Operazioni di sicurezza per SAP in Azure
Questo articolo fa parte della serie di articoli "Sap extend and innovazione security: Best practices".
- Sicurezza del database DI SQL Server per SAP in Azure
- Microsoft Sentinel per SAP in Azure
- Operazioni di sicurezza per SAP in Azure
Questo articolo descrive le procedure consigliate per le operazioni di sicurezza per proteggere l'ambiente SAP in Azure. Implementare un'operazione di sicurezza completa per SAP in Microsoft Cloud per garantire che i dati e le applicazioni sensibili dell'organizzazione siano protetti da minacce informatiche.
Controllo di accesso
I sistemi SAP sono fondamentali per l'azienda in un panorama aziendale. Per garantire che solo il personale autorizzato possa accedere ai dati sensibili ed eseguire attività critiche, usare il principio dei privilegi minimi quando si fornisce l'accesso di controllo e gestione ai sistemi e alle applicazioni SAP. Ecco alcune raccomandazioni pertinenti:
Usare il controllo degli accessi in base al ruolo per gestire l'accesso alle risorse del carico di lavoro SAP distribuite in Azure. Ogni sottoscrizione di Azure ha una relazione di trust con un tenant di Microsoft Entra. Creare un gruppo Microsoft Entra per gli amministratori SAP e usare il controllo degli accessi in base al ruolo per concedere le autorizzazioni al gruppo SAP.
L'accesso Single Sign-On (SSO) tra SAP e Microsoft Entra ID o Azure Directory Federation Services (AD FS) consente agli utenti SAP di accedere alle applicazioni SAP con software front-end SAP, ad esempio SAP GUI o un browser con HTTP o HTTPS, ad esempio SAP Fiori.
Usare Microsoft Entra Privileged Identity Management (PIM) per gestire e assegnare ruoli a utenti e gruppi per consentire loro di eseguire azioni con privilegi. Questi utenti hanno accesso alle risorse solo quando devono eseguire il proprio processo, ad esempio l'arresto o l'avvio di una macchina virtuale.
PIM offre anche funzionalità automatizzate di richiesta di accesso e approvazione, registrazione e controllo per gestire e controllare l'accesso con privilegi alle risorse di sistema SAP.
L'accesso JIT (Just-In-Time) fornisce al personale autorizzato l'accesso temporaneo con privilegi elevati ai sistemi critici. Con l'accesso JIT, gli amministratori concedono l'accesso temporaneo a una macchina virtuale o a un set specifico di macchine virtuali solo quando è necessario eseguire determinate attività, ad esempio la manutenzione del sistema o la risoluzione dei problemi.
Quando si esegue SAP in Azure, usare Azure Key Vault per gestire e proteggere i dati sensibili, ad esempio password di amministratore SAP, credenziali dell'account del servizio SAP e chiavi di crittografia. Gli scenari comuni per l'uso di Key Vault sono:
- Archiviazione password SAP: i sistemi SAP richiedono password per i componenti, ad esempio database, server applicazioni e altri servizi SAP. Usare Key Vault per archiviare in modo sicuro queste password. Recuperarli durante l'avvio del sistema o quando è necessario accedere al server SAP.
- Archiviazione delle chiavi di crittografia: i sistemi SAP spesso richiedono la crittografia per la protezione dei dati. Usare Key Vault per archiviare le chiavi di crittografia e proteggerle usando moduli di sicurezza hardware, che sono dispositivi antimanomissione che proteggono le chiavi crittografiche.
- Archiviazione certificati: usare Key Vault per archiviare e gestire i certificati SSL/TLS, necessari per la comunicazione sicura tra sistemi SAP e altre applicazioni.
Conformità
Azure offre un set completo di controlli di sicurezza che consentono di proteggere i sistemi SAP distribuiti in Azure. Ecco alcune delle offerte di conformità di esempio rilevanti per i sistemi SAP:
- ISO/IEC 27001: Azure è certificato con lo standard ISO/IEC 27001, che fornisce un framework per l'implementazione e la gestione di un sistema di gestione della sicurezza delle informazioni (ISMS). Questa certificazione riguarda i controlli di sicurezza e le procedure consigliate, tra cui la sicurezza di rete, il controllo di accesso e la gestione dei rischi.
- SOC 1, SOC 2 e SOC 3: Azure viene controllato nel framework SOC (Service Organization Controls), che fornisce un set di controlli per i provider di servizi per gestire i dati dei clienti. SOC 1 è per la creazione di report finanziari, SOC 2 è per la sicurezza, la disponibilità, l'integrità dell'elaborazione, la riservatezza e la privacy e SOC 3 è per la divulgazione pubblica del report SOC 2.
- Regolamento generale sulla protezione dei dati (GDPR): Azure è conforme al GDPR, che è un regolamento sulla privacy dei dati applicabile alle organizzazioni che elaborano i dati personali delle persone nell'Unione europea (UE). Questa offerta di conformità include funzionalità come la protezione dei dati, la notifica di violazione dei dati e la privacy in base alla progettazione.
È possibile monitorare questa baseline di sicurezza, esaminare le raccomandazioni ed eseguire azioni correttive per la baseline di non conformità per i carichi di lavoro SAP usando Microsoft Defender per il cloud.
Patch di sicurezza
Per l'ambiente SAP in Azure, esistono due importanti tipi di applicazione di patch alla sicurezza: applicazione di patch alla sicurezza del sistema operativo e applicazione di patch di sicurezza SAP.
Patch di sicurezza del sistema operativo
Le patch di sicurezza del sistema operativo impediscono violazioni della sicurezza, rispettano le normative del settore, migliorano le prestazioni e proteggono la reputazione dell'azienda. Se si eseguono macchine virtuali Windows e Linux in Azure, in locale o in altri ambienti cloud, è possibile usare il Centro gestione aggiornamenti in Automazione di Azure per gestire gli aggiornamenti del sistema operativo, incluse le patch di sicurezza.
Gli aggiornamenti critici e della sicurezza vengono rilasciati ogni mese. Automatizzare gli aggiornamenti e abilitare l'applicazione automatica di patch guest alle macchine virtuali per mantenere la conformità alla sicurezza per le macchine virtuali SAP.
Nota
Alcune immagini Linux per il carico di lavoro SAP, ad esempio Red Hat Enterprise Linux (RHEL) per SAP e SU edizione Standard Linux Enterprise Server (SLES) per SAP, non sono supportate. Le immagini di Windows Server sono supportate. Per informazioni sui requisiti per abilitare l'applicazione automatica di patch guest alle macchine virtuali e le immagini supportate del sistema operativo, vedere Applicazione automatica di patch guest alle macchine virtuali di Azure.
Patch di sicurezza SAP
È anche possibile proteggere la sicurezza di altri componenti SAP, ad esempio database e applicazioni. Per altre informazioni, vedere le note SAP correlate nel portale di supporto SAP.
Esaminare regolarmente le note del sistema operativo di sicurezza SAP perché SAP rilascia patch di sicurezza estremamente critiche o correzioni ad accesso frequente che richiedono un'azione immediata per proteggere i sistemi SAP.
Il punteggio di base CVSS (Common Vulnerability Scoring System) v3 della nota di sicurezza SAP ne determina la priorità. CVSS è un framework aperto e indipendente dal fornitore che determina le caratteristiche e la gravità delle vulnerabilità del software. Unifica gli approcci alla valutazione dei rischi tra più fornitori. CVSS è sotto la cura del forum di Risposta agli eventi imprevisti e team di sicurezza (FIRST). Per altre informazioni, vedere Note e notizie sulla sicurezza sap.
Passaggi successivi
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per