Поделиться через

Безопасность рабочей нагрузки SAP

  • Статья

Azure предоставляет все средства, необходимые для защиты рабочей нагрузки SAP. Приложения SAP могут содержать конфиденциальные данные о вашей организации. Необходимо защитить архитектуру SAP с помощью безопасных методов проверки подлинности, защищенной сети и шифрования.

Настройка управления удостоверениями

Влияние: безопасность

Управление удостоверениями — это платформа для применения политик, управляющих доступом к критически важным ресурсам. Управление удостоверениями позволяет управлять доступом к рабочей нагрузке SAP в виртуальной сети или за ее пределами. Существует три варианта использования управления удостоверениями для рабочей нагрузки SAP, и решение для управления удостоверениями отличается для каждого из них.

Использование Microsoft Entra ID

Организации могут повысить безопасность виртуальных машин Windows и Linux в Azure путем интеграции с Microsoft Entra ID, полностью управляемой службой управления удостоверениями и доступом. Microsoft Entra ID может проверять подлинность и авторизовать доступ конечных пользователей к операционной системе SAP. Вы можете использовать Microsoft Entra ID для создания доменов, существующих в Azure, или использовать интеграцию с удостоверениями локальная служба Active Directory. Microsoft Entra ID также интегрируется с Microsoft 365, Dynamics CRM Online и многими приложениями SaaS от партнеров. Для распространения удостоверений рекомендуется использовать System for Cross-Domain Identity Management (SCIM). Этот шаблон обеспечивает оптимальный жизненный цикл пользователя.

Дополнительные сведения см. в разделе:

Настройка единого входа

Вы можете получить доступ к приложению SAP с помощью интерфейсного программного обеспечения SAP (SAP GUI) или браузера по протоколу HTTP/S. Рекомендуется настроить единый вход с помощью Microsoft Entra ID или службы федерации Active Directory (AD FS) (AD FS). Единый вход позволяет пользователям подключаться к приложениям SAP через браузер, где это возможно.

Дополнительные сведения см. в разделе:

Использование рекомендаций для конкретных приложений

Мы рекомендуем проконсультироваться со службой проверки подлинности SAP Identity Authentication service для SAP Analytics Cloud, SuccessFactors и ПЛАТФОРМы SAP Business Technology Platform. Вы также можете интегрировать службы платформы SAP Business Technology Platform с Microsoft Graph с помощью Microsoft Entra ID и службы проверки подлинности SAP Identity Authentication Service.

Дополнительные сведения см. в разделе:

Распространенный сценарий клиента — развертывание приложения SAP в Microsoft Teams. Для этого решения требуется единый вход с Microsoft Entra ID. Мы рекомендуем просматривать коммерческую платформу Майкрософт, чтобы узнать, какие приложения SAP доступны в Microsoft Teams. Дополнительные сведения см. на коммерческой платформе Майкрософт.

Таблица 1. Сводка рекомендуемых методов единого входа

Решение SAP Метод единого входа
Веб-приложения на основе SAP NetWeaver, такие как Fiori, WebGui Security Assertion Markup Language (SAML)
ГРАФИЧЕСКИЙ ИНТЕРФЕЙС SAP Kerberos с Windows Active Directory, Доменные службы Microsoft Entra или сторонним решением
Приложения SAP PaaS и SaaS, такие как SAP Business Technology Platform (BTP), Analytics Cloud, Cloud Identity Services, SuccessFactors, Cloud for Customer, Ariba SamL, OAuth/ JSON Web Token (JWT) и предварительно настроенные потоки проверки подлинности с помощью Microsoft Entra ID напрямую или через прокси-сервер в службе проверки подлинности SAP Identity Authentication Service

Использование управления доступом на основе ролей (RBAC)

Влияние: безопасность

Важно управлять доступом к развертываемой рабочей нагрузке SAP. Каждая подписка Azure имеет отношение доверия с клиентом Microsoft Entra. Мы рекомендуем использовать управление доступом на основе ролей Azure (Azure RBAC), чтобы предоставить пользователям в организации доступ к приложению SAP. Предоставляйте доступ, назначая пользователям или группам в определенной области роли Azure. Областью может быть подписка, группа ресурсов или отдельный ресурс. Область зависит от пользователя и от того, как вы сгруппировали ресурсы рабочей нагрузки SAP.

Дополнительные сведения см. в разделе:

Обеспечение безопасности сети и приложений

Средства управления безопасностью сети и приложений — это базовые меры безопасности для каждой рабочей нагрузки SAP. Их важность имеет повторение для реализации идеи о том, что сеть и приложение SAP требуют тщательной проверки безопасности и базовых средств управления.

Используйте звездообразную архитектуру. Важно различать общие службы и службы приложений SAP. Звездообразная архитектура — это хороший подход к обеспечению безопасности. Ресурсы рабочей нагрузки следует хранить в собственной виртуальной сети отдельно от общих служб в концентраторе, таких как службы управления и DNS.

Для собственных настроек SAP следует использовать SAP Cloud Connector и SAP Приватный канал для Azure в рамках настройки звездообразной центральной сети. Эти технологии поддерживают расширение SAP и архитектуру инноваций для платформы бизнес-технологий SAP (BTP). Собственные интеграции Azure полностью интегрированы с виртуальными сетями и API Azure и не требуют этих компонентов.

Используйте группы безопасности сети. Группы безопасности сети (NSG) позволяют фильтровать сетевой трафик в рабочую нагрузку SAP и из нее. Вы можете определить правила NSG, чтобы разрешить или запретить доступ к приложению SAP. Вы можете разрешить доступ к портам приложений SAP из локальных диапазонов IP-адресов и запретить общедоступный доступ к Интернету. Дополнительные сведения см. в разделе Группы безопасности сети.

Используйте группы безопасности приложений. Как правило, рекомендации по обеспечению безопасности для разработки приложений также применяются в облаке. К ним относятся защита от подделки межсайтовых запросов, предотвращение атак межсайтовых сценариев (XSS) и предотвращение атак путем внедрения кода SQL.

Группы безопасности приложений (ASG) упрощают настройку сетевой безопасности рабочей нагрузки. ASG можно использовать в правилах безопасности вместо явных IP-адресов для виртуальных машин. Затем виртуальные машины назначаются ASG. Эта конфигурация поддерживает повторное использование одной и той же политики в разных ландшафтах приложений из-за этого уровня абстракции. В облачных приложениях часто используются управляемые службы с ключами доступа. Никогда не проверка ключи доступа в систему управления версиями. Вместо этого храните секреты приложений в Azure Key Vault. Дополнительные сведения см. в разделе Группы безопасности приложений.

Фильтрация веб-трафика. Рабочая нагрузка с выходом в Интернет должна быть защищена с помощью таких служб, как Брандмауэр Azure, Брандмауэр веб-приложений Шлюз приложений для создания разделения между конечными точками. Дополнительные сведения см. в статье Входящие и исходящие подключения к Интернету для SAP в Azure.

Шифрование данных

Влияние: безопасность

Azure включает средства для защиты данных в соответствии с требованиями вашей организации к безопасности и соответствию требованиям. Важно шифровать неактивные и передаваемые данные рабочей нагрузки SAP.

Шифрование неактивных данных

Шифрование неактивных данных является распространенным требованием безопасности. Шифрование на стороне службы хранилища Azure по умолчанию включено для всех управляемых дисков, моментальных снимков и образов. Шифрование на стороне службы по умолчанию использует ключи, управляемые службой, и эти ключи прозрачны для приложения.

Мы рекомендуем ознакомиться с шифрованием на стороне службы или сервера (SSE) с помощью ключей, управляемых клиентом (CMK). Сочетание шифрования на стороне сервера и ключа, управляемого клиентом, позволяет шифровать неактивные данные в операционной системе (ОС) и дисках данных для доступных сочетаний ОС SAP. Шифрование дисков Azure поддерживает не все операционные системы SAP. Ключ, управляемый клиентом, должен храниться в Key Vault, чтобы обеспечить целостность операционной системы. Мы также рекомендуем зашифровать базы данных SAP. Azure Key Vault поддерживает шифрование базы данных для SQL Server из системы управления базами данных (СУБД) и других потребностей в хранилище. На следующем рисунке показан процесс шифрования.

Схема: рабочий процесс шифрования на стороне службы с помощью ключа, управляемого клиентом, с помощью Microsoft Entra ID и Azure Key Vault

При использовании шифрования на стороне клиента данные шифруются и передаются в виде зашифрованного BLOB-объекта. Управление ключами осуществляется пользователем. Дополнительные сведения см. в разделе:

Шифрование передаваемых данных

Шифрование при передаче применяется к состоянию данных, перемещаемых из одного расположения в другое. Передаваемые данные могут быть зашифрованы несколькими способами в зависимости от характера соединения. Дополнительные сведения см. в разделе Шифрование передаваемых данных.

Сбор и анализ журналов приложений SAP

Мониторинг журналов приложений необходим для обнаружения угроз безопасности на уровне приложения. Мы рекомендуем использовать решение Microsoft Sentinel для SAP. Это облачное решение для управления информационной безопасностью и событиями безопасности (SIEM), созданное для рабочей нагрузки SAP, работающей на виртуальной машине. Дополнительные сведения см. в статье Решение Microsoft Sentinel для SAP.

Общие сведения о безопасности см. в разделе:

Дальнейшие действия

Проектирование приложений

Платформа приложений

Платформа данных

Сеть и подключение

Операционные процедуры