在亚马逊云科技上使用 SAP 和 SAP BTP 对 RISE 进行自动安全监控

作者: 约阿希姆·奥曼 |

本博客由 SAP 高级网络安全设计专家 Amos Wendorff 共同撰写

简介:

在亚马逊云科技,我们致力于为客户提供强大的安全解决方案,使他们能够放心地使用云服务。在这篇文章中,我们将探讨 SAP 为其客户在亚马逊云科技上运行的 SAP 和 SAP BTP(商业技术平台)环境提供安全合规的 RISE,以及他们如何使用亚马逊云科技服务实施自动化安全监控和警报解决方案。

RISE with SAP 是一项全面的产品,为企业提供了转型企业资源规划 (ERP) 系统和迁移到云端的途径。它将 SAP 的智能企业软件与云基础架构和服务相结合,使客户能够简化其 IT 环境,加快创新并推动数字化转型。通过在 SAP 中采用 RISE,客户可以利用 SAP S/4HANA 等 SAP 应用程序的强大功能,同时受益于云的可扩展性、安全性和成本效益。

背景:

由于 RISE 与 SAP 和 SAP BTP 的迅速采用,SAP 使用的亚马逊云科技账户数量呈指数级增长。SAP 目前在 33 个亚马逊云科技区域开展业务,并在发布博客文章时扩展到新区域,管理着 7,000 多个亚马逊云科技账户。手动监控和保护这些众多账户将是一项巨大的挑战。为了解决这个问题,SAP 需要一个可扩展、安全和自动化的解决方案,该解决方案可以根据客户的需求进行扩展,同时利用亚马逊云科技强大的安全服务。

技术实施:

显示了 SAP AWS 和监控工具之间的安全集成的技术架构图。该图在顶部显示了一个 SAP AWS 组织,其中包含 SGSC 委托管理账户,里面有 AWS CloudTrail、Amazon GuardDuty 和用于审计记录的 S3 存储桶。这些组件连接到 Cribl 和 Splunk 进行数据处理。该中心展示了具有70多个安全控制措施的Orca Security,这些控制措施与安全发现的自动缓解、自动通知和SAP MasterData云数据库有关。AWS 账户用户显示在图表的右侧。所有组件都通过指示数据流和交互的方向箭头连接。

SAP 的全球安全与云合规性 (SGSC) 团队建立了一个强大的"默认安全"框架,该框架利用亚马逊云科技服务和第三方工具的组合来确保超过 7,000 个亚马逊云科技账户的全面安全。该架构的核心是 Amazon GuardDuty,它持续监控亚马逊云科技环境中是否存在恶意或未经授权的活动。Amazon GuardDuty 与亚马逊云科技无缝集成,利用机器学习、异常检测和威胁情报来提供实时威胁检测。所有 Amazon GuardDuty 发现和安全日志都汇总在 Amazon S3 中,后者充当整个亚马逊云科技组织日志的中央存储库。这种设置允许 SAP 保持对其庞大的云基础架构的可见性和控制权。

为了处理大量数据,SAP 使用 Cribl 对日志进行过滤、丰富和标准化处理,然后再传送到 Splunk 等目的地进行高级分析和可视化。这确保了安全团队可以有效地管理和分析数据,快速识别和应对威胁。SAP 还维护一个 MasterData 云数据库,该数据库保存每个亚马逊云科技账户的元数据,包括账户所有者和安全运营商的联系信息,可在检测到安全问题时提供有针对性的通知和响应。这对于保持明确的问责制和快速反应能力至关重要。

除了检测和分析外,SAP 还使用 Amazon Lambda 函数来自动修复特定的安全发现。例如,如果 GuardDuty 标记了违反安全策略的开放端口,则会触发 Amazon Lambda 函数,通过调整安全组规则自动修复问题。这种自动化减少了对手动干预的需求,并确保了所有亚马逊云科技账户的合规性。对于环境由 SAP 运营的 RISE 和 SAP BTP 客户,该架构可确保在这些严格的安全控制下持续监控和保护他们的云资源,从而使他们高枕无忧,保持运营连续性。

总体而言,SAP 的方法将亚马逊云科技原生安全功能与高级数据处理工具相结合,以创建自动化、可扩展和安全的云环境,该环境专为亚马逊云科技上 SAP 应用程序的需求量身定制。

安全控制概述:

SAP 的"默认安全"控制措施包括各种措施,通过利用亚马逊云科技的原生安全功能来确保云环境的安全。其中包括强制所有账户进入亚马逊云科技组织以实现统一的策略应用、与 SAP Active Directory 的集成、禁止非 SAP 域用户以及对云管理员强制执行 MFA。集中式日志记录适用于所有账户,确保 API 审核日志和存储访问日志无法停用,也无法持续采集到 SIEM(安全信息和事件管理)中。这种方法不仅可以防止常见的云配置错误,例如可公开访问的资源或未加密的数据,而且还利用亚马逊云科技的组织治理功能来强制执行高级网络控制,例如将特定端口列入屏蔽名单和强制执行 TLS 1.2+ 以实现安全通信。

使用部署环分阶段推出:

新的预防控制措施分四个部署环节推出。这种交错方法使团队能够测试策略并最大限度地减少干扰。账户所有者可以在部署环中选择自己的账户存放位置,并在政策实施之前至少提前两周收到通知。SAP 会考虑潜在的中断情况,并考虑特定控制措施的例外情况或延迟,以确保影响最小。

通知和补救流程:

自动安全监控根据检测到的控制违规的严重程度触发通知流程。通过 SAP 的自动化流程,利用 Amazon Lambda 自动修复严重性警报。

自动账户配置和安全标准:

SAP 的自动账户配置流程可确保每个新的亚马逊云科技账户从一开始就遵守预定义的安全标准和优秀实践。这包括实施所需的 IAM 角色、亚马逊云科技安全工具以及遵守 SGSC 安全策略。

该流程涉及一个复杂的自动售货系统,用于管理账户的自动化生命周期。第一层安全是通过服务控制策略 (SCP) 实现的,该策略会阻止特定的操作和资源。使用 Amazon GuardDuty 和 Amazon CloudTrail 建立检测机制。Orca Security 通过自动化、无代理扫描和修复漏洞、错误配置和合规风险,增强了 SAP 的云安全状况。通过将安全性直接嵌入到 SAP 亚马逊云科技的整个组织中,SAP 采取了主动的方法在生命周期的早期识别和缓解风险。这种集成可确保为客户工作负载奠定坚实的安全基础,最大限度地减少攻击面,并与云原生环境的优秀实践保持一致。

除了标准安全措施外,SAP 还利用多项亚马逊云科技功能在账户层面加强 RAISE 和 SAP 环境的安全性:

  • 使用 EBS 快照锁进行 SAP 的 RISE 备份:为了更好地保护其客户的数据,SAP 采用了亚马逊弹性区块存储(Amazon EBS)快照锁。此功能锁定新的和现有的 Amazon EBS 快照,锁定期限从 1 天到大约 100 年不等。这可以保护存储的数据免遭意外删除,让 SAP 的企业客户更加高枕无忧。SAP 使用 Amazon 数据生命周期管理器根据预定义的时间表和保留指南自动创建、保留和删除快照。然后,它使用 Amazon EBS 快照锁在严格的合规控制下保护这些备份。该功能的合规模式可验证快照是否无法删除,即使是授权用户也是如此。在长达 72 小时的可选冷却期过后,在锁定期到期之前,快照和锁定都无法删除,并且无法更改模式。SAP 的客户还可以选择自定义他们想要锁定快照的时间,锁定时间从几周到最多 2 年不等。
  • SAP 为 RISE 自带密钥(BYOK):客户可以使用自己的 Amazon KMS 客户主密钥(CMK)在 RISE with SAP 环境中加密数据,从而增强安全性。通过在同一区域创建 CMK 并授予 RISE with SAP 亚马逊云科技账户权限,客户可以利用其密钥对 EFS、数据卷和备份进行加密。这种方法可以更好地控制数据加密,允许撤销密钥访问权限,并确保满足加密要求,同时受益于 Amazon KMS 99.999% 的可用性 SLA。
  • Amazon WAF for RISE with SAP:Amazon WAF(网络应用程序防火墙)是 RISE with SAP 环境不可或缺的安全组件,可自动保护网络应用程序和 API 免受常见的网络漏洞以及通过地理封锁滥用资源的侵害。环境配置期间的自动部署和配置可确保一致的保护,无需客户干预。这种设置提供了企业级 Web 应用程序安全性,增强了 RISE 在 SAP 环境中的整体安全状况。
  • 在 RISE 中为亚马逊云科技客户提供双向 TLS (mTLS) 验证:双向 TLS (mTLS) 验证是一项高级安全功能,可在 RISE with SAP 环境中向亚马逊云科技客户提供。此功能为网络通信提供了额外的身份验证和安全层,为敏感的工作负载和应用程序提供了增强的保护。mTLS 的主要优势包括通过比传统 TLS 更强的身份验证来增强安全性,通过客户端验证确保只有经过授权的客户才能连接到您的服务,以及通过维护传输中数据的机密性和完整性来确保数据完整性。此外,mTLS 有助于满足金融和医疗保健等行业的严格监管要求,确保遵守相关标准。通过整合 mTLS,RISE with SAP 的客户将受益于高度安全和合规的云环境,进一步增强其应用程序和工作负载的整体安全状况。
  • SAP BTP Private Link for RISE with SAP:SAP BTP Private Link 是一项基于 Amazon PrivateLink 的服务,在 SAP BTP 和 RISE 与 SAP 环境之间建立安全的私有网络连接,通过亚马逊云科技的内部网络路由流量,消除公共互联网风险,同时保持低延迟、高性能的通信。

自动化解决方案的好处:

  1. 增强的安全态势:实时检测和警报安全违规行为可以快速采取行动并防止安全事件。
  2. 可扩展性:在数千个亚马逊云科技账户中扩展安全控制,确保全面的覆盖和保护。
  3. 自动化:自动安全监控减少了对手动干预的需求,提高了 SAP 安全运营的效率。

对于希望实施类似方法的组织来说,一个关键的起点是采用云原生思维并充分利用亚马逊云科技的内置安全功能。这包括设置 Amazon Organizations 以集中管理账户,为安全护栏应用服务控制策略 (SCP)。通过使用用于威胁检测的 Amazon GuardDuty、用于审计记录的 Amazon CloudTrail 以及用于安全密钥管理的 Amazon Key Management Service (KMS) 等云原生工具,组织可以构建零信任架构,从而显著缩小其攻击面并增强整体安全态势。确保加密标准、强制执行密码策略以及在所有接入点启用 MFA 是切实可行的步骤。有关实施这些安全优秀实践的全面指南,组织应参阅亚马逊云科技架构完善框架的安全支柱文档。此外,有关利用亚马逊云科技安全服务以及 RISE 与 SAP 的具体指导可在亚马逊云科技的 RISE 的亚马逊云科技安全注意事项中找到。

结论:

通过采用利用亚马逊云科技强大的安全服务、自动化功能和组织策略引擎的云原生安全策略,SAP 的"默认安全"解决方案允许客户在亚马逊云科技上使用 RISE with SAP、SAP BTP 和其他 SAP 解决方案,从而对自己的安全态势充满信心地专注于核心业务目标。这种方法整合了零信任架构 (ZTA) 的原则,在该架构中,持续验证用户访问权限、严格管理云资源以及通过亚马逊云科技原生工具强制合规性至关重要。SAP 通过实时检测、警报和自动补救来最大限度地降低风险。这使得 SAP 客户能够最大限度地提高其云投资的价值,同时确保他们的敏感数据和工作负载受到 SAP 在亚马逊云科技上的全面且可扩展的安全框架的保护。

*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您发展海外业务和/或了解行业前沿技术选择推荐该服务。