你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 提供保护 SAP 工作负荷所需的所有工具。 SAP 应用程序可以包含有关组织的敏感数据。 必须使用安全身份验证方法、强化的网络和加密来保护 SAP 体系结构。
配置标识管理
影响:安全性
标识管理是一个框架,用于强制实施控制对关键资源的访问的策略。 身份管理系统控制对 SAP 工作负载的访问,无论是在其虚拟网络内部还是外部。 对于 SAP 工作负荷,需要考虑三种标识管理用例,标识管理解决方案因每种情况而异。
使用 Microsoft Entra ID
组织可以通过与 Microsoft Entra ID(完全托管标识和访问管理服务)集成来提高 Azure 中 Windows 和 Linux 虚拟机的安全性。 Microsoft Entra ID 可以对最终用户对 SAP作系统的访问权限进行身份验证和授权。 可以使用 Microsoft Entra ID 创建存在于 Azure 上的域,或使用它与本地 Active Directory 标识集成。 Microsoft Entra ID 还与合作伙伴提供的 Microsoft 365、Dynamics CRM Online 和许多软件即服务(SaaS)应用程序集成。 建议使用跨域身份管理系统(SCIM)进行身份传播。 此模式可实现最佳的用户生命周期。
有关详细信息,请参见:
- 使用 Microsoft Entra ID 进行 SCIM 同步
- 为 SAP Cloud Platform Identity Authentication 配置自动用户预配
- Microsoft Entra 单一登录(SSO)与 SAP NetWeaver 的集成
- 使用 Microsoft Entra ID 和 OpenSSH 登录到 Azure 中的 Linux 虚拟机
- 使用 Microsoft Entra ID 登录到 Azure 中的 Windows 虚拟机
配置单一登录
可以使用 SAP 前端软件(SAP GUI)或具有 HTTP/S 的浏览器访问 SAP 应用程序。 建议使用 Microsoft Entra ID 或 Active Directory 联合身份验证服务(AD FS)配置单一登录(SSO)。 SSO 允许最终用户尽可能通过浏览器连接到 SAP 应用程序。
有关详细信息,请参见:
- SAP HANA 单一登录
- SAP NetWeaver SSO
- SAP Fiori SSO
- SAP Cloud Platform SSO
- SuccessFactors SSO
- Microsoft Entra 概述
使用特定于应用程序的指南
建议咨询 SAP Analytics Cloud、SuccessFactors 和 SAP Business Technology Platform 的 SAP 标识身份验证服务。 还可以使用 Microsoft Entra ID 和 SAP 标识身份验证服务将 SAP Business Technology Platform 中的服务与 Microsoft Graph 集成。
有关详细信息,请参见:
常见的客户方案是将 SAP 应用程序部署到 Microsoft Teams。 此解决方案需要使用 Microsoft Entra ID 的 SSO。 建议浏览Microsoft商业市场,以查看哪些 SAP 应用在 Microsoft Teams 中可用。 有关详细信息,请参阅 Microsoft商业市场。
表 1 - 建议的 SSO 方法摘要
| SAP 解决方案 | SSO 方法 |
|---|---|
| 基于 SAP NetWeaver 的 Web 应用程序,例如 Fiori、WebGui | 安全断言标记语言 (SAML) |
| SAP GUI 用户界面 | 具有 Windows Active Directory 或 Microsoft Entra 域服务或第三方解决方案的 Kerberos |
| SAP PaaS 和 SaaS 应用程序,例如 SAP Business Technology Platform (BTP)、Analytics Cloud、 Cloud Identity Services、 SuccessFactors、 Cloud for Customer、 Ariba | SAML/OAuth/JSON Web 令牌 (JWT) 和预配置的身份验证流程,直接使用 Microsoft Entra ID 或通过 SAP 身份验证服务代理进行验证。 |
使用基于角色的访问控制 (RBAC)
影响:安全性
必须控制对部署的 SAP 工作负荷资源的访问。 每个 Azure 订阅都与 Microsoft Entra 租户建立了信任关系。 建议使用 Azure 基于角色的访问控制(Azure RBAC)向组织内的用户访问 SAP 应用程序。 通过向特定范围内的用户或组分配 Azure 角色,授予访问权限。 该范围可以是订阅、资源组或单个资源。 范围取决于用户以及你如何对 SAP 工作负荷资源进行分组。
有关详细信息,请参见:
强制实施网络和应用程序安全性
网络和应用程序安全控制是每个 SAP 工作负荷的基线安全措施。 它们的重要性值得重复提及,以强调 SAP 网络和应用程序需要严格的安全审查和基线控制。
使用中心辐射型架构。 区分共享服务和 SAP 应用程序服务至关重要。 中心辐射型体系结构是一种良好的安全方法。 应将工作负荷特定资源放置在独立的虚拟网络中,与中心中的共享服务(如管理服务和 DNS)分开。
对于 SAP 原生设置,应使用 SAP 云连接器和 SAP Azure 私有链接作为中心辐射型架构的一部分。 这些技术支持 SAP 业务技术平台(BTP)的 SAP 扩展和创新体系结构。 Azure 本机集成与 Azure 虚拟网络和 API 完全集成,不需要这些组件。
使用网络安全组。 网络安全组(NSG)允许筛选传入和传出 SAP 工作负荷的网络流量。 可以定义 NSG 规则,以允许或拒绝对 SAP 应用程序的访问权限。 你可以允许从本地 IP 地址范围访问 SAP 应用程序端口,并拒绝公共 Internet 访问。 有关详细信息,请参阅 网络安全组
使用应用程序安全组。 通常,应用程序开发的安全最佳做法也适用于云中。 其中包括防止跨站点请求伪造、阻止跨站点脚本(XSS)攻击以及防止 SQL 注入攻击等内容。
应用程序安全组(ASG)可以更轻松地配置工作负荷的网络安全性。 ASG 可用于安全规则,而不是 VM 的显式 IP。 然后将虚拟机分配到 ASG。 由于这种抽象层,此配置支持在不同的应用程序布局上重复使用同一策略。 云应用程序通常使用具有访问密钥的托管服务。 切勿将访问密钥提交到版本控制系统。 而是将应用程序机密存储在 Azure Key Vault 中。 有关详细信息,请参阅 应用程序安全组。
筛选 Web 流量。 必须使用 Azure 防火墙、Web 应用程序防火墙、应用程序网关等服务来保护面向 Internet 的工作负荷,以在终结点之间创建分隔。 有关详细信息,请参阅 Azure 上的 SAP 的入站和出站 Internet 连接。
加密数据
影响:安全性
Azure 包含根据组织的安全性和合规性需求保护数据的工具。 加密静态和传输中的 SAP 工作负荷数据至关重要。
静态数据加密
加密静态数据是常见的安全要求。 默认情况下,为所有托管磁盘、快照和映像启用 Azure 存储服务端加密。 默认情况下,服务端加密使用服务管理的密钥,并且这些密钥对应用程序是透明的。
建议使用客户管理的密钥(CMK)查看和了解服务/服务器端加密(SSE)。 服务器端加密和客户管理密钥的组合使您能够在可用的 SAP 操作系统(OS)组合中加密操作系统和数据磁盘中的静态数据。 Azure 磁盘加密不支持所有 SAP 操作系统。 客户管理的密钥应存储在 Key Vault 中,以帮助确保作系统的完整性。 我们还建议加密 SAP 数据库。 Azure Key Vault 支持 SQL Server 的数据库从数据库管理系统(DBMS)到其他存储需求的加密。 下图显示了加密过程。
使用客户端加密时,请加密数据,并将数据作为加密 Blob 上传。 密钥管理由客户执行。 有关详细信息,请参见:
加密传输中的数据
传输中的加密适用于从一个位置移动到另一个位置的数据的状态。 传输中的数据可以通过多种方式进行加密,具体取决于连接的性质。 有关详细信息,请参阅 传输中的数据加密。
收集和分析 SAP 应用程序日志
应用程序日志监视对于在应用程序级别检测安全威胁至关重要。 建议使用适用于 SAP 的 Microsoft Sentinel 解决方案。 它是为 VM 上运行的 SAP 工作负荷构建的云原生安全信息和事件管理(SIEM)解决方案。 有关详细信息,请参阅 Microsoft Sentinel 适用于 SAP 的解决方案。
有关常规安全信息,请参阅: