你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
适用于 Azure 上的 SAP 的治理原则
SAP 是许多组织在当今最关键的工作负载中常用的一种技术。 在规划 SAP 体系结构时,应该特别注意确保体系结构健壮性和安全性。 本文的目的是记录 Azure 上企业级 SAP 的安全性、合规性和治理设计标准。 本文讨论特定于 Azure 上的 SAP 平台部署的设计建议、最佳做法和设计注意事项。 若要为企业解决方案的治理做好充分准备,重要的是要查看 Azure 登陆区域设计领域的安全治理和合规性指南
云解决方案最初托管单一的、相对孤立的应用程序。 随着云解决方案的优势越来越明显,云托管了许多更大规模的工作负载,例如 Azure 上的 SAP。 在云服务的整个生命周期中,解决一个或多个区域部署的安全性、可靠性、性能和成本问题变得至关重要。
Azure 上 SAP 企业级登陆区域安全性、合规性和治理的愿景是为组织提供工具和流程来预防风险并做出有效的决策。 企业级登陆区域定义了安全治理和合规角色和职责,以便每个人都知道对于他们的期望。
共担责任模型
在评估公共云服务时,务必要了解云提供商与客户分别处理哪些任务,这一点至关重要。 在共担责任模型下,云提供商与其客户之间的责任划分取决于你工作负载的云托管模型:软件即服务 (SaaS)、平台即服务 (PaaS) 或基础结构即服务 (IaaS)。 作为客户,无论云部署模型如何,你始终对你的数据、端点以及帐户和访问管理负责。
下图展示了 Microsoft 的云共担责任模型中责任区域之间的任务划分:
有关共担责任模型的更多信息,请参阅云中的共担责任。
安全设计建议
在 Azure 中,安全性是 Microsoft 和客户的共同责任。 你可以将自己的虚拟机 (VM) 和数据库映像上传到 Azure,也可以使用 Azure 市场中的映像。 但是,这些映像需要满足应用程序和组织要求的安全控制。 必须将客户特定的安全控制应用于操作系统、数据和 SAP 应用程序层。
有关普遍接受的安全指南,请参阅互联网安全中心 (CIS) 的网络安全最佳做法。
Azure 登陆区域提供有关基于零信任的网络安全性来保护网络外围和流量流的具体指导。 有关详细信息,请参阅 Azure 上的网络安全策略。
启用 Microsoft Defender for Cloud
使用中心辐射型网络拓扑的企业通常会跨多个 Azure 订阅部署云体系结构模式。 在下面的云部署图中,红框突出显示了一个安全漏洞。 黄色框显示了跨工作负载和订阅优化网络虚拟设备的机会。
Microsoft Defender for Cloud 提供威胁防护,让你全面了解整个企业的安全状况。
在 Azure 订阅上启用 Microsoft Defender for Cloud Standard for SAP 时,从而实现以下目的:
加强数据中心的安全态势,并为跨 Azure 和其他云的本地和混合工作负载提供高级威胁防护。
查看 Azure 上的 SAP 订阅的全面安全状况,并查看 SAP VM、磁盘和应用程序的资源安全状况。
委派具有即时访问权限的 SAP 管理员自定义角色。
启用 Microsoft Defender for Cloud Standard for SAP 时,请确保从安装终结点保护的任何策略中排除 SAP 数据库服务器。
以下屏幕截图显示了 Azure 门户中的工作负载保护仪表板:
启用 Microsoft Sentinel
Microsoft Sentinel 是一种可缩放的云原生安全信息和事件管理 (SIEM) 以及安全业务流程自动响应 (SOAR) 解决方案。 Microsoft Sentinel 在整个企业范围内提供智能安全分析和威胁情报,为警报检测、威胁可见性、主动搜寻和威胁响应提供单一解决方案。
安全的身份验证
单一登录 (SSO) 是集成 SAP 和 Microsoft 产品的基础。 多年以来,与第三方安全产品结合使用的 Active Directory 中的 Kerberos 令牌为 SAP GUI 和基于 Web 浏览器的应用程序实现了此功能。 当用户登录到他们的工作站并成功进行身份验证时,Active Directory 会向他们发出 Kerberos 令牌。 然后,第三方安全产品使用 Kerberos 令牌来处理对 SAP 应用程序的身份验证,而无需用户重新进行身份验证。
你还可以通过将第三方安全产品与用于 DIAG (SAP GUI)、RFC 和用于 HTTPS 的 SPNEGO 的安全网络通信 (SNC) 集成来加密从用户前端传输到 SAP 应用程序的数据。
使用 SAML 2.0 的 Microsoft Entra ID 还可以为 SAP NetWeaver、SAP HANA 和 SAP 云平台等一系列 SAP 应用程序和平台提供 SSO。
强化操作系统
确保强化操作系统,以消除可能导致攻击 SAP 数据库的漏洞。
一些额外的检查可确保安全的基线安装:
- 定期检查系统文件完整性。
- 限制对操作系统的访问。
- 限制对服务器的物理访问。
- 在网络级别保护对服务器的访问。
隔离虚拟网络
隔离和限制对网络服务和协议的访问。 为了进行更严格的控制,你可以使用多种 Azure 安全机制来保护推荐的中心辐射型网络体系结构:
通过中心虚拟网络(通过虚拟网络对等互连连接到分支网络)传递所有流量,将 SAP 应用程序和数据库服务器与 Internet 或本地网络隔离开来。 对等互联虚拟网络能保证 Azure 上的 SAP 解决方案与公共 Internet 隔离。
使用 Azure Monitor、Azure 网络安全组 (NSG) 或应用程序安全组监视和筛选流量。
使用 Azure 防火墙或任何市场上可用的网络虚拟设备 (NVA)。
如需更高级的网络安全措施,请实施网络 DMZ。 有关详细信息,请参阅在 Azure 和本地数据中心之间实现 DMZ。
将 DMZ 和 NVA 与 SAP 资产的其余部分隔离开来,配置 Azure 专用链接,并安全地管理和控制 Azure 上的 SAP 资源。
以下体系结构图显示了如何通过 NSG 对网络服务和协议进行隔离和限制,以此来管理 Azure 虚拟网络拓扑。 确保你的网络安全也符合组织安全策略要求。
有关 Azure 上的 SAP 网络安全的详细信息,请参阅 Azure 上的 SAP 安全运营。
静态数据加密
静态数据是物理媒体上永久存储中的任何数字格式的信息。 该介质可包括磁性介质或光学介质上的文件、归档数据和数据备份。 Azure 提供多种数据存储解决方案,包括文件、磁盘、blob 和表。 某些 Azure 存储默认使用可选客户配置进行静态数据加密。 有关详细信息,请参阅 Azure 静态数据加密和 Azure 加密概述。
Azure VM 上 SAP 的服务器端加密 (SSE) 可保护数据并帮助你满足组织的安全性和合规性承诺。 将数据保存到云时,SSE 会自动加密 Azure 管理的 OS 和数据磁盘上的静态数据。 SSE 使用 256 位 AES 加密(可用的最强大分组加密之一)以透明方式加密 Azure 托管磁盘,且符合 FIPS 140-2 规范。 SSE 不会影响托管磁盘的性能,并且没有额外的成本。 有关加密模块基础 Azure 托管磁盘的详细信息,请参阅加密 API:下一代。
已为所有 Azure 资源管理器和经典存储帐户启用了 Azure 存储加密,并且无法禁用。 由于数据默认进行了加密,因此无需修改代码或应用程序,即可使用 Azure 存储加密。
对于 SAP 数据库服务器加密,请使用 SAP HANA 本机加密技术。 如果你使用的是 Azure SQL 数据库,请使用 DBMS 提供程序提供的透明数据加密 (TDE) 来保护你的数据和日志文件,并确保备份也被加密。
传输中的安全数据
当数据从一个位置移动到另一个位置时,无论是在本地内部、Azure 内部还是在外部(例如通过 Internet 到达最终用户),数据都处于传输中状态。 Azure 提供多种机制,可保持数据在传输过程中的私密性。 所有机制都可以使用加密等保护方法。 这些机制包括:
- 通过虚拟专用网络 (VPN) 进行通信,使用 IPsec/IKE 加密
- 传输层安全性 (TLS) 1.2 或更高版本,通过 Azure 应用程序网关或 Azure Front Door 等 Azure 组件
- Azure VM 上可用的协议,例如 Windows IPsec 或 SMB
使用 MACsec(数据链路层的 IEEE 标准)的加密会自动为 Azure 数据中心之间的所有 Azure 流量启用。 这种加密可确保客户数据的机密性和完整性。 有关详细信息,请参阅 Azure 客户数据保护。
管理密钥和机密
若要控制和管理非 HANA Windows 和非 Windows 操作系统的磁盘加密密钥和机密,请使用 Azure 密钥保管库。 密钥保管库具有预配和管理 SSL/TLS 证书的功能。 你还可以使用硬件安全模块 (HSM) 保护机密。 Azure 密钥保管库不支持 SAP HANA,因此你必须使用 SAP ABAP 或 SSH 密钥等替代方法。
安全的网络和移动应用程序
对于 SAP Fiori 等面向 Internet 的应用程序,请确保根据应用程序要求分配负载,同时保持安全级别。 对于第 7 层安全性,你可以使用 Azure 市场中提供的第三方 Web 应用程序防火墙 (WAF)。
对于移动应用,Microsoft Enterprise Mobility + Security 可以集成面向 Internet 的 SAP 应用程序,因为它有助于保护和保护你的组织,并使你的员工能够以新的灵活方式工作。
安全地管理流量
对于面向 Internet 的应用程序,必须确保根据应用程序要求分配负载,同时保持安全级别。 负载均衡是跨多个计算资源的工作负载分布。 负载均衡旨在优化资源使用、最大化吞吐量、最小化响应时间并避免重载任何单个资源。 负载均衡还可以通过跨冗余计算资源共享工作负荷来提高可用性。
负载均衡器将流量定向到应用程序子网中的虚拟机。 为了实现高可用性,此示例使用 SAP Web Dispatcher 和 Azure 标准负载均衡器。 这两个服务还支持通过横向扩展进行容量扩展。还可以使用 Azure 应用程序网关或其他合作伙伴产品,具体取决于流量类型和所需的功能,如安全套接字层 (SSL) 终止和转发。
你可以根据全局与区域以及 HTTP/S 与非 HTTP/S 维度对 Azure 负载均衡服务进行分类。
全局负载均衡服务跨区域后端、云或混合本地服务分发流量。 这些服务将最终用户流量路由到最近的可用后端。 这些服务还通过对服务可靠性或性能的变化做出反应来最大限度地提高可用性和性能。 可以将这些服务视为在跨不同区域或地理位置托管的应用程序标记、终结点或缩放单位之间进行负载均衡的系统。
区域负载均衡服务在虚拟网络中跨虚拟机或区域中的区域和区域冗余服务终结点分发流量。 你可以将这些服务视为在虚拟网络中的区域内的 VM、容器或群集之间实现负载均衡的系统。
HTTP/S 负载均衡服务是第 7 层负载均衡器,仅接受 HTTP/S 流量,适用于 Web 应用程序或其他 HTTP/S 端点。 HTTP/S 负载均衡服务包括 SSL 卸载、WAF、基于路径的负载均衡和会话亲和性等功能。
非 HTTP/S 负载均衡服务可以处理非 HTTP/S 流量,建议用于非 Web 工作负荷。
下表按类别汇总了 Azure 负载均衡服务:
服务 | 全局或区域 | 建议的流量 |
---|---|---|
Azure Front Door | 全局 | HTTP/S |
流量管理器 | 全局 | 非 HTTP/S |
应用程序网关 | 区域 | HTTP/S |
Azure 负载均衡器 | 区域 | 非 HTTP/S |
Front Door 是为 Web 应用程序提供全局负载均衡和站点加速服务的应用程序分发网络。 Front Door 提供第 7 层功能(如 SSL 卸载、基于路径的路由、快速故障转移和缓存),可提高应用程序的性能和可用性。
流量管理器是基于 DNS 的流量负载均衡器,可让你在全球 Azure 区域之间以最佳方式向服务分配流量,同时提供高可用性和响应能力。 由于流量管理器是基于 DNS 的负载均衡服务,因此它仅在域级别进行负载均衡。 因此,它无法像 Front Door 一样快速进行故障转移,因为存在 DNS 缓存和系统不采用 DNS TTL 的常见挑战。
应用程序网关提供具有各种第 7 层负载均衡功能的托管应用程序交付控制器。 可使用应用程序网关将 CPU 密集型 SSL 终点卸载到网关,从而优化 Web 场工作效率。
Azure 负载均衡器是适用于所有 UDP 和 TCP 协议的高性能、超低延迟第 4 层入站和出站负载平衡服务。 负载均衡器每秒处理数百万个请求。 负载均衡器是区域冗余的,可确保整个可用性区域的高可用性。
请参阅以下决策树以制定 Azure 上 SAP 应用程序负载均衡决策:
每个 SAP 应用程序都有独特的要求,因此请将前面的流程图和建议作为更详细评估的起点。 如果 SAP 应用程序包括多个工作负荷,请单独评估每个工作负荷。 完整的解决方案可能合并了两个或两个以上的负载均衡解决方案。
监视安全性
Azure Monitor for SAP Solutions 是适用于 SAP 环境的 Azure 本机监视产品,可与 Azure 虚拟机上的 SAP 和 HANA 大型实例一起使用。 通过 Azure Monitor for SAP Solutions,可在一个集中位置收集来自 Azure 基础结构和数据库的遥测数据,并直观地关联遥测数据来更快地排除故障。
安全范围决策
以下建议适用于各种安全场景。 范围内的要求是使安全解决方案具有成本效益和可扩展性。
范围(方案) | 建议 | 备注 |
---|---|---|
查看全面的 Azure 和本地安全状况的综合视图。 | Microsoft Defender for Cloud Standard | Microsoft Defender for Cloud Standard 帮助从本地和云中载入 Windows 和 Linux 计算机,并显示统一的安全态势。 |
加密 Azure 数据库上的所有 SAP 以满足法规要求。 | SAP HANA 本机加密和 SQL TDE | 对于数据库,使用 SAP HANA 本机加密技术。 如果你使用的是 SQL 数据库,请启用 TDE。 |
使用 HTTPS 流量为全球用户保护 SAP Fiori 应用程序。 | Azure Front Door | Front Door 是为 Web 应用程序提供全局负载均衡和站点加速服务的应用程序分发网络。 |
合规性和治理设计建议
Azure 顾问是免费的,可帮助你在 Azure 订阅上获得 SAP 的统一视图。 有关可靠性、弹性、安全性、性能、成本和卓越运营设计建议,请参阅 Azure 顾问建议。
使用 Azure Policy
Azure Policy 通过其合规性仪表板来帮助强制执行组织标准并进行大规模的合规性评估。 Azure Policy 提供了一个聚合视图,可用于评估环境的整体状态,并可以按资源、按策略粒度向下钻取。
Azure Policy 还可以对现有资源执行批量修正,以及对新资源自动修正,从而帮助资源符合规范。 示例 Azure 策略将允许的位置应用于管理组、需要标记及其对资源的值、使用托管磁盘创建 VM 或命名策略。
管理 Azure 上的 SAP 成本
成本管理非常重要。 Microsoft 提供了各种优化成本的方法,例如预订、调整大小和暂停。 了解和设置成本支出限制的警报非常重要。 你可以扩展此监视以与整体 IT 服务管理 (ITSM) 解决方案集成。
自动执行 SAP 部署
通过自动化 SAP 部署节省时间并减少错误。 将复杂的 SAP 环境部署到公共云中并非易事。 SAP 基础团队可能非常熟悉安装和配置本地 SAP 系统的传统任务。 设计、构建和测试云部署通常需要额外的领域知识。 有关详细信息,请参阅 SAP 企业级平台自动化和 DevOps。
为生产工作负载锁定资源
在 SAP 项目开始时创建所需的 Azure 资源。 当所有添加、移动和更改都完成并且 Azure 上的 SAP 部署正常运行时,锁定所有资源。 之后,只有超级管理员才能解锁并允许修改资源(例如 VM)。 有关详细信息,请参阅锁定资源以防止意外更改。
实现基于角色的访问控制
为 Azure 分支订阅上的 SAP 自定义基于角色的访问控制 (RBAC) 角色,以避免与网络相关的意外更改。 你可以允许 Azure 上的 SAP 基础结构团队成员将 VM 部署到 Azure 虚拟网络,并限制他们更改与中心订阅对等的虚拟网络上的任何内容。 另一方面,你允许网络团队的成员创建和配置虚拟网络,但禁止它们在运行 SAP 应用程序的虚拟网络中部署或配置 VM。
使用适用于 SAP LaMa 的 Azure 连接器
在典型的 SAP 资产中,通常会部署多个应用程序环境,例如 ERP、SCM 和 BW,并且持续需要执行 SAP 系统复制和 SAP 系统刷新。 例如为技术或应用程序版本创建新的 SAP 项目,或定期从生产副本中刷新 QA 系统。 SAP 系统复制和刷新的端到端过程既费时又费力。
SAP Landscape Management (LaMa) Enterprise Edition 可以自动化 SAP 系统复制或刷新中涉及的多个步骤,从而支持运营效率。 适用于 LaMa 的 Azure 连接器支持复制、删除和重新定位 Azure 托管磁盘,以帮助你的 SAP 运营团队快速执行 SAP 系统复制和系统刷新,从而减少手动工作。
对于 VM 操作,适用于 LaMa 的 Azure 连接器可以降低你在 Azure 上的 SAP 资产的运行成本。 你可以停止或取消分配和启动 SAP VM,这使你能够以较低的利用率配置文件运行某些工作负载。 例如,通过 LaMa 界面,你可以将 SAP S/4HANA 沙盒 VM 安排为每天 08:00-18:00 在线 10 小时,而不是 24 小时运行。 当性能需求直接来自 LaMa 时,适用于 LaMa 的 Azure 连接器还允许你调整 VM 的大小。
合规性和治理范围决策
以下建议适用于各种合规性和治理方案。 范围内的要求是使解决方案具有成本效益和可扩展性。
范围(方案) | 建议 | 备注 |
---|---|---|
为标准命名约定配置治理模型,并基于成本中心提取报告。 | Azure Policy 和 Azure 标记 | 结合使用 Azure Policy 和标记来满足要求。 |
避免意外删除 Azure 资源。 | Azure 资源锁 | Azure 资源锁可防止意外删除资源。 |
获得 Azure 上 SAP 资源的成本优化、弹性、安全性、卓越运营和性能机会领域的整合视图 | Azure 顾问 | Azure 顾问是免费的,可帮助在 Azure 订阅上获得 SAP 的统一视图。 |