Operace zabezpečení pro SAP v Azure
Tento článek je součástí článku "Sap extend and innovate security: Best practices" (Rozšiřte a inovujte zabezpečení SAP: Osvědčené postupy).
- Zabezpečení databáze SQL Serveru pro SAP v Azure
- Microsoft Sentinel pro SAP v Azure
- Operace zabezpečení pro SAP v Azure
Tento článek popisuje osvědčené postupy pro operace zabezpečení pro zabezpečení prostředí SAP v Azure. Implementujte komplexní operaci zabezpečení pro SAP v Microsoft Cloudu, abyste zajistili ochranu citlivých dat a aplikací vaší organizace před kybernetickými hrozbami.
Řízení přístupu
Systémy SAP jsou v podnikovém prostředí klíčové pro firmu. Pokud chcete zajistit, aby k citlivým datům měli přístup jenom autorizovaní pracovníci a mohli provádět kritické úlohy, použijte při poskytování řízení a správy přístup k systémům a aplikacím SAP zásadu nejnižších oprávnění. Tady je několik relevantních doporučení:
Pomocí řízení přístupu na základě role (RBAC) můžete spravovat přístup k prostředkům úloh SAP, které se nasazují v Azure. Každé předplatné Azure má vztah důvěryhodnosti s tenantem Microsoft Entra. Vytvořte skupinu Microsoft Entra pro správce SAP a pomocí RBAC udělte oprávnění skupině SAP.
Jednotné přihlašování (SSO) mezi SAP a Microsoft Entra ID nebo Azure Directory Federation Services (AD FS) umožňuje uživatelům SAP přistupovat k aplikacím SAP pomocí front-endového softwaru SAP, jako je SAP GUI, nebo prohlížeče s PROTOKOLem HTTP nebo HTTPS, například SAP Fiori.
Ke správě a přiřazování rolí uživatelům a skupinám použijte Microsoft Entra Privileged Identity Management (PIM), abyste jim umožnili provádět privilegované akce. Tito uživatelé mají k prostředkům přístup jenom v případě, že potřebují provést svoji úlohu, například zastavení nebo spuštění virtuálního počítače.
PIM také poskytuje možnosti automatizovaného přístupu a žádosti o přístup, protokolování a auditování pro správu a řízení privilegovaného přístupu k systémovým prostředkům SAP.
Přístup ZA běhu (JIT) poskytuje autorizovaným pracovníkům dočasný přístup se zvýšenými oprávněními k kritickým systémům. Díky přístupu JIT správci udělují dočasný přístup ke konkrétnímu virtuálnímu počítači nebo sadě virtuálních počítačů jenom v případě, že je potřeba provádět určité úlohy, jako je údržba systému nebo řešení potíží.
Když spustíte SAP v Azure, použijte Azure Key Vault ke správě a ochraně citlivých dat, jako jsou hesla správce SAP, přihlašovací údaje účtu služby SAP a šifrovací klíče. Mezi běžné scénáře použití služby Key Vault patří:
- Úložiště hesel SAP: Systémy SAP vyžadují hesla pro komponenty, jako jsou databáze, aplikační servery a další služby SAP. Tato hesla můžete bezpečně ukládat pomocí služby Key Vault. Načtěte je během spouštění systému nebo v případě, že potřebujete získat přístup k serveru SAP.
- Úložiště šifrovacích klíčů: Systémy SAP často vyžadují šifrování pro ochranu dat. Key Vault slouží k ukládání šifrovacích klíčů a jejich ochraně pomocí modulů hardwarového zabezpečení, což jsou zařízení odolná proti manipulaci, která chrání kryptografické klíče.
- Úložiště certifikátů: Použití služby Key Vault k ukládání a správě certifikátů SSL/TLS, které jsou vyžadovány pro zabezpečenou komunikaci mezi systémy SAP a dalšími aplikacemi.
Dodržování předpisů
Azure poskytuje komplexní sadu bezpečnostních prvků, které vám pomůžou chránit systémy SAP, které se nasazují v Azure. Tady je několik příkladů nabídek dodržování předpisů, které jsou relevantní pro systémy SAP:
- ISO/IEC 27001: Azure je certifikovaný podle standardu ISO/IEC 27001, který poskytuje rámec pro implementaci a údržbu systému správy zabezpečení informací (ISMS). Tato certifikace se zabývá bezpečnostními prvky a osvědčenými postupy, včetně zabezpečení sítě, řízení přístupu a správy rizik.
- SOC 1, SOC 2 a SOC 3: Azure je auditován v rámci architektury SOC (Service Organization Controls), která poskytuje sadu ovládacích prvků pro poskytovatele služeb pro správu zákaznických dat. SOC 1 je určená pro finanční zprávy, SOC 2 je určena pro zabezpečení, dostupnost, integritu zpracování, důvěrnost a ochranu osobních údajů a SOC 3 je určena pro zveřejnění zprávy SOC 2.
- Obecné nařízení o ochraně osobních údajů (GDPR):Azure je v souladu s NAŘÍZENÍM GDPR, což je nařízení o ochraně osobních údajů, které se vztahuje na organizace, které zpracovávají osobní údaje jednotlivců v Evropské unii (EU). Tato nabídka dodržování předpisů zahrnuje funkce, jako je ochrana dat, oznámení o porušení zabezpečení dat a ochrana osobních údajů podle návrhu.
Tento směrný plán zabezpečení můžete monitorovat, kontrolovat doporučení a provádět nápravné akce pro nedodržování předpisů pro úlohy SAP pomocí Microsoft Defenderu pro cloud.
Opravy zabezpečení
Pro vaše prostředí SAP v Azure existují dva důležité typy oprav zabezpečení: opravy zabezpečení operačního systému a opravy zabezpečení SAP.
Opravy zabezpečení operačního systému
Opravy zabezpečení operačního systému brání porušení zabezpečení, vyhovují oborovým předpisům, zlepšují výkon a chrání pověst vaší firmy. Pokud spouštíte virtuální počítače s Windows a Linuxem v Azure, místně nebo v jiných cloudových prostředích, můžete pomocí Centra pro správu aktualizací ve službě Azure Automation spravovat aktualizace operačního systému, včetně oprav zabezpečení.
Důležité aktualizace a aktualizace zabezpečení se vydávají každý měsíc. Automatizujte aktualizace a povolte automatické opravy hosta virtuálního počítače, abyste zachovali dodržování předpisů zabezpečení pro virtuální počítače SAP.
Poznámka
Některé image Linuxu pro úlohy SAP, jako je Red Hat Enterprise Linux (RHEL) pro SAP a SUSE Linux Enterprise Server (SLES) pro SAP, nejsou podporované. Podporují se image Windows Serveru. Informace o požadavcích na povolení automatických oprav hosta virtuálního počítače a podporovaných imagí operačního systému najdete v tématu Automatické opravy hosta virtuálního počítače pro virtuální počítače Azure.
Opravy zabezpečení SAP
Zabezpečení dalších komponent SAP, jako jsou databáze a aplikace, můžete také chránit. Další informace najdete v souvisejících poznámkách SAP na portálu podpory SAP.
Pravidelně kontrolujte poznámky k operačnímu systému ZABEZPEČENÍ SAP, protože SAP vydává vysoce důležité opravy zabezpečení nebo opravy, které vyžadují okamžitou akci k ochraně systémů SAP.
Základní skóre základního skóre systému CVSS (Common Vulnerability Scoring System) v3 poznámky zabezpečení SAP určuje jeho prioritu. CVSS je otevřená a dodavatelově neutrální architektura, která určuje charakteristiky a závažnost ohrožení zabezpečení softwaru. Sjednocuje přístupy k posouzení rizik napříč několika dodavateli. CVSS se stará o fórum reakce na incidenty a bezpečnostní týmy (FIRST). Další informace najdete v poznámkách k zabezpečení a novinkách SAP.
Další kroky
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro