Segurança da carga de trabalho do SAP
O Azure fornece todas as ferramentas necessárias para proteger sua carga de trabalho do SAP. Os aplicativos SAP podem conter dados confidenciais sobre sua organização. Você deve proteger sua arquitetura SAP com métodos de autenticação seguros, rede protegida e criptografia.
Configurar o gerenciamento de identidades
Impacto: Segurança
O gerenciamento de identidades é uma estrutura para impor as políticas que controlam o acesso a recursos críticos. Os controles de gerenciamento de identidade acessam sua carga de trabalho SAP dentro ou fora de sua rede virtual. Há três casos de uso de gerenciamento de identidade a serem considerados para sua carga de trabalho do SAP e a solução de gerenciamento de identidades é diferente para cada um.
Usar Microsoft Entra ID
As organizações podem melhorar a segurança das máquinas virtuais Windows e Linux no Azure integrando-se com Microsoft Entra ID, um serviço de gerenciamento de identidades e acesso totalmente gerenciado. Microsoft Entra ID pode autenticar e autorizar o acesso do usuário final ao sistema operacional SAP. Você pode usar Microsoft Entra ID para criar domínios que existem no Azure ou usá-lo para integrá-lo às suas identidades Active Directory local. Microsoft Entra ID também se integra ao Microsoft 365, Dynamics CRM Online e a muitos aplicativos SaaS (software como serviço) de parceiros. É recomendável usar o SCIM (System for Cross-Domain Identity Management) para propagação de identidade. Esse padrão permite o ciclo de vida ideal do usuário.
Para obter mais informações, consulte:
- Sincronização do SCIM com a ID do Microsoft Entra
- Configurar a Autenticação de Identidade da SAP Cloud Platform para provisionamento automático de usuário
- Microsoft Entra integração do SSO (logon único) ao SAP NetWeaver
- Entrar em uma máquina virtual linux no Azure usando Microsoft Entra ID e OpenSSH
- Entre em uma máquina virtual do Windows no Azure usando Microsoft Entra ID
Configurar o logon único
Você pode acessar o aplicativo SAP com o SAP GUI (software de front-end SAP) ou um navegador com HTTP/S. É recomendável configurar o SSO (logon único) usando Microsoft Entra ID ou Serviços de Federação do Active Directory (AD FS) (AD FS). O SSO permite que os usuários finais se conectem a aplicativos SAP por meio do navegador sempre que possível.
Para obter mais informações, consulte:
- SAP HANA SSO
- SAP NetWeaver SSO
- SAP Fiori SSO
- SAP Cloud Platform SSO
- SuccessFactors SSO
- visão geral do Microsoft Entra
Usar diretrizes específicas do aplicativo
Recomendamos consultar o Serviço de Autenticação de Identidade do SAP para SAP Analytics Cloud, SuccessFactors e SAP Business Technology Platform. Você também pode integrar serviços da SAP Business Technology Platform ao Microsoft Graph usando Microsoft Entra ID e o Serviço de Autenticação de Identidade do SAP.
Para obter mais informações, consulte:
- Usando Microsoft Entra ID para proteger o acesso a plataformas e aplicativos SAP.
- Serviço de Autenticação de Identidade do SAP
- Serviço de Provisionamento de Identidade sap
Um cenário comum do cliente é implantar o aplicativo SAP no Microsoft Teams. Essa solução requer SSO com Microsoft Entra ID. É recomendável navegar no marketplace comercial da Microsoft para ver quais aplicativos SAP estão disponíveis no Microsoft Teams. Para obter mais informações, consulte o Marketplace comercial da Microsoft.
Tabela 1 – Resumo dos métodos de SSO recomendados
| Solução SAP | Método de SSO |
|---|---|
| Aplicativos Web baseados no SAP NetWeaver, como Fiori, WebGui | SAML (Security Assertion Markup Language) |
| GUI do SAP | Kerberos com windows active directory ou Microsoft Entra Domain Services ou solução de terceiros |
| Aplicativos SAP PaaS e SaaS, como SAP Business Technology Platform (BTP), Analytics Cloud, Cloud Identity Services, SuccessFactors, Cloud for Customer, Ariba | SamL/ OAuth / JWT (Tokens Web JSON) e fluxos de autenticação pré-configurados com Microsoft Entra ID diretamente ou por proxy com o Serviço de Autenticação de Identidade sap |
Usar o RBAC (controle de acesso baseado em função)
Impacto: Segurança
É importante controlar o acesso aos recursos de carga de trabalho do SAP implantados. Cada assinatura do Azure tem uma relação de confiança com um locatário Microsoft Entra. Recomendamos que você use o RBAC (controle de acesso baseado em função) do Azure para permitir que os usuários em sua organização acessem o aplicativo SAP. Conceda o acesso atribuindo funções do Azure a usuários ou grupos em um determinado escopo. O escopo pode ser uma assinatura, um grupo de recursos ou um único recurso. O escopo depende do usuário e de como você agrupou os recursos de carga de trabalho do SAP.
Para obter mais informações, consulte:
Impor segurança de rede e aplicativo
Os controles de segurança de rede e de aplicativo são medidas de segurança de linha de base para cada carga de trabalho do SAP. A importância deles é repetir para impor a ideia de que a rede e o aplicativo SAP exigem controles rigorosos de revisão de segurança e linha de base.
Use a arquitetura hub-spoke. É essencial diferenciar entre serviços compartilhados e serviços de aplicativos SAP. Uma arquitetura hub-spoke é uma boa abordagem para a segurança. Você deve manter os recursos específicos da carga de trabalho em sua própria rede virtual separados dos serviços compartilhados no hub, como serviços de gerenciamento e DNS.
Para configurações nativas do SAP, você deve usar o SAP Cloud Connector e o SAP Link Privado para Azure como parte da configuração hub-spoke. Essas tecnologias dão suporte à arquitetura de extensão e inovação do SAP para o SAP Business Technology Platform (BTP). As integrações nativas do Azure totalmente integradas com redes virtuais e APIs do Azure e não exigem esses componentes.
Use grupos de segurança de rede. Os NSGs (grupos de segurança de rede) permitem filtrar o tráfego de rede de e para a carga de trabalho do SAP. Você pode definir regras NSG para permitir ou negar acesso ao seu aplicativo SAP. Você pode permitir o acesso às portas do aplicativo SAP de intervalos de endereços IP locais e negar o acesso à Internet pública. Para obter mais informações, consulte grupos de segurança de rede
Use grupos de segurança de aplicativo. Em geral, as melhores práticas de segurança para desenvolvimento de aplicativos também se aplicam na nuvem. Isso inclui itens como proteger contra falsificação de solicitação entre sites, impedir ataques de XSS (script entre sites) e evitar ataques de injeção de SQL.
Os ASGs (grupos de segurança de aplicativo) facilitam a configuração da segurança de rede de uma carga de trabalho. O ASG pode ser usado em regras de segurança em vez de IPs explícitos para VMs. As VMs são atribuídas ao ASG. Essa configuração dá suporte à reutilização da mesma política em diferentes cenários de aplicativo, devido a essa camada de abstração. Aplicativos de nuvem geralmente usam serviços gerenciados que têm chaves de acesso. Nunca marcar chaves de acesso no controle do código-fonte. Em vez disso, armazene segredos do aplicativo no Azure Key Vault. Para obter mais informações, consulte grupos de segurança de aplicativos.
Filtrar o tráfego da Web. Uma carga de trabalho voltada para a Internet deve ser protegida usando serviços como Firewall do Azure, Firewall de Aplicativo Web Gateway de Aplicativo para criar separação entre pontos de extremidade. Para obter mais informações, consulte conexões de internet de entrada e saída para SAP no Azure.
Criptografar dados
Impacto: Segurança
O Azure inclui ferramentas para proteger dados de acordo com as necessidades de segurança e conformidade da sua organização. É essencial que você criptografe os dados de carga de trabalho do SAP em repouso e em trânsito.
Criptografar dados em repouso
Criptografar dados inativos é um requisito de segurança comum. A criptografia do lado do serviço do Armazenamento do Azure é habilitada por padrão para todos os discos gerenciados, instantâneos e imagens. A criptografia do lado do serviço usa chaves gerenciadas pelo serviço por padrão e essas chaves são transparentes para o aplicativo.
Recomendamos que você examine e entenda a SSE (criptografia do lado do servidor) com CMKs (chaves gerenciadas pelo cliente). A combinação de criptografia do lado do servidor e uma chave gerenciada pelo cliente permite criptografar dados inativos no sistema operacional (SO) e discos de dados para combinações de SO SAP disponíveis. O Azure Disk Encryption não dá suporte a todos os sistemas operacionais SAP. A chave gerenciada pelo cliente deve ser armazenada em Key Vault para ajudar a garantir a integridade do sistema operacional. Também recomendamos criptografar seus bancos de dados SAP. O Azure Key Vault dá suporte à criptografia de banco de dados para SQL Server do DBMS (sistema de gerenciamento de banco de dados) e outras necessidades de armazenamento. A imagem a seguir mostra o processo de criptografia.
Ao usar a criptografia do lado do cliente, você criptografa os dados e carrega os dados como um blob criptografado. O gerenciamento de chaves é feito pelo cliente. Para obter mais informações, consulte:
- Criptografia do lado do servidor para discos gerenciados
- Criptografia do lado do serviço do Armazenamento do Azure
- Criptografia do lado do serviço usando chave gerenciada pelo cliente no Azure Key Vault
- Criptografia do cliente
Criptografar dados em trânsito
A criptografia em trânsito se aplica ao estado dos dados que se movem de um local para outro. Os dados em trânsito podem ser criptografados de várias maneiras, dependendo da natureza da conexão. Para obter mais informações, consulte criptografia de dados em trânsito.
Coletar e analisar logs de aplicativo SAP
O monitoramento de log do aplicativo é essencial para detectar ameaças de segurança no nível do aplicativo. É recomendável usar a Solução Microsoft Sentinel para SAP. É uma solução de SIEM (gerenciamento de eventos e informações de segurança) nativa de nuvem criada para sua carga de trabalho SAP em execução em uma VM. Para obter mais informações, consulte solução do Microsoft Sentinel para SAP.
Para obter informações gerais de segurança, consulte: