Disciplinas de governança para SAP no Azure
O SAP é uma tecnologia comum que muitas organizações usam em suas cargas de trabalho mais cruciais atualmente. Ao planejar a arquitetura SAP, preste atenção para garantir que a arquitetura seja robusta e segura. O objetivo deste artigo é documentar os critérios de design de segurança, conformidade e governança para o SAP no Azure em escala empresarial. O artigo aborda recomendações de design, melhores práticas e considerações de design específicas para a implantação da plataforma SAP no Azure. Para preparar-se totalmente para a governança de uma solução corporativa, é importante revisar as diretrizes na área de design de zona de destino do Azure para conformidade e governança de segurança
As soluções de nuvem inicialmente hospedavam aplicativos individuais e relativamente isolados. Como os benefícios das soluções de nuvem se tornaram claros, a nuvem hospedou diversas cargas de trabalho de maior escala, como o SAP no Azure. Lidar com questões relacionadas à segurança, confiabilidade, desempenho e custos com implantações se tornou fundamental durante todo o ciclo de vida dos serviços de nuvem.
A visão para a segurança, a conformidade e a governança da zona de destino de escala empresarial do SAP no Azure é fornecer ferramentas e processos de organizações para evitar riscos e tomar decisões eficazes. A zona de destino de escala empresarial define as funções e responsabilidades de governança de segurança e de conformidade, para que todos saibam o que é esperado.
Modelo de responsabilidade compartilhada
Conforme você avalia os serviços de nuvem pública, é essencial entender quais tarefas o provedor de nuvem identifica em comparação com o cliente. No modelo de responsabilidade compartilhada, a divisão de responsabilidades entre um provedor de nuvem e seus clientes depende do modelo de hospedagem na nuvem da carga de trabalho: SaaS (software como serviço), PaaS (plataforma como serviço) ou IaaS (infraestrutura como serviço). Como cliente, você é sempre responsável por seus dados, pontos de extremidade e gerenciamento de conta e acesso, independentemente do modelo de implantação de nuvem.
O diagrama a seguir mostra a divisão de tarefas entre zonas de responsabilidade no modelo de responsabilidade compartilhada em nuvem da Microsoft:
Para saber mais sobre o modelo de responsabilidade compartilhada, veja Responsabilidade compartilhada na nuvem.
Recomendações de design de segurança
A segurança é uma responsabilidade compartilhada entre a Microsoft e os clientes. Você pode carregar sua própria VM (máquina virtual) e imagens de banco de dados no Azure ou usar imagens do Azure Marketplace. No entanto, essas imagens precisam de controles de segurança que atendam aos requisitos de aplicativos e organizacionais. Você deve aplicar os controles de segurança específicos do cliente ao sistema operacional, aos dados e à camada de aplicativo SAP.
Para ver as diretrizes de segurança normalmente aceitas, consulte melhores práticas de segurança cibernética do CIS (Center for Internet Security).
As Zonas de Aterrissagem do Azure têm orientações específicas sobre segurança de rede baseada em confiança zero para proteger o perímetro da rede e os fluxos de tráfego. Para obter mais informações, confira Estratégias de segurança de rede no Azure.
Habilitar o Microsoft Defender para Nuvem
As empresas que usam topologias de rede hub-spoke geralmente implantam padrões de arquitetura de nuvem em várias assinaturas do Azure. No diagrama de implantação de nuvem a seguir, a caixa vermelha realça uma lacuna de segurança. A caixa amarela mostra uma oportunidade de otimizar soluções de virtualização de rede entre cargas de trabalho e assinaturas.
O Microsoft Defender para Nuvem fornece proteção contra ameaças e oferece uma visão holística de toda a sua postura de segurança empresarial.
Habilite o Microsoft Defender para Nuvem Standard para assinaturas do SAP no Azure para:
Fortaleça a postura de segurança de seus data centers e forneça proteção avançada contra ameaças para cargas de trabalho locais e híbridas no Azure e em outras nuvens.
Veja a postura completa de segurança entre as assinaturas do SAP no Azure e veja a higiene de segurança de recursos em VMs, discos e aplicativos SAP.
Delegue uma função personalizada de administrador do SAP com acesso just-in-time.
Ao habilitar o Microsoft Defender para Nuvem Standard para SAP, exclua os servidores de banco de dados SAP de qualquer política que instale o Endpoint Protection.
A captura de tela a seguir mostra o painel de proteção de carga de trabalho no portal do Azure:
Habilitar Microsoft Sentinel
O Microsoft Sentinel é uma solução escalonável e nativa de nuvem que oferece SIEM (gerenciamento de eventos de informações de segurança) e SOAR (resposta automatizada para orquestração de segurança). O Microsoft Sentinel oferece análise inteligente de segurança e inteligência contra ameaças em toda a empresa, fornecendo uma única solução para detecção de alertas, visibilidade de ameaças, procura proativa e resposta a ameaças.
Autenticação segura
O SSO (logon único) é a base para a integração de produtos SAP e da Microsoft. Os tokens Kerberos do Active Directory, combinados com produtos de segurança de terceiros, habilitaram há anos essa funcionalidade para a GUI do SAP e para aplicativos baseados em navegador da Web. Quando um usuário entra em sua estação de trabalho e se autentica com êxito, o Active Directory Domain Services emite um token do Kerberos. Em seguida, um produto de segurança de terceiros usa o token do Kerberos para lidar com a autenticação para o aplicativo SAP sem que o usuário precise se autenticar novamente.
Você também pode criptografar dados em trânsito do front-end do usuário para o aplicativo SAP integrando o produto de segurança de terceiros com o SNC (comunicações de rede segura) para DIAG (SAP GUI), RFC e SPNEGO para HTTPS.
O Microsoft Entra ID com SAML 2.0 também pode fornecer SSO para uma variedade de aplicativos e plataformas SAP, como SAP NetWeaver, SAP HANA e SAP Cloud Platform.
Proteger sistemas operacionais
Garanta a proteção do sistema operacional para erradicar vulnerabilidades que possam levar a ataques ao banco de dados de SAP.
Algumas verificações adicionais garantem a instalação base segura:
- Verifique a integridade do arquivo do sistema regularmente.
- Restrinja o acesso ao sistema operacional.
- Restrinja o acesso físico ao servidor.
- Proteja o acesso ao servidor no nível da rede.
Isolar redes virtuais
Isole e restrinja o acesso aos serviços de rede e protocolos. Para um controle mais rígido, você pode proteger a arquitetura de rede hub e spoke recomendada usando vários mecanismos de segurança do Azure:
Isole o aplicativo SAP e os servidores de banco de dados da Internet ou da rede local transmitindo todo o tráfego pela rede virtual do hub, que está conectada à rede spoke pelo emparelhamento de rede virtual. As redes virtuais emparelhadas garantem que a solução SAP no Azure seja isolada da Internet pública.
Monitore e filtre o tráfego usando o Azure Monitor, os NSGs (grupos de segurança de rede) do Azure ou os grupos de segurança de aplicativo.
Use o Firewall do Azure ou quaisquer NVAs (soluções de virtualização de rede) disponíveis para o mercado.
Para medidas de segurança de rede mais avançadas, implemente uma rede DMZ. Para obter mais informações, consulte Implementar uma DMZ entre o Azure e o datacenter local.
Isole o DMZs e o NVAs do restante do espaço do SAP, configure o Link Privado do Azure e gerencie e controle com segurança os recursos do SAP no Azure.
O diagrama de arquitetura a seguir mostra como administrar uma topologia de rede virtual do Azure com isolamento e restrição de serviços de rede e protocolos pelos NSGs. Verifique se a segurança da rede também está em conformidade com os requisitos da política de segurança organizacional.
Para obter mais informações sobre a segurança de rede do SAP no Azure, consulte Operações de segurança do SAP no Azure.
Criptografar dados em repouso
Os dados inativos são informações no armazenamento persistente da mídia física, em qualquer formato digital. A mídia pode incluir arquivos em mídia magnética ou óptica, dados arquivados e backups de dados. O Azure oferece uma variedade de soluções de armazenamento de dados, incluindo arquivos, discos, blobs e tabelas. Algumas criptografias de dados em repouso do Armazenamento do Azure ocorrem por padrão com a configuração opcional do cliente. Para obter mais informações, confira Criptografia de dados em repouso do Azure e Visão geral da criptografia do Azure.
A SSE (criptografia do lado do servidor) para SAP em VMs do Azure protege seus dados e ajuda você a atender compromissos de conformidade e segurança organizacional. A SSE criptografará automaticamente os dados inativos no sistema operacional gerenciado pelo Azure e nos discos de dados ao manter os dados na nuvem. A SSE criptografa os dados de disco gerenciados do Azure de maneira transparente usando a criptografia AES de 256 bits, uma das codificações de bloco mais fortes disponíveis, e são compatíveis com o FIPS 140-2. A SSE não afeta o desempenho do disco gerenciado e não tem custo adicional. Para mais informações sobre os módulos criptográficos subjacentes aos discos gerenciados do Azure, veja API de Criptografia: próxima geração.
A criptografia de Armazenamento do Microsoft Azure está habilitada para todas as contas de armazenamento clássico e do Azure Resource Manager, e não pode ser desabilitada. Como os dados são criptografados por padrão, você não precisa modificar o código nem os aplicativos para usar a criptografia do Armazenamento do Microsoft Azure.
Para criptografia do servidor de banco de dados SAP, use a tecnologia do SAP HANA de criptografia nativa. Se você estiver usando O Banco de Dados SQL do Azure, use TDE (Transparent Data Encryption) oferecido pelo provedor de DBMS para proteger seus dados e arquivos de log e verifique se os backups também estão criptografados.
Proteger dados em trânsito
Os dados estão em trânsito quando se movem de um local para outro, seja internamente no local ou dentro do Azure, ou externamente, como pela Internet para o usuário final. O Azure oferece vários mecanismos para manter os dados privados em trânsito. Todos os mecanismos podem usar métodos de proteção como criptografia. Esses mecanismos incluem:
- Comunicação por VPNs (redes virtuais privadas) usando criptografia IPsec/IKE
- TLS (Transport Layer Security) 1.2 ou posterior através de componentes do Azure, como o Gateway de Aplicativo do Azure ou o Azure Front Door
- Protocolos disponíveis nas VMs do Azure, como Windows IPsec ou SMB
A criptografia com MACsec, um padrão IEEE na camada de link de dados, é habilitada automaticamente em todo o tráfego do Azure entre os datacenters do Azure. Essa criptografia garante a confidencialidade dos dados do cliente e a integridade. Para obter mais informações, confira Proteção de dados do cliente do Azure.
Gerenciar chaves e segredos
Para controlar e gerenciar chaves de criptografia de disco e segredos para sistemas operacionais não HANA Windows e não Windows, use o Azure Key Vault. O Key Vault tem recursos para provisionar e gerenciar certificados SSL/TLS. Você também pode proteger segredos com HSMs (módulos de segurança de hardware). Não há suporte para SAP HANA com o Azure Key Vault, portanto, você deve usar métodos alternativos como as chaves ABAP ou SSH do SAP.
Proteger aplicativos Web e móveis
Para aplicativos voltados para a Internet como o SAP Fiori, distribua os requisitos de carga por aplicativo enquanto mantém os níveis de segurança. Para segurança de Camada 7, você pode usar um WAF (firewall do aplicativo Web) de terceiros disponível no Azure Marketplace.
Para aplicativos móveis, Microsoft Enterprise Mobility + Security pode integrar aplicativos SAP voltados para a Internet, pois ajuda a proteger sua organização e capacita seus funcionários a trabalhar de maneiras novas e flexíveis.
Gerenciar o tráfego com segurança
Para aplicativos voltados para a Internet, distribua os requisitos de carga por aplicativo enquanto mantém os níveis de segurança. O balanceamento de carga é a distribuição de cargas de trabalho em vários recursos de computação. O balanceamento de carga visa otimizar o uso de recursos, maximizar a taxa de transferência, minimizar o tempo de resposta e evitar sobrecarregar qualquer recurso único. O balanceamento de carga também pode melhorar a disponibilidade através do compartilhamento de uma carga de trabalho entre recursos de computação redundantes.
Os balanceadores de carga direcionam o tráfego para VMs na sub-rede do aplicativo. Para a alta disponibilidade, este exemplo usa o SAP Web Dispatcher e o Azure Standard Load Balancer. Esses dois serviços também suportam a extensão de capacidade escalando horizontalmente. Você também pode usar Gateway de Aplicativo do Azure ou outros produtos de parceiros, dependendo do tipo de tráfego e da funcionalidade necessária, como terminação do protocolo SSL e encaminhamento.
Você pode categorizar os serviços de balanceamento de carga do Azure em dimensões globais versus regionais e HTTP/S versus não HTTP/S.
Os serviços de balanceamento de carga globais distribuem o tráfego por nuvens, back-ends regionais ou serviços locais híbridos. Esses serviços roteiam o tráfego do usuário final para o back-end disponível mais próximo. Esses serviços também maximizam a disponibilidade e o desempenho reagindo a alterações na confiabilidade ou no desempenho do serviço. Você pode pensar nesses serviços como sistemas para balanceamento de carga entre selos de aplicativo, pontos de extremidade ou unidades de escala hospedadas em regiões ou geografias diferentes.
Os serviços de balanceamento de carga regionais distribuem o tráfego dentro de redes virtuais pelas VMs ou pelos pontos de extremidade de serviço zonais e com redundância de zona em uma região. Você pode considerar esses serviços como sistemas que equilibram a carga entre VMs, contêineres ou clusters em uma região em uma rede virtual.
Os serviços de balanceamento de carga HTTP/S são balanceadores de carga de Camada 7 que aceitam apenas tráfego HTTP/S e são destinados a aplicativos Web ou outros pontos de extremidade HTTP/S. Os serviços de balanceamento de carga HTTP/S incluem recursos como descarregamento SSL, WAF, balanceamento de carga com base em caminho e afinidade de sessão.
Os serviços de balanceamento de carga não HTTP/S que podem manipular o tráfego não HTTP/S são recomendados para cargas de trabalho não Web.
A tabela a seguir resume os serviços de balanceamento de carga do Azure por categoria:
| Serviço | Global ou regional | Tráfego recomendado |
|---|---|---|
| Porta da frente do Azure | Global | HTTP/S |
| Gerenciador de Tráfego | Global | Não-HTTP/S |
| Gateway de Aplicativo | Regional | HTTP/S |
| Azure Load Balancer | Regional | Não-HTTP/S |
O Azure Front Door é uma rede de entrega de aplicativos que fornece balanceamento de carga global e serviço de aceleração de site para aplicativos Web. O Azure Front Door oferece recursos de Camada 7 como o descarregamento de SSL, roteamento com base em caminho, failover rápido e cache para aprimorar o desempenho e a disponibilidade dos seus aplicativos.
O Gerenciador de Tráfego é um balanceador de carga de tráfego baseado em DNS que permite distribuir o tráfego de maneira ideal para serviços em todas as regiões globais do Azure, fornecendo alta disponibilidade e capacidade de resposta. Como o Gerenciador de Tráfego é um serviço de balanceamento de carga baseado em DNS, ele faz o balanceamento de carga somente no nível de domínio. Por esse motivo, ele não pode fazer failover tão rapidamente quanto o Azure Front Door, devido a desafios comuns relacionados ao cache do DNS e sistemas que não respeitam o TTL do DNS.
O Gateway de Aplicativo fornece um controlador de entrega de aplicativo gerenciado, com vários recursos de balanceamento de carga de camada 7. Você pode usar o Gateway de Aplicativo para otimizar a produtividade do Web farm descarregando a terminação SSL com uso intensivo de CPU para o gateway.
O Azure Load Balancer é um serviço de balanceamento de carga de entrada e saída de Camada 4 de alto desempenho e latência ultra baixa para todos os protocolos UDP e TCP. O Load Balancer lida com milhões de solicitações por segundo. O Load Balancer tem redundância de zona, garantindo alta disponibilidade nas Zonas de Disponibilidade.
Consulte a seguinte árvore de decisão para tomar decisões de balanceamento de carga do aplicativo SAP no Azure:
Cada aplicativo SAP tem requisitos exclusivos, portanto, trate o gráfico de fluxo anterior e a recomendação como pontos de partida para uma avaliação mais detalhada. Se o aplicativo SAP tem várias cargas de trabalho, avalie cada carga de trabalho separadamente. Uma solução completa pode incorporar duas ou mais soluções de balanceamento de carga.
Monitorar segurança
O Azure Monitor para Soluções SAP é um produto de monitoramento nativo do Azure para cenários SAP que funciona tanto com Máquinas Virtuais do SAP no Azure quanto com HANA em Instâncias Grandes. Com o Azure Monitor para Soluções SAP, você pode coletar dados de telemetria da infraestrutura e dos bancos de dados do Azure em um local central, além de correlacionar visualmente os dados de telemetria para uma solução de problemas mais rápida.
Decisões de definição de escopo de segurança
As recomendações a seguir são para vários cenários de segurança. Os requisitos no escopo servem para que a solução de segurança seja econômica e escalonável.
| Escopo (cenário) | Recomendação | Observações |
|---|---|---|
| Confira uma exibição consolidada da postura de segurança local e completa do Azure. | Microsoft Defender para Nuvem Standard | O Microsoft Defender para Nuvem Standard ajuda a integrar os computadores Windows e Linux do local e da nuvem, e mostra uma postura de segurança consolidada. |
| Criptografe todos os bancos de dados do SAP no Azure para atender aos requisitos regulatórios. | Criptografia nativa do SAP HANA e TDE do SQL | Para bancos de dados, use a tecnologia do SAP HANA de criptografia nativa. Se você estiver usando o Banco de Dados SQL, habilite a TDE. |
| Proteger um aplicativo SAP Fiori para usuários globais com tráfego HTTPS. | Porta da frente do Azure | O Azure Front Door é uma rede de entrega de aplicativos que fornece balanceamento de carga global e serviço de aceleração de site para aplicativos Web. |
Recomendações de design de conformidade e governança
O Assistente do Azure é gratuito e ajuda a ter uma visão confiável do SAP em assinaturas do Azure. Consulte as recomendações do Assistente do Azure para ter confiabilidade, resiliência, segurança, desempenho, custo e recomendações de design de excelência operacional.
Usar o Azure Policy
O Azure Policy ajuda a reforçar os padrões organizacionais e a avaliar a conformidade em escala em seu painel de conformidade. O Azure Policy oferece uma exibição agregada para avaliar o estado geral do ambiente, com a capacidade de fazer busca detalhada para a granularidade por recurso, por política.
O Azure Policy também ajuda a deixar seus recursos em conformidade por meio da correção em massa de recursos existentes e da correção automática para novos recursos. As amostras de políticas do Azure estão aplicando locais permitidos ao grupo de gerenciamento, exigindo uma marca e seu valor em recursos, criando uma VM usando um disco gerenciado ou políticas de nomenclatura.
Gerenciar os custos do SAP no Azure
O gerenciamento de custos é muito importante. A Microsoft oferece várias maneiras de otimizar os custos, como reservas, dimensionamento apropriado e adiamento. É importante entender e definir alertas para os limites de gastos de custo. Você pode estender esse monitoramento para integração com a solução de ITSM (gerenciamento de serviços de TI) geral.
Automatizar as implantações do SAP
Automatize implantações do SAP para economizar tempo e reduzir erros. Não é fácil implantar cenários complexos do SAP em uma nuvem pública. As equipes básicas do SAP podem estar muito familiarizadas com as tarefas tradicionais de instalação e configuração de sistemas SAP locais. Projetar, criar e testar implantações de nuvem geralmente exigem conhecimento de domínio adicional. Para obter mais informações, consulte Automação de plataforma de escala empresarial do SAP e DevOps.
Bloquear recursos em cargas de trabalho de produção
Crie os recursos necessários do Azure no início do seu projeto SAP. Quando todas as adições, movimentações e alterações forem concluídas, e a implantação do SAP no Azure estiver operacional, bloqueie todos os recursos. Somente um superadministrador pode desbloquear e permitir que um recurso, como uma VM, seja modificado. Para obter mais informações, confira Bloquear recursos para impedir alterações inesperadas.
Implementar o controle de acesso baseado em função
Personalize funções de RBAC (controle de acesso baseado em função) de assinaturas spoke do SAP no Azure para evitar alterações acidentais relacionadas à rede. Você pode permitir que os membros da equipe de infraestrutura do SAP no Azure para implantar VMs em uma rede virtual do Azure e crie restrições para alteração de qualquer coisa na rede virtual emparelhada com a assinatura do hub. Por outro lado, você permite que os membros da equipe de rede criem e configurem redes virtuais, mas os proíbem de implantar ou configurar VMs em redes virtuais onde os aplicativos SAP estão em execução.
Usar o conector do Azure para o SAP LaMa
Em uma propriedade típica do SAP, vários cenários de aplicativos geralmente são implantados, como ERP, SCM e BW, e há uma necessidade contínua de executar cópias do sistema SAP e atualizações do sistema SAP. Alguns exemplos são a criação de novos projetos SAP para versões técnicas ou de aplicativos ou a atualização periódica de sistemas de controle de qualidade de cópias de produção. O processo de ponta a ponta para cópias e atualizações do sistema SAP pode ser demorado e trabalhoso.
O SAP Landscape Management (LaMa) Edição Enterprise pode dar suporte a eficiências operacionais automatizando várias etapas envolvidas na cópia ou atualização do sistema SAP. O Conector do Azure para LaMa habilita a cópia, exclusão e realocação de discos gerenciados pelo Azure para ajudar sua equipe de operações SAP a executar cópias e atualizações do sistema SAP rapidamente, reduzindo os esforços manuais.
Para operações de VM, o Conector do Azure para LaMa pode reduzir os custos de execução da sua propriedade do SAP no Azure. Você pode parar ou desalocar e iniciar suas VMs do SAP, o que permite executar determinadas cargas de trabalho com um perfil de utilização reduzido. Por exemplo, pela interface LaMa, você pode agendar sua VM da área restrita do SAP S/4HANA para ficar online de 08:00 a 18:00, 10 horas por dia, em vez de executar 24 horas. O Conector do Azure para LaMa também permite redimensionar suas VMs quando as demandas de desempenho surgem diretamente de dentro do LaMa.
Decisões de definição de escopo de conformidade e governança
As recomendações a seguir se aplicam a vários cenários de conformidade e governança. Os requisitos no escopo servem para que a solução seja econômica e escalonável.
| Escopo (cenário) | Recomendação | Observações |
|---|---|---|
| Configure um modelo de governança para convenções de nomenclatura padrão e receba relatórios com base no centro de custo. | Azure Policy e marcas do Azure | Use o Azure Policy e marcação juntos para atender aos requisitos. |
| Evite a exclusão acidental de recursos do Azure. | Bloqueios de recursos do Azure | Os bloqueios de recursos do Azure evitam a exclusão acidental de recursos. |
| Obtenha uma visão confiável das áreas de possível otimização de custos, resiliência, segurança, excelência operacional e desempenho de recursos do SAP no Azure | Assistente do Azure | O Assistente do Azure é gratuito e ajuda a ter uma visão confiável do SAP em assinaturas do Azure. |
Próximas etapas
- Introdução à segurança do Azure
- Guia de arquitetura de SAP no Azure
- Carga de trabalho SAP no Azure: lista de verificação de planejamento e implantação
- Melhores práticas para migrar aplicativos SAP para o Azure, parte 1
- SAP no Azure: design para eficiência e operações
- Planejamento e implementação de Máquinas Virtuais do Azure para SAP NetWeaver