你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
SAP 是许多组织在当今最重要的工作负载中使用的常见技术。 规划 SAP 体系结构时,应特别注意确保体系结构可靠且安全。 本文的目的是记录 Azure 上企业级 SAP 的安全、合规性和治理设计标准。 本文讨论特定于在 Azure 上部署 SAP 平台的设计建议、最佳做法和设计注意事项。 若要全面准备企业解决方案的治理,请务必查看 Azure 登陆区域设计区域中的安全治理和合规性指南
云解决方案最初托管了单个相对隔离的应用程序。 随着云解决方案的优势变得清晰,云托管了许多更大规模的工作负载,例如 Azure 上的 SAP。 解决一个或多个区域中部署的安全性、可靠性、性能和成本问题在云服务生命周期中变得至关重要。
针对 Azure 上的 SAP 企业级登陆区域安全性、合规性和治理的愿景是让组织工具和流程防止风险并做出有效的决策。 企业规模登陆区域定义了安全治理和合规性角色和职责,因此每个人都知道他们期望的内容。
共同责任模型
评估公有云服务时,了解云提供商与客户处理的任务至关重要。 在共同责任模型中,云提供商与其客户之间的职责划分取决于工作负荷的云托管模型:软件即服务(SaaS)、平台即服务(PaaS)或基础结构即服务(IaaS)。 作为客户,无论云部署模型如何,你始终负责数据、终结点和帐户和访问管理。
下图显示了Microsoft云共同责任模型中责任区域之间的任务划分:
有关共享责任模型的详细信息,请参阅 云中的共同责任。
安全设计建议
安全性是Microsoft与客户之间的共同责任。 可以将自己的虚拟机(VM)和数据库映像上传到 Azure,或使用 Azure 市场的映像。 但是,这些映像需要满足应用程序和组织要求的安全控制。 必须将特定于客户的安全控制应用于操作系统、数据和 SAP 应用程序层。
有关普遍接受的安全指南,请参阅 Internet 安全中心(CIS)提供的 网络安全最佳做法 。
Azure 着陆区域提供有关零信任架构的网络安全以保护网络边界和流量流动的具体指导。 有关详细信息,请参阅 Azure 上的网络安全策略。
启用 Microsoft Defender for Cloud
使用中心辐射型网络拓扑的企业通常跨多个 Azure 订阅部署云体系结构模式。 在以下云部署关系图中,红色框突出显示了安全差距。 黄色框表示在跨工作负载和订阅中优化网络虚拟设备的机会。
Microsoft Defender for Cloud 提供威胁防护,并让你全面了解整个企业安全状况。
请在 Azure 订阅上启用 Microsoft Defender for Cloud Standard,以保护 SAP 系统。
加强数据中心的安全态势,并为 Azure 和其他云中的本地和混合工作负荷提供高级威胁防护。
查看 Azure 上的 SAP 订阅的整体安全状况,并查看 SAP VM、磁盘和应用程序的资源安全状况。
委托具有 即时访问权限的 SAP 管理员自定义角色。
使用 Linux 和 Windows 上运行的 SAP 主机的专用 Microsoft Defender for Endpoint 配置来确保 SAP 布局安全且 SAP 服务器性能得到优化。 有关详细信息,请使用以下参考:
以下屏幕截图显示了 Azure 门户中的工作负荷保护仪表板:
为 SAP 启用 Microsoft Sentinel 解决方案
Microsoft Sentinel 是一种可缩放的云原生安全信息和事件管理 (SIEM) 以及安全业务流程自动响应 (SOAR) 解决方案。 Microsoft Sentinel 在整个企业中提供智能安全分析和威胁情报,为警报检测、威胁可见性、主动搜寻和威胁响应提供单个解决方案。
适用于 SAP 的 Microsoft Sentinel 解决方案具有以下优势:
- 该解决方案受到 Microsoft自己保护其 SAP 系统的经验的影响很大。
- 它提供经过验证的内置检测规则、针对 SAP 安全性的自动化操作 playbook和工作簿,以基于 NIST、SOX 等常用框架可视化覆盖范围。
- 它检测并启用对整个 SAP 堆栈(AS ABAP、AS JAVA 和 SAP Business Technology Platform)的安全威胁的响应。
- 它与 Microsoft Unified Security Operations Platform 集成,可跨所有 Microsoft Defender 产品、Microsoft Sentinel 和 Microsoft Security Copilot 提供安全警报和事件的统一视图。
查找 本文的其他设计注意事项。
保护身份验证
单一登录(SSO)是集成 SAP 和Microsoft产品的基础。 Active Directory 中的 Kerberos 令牌与第三方安全产品相结合,多年来为 SAP GUI 和基于 Web 浏览器的应用程序启用了此功能。 当用户登录到其工作站并成功进行身份验证时,Active Directory 会向他们颁发 Kerberos 令牌。 然后,第三方安全产品使用 Kerberos 令牌来处理对 SAP 应用程序的身份验证,而无需用户重新进行身份验证。
还可以通过将第三方安全产品与 DIAG(SAP GUI)、RFC 和 SPNEGO for HTTPS 的安全网络通信(SNC)集成,从而加密从用户的前端传输到 SAP 应用程序的数据。
Microsoft SAML 2.0 的 Entra ID 还可以为 SAP NetWeaver、SAP HANA 和 SAP Cloud Platform 等一系列 SAP 应用程序和平台提供 SSO。 查找 有关标识和访问管理部分的更多详细信息。
强化操作系统
请确保强化作系统以消除可能导致对 SAP 数据库的攻击的漏洞。
一些额外的检查确保基础安装的安全性:
- 定期检查系统文件完整性。
- 限制对操作系统的访问。
- 限制对服务器的物理访问。
- 在网络级别保护对服务器的访问。
隔离虚拟网络
隔离和限制对网络服务和协议的访问。 若要进行更严格的控制,可以使用多种 Azure 安全机制来保护推荐的中心辐射型网络体系结构:
通过中心虚拟网络(通过虚拟网络对等互连连接到分支网络)传递所有流量,将 SAP 应用程序和数据库服务器与 Internet 或本地网络隔离开来。 对等互连的虚拟网络保证 Azure 上的 SAP 解决方案与公共 Internet 隔离。
使用 Azure Monitor、 Azure 网络安全组(NSG)或应用程序安全组监视和筛选流量。
使用 Azure 防火墙 或任何市场可用的网络虚拟设备(NVA)。
有关更高级的网络安全措施,请实施 网络DMZ。 有关详细信息,请参阅 在 Azure 与本地数据中心之间实现外围网络。
将 DMZ 和 NVA 与 SAP 资产的其余部分隔离,配置 Azure 专用链接,并安全地管理和控制 Azure 上的 SAP 资源。
以下体系结构图显示了如何通过 NSG 管理具有网络服务和协议隔离和限制的 Azure 虚拟网络拓扑。 确保网络安全也符合组织安全策略要求。
有关 Azure 网络安全上的 SAP 的详细信息,请参阅 Azure 上的 SAP 安全作。
静态数据加密
静态数据是物理媒体上持久存储的信息,采用任何数字格式。 媒体可以包括磁介质或光学介质、存档数据和数据备份上的文件。 Azure 提供各种数据存储解决方案,包括文件、磁盘、Blob 和表。 默认情况下,某些 Azure 存储数据加密是使用可选的客户配置进行的。 有关详细信息,请参阅 Azure 静态数据加密 和 Azure 加密概述。
Azure VM 上的 SAP 服务器端加密 (SSE)可保护数据,并帮助满足组织安全性和合规性承诺。 将数据保存到云时,SSE 会自动加密 Azure 托管 OS 和数据磁盘上的静态数据。 SSE 使用 256 位 AES 加密以透明方式加密 Azure 托管磁盘数据,这是可用的最强块密码之一,符合 FIPS 140-2 标准。 SSE 不会影响托管磁盘性能,无需额外付费。 有关 Azure 托管磁盘基础的加密模块的详细信息,请参阅 加密 API:下一代。
为所有 Azure 资源管理器帐户启用 Azure 存储加密,并且无法禁用。 由于数据默认已加密,因此无需修改代码或应用程序以使用 Azure 存储加密。
对于 SAP 数据库服务器加密,请使用 SAP HANA 本机加密技术。 如果使用 Azure SQL 数据库,请使用 DBMS 提供程序提供的 透明数据加密(TDE) 来保护数据和日志文件,并确保备份也已加密。
保护传输中的数据
数据在从一个位置移动到另一个位置(无论是内部本地还是 Azure 内部,还是在外部)(例如通过 Internet 移动到最终用户)时,数据处于传输中或飞行状态。 Azure 提供了多种机制来保持传输中的数据私密性。 所有机制都可以使用加密等保护方法。 这些机制包括:
- 使用 IPsec/IKE 加密通过虚拟专用网络(VPN)进行通信
- 通过 Azure 应用程序网关或 Azure Front Door 等 Azure 组件,使用传输层安全协议 (TLS) 1.2 或更高版本。
- Azure VM 上可用的协议,例如 Windows IPsec 或 SMB
Azure 数据中心之间的所有 Azure 流量会自动启用使用 MACsec(IEEE 数据链路层标准)进行加密。 此加密可确保客户数据保密性和完整性。 有关详细信息,请参阅 Azure 客户数据保护。
管理密钥和机密
若要控制和管理非 HANA Windows 和非 Windows作系统的磁盘加密密钥和机密,请使用 Azure Key Vault。 Key Vault 具有预配和管理 SSL/TLS 证书的功能。 还可以使用硬件安全模块(HSM)保护机密。 Azure Key Vault 不支持 SAP HANA,因此必须使用备用方法,例如 SAP ABAP 或 SSH 密钥。
保护 Web 和移动应用程序
对于面向 Internet 的应用程序(如 SAP Fiori),请确保在维护安全级别的同时按应用程序要求分配负载。 对于第 7 层安全性,可以使用 Azure 市场中提供的第三方 Web 应用程序防火墙(WAF)。
对于移动应用, Microsoft企业移动性 + 安全性 可以集成面向 SAP Internet 的应用程序,因为它有助于保护和保护组织,并使员工能够以新的灵活方式工作。
安全地管理流量
对于面向 Internet 的应用程序,必须确保在维护安全级别的同时按应用程序要求分配负载。 负载均衡 是跨多个计算资源的工作负荷分布。 负载均衡旨在优化资源使用、最大化吞吐量、最小化响应时间并避免重载任何单个资源。 负载均衡还可以通过跨冗余计算资源共享工作负荷来提高可用性。
负载均衡器将流量定向到应用程序子网中的 VM。 为了获得高可用性,此示例使用 SAP Web 调度程序和 Azure 标准负载均衡器。 这两个服务还通过横向扩展来支持容量扩展。还可以使用 Azure 应用程序网关或其他合作伙伴产品,具体取决于流量类型和所需的功能,例如安全套接字层(SSL)终止和转发。
可以将 Azure 负载均衡服务按全球和区域两种范围,以及按支持 HTTP/S 和不支持 HTTP/S 两种类型进行分类。
全局负载均衡服务跨区域后端、云或混合本地服务分配流量。 这些服务将最终用户流量路由到最近的可用后端。 这些服务还通过响应服务可靠性或性能的变化来最大程度地提高可用性和性能。 可以将这些服务视为在跨不同区域或地域托管的应用程序标记、终结点或缩放单元之间实现负载均衡的系统。
区域负载均衡服务在虚拟网络中跨虚拟机或区域中的区域和区域冗余服务终结点分发流量。 可以将这些服务视为在虚拟网络中某个区域中的 VM、容器或群集之间进行负载均衡的系统。
HTTP/S 负载均衡服务是第 7 层负载均衡器,仅接受 HTTP/S 流量,适用于 Web 应用程序或其他 HTTP/S 终结点。 HTTP/S 负载均衡服务包括 SSL 卸载、WAF、基于路径的负载均衡和会话相关性等功能。
对于非 Web 工作负荷,建议使用能够处理非 HTTP/S 流量的非 HTTP/S 负载均衡服务。
下表按类别汇总了 Azure 负载均衡服务:
| 服务 | 全局或区域 | 建议的流量 |
|---|---|---|
| Azure Front Door | 全球 | HTTP/S |
| Traffic Manager | 全球 | 非 HTTP/S |
| 应用程序网关 | 区域 | HTTP/S |
| Azure Load Balancer | 区域 | 非 HTTP/S 协议 |
Front Door 是一个应用程序分发网络,可为 Web 应用程序提供全局负载均衡和站点加速服务。 Front Door 提供第 7 层功能,例如 SSL 卸载、基于路径的路由、快速故障转移和缓存,以提高应用程序的性能和可用性。
流量管理器 是一种基于 DNS 的流量负载均衡器,可让你以最佳方式将流量分配到全球 Azure 区域的服务,同时提供高可用性和响应能力。 由于流量管理器是基于 DNS 的负载均衡服务,因此它仅在域级别进行负载均衡。 出于此原因,它无法像 Front Door 一样快速进行故障转移,因为存在 DNS 缓存和系统不采用 DNS TTL 的常见挑战。
应用程序网关 提供具有各种第 7 层负载均衡功能的托管应用程序传送控制器。 可以使用应用程序网关通过将 CPU 密集型 SSL 终端卸载到网关来优化 Web 场生产力。
Azure 负载均衡器 是适用于所有 UDP 和 TCP 协议的高性能超低延迟第 4 层入站和出站负载均衡服务。 负载均衡器每秒处理数百万个请求。 负载均衡器是区域冗余的,可确保跨可用性区域的高可用性。
请参阅以下决策树,以便在 Azure 上为 SAP 应用程序做出负载均衡决策。
每个 SAP 应用程序都有独特的要求,因此请将前面的流程图和建议视为更详细的评估的起点。 如果 SAP 应用程序由多个工作负荷组成,请单独评估每个工作负荷。 完整的解决方案可能合并了两个或两个以上的负载均衡解决方案。
监控安全
适用于 SAP 解决方案的 Azure Monitor 是一款适用于 SAP 环境的 Azure 本地监视产品,可兼容 Azure 虚拟机上的 SAP 和 HANA 大型实例。 使用适用于 SAP 解决方案的 Azure Monitor,可以从一个中心位置的 Azure 基础结构和数据库收集遥测数据,并直观地关联遥测数据,以便更快地进行故障排除。
安全范围界定决策
以下建议适用于各种安全方案。 范围内要求是使安全解决方案经济高效且可缩放。
| 范围(场景) | 建议 | 注释 |
|---|---|---|
| 查看 Azure 和本地安全状况的合并视图。 | Microsoft Defender for Cloud Standard | Microsoft Defender for Cloud Standard 可帮助从本地和云载入 Windows 和 Linux 计算机,并显示合并的安全态势。 |
| 加密 Azure 上的所有 SAP 数据库以满足法规要求。 | SAP HANA 原生加密和 SQL TDE | 对于数据库,请使用 SAP HANA 本机加密技术。 如果使用 SQL 数据库,请启用 TDE。 |
| 使用 HTTPS 流量保护全局用户的 SAP Fiori 应用程序。 | Azure Front Door | Front Door 是一个应用程序分发网络,可为 Web 应用程序提供全局负载均衡和站点加速服务。 |
合规性和治理设计建议
Azure 顾问 是免费的,帮助你获取 SAP 在 Azure 订阅上的整合视图。 有关可靠性、复原能力、安全性、性能、成本和卓越运营设计建议,请参阅 Azure 顾问建议。
使用 Azure Policy
Azure Policy 通过合规性仪表板帮助实施组织标准并大规模评估合规性。 Azure Policy 提供一个聚合视图,用于评估环境的整体状态,并且可以深入查看到每个资源和每个策略的细节。
Azure Policy 还有助于通过对现有资源的批量修正以及针对新资源的自动修正,使资源符合性。 示例 Azure 策略将允许的位置应用于管理组,要求在资源上添加标记及其值,使用托管磁盘创建 VM,或命名策略。
管理 Azure 上的 SAP 成本
成本管理非常重要。 Microsoft 提供了各种方法来优化成本,例如预留、大小调整和推迟。 了解和设置 成本支出限制的警报非常重要。 可以扩展此监视,以便与整体 IT 服务管理(ITSM)解决方案集成。
自动执行 SAP 部署
通过自动执行 SAP 部署来节省时间和减少错误。 将复杂的 SAP 环境部署到公有云并非易事。 SAP 基本团队可能非常熟悉安装和配置本地 SAP 系统的传统任务。 设计、生成和测试云部署通常需要额外的域知识。 有关详细信息,请参阅 SAP 企业级平台自动化和 DevOps。
为生产工作负荷锁定资源
在 SAP 项目开始时创建所需的 Azure 资源。 完成所有添加、移动和更改并且 Azure 上的 SAP 部署正常运行时,锁定所有资源。 然后,只有超级管理员可以解锁并允许修改资源(例如 VM)。 有关详细信息,请参阅锁定资源以防止意外更改。
实现基于角色的访问控制
为 Azure 上的 SAP 分支订阅自定义基于角色的访问控制 (RBAC) 角色,以避免意外的网络相关更改。 可以允许 SAP on Azure 基础结构团队成员将 VM 部署到 Azure 虚拟网络,并限制其对已与中心订阅对等互连的虚拟网络进行任何更改。 另一方面,允许网络团队的成员创建和配置虚拟网络,但禁止他们在运行 SAP 应用程序的虚拟网络中部署或配置 VM。
使用适用于 SAP LaMa 的 Azure 连接器
在典型的 SAP 资产中,通常会部署多个应用程序环境,例如 ERP、SCM 和 BW,并且需要持续执行 SAP 系统副本和 SAP 系统刷新。 例如,为技术或应用程序版本创建新的 SAP 项目,或定期从生产副本刷新 QA 系统。 SAP 系统副本和刷新的端到端过程既耗时又费力。
SAP 横向管理(LaMa)Enterprise Edition 可以通过自动执行 SAP 系统复制或刷新中涉及的几个步骤来支持运营效率。 Azure Connector for LaMa 支持复制、删除和重定位 Azure 托管磁盘,以帮助 SAP 运营团队快速执行 SAP 系统副本和系统刷新,从而减少手动工作。
对于 VM 操作,用于 LaMa 的 Azure 连接器可以降低 Azure 上 SAP 资产的运行成本。 可以停止或解除分配和启动 SAP VM,这样就可以以较低的利用率运行某些工作负荷。 例如,通过 LaMa 接口,可以计划 SAP S/4HANA 沙盒 VM 从 08:00 到 18:00,每天 10 小时联机,而不是运行 24 小时。 使用适用于 LaMa 的 Azure 连接器,还可以在性能需求直接从 LaMa 内部产生时调整 VM 的大小。
合规性和治理范围决策
以下建议适用于各种合规性和治理方案。 范围内要求是使解决方案经济高效且可缩放。
| 范围(场景) | 建议 | 注释 |
|---|---|---|
| 为标准命名约定配置治理模型,并基于成本中心生成报表。 | Azure Policy 和 Azure 标签 | 同时使用 Azure 策略和标记来满足要求。 |
| 避免意外删除 Azure 资源。 | Azure 资源锁 | Azure 资源锁可防止意外删除资源。 |
| 获取 Azure 上 SAP 资源的成本优化、复原能力、安全性、卓越运营和性能的机会领域的综合视图 | Azure 顾问 | Azure 顾问是免费的,有助于跨 Azure 上的 SAP 订阅获取统一视图。 |