Säkerhetsåtgärder för SAP på Azure
Den här artikeln är en del av artikelserien "SAP extend and innovate security: Best practices".
- SQL Server-databassäkerhet för SAP i Azure
- Microsoft Sentinel för SAP på Azure
- Säkerhetsåtgärder för SAP på Azure
I den här artikeln beskrivs metodtips för säkerhetsåtgärder för att skydda DIN SAP-miljö i Azure. Implementera en omfattande säkerhetsåtgärd för SAP i Microsoft Cloud för att säkerställa att organisationens känsliga data och program skyddas mot cyberhot.
Åtkomstkontroll
SAP-system är affärskritiska i ett företagslandskap. För att säkerställa att endast behörig personal kan komma åt känsliga data och utföra kritiska uppgifter använder du principen om minsta behörighet när du ger kontroll- och hanteringsåtkomst till SAP-system och -program. Här följer några relevanta rekommendationer:
Använd rollbaserad åtkomstkontroll (RBAC) för att hantera åtkomst till SAP-arbetsbelastningsresurser som distribueras i Azure. Varje Azure-prenumeration har en förtroenderelation med en Microsoft Entra-klientorganisation. Skapa en Microsoft Entra-grupp för SAP-administratörer och använd RBAC för att bevilja behörigheter till SAP-gruppen.
Enkel inloggning (SSO) mellan SAP och Microsoft Entra ID eller Azure Directory Federation Services (AD FS) ger SAP-användare åtkomst till SAP-program med SAP-klientdelsprogram, till exempel SAP GUI eller en webbläsare med HTTP eller HTTPS, till exempel SAP Fiori.
Använd Microsoft Entra Privileged Identity Management (PIM) för att hantera och tilldela roller till användare och grupper så att de kan utföra privilegierade åtgärder. Dessa användare har bara åtkomst till resurserna när de behöver utföra sitt jobb, till exempel stoppa eller starta en virtuell dator (VM).
PIM tillhandahåller även funktioner för automatisk åtkomstbegäran och godkännande, loggning och granskning för att hantera och kontrollera privilegierad åtkomst till dina SAP-systemresurser.
Just-in-time-åtkomst (JIT) ger auktoriserad personal tillfällig förhöjd åtkomst till kritiska system. Med JIT-åtkomst beviljar administratörer tillfällig åtkomst till en specifik virtuell dator eller uppsättning virtuella datorer endast när det är nödvändigt att utföra vissa uppgifter, till exempel systemunderhåll eller felsökning.
När du kör SAP på Azure använder du Azure Key Vault för att hantera och skydda känsliga data, till exempel SAP-administratörslösenord, autentiseringsuppgifter för SAP-tjänstkonto och krypteringsnycklar. Vanliga scenarier för att använda Key Vault är:
- SAP-lösenordslagring: SAP-system kräver lösenord för komponenter, till exempel databaser, programservrar och andra SAP-tjänster. Använd Key Vault för att lagra dessa lösenord på ett säkert sätt. Hämta dem under systemstarten eller när du behöver komma åt SAP-servern.
- Lagring av krypteringsnycklar: SAP-system kräver ofta kryptering för dataskydd. Använd Key Vault för att lagra krypteringsnycklar och skydda dem med hjälp av maskinvarusäkerhetsmoduler, som är manipulationsbeständiga enheter som skyddar kryptografiska nycklar.
- Certifikatlagring: Använd Key Vault för att lagra och hantera SSL/TLS-certifikat, som krävs för säker kommunikation mellan SAP-system och andra program.
Regelefterlevnad
Azure tillhandahåller en omfattande uppsättning säkerhetskontroller som hjälper dig att skydda dina SAP-system som distribueras i Azure. Här är några exempel på efterlevnadserbjudanden som är relevanta för SAP-system:
- ISO/IEC 27001: Azure är certifierat enligt STANDARDEN ISO/IEC 27001, som tillhandahåller ett ramverk för att implementera och underhålla ett SYSTEM för informationssäkerhetshantering (ISMS). Den här certifieringen omfattar säkerhetskontroller och metodtips, inklusive nätverkssäkerhet, åtkomstkontroll och riskhantering.
- SOC 1, SOC 2 och SOC 3: Azure granskas under SOC-ramverket (Service Organization Controls), som tillhandahåller en uppsättning kontroller för tjänsteleverantörer för att hantera kunddata. SOC 1 är för finansiell rapportering, SOC 2 är för säkerhet, tillgänglighet, bearbetningsintegritet, sekretess och sekretess, och SOC 3 är för offentligt avslöjande av SOC 2-rapporten.
- Allmän dataskyddsförordning (GDPR): Azure är kompatibelt med GDPR, som är en datasekretessförordning som gäller för organisationer som bearbetar personuppgifter för enskilda personer i Europeiska unionen (EU). Det här efterlevnadserbjudandet innehåller funktioner som dataskydd, meddelande om dataintrång och sekretess avsiktligt.
Du kan övervaka den här säkerhetsbaslinjen, granska rekommendationer och vidta åtgärder för inkompatibilitetsbaslinje för SAP-arbetsbelastningar med hjälp av Microsoft Defender för molnet.
Säkerhetskorrigeringar
För DIN SAP-miljö i Azure finns det två viktiga typer av säkerhetskorrigeringar: säkerhetskorrigeringar för operativsystem och SAP-säkerhetskorrigeringar.
Säkerhetskorrigeringar för operativsystem
Säkerhetskorrigeringar för operativsystem förhindrar säkerhetsöverträdelser, följer branschbestämmelser, förbättrar prestanda och skyddar ditt företags rykte. Om du kör virtuella Windows- och Linux-datorer i Azure, lokalt eller i andra molnmiljöer kan du använda Uppdateringshanteringscenter i Azure Automation för att hantera uppdateringar av operativsystemet, inklusive säkerhetskorrigeringar.
Kritiska uppdateringar och säkerhetsuppdateringar släpps varje månad. Automatisera uppdateringar och aktivera automatisk vm-gästkorrigering för att upprätthålla säkerhetsefterlevnad för dina virtuella SAP-datorer.
Kommentar
Vissa Linux-avbildningar för SAP-arbetsbelastningar, till exempel Red Hat Enterprise Linux (RHEL) för SAP och SUSE Linux Enterprise Server (SLES) för SAP, stöds inte. Windows Server-avbildningar stöds. Information om kraven för att aktivera automatisk vm-gästkorrigering och operativsystemavbildningar som stöds finns i Automatisk vm-gästkorrigering för virtuella Azure-datorer.
SAP-säkerhetskorrigeringar
Du kan också skydda säkerheten för andra SAP-komponenter, till exempel databaser och program. Mer information finns i relaterade SAP-anteckningar i SAP-supportportalen.
Granska SAP-säkerhets-OSS-anteckningarna rutinmässigt eftersom SAP släpper mycket kritiska säkerhetskorrigeringar eller snabbkorrigeringar som kräver omedelbara åtgärder för att skydda dina SAP-system.
Grundpoängen för COMMON Vulnerability Scoring System (CVSS) v3 för SAP-säkerhetsanteckningen avgör dess prioritet. CVSS är ett öppet och leverantörsneutralt ramverk som avgör egenskaperna och allvarlighetsgraden för sårbarheter i programvara. Det förenar metoderna för riskbedömning mellan flera leverantörer. CVSS är under vårdnaden om Forum of Incident Response and Security Teams (FIRST). Mer information finns i SAP-säkerhetsanteckningar och nyheter.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för