Serviços de segurança e identidade do Azure com o SAP RISE
Este artigo detalha a integração dos serviços de segurança e identidade do Azure com uma carga de trabalho do SAP RISE. Além disso, o uso de alguns serviços de monitoramento do Azure é explicado para um cenário do SAP RISE.
Logon único para SAP
O SSO (logon único) está configurado para vários ambientes SAP. Com cargas de trabalho SAP em execução no ECS/RISE, as etapas a serem implementadas não diferem de um sistema SAP executado nativamente. As etapas de integração com o SSO baseado no Microsoft Entra ID estão disponíveis para cargas de trabalho gerenciadas típicas do ECS/RISE:
- Tutorial: Integração do logon único (SSO) do Microsoft Entra ao SAP NetWeaver
- Tutorial: Integração do SSO (logon único) do Microsoft Entra ao SAP Fiori
- Tutorial: Integração do Microsoft Entra com o SAP HANA
| Método de SSO | Provedor de identidade | Caso de uso típico | Implementação |
|---|---|---|---|
| SAML/OAuth | Microsoft Entra ID | SAP Fiori, Web GUI, Portal, HANA | Configuração por cliente |
| SNC | Microsoft Entra ID | SAP GUI | Configuração por cliente |
| SPNEGO | AD (Active Directory) | GUI da Web, SAP Enterprise Portal | Configuração por cliente e SAP |
O SSO no AD (Active Directory) do seu domínio do Windows para ambiente SAP gerenciado por ECS/RISE, com o Cliente de Logon Seguro do SAP SSO, requer integração do AD para dispositivos de usuário final. Com o SAP RISE, os sistemas Windows não são integrados ao domínio do Active Directory do cliente. A integração de domínio não é necessária para SSO com AD/Kerberos, pois o token de segurança de domínio é lido no dispositivo cliente e trocado com segurança pelo sistema SAP. Entre em contato com o SAP se você precisar de alterações para integrar o SSO baseado no AD ou usar produtos de terceiros que não sejam o Cliente de Logon Seguro do SAP SSO, pois pode ser necessária alguma configuração nos sistemas gerenciados pelo RISE.
Microsoft Sentinel com SAP RISE
Os aplicativos da solução do Microsoft Sentinel para SAP, certificados pelo SAP RISE, permitem monitorar, detectar e responder a atividades suspeitas. O Microsoft Sentinel protege seus dados críticos contra ataques cibernéticos sofisticados para sistemas SAP hospedados no Azure, em outras nuvens ou na infraestrutura local.
A solução permite que você obtenha visibilidade das atividades do usuário no SAP RISE/ECS e nas camadas de lógica de negócios do SAP e aplique o conteúdo interno do Sentinel.
- Use um único console para monitorar todas as suas propriedades corporativas, incluindo instâncias SAP no SAP RISE/ECS no Azure e em outras nuvens, propriedade nativa e local do SAP Azure
- Detectar e responder automaticamente às ameaças: detecte atividades suspeitas, incluindo elevação de privilégios, alterações não autorizadas, transações confidenciais, exfiltração de dados e muito mais com recursos de detecção prontos para uso
- Correlacionar a atividade do SAP com outros sinais: detecte com mais precisão as ameaças do SAP através de correlação cruzada entre pontos de extremidade, dados do Microsoft Entra e muito mais
- Personalizar com base em suas necessidades: crie suas próprias detecções para monitorar transações confidenciais e outros riscos de negócios
- Visualizar os dados com pastas de trabalho internas
Este diagrama mostra um exemplo do Microsoft Sentinel conectado por meio de uma VM ou contêiner intermediário ao sistema SAP gerenciado pelo SAP. A VM ou o contêiner intermediário é executado na própria assinatura do cliente com o agente do conector de dados SAP configurado.
Para o SAP RISE/ECS, a solução do Microsoft Sentinel deve ser implantada na assinatura do Azure do cliente. Todas as partes da solução Sentinel são gerenciadas pelo cliente e não pelo SAP. A conectividade de rede privada da vnet do cliente é necessária para alcançar os cenários SAP gerenciados pelo SAP RISE/ECS. Normalmente, essa conexão é feita por meio do emparelhamento de vnet estabelecido ou por meio de alternativas descritas neste documento.
Para habilitar a solução, é necessário apenas um usuário RFC autorizado e nada precisa ser instalado nos sistemas SAP. O agente de coleta de dados SAP baseado em contêiner incluído na solução pode ser instalado em VM ou AKS/qualquer ambiente do Kubernetes. O agente coletor usa um usuário de serviço SAP para consumir dados de log do aplicativo do ambiente SAP por meio da interface RFC, usando chamadas RFC padrão.
- Métodos de autenticação com suporte no SAP RISE: nome de usuário e senha do SAP ou certificados X509/SNC
- Atualmente, somente conexões baseadas em RFC são possíveis com ambientes SAP RISE/ECS
Observação sobre a execução do Microsoft Sentinel em um ambiente SAP RISE/ECS:
- Os campos/fonte de log a seguir exigem uma solicitação de alteração de transporte do SAP: informações de endereço IP do cliente do log de auditoria de segurança do SAP, logs de tabela do BD (versão prévia), log de saída de spool. O conteúdo interno do Sentinel (detecções, pastas de trabalho e guias estratégicos) fornece ampla cobertura e correlação sem essas fontes de log.
- A infraestrutura SAP e os logs do sistema operacional não estão disponíveis para o Sentinel no RISE, incluindo VMs que executam SAP, fontes de dados SAPControl e recursos de rede colocados no ECS. O SAP monitora os elementos da infraestrutura e do sistema operacional do Azure de forma independente.
Use guias estratégicos predefinidos para recursos de segurança, orquestração, automação e resposta (SOAR) para reagir rapidamente às ameaças. Um primeiro cenário popular é o bloqueio de usuários SAP com a opção de intervenção do Microsoft Teams. O padrão de integração pode ser aplicado a qualquer tipo de incidente e serviço de destino que abranja o SAP Business Technology Platform (BTP) ou o Microsoft Entra ID com relação à redução da superfície de ataque.
Para obter mais informações sobre o Microsoft Sentinel e o SOAR para SAP, confira a série de blogs Do zero à cobertura de segurança de herói com o Microsoft Sentinel para seus sinais críticos de segurança do SAP.
Esta imagem mostra um incidente SAP detectado pelo Sentinel, oferecendo a opção de bloquear o usuário suspeito no SAP ERP, SAP Business Technology Platform ou Microsoft Entra ID.
Para obter mais informações sobre o Microsoft Sentinel e o SAP, incluindo um guia de implantação, confira a documentação do produto Sentinel.
Monitoramento do Azure para SAP com SAP RISE
O Azure Monitor para soluções SAP é uma solução nativa do Azure para monitorar seu sistema SAP. Ele estende a funcionalidade de monitoramento da plataforma do Azure Monitor com suporte para coletar dados sobre o SAP NetWeaver, o banco de dados e os detalhes do sistema operacional.
O SAP RISE/ECS é um serviço totalmente gerenciado para seu cenário SAP e, portanto, o Monitoramento do Azure para SAP não se destina ao uso nesse ambiente gerenciado. O SAP RISE/ECS não dá suporte a nenhuma integração com o Azure Monitor para soluções SAP. O monitoramento e os relatórios próprios do SAP são usados e fornecidos ao cliente, conforme definido na descrição do serviço com o SAP.
Centro do Azure para soluções SAP
Assim como acontece com o Azure Monitor para soluções SAP, o SAP RISE/ECS não dá suporte a nenhuma integração com o Centro do Azure para soluções SAP em qualquer capacidade. Todas as cargas de trabalho do SAP RISE são implantadas pelo SAP e executadas no locatário e na assinatura do Azure do SAP, sem nenhum acesso do cliente aos recursos do Azure.
Próximas etapas
Confira a documentação de referência:
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de