Servizi di sicurezza e identità di Azure con SAP RISE

Questo articolo illustra in dettaglio l'integrazione dei servizi di gestione delle identità e della sicurezza di Azure con un carico di lavoro SAP RISE. Inoltre, l'uso di alcuni servizi di monitoraggio di Azure è illustrato per un panorama SAP RISE.

Single Sign-On per SAP

Single Sign-On (SSO) è configurato per molti ambienti SAP. Con i carichi di lavoro SAP in esecuzione in ECS/RISE, i passaggi da implementare non differiscono da un sistema SAP in esecuzione in modo nativo. I passaggi di integrazione con l'accesso SSO basato su Microsoft Entra ID sono disponibili per i carichi di lavoro tipici gestiti da ECS/RISE:

• Esercitazione: Integrazione dell'accesso Single Sign-On di Microsoft Entra con SAP NetWeaver
• Esercitazione: Integrazione dell'accesso Single Sign-On di Microsoft Entra con SAP Fiori
• Esercitazione: Integrazione di Microsoft Entra con SAP HANA

Metodo SSO	Provider di identità	Caso d'uso tipico	Implementazione
SAML/OAuth	Microsoft Entra ID	SAP Fiori, interfaccia utente grafica Web, portale, HANA	Configurazione da parte del cliente
SNC	Microsoft Entra ID	GUI SAP	Configurazione da parte del cliente
SPNEGO	Active Directory (AD)	INTERFACCIA utente grafica Web, SAP Enterprise Portal	Configurazione per cliente e SAP

SSO su Active Directory (AD) del dominio Windows per l'ambiente SAP gestito ECS/RISE, con SAP SSO Secure Login Client richiede l'integrazione di AD per i dispositivi degli utenti finali. Con SAP RISE, tutti i sistemi Windows non sono integrati con il dominio active directory del cliente. L'integrazione del dominio non è necessaria per l'accesso SSO con AD/Kerberos perché il token di sicurezza del dominio viene letto nel dispositivo client e scambiato in modo sicuro con il sistema SAP. Contattare SAP se sono necessarie modifiche per integrare l'accesso SSO basato su AD o l'uso di prodotti di terze parti diversi da SAP SSO Secure Login Client, perché potrebbero essere necessarie alcune configurazioni nei sistemi gestiti RISE.

Copilot per la sicurezza con SAP RISE

Copilot per la sicurezza è un prodotto generativo per la sicurezza dell'IA generativa che consente ai professionisti IT e della sicurezza di rispondere a minacce informatiche, elaborare segnali e valutare l'esposizione dei rischi alla velocità e alla scalabilità dell'IA. Dispone di un portale proprio ed esperienze incorporate in Microsoft Defender XDR, Microsoft Sentinel e Intune.

Può essere usato con qualsiasi origine dati supportata da Defender XDR e Sentinel, tra cui SAP RISE/ECS. Di seguito viene illustrata l'esperienza autonoma.

Questa immagine mostra un esempio dell'esperienza Microsoft Copilot for Security usando un prompt per analizzare un evento imprevisto SAP.

Oltre a questo, l'esperienza Copilot for Security è incorporata nel portale di Defender XDR. Accanto a un riepilogo generato dall'intelligenza artificiale, vengono fornite raccomandazioni e correzioni come la reimpostazione della password per SAP. Altre informazioni sull'interruzione automatica degli attacchi SAP qui.

Questa immagine mostra un esempio di Microsoft Copilot for Security che analizza un evento imprevisto rilevato in SAP RISE tramite Defender XDR. L'inserimento dei dati viene eseguito tramite la soluzione Microsoft Sentinel per SAP.

Microsoft Sentinel con SAP RISE

La soluzione Microsoft Sentinel per SAP certificata SAP RISE per le applicazioni SAP consente di monitorare, rilevare e rispondere alle attività sospette. Microsoft Sentinel protegge i dati critici da attacchi informatici sofisticati per i sistemi SAP ospitati in Azure, in altri cloud o in un'infrastruttura locale. La soluzione Microsoft Sentinel per SAP BTP espande tale copertura a SAP Business Technology Platform (BTP).

La soluzione consente di ottenere visibilità sulle attività degli utenti su SAP RISE/ECS e sui livelli della logica di business SAP e applicare il contenuto predefinito di Sentinel.

• Usare una singola console per monitorare tutto il patrimonio aziendale, incluse le istanze SAP in SAP RISE/ECS in Azure e in altri cloud, SAP Azure nativo e locale
• Rilevare e rispondere automaticamente alle minacce: rilevare attività sospette, tra cui escalation dei privilegi, modifiche non autorizzate, transazioni sensibili, esfiltrazione dei dati e altro ancora con funzionalità di rilevamento predefinite
• Correlare l'attività SAP con altri segnali: rilevare in modo più accurato le minacce SAP correlando tra endpoint, dati di Microsoft Entra e altro ancora
• Personalizzare in base alle esigenze: creare rilevamenti personalizzati per monitorare le transazioni sensibili e altri rischi aziendali
• Visualizzare i dati con cartelle di lavoro predefinite

Questo diagramma mostra un esempio di Microsoft Sentinel connesso tramite una macchina virtuale intermedia o un contenitore al sistema SAP gestito da SAP. La macchina virtuale intermedia o il contenitore viene eseguito nella sottoscrizione del cliente con l'agente del connettore dati SAP configurato. La connessione a SAP Business Technology Platform (BTP) usa le API pubbliche di SAP per il servizio di gestione dei log di controllo.

Per SAP RISE/ECS, la soluzione Microsoft Sentinel deve essere distribuita nella sottoscrizione di Azure del cliente. Tutte le parti della soluzione Sentinel vengono gestite dal cliente e non da SAP. La connettività di rete privata dalla rete virtuale del cliente è necessaria per raggiungere i paesaggi SAP gestiti da SAP RISE/ECS. In genere, questa connessione viene eseguita tramite il peering delle reti virtuali stabilite o tramite alternative descritte in questo documento.

Per abilitare la soluzione, è necessario solo un utente RFC autorizzato e non è necessario installare nulla nei sistemi SAP. L'agente di raccolta dati SAP basato su contenitori incluso nella soluzione può essere installato nella macchina virtuale o nel servizio Azure Kubernetes/qualsiasi ambiente Kubernetes. L'agente di raccolta usa un utente del servizio SAP per usare i dati del log applicazioni dal panorama applicativo SAP tramite l'interfaccia RFC usando chiamate RFC standard.

• Metodi di autenticazione supportati in SAP RISE: nome utente e password SAP o certificati X509/SNC
• Attualmente sono possibili solo connessioni basate su RFC con ambienti SAP RISE/ECS

Importante

• L'esecuzione di Microsoft Sentinel in un ambiente SAP RISE/ECS richied l'importazione di una richiesta di modifica del trasporto SAP per i campi di log/origine seguenti: informazioni sull'indirizzo IP client dal log di controllo di sicurezza SAP, log delle tabelle di database (anteprima), log di output dello spooling. Il contenuto predefinito di Sentinel (rilevamenti, cartelle di lavoro e playbook) offre una copertura completa e una correlazione senza tali origini di log.
• L'infrastruttura SAP e i log del sistema operativo non sono disponibili per Sentinel in RISE, a causa del modello di responsabilità condivisa.

Risposta automatica con le funzionalità SOAR di Sentinel

Usare playbook predefiniti per la sicurezza, l'orchestrazione, l'automazione e le funzionalità di risposta (SOAR) per reagire rapidamente alle minacce. Un primo scenario diffuso è il blocco degli utenti SAP con l'opzione di intervento da Microsoft Teams. Il modello di integrazione può essere applicato a qualsiasi tipo di evento imprevisto e servizio di destinazione che si estende verso SAP Business Technology Platform (BTP) o Microsoft Entra ID per quanto riguarda la riduzione della superficie di attacco.

Per altre informazioni su Microsoft Sentinel e SOAR per SAP, vedere la serie di blog Da nessuna copertura a una copertura con sicurezza avanzata grazie a Microsoft Sentinel per i segnali di sicurezza SAP critici.

Questa immagine mostra un evento SAP imprevisto rilevato da Sentinel che offre l'opzione per bloccare l'utente sospetto in SAP ERP, SAP Business Technology Platform o Microsoft Entra ID.

Per altre informazioni su Microsoft Sentinel e SAP, inclusa una guida alla distribuzione, vedere la documentazione del prodotto Sentinel.

Monitoraggio di Azure per SAP con SAP RISE

Monitoraggio di Azure per soluzioni SAP è una soluzione nativa di Azure per il monitoraggio del sistema SAP. Estende la funzionalità di monitoraggio della piattaforma di Monitoraggio di Azure con il supporto per raccogliere dati relativi a SAP NetWeaver, database e dettagli del sistema operativo.

SAP RISE/ECS è un servizio completamente gestito per il panorama SAP e pertanto Monitoraggio di Azure per SAP non deve essere usato per tale ambiente gestito. SAP RISE/ECS non supporta alcuna integrazione con Monitoraggio di Azure per soluzioni SAP. Il monitoraggio e la creazione di report di SAP vengono usati e forniti al cliente come definito dalla descrizione del servizio con SAP.

Centro di Azure per soluzioni SAP

Come per il monitoraggio di Azure per soluzioni SAP, SAP RISE/ECS non supporta alcuna integrazione con Centro di Azure per soluzioni SAP in alcuna funzionalità. Tutti i carichi di lavoro SAP RISE vengono distribuiti da SAP ed eseguiti nel tenant e nella sottoscrizione di SAP, senza alcun accesso da parte del cliente alle risorse di Azure.

Passaggi successivi

Vedere la documentazione:

• Panoramica dell'integrazione di Azure con SAP RISE
• Opzioni di connettività di rete in Azure con SAP RISE
• Integrazione dei servizi di Azure con SAP RISE
• Distribuire la soluzione Microsoft Sentinel per le applicazioni SAP®
• Distribuire la soluzione Microsoft Sentinel per SAP® BTP