Azure 上 SAP 的治理專業領域
SAP 是現今許多組織在其最重要工作負載中使用的常見技術。 規劃 SAP 架構時,您應該特別注意確保架構是健全且安全的。 本文的目標是記錄 Azure 上企業級 SAP 的安全性、合規性和治理設計準則。 本文討論在 Azure 上部署 SAP 平臺的特定設計建議、最佳做法和設計考慮。 若要完整準備企業解決方案的治理,請務必檢閱 Azure 登陸區域設計區域中的安全性治理與合規性指引
雲端解決方案一開始裝載單一相對隔離的應用程式。 隨著雲端解決方案的優點變得清楚,雲端裝載了許多更大規模的工作負載,例如 Azure 上的 SAP。 解決一或多個區域中部署的安全性、可靠性、效能和成本考慮,在雲端服務生命週期中變得至關重要。
AZURE 上 SAP 企業級登陸區域安全性、合規性和治理的願景是讓組織工具和程式防範風險並做出有效的決策。 企業級登陸區域會定義安全性治理和合規性角色和責任,讓每個人都知道其預期。
責任分擔模式
當您評估公用雲端服務時,請務必瞭解雲端提供者與客戶所處理的工作。 根據共同責任模型,雲端提供者與其客戶之間的責任劃分取決於工作負載的雲端裝載模型:軟體即服務(SaaS)、平臺即服務(PaaS)或基礎結構即服務(IaaS)。 身為客戶,不論雲端部署模型為何,您一律負責您的數據、端點和帳戶和存取管理。
下圖顯示 Microsoft 雲端共用責任模型中責任區域之間的工作劃分:
如需共用責任模型的詳細資訊,請參閱 雲端中的共同責任。
安全性設計建議
安全性是 Microsoft 與客戶之間的共同責任。 您可以將自己的虛擬機 (VM) 和資料庫映像上傳至 Azure,或使用來自 Azure Marketplace 的映像。 不過,這些映像需要符合應用程式和組織需求的安全性控件。 您必須將客戶特定的安全性控制套用至作業系統、數據和 SAP 應用層。
如需普遍接受的安全性指引,請參閱 來自因特網安全性中心(CIS)的網路安全性最佳做法 。
Azure 登陸區域有關於以零信任為基礎的網路安全性的特定指引,以保護網路周邊和流量。 如需詳細資訊,請參閱 Azure 上的網路安全性策略。
啟用適用於雲端的 Microsoft Defender
使用中樞輪輻網路拓撲的企業通常會跨多個 Azure 訂用帳戶部署雲端架構模式。 在下列雲端部署圖表中,紅色方塊會反白顯示安全性差距。 黃色方塊會顯示跨工作負載和訂用帳戶優化網路虛擬設備的機會。
適用於雲端的 Microsoft Defender 提供威脅防護,併為您提供整個企業安全性狀態的整體檢視。
在 Azure 訂用帳戶上啟用 適用於雲端的 Microsoft Defender Standard for SAP,以:
加強數據中心的安全性狀態,併為 Azure 和其他雲端的內部部署和混合式工作負載提供進階威脅防護。
查看 Azure 訂用帳戶上 SAP 的所有安全性狀態,並查看跨 SAP VM、磁碟和應用程式的資源安全性衛生。
委派具有 Just-In-Time 存取權的 SAP 系統管理員自定義角色。
當您啟用 適用於雲端的 Microsoft Defender Standard for SAP 時,請務必從安裝 Endpoint Protection 的任何原則中排除 SAP 資料庫伺服器。
下列螢幕快照顯示 Azure 入口網站 中的工作負載保護儀錶板:
啟用 Microsoft Sentinel
Microsoft Sentinel 是可調整、雲端原生、安全性資訊事件管理 (SIEM) 和安全性協調流程自動化回應 (SOAR) 解決方案。 Microsoft Sentinel 提供整個企業的智慧型安全性分析與威脅情報,並針對警示偵測、威脅可見性、積極式搜捕及回應威脅,提供單一的解決方案。
安全驗證
單一登錄 (SSO) 是整合 SAP 和 Microsoft 產品的基礎。 來自 Active Directory 的 Kerberos 令牌與第三方安全性產品結合,已針對 SAP GUI 和網頁瀏覽器型應用程式啟用此功能多年。 當使用者登入其工作站並成功驗證時,Active Directory 會發出 Kerberos 令牌。 第三方安全性產品接著會使用 Kerberos 令牌來處理 SAP 應用程式的驗證,而不需要使用者重新驗證。
您也可以藉由整合第三方安全性產品與 DIAG (SAP GUI)、RFC 和 SPNEGO for HTTPS 的安全網路通訊(SNC)整合第三方安全性產品,以加密從使用者的前端傳輸至 SAP 應用程式的數據。
具有 SAML 2.0 的 Microsoft Entra 識別碼也可以提供 SSO 給一系列 SAP 應用程式和平臺,例如 SAP NetWeaver、SAP HANA 和 SAP 雲端平臺。
強化操作系統
請務必強化操作系統,以消除可能導致 SAP 資料庫攻擊的弱點。
額外檢查可確保安全的基礎安裝:
- 定期檢查系統檔案完整性。
- 限制對操作系統的存取。
- 限制對伺服器的實體存取。
- 保護網路層級伺服器的存取。
隔離虛擬網路
隔離並限制對網路服務和通訊協定的存取。 若要進行更嚴格的控制,您可以使用數個 Azure 安全性機制來保護建議的中樞和輪輻網路架構:
透過中樞虛擬網路傳遞所有流量,透過虛擬網路對等互連連線到輪輻網路,以隔離 SAP 應用程式和資料庫伺服器與因特網或內部部署網路。 對等互連的虛擬網路保證 SAP on Azure 解決方案會與公用因特網隔離。
使用 Azure 監視器、 Azure 網路安全組 (NSG) 或應用程式安全組來監視和篩選流量。
使用 Azure 防火牆 或任何市場可用的網路虛擬設備(NVA)。
如需更進階的網路安全性措施,請實作 網路 DMZ。 如需詳細資訊,請參閱 在 Azure 與內部部署數據中心之間實作 DMZ。
隔離 DMZ 和 NVA 與 SAP 資產的其餘部分、設定 Azure Private Link,以及安全地管理和控制 Azure 資源上的 SAP。
下列架構圖顯示如何透過NSG管理具有網路服務和通訊協定隔離和限制的 Azure 虛擬網路拓撲。 請確定您的網路安全性也符合組織安全策略需求。
如需有關 Sap on Azure 網路安全性的詳細資訊,請參閱 Azure 上的 SAP 安全性作業。
加密待用資料
待用數據是以任何數位格式儲存在實體媒體上的永續性記憶體中的資訊。 媒體可以包含磁媒體或光學媒體上的檔案、封存的數據和數據備份。 Azure 提供各種資料記憶體解決方案,包括檔案、磁碟、Blob 和數據表。 某些 Azure 儲存體 待用數據加密預設會隨著選用的客戶設定而發生。 如需詳細資訊,請參閱 Azure 待用 數據加密和 Azure 加密概觀。
Azure VM 上 SAP 的伺服器端加密 (SSE) 可保護您的資料,並協助您符合組織安全性和合規性承諾。 SSE 會在將數據保存到雲端時,自動加密 Azure 受控 OS 和數據磁碟上的待用數據。 SSE 會使用 256 位 AES 加密,以透明方式加密 Azure 受控磁碟數據,這是可用的最強區塊加密之一,且符合 FIPS 140-2 規範。 SSE 不會影響受控磁碟效能,而且不需要額外費用。 如需基礎 Azure 受控磁碟之密碼編譯模組的詳細資訊,請參閱 密碼編譯 API:新一代。
所有 Azure Resource Manager 和傳統記憶體帳戶都已啟用 Azure 儲存體 加密,而且無法停用。 由於您的數據預設會加密,因此您不需要修改程式碼或應用程式,以使用 Azure 儲存體 加密。
針對 SAP 資料庫伺服器加密,請使用 SAP HANA 原生加密技術。 如果您使用 Azure SQL 資料庫,請使用 DBMS 提供者所提供的 透明資料加密 (TDE)來保護數據和記錄檔的安全,並確保備份也會加密。
保護傳輸中的數據
數據在傳輸中或正式發行前小眾測試版時,會從一個位置移至另一個位置,無論是內部內部部署或內部部署內部,還是在外部,例如透過因特網傳送給終端使用者。 Azure 提供數種機制來將數據保留在傳輸中。 所有機制都可以使用保護方法,例如加密。 這些機制包括︰
- 使用 IPsec/IKE 加密透過虛擬專用網進行通訊
- 透過 azure 元件傳輸層安全性 (TLS) 1.2 或更新版本,例如 Azure 應用程式閘道 或 Azure Front Door
- Azure VM 上可用的通訊協定,例如 Windows IPsec 或 SMB
使用MACsec進行加密,這是數據連結層的IEEE標準,會自動針對 Azure 資料中心之間的所有 Azure 流量啟用。 此加密可確保客戶數據機密性和完整性。 如需詳細資訊,請參閱 Azure 客戶數據保護。
管理金鑰和秘密
若要控制和管理非 HANA Windows 和非 Windows 作業系統的磁碟加密密鑰和秘密,請使用 Azure 金鑰保存庫。 金鑰保存庫 具有布建和管理 SSL/TLS 憑證的功能。 您也可以使用硬體安全性模組 (HSM) 來保護秘密。 Azure 金鑰保存庫 不支援 SAP HANA,因此您必須使用 SAP ABAP 或 SSH 金鑰等替代方法。
保護 Web 和行動應用程式
針對 SAP Fiori 之類的因特網面向應用程式,請務必散發每個應用程式需求的負載,同時維護安全性層級。 針對第 7 層安全性,您可以使用 Azure Marketplace 中可用的第三方 Web 應用程式防火牆 (WAF)。
針對行動裝置應用程式, Microsoft Enterprise Mobility + Security 可以整合 SAP 因特網面向應用程式,因為它有助於保護及保護組織,並讓您的員工能夠以全新且彈性的方式工作。
安全地管理流量
針對因特網對向應用程式,您必須確保散發每個應用程式需求的負載,同時維護安全性層級。 負載平衡 是將工作負載分散到多個運算資源。 負載平衡旨在將資源使用情況最佳化、最大化輸送量、將回應時間縮到最短,以及避免多載任何單一資源。 負載平衡也可以藉由跨備援運算資源分享工作負載來改善可用性。
負載平衡器會將流量導向應用程式子網中的 VM。 針對高可用性,此範例會使用 SAP Web Dispatcher 和 Azure Standard Load Balancer。 這兩個服務也會透過相應放大來支援容量擴充。您也可以使用 Azure 應用程式閘道 或其他合作夥伴產品,視流量類型和安全套接字層 (SSL) 終止和轉送等必要功能而定。
您可以將 Azure 負載平衡服務分類為全域與區域與 HTTP/S 與非 HTTP/S 維度。
全域負載平衡服務會將流量分散到區域後端、雲端或混合式內部部署服務。 這些服務將終端使用者流量路由傳送至最接近的可用後端。 這些服務也會藉由回應服務可靠性或效能的變更,將可用性和效能最大化。 您可以將這些服務視為在應用程式戳記、端點或縮放單位之間負載平衡的系統,這些單位裝載於不同區域或地理位置。
區域負載平衡服務會將虛擬網路內的流量分散到區域內的 VM 或區域和區域備援服務端點。 您可以將這些服務視為在虛擬網路中區域內的 VM、容器或叢集之間進行負載平衡的系統。
HTTP/S 負載平衡服務是第 7 層負載平衡器,只接受 HTTP/S 流量,且適用於 Web 應用程式或其他 HTTP/S 端點。 HTTP/S 負載平衡服務包括 SSL 卸除、WAF、路徑型負載平衡和會話親和性等功能。
針對非 Web 工作負載,建議使用可處理非 HTTP/S 流量的非 HTTP/S 負載平衡服務。
下表摘要說明依類別的 Azure 負載平衡服務:
| 服務 | 全域或地區 | 建議的流量 |
|---|---|---|
| Azure Front Door | 全球 | HTTP/S |
| 流量管理員 | 全球 | 非 HTTP/S |
| 應用程式閘道 | 地區 | HTTP/S |
| Azure Load Balancer | Regional | 非 HTTP/S |
Front Door 是一個應用程式傳遞網路,可為 Web 應用程式提供全域負載平衡和網站加速服務。 Front Door 提供第 7 層功能,例如 SSL 卸除、路徑型路由、快速故障轉移和快取,以改善應用程式的效能和可用性。
流量管理員 是以 DNS 為基礎的流量負載平衡器,可讓您以最佳方式將流量分散到全球 Azure 區域的服務,同時提供高可用性和回應性。 因為 流量管理員 是 DNS 型負載平衡服務,所以只會在網域層級進行負載平衡。 因此,它無法像 Front Door 一樣快速地故障轉移,因為 DNS 快取和系統不接受 DNS TTL 的常見挑戰。
應用程式閘道 提供具有各種第 7 層負載平衡功能的受控應用程式傳遞控制器。 您可以使用 應用程式閘道,將 CPU 密集 SSL 終止卸除至閘道,將 Web 伺服器陣列的生產力優化。
Azure Load Balancer 是所有 UDP 和 TCP 通訊協定的高效能、超低延遲第 4 層輸入和輸出負載平衡服務。 Load Balancer 每秒會處理數百萬個要求。 Load Balancer 是區域備援,可確保跨 可用性區域 的高可用性。
請參閱下列判定樹,以在 Azure 應用程式負載平衡決策上制定 SAP:
每個 SAP 應用程式都有獨特的需求,因此請將上述流程圖和建議視為更詳細的評估起點。 如果您的 SAP 應用程式包含多個工作負載,請個別評估每個工作負載。 完整的解決方案可能包含兩個或兩個以上的負載平衡解決方案。
監視安全性
適用於 SAP 解決方案的 Azure 監視器是適用於 SAP 環境之 Azure 原生監視產品,適用於 Azure 上的 SAP 虛擬機器 和 HANA 大型實例。 使用適用於 SAP 解決方案的 Azure 監視器,您可以從一個中央位置的 Azure 基礎結構和資料庫收集遙測數據,並以可視化方式將遙測數據相互關聯,以更快速地進行疑難解答。
安全性範圍決策
下列建議適用於各種安全性案例。 範圍內需求是讓安全性解決方案符合成本效益且可調整。
| 範圍(案例) | 建議 | 備註 |
|---|---|---|
| 查看所有 Azure 和內部部署安全性狀態的合併檢視。 | 適用於雲端的 Microsoft Defender 標準 | 適用於雲端的 Microsoft Defender Standard 可協助從內部部署和雲端將 Windows 和 Linux 機器上線,並顯示合併的安全性狀態。 |
| 加密 Azure 資料庫上的所有 SAP,以符合法規需求。 | SAP HANA 原生加密和 SQL TDE | 針對資料庫,請使用SAP HANA原生加密技術。 如果您使用 SQL 資料庫,請啟用 TDE。 |
| 使用 HTTPS 流量保護全域使用者的 SAP Fiori 應用程式。 | Azure Front Door | Front Door 為應用程式傳遞網路,為 Web 應用程式提供全域負載平衡和網站加速服務。 |
合規性與治理設計建議
Azure Advisor 是免費的,可協助您在 Azure 訂用帳戶上取得 SAP 的合併檢視。 如需可靠性、復原能力、安全性、效能、成本和卓越營運設計建議,請參閱 Azure Advisor 建議。
使用 Azure 原則
Azure 原則 可協助強制執行組織標準,並透過合規性儀錶板大規模評估合規性。 Azure 原則 提供匯總檢視來評估環境的整體狀態,並能夠向下切入至每個資源、每個原則的數據粒度。
Azure 原則 也可透過現有資源的大量補救和新資源的自動補救,協助讓您的資源符合規範。 範例 Azure 原則會將允許的位置套用至管理群組、要求標記及其資源值、使用受控磁碟建立 VM,或命名原則。
管理 Azure 上的 SAP 成本
成本管理非常重要。 Microsoft 提供各種方式來優化成本,例如保留、適當重設大小和擷取。 請務必瞭解並設定成本支出限制的警示。 您可以擴充此監視,以與整體IT服務管理 (ITSM) 解決方案整合。
自動化 SAP 部署
藉由自動化 SAP 部署來節省時間並降低錯誤。 將複雜的 SAP 環境部署到公用雲端並不是件容易的事。 SAP 基本小組可能非常熟悉安裝及設定內部部署 SAP 系統的傳統工作。 設計、建置及測試雲端部署通常需要額外的領域知識。 如需詳細資訊,請參閱 SAP 企業級平臺自動化和 DevOps。
鎖定生產工作負載的資源
在 SAP 項目開始時建立必要的 Azure 資源。 完成所有新增、移動和變更,且 Azure 上的 SAP 部署正常運作時,請鎖定所有資源。 只有進階系統管理員才能解除鎖定並允許修改資源,例如 VM。 如需詳細資訊,請參閱鎖定資源以防止非預期的變更。
實作角色型存取控制
自定義 Azure 輪輻訂用帳戶上 SAP 的角色型存取控制 (RBAC) 角色,以避免意外發生網路相關變更。 您可以允許 Azure 基礎結構小組成員將 VM 部署至 Azure 虛擬網路,並限制它們變更對等互連至中樞訂用帳戶的虛擬網路上的任何專案。 另一方面,您可以允許網路小組的成員建立和設定虛擬網路,但禁止他們在 SAP 應用程式執行所在的虛擬網路中部署或設定 VM。
針對 SAP LaMa 使用 Azure 連線 or
在典型的 SAP 資產中,通常會部署數個應用程式環境,例如 ERP、SCM 和 BW,而且持續需要執行 SAP 系統複本和 SAP 系統重新整理。 範例為技術或應用程式版本建立新的 SAP 專案,或定期從生產複本重新整理 QA 系統。 SAP 系統複製和重新整理的端對端程式既耗時又耗費人力。
SAP Landscape Management (LaMa) Enterprise Edition 可以藉由自動化 SAP 系統複製或重新整理所涉及的數個步驟,來支援營運效率。 適用於 LaMa 的 Azure 連線 or 可讓您複製、刪除和重新配置 Azure 受控磁碟,以協助 SAP 作業小組快速執行 SAP 系統複本和系統重新整理,減少手動工作。
針對 VM 作業,適用於 LaMa 的 Azure 連線 or 可以降低 Azure 上 SAP 資產的執行成本。 您可以停止或解除分配並啟動 SAP VM,這可讓您使用降低使用率設定檔來執行特定工作負載。 例如,透過 LaMa 介面,您可以將 SAP S/4HANA 沙箱 VM 排程為從 08:00 到 18:00,每天 10 小時,而不是執行 24 小時。 適用於 LaMa 的 Azure 連線 or 也可讓您在直接從 LaMa 內產生效能需求時調整 VM 的大小。
合規性和治理範圍決策
下列建議適用於各種合規性和治理案例。 範圍內的需求是讓解決方案符合成本效益且可調整。
| 範圍(案例) | 建議 | 備註 |
|---|---|---|
| 設定標準命名慣例的治理模型,並根據成本中心提取報告。 | Azure 原則 和 Azure 標籤 | 使用 Azure 原則和標記,以符合需求。 |
| 避免意外刪除 Azure 資源。 | Azure 資源鎖定 | Azure 資源鎖定可防止意外刪除資源。 |
| 取得 Azure 資源 SAP 成本優化、復原、安全性、卓越營運和效能的商機區域合併檢視 | Azure Advisor | Azure Advisor 是免費的,可協助跨 Azure 訂用帳戶的 SAP 取得合併檢視。 |