通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Azure 上的 SAP 安全操作

本文是“SAP 扩展和创新安全性:最佳做法”一文系列的一部分。

本文介绍安全操作在 Azure 中保护 SAP 环境的最佳做法。 为 Microsoft 云中的 SAP 实施全面的安全操作,以确保组织的敏感数据和应用程序免受网络威胁的保护。

访问控制

SAP 系统在企业环境中具有业务关键性。 为了确保只有经过授权的人员才能访问敏感数据并执行关键任务,请在提供对 SAP 系统和应用程序的控制和管理访问权限时,使用最低特权原则。 下面是一些相关建议:

  • 使用 基于角色的访问控制(RBAC) 管理对 Azure 中部署的 SAP 工作负荷资源的访问权限。 每个 Azure 订阅都与 Microsoft Entra 租户建立了信任关系。 为 SAP 管理员创建 Microsoft Entra 组,并使用 RBAC 向 SAP 组授予权限。

  • SAP 与 Microsoft Entra ID 或 Azure Directory 联合身份验证服务(AD FS)之间的单一登录(SSO) 允许 SAP 用户使用 SAP 前端软件(如 SAP GUI)或 HTTP 或 HTTPS 浏览器(例如 SAP Fiori)访问 SAP 应用程序。

  • 使用 Microsoft Entra Privileged Identity Management (PIM) 管理角色并将其分配给用户和组,以允许他们执行特权操作。 这些用户只有在需要执行作业(例如停止或启动虚拟机)时才有权访问资源。

    PIM 还提供自动访问请求和审批、日志记录和审核功能,用于管理和控制对 SAP 系统资源的特权访问。

  • 实时 (JIT) 访问权限 提供授权人员临时提升对关键系统的访问。 使用 JIT 访问权限时,管理员仅当需要执行某些任务(如系统维护或故障排除)时才授予对特定 VM 或 VM 集的临时访问权限。

  • 在 Azure 上运行 SAP 时,请使用 Azure 密钥库来管理和保护敏感数据,例如 SAP 管理员密码、SAP 服务帐户凭据和加密密钥。 使用密钥库的常见方案包括:

    • SAP 密码存储:SAP 系统需要组件(如数据库、应用程序服务器和其他 SAP 服务)的密码。 使用密钥库安全地存储这些密码。 在系统启动期间或需要访问 SAP 服务器时检索它们。
    • 加密密钥存储:SAP 系统通常需要对数据保护进行加密。 使用密钥库存储加密密钥,并使用硬件安全模块来保护它们,这些模块是保护加密密钥的防篡改设备。
    • 证书存储:使用密钥库存储和管理 SSL/TLS 证书,这是 SAP 系统和其他应用程序之间安全通信所必需的。

合规性

Azure 提供了一套全面的安全控制措施,可帮助保护在 Azure 中部署的 SAP 系统。 下面是与 SAP 系统相关的一些示例合规性产品:

  • ISO/IEC 27001:Azure 根据 ISO/IEC 27001 标准认证,该标准提供了一个框架,用于实施和维护信息安全管理系统(ISMS)。 此认证涵盖安全控制和最佳做法,包括网络安全、访问控制和风险管理。
  • SOC 1、SOC 2 和 SOC 3:Azure 在服务组织控制(SOC)框架下进行审核,该框架为服务提供商提供一组控制措施来管理客户数据。 SOC 1 用于财务报告,SOC 2 用于安全、可用性、处理完整性、保密性和隐私,SOC 3 用于公开披露 SOC 2 报告。
  • 一般数据保护条例(GDPR):Azure 符合 GDPR,这是适用于处理欧盟(EU)个人个人数据的组织的数据隐私法规。 此合规性产品/服务包括数据保护、数据泄露通知和设计隐私等功能。

可以使用 Microsoft Defender for Cloud 监视此安全基线、查看建议,并针对 SAP 工作负载的非合规基线采取修正操作。

Screenshot that shows the Defender for Cloud configuration.

安全修补程序

对于 Azure 中的 SAP 环境,有两种重要的安全修补类型:操作系统安全修补和 SAP 安全修补。

操作系统安全修补程序

操作系统安全修补程序可防止安全漏洞,遵守行业法规,提高性能,保护企业的声誉。 如果在 Azure、本地或其他云环境中运行 Windows 和 Linux VM,则可以使用 Azure 自动化 中的更新管理中心来管理操作系统更新,包括安全修补程序。

Screenshot that shows the Update management center window.

关键更新和安全更新每月发布。 自动更新并启用自动 VM 来宾修补,以维护 SAP 虚拟机的安全符合性。

注意

不支持某些适用于 SAP 工作负载的 Linux 映像(例如适用于 SAP 的 Red Hat Enterprise Linux(RHEL)和 SU标准版 Linux Enterprise Server (SLES)。 支持 Windows 服务器映像。 有关启用自动 VM 来宾修补和支持的操作系统映像的要求的信息,请参阅 Azure VM 的自动 VM 来宾修补。

SAP 安全修补程序

还可以保护其他 SAP 组件(如数据库和应用程序)的安全性。 有关详细信息,请参阅 SAP 支持门户中的相关 SAP 说明

定期查看 SAP 安全 OSS 说明,因为 SAP 发布高度关键的安全修补程序或热修补程序,这些修补程序需要立即采取措施来保护 SAP 系统。

SAP 安全说明的常见漏洞评分系统 (CVSS) v3 基本分数决定了其优先级。 CVSS 是一个开放和供应商中立的框架,用于确定软件漏洞的特征和严重性。 它统一了跨多个供应商进行风险评估的方法。 CVSS 受到事件响应和安全团队论坛(FIRST)的监护权。 有关详细信息,请参阅 SAP 安全说明和新闻

后续步骤