分享方式:

Azure 上 SAP 的安全性作業

  • 文章

本文是「SAP 擴充和創新安全性:最佳做法」一文系列的一部分。

本文說明安全性作業在 Azure 中保護 SAP 環境的最佳做法。 在 Microsoft Cloud 中實作 SAP 的完整安全性作業,以確保貴組織的敏感性資料和應用程式受到網路威脅的保護。

存取控制

SAP 系統在企業環境中具有業務關鍵性。 若要確保只有授權的人員可以存取敏感性資料並執行重要工作,請在您提供 SAP 系統和應用程式的控制和管理存取權時,使用最低許可權原則。 以下是一些相關的建議:

  • 使用 角色型存取控制 (RBAC) 來管理在 Azure 中部署的 SAP 工作負載資源的存取權。 每個 Azure 訂用帳戶都有與 Microsoft Entra 租使用者的信任關係。 為 SAP 系統管理員建立 Microsoft Entra 群組,並使用 RBAC 將許可權授與 SAP 群組。

  • SAP 與 Microsoft Entra ID 或 Azure 目錄同盟服務之間的單一登入(SSO) 可讓 SAP 使用者透過 SAP 前端軟體,例如 SAP GUI 或具有 HTTP 或 HTTPS 的瀏覽器來存取 SAP 應用程式,例如 SAP Fiori。

  • 使用 Microsoft Entra Privileged Identity Management (PIM) 來管理和指派角色給使用者和群組,以允許他們執行特殊許可權動作。 這些使用者只有在需要執行其作業時才能存取資源,例如停止或啟動虛擬機器(VM)。

    PIM 也提供自動化存取要求和核准、記錄和稽核功能,以管理和控制對 SAP 系統資源的特殊許可權存取。

  • Just-In-Time (JIT) 存取 提供授權的人員暫時提高對重要系統的存取權。 使用 JIT 存取權時,系統管理員只有在需要執行某些工作,例如系統維護或疑難排解時,才將暫時存取權授與特定 VM 或一組 VM。

  • 當您在 Azure 上執行 SAP 時,請使用 Azure 金鑰保存庫 來管理和保護敏感性資料,例如 SAP 系統管理員密碼、SAP 服務帳戶認證和加密金鑰。 使用金鑰保存庫的常見案例包括:

    • SAP 密碼儲存體 :SAP 系統需要元件的密碼,例如資料庫、應用程式伺服器和其他 SAP 服務。 使用金鑰保存庫安全地儲存這些密碼。 在系統啟動期間或需要存取 SAP 伺服器時擷取它們。
    • 加密金鑰儲存體 :SAP 系統通常需要加密以進行資料保護。 使用金鑰保存庫來儲存加密金鑰,並使用可保護密碼編譯金鑰的硬體安全性模組來保護它們。
    • 憑證儲存體 :使用金鑰保存庫來儲存和管理 SSL/TLS 憑證,這是 SAP 系統與其他應用程式之間安全通訊所需的憑證。

合規性

Azure 提供一組完整的安全性控制措施,可協助您保護在 Azure 中部署的 SAP 系統。 以下是一些與 SAP 系統相關的範例合規性供應專案:

  • ISO/IEC 27001 :Azure 已通過 ISO/IEC 27001 標準認證,其提供實作和維護資訊安全管理系統 (ISMS) 的架構。 此認證涵蓋安全性控制與最佳做法,包括網路安全性、存取控制和風險管理。
  • SOC 1、SOC 2 和 SOC 3 :Azure 會在服務組織控制項 (SOC) 架構下稽核,以提供一組控制項,讓服務提供者管理客戶資料。 SOC 1 適用于財務報告,SOC 2 適用于安全性、可用性、處理完整性、機密性和隱私權,而 SOC 3 則用於公開披露 SOC 2 報告。
  • 一般資料保護規定(GDPR) :Azure 符合 GDPR 規範,這是適用于處理歐盟 (EU) 個人個人資料的組織的資料隱私權法規。 此合規性供應專案包含功能,例如資料保護、資料外泄通知,以及設計隱私權。

您可以使用 適用於雲端的 Microsoft Defender 來監視此安全性基準、檢閱建議,以及針對 SAP 工作負載的不符合規範基準採取補救動作。

Screenshot that shows the Defender for Cloud configuration.

安全性修補程式

針對 Azure 中的 SAP 環境,有兩種重要的安全性修補類型:作業系統安全性修補和 SAP 安全性修補。

作業系統安全性修補程式

作業系統安全性修補程式可防止安全性缺口、遵守業界法規、改善效能,以及保護您的企業聲譽。 如果您在 Azure、內部部署或其他雲端環境中執行 Windows 和 Linux VM,您可以使用 Azure 自動化 中的更新管理中心 來管理作業系統更新,包括安全性修補程式。

Screenshot that shows the Update management center window.

每個月都會發行重大和安全性更新。 自動化更新並啟用自動 VM 客體修補,以維護 SAP 虛擬機器的安全性合規性。

注意

不支援 SAP 工作負載的一些 Linux 映射,例如適用于 SAP 的 Red Hat Enterprise Linux (RHEL)和 SAP 的 SUSE Linux Enterprise Server (SLES)。 支援 Windows 伺服器映射。 如需啟用自動 VM 客體修補和支援作業系統映射的需求相關資訊,請參閱 Azure VM 的自動 VM 客體修補。

SAP 安全性修補程式

您也可以保護其他 SAP 元件的安全性,例如資料庫和應用程式。 如需詳細資訊,請參閱 SAP 支援入口 網站中的 相關 SAP 附注。

定期檢閱 SAP 安全性 OSS 注意事項,因為 SAP 發行高度重要的安全性修補程式或經常性修正程式,需要立即採取動作來保護 SAP 系統。

SAP 安全性附注的常見弱點評分系統 (CVSS) v3 基底分數會決定其優先順序。 CVSS 是開放且廠商中立的架構,可判斷軟體弱點的特性和嚴重性。 它會統一跨多個廠商進行風險評估的方法。 CVSS 受到事件回應和安全性小組論壇(FIRST)的監護照顧。 如需詳細資訊,請參閱 SAP 安全性注意事項和新聞

下一步