Keamanan beban kerja SAP
Azure menyediakan semua alat yang diperlukan untuk mengamankan beban kerja SAP Anda. Aplikasi SAP dapat berisi data sensitif tentang organisasi Anda. Anda harus melindungi arsitektur SAP Anda dengan metode autentikasi yang aman, jaringan yang diperkeras, dan enkripsi.
Mengonfigurasi manajemen identitas
Dampak: Keamanan
Manajemen identitas adalah kerangka kerja untuk menegakkan kebijakan yang mengontrol akses ke sumber daya penting. Kontrol manajemen identitas mengakses beban kerja SAP Anda di dalam atau di luar jaringan virtualnya. Ada tiga kasus penggunaan manajemen identitas yang perlu dipertimbangkan untuk beban kerja SAP Anda, dan solusi manajemen identitas berbeda untuk masing-masing kasus.
Gunakan Microsoft Entra ID
Organisasi dapat meningkatkan keamanan komputer virtual Windows dan Linux di Azure dengan mengintegrasikan dengan Microsoft Entra ID, layanan manajemen identitas dan akses yang dikelola sepenuhnya. Microsoft Entra ID dapat mengautentikasi dan mengotorisasi akses pengguna akhir ke sistem operasi SAP. Anda dapat menggunakan Microsoft Entra ID untuk membuat domain yang ada di Azure, atau menggunakannya terintegrasi dengan identitas Active Directory lokal Anda. Microsoft Entra ID juga terintegrasi dengan Microsoft 365, Dynamics CRM Online, dan banyak aplikasi Software-as-a-Service (SaaS) dari mitra. Sebaiknya gunakan System for Cross-Domain Identity Management (SCIM) untuk penyebaran identitas. Pola ini memungkinkan siklus hidup pengguna yang optimal.
Untuk informasi selengkapnya, lihat:
- Sinkronisasi SCIM dengan Microsoft Entra ID
- Mengonfigurasi Autentikasi Identitas Platform Cloud SAP untuk provisi pengguna otomatis
- Microsoft Entra integrasi akses menyeluruh (SSO) dengan SAP NetWeaver
- Masuk ke komputer virtual Linux di Azure dengan menggunakan Microsoft Entra ID dan OpenSSH
- Masuk ke komputer virtual Windows di Azure dengan menggunakan Microsoft Entra ID
Mengonfigurasi SSO
Anda dapat mengakses aplikasi SAP dengan perangkat lunak frontend SAP (SAP GUI) atau browser dengan HTTP/S. Sebaiknya konfigurasikan akses menyeluruh (SSO) menggunakan Microsoft Entra ID atau Active Directory Federation Services (AD FS). SSO memungkinkan pengguna akhir untuk terhubung ke aplikasi SAP melalui browser jika memungkinkan.
Untuk informasi selengkapnya, lihat:
- SAP HANA SSO
- SAP NetWeaver SSO
- SAP Fiori SSO
- SAP Cloud Platform SSO
- SuccessFactors SSO
- ringkasan Microsoft Entra
Menggunakan panduan khusus aplikasi
Sebaiknya konsultasikan dengan Layanan Autentikasi Identitas SAP untuk Cloud Analitik SAP, SuccessFactors, dan Platform Teknologi Bisnis SAP. Anda juga dapat mengintegrasikan layanan dari Platform Teknologi Bisnis SAP dengan Microsoft Graph menggunakan Microsoft Entra ID dan Layanan Autentikasi Identitas SAP.
Untuk informasi selengkapnya, lihat:
- Menggunakan Microsoft Entra ID untuk mengamankan akses ke platform dan aplikasi SAP.
- Layanan Autentikasi Identitas SAP
- Layanan Provisi Identitas SAP
Skenario pelanggan umum adalah menyebarkan aplikasi SAP ke Microsoft Teams. Solusi ini memerlukan SSO dengan Microsoft Entra ID. Sebaiknya telusuri marketplace komersial Microsoft untuk melihat aplikasi SAP mana yang tersedia di Microsoft Teams. Untuk informasi selengkapnya, lihat marketplace komersial Microsoft.
Tabel 1 - Ringkasan metode SSO yang direkomendasikan
| Solusi SAP | Metode SSO |
|---|---|
| Aplikasi web berbasis SAP NetWeaver seperti Fiori, WebGui | Security Assertion Markup Language (SAML) |
| SAP GUI | Kerberos dengan direktori aktif windows atau solusi Microsoft Entra Domain Services atau pihak ketiga |
| Aplikasi SAP PaaS dan SaaS seperti SAP Business Technology Platform (BTP), Analytics Cloud, Cloud Identity Services, SuccessFactors, Cloud for Customer, Ariba | SAML / OAuth / JSON Web Tokens (JWT) dan alur autentikasi yang telah dikonfigurasi sebelumnya dengan Microsoft Entra ID secara langsung atau dengan proksi dengan Layanan Autentikasi Identitas SAP |
Menggunakan kontrol akses berbasis peran (RBAC)
Dampak: Keamanan
Penting untuk mengontrol akses ke sumber daya beban kerja SAP yang Anda sebarkan. Setiap langganan Azure memiliki hubungan kepercayaan dengan penyewa Microsoft Entra. Kami sarankan Anda menggunakan kontrol akses berbasis peran Azure (Azure RBAC) untuk memberi pengguna dalam organisasi Anda mengakses aplikasi SAP. Berikan akses dengan menetapkan peran Azure kepada pengguna atau grup pada cakupan tertentu. Cakupannya bisa berupa langganan, grup sumber daya, atau satu sumber daya. Cakupan tergantung pada pengguna dan cara Anda mengelompokkan sumber daya beban kerja SAP Anda.
Untuk informasi selengkapnya, lihat:
Menerapkan keamanan jaringan dan aplikasi
Kontrol keamanan jaringan dan aplikasi adalah langkah-langkah keamanan dasar untuk setiap beban kerja SAP. Kepentingan mereka berbuah berulang untuk menegakkan gagasan bahwa jaringan dan aplikasi SAP memerlukan tinjauan keamanan yang ketat dan kontrol garis besar.
Gunakan arsitektur hub-spoke. Sangat penting untuk membedakan antara layanan bersama dan layanan aplikasi SAP. Arsitektur hub-spoke adalah pendekatan yang baik untuk keamanan. Anda harus menjaga beban kerja sumber daya tertentu di jaringan virtualnya sendiri terpisah dari layanan bersama di hub seperti layanan manajemen dan DNS.
Untuk penyiapan asli SAP, Anda harus menggunakan Konektor Cloud SAP dan Private Link SAP untuk Azure sebagai bagian dari penyiapan hub-spoke. Teknologi ini mendukung ekstensi SAP dan arsitektur inovasi untuk SAP Business Technology Platform (BTP). Integrasi asli Azure sepenuhnya terintegrasi dengan jaringan virtual Azure dan API dan tidak memerlukan komponen ini.
Gunakan kelompok keamanan jaringan. Grup keamanan jaringan (NSG) memungkinkan Anda memfilter lalu lintas jaringan ke dan dari beban kerja SAP Anda. Anda dapat menentukan aturan NSG untuk mengizinkan atau menolak akses ke aplikasi SAP Anda. Anda dapat mengizinkan akses ke port aplikasi SAP dari rentang alamat IP lokal dan menolak akses internet publik. Untuk informasi selengkapnya, lihat grup keamanan jaringan
Gunakan kelompok keamanan aplikasi. Secara umum, praktik terbaik keamanan untuk pengembangan aplikasi juga berlaku di cloud. Ini termasuk hal-hal seperti melindungi dari pemalsuan permintaan lintas situs, menggagalkan serangan scripting lintas situs (XSS), dan mencegah serangan injeksi SQL.
Kelompok keamanan aplikasi (ASG) memudahkan untuk mengonfigurasi keamanan jaringan beban kerja. ASG dapat digunakan dalam aturan keamanan, bukan IP eksplisit untuk VM. VM kemudian ditetapkan ke ASG. Konfigurasi ini mendukung penggunaan kembali kebijakan yang sama atas lanskap aplikasi yang berbeda, karena lapisan abstraksi ini. Aplikasi cloud sering menggunakan layanan terkelola yang memiliki kunci akses. Jangan pernah memeriksa kunci akses ke kontrol sumber. Sebagai gantinya, simpan rahasia aplikasi di Azure Key Vault. Untuk informasi selengkapnya, lihat grup keamanan aplikasi.
Memfilter lalu lintas web. Beban kerja yang menghadap internet harus dilindungi menggunakan layanan seperti Azure Firewall, Web Application Firewall, Application Gateway untuk membuat pemisahan antar titik akhir. Untuk informasi selengkapnya, lihat koneksi internet masuk dan keluar untuk SAP di Azure.
Mengenkripsi data
Dampak: Keamanan
Azure menyertakan alat untuk melindungi data sesuai dengan kebutuhan keamanan dan kepatuhan organisasi Anda. Penting bagi Anda untuk mengenkripsi data beban kerja SAP saat tidak aktif dan saat transit.
Enkripsi data tidak aktif
Mengenkripsi data tidak aktif adalah persyaratan keamanan umum. Enkripsi sisi layanan Azure Storage diaktifkan secara default untuk semua disk, rekam jepret, dan gambar terkelola. Enkripsi sisi layanan menggunakan kunci yang dikelola layanan secara default, dan kunci ini transparan untuk aplikasi.
Sebaiknya tinjau dan pahami enkripsi sisi layanan/server (SSE) dengan kunci yang dikelola pelanggan (CMK). Kombinasi enkripsi sisi server dan kunci yang dikelola pelanggan memungkinkan Anda mengenkripsi data tidak aktif dalam sistem operasi (OS) dan disk data untuk kombinasi OS SAP yang tersedia. Azure Disk Encryption tidak mendukung semua sistem operasi SAP. Kunci yang dikelola pelanggan harus disimpan dalam Key Vault untuk membantu memastikan integritas sistem operasi. Kami juga menyarankan untuk mengenkripsi database SAP Anda. Azure Key Vault mendukung enkripsi database untuk SQL Server dari sistem manajemen database (DBMS) dan kebutuhan penyimpanan lainnya. Gambar berikut menunjukkan proses enkripsi.
Saat Anda menggunakan enkripsi sisi klien, Anda mengenkripsi data dan mengunggah data sebagai blob terenkripsi. Manajemen kunci dilakukan oleh pelanggan. Untuk informasi selengkapnya, lihat:
- Enkripsi sisi server untuk disk terkelola
- Enkripsi sisi layanan Azure Storage
- Enkripsi sisi layanan menggunakan kunci yang dikelola pelanggan di Azure Key Vault
- Enkripsi sisi klien
Mengenkripsi data dalam transit
Enkripsi saat transit berlaku untuk status data yang berpindah dari satu lokasi ke lokasi lain. Data saat transit dapat dienkripsi dalam beberapa cara, tergantung pada sifat koneksi. Untuk informasi selengkapnya, lihat enkripsi data saat transit.
Mengumpulkan dan menganalisis log aplikasi SAP
Pemantauan log aplikasi sangat penting untuk mendeteksi ancaman keamanan di tingkat aplikasi. Sebaiknya gunakan Solusi Microsoft Sentinel untuk SAP. Ini adalah solusi manajemen peristiwa dan informasi keamanan asli cloud (SIEM) yang dibangun untuk beban kerja SAP Anda yang berjalan pada VM. Untuk informasi selengkapnya, lihat Solusi Microsoft Sentinel untuk SAP.
Untuk informasi keamanan umum, lihat: