Azure의 SAP에 대한 거버넌스 분야
SAP는 오늘날 많은 조직에서 가장 중요한 워크로드에 사용하는 공통 기술입니다. SAP 아키텍처를 계획할 때는 아키텍처가 강력하고 안전한지 확인하는 데 특별한 주의를 기울여야 합니다. 이 문서의 목표는 엔터프라이즈급 Azure의 SAP에 대한 보안, 규정 준수 및 거버넌스 디자인 조건을 문서화하는 것입니다. 이 문서에서는 Azure에서 SAP 플랫폼 배포와 관련된 설계 권장 사항, 모범 사례 및 설계 고려 사항에 대해 설명합니다. 엔터프라이즈 솔루션의 거버넌스를 완전히 준비하려면 보안 거버넌스 및 규정 준수를 위한 Azure 랜딩 존 디자인 영역의 지침을 검토하는 것이 중요합니다.
클라우드 솔루션은 처음에 상대적으로 격리된 단일 애플리케이션을 호스팅했습니다. 클라우드 솔루션의 이점이 명확해짐에 따라 클라우드에서 Azure의 SAP와 같은 여러 대규모 워크로드를 호스트했습니다. 하나 이상의 지역에서 배포의 보안, 안정성, 성능 및 비용 문제를 해결하는 것은 클라우드 서비스의 수명 주기 전반에 걸쳐 매우 중요해졌습니다.
Azure의 SAP 엔터프라이즈급 랜딩 존 보안, 규정 준수 및 거버넌스에 대한 비전은 위험을 방지하고 효과적인 의사 결정을 내릴 수 있는 도구와 프로세스를 조직에 제공하는 것입니다. 엔터프라이즈급 랜딩 존은 보안 거버넌스 및 규정 준수 역할 및 책임을 정의하므로 모든 사람이 필요한 것을 알 수 있습니다.
공동 책임 모델
공용 클라우드 서비스를 평가할 때에는 클라우드 공급자와 고객이 어떤 작업을 처리하는지 이해하는 것이 중요합니다. 공동 책임 모델에서 클라우드 공급자와 해당 고객 간의 책임 분할은 워크로드의 클라우드 호스팅 모델인 SaaS(Software as a Service), PaaS(Platform as a Service) 또는 IaaS(서비스 제공 인프라)에 따라 달라집니다. 고객은 클라우드 배포 모델에 관계없이 항상 데이터, 엔드포인트, 계정 및 액세스 관리를 담당합니다.
다음 다이어그램에서는 Microsoft의 클라우드 공동 책임 모델에서 책임 영역 간의 작업 분할을 보여 줍니다.
공동 책임 모델에 대한 자세한 내용은 클라우드의 공동 책임을 참조하세요.
보안 설계 권장 사항
보안은 Microsoft와 고객 간의 공동 책임입니다. 자체 VM(가상 머신) 및 데이터베이스 이미지를 Azure에 업로드하거나 Azure Marketplace의 이미지를 사용할 수 있습니다. 그러나 이러한 이미지에는 애플리케이션 및 조직 요구 사항을 충족하는 보안 컨트롤이 필요합니다. 고객별 보안 컨트롤을 운영 체제, 데이터 및 SAP 응용 프로그램 계층에 적용해야 합니다.
일반적으로 인정되는 보안 지침은 CIS(Center for Internet Security)의 사이버 보안 모범 사례를 참조하세요.
Azure 랜딩 존에는 네트워크 경계 및 트래픽 흐름을 보호하기 위한 제로 트러스트 기반 네트워크 보안과 관련된 특정 지침이 있습니다. 자세한 내용은 Azure의 네트워크 보안 전략을 참조하세요.
클라우드용 Microsoft Defender 사용
허브 스포크 네트워크 토폴로지를 사용하는 회사는 여러 Azure 구독에 클라우드 아키텍처 패턴을 배포하는 경우가 많습니다. 다음 클라우드 배포 다이어그램에서 빨간색 상자는 보안 격차를 강조 표시합니다. 노란색 상자는 워크로드 및 구독에 네트워크 가상 어플라이언스를 최적화할 수 있는 기회를 보여줍니다.
클라우드용 Microsoft Defender에서는 위협 방지 기능을 제공하며 전체 엔터프라이즈 보안 태세를 전체적으로 볼 수 있습니다.
다음을 수행하여 Azure의 SAP용 표준 클라우드용 Microsoft Defender 구독을 사용하도록 설정합니다.
데이터 센터의 보안 태세를 강화하고 Azure 및 기타 클라우드에 온-프레미스 및 하이브리드 워크로드에 대한 고급 위협 방지를 제공합니다.
Azure의 SAP 구독에서 전체 보안 태세를 확인하고 SAP VM, 디스크 및 애플리케이션에서 리소스 보안 예방 조치를 확인하세요.
JUST-In-Time 액세스를 사용하여 SAP 관리자 사용자 지정 역할을 위임합니다.
SAP용 표준 클라우드용 Microsoft Defender를 사용하도록 설정하는 경우 엔드포인트 보호를 설치하는 정책에서 SAP 데이터베이스 서버를 제외해야 합니다.
다음 스크린샷은 Azure Portal의 워크로드 보호 대시보드를 보여줍니다.
Microsoft Sentinel 사용
Microsoft Sentinel은 확장성 있는 클라우드 네이티브 SIEM(보안 정보 이벤트 관리) 및 SOAR(보안 오케스트레이션 자동화된 응답) 솔루션입니다. Microsoft Sentinel은 엔터프라이즈 전반에 인텔리전트 보안 분석 및 위협 인텔리전스를 제공하며, 경고 검색, 위협 가시성, 사전 예방적 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다.
보안 인증
SSO(Single Sign-On)는 SAP와 Microsoft 제품을 통합하기 위한 기반입니다. 타사 보안 제품과 결합된 Active Directory의 Kerberos 토큰은 수년간 SAP GUI와 웹 브라우저 기반 애플리케이션 모두에 대해 이 기능을 활성화했습니다. 사용자가 워크스테이션에 로그인하고 성공적으로 인증되면 Active Directory에서 Kerberos 토큰을 발급합니다. 그러면 타사 보안 제품이 Kerberos 토큰을 사용하여 사용자가 다시 인증하지 않아도 SAP 애플리케이션에 대한 인증을 처리합니다.
또한 타사 보안 제품을 DIAG(SAP GUI)용 SNC(보안된 네트워크 통신), RFC 및 HTTPS용 SPNEGO와 통합하여 사용자의 프런트 엔드에서 SAP 애플리케이션으로 전송 중인 데이터를 암호화할 수 있습니다.
SAML 2.0을 사용하는 Microsoft Entra ID는 SAP NetWeaver, SAP HANA 및 SAP Cloud Platform과 같은 다양한 SAP 애플리케이션 및 플랫폼에 SSO를 제공할 수도 있습니다.
운영 체제 강화
SAP 데이터베이스에 대한 공격으로 이어질 수 있는 취약성을 근절하도록 운영 체제를 강화해야 합니다.
다음의 몇 가지 추가 검사를 통해 안전한 베이스 설치를 확인합니다.
- 시스템 파일 무결성을 정기적으로 확인합니다.
- 운영 체제에 대한 액세스를 제한합니다.
- 서버에 대한 물리적 액세스를 제한합니다.
- 네트워크 수준에서 서버에 대한 액세스를 보호합니다.
가상 네트워크 격리
네트워크 서비스 및 프로토콜에 대한 액세스를 격리하고 제한합니다. 보다 엄격한 컨트롤을 위해 다음과 같은 여러 Azure 보안 메커니즘을 사용하여 권장되는 허브 및 스포크 네트워크 아키텍처를 보호할 수 있습니다.
모든 트래픽을 가상 네트워크 피어링을 통해 스포크 네트워크에 연결된 허브 가상 네트워크를 통해 전달하는 방식으로 SAP 애플리케이션 및 데이터베이스 서버를 인터넷 또는 온-프레미스 네트워크에서 격리합니다. 피어링된 가상 네트워크는 Azure 솔루션의 SAP가 공용 인터넷에서 격리되도록 보장합니다.
Azure Monitor, Azure NSG(네트워크 보안 그룹) 또는 애플리케이션 보안 그룹을 사용하여 트래픽을 모니터링하고 필터링합니다.
Azure Firewall 또는 시장에서 사용할 수 있는 NVA(네트워크 가상 어플라이언스)를 사용합니다.
고급 네트워크 보안 조치를 위해 네트워크 DMZ를 구현합니다. 자세한 내용은 Azure와 온-프레미스 데이터 센터 간에 DMZ 구현을 참조하세요.
나머지 SAP 자산에서 DMZ 및 NVA를 격리하고, Azure Private Link를 구성하고, Azure의 SAP 리소스를 안전하게 관리하고 컨트롤합니다.
다음 아키텍처 다이어그램은 NSG를 통해 Network Services 및 프로토콜을 격리 및 제한하여 Azure 가상 네트워크 토폴로지를 관리하는 방법을 보여줍니다. 네트워크 보안이 조직의 보안 정책 요구 사항을 준수하는지도 확인해야 합니다.
Azure의 SAP 네트워크 보안에 대한 자세한 내용은 Azure의 SAP 보안 작업을 참조하세요.
저장 데이터 암호화
미사용 데이터는 물리적 미디어의 영구적 저장소에 있는 모든 디지털 서식의 정보입니다. 미디어에는 자기 또는 광학 미디어의 파일, 보관된 데이터 및 데이터 백업이 포함될 수 있습니다. Azure는 파일, 디스크, Blob 및 테이블을 비롯한 다양한 데이터 스토리지 솔루션을 제공합니다. 일부 Azure Storage 미사용 데이터 암호화는 기본적으로 선택적 고객 구성을 사용하여 이루어집니다. 자세한 내용은 미사용 Azure 데이터 암호화 및 Azure 암호화 개요를 참조하세요.
Azure의 SAP VM에서 SSE(서버 쪽 암호화)는 데이터를 보호하고 조직의 보안 및 규정 준수 약속을 충족하는 데 도움이 됩니다. SSE는 클라우드에 데이터를 유지할 때 Azure 관리 OS 및 데이터 디스크의 미사용 데이터를 자동으로 암호화합니다. SSE는 사용 가능한 가장 강력한 블록 암호 중 하나인 256비트 AES 암호화를 사용하여 Azure 관리 디스크 데이터를 투명하게 암호화하고 FIPS 140-2를 준수합니다. SSE는 관리 디스크 성능에 영향을 주지 않으며 추가 비용이 없습니다. Azure 관리 디스크의 기반이 되는 암호화 모듈에 대한 자세한 정보는 암호화 API: 차세대를 참조하세요.
Azure Storage 암호화는 모든 Azure Resource Manager 및 클래식 스토리지 계정에 대해 사용하도록 설정되며, 사용하지 않도록 설정할 수는 없습니다. 데이터는 기본값으로 암호화되므로 Azure Storage 암호화를 사용하도록 코드 또는 애플리케이션을 수정할 필요가 없습니다.
SAP 데이터베이스 서버 암호화의 경우 SAP HANA 네이티브 암호화 기술을 사용합니다. Azure SQL 데이터베이스를 사용하는 경우 DBMS 공급자가 제공하는 TDE(투명한 데이터 암호화)를 사용하여 데이터 및 로그 파일을 보호하고 백업도 암호화되었는지 확인합니다.
전송 중인 데이터 보호
온-프레미스 또는 Azure 내에서 내부적으로 이동하거나 인터넷을 통해 최종 사용자로 외부 이동하거나 상관없이 한 위치에서 다른 위치로 이동하는 데이터는 전송 중이거나 진행 중입니다. Azure는 전송 중인 데이터를 비공개로 유지하는 몇 가지 메커니즘을 제공합니다. 모든 메커니즘은 암호화와 같은 보호 방법을 사용할 수 있습니다. 이러한 메커니즘에는 다음이 포함됩니다.
- IPsec/IKE 암호화를 사용하여 VPN(가상 사설망)을 통한 통신
- Azure Application Gateway 또는 Azure Front Door와 같은 Azure 구성 요소를 통한 TLS(전송 계층 보안) 1.2 이상
- Windows IPsec 또는 SMB와 같은 Azure VM에서 사용할 수 있는 프로토콜
데이터 링크 계층에서 IEEE 표준인 MACsec을 사용한 암호화는 Azure 데이터 센터 간의 모든 Azure 트래픽에 대해 자동으로 사용하도록 설정됩니다. 이 암호화는 고객 데이터 기밀성 및 무결성을 보장합니다. 자세한 내용은 Azure 고객 데이터 보호를 참조하세요.
키 및 비밀 관리
비 HANA Windows 및 비 Windows 운영 체제에 대한 디스크 암호화 키 및 비밀을 컨트롤하고 관리하려면 Azure Key Vault를 사용합니다. Key Vault에는 SSL/TLS 인증서를 프로비저닝하고 관리하는 기능이 있습니다. HSM(하드웨어 보안 모듈)을 사용하여 비밀을 보호할 수도 있습니다. SAP HANA는 Azure Key Vault에서 지원되지 않으므로 SAP ABAP 또는 SSH 키와 같은 대체 방법을 사용해야 합니다.
웹 및 모바일 애플리케이션 보호
SAP Fiori와 같은 인터넷 연결 애플리케이션의 경우 보안 수준을 유지하면서 애플리케이션 요구 사항별로 부하를 배포해야 합니다. 계층 7 보안의 경우 Azure Marketplace에서 제공되는 타사 WAF(웹 애플리케이션 방화벽)를 사용할 수 있습니다.
모바일 앱의 경우 Microsoft Enterprise Mobility + Security는 조직을 안전하게 보호하고, 직원이 새롭고 유연한 방식으로 작업할 수 있도록 지원하므로 SAP 인터넷 연결 애플리케이션을 통합할 수 있습니다.
트래픽을 안전하게 관리
인터넷 연결 애플리케이션의 경우 보안 수준을 유지하면서 애플리케이션 요구 사항별로 부하를 배포해야 합니다. 부하 분산은 여러 컴퓨팅 리소스에 워크로드를 분산하는 것입니다. 부하 분산은 리소스 사용량을 최적화하고, 처리량을 최대화하며, 응답 시간을 최소화하고, 단일 리소스의 오버로드를 방지하는 데 목표를 두고 있습니다. 부하 분산은 중복 컴퓨팅 리소스 간에 워크로드를 공유하여 가용성을 개선할 수도 있습니다.
부하 분산 장치는 애플리케이션 서브넷의 VM으로 트래픽을 전송합니다. 고가용성을 위해 이 예제에서는 SAP Web Dispatcher 및 Azure 표준 Load Balancer를 사용합니다. 이 두 서비스는 확장을 통한 용량 확장도 지원합니다. 트래픽 유형 및 SSL(Secure Sockets Layer) 종료 및 전달과 같은 필수 기능에 따라 Azure Application Gateway 또는 기타 파트너 제품을 사용할 수도 있습니다.
전역 대 지역 및 HTTP/S 대 비 HTTP/S 차원에 따라 Azure 부하 분산 서비스를 분류할 수 있습니다.
전역 부하 분산 서비스는 지역 백 엔드, 클라우드 또는 하이브리드 온-프레미스 서비스에 트래픽을 배포합니다. 이러한 서비스는 최종 사용자 트래픽을 가장 가깝고 사용 가능한 백 엔드로 라우팅합니다. 또한 이러한 서비스는 서비스 안정성이나 성능의 변화에 대응하여 가용성과 성능을 최대화합니다. 이러한 서비스는 애플리케이션 스탬프, 엔드포인트 또는 서로 다른 지역에서 호스트되는 확장 단위 간에 부하를 분산하는 시스템으로 생각할 수 있습니다.
지역 부하 분산 서비스는 VM 또는 지역 내의 영역 및 영역 중복 서비스 엔드포인트를 통해 가상 네트워크 내에서 트래픽을 배포합니다. 이러한 서비스는 가상 네트워크의 지역 내 VM, 컨테이너 또는 클러스터 간에 부하를 분산하는 시스템으로 생각할 수 있습니다.
HTTP/S 부하 분산 서비스는 HTTP/S 트래픽만 수락하는, 웹 애플리케이션 또는 기타 HTTP/S 엔드포인트용 계층 7 부하 분산 장치입니다. HTTP/S 부하 분산 서비스에는 SSL 오프로드, WAF, 경로 기반 부하 분산 및 세션 선호도와 같은 기능이 포함됩니다.
비 HTTP/S 트래픽을 처리할 수 있는 비 HTTP/S 부하 분산 서비스는 비 웹 워크로드에 권장됩니다.
다음 표에는 카테고리별 Azure 부하 분산 서비스가 요약되어 있습니다.
| 서비스 | 전역 또는 지역 | 권장 트래픽 |
|---|---|---|
| Azure Front Door | 전역 | HTTP/S |
| Traffic Manager | 전역 | 비 HTTP/S |
| Application Gateway | 지역 | HTTP/S |
| Azure Load Balancer | 지역 | 비 HTTP/S |
Front Door는 웹 애플리케이션을 위해 전역 부하 분산 및 사이트 가속 서비스를 제공하는 애플리케이션 배달 네트워크입니다. Front Door는 SSL 오프로드, 경로 기반 라우팅, 빠른 장애 조치(failover) 및 캐싱과 같은 계층 7 기능을 제공하여 애플리케이션의 성능과 가용성을 개선합니다.
Traffic 관리자는 고가용성과 응답성을 제공하는 동시에 전 세계 Azure 지역의 서비스에 트래픽을 최적으로 배포할 수 있는 DNS 기반 트래픽 부하 분산 장치입니다. Traffic 관리자는 DNS 기반 부하 분산 서비스이므로 도메인 수준에서만 부하를 분산합니다. 이러한 이유로, DNS 캐싱과 DNS TTL을 준수하지 않는 시스템에 대한 공통 문제가 있어 Front Door만큼 빠르게 장애 조치(failover)할 수 없습니다.
애플리케이션 게이트웨이는 다양한 계층 7 부하 분산 기능을 갖춘 관리되는 애플리케이션 배달 컨트롤러를 제공합니다. 애플리케이션 게이트웨이를 사용하면 CPU 집약적인 SSL 종료를 게이트웨이로 오프로드하여 웹 팜 생산성을 최적화할 수 있습니다.
Azure Load Balancer는 모든 UDP 및 TCP 프로토콜에 대한 고성능, 초저 대기 시간의 계층 4 인바운드 및 아웃바운드 부하 분산 서비스입니다. 부하 분산 장치는 초당 수백만 개의 요청을 처리합니다. 부하 분산 장치는 영역 중복이므로 가용성 영역 에서 고가용성을 보장합니다.
Azure의 SAP 애플리케이션 부하 분산에서 판단하려면 다음 의사 결정 트리를 참조하세요.
모든 SAP 애플리케이션에는 고유한 요구 사항이 있으므로 위의 흐름도 및 추천은 보다 자세한 평가를 위한 출발점으로 참고하세요. SAP 애플리케이션이 여러 워크로드로 구성된 경우 각 워크로드를 개별적으로 평가합니다. 완전한 솔루션은 둘 이상의 부하 분산 솔루션을 통합할 수 있습니다.
보안 모니터링
SAP 솔루션을 위한 Azure Monitor는 Azure의 SAP Virtual Machines 및 HANA(대규모 인스턴스)와 함께 작동하는 SAP 환경에 대한 Azure 네이티브 모니터링 제품입니다. SAP 솔루션을 위한 Azure Monitor를 사용하면 단일 중앙 위치에서 Azure 인프라 및 데이터베이스의 원격 분석 데이터를 수집하고, 빠른 문제 해결을 위해 원격 분석 데이터의 상관 관계를 시각적으로 지정할 수 있습니다.
보안 범위 지정 결정
다양한 보안 시나리오에 대한 추천은 다음과 같습니다. 범위 내 요구 사항은 보안 솔루션이 비용 효율적이고 확장성이 있어야 한다는 것입니다.
| 범위(시나리오) | 추천 | 주의 |
|---|---|---|
| 전체 Azure 및 온-프레미스 보안 태세에 대한 통합 보기를 참조하세요. | 표준 클라우드용 Microsoft Defender | 표준 클라우드용 Microsoft Defender는 온-프레미스 및 클라우드에서 Windows 및 Linux 머신을 온보딩을 지원하며 통합된 보안 태세를 보여줍니다. |
| 규정에 따른 요구 사항을 충족하도록 모든 Azure의 SAP 데이터베이스를 암호화합니다. | SAP HANA 네이티브 암호화 및 SQL TDE | 데이터베이스의 경우 SAP HANA 네이티브 암호화 기술을 사용합니다. SQL 데이터베이스를 사용하는 경우 TDE를 사용하도록 설정합니다. |
| HTTPS 트래픽을 사용하는 전역 사용자를 위해 SAP Fiori 애플리케이션을 보호합니다. | Azure Front Door | Front Door는 웹 애플리케이션에 대한 전역 부하 분산 및 사이트 가속 서비스를 제공하는 애플리케이션 배달 네트워크입니다. |
규정 준수 및 거버넌스 설계 권장 사항
Azure Advisor는 무료이며 Azure의 SAP 구독에서 통합 보기를 얻을 수 있도록 지원합니다. 안정성, 복원력, 보안, 성능, 비용 및 최적의 작동 디자인 추천에 대해서는 Azure Advisor 추천을 참조하세요.
Azure Policy 사용
Azure Policy는 규정 준수 대시보드를 통해 조직 표준을 시행하고 규모에 맞게 규정 준수를 평가하도록 지원합니다. Azure Policy는 리소스별, 정책별 세분성으로 드릴다운하는 기능과 함께 환경의 전체 상태를 평가하기 위한 집계 보기를 제공합니다.
또한 Azure Policy는 기존 리소스에 대한 대량 수정 및 새 리소스에 대한 자동 수정을 통해 리소스가 규정을 준수하도록 지원합니다. 샘플 Azure 정책은 관리 그룹에 허용되는 위치를 적용하고, 리소스에 대한 태그 및 해당 값을 요구하고, 관리 디스크를 사용하여 VM을 만들거나 정책을 명명합니다.
Azure의 SAP 비용 관리
비용 관리는 매우 중요합니다. Microsoft는 예약, 적절한 크기 조정 및 다시 알림과 같이 비용을 최적화하는 다양한 방법을 제공합니다. 비용 지출 한도에 대한 경고를 이해하고 설정하는 것이 중요합니다. 이 모니터링을 확장하여 전체 ITSM(IT 서비스 관리) 솔루션과 통합할 수 있습니다.
SAP 배포 자동화
SAP 배포를 자동화하여 시간을 절약하고 오류를 줄입니다. 복잡한 SAP 환경을 공용 클라우드에 배포하는 것은 쉬운 작업이 아닙니다. SAP 기본 팀은 온-프레미스 SAP 시스템을 설치 및 구성하는 기존 작업에 매우 익숙할 수 있습니다. 클라우드 배포를 디자인, 빌드 및 테스트하려면 추가 도메인 정보가 필요한 경우가 많습니다. 자세한 내용은 SAP 엔터프라이즈급 플랫폼 자동화 및 DevOps를 참조하세요.
프로덕션 워크로드에 대한 리소스 잠금
SAP 프로젝트를 시작할 때 필요한 Azure 리소스를 만듭니다. 모든 추가, 이동 및 변경이 완료되고 Azure의 SAP 배포가 작동하면 모든 리소스를 잠급니다. 그러면 슈퍼 관리자만 VM과 같은 리소스의 잠금을 해제하고 수정하도록 허용할 수 있습니다. 자세한 내용은 예기치 않은 변경을 방지하기 위해 리소스 잠그기를 참조하세요.
역할 기반 액세스 제어 구현
Azure의 SAP 스포크 구독에 대한 RBAC(역할 기반 액세스 제어) 역할을 사용자 지정하여 실수로 네트워크 관련 변경을 하지 않도록 방지합니다. Azure의 SAP 인프라 팀 구성원이 VM을 Azure 가상 네트워크에 배포하도록 허용하고 허브 구독에 피어링된 가상 네트워크의 모든 항목을 변경하지 못하도록 제한할 수 있습니다. 반면에 네트워킹 팀 구성원이 가상 네트워크를 만들고 구성하도록 허용하지만 SAP 애플리케이션이 실행되는 가상 네트워크에서 VM을 배포하거나 구성하는 것은 금지합니다.
SAP LaMa용 Azure 커넥터 사용
일반적인 SAP 자산 내에서 ERP, SCM 및 BW와 같은 여러 애플리케이션 환경이 배포되는 경우가 많으며 SAP 시스템 복사본 및 SAP 시스템 새로 고침을 지속적으로 수행해야 합니다. 기술 또는 애플리케이션 릴리스를 위한 새 SAP 프로젝트를 만들거나 프로덕션 복사본에서 QA 시스템을 주기적으로 새로 고치는 예제가 있습니다. SAP 시스템 복사 및 새로 고침에 대한 엔드투엔드 프로세스는 시간이 많이 걸리고 노동 집약적일 수 있습니다.
SAP LaMa(환경 관리) Enterprise Edition은 SAP 시스템 복사 또는 새로 고침과 관련된 여러 단계를 자동화하여 운영 효율성을 지원할 수 있습니다. LaMa용 Azure 커넥터를 사용하면 Azure 관리 디스크의 복사, 삭제 및 재배치를 통해 SAP 운영 팀이 SAP 시스템 복사본 및 시스템 새로 고침을 신속하게 수행하여 수동 작업을 줄일 수 있습니다.
VM 작업의 경우 LaMa용 Azure 커넥터는 Azure에서 SAP 자산의 실행 비용을 줄일 수 있습니다. SAP VM을 중지하거나 할당을 취소하고 시작할 수 있으므로 사용률 프로필이 감소하여 특정 워크로드를 실행할 수 있습니다. 예를 들어 LaMa 인터페이스를 통해 SAP S/4HANA 샌드박스 VM이 24시간 실행되는 대신, 하루 10시간 동안 08:00-18:00에 온라인 상태가 되도록 예약할 수 있습니다. 또한 LaMa용 Azure 커넥터를 사용하면 LaMa 내에서 직접 성능 요구가 발생할 때 VM 크기를 조정할 수 있습니다.
규정 준수 및 거버넌스 범위 지정 결정
다음 추천은 다양한 규정 준수 및 거버넌스 시나리오에 대한 것입니다. 범위 내 요구 사항은 솔루션이 비용 효율적이고 확장성이 있어야 한다는 것입니다.
| 범위(시나리오) | 추천 | 주의 |
|---|---|---|
| 표준 명명 규칙에 대한 거버넌스 모델을 구성하고 비용 센터를 기반으로 보고서를 끌어옵니다. | Azure Policy 및 Azure 태그 | Azure Policy 및 태그 지정을 함께 사용하여 요구 사항을 충족합니다. |
| Azure 리소스가 실수로 삭제되지 않도록 방지합니다. | Azure 리소스 잠금 | Azure 리소스 잠금은 실수로 리소스를 삭제하지 않도록 방지합니다. |
| Azure의 SAP 리소스에 대해 비용 최적화, 복원력, 보안, 최적의 작동 및 성능을 위한 기회 영역의 통합 보기를 가져옵니다. | Azure Advisor | Azure Advisor는 무료이며 Azure의 SAP 구독에서 통합 보기를 얻을 수 있도록 지원합니다. |
다음 단계
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기