Zabezpieczenia obciążeń SAP
Platforma Azure udostępnia wszystkie narzędzia potrzebne do zabezpieczenia obciążenia SAP. Aplikacje SAP mogą zawierać poufne dane dotyczące organizacji. Należy chronić architekturę SAP przy użyciu bezpiecznych metod uwierzytelniania, sieci ze wzmocnionymi zabezpieczeniami i szyfrowania.
Konfigurowanie zarządzania tożsamościami
Wpływ: Zabezpieczenia
Zarządzanie tożsamościami to struktura wymuszania zasad kontrolujących dostęp do krytycznych zasobów. Zarządzanie tożsamościami kontroluje dostęp do obciążenia SAP w ramach sieci wirtualnej lub poza nią. Istnieją trzy przypadki użycia zarządzania tożsamościami, które należy wziąć pod uwagę w przypadku obciążenia SAP, a rozwiązanie do zarządzania tożsamościami różni się dla każdego z nich.
Korzystanie z Tożsamość Microsoft Entra
Organizacje mogą zwiększyć bezpieczeństwo maszyn wirtualnych z systemem Windows i Linux na platformie Azure dzięki integracji z usługą Tożsamość Microsoft Entra, w pełni zarządzaną tożsamością i usługą zarządzania dostępem. Tożsamość Microsoft Entra może uwierzytelniać i autoryzować dostęp użytkownika końcowego do systemu operacyjnego SAP. Możesz użyć Tożsamość Microsoft Entra do tworzenia domen, które istnieją na platformie Azure, lub użyć jej integracji z tożsamościami lokalna usługa Active Directory. Tożsamość Microsoft Entra integruje się również z rozwiązaniami Microsoft 365, Dynamics CRM Online i wieloma aplikacjami oprogramowania jako usługi (SaaS) od partnerów. Zalecamy używanie systemu do zarządzania tożsamościami między domenami (SCIM) na potrzeby propagacji tożsamości. Ten wzorzec umożliwia optymalny cykl życia użytkownika.
Aby uzyskać więcej informacji, zobacz:
- Synchronizacja SCIM z Tożsamość Microsoft Entra
- Konfigurowanie uwierzytelniania tożsamości platformy SAP Cloud Platform na potrzeby automatycznej aprowizacji użytkowników
- integracja logowania jednokrotnego Microsoft Entra z oprogramowaniem SAP NetWeaver
- Logowanie się do maszyny wirtualnej z systemem Linux na platformie Azure przy użyciu Tożsamość Microsoft Entra i protokołu OpenSSH
- Logowanie się do maszyny wirtualnej z systemem Windows na platformie Azure przy użyciu Tożsamość Microsoft Entra
Konfigurowanie logowania jednokrotnego
Dostęp do aplikacji SAP można uzyskać za pomocą oprogramowania SAP frontonu (SAP GUI) lub przeglądarki przy użyciu protokołu HTTP/S. Zalecamy skonfigurowanie logowania jednokrotnego (SSO) przy użyciu Tożsamość Microsoft Entra lub Active Directory Federation Services (AD FS). Logowanie jednokrotne umożliwia użytkownikom końcowym łączenie się z aplikacjami SAP za pośrednictwem przeglądarki, jeśli jest to możliwe.
Aby uzyskać więcej informacji, zobacz:
- Logowanie jednokrotne SAP HANA
- SAP NetWeaver SSO
- SAP Fiori SSO
- Logowanie jednokrotne platformy SAP Cloud Platform
- SuccessFactors SSO
- Omówienie Microsoft Entra
Korzystanie ze wskazówek specyficznych dla aplikacji
Zalecamy skonsultowanie się z usługą SAP Identity Authentication Service dla rozwiązań SAP Analytics Cloud, SuccessFactors i SAP Business Technology Platform. Możesz również zintegrować usługi z platformy SAP Business Technology Platform z programem Microsoft Graph przy użyciu Tożsamość Microsoft Entra i usługi SAP Identity Authentication Service.
Aby uzyskać więcej informacji, zobacz:
- Zabezpieczanie dostępu do platform i aplikacji SAP przy użyciu Tożsamość Microsoft Entra.
- SAP Identity Authentication Service
- SAP Identity Provisioning Service
Typowy scenariusz klienta polega na wdrażaniu aplikacji SAP w usłudze Microsoft Teams. To rozwiązanie wymaga logowania jednokrotnego z Tożsamość Microsoft Entra. Zalecamy przeglądanie komercyjnej platformy handlowej firmy Microsoft, aby zobaczyć, które aplikacje SAP są dostępne w usłudze Microsoft Teams. Aby uzyskać więcej informacji, zobacz platformę handlową firmy Microsoft.
Tabela 1 — podsumowanie zalecanych metod logowania jednokrotnego
| Rozwiązanie SAP | Metoda logowania jednokrotnego |
|---|---|
| Aplikacje internetowe oparte na oprogramowaniu SAP NetWeaver, takie jak Fiori, WebGui | Security Assertion Markup Language (SAML) |
| Graficzny interfejs użytkownika oprogramowania SAP | Protokół Kerberos z usługą Active Directory systemu Windows lub rozwiązaniem Microsoft Entra Domain Services lub rozwiązania innej firmy |
| Aplikacje SAP PaaS i SaaS, takie jak SAP Business Technology Platform (BTP), Analytics Cloud, Cloud Identity Services, SuccessFactors, Cloud for Customer, Ariba | Tokeny internetowe SAML/OAuth/JSON (JWT) i wstępnie skonfigurowane przepływy uwierzytelniania z Tożsamość Microsoft Entra bezpośrednio lub przez serwer proxy za pomocą usługi SAP Identity Authentication Service |
Korzystanie z kontroli dostępu opartej na rolach (RBAC)
Wpływ: Zabezpieczenia
Ważne jest, aby kontrolować dostęp do wdrażanych zasobów obciążenia SAP. Każda subskrypcja platformy Azure ma relację zaufania z dzierżawą Microsoft Entra. Zalecamy użycie kontroli dostępu opartej na rolach (RBAC) platformy Azure w celu udzielenia użytkownikom w organizacji dostępu do aplikacji SAP. Aby udzielić dostępu, przypisz role platformy Azure użytkownikom lub grupom w określonym zakresie. Zakres może być subskrypcją, grupą zasobów lub pojedynczym zasobem. Zakres zależy od użytkownika i sposobu grupowania zasobów obciążenia SAP.
Aby uzyskać więcej informacji, zobacz:
Wymuszanie zabezpieczeń sieci i aplikacji
Mechanizmy kontroli zabezpieczeń sieci i aplikacji to podstawowe środki zabezpieczeń dla każdego obciążenia SAP. Ich znaczenie jest powtarzane, aby wymusić przekonanie, że sieć i aplikacja SAP wymagają rygorystycznego przeglądu zabezpieczeń i kontroli linii bazowej.
Użyj architektury piasty i szprych. Niezwykle ważne jest rozróżnienie usług udostępnionych i usług aplikacji SAP. Architektura piasty i szprych to dobre podejście do zabezpieczeń. Należy przechowywać zasoby specyficzne dla obciążenia we własnej sieci wirtualnej niezależnie od usług udostępnionych w centrum, takich jak usługi zarządzania i system DNS.
W przypadku konfiguracji natywnych dla oprogramowania SAP należy użyć łącznika SAP Cloud Connector i rozwiązania SAP Private Link dla platformy Azure w ramach konfiguracji piasty i szprych. Te technologie obsługują architekturę rozszerzenia i innowacji SAP dla platformy SAP Business Technology Platform (BTP). Natywne integracje platformy Azure w pełni zintegrowane z sieciami wirtualnymi i interfejsami API platformy Azure i nie wymagają tych składników.
Użyj sieciowych grup zabezpieczeń. Sieciowe grupy zabezpieczeń umożliwiają filtrowanie ruchu sieciowego do i z obciążenia SAP. Możesz zdefiniować reguły sieciowej grupy zabezpieczeń, aby zezwolić na dostęp do aplikacji SAP lub go odmówić. Możesz zezwolić na dostęp do portów aplikacji SAP z zakresów lokalnych adresów IP i odmawiać publicznego dostępu do Internetu. Aby uzyskać więcej informacji, zobacz sieciowe grupy zabezpieczeń
Użyj grup zabezpieczeń aplikacji. Ogólnie rzecz biorąc, najlepsze rozwiązania w zakresie zabezpieczeń dotyczące tworzenia aplikacji mają zastosowanie również w chmurze. Obejmują one takie elementy jak ochrona przed fałszowaniem żądań między witrynami, udaremnianie ataków skryptowych między witrynami (XSS) i zapobieganie atakom polegającym na wstrzyknięciu kodu SQL.
Grupy zabezpieczeń aplikacji ułatwiają konfigurowanie zabezpieczeń sieci obciążenia. Usługa ASG może być używana w regułach zabezpieczeń zamiast jawnych adresów IP dla maszyn wirtualnych. Maszyny wirtualne są następnie przypisywane do usługi ASG. Ta konfiguracja obsługuje ponowne użycie tych samych zasad w różnych poziomach aplikacji ze względu na tę warstwę abstrakcji. Aplikacje w chmurze często używają usług zarządzanych, które mają klucze dostępu. Nigdy nie sprawdzaj kluczy dostępu do kontroli źródła. Zamiast tego przechowuj wpisy tajne aplikacji w usłudze Azure Key Vault. Aby uzyskać więcej informacji, zobacz grupy zabezpieczeń aplikacji.
Filtrowanie ruchu internetowego. Obciążenie połączone z Internetem musi być chronione przy użyciu usług, takich jak Azure Firewall, Web Application Firewall, Application Gateway w celu utworzenia separacji między punktami końcowymi. Aby uzyskać więcej informacji, zobacz przychodzące i wychodzące połączenia internetowe dla oprogramowania SAP na platformie Azure.
Szyfrowanie danych
Wpływ: Zabezpieczenia
Platforma Azure obejmuje narzędzia do ochrony danych zgodnie z wymaganiami organizacji dotyczącymi zabezpieczeń i zgodności. Ważne jest, aby szyfrować dane obciążeń SAP magazynowane i przesyłane.
Szyfrowanie danych magazynowanych
Szyfrowanie danych magazynowanych jest typowym wymaganiem dotyczącym zabezpieczeń. Szyfrowanie po stronie usługi Azure Storage jest domyślnie włączone dla wszystkich dysków zarządzanych, migawek i obrazów. Szyfrowanie po stronie usługi domyślnie używa kluczy zarządzanych przez usługę, a te klucze są niewidoczne dla aplikacji.
Zalecamy zapoznanie się z usługą/szyfrowaniem po stronie serwera (SSE) przy użyciu kluczy zarządzanych przez klienta (CMK). Połączenie szyfrowania po stronie serwera i klucza zarządzanego przez klienta umożliwia szyfrowanie danych magazynowanych w systemie operacyjnym (OS) i dyskach danych dostępnych kombinacji systemu operacyjnego SAP. Usługa Azure Disk Encryption nie obsługuje wszystkich systemów operacyjnych SAP. Klucz zarządzany przez klienta powinien być przechowywany w Key Vault, aby zapewnić integralność systemu operacyjnego. Zalecamy również szyfrowanie baz danych SAP. Usługa Azure Key Vault obsługuje szyfrowanie bazy danych dla SQL Server z systemu zarządzania bazami danych (DBMS) i innych potrzeb magazynu. Na poniższej ilustracji przedstawiono proces szyfrowania.
W przypadku korzystania z szyfrowania po stronie klienta szyfrujesz dane i przekazujesz je jako zaszyfrowany obiekt blob. Zarządzanie kluczami odbywa się przez klienta. Aby uzyskać więcej informacji, zobacz:
- Szyfrowanie po stronie serwera dla dysków zarządzanych
- Szyfrowanie po stronie usługi Azure Storage
- Szyfrowanie po stronie usługi przy użyciu klucza zarządzanego przez klienta w usłudze Azure Key Vault
- Szyfrowania po stronie klienta
Szyfrowanie danych przesyłanych
Szyfrowanie podczas przesyłania ma zastosowanie do stanu danych przenoszonych z jednej lokalizacji do innej. Dane przesyłane można szyfrować na kilka sposobów, w zależności od charakteru połączenia. Aby uzyskać więcej informacji, zobacz szyfrowanie danych przesyłanych.
Zbieranie i analizowanie dzienników aplikacji SAP
Monitorowanie dzienników aplikacji jest niezbędne do wykrywania zagrożeń bezpieczeństwa na poziomie aplikacji. Zalecamy używanie rozwiązania Microsoft Sentinel dla oprogramowania SAP. Jest to natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) utworzone dla obciążenia SAP uruchomionego na maszynie wirtualnej. Aby uzyskać więcej informacji, zobacz Rozwiązanie Microsoft Sentinel dla oprogramowania SAP.
Aby uzyskać ogólne informacje o zabezpieczeniach, zobacz: