¿Qué significa el aumento con SAP para la ciberseguridad de SAP?


Explore qué significa el aumento con SAP para las responsabilidades de ciberseguridad, y qué los clientes aún necesitan administrar en un modelo de capacidad de respuesta compartida.

La nube y sus diferentes modelos de servicio (IaaS, PaaS y SaaS) y los modelos de implementación (público, privado, comunitario e híbrido) son relativamente fáciles de entender. Tanto el proveedor de servicios en la nube como el cliente son responsables de la seguridad de la nube, y principalmente cuando implementa SAP S/4HANA en estas nubes.

El cliente es responsable de todo, desde el sistema operativo, la base de datos y la aplicación, mientras que la infraestructura subyacente, los recursos (compute, la red, el almacenamiento), la seguridad del centro de datos físicos, etc., son responsabilidad del proveedor de servicios en la nube.

Ofertas en la nube de SAP

Ofertas de nubes de SAP, conocidas como Crecer con saviaun modelo de implementación de la nube pública basada en SaaS, son fáciles de entender y no crean confusión sobre las responsabilidades de seguridad para los clientes de SAP (con respecto a lo que el cliente debe hacer y lo que SAP está haciendo). Es bastante sencillo, ¿verdad?

La confusión comienza con otra oferta de SAP Cloud: Sube con SAP S/4Hana Cloud Private Edition. Este es un modelo IaaS (en un nivel muy básico) desde la perspectiva del proveedor de SAP, donde SAP aloja el SAP S/4HANA de los clientes y otros sistemas SAP en la elección del cliente de proveedores de nubes públicas (AWS, Microsoft Azure, GCP, etc.), en cuentas propiedad y administradas por SAP. La siguiente figura ilustra la estrategia para la creación de cuentas en aumento con SAP S/4HANA Cloud Private Edition.

Estrategia de cuenta en la nube utilizada por SAP para el aumento con los clientes de SAP S/4HANA Cloud Private Edition

SAP luego envuelve esta oferta de IaaS (AWS/Microsoft Azure/GCP) con su licencia SAP y otros soporte y servicios administrados, especialmente alrededor de la perspectiva de la nube/OS/base de datos y el servidor de aplicaciones. Ofrece lo mismo que PAAS, con un solo contrato (con SLA definidos, roles y responsabilidades) para el cliente de SAP, conocido como Rise with SAP S/4HANA Cloud Private Edition.

Licencias FUE y el cambio a un modelo operativo en la nube

Con su modelo en la nube, SAP también introdujo un nuevo modelo de licencia SAP conocido como FUE, mencionado anteriormente, versus modelos de licencias basados ​​en usuarios de SAP anteriores.

El equivalente total del usuario es una unidad de medición utilizada por SAP para otorgar licencias para sus aplicaciones SAP S/4HANA Cloud. Significa el permiso dado a los usuarios para acceder a ciertas funciones de solución dentro de la nube SAP S/4HANA.

El Cliente de SAP se suscribe y contrata al aumento con SAP S/4HANA Cloud Private Edition Model se beneficia de tratar solo con un proveedor (SAP, en este caso) para su infraestructura de SAP. Con este modelo, el cliente no pierde el acceso a nada por debajo de la aplicación, pero obtiene facilidad para administrar su infraestructura de SAP, tanto desde una perspectiva de TI como desde perspectivas financieras, legales y de licencias.

El modelo de licencia para el aumento con SAP S/4HANA Cloud Private Edition también se mueve a OPEX desde CAPEX. También obtiene el beneficio de la economía de escala porque SAP está alojando todo el aumento con los clientes de SAP S/4HANA Cloud Private Edition bajo la misma cuenta de Master Cloud con soluciones de seguridad incorporadas, procesos y un gran equipo de seguridad cibernética que realiza un monitoreo de seguridad 24×7 de toda la infraestructura desde una perspectiva de seguridad cibernética.

Comprensión de las opciones de acuerdo de nivel de servicio

Veamos los diferentes aspectos de SLA que podrían estar en juego en este espacio:

  • Servicio estándar: El servicio estándar incluye todas las tareas y servicios que SAP realiza para el aumento con los clientes de SAP incluidos en el SLA estándar y el contrato.
  • Servicios de aplicación en la nube de SAP: Estos son servicios que los clientes pueden realizar, pero pueden elegir que SAP entregue. Esto incluye servicios como seguridad adicional (SAP Security Notes), LogServ (registro), etc.
  • Servicios opcionales: SAP Cloud Application Services no cubre los servicios opcionales, que los clientes pueden optar y que incurren en tarifas adicionales.
  • Servicios adicionales: Las solicitudes únicas ad hoc que los clientes pagan a SAP para realizar son tareas que solo SAP puede realizar.
  • Tareas excluidas: Las tareas excluidas solo pueden ser realizadas por los clientes y nunca pueden ser realizadas y ofrecidas por SAP. Gestión, auditoría y cumplimiento de los usuarios de SAP Security, etc., se encuentra en esta categoría.

¿Qué es logserv y por qué podría necesitarlo?

Con Rise with SAP, uno de los problemas más importantes que vemos de la seguridad es que perdemos la visibilidad, especialmente con respecto a los registros de sistemas en capas distintas de la capa de aplicación. LogServ es una oferta adicional de servicios de aplicaciones en la nube SAP que puede agregar con los clientes de SAP. LogServ proporciona registros de todos los sistemas y capas SAP (sistema operativo, base de datos, etc.), y los registros pueden estar integrados para estar disponibles para la solución de información de seguridad y gestión de eventos (SIEM) del cliente.

SAP ofrece algunas opciones, incluso con Round With SAP S/4HANA Cloud Private Edition (estándar, personalizado, centro de datos de clientes, gran cliente a medida actualmente), y recomendamos revisar en detalle el detalle el detalle de los detalles. roles y matriz de responsabilidad para cada oferta para determinar cuál es más adecuado para su negocio.

Hemos tratado de proporcionar nuestra opinión sobre la figura a continuación, pero para ser honesto, todavía hay cierta ambigüedad con respecto a lo que está cubierto o no cubierto desde la perspectiva de seguridad de la capa de aplicación. Por lo tanto, asegúrese de revisar a fondo los servicios estándar y las ofertas de servicios de aplicaciones en la nube de SAP y las Observaciones sección.

Rise con SAP: modelo de responsabilidad compartida

¿Qué responsabilidades de seguridad permanecen con el cliente?

Cuando se mueve para aumentar con SAP S/4HANA Cloud Private Edition, no transfiere todas las responsabilidades de seguridad a SAP, como puede ver a continuación:

  • El sistema operativo, la base de datos y la seguridad en la nube son responsabilidad de SAP.
  • La seguridad de la capa de aplicación, incluidos los datos, sigue siendo responsabilidad del cliente.
  • Los clientes pierden el cliente 000, ya que todo está administrado por SAP (el cliente puede recibir acceso temporal para soportar necesidades específicas, como el sistema de gestión de transporte. [TMS] configuración).
  • El registro y el monitoreo de auditorías de seguridad a nivel de aplicación en torno a la respuesta de amenaza e incidentes, etc., sigue siendo responsabilidad del cliente.
  • Si los clientes necesitan visibilidad con respecto al sistema operativo, el nivel de base de datos, etc. para alimentar a Splunk, es posible que deseen suscribirse a LogServ en SAP Cloud Application Services.
  • Al momento de escribir esta publicación, todas las capacidades de registro y monitoreo aún no son maduras todavía, y esta es una de las razones por las que los clientes dudan en moverse para aumentar con SAP, especialmente aquellos con cumplimiento y regulaciones complejas y de una industria altamente regulada. SAP está trabajando en un servicio llamado Raven para proporcionar un mejor registro de visibilidad y monitoreo a su aumento con los clientes de SAP S/4HANA Cloud Private Edition.
  • Los clientes también pierden la visibilidad en una gran cantidad de monitoreo en red y en la nube, y parece que Raven ayudaría a proporcionar esa visibilidad cuando está disponible para uso general para el aumento de los clientes de SAP.

Arquitectura de red privada y controles de seguridad

Finalmente, el aumento con la incorporación de la edición privada de SAP S/4HANA Cloud incluye a los clientes de SAP que trabajan con SAP y proporciona una gama privada de enrutamiento entre dominios (CIDR) sin clases. Sin embargo, con esto, el aumento con la implementación de SAP S/4HANA Cloud Private Edition asegura que todos los recursos de SAP solo estén disponibles dentro de la red privada del cliente, como se explica en esta figura.

Arquitectura de una red privada con una gama CIDR privada: Rise con SAP S/4HANA Cloud Private Edition

Servicios de seguridad (grupo de seguridad, firewall de aplicaciones web [WAF]Balancer de carga) se utilizan junto con otros servicios, como el despachador web de SAP para permitir cualquier conexión de entrada pública, por lo tanto, proporciona un aislamiento para los servidores y la seguridad de la aplicación SAP reales.

entendiendo_rise_infographic

¿Quieres salvar esta infografía? ¡Haga clic aquí para descargar!

Nota del editor: esta publicación ha sido adaptada de una sección del libro Ciberseguridad para SAP por Gaurav Singh y Juan Pérez-Detchegoyen. Gaurav es un gerente de seguridad cibernética de SAP en Under Armour con más de 19 años de experiencia y un historial comprobado de ayudar a las organizaciones a protegerse de las amenazas cibernéticas al tiempo que maximiza sus inversiones de SAP. Juan es el director de tecnología de Onapsis. Con más de 20 años de experiencia en el campo de seguridad de TI, JP es un experto líder en seguridad de aplicaciones críticas de negocios, especializada en salvaguardar los paisajes ERP.

Esta publicación fue publicada originalmente el 5/2025.



Leave a Comment

Your email address will not be published. Required fields are marked *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.