Операции безопасности для SAP в Azure
Эта статья является частью серии статей о расширении и внедрении инноваций SAP: рекомендации.
- Безопасность базы данных SQL Server для SAP в Azure
- Microsoft Sentinel для SAP в Azure
- Операции безопасности для SAP в Azure
В этой статье описаны рекомендации по обеспечению безопасности для защиты среды SAP в Azure. Реализуйте комплексную операцию безопасности для SAP в Microsoft Cloud, чтобы обеспечить защиту конфиденциальных данных и приложений вашей организации от киберугрызов.
Управление доступом
Системы SAP критически важны для бизнеса в корпоративном ландшафте. Чтобы убедиться, что только авторизованный персонал может получить доступ к конфиденциальным данным и выполнять критически важные задачи, используйте принцип наименьшей привилегии при предоставлении контроля и управления доступом к системам и приложениям SAP. Ниже приведены некоторые рекомендации.
Используйте управление доступом на основе ролей (RBAC) для управления доступом к ресурсам рабочей нагрузки SAP, которые развертываются в Azure. Каждая подписка Azure имеет отношение доверия с клиентом Microsoft Entra. Создайте группу Microsoft Entra для администраторов SAP и используйте RBAC для предоставления разрешений группе SAP.
Единый вход между SAP и Microsoft Entra ID или службами федерации Azure (AD FS) позволяет пользователям SAP получать доступ к приложениям SAP с внешним программным обеспечением SAP, например SAP GUI или браузером с HTTP или HTTPS, например SAP Fiori.
Используйте Microsoft Entra управление привилегированными пользователями (PIM), чтобы управлять и назначать роли пользователям и группам, чтобы разрешить им выполнять привилегированные действия. Эти пользователи имеют доступ только к ресурсам, когда им нужно выполнить свою работу, например остановить или запустить виртуальную машину.
PIM также предоставляет возможности автоматического запроса доступа и утверждения, ведения журнала и аудита для управления привилегированным доступом к системным ресурсам SAP и управления ими.
JIT-доступ предоставляет авторизованный персонал временный повышенный доступ к критически важным системам. С помощью JIT-доступа администраторы предоставляют временный доступ к определенной виртуальной машине или набору виртуальных машин только в том случае, если это необходимо для выполнения определенных задач, таких как обслуживание системы или устранение неполадок.
При запуске SAP в Azure используйте Azure Key Vault для управления конфиденциальными данными, такими как пароли администратора SAP, учетные данные учетной записи службы SAP и ключи шифрования. Распространенные сценарии использования Key Vault:
- Хранилище паролей SAP: системам SAP требуются пароли для компонентов, таких как базы данных, серверы приложений и другие службы SAP. Используйте Key Vault для безопасного хранения этих паролей. Извлеките их во время запуска системы или при необходимости доступа к серверу SAP.
- Хранилище ключей шифрования: системам SAP часто требуется шифрование для защиты данных. Используйте Key Vault для хранения ключей шифрования и защиты их с помощью аппаратных модулей безопасности, которые защищают криптографические ключи.
- Хранилище сертификатов: используйте Key Vault для хранения сертификатов SSL/TLS и управления ими, которые необходимы для безопасного обмена данными между системами SAP и другими приложениями.
Соответствие
Azure предоставляет полный набор средств управления безопасностью для защиты систем SAP, развертываемых в Azure. Ниже приведены некоторые примеры предложений соответствия требованиям, которые относятся к системам SAP:
- ISO/IEC 27001: Azure сертифицирована в соответствии со стандартом ISO/IEC 27001, который предоставляет платформу для реализации и поддержания системы управления информационной безопасностью (ISMS). Эта сертификация охватывает элементы управления безопасностью и рекомендации, включая безопасность сети, управление доступом и управление рисками.
- SOC 1, SOC 2 и SOC 3: Azure выполняет аудит в рамках платформы управления организацией служб (SOC), которая предоставляет набор элементов управления для поставщиков услуг для управления данными клиентов. SOC 1 предназначен для финансовой отчетности, SOC 2 предназначен для обеспечения безопасности, доступности, целостности обработки, конфиденциальности и конфиденциальности, а SOC 3 — для публичного раскрытия отчета SOC 2.
- Общий регламент по защите данных (GDPR): Azure соответствует GDPR, который является регламентом конфиденциальности данных, который применяется к организациям, обрабатывающим персональные данные отдельных лиц в Европейском союзе (ЕС). Это предложение по соответствию требованиям включает такие функции, как защита данных, уведомление о нарушении безопасности данных и конфиденциальность путем разработки.
Вы можете отслеживать эти базовые показатели безопасности, просматривать рекомендации и выполнять действия по исправлению для базовых показателей несоответствия рабочих нагрузок SAP с помощью Microsoft Defender для облака.
Исправления системы безопасности
Для среды SAP в Azure существует два важных типа исправлений безопасности: исправление безопасности операционной системы и исправление безопасности SAP.
Исправления безопасности операционной системы
Исправления безопасности операционной системы предотвращают нарушения безопасности, соответствуют отраслевым правилам, повышают производительность и защищают репутацию вашего бизнеса. Если вы запускаете виртуальные машины Windows и Linux в Azure, локальной среде или в других облачных средах, вы можете использовать центр управления обновлениями в служба автоматизации Azure для управления обновлениями операционной системы, включая исправления системы безопасности.
Критически важные обновления и обновления системы безопасности выпускаются каждый месяц. Автоматизация обновлений и включение автоматического исправления гостевой виртуальной машины для обеспечения соответствия безопасности виртуальных машин SAP.
Примечание.
Некоторые образы Linux для рабочей нагрузки SAP, такие как Red Hat Enterprise Linux (RHEL) для SAP и SUSE Linux Enterprise Server (SLES), не поддерживаются. Поддерживаются образы Windows Server. Сведения о требованиях к включению автоматического исправления гостевой виртуальной машины и поддерживаемых образов операционной системы см. в статье Автоматическое исправление гостевой виртуальной машины для виртуальных машин Azure.
Исправления безопасности SAP
Вы также можете защитить безопасность других компонентов SAP, таких как базы данных и приложения. Дополнительные сведения см. в связанных заметках SAP на портале поддержки SAP.
Регулярно просматривайте заметки о безопасности SAP OSS, так как SAP выпускает критически важные исправления безопасности или горячие исправления, которые требуют немедленного действия для защиты систем SAP.
Базовая оценка распространенных уязвимостей (CVSS) базовой оценки безопасности SAP определяет приоритет. CVSS — это открытая и нейтрализуемая поставщиком платформа, которая определяет характеристики и серьезность уязвимостей программного обеспечения. Он объединяет подходы к оценке рисков для нескольких поставщиков. CVSS находится под стражей Форума реагирования на инциденты и групп безопасности (FIRST). Дополнительные сведения см. в заметках и новостях о безопасности SAP.
Следующие шаги
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по