Службы идентификации и безопасности Azure с ПОМОЩЬЮ SAP RISE
В этой статье описана интеграция удостоверений Azure и служб безопасности с рабочей нагрузкой SAP RISE. Дополнительные сведения об использовании некоторых служб мониторинга Azure описаны для ландшафта SAP RISE.
Единый вход для SAP
Единый вход настраивается для многих сред SAP. При использовании рабочих нагрузок SAP, работающих в ECS/RISE, шаги по реализации не отличаются от собственной системы SAP. Шаги интеграции с единым входом на основе идентификатора Microsoft Entra доступны для типичных управляемых рабочих нагрузок ECS/RISE:
- Руководство по интеграции единого входа Microsoft Entra с SAP NetWeaver
- Руководство по интеграции единого входа Microsoft Entra с SAP Fiori
- Руководство по интеграции Microsoft Entra с SAP HANA
| Метод единого входа | Поставщик удостоверений | Типичный вариант использования | Внедрение |
|---|---|---|---|
| SAML/OAuth | Microsoft Entra ID | SAP Fiori, веб-графический интерфейс, портал, HANA | Настройка по клиенту |
| SNC | Microsoft Entra ID | SAP GUI | Настройка по клиенту |
| SPNEGO | Active Directory (AD) | Веб-графический интерфейс, корпоративный портал SAP | Настройка клиентом и SAP |
Единый вход в службу Active Directory (AD) домена Windows для управляемой среды SAP ECS/RISE, с клиентом SAP SSO Secure Login требуется интеграция AD для устройств конечных пользователей. При использовании SAP RISE все системы Windows не интегрируются с доменом Active Directory клиента. Интеграция домена не требуется для единого входа в AD/Kerberos, так как маркер безопасности домена считывается на клиентском устройстве и безопасно обменивается системой SAP. Обратитесь к SAP, если вам требуются изменения для интеграции единого входа ad или использования сторонних продуктов, отличных от клиента безопасного входа SAP SSO, так как может потребоваться некоторая конфигурация в управляемых системах RISE.
Microsoft Sentinel с SAP RISE
Решение SAP RISE сертифицировано Microsoft Sentinel для приложений SAP позволяет отслеживать, обнаруживать и реагировать на подозрительные действия. Microsoft Sentinel защищает критически важные данные от сложных кибератак для систем SAP, размещенных в Azure, других облаках или локальной инфраструктуре.
Это решение позволяет получать видимость действий пользователей в SAP RISE/ECS и уровнях бизнес-логики SAP и применять встроенное содержимое Sentinel.
- Используйте одну консоль для мониторинга всех корпоративных активов, включая экземпляры SAP в SAP RISE/ECS в Azure и других облаках, sap Azure native и локальных ресурсов.
- Обнаружение и автоматическое реагирование на угрозы: обнаружение подозрительных действий, включая эскалацию привилегий, несанкционированные изменения, конфиденциальные транзакции, кражу данных и многое другое с помощью возможностей обнаружения вне поля
- Сопоставляйте действия SAP с другими сигналами: более точное обнаружение угроз SAP путем перекрестной корреляции между конечными точками, данными Microsoft Entra и т. д.
- Настройка на основе ваших потребностей — создание собственных обнаружений для отслеживания конфиденциальных транзакций и других бизнес-рисков
- Визуализация данных с помощью встроенных книг
На этой схеме показан пример Microsoft Sentinel, подключенный через промежуточную виртуальную машину или контейнер к управляемой системе SAP SAP. Промежуточная виртуальная машина или контейнер выполняются в собственной подписке клиента с настроенным агентом соединителя данных SAP.
Для SAP RISE/ECS решение Microsoft Sentinel должно быть развернуто в подписке Azure клиента. Все части решения Sentinel управляются клиентом, а не SAP. Для достижения ландшафтов SAP, управляемых SAP RISE/ECS, требуется подключение к частной сети из виртуальной сети клиента. Как правило, это подключение выполняется через установленный пиринг виртуальной сети или через альтернативные варианты, описанные в этом документе.
Чтобы включить решение, требуется только авторизованный пользователь RFC, и ничего не нужно устанавливать в системах SAP. Агент сбора данных SAP на основе контейнера, включенный в решение, можно установить в виртуальной машине или в любой среде Kubernetes. Агент сборщика использует пользователя службы SAP для использования данных журнала приложений из ландшафта SAP через интерфейс RFC с помощью стандартных вызовов RFC.
- Методы проверки подлинности, поддерживаемые в SAP RISE: имя пользователя и пароль SAP или сертификаты X509/SNC
- Только подключения на основе RFC доступны в настоящее время с средами SAP RISE/ECS.
Обратите внимание на запуск Microsoft Sentinel в среде SAP RISE/ECS:
- Для следующих полей журнала или источника требуется запрос на изменение транспорта SAP: сведения об IP-адресе клиента из журнала аудита безопасности SAP, журналы таблиц базы данных (предварительная версия), журналы выходных данных spool. Встроенное содержимое Sentinel (обнаружения, книги и сборники схем) обеспечивает широкий охват и корреляцию без этих источников журналов.
- Журналы инфраструктуры SAP и операционной системы недоступны для Sentinel в RISE, включая виртуальные машины под управлением SAP, источники данных SAPControl, сетевые ресурсы, размещенные в ECS. SAP отслеживает элементы инфраструктуры и операционной системы Azure независимо.
Используйте предварительно созданные сборники схем для обеспечения безопасности, оркестрации, автоматизации и реагирования (SOAR) для быстрого реагирования на угрозы. Популярный первый сценарий — это блокировка пользователей SAP с параметром вмешательства из Microsoft Teams. Шаблон интеграции можно применить к любому типу инцидентов и целевой службе, охватывающим платформу SAP Business Technology Platform (BTP) или идентификатор Microsoft Entra, что касается уменьшения области атаки.
Дополнительные сведения о Microsoft Sentinel и SOAR для SAP см. в серии блогов "От нуля до покрытия безопасности героя" с помощью Microsoft Sentinel для критически важных сигналов безопасности SAP.
На этом изображении показан инцидент SAP, обнаруженный Sentinel, который предлагает возможность заблокировать подозрительных пользователей в SAP ERP, SAP Business Technology Platform или Microsoft Entra ID.
Дополнительные сведения о Microsoft Sentinel и SAP, включая руководство по развертыванию, см . в документации по продукту Sentinel.
Мониторинг Azure для SAP с помощью SAP RISE
Azure Monitor для решений SAP — это собственное решение Azure для мониторинга системы SAP. Он расширяет возможности мониторинга платформы Azure Monitor за счет поддержки сбора данных о SAP NetWeaver, базе данных и операционной системе.
SAP RISE/ECS — это полностью управляемая служба для ландшафта SAP, поэтому мониторинг Azure для SAP не предназначен для такой управляемой среды. SAP RISE/ECS не поддерживает интеграцию с Azure Monitor для решений SAP. Используется собственный мониторинг и отчеты SAP и предоставляется клиенту в соответствии с описанием службы с помощью SAP.
Центр Azure для решений SAP
Как и в случае с решениями SAP для мониторинга Azure, SAP RISE/ECS не поддерживает интеграцию с Центром Azure для решений SAP в любой возможности. Все рабочие нагрузки SAP RISE развертываются SAP и выполняются в клиенте и подписке SAP, без доступа клиента к ресурсам Azure.
Следующие шаги
См. соответствующую документацию:
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по