Seguridad de la carga de trabajo de SAP
Azure proporciona todas las herramientas necesarias para proteger la carga de trabajo de SAP. Las aplicaciones de SAP pueden contener datos confidenciales sobre su organización. Debe proteger la arquitectura de SAP con métodos de autenticación seguros, redes protegidas y cifrado.
Configuración de la administración de identidades
Impacto: Seguridad
La administración de identidades es un marco para aplicar las directivas que controlan el acceso a los recursos críticos. La administración de identidades controla el acceso a la carga de trabajo de SAP dentro o fuera de su red virtual. Hay tres casos de uso de administración de identidades que se deben tener en cuenta para la carga de trabajo de SAP y la solución de administración de identidades difiere para cada una.
Uso de Microsoft Entra ID
Las organizaciones pueden mejorar la seguridad de las máquinas virtuales Windows y Linux en Azure mediante la integración con Microsoft Entra ID, una identidad totalmente administrada y un servicio de administración de acceso. Microsoft Entra ID puede autenticar y autorizar el acceso del usuario final al sistema operativo SAP. Puede usar Microsoft Entra ID para crear dominios que existen en Azure o usarlos para integrarlos con las identidades de Active Directory local. Microsoft Entra ID también se integra con Microsoft 365, Dynamics CRM Online y muchas aplicaciones de software como servicio (SaaS) de asociados. Se recomienda usar System for Cross-Domain Identity Management (SCIM) para la propagación de identidades. Este patrón permite un ciclo de vida de usuario óptimo.
Para más información, consulte:
- Sincronización de SCIM con Microsoft Entra ID
- Configuración de SAP Cloud Platform Identity Authentication para el aprovisionamiento automático de usuarios
- integración del inicio de sesión único (SSO) de Microsoft Entra con SAP NetWeaver
- Inicio de sesión en una máquina virtual Linux en Azure mediante Microsoft Entra ID y OpenSSH
- Inicie sesión en una máquina virtual Windows en Azure mediante Microsoft Entra ID
Configurar inicio de sesión único
Puede acceder a la aplicación SAP con el software de front-end de SAP (GUI de SAP) o un explorador con HTTP/S. Se recomienda configurar el inicio de sesión único (SSO) mediante Microsoft Entra ID o Servicios de federación de Active Directory (AD FS) (AD FS). El inicio de sesión único permite a los usuarios finales conectarse a las aplicaciones de SAP a través del explorador siempre que sea posible.
Para más información, consulte:
- SAP HANA SSO
- SAP NetWeaver SSO
- SAP Fiori SSO
- SAP Cloud Platform SSO
- SuccessFactors SSO
- Información general sobre Microsoft Entra
Uso de instrucciones específicas de la aplicación
Se recomienda consultar sap Identity Authentication Service for SAP Analytics Cloud, SuccessFactors y SAP Business Technology Platform. También puede integrar servicios de sap Business Technology Platform con Microsoft Graph mediante Microsoft Entra ID y el servicio de autenticación de identidad de SAP.
Para más información, consulte:
- Uso de Microsoft Entra ID para proteger el acceso a las plataformas y aplicaciones de SAP.
- Servicio de autenticación de identidad de SAP
- Servicio de aprovisionamiento de identidades de SAP
Un escenario de cliente común es implementar la aplicación SAP en Microsoft Teams. Esta solución requiere SSO con Microsoft Entra ID. Se recomienda examinar el marketplace comercial de Microsoft para ver qué aplicaciones sap están disponibles en Microsoft Teams. Para obtener más información, consulte Marketplace comercial de Microsoft.
Tabla 1: Resumen de los métodos de inicio de sesión único recomendados
| Solución de SAP | Método de inicio de sesión único |
|---|---|
| Aplicaciones web basadas en SAP NetWeaver, como Fiori, WebGui | Lenguaje de marcado de aserción de seguridad (SAML) |
| SAP GUI | Kerberos con Windows Active Directory o Servicios de dominio de Microsoft Entra o solución de terceros |
| Aplicaciones PaaS y SaaS de SAP, como SAP Business Technology Platform (BTP), Analytics Cloud, Cloud Identity Services, SuccessFactors, Cloud for Customer, Ariba | SamL/ OAuth/ JSON Web Tokens (JWT) y flujos de autenticación preconfigurados con Microsoft Entra ID directamente o por proxy con el servicio de autenticación de identidad de SAP |
Uso del control de acceso basado en rol (RBAC)
Impacto: Seguridad
Es importante controlar el acceso a los recursos de carga de trabajo de SAP que implemente. Cada suscripción de Azure tiene una relación de confianza con un inquilino de Microsoft Entra. Se recomienda usar el control de acceso basado en rol de Azure (RBAC de Azure) para conceder a los usuarios de su organización acceso a la aplicación SAP. Para conceder el acceso, asigne los roles de Azure a usuarios o grupos en un ámbito determinado. El ámbito puede ser una suscripción, un grupo de recursos o incluso un solo recurso. El ámbito depende del usuario y de cómo ha agrupado los recursos de carga de trabajo de SAP.
Para más información, consulte:
Aplicación de la seguridad de la red y de la aplicación
Los controles de seguridad de red y aplicaciones son medidas de seguridad de línea base para cada carga de trabajo de SAP. Su importancia tiene que repetirse para aplicar la idea de que la red y la aplicación de SAP requieren rigurosas revisiones de seguridad y controles de línea de base.
Use la arquitectura en estrella tipo hub-and-spoke. Es fundamental diferenciar entre los servicios compartidos y los servicios de aplicaciones de SAP. Una arquitectura en estrella tipo hub-and-spoke es un buen enfoque para la seguridad. Debe mantener los recursos específicos de la carga de trabajo en su propia red virtual independiente de los servicios compartidos en el centro, como los servicios de administración y DNS.
En el caso de las configuraciones nativas de SAP, debe usar SAP Cloud Connector y SAP Private Link para Azure como parte de la configuración en estrella tipo hub-and-spoke. Estas tecnologías admiten la arquitectura de innovación y extensión de SAP para sap Business Technology Platform (BTP). Las integraciones nativas de Azure están totalmente integradas con redes virtuales y API de Azure y no requieren estos componentes.
Uso de grupos de seguridad de red Los grupos de seguridad de red (NSG) permiten filtrar el tráfico de red hacia y desde la carga de trabajo de SAP. Puede definir reglas de NSG para permitir o denegar el acceso a la aplicación SAP. Puede permitir el acceso a los puertos de aplicación de SAP desde intervalos de direcciones IP locales y denegar el acceso público a Internet. Para más información, consulte Grupos de seguridad de red.
Utilice grupos de seguridad de aplicaciones. En general, los procedimientos recomendados de seguridad para el desarrollo de aplicaciones también se aplican en la nube. Estos incluyen elementos como la protección contra falsificaciones de solicitudes entre sitios, la frustración de ataques de scripting entre sitios (XSS) y la prevención de ataques por inyección de código SQL.
Los grupos de seguridad de aplicaciones (ASG) facilitan la configuración de la seguridad de red de una carga de trabajo. El ASG se puede usar en las reglas de seguridad en lugar de las direcciones IP explícitas de las máquinas virtuales. A continuación, las máquinas virtuales se asignan a ASG. Esta configuración admite la reutilización de la misma directiva en diferentes entornos de aplicación, debido a esta capa de abstracción. Las aplicaciones en la nube suelen utilizar servicios administrados que tienen claves de acceso. Nunca compruebe las claves de acceso en el control de código fuente. En su lugar, almacene secretos de aplicación en Azure Key Vault. Para más información, consulte Grupos de seguridad de aplicaciones.
Filtre el tráfico web. Una carga de trabajo accesible desde Internet debe protegerse mediante servicios como Azure Firewall, Web Application Firewall, Application Gateway para crear una separación entre puntos de conexión. Para más información, consulte Conexiones entrantes y salientes a Internet para SAP en Azure.
Cifrado de datos
Impacto: Seguridad
Azure incluye herramientas para proteger los datos según las necesidades de seguridad y cumplimiento de su organización. Es esencial cifrar los datos de carga de trabajo de SAP en reposo y en tránsito.
Cifrado de datos en reposo
El cifrado de datos en reposo es un requisito de seguridad común. El cifrado del lado del servicio de Azure Storage está habilitado de forma predeterminada para todos los discos administrados, instantáneas e imágenes. El cifrado del lado del servicio usa claves administradas por el servicio de forma predeterminada y estas claves son transparentes para la aplicación.
Se recomienda revisar y comprender el cifrado del lado servidor (SSE) con claves administradas por el cliente (CMK). La combinación de cifrado del lado servidor y una clave administrada por el cliente le permite cifrar los datos en reposo en el sistema operativo (SO) y los discos de datos para las combinaciones disponibles del sistema operativo SAP. Azure Disk Encryption no admite todos los sistemas operativos SAP. La clave administrada por el cliente debe almacenarse en Key Vault para ayudar a garantizar la integridad del sistema operativo. También se recomienda cifrar las bases de datos de SAP. Azure Key Vault admite el cifrado de base de datos para SQL Server desde el sistema de administración de bases de datos (DBMS) y otras necesidades de almacenamiento. En la imagen siguiente se muestra el proceso de cifrado.
Cuando se usa el cifrado del lado cliente, se cifran los datos y se cargan como un blob cifrado. El cliente se encarga de la administración de claves. Para más información, consulte:
- Cifrado del lado servidor para discos administrados
- Cifrado del lado del servicio de Azure Storage
- Cifrado del lado servicio mediante la clave administrada por el cliente en Azure Key Vault
- Cifrado de cliente
Cifrado de los datos en tránsito
El cifrado en tránsito se aplica al estado de los datos que se mueven de una ubicación a otra. Los datos en tránsito se pueden cifrar de varias maneras, en función de la naturaleza de la conexión. Para más información, consulte cifrado de datos en tránsito.
Recopilación y análisis de registros de aplicaciones de SAP
La supervisión del registro de aplicaciones es esencial para detectar amenazas de seguridad en el nivel de aplicación. Se recomienda usar la solución microsoft Sentinel para SAP. Se trata de una solución de administración de eventos e información de seguridad nativa de la nube (SIEM) creada para la carga de trabajo de SAP que se ejecuta en una máquina virtual. Para más información, consulte Solución de Microsoft Sentinel para SAP.
Para obtener información general de seguridad, vea:
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de