Azure의 SAP에 대 한 엔터프라이즈급 보안, 거 버 넌 스 및 규정 준수Enterprise-scale security, governance, and compliance for SAP on Azure

SAP는 오늘날 대부분의 중요 한 워크 로드에서 사용 하는 일반적인 기술입니다.SAP is a common technology many organizations use in their most crucial workloads today. SAP 아키텍처를 계획할 때 아키텍처를 강력 하 고 안전 하 게 유지 하기 위해 특별히 주의를 기울여야 합니다.When planning SAP architecture, you should pay special attention to ensuring that the architecture is robust and secure. 이 문서의 목표는 Azure에서 엔터프라이즈급 SAP의 보안, 규정 준수 및 거 버 넌 스 디자인 기준을 문서화 하는 것입니다.The goal of this article is to document the security, compliance, and governance design criteria for enterprise-scale SAP on Azure. 이 문서에서는 필드의 입력을 반영 하는 디자인 권장 사항, 모범 사례 및 디자인 고려 사항을 설명 합니다.The article discusses design recommendations, best practices, and design considerations that reflect input from the field.

클라우드 솔루션은 처음에 비교적 격리 된 단일 응용 프로그램을 호스트 합니다.Cloud solutions initially hosted single, relatively isolated applications. 클라우드 솔루션의 이점이 명확 하 게 되 면 클라우드는 Azure의 SAP와 같이 대규모의 많은 워크 로드를 호스트 합니다.As the benefits of cloud solutions became clear, the cloud hosted many larger-scale workloads, like SAP on Azure. 하나 이상의 지역에서 배포에 대 한 보안, 안정성, 성능 및 비용 문제를 해결 하는 것은 클라우드 서비스의 수명 주기 내내 매우 중요 합니다.Addressing security, reliability, performance, and cost concerns of deployments in one or more regions became vital throughout the lifecycle of cloud services.

Azure의 SAP 엔터프라이즈 규모 방문 영역 보안, 규정 준수 및 거 버 넌 스는 조직 도구와 프로세스에 위험을 방지 하 고 효과적인 결정을 내리는 데 도움이 됩니다.The vision for SAP enterprise-scale landing zone security, compliance, and governance on Azure is to give organizations tools and processes to prevent risk and make effective decisions. 엔터프라이즈 규모 방문 영역은 보안, 거 버 넌 스 및 규정 준수 역할 및 책임을 정의 하므로 모든 사용자가 기대 하는 것을 알 수 있습니다.The enterprise-scale landing zone defines security, governance, and compliance roles and responsibilities, so everyone knows what is expected from them.

공동 책임 모델Shared responsibility model

공용 클라우드 서비스를 평가 하는 경우 클라우드 공급자와 고객이 처리 하는 작업을 이해 하는 것이 중요 합니다.As you evaluate public cloud services, it's critical to understand which tasks the cloud provider versus the customer handle. 공유 책임 모델에서 클라우드 공급자와 고객 간의 책임 구분은 워크 로드의 클라우드 호스팅 모델: SaaS (software as a service), PaaS (platform as a service) 또는 IaaS (infrastructure as a service)에 따라 달라 집니다.Under the shared responsibility model, the division of responsibilities between a cloud provider and its customers depends on your workload's cloud hosting model: software as a service (SaaS), platform as a service (PaaS), or infrastructure as a service (IaaS). 고객은 클라우드 배포 모델에 관계 없이 항상 데이터, 끝점, 계정 및 액세스 관리를 담당 합니다.As a customer, you are always responsible for your data, endpoints, and account and access management, regardless of cloud deployment model.

다음 다이어그램은 Microsoft의 클라우드 공유 책임 모델에서 책임 영역 간의 작업 나누기를 보여 줍니다.The following diagram shows the division of tasks between responsibility zones in Microsoft's cloud shared responsibility model:

SaaS, PaaS, IaaS 및 온-프레미스 배포 모델에서 고객 또는 클라우드 공급자의 책임을 보여 주는 다이어그램입니다.

공유 책임 모델에 대 한 자세한 내용은 클라우드에서 공유 역할을 참조 하세요.For more information about the shared responsibility model, see Shared responsibility in the cloud.

보안 디자인 권장 사항Security design recommendations

보안은 Microsoft와 고객 간의 공유 책임입니다.Security is a shared responsibility between Microsoft and customers. VM (가상 머신) 및 데이터베이스 이미지를 Azure에 업로드 하거나 Azure Marketplace 이미지를 사용할 수 있습니다.You can upload your own virtual machine (VM) and database images to Azure, or use images from the Azure Marketplace. 그러나 이러한 이미지에는 응용 프로그램 및 조직의 요구 사항을 충족 하는 보안 컨트롤이 필요 합니다.However, these images need security controls that meet application and organizational requirements. 운영 체제, 데이터 및 SAP 응용 프로그램 계층에 고객 관련 보안 제어를 적용 해야 합니다.You must apply your customer-specific security controls to the operating system, data, and SAP application layer.

일반적으로 허용 되는 보안 지침은 CI (Internet Security) 센터에서 사이버 보안 모범 사례를 참조 하세요.For generally-accepted security guidance, refer to the cybersecurity best practicesfrom the Center for Internet Security (CIS).

Azure Security Center 활성화Enable Azure Security Center

허브-스포크 네트워크 토폴로지를 사용 하는 기업은 여러 Azure 구독에서 클라우드 아키텍처 패턴을 배포 하는 경우가 많습니다.Enterprises that use hub-spoke network topologies often deploy cloud architecture patterns across multiple Azure subscriptions. 다음 클라우드 배포 다이어그램에서 빨간색 상자에는 보안 간격이 강조 표시 되어 있습니다.In the following cloud deployment diagram, the red box highlights a security gap. 노란색 상자는 워크 로드 및 구독에서 네트워크 가상 어플라이언스를 최적화할 수 있는 기회를 보여 줍니다.The yellow box shows an opportunity to optimize network virtual appliances across workloads and subscriptions.

보안 문제가 있는 엔터프라이즈 클라우드 배포를 보여 주는 다이어그램

Azure Security Center 는 위협 방지 기능을 제공 하며 전체 엔터프라이즈 보안 상태를 전체적으로 보여 줍니다.Azure Security Center provides threat protection and gives you a holistic view of your entire enterprise security posture.

다음에 대 한 Azure 구독에서 SAP에 Azure Security Center Standard를 사용 하도록 설정 합니다.Enable Azure Security Center Standard for SAP on Azure subscriptions to:

  • 데이터 센터의 보안 상태를 강화 하 고 Azure 및 기타 클라우드에서 온-프레미스 및 하이브리드 워크 로드에 대 한 고급 위협 방지 기능을 제공 합니다.Strengthen the security posture your datacenters and provide advanced threat protection for on-premises and hybrid workloads across Azure and other clouds.

  • Azure 구독에서 SAP의 모든 보안 상태를 확인 하 고 SAP Vm, 디스크 및 응용 프로그램에서 리소스 보안을 예방 합니다.See all-up security posture across SAP on Azure subscriptions, and see resource security hygiene across SAP VMs, disks, and applications.

  • Just-in-time 액세스를 사용 하 여 SAP admin 사용자 지정 역할을 위임 합니다.Delegate an SAP admin custom role with just-in-time access.

SAP에 Azure Security Center Standard를 사용 하도록 설정 하는 경우 endpoint protection을 설치 하는 모든 정책에서 SAP 데이터베이스 서버를 제외 해야 합니다.When you enable Azure Security Center Standard for SAP, make sure to exclude the SAP database servers from any policy that installs endpoint protection.

다음 스크린샷은 Azure Portal의 Azure Security Center 대시보드를 보여 줍니다.The following screenshot shows the Azure Security Center dashboard in the Azure portal:

Azure Security Center 대시보드

Azure Sentinel 사용Enable Azure Sentinel

Azure 센티널 은 확장 가능한 클라우드 기본, siem (보안 정보 이벤트 관리) 및 대화 충성도 (security orchestration 자동화 된 응답) 솔루션입니다.Azure Sentinel is a scalable, cloud-native, security information event management (SIEM) and security orchestration automated response (SOAR) solution. Azure Sentinel은 엔터프라이즈 전반에 지능적인 보안 분석 및 위협 인텔리전스를 제공하며, 경고 검색, 위협 가시성, 주도적 헌팅 및 위협 대응을 위한 단일 솔루션을 제공합니다.Azure Sentinel delivers intelligent security analytics and threat intelligence across the enterprise, providing a single solution for alert detection, threat visibility, proactive hunting, and threat response.

보안 인증Secure authentication

SSO (Single sign-on)는 SAP 및 Microsoft 제품을 통합 하기 위한 기초입니다.Single sign-on (SSO) is the foundation for integrating SAP and Microsoft products. 타사 보안 제품과 결합 된 Active Directory의 Kerberos 토큰은 SAP GUI와 웹 브라우저 기반 응용 프로그램 모두에 대해이 기능을 사용 하도록 설정 했습니다.Kerberos tokens from Active Directory, combined with third-party security products, have enabled this capability for both SAP GUI and web-browser-based applications for years. 사용자가 자신의 워크스테이션에 로그인 하 여 성공적으로 인증 하는 경우 Active Directory는 Kerberos 토큰을 발급 합니다.When a user signs in to their workstation and successfully authenticates, Active Directory issues them a Kerberos token. 그러면 타사 보안 제품에서 Kerberos 토큰을 사용 하 여 사용자가 다시 인증 하지 않아도 SAP 응용 프로그램에 대 한 인증을 처리 합니다.A third-party security product then uses the Kerberos token to handle the authentication to the SAP application without the user having to reauthenticate.

또한 타사 보안 제품을 DIAG (SAP GUI) for DIAG (SAP GUI), RFC 및 SPNEGO for HTTPS와 통합 하 여 사용자의 프런트 엔드에서 SAP 응용 프로그램으로 전송 중인 데이터를 암호화할 수 있습니다.You can also encrypt data in transit from the user's front end towards the SAP application by integrating the third-party security product with secure network communications (SNC) for DIAG (SAP GUI), RFC, and SPNEGO for HTTPS.

SAML 2.0를 사용 하는 Azure Active Directory (Azure AD)는 sap NetWeaver, SAP HANA 및 SAP Cloud Platform과 같은 다양 한 SAP 응용 프로그램 및 플랫폼에 SSO를 제공할 수도 있습니다.Azure Active Directory (Azure AD) with SAML 2.0 can also provide SSO to a range of SAP applications and platforms like SAP NetWeaver, SAP HANA, and the SAP Cloud Platform.

운영 체제 강화Harden operating systems

운영 체제를 강화 하 여 SAP 데이터베이스에 대 한 공격으로 이어질 수 있는 취약점을 xamarin.mac 제품과 해야 합니다.Make sure you harden the operating system to eradicate vulnerabilities that could lead to attacks on the SAP database.

몇 가지 추가 검사를 통해 안전 기본 설치를 확인 합니다.A few additional checks ensure safe base installation:

  • 시스템 파일 무결성을 정기적으로 확인 합니다.Check system file integrity regularly.
  • 운영 체제에 대 한 액세스를 제한 합니다.Restrict access to the operating system.
  • 서버에 대 한 물리적 액세스를 제한 합니다.Restrict physical access to the server.
  • 네트워크 수준에서 서버에 대 한 액세스를 보호 합니다.Protect access to the server at the network level.

가상 네트워크 격리Isolate virtual networks

네트워크 서비스 및 프로토콜에 대 한 액세스를 격리 하 고 제한 합니다.Isolate and restrict access to network services and protocols. 더 강력한 제어를 위해 다음과 같은 몇 가지 Azure 보안 메커니즘을 사용 하 여 권장 되는 허브 및 스포크 네트워크 아키텍처를 보호할 수 있습니다.For tighter control, you can secure the recommended hub-and-spoke network architecture by using several Azure security mechanisms:

  • 가상 네트워크 피어 링을 통해 스포크 네트워크에 연결 된 허브 가상 네트워크를 통해 모든 트래픽을 전달 하 여 인터넷 또는 온-프레미스 네트워크에서 SAP 응용 프로그램 및 데이터베이스 서버를 격리 합니다.Isolate the SAP application and database servers from the internet or from the on-premises network by passing all traffic through the hub virtual network, which is connected to the spoke network by virtual network peering. 피어 링 가상 네트워크는 Azure 솔루션의 SAP가 공용 인터넷에서 격리 되도록 보장 합니다.The peered virtual networks guarantee that the SAP on Azure solution is isolated from the public internet.

  • Azure Monitor, Azure NSGs (네트워크 보안 그룹)또는 응용 프로그램 보안 그룹을 사용 하 여 트래픽을 모니터링 하 고 필터링 합니다.Monitor and filter traffic using Azure Monitor, Azure network security groups (NSGs), or application security groups.

  • Azure 방화벽 또는 시장에서 사용 가능한 nva (네트워크 가상 어플라이언스)를 사용 합니다.Use Azure Firewall or any of the market-available network virtual appliances (NVAs).

  • 고급 네트워크 보안 조치를 위해 네트워크 DMZ를 구현 합니다.For more advanced network security measures, implement a network DMZ. 자세한 내용은 Azure와 온-프레미스 데이터 센터 간의 DMZ 구현을 참조 하세요.For more information, see Implement a DMZ between Azure and your on-premises datacenter.

  • Dmz와 Nva를 나머지 SAP estate에서 분리 하 고, Azure 개인 링크를 구성 하 고, Azure 리소스에서 SAP를 안전 하 게 관리 하 고 제어 합니다.Isolate DMZs and NVAs from the rest of the SAP estate, configure Azure Private Link, and securely manage and control the SAP on Azure resources.

다음 아키텍처 다이어그램에서는 NSGs를 통해 네트워크 서비스 및 프로토콜을 격리 하 고 제한 하 여 Azure 가상 네트워크 토폴로지를 관리 하는 방법을 보여 줍니다.The following architectural diagram shows how to administer an Azure virtual network topology with isolation and restriction of network services and protocols through NSGs. 네트워크 보안이 조직 보안 정책 요구 사항도 준수 하는지 확인 합니다.Make sure your network security also complies with organizational security policy requirements.

SAP 네트워크 보안 아키텍처를 보여 주는 다이어그램

Azure 네트워크 보안의 SAP에 대 한 자세한 내용은 azure의 sap 보안 작업을 참조 하세요.For more information about SAP on Azure network security, see SAP security operations on Azure.

저장 데이터 암호화Encrypt data at rest

미사용 데이터는 모든 디지털 형식의 실제 미디어에 있는 영구 저장소의 정보입니다.Data at rest is information in persistent storage on physical media, in any digital format. 미디어는 자기 또는 광학 미디어, 보관 된 데이터 및 데이터 백업에 파일을 포함할 수 있습니다.Media can include files on magnetic or optical media, archived data, and data backups. Azure는 파일, 디스크, blob 및 테이블을 비롯 한 다양 한 데이터 저장소 솔루션을 제공 합니다.Azure offers a variety of data storage solutions including files, disks, blobs, and tables. 일부 Azure Storage 데이터 암호화는 선택적 고객 구성과 함께 기본적으로 발생 합니다.Some Azure Storage data encryption at rest occurs by default with optional customer configuration. 자세한 내용은 미사용 azure 데이터 암호화azure 암호화 개요를 참조 하세요.For more information, see Azure data encryption at rest and Azure encryption overview.

Azure Vm의 SAP 용 SSE (서버 쪽 암호화)는 데이터를 보호 하 고 조직의 보안 및 규정 준수 약정을 충족 하는 데 도움이 됩니다.Server-side encryption (SSE) for SAP on Azure VMs protects your data and helps you meet organizational security and compliance commitments. SSE는 데이터를 클라우드에 유지할 때 Azure에서 관리 되는 OS 및 데이터 디스크의 미사용 데이터를 자동으로 암호화 합니다.SSE automatically encrypts data at rest on Azure-managed OS and data disks when persisting data to the cloud. SSE는 256 비트 AES 암호화를 사용 하 여 투명 하 게 Azure 관리 디스크 데이터를 암호화 하 고, 사용 가능한 가장 강력한 블록 암호화 중 하나 이며, FIPS 140-2 규격입니다.SSE encrypts Azure-managed disk data transparently using 256-bit AES encryption, one of the strongest block ciphers available, and is FIPS 140-2 compliant. SSE는 관리 되는 디스크 성능에 영향을 주지 않으며 추가 비용이 없습니다.SSE doesn't impact managed disk performance, and has no additional cost. Azure managed disks의 기본 암호화 모듈에 대 한 자세한 내용은 암호화 API: 차세대를 참조 하세요.For more information about the cryptographic modules underlying Azure-managed disks, see Cryptography API: next generation.

Azure Storage 암호화는 모든 Azure Resource Manager 및 클래식 저장소 계정에 대해 사용 하도록 설정 되어 있으며 사용 하지 않도록 설정할 수 없습니다.Azure Storage encryption is enabled for all Azure Resource Manager and classic storage accounts, and can't be disabled. 사용자의 데이터는 기본적으로 암호화 되므로 Azure Storage 암호화를 사용 하도록 코드 또는 응용 프로그램을 수정할 필요가 없습니다.Because your data is encrypted by default, you don't need to modify your code or applications to use Azure Storage encryption.

SAP 데이터베이스 서버 암호화의 경우 SAP HANA 기본 암호화 기술을 사용 합니다.For SAP database server encryption, use the SAP HANA native encryption technology. Azure SQL Database 사용 하는 경우 DBMS 공급자가 제공 하는 TDE (투명한 데이터 암호화) 를 사용 하 여 데이터 및 로그 파일을 보호 하 고 백업이 암호화 되도록 합니다.If you're using Azure SQL Database, use Transparent Data Encryption (TDE) offered by the DBMS provider to secure your data and log files, and ensure the backups are also encrypted.

전송 중인 데이터 보호Secure data in transit

데이터는 내부적으로 온-프레미스 또는 Azure 내에서 또는 외부에서 최종 사용자에 이르기까지 외부에서 이동할 때 한 위치에서 다른 위치로 이동할 때 전송 중이거나 비행 중입니다.Data is in transit or in flight when it moves from one location to another, whether internally on-premises or within Azure, or externally, like across the internet to the end user. Azure는 데이터를 전송 중인 데이터를 유지 하는 여러 메커니즘을 제공 합니다.Azure offers several mechanisms to keep data private in transit. 모든 메커니즘은 암호화와 같은 보호 방법을 사용할 수 있습니다.All the mechanisms can use protection methods like encryption. 이러한 메커니즘은 다음을 포함합니다.These mechanisms include:

  • IPsec/IKE 암호화를 사용 하 여 Vpn (가상 사설망)을 통한 통신Communication through virtual private networks (VPNs), using IPsec/IKE encryption
  • TLS (Transport Layer Security) 1.2 이상 Azure 애플리케이션 게이트웨이 또는 Azure Front 도어 같은 Azure 구성 요소를 통해Transport Layer Security (TLS) 1.2 or later via Azure components like Azure Application Gateway or Azure Front Door
  • Windows IPsec 또는 SMB와 같은 Azure Vm에서 사용할 수 있는 프로토콜Protocols available on the Azure VMs, like Windows IPsec or SMB

데이터 링크 계층에서 IEEE 표준인 MACsec를 사용 하는 암호화는 Azure 데이터 센터 간의 모든 Azure 트래픽에 대해 자동으로 사용 하도록 설정 됩니다.Encryption using MACsec, an IEEE standard at the data-link layer, is automatically enabled for all Azure traffic between Azure datacenters. 이 암호화는 고객 데이터의 기밀성 및 무결성을 보장 합니다.This encryption ensures customer data confidentiality and integrity. 자세한 내용은 Azure 고객 데이터 보호를 참조 하세요.For more information, see Azure customer data protection.

키 및 비밀 관리Manage keys and secrets

비 HANA Windows 및 비 Windows 운영 체제에 대 한 디스크 암호화 키와 암호를 제어 하 고 관리 하려면 Azure Key Vault을 사용 합니다.To control and manage disk encryption keys and secrets for non-HANA Windows and non-Windows operating systems, use Azure Key Vault. Key Vault에는 SSL/TLS 인증서를 프로 비전 하 고 관리 하기 위한 기능이 있습니다.Key Vault has capabilities for provisioning and managing SSL/TLS certificates. Hsm (하드웨어 보안 모듈)을 사용 하 여 암호를 보호할 수도 있습니다.You can also protect secrets with hardware security modules (HSMs). SAP HANA은 Azure Key Vault에서 지원 되지 않으므로 SAP ABAP 또는 SSH 키와 같은 대체 방법을 사용 해야 합니다.SAP HANA isn't supported with Azure Key Vault, so you must use alternate methods like SAP ABAP or SSH keys.

웹 및 모바일 응용 프로그램 보안Secure web and mobile applications

SAP Fiori와 같은 인터넷 연결 응용 프로그램의 경우 보안 수준을 유지 하면서 응용 프로그램 요구 사항에 따라 부하를 분산 해야 합니다.For internet-facing applications like SAP Fiori, make sure to distribute load per application requirements while maintaining security levels. 계층 7 보안의 경우 Azure Marketplace에서 사용할 수 있는 타사 WAF (웹 응용 프로그램 방화벽)를 사용할 수 있습니다.For Layer 7 security, you can use a third-party Web Application Firewall (WAF) available in the Azure Marketplace.

모바일 앱의 경우 조직에서 보호 하 고 보안을 유지 하는 데 도움이 되는 SAP 인터넷 연결 응용 프로그램을 통합 하 고, 새로운 유연 하 고 유연한 방식으로 작업을 수행할 수 Microsoft Enterprise Mobility + Security .For mobile apps, Microsoft Enterprise Mobility + Security can integrate SAP internet-facing applications as it helps to protect and secure your organization and empowers your employees to work in new and flexible ways.

안전 하 게 트래픽 관리Securely manage traffic

인터넷 연결 응용 프로그램의 경우 보안 수준을 유지 하면서 응용 프로그램 요구 사항에 따라 부하를 분산 해야 합니다.For internet-facing applications, you must make sure to distribute load per application requirements while maintaining security levels. 부하 분산 이라는 용어는 여러 컴퓨팅 리소스에서 작업 부하를 분산 하는 것을 의미 합니다.The term load balancing refers to the distribution of workloads across multiple computing resources. 부하 분산은 리소스 사용을 최적화 하 고, 처리량을 최대화 하 고, 응답 시간을 최소화 하 고, 단일 리소스의 오버 로드를 방지 합니다.Load balancing aims to optimize resource use, maximize throughput, minimize response time, and avoid overloading any single resource. 또한 부하 분산은 중복 컴퓨팅 리소스 간에 워크 로드를 공유 하 여 가용성을 향상 시킬 수 있습니다.Load balancing can also improve availability by sharing a workload across redundant computing resources.

부하 분산 장치는 응용 프로그램 서브넷의 Vm으로 트래픽을 보냅니다.Load balancers direct traffic to VMs in the application subnet. 고가용성을 위해이 예제에서는 SAP 웹 디스패처 및 Azure 표준 Load Balancer를 사용 합니다.For high availability, this example uses SAP Web Dispatcher and Azure Standard Load Balancer. 이러한 두 서비스는 확장을 통해 용량 확장도 지원 합니다. 트래픽 유형 및 필요한 기능 (예: SSL(Secure Sockets Layer) (SSL) 종료 및 전달)에 따라 Azure 애플리케이션 게이트웨이 또는 다른 파트너 제품을 사용할 수도 있습니다.These two services also support capacity extension by scaling out. You can also use Azure Application Gateway or other partner products, depending on the traffic type and required functionality like Secure Sockets Layer (SSL) termination and forwarding.

글로벌 및 지역 및 HTTP/S와 비 HTTP/S 차원에 대 한 Azure 부하 분산 서비스를 분류할 수 있습니다.You can categorize Azure load-balancing services along global versus regional and HTTP/S versus non-HTTP/S dimensions.

  • 전역 부하 분산 서비스는 지역별 백 엔드, 클라우드 또는 하이브리드 온-프레미스 서비스 간에 트래픽을 분산 합니다.Global load-balancing services distribute traffic across regional back ends, clouds, or hybrid on-premises services. 이러한 서비스는 최종 사용자 트래픽을 사용 가능한 가장 가까운 백 엔드로 라우팅합니다.These services route end-user traffic to the closest available backend. 또한 이러한 서비스는 서비스 안정성 또는 성능 변화에 대응 하 여 가용성과 성능을 극대화 합니다.These services also maximize availability and performance by reacting to changes in service reliability or performance. 이러한 서비스는 서로 다른 지역 또는 지역에서 호스트 되는 응용 프로그램 스탬프, 끝점 또는 배율 단위 간에 부하를 분산 하는 시스템으로 간주할 수 있습니다.You can think of these services as systems that load balance between application stamps, endpoints, or scale units hosted across different regions or geographies.

  • 지역 부하 분산 서비스는 지역 내에서 Vm 또는 영역 및 영역 중복 서비스 끝점의 가상 네트워크 내에 트래픽을 분산 합니다.Regional load-balancing services distribute traffic within virtual networks across VMs or zonal and zone-redundant service endpoints within a region. 이러한 서비스는 가상 네트워크의 지역 내에서 Vm, 컨테이너 또는 클러스터 간의 부하를 분산 하는 시스템으로 간주할 수 있습니다.You can think of these services as systems that load balance between VMs, containers, or clusters within a region in a virtual network.

  • HTTP/S 부하 분산 서비스는 HTTP/S 트래픽만 허용 하 고 웹 응용 프로그램 또는 기타 HTTP/S 끝점에 사용 되는 계층 7 부하 분산 장치입니다.HTTP/S load-balancing services are Layer 7 load balancers that only accept HTTP/S traffic and are intended for web applications or other HTTP/S endpoints. HTTP/S 로드 균형 조정 서비스에는 SSL 오프 로드, WAF, 경로 기반 부하 분산 및 세션 선호도와 같은 기능이 포함 됩니다.HTTP/S load-balancing services include features like SSL offload, WAF, path-based load balancing, and session affinity.

  • 비 http/S 부하 분산 서비스는 비-웹 작업에 권장 됩니다.Non-HTTP/S load-balancing services that can handle non-HTTP/S traffic are recommended for non-web workloads.

다음 표에서는 범주별로 Azure 부하 분산 서비스를 요약 합니다.The following table summarizes the Azure load-balancing services by category:

서비스Service 글로벌 또는 지역Global or regional 권장 트래픽Recommended traffic
Azure Front DoorAzure Front Door 전역Global HTTP/SHTTP/S
Traffic ManagerTraffic Manager 전역Global 비 HTTP/Snon-HTTP/S
Application GatewayApplication Gateway 지역Regional HTTP/SHTTP/S
Azure Load BalancerAzure Load Balancer 지역Regional 비 HTTP/Snon-HTTP/S
  • 전면 도어 는 웹 응용 프로그램에 대 한 전역 부하 분산 및 사이트 가속 서비스를 제공 하는 응용 프로그램 배달 네트워크입니다.Front Door is an application delivery network that provides global load-balancing and site acceleration service for web applications. 전면 도어는 응용 프로그램의 성능 및 가용성을 향상 시키기 위해 SSL 오프 로드, 경로 기반 라우팅, 빠른 장애 조치 (failover) 및 캐싱과 같은 계층 7 기능을 제공 합니다.Front Door offers Layer 7 capabilities like SSL offload, path-based routing, fast failover, and caching to improve performance and availability of your applications.

  • Traffic Manager 는 글로벌 Azure 지역에서 서비스에 최적의 트래픽을 분산 하는 동시에 고가용성 및 응답성을 제공 하는 데 사용할 수 있는 DNS 기반 트래픽 부하 분산 장치입니다.Traffic Manager is a DNS-based traffic load balancer that lets you distribute traffic optimally to services across global Azure regions, while providing high availability and responsiveness. Traffic Manager는 DNS 기반 부하 분산 서비스 이므로 도메인 수준 에서만 잔액을 로드 합니다.Because Traffic Manager is a DNS-based load-balancing service, it loads balances only at the domain level. 이러한 이유로 DNS 캐싱에 대 한 일반적인 문제 때문에 프런트 도어로 신속 하 게 장애 조치 (failover) 할 수 없습니다.For that reason, it can't fail over as quickly as Front Door, because of common challenges around DNS caching and systems not honoring DNS TTL.

  • Application Gateway 은 다양 한 계층 7 부하 분산 기능을 사용 하 여 관리 되는 응용 프로그램 배달 컨트롤러를 제공 합니다.Application Gateway provides an managed application delivery controller with various Layer 7 load-balancing capabilities. Application Gateway를 사용 하 여 CPU를 많이 사용 하는 SSL 종료를 게이트웨이에 오프 로드 하 여 웹 팜 생산성을 최적화할 수 있습니다.You can use Application Gateway to optimize web-farm productivity by offloading CPU-intensive SSL termination to the gateway.

  • Azure Load Balancer 은 모든 UDP 및 TCP 프로토콜에 대 한 높은 성능의 매우 낮은 대기 시간 계층 4 인바운드 및 아웃 바운드 부하 분산 서비스입니다.Azure Load Balancer is a high-performance, ultra-low-latency Layer 4 inbound and outbound load-balancing service for all UDP and TCP protocols. Load Balancer는 초당 수백만 개의 요청을 처리 합니다.Load Balancer handles millions of requests per second. Load Balancer는 영역 중복 이므로 가용성 영역에서 고가용성을 보장 합니다.Load Balancer is zone-redundant, ensuring high availability across Availability Zones.

Azure 응용 프로그램 부하 분산 결정에 대 한 SAP를 만들려면 다음 의사 결정 트리를 참조 하세요.Refer to the following decision tree to make SAP on Azure application load-balancing decisions:

Azure의 부하 분산에 대 한 의사 결정 트리입니다.

모든 SAP 응용 프로그램에는 고유한 요구 사항이 있으므로 위의 순서도와 권장 사항을 시작 점으로 처리 하 여 보다 자세한 평가를 합니다.Every SAP application has unique requirements, so treat the preceding flow chart and recommendation as starting points for a more detailed evaluation. SAP 응용 프로그램이 여러 작업으로 구성 된 경우 각 워크 로드를 개별적으로 평가 합니다.If your SAP application consists of multiple workloads, evaluate each workload separately. 완전 한 솔루션은 둘 이상의 부하 분산 솔루션을 통합할 수 있습니다.A complete solution may incorporate two or more load-balancing solutions.

보안 모니터링Monitor security

Sap 솔루션에 대 한 Azure Monitor 는 sap 지형에 대 한 azure 기본 모니터링 제품으로, Azure Virtual MachinesHANA Large Instances에서 모두 작동 합니다.Azure Monitor for SAP Solutions is an Azure-native monitoring product for SAP landscapes that works with both SAP on Azure Virtual Machines and HANA Large Instances. SAP 솔루션에 대 한 Azure Monitor를 사용 하 여 Azure 인프라 및 데이터베이스에서 원격 분석 데이터를 하나의 중앙 위치에 수집 하 고 신속 하 게 문제를 해결 하기 위해 원격 분석 데이터의 상관 관계를With Azure Monitor for SAP Solutions, you can collect telemetry data from Azure infrastructure and databases in one central location and visually correlate telemetry data for faster troubleshooting.

보안 범위 결정Security scoping decisions

다음은 다양 한 보안 시나리오에 대 한 권장 사항입니다.The following recommendations are for various security scenarios. 범위 내 요구 사항은 보안 솔루션을 비용 효율적이 고 확장 가능 하 게 하기 위한 것입니다.The in-scope requirements are for the security solution to be cost-effective and scalable.

범위 (시나리오)Scope (scenario) 권장Recommendation 메모Notes
모든 Azure 및 온-프레미스 보안 상태에 대 한 통합 보기를 확인 하세요.See a consolidated view of all-up Azure and on-premises security posture. Azure Security Center 표준Azure Security Center Standard Azure Security Center 표준은 온-프레미스 및 클라우드에서 Windows 및 Linux 컴퓨터를 등록 하는 데 도움이 되며 통합 된 보안 상태를 보여 줍니다.Azure Security Center Standard helps onboard Windows and Linux machines from on-premises and cloud and shows a consolidated security posture.
규정 요구 사항을 충족 하도록 Azure 데이터베이스의 모든 SAP를 암호화 합니다.Encrypt all SAP on Azure databases to meet regulatory requirements. SAP HANA 기본 암호화 및 SQL TDESAP HANA native encryption and SQL TDE 데이터베이스의 경우 SAP HANA 기본 암호화 기술을 사용 합니다.For databases, use the SAP HANA native encryption technology. SQL Database 사용 하는 경우 TDE를 사용 하도록 설정 합니다.If you're using SQL Database, enable TDE.
HTTPS 트래픽이 있는 글로벌 사용자를 위한 SAP Fiori 응용 프로그램을 보호 합니다.Secure an SAP Fiori application for global users with HTTPS traffic. Azure Front DoorAzure Front Door 전면 도어는 웹 응용 프로그램에 대 한 전역 부하 분산 및 사이트 가속 서비스를 제공 하는 응용 프로그램 배달 네트워크입니다.Front Door is an application delivery network that provides global load balancing and site acceleration service for web applications.

규정 준수 및 거 버 넌 스 디자인 권장 사항Compliance and governance design recommendations

Azure Advisor 은 무료 이며 Azure 구독에서 SAP를 통해 통합 된 보기를 제공 하는 데 도움이 됩니다.Azure Advisor is free and helps you get a consolidated view across SAP on Azure subscriptions. 안정성, 복원 력, 보안, 성능, 비용 및 운영에 대 한 뛰어난 디자인 권장 사항에 대 한 Azure Advisor 권장 사항을 참조 하세요.Consult the Azure Advisor recommendations for reliability, resiliency, security, performance, cost, and operational excellence design recommendations.

Azure 리소스 이름 지정 및 태그 지정 규칙 사용Use Azure resource naming and tagging conventions

클라우드 채택 프레임 워크의 준비 방법 에 맞게 조정 하려면 비즈니스 및 운영 세부 정보를 리소스 이름 및 메타 데이터 태그의 구성 요소로 포함 하는 명명 및 태그 지정 전략을 구현 합니다.To align with the Ready methodology of the Cloud Adoption Framework, implement a naming and tagging strategy that includes business and operational details as components of resource names and metadata tags.

이 전략의 비즈니스 측면에서는 리소스 이름 및 태그에 팀을 식별 하는 데 필요한 조직 정보가 포함 되도록 합니다.The business side of this strategy ensures that resource names and tags include the organizational information you need to identify the teams. 리소스 비용을 담당 하는 비즈니스 소유자와 함께 리소스 이름을 사용 합니다.Use a resource name along with the business owners who are responsible for resource costs. 운영 측면에서 이름 및 태그에는 IT 팀에서 작업, 응용 프로그램, 환경, 중요도 및 리소스 관리를 위한 기타 유용한 정보를 식별 하는 데 사용 하는 정보가 포함 됩니다.The operational side ensures that names and tags include information that IT teams use to identify the workload, application, environment, criticality, and other useful information for managing resources.

이름에 사용할 리소스에는 Vm, 부하 분산 장치, DNS 레이블, 가용성 집합, 가상 네트워크, 서브넷, Express 경로, NSGs, 응용 프로그램 보안 그룹, 태그, 경로 테이블, 관리 디스크 및 공용 Ip가 포함 됩니다.Resources to name include VMs, load balancers, DNS labels, availability sets, virtual networks, subnets, ExpressRoute, NSGs, application security groups, tags, route tables, managed disks, and public IPs. 샘플 사용 사례는 태그를 사용 하 여 모든 Azure 개발 Vm에 태그를 지정할 수 있습니다 Dev .A sample use case could be to tag all Azure development VMs with the tag Dev. 이렇게 하면 보고 및 청구 작업을 통해 모든 항목에 대 한 보고서를 쉽게 가져올 수 Dev 있습니다.This eases reporting and billing operations to pull a report for all things Dev. 자세한 내용은 Azure 리소스에 대 한 명명 및 태깅 전략 개발을 참조 하세요.For more information, see Develop your naming and tagging strategy for Azure resources.

Azure Policy 사용Use Azure Policy

Azure Policy는 규정 준수 대시보드를 통해 규모에 따라 조직의 표준을 적용 하 고 규정 준수를 평가 합니다.Azure Policy helps enforce organizational standards and assess compliance at scale through its compliance dashboard. Azure Policy는 전체 환경 상태를 평가 하는 집계 보기를 제공 하 고, 기간별 정책 별 세분성으로 드릴 다운할 수 있습니다.Azure Policy provides an aggregated view to evaluate the overall state of the environment, with the ability to drill down to per-resource, per-policy granularity.

또한 Azure Policy를 사용 하면 기존 리소스에 대 한 대량 수정 및 새 리소스에 대 한 자동 수정을 통해 리소스를 준수 하도록 할 수 있습니다.Azure Policy also helps bring your resources to compliance through bulk remediation for existing resources and automatic remediation for new resources. 샘플 Azure 정책은 허용 되는 위치를 관리 그룹에 적용 하 여 리소스에 대 한 태그 및 해당 값, 관리 디스크를 사용 하 여 VM 만들기 또는 명명 정책을 적용 합니다.Sample Azure policies are applying allowed locations to management group, requiring a tag and its value on resources, creating a VM using a managed disk, or naming policies.

Azure의 SAP 관리 비용Manage SAP on Azure costs

비용 관리가 매우 중요 합니다.Cost management is very important. Microsoft는 예약, 올바른 크기 조정 및 snoozing 같은 다양 한 방법을 제공 하 여 비용을 최적화 합니다.Microsoft offers various ways to optimize costs, like reservations, right sizing, and snoozing. Azure 비용 지출 한도에 대 한 경고를 이해 하 고 설정 하는 것이 중요 합니다.It's important to understand and set alerts for the Azure cost spending limits. 이 모니터링을 확장 하 여 ITSM (전체 IT 서비스 관리) 솔루션과 통합할 수 있습니다.You can extend this monitoring to integrate with the overall IT service management (ITSM) solution.

SAP 배포 자동화Automate SAP deployments

SAP 배포를 자동화 하 여 시간을 절약 하 고 오류를 줄입니다.Save time and reduce errors by automating SAP deployments. 공용 클라우드에 복잡 한 SAP 지형를 배포 하는 작업은 쉽지 않습니다.Deploying complex SAP landscapes into a public cloud is not an easy task. SAP basic 팀은 온-프레미스 SAP 시스템을 설치 하 고 구성 하는 일반적인 작업에 매우 익숙할 수 있습니다.SAP basic teams might be very familiar with the traditional tasks of installing and configuring on-premises SAP systems. 클라우드 배포 디자인, 빌드 및 테스트에는 도메인에 대 한 추가 정보가 필요할 수도 있습니다.Designing, building, and testing cloud deployments often require additional domain knowledge. 자세한 내용은 SAP 엔터프라이즈급 플랫폼 자동화 및 DevOps를 참조 하세요.For more information, see SAP enterprise-scale platform automation and DevOps.

프로덕션 워크 로드에 대 한 리소스 잠그기Lock resources for production workloads

SAP 프로젝트의 시작 부분에 필요한 Azure 리소스를 만듭니다.Create required Azure resources at the start of your SAP project. 모든 추가, 이동 및 변경이 완료 되 고 Azure 배포에서 SAP가 작동 하는 경우 모든 리소스를 잠급니다.When all additions, moves, and changes are finished, and the SAP on Azure deployment is operational, lock all resources. 그러면 슈퍼 관리자만 VM과 같은 리소스의 잠금을 해제 하 고 허용할 수 있습니다.Only a super administrator can then unlock and permit a resource, such as a VM, to be modified. 자세한 내용은 예기치 않은 변경을 방지하기 위해 리소스 잠그기를 참조하세요.For more information, see Lock resources to prevent unexpected changes.

역할 기반 액세스 제어 구현Implement role-based access control

네트워크와 관련 된 실수로 인 한 변경 사항을 방지 하기 위해 Azure 스포크 구독에서 SAP의 RBAC (역할 기반 액세스 제어) 역할을 사용자 지정 합니다.Customize role-based access control (RBAC) roles for SAP on Azure spoke subscriptions to avoid accidental network-related changes. Azure 인프라 팀 구성원이 azure 가상 네트워크에 Vm을 배포 하 고 가상 네트워크 피어 링의 모든 항목을 허브 구독으로 변경 하지 못하도록 제한할 수 있습니다.You can allow the SAP on Azure infrastructure team members to deploy VMs to an Azure virtual network and restrict them from changing anything on the virtual network peered to the hub subscription. 반면, 네트워킹 팀의 구성원이 가상 네트워크를 만들고 구성할 수 있도록 허용 하지만, SAP 응용 프로그램이 실행 되는 가상 네트워크에서 Vm을 배포 하거나 구성할 수는 없습니다.On the other hand, you allow members of the networking team to create and configure virtual networks, but prohibit them from deploying or configuring VMs in virtual networks where SAP applications are running.

SAP LaMa Azure Connector 사용Use Azure Connector for SAP LaMa

일반적인 SAP estate 내에서 몇 가지 응용 프로그램 지형 (예: ERP, SCM 및 BW)을 배포 하 고 SAP 시스템 복사본 및 SAP 시스템 새로 고침을 수행 해야 하는 경우가 있습니다.Within a typical SAP estate, several application landscapes are often deployed, such an ERP, SCM, and BW, and there is an ongoing need to perform SAP system copies and SAP system refreshes. 예제에서는 기술 또는 응용 프로그램 릴리스에 대 한 새 SAP 프로젝트를 만들거나 프로덕션 복사본에서 QA 시스템을 주기적으로 새로 고치는 방법을 보여 줍니다.Examples are creating new SAP projects for technical or application releases, or periodically refreshing QA systems from production copies. SAP 시스템 복사 및 새로 고침에 대 한 종단 간 프로세스는 시간이 많이 걸리고 노력이 많이 소요 될 수 있습니다.The end-to-end process for SAP system copies and refreshes can be both time-consuming and labor intensive.

SAP LaMa (환경 관리) Enterprise Edition은 SAP 시스템 복사 또는 새로 고침에 관련 된 여러 단계를 자동화 하 여 운영 효율성을 지원할 수 있습니다.SAP Landscape Management (LaMa) Enterprise Edition can support operational efficiencies by automating several steps involved in the SAP system copy or refresh. Azure Connector For LaMa 를 사용 하면 sap 운영 팀에서 sap 시스템 복사본 및 시스템 새로 고침을 신속 하 게 수행할 수 있도록 azure managed disks를 복사, 삭제 및 재배치할 수 있으므로 수동 노력이 줄어듭니다.Azure Connector for LaMa enables copying, deletion, and relocation of Azure-managed disks to help your SAP operations team perform SAP system copies and system refreshes rapidly, reducing manual efforts.

VM 작업의 경우 azure Connector for LaMa는 Azure에서 SAP estate의 실행 비용을 줄일 수 있습니다.For VM operations, the Azure Connector for LaMa can reduce the run costs for your SAP estate on Azure. SAP Vm을 중지 하거나 할당을 취소 하 고 시작할 수 있습니다 .이를 통해 적은 사용률 프로필로 특정 워크 로드를 실행할 수 있습니다.You can stop or deallocate and start your SAP VMs, which enables you to run certain workloads with a reduced utilization profile. 예를 들어 LaMa 인터페이스를 통해 SAP S/4HANA 샌드박스 VM이 24 시간 동안 실행 되는 대신 08:00-18:00, 하루 10 시간에서 온라인 상태가 되도록 예약할 수 있습니다.For example, through the LaMa interface you can schedule your SAP S/4HANA sandbox VM to be online from 08:00-18:00, 10 hours per day, instead of running 24 hours. LaMa 용 Azure Connector를 사용 하면 LaMa 내에서 직접 성능 요구가 발생할 때 Vm의 크기를 조정할 수도 있습니다.The Azure Connector for LaMa also lets you resize your VMs when performance demands arise directly from within LaMa.

규정 준수 및 거 버 넌 스 범위 결정Compliance and governance scoping decisions

다음은 다양 한 규정 준수 및 거 버 넌 스 시나리오에 대 한 권장 사항입니다.The following recommendations are for various compliance and governance scenarios. 범위 내 요구 사항은 솔루션을 비용 효율적이 고 확장 가능 하 게 하기 위한 것입니다.The in-scope requirements are for the solution to be cost-effective and scalable.

범위 (시나리오)Scope (scenario) 권장Recommendation 메모Notes
표준 명명 규칙에 대 한 거 버 넌 스 모델을 구성 하 고 비용 센터에 따라 보고서를 끌어옵니다.Configure a governance model for standard naming conventions, and pull reports based on cost center. Azure Policy 및 Azure 태그Azure Policy and Azure tags Azure Policy를 사용 하 고 요구 사항에 맞게 태그를 지정 합니다.Use Azure Policy and tagging together to meet the requirements.
실수로 Azure 리소스를 삭제 하지 않도록 합니다.Avoid accidental deletion of Azure resources. Azure 리소스 잠금Azure resource locks Azure 리소스 잠금은 실수로 인 한 리소스 삭제를 방지 합니다.Azure resource locks prevent accidental resource deletion.
비용 최적화, 복원 력, 보안, 운영 및 Azure 리소스의 SAP 성능을 위한 기회 영역에 대 한 통합 보기를 가져옵니다.Get a consolidated view of opportunity areas for cost optimization, resiliency, security, operational excellence, and performance for SAP on Azure resources Azure AdvisorAzure Advisor Azure Advisor은 무료 이며 Azure 구독에서 SAP를 통해 통합 된 보기를 제공 하는 데 도움이 됩니다.Azure Advisor is free and helps get a consolidated view across SAP on Azure subscriptions.

다음 단계Next steps