Bezpieczny wtorek ze SNOK: Ochrona wielowarstwowa w architekturze SAP S/4HANA Cloud Private Edition w ramach RISE with SAP 

Bezpieczny wtorek ze SNOK: Ochrona wielowarstwowa w architekturze SAP S/4HANA Cloud Private Edition w ramach RISE with SAP 

Bezpieczny wtorek ze SNOK: Ochrona wielowarstwowa w architekturze SAP S/4HANA Cloud Private Edition w ramach RISE with SAP 

SAP S/4HANA Cloud Private Edition pełni kluczową rolę w ofercie RISE with SAP, gromadząc dane i procesy biznesowe klientów. Usługi SAP Enterprise Cloud Services (ECS) dostarczają zarządzane środowisko prywatne z wielowarstwową architekturą obronną, obsługującą infrastrukturę i techniczne usługi zarządzane. Obejmuje to kompleksowe SLA dla pełnych stosów rozwiązań oraz sprawdzoną architekturę bezpieczeństwa, minimalizującą ryzyko dla klientów. Wielowarstwowe zabezpieczenia wymagają uwzględnienia bezpieczeństwa na poziomie ludzi, procesów i technologii. W niniejszym wpisie omówimy wielowarstwową architekturę obronną na wysokim poziomie. W celu uproszczenia, przedstawiono jedynie abstrakcyjne podejście na wysokim poziomie. 

Podejście do wielowarstwowej architektury obronnej

SAP S/4HANA Cloud Private Edition to zarządzane prywatne środowisko jedno tenantowe dla klientów, w którym SAP tworzy oddzielne konto (AWS), subskrypcję (Azure) lub projekt (GCP) dla każdego klienta. Aplikacje i wirtualne instancje baz danych są dedykowane wyłącznie jednemu klientowi. Security by Design i Security by Default są głęboko osadzone w architekturze wielowarstwowej.

Ochrona danych

SAP S/4HANA Cloud Private Edition wspiera następujące funkcje zabezpieczeń danych: 

  • Oddzielna wirtualna instancja dla serwerów bazy danych i aplikacji dla klienta. 
  • Szyfrowanie danych w spoczynku: Szyfrowanie danych SAP HANA wykorzystuje algorytm AES-256-CBC (256-bitowa długość klucza). Różne klucze szyfrowania (objętość danych, objętość dziennika, kopie zapasowe, aplikacje) przechowywane są w systemie plików Instance Secure Store File System (SSFS) wewnątrz instancji bazy danych HANA. Biblioteki kryptograficzne SAP używane są certyfikowane zgodnie z normą FIPS 140-2. Zawartość SSFS jest chroniona przez Klucz Główny SSFS. 
  • Unikalne klucze szyfrowania i klucz główny są generowane podczas instalacji i aktualizacji wersji HANA. Klucze główne mogą również być zmieniane w regularnych odstępach czasu na żądanie. Zasada segregacji obowiązków (SoD) jest stosowana w zarządzaniu kluczami. 
  • Dane w spoczynku są szyfrowane – objętość bazy danych, kopie zapasowe, dzienniki redo oraz szyfrowanie przechowywania (Szyfrowanie po stronie serwera) w magazynach Hyperscaler. 
  • Wszystkie ruchy HTTP są chronione za pomocą szyfrowania warstwy transportowej TLS 1.2 z AES-256-GCM. 
  • SAP HANA posiada wiele wbudowanych funkcji bezpieczeństwa, takich jak kontrola dostępu oparta na rolach, autoryzacje, maskowanie interfejsu użytkownika i zdolności anonimizacji.

Bezpieczeństwo aplikacji

  • Zapora sieciowa aplikacji internetowej jest zintegrowana z Application Gateway (Azure) lub Application Load Balancer (AWS), aby zabezpieczyć ruch przychodzący z Internetu. 
  • Szyfrowanie danych w ruchu końcowym. 
  • Dostępność bezpiecznych konektorów i agentów, które są wymagane do bezpiecznej integracji systemu SAP S/4HANA z innymi aplikacjami SaaS SAP. Agenci są dostarczani na żądanie i po zakupie przez klienta odpowiednich rozwiązań chmurowych. 
  • Reverse Proxy – Web Dispatcher – Brak bezpośredniego dostępu do systemu backendowego. 
  • Bezpieczne integracje chmurowe za pośrednictwem SAP Cloud Connector. 
  • Wszystkie połączenia wychodzące są oparte na ograniczonej liście kontroli dostępu skonfigurowanej w komponentach zabezpieczeń używanych w chmurze. Wszystkie wychodzące dostępy obsługują szyfrowanie w ruchu oparte na TLS 1.2. 
  • Wsparcie dla uwierzytelniania tożsamości za pomocą SAML, Kerberos/SPNEGO, certyfikatów X.509. 
  • Wsparcie dla uwierzytelniania wieloskładnikowego. 

Bezpieczeństwo sieci

  • Dla każdego klienta tworzony jest zestaw konta, subskrypcji lub projektu w środowisku dostawcy infrastruktury IaaS (AWS/Azure/GCP), aby wdrożyć dedykowane instancje SAP (wirtualne). Dla każdej subskrypcji/konta/projektu tworzone są specyficzne dla klienta Wirtualne Chmury Prywatne (VPC) lub Wirtualne Sieci (VNET), aby spełnić określone wymagania izolacji systemu/danych. W ramach każdej VPC/VNET tworzone jest wiele podsieci (korzystające z prywatnych adresów IP CIDR), aby segregować środowiska. 
  • Każda podsieć jest konfigurowany z Security Group (AWS) lub Network Security Group (Azure) lub Firewall (GCP) z określonym zestawem reguł kontrolujących ruch sieciowy. 
  • Zasady bezpieczeństwa zdefiniowane na wyższym poziomie hierarchii są przekazywane do każdej subskrypcji/projektu/konta. 
  • Ruch replikacji danych z lokalizacji pierwotnej do lokalizacji DR zawsze odbywa się za pośrednictwem prywatnego połączenia (peering). 
  • Dostęp klienta do VPC lub VNET będzie możliwy wyłącznie za pośrednictwem prywatnego dedykowanego połączenia. Istnieje możliwość skonfigurowania tak, aby żaden dostęp sieciowy nie był dozwolony do zarządzanego środowiska z Internetu. 
  • SAP izoluje sieć administracyjną od klienta VPC/VNET za pomocą zapór administracyjnych. Ruch sieciowy między klientem VNET/VPC a siecią administracyjną SAP zawsze odbywa się za pośrednictwem zaszyfrowanych tuneli VPN, a wszystkie wymiany danych administracyjnych są szyfrowane zgodnie ze standardami TLS 1.2. 
  • Wszystkie żądania dostępu administracyjnego przechodzą przez proces zatwierdzenia przez menedżera dostępu i są weryfikowane przez wyznaczoną władzę. 
  • Wszystkie działania, w tym udzielanie/odmawianie dostępu administracyjnego oraz działania wykonywane przez administratorów, są rejestrowane i audytowane.

Bezpieczeństwo operacyjne 

Usługi SAP Enterprise Cloud Services (ECS) wykonują szereg zadań mających na celu zabezpieczenie środowiska klienta. Obejmuje to zarządzanie łatkami bezpieczeństwa, utwardzanie systemów operacyjnych, aplikacji oraz wirtualnych instancji baz danych. Zarządzanie incydentami i zdarzeniami bezpieczeństwa jest dostępne do zbierania, agregowania, korelacji i stosowania przypadków użycia bezpieczeństwa w celu automatycznego wykrywania incydentów bezpieczeństwa. Zespół wykonuje monitoring infrastruktury 24×7, monitorowanie baz danych, zarządzanie incydentami bezpieczeństwa, zapewnia bezpieczny dostęp administratora, regularne tworzenie kopii zapasowych, skanowanie bezpieczeństwa i eliminację zagrożeń w celu zabezpieczenia środowiska dla klientów. 

Audyt i zgodność 

SAP przeprowadza audyty kontroli bezpieczeństwa, które są weryfikowane poprzez różne certyfikaty i zaświadczenia. 

Certyfikaty ISO: 

  • ISO9001 System Zarządzania Jakością 
  • ISO27001 System Zarządzania Bezpieczeństwem Informacyjnym 
  • ISO27017 Bezpieczeństwo Usług w Chmurze 
  • ISO27018 Ochrona Danych Osobowych w Chmurze 
  • ISO22301 Zarządzanie Ciągłością Działania 

Audyty typu SOC1 i SOC2 Type 2 są przeprowadzane w celu zweryfikowania projektu kontroli bezpieczeństwa oraz skuteczności wdrożenia tych kontroli. Raport SOC2 Type 2 może być bezpośrednio złożony w SAP Trust Center pod warunkiem zawarcia umowy o poufności. Raporty SOC1 Type 2 są dostępne dla istniejących klientów posiadających instancję produkcyjną oraz posiadających ważną umowę o poufności, które można uzyskać za pośrednictwem SAP Trust Center.

Rola SNOK i jak możemy pomóc

SNOK, jako partner SAP, zdobył bogate doświadczenie w zakresie implementacji i zarządzania rozwiązaniami SAP, w tym SAP S/4HANA Cloud Private Edition. Nasza firma oferuje kompleksowe usługi doradcze i wsparcie w zakresie bezpieczeństwa i ochrony danych, co pozwala naszym klientom maksymalnie wykorzystać potencjał oferowanych przez SAP rozwiązań chmurowych. Dzięki naszej ekspertyzie, klient może być pewny, że ich dane są chronione zgodnie z najwyższymi standardami, a proces przejścia do chmury jest płynny i bezpieczny. Ponadto, warto wspomnieć, że SNOK posiada certyfikaty ISO, co potwierdza nasze zaangażowanie w zapewnienie wysokiej jakości usług i przestrzeganie międzynarodowych standardów bezpieczeństwa danych. 

Podsumowanie

SAP S/4HANA Cloud Private Edition oferuje klientom jedno tenantowy krajobraz, dużą elastyczność w cyklach aktualizacji, dodatków oraz dostarcza architekturę obrony w głębi, która chroni podstawowe zasoby informacyjne klientów pod względem poufności, integralności i dostępności. Daje to mapę przejścia i transformacji do korzystania z usług chmurowych dla istniejących klientów systemu ECC w trybie lokalnym. Wiele z zadań związanych z bezpieczeństwem, takich jak monitorowanie bezpieczeństwa, zarządzanie incydentami bezpieczeństwa, niezależne audyty bezpieczeństwa, Cyber SOC 24×7, jest przenoszonych dla personelu operacyjnego i zarządzającego SAP. Pozwala to klientom skupić się na swoich podstawowych procesach biznesowych i uzyskać większą kontrolę nad swoimi danymi, co prowadzi do zmniejszenia całkowitych kosztów posiadania i umożliwia szybsze wejście na rynek. 

Jeśli chcesz dowiedzieć się więcej o tym, jak SNOK może pomóc Twojej firmie w zapewnieniu bezpieczeństwa danych w SAP S/4HANA Cloud Private Edition, skontaktuj się z nami już dziś!