플리케이션 환경에 대해 동일한 정책의 재사용을 지원합니다. 종종 클라우드 애플리케이션은 액세스 키가 있는 관리되는 서비스를 사용합니다. 액세스 키를 소스 제어에 검사 않습니다. 대신 Azure Key Vault 애플리케이션 비밀을 저장합니다. 자세한 내용은 애플리케이션 보안 그룹을 참조하세요.
웹 트래픽을 필터링합니다. 엔드포인트 간 분리를 만들려면 Azure Firewall, Web Application Firewall, Application Gateway 같은 서비스를 사용하여 인터넷 연결 워크로드를 보호해야 합니다. 자세한 내용은 Azure의 SAP에 대한 인바운드 및 아웃바운드 인터넷 연결을 참조하세요.
데이터 암호화
영향: 보안
Azure에는 organization 보안 및 규정 준수 요구 사항에 따라 데이터를 보호하는 도구가 포함되어 있습니다. 미사용 및 전송 중인 SAP 워크로드 데이터를 암호화해야 합니다.
저장 데이터 암호화
미사용 데이터를 암호화하는 것은 일반적인 보안 요구 사항입니다. Azure Storage 서비스 쪽 암호화는 기본적으로 모든 관리 디스크, 스냅샷 및 이미지에 대해 사용하도록 설정됩니다. 서비스 쪽 암호화는 기본적으로 서비스 관리형 키를 사용하며 이러한 키는 애플리케이션에 투명합니다.
CMK(고객 관리형 키)를 사용하여 SSE(서비스/서버 쪽 암호화)를 검토하고 이해하는 것이 좋습니다. 서버 쪽 암호화와 고객 관리형 키를 조합하여 사용 가능한 SAP OS 조합에 대한 운영 체제(OS) 및 데이터 디스크의 미사용 데이터를 암호화할 수 있습니다. Azure Disk Encryption은 모든 SAP 운영 체제를 지원하지 않습니다. 운영 체제의 무결성을 보장하기 위해 고객 관리형 키를 Key Vault 저장해야 합니다. SAP 데이터베이스를 암호화하는 것도 좋습니다. Azure Key Vault DBMS(데이터베이스 관리 시스템) 및 기타 스토리지 요구 사항의 SQL Server 데이터베이스 암호화를 지원합니다. 다음 이미지는 암호화 프로세스를 보여줍니다.
클라이언트 쪽 암호화를 사용하는 경우 데이터를 암호화하고 데이터를 암호화된 Blob으로 업로드합니다. 키 관리는 고객이 수행합니다. 자세한 내용은 다음을 참조하세요.
전송 중인 데이터 암호화
전송 중인 암호화는 한 위치에서 다른 위치로 이동하는 데이터의 상태에 적용됩니다. 전송 중인 데이터는 연결의 특성에 따라 여러 가지 방법으로 암호화할 수 있습니다. 자세한 내용은 전송 중인 데이터 암호화를 참조하세요.
SAP 애플리케이션 로그 수집 및 분석
애플리케이션 로그 모니터링은 애플리케이션 수준에서 보안 위협을 검색하는 데 필수적입니다. SAP용 Microsoft Sentinel 솔루션을 사용하는 것이 좋습니다. VM에서 실행되는 SAP 워크로드용으로 빌드된 클라우드 네이티브 SIEM(보안 정보 및 이벤트 관리) 솔루션입니다. 자세한 내용은 SAP용 Microsoft Sentinel Solution을 참조하세요.
일반적인 보안 정보는 다음을 참조하세요.
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기