Práctica recomendada 6.2: cree y proteja el sistema operativo - SAP Lens

Práctica recomendada 6.2: cree y proteja el sistema operativo

La protección del sistema operativo que subyace a su software de SAP disminuye la posibilidad de que un actor malicioso pueda obtener acceso no autorizado a los datos internos de la aplicación SAP, afectar la disponibilidad del software o desestabilizar las implementaciones esenciales para su empresa. Siga las recomendaciones de SAP, el proveedor del sistema operativo, el proveedor de la base de datos y AWS para proteger el sistema operativo. Según la solución y el sistema operativo de SAP que haya elegido, es posible que deba habilitar o desactivar servicios, establecer parámetros de kernel específicos y aplicar diferentes combinaciones de revisión de seguridad. Piense cómo los requisitos de SAP se alinean con los de su organización e identifique cualquier conflicto.

Sugerencia 6.2.1: determine un enfoque para el aprovisionamiento de un sistema operativo seguro

La imagen de máquina de Amazon (AMI) brinda la información requerida para lanzar una instancia de EC2. Debería estar convencido de que sus AMI son seguras a nivel del sistema operativo. De lo contrario, las brechas de seguridad podrían propagarse a cualquier cantidad de instancias a medida que las AMI se reutilizan y actualizan.

Las AMI pueden ser imágenes estándar del proveedor del sistema operativo o imágenes personalizadas que cree usted mismo. En ambos casos, necesita tener un enfoque coherente para garantizar que el sistema operativo sea seguro durante el lanzamiento y se mantenga de forma continua. Con herramientas de infraestructura como código (IaC), como AWS CloudFormation, puede lograr la coherencia de la seguridad de la imagen. Para las soluciones de SAP basadas en HANA, AWS Launch Wizard para SAP simplifica el proceso de instalación, incluidos los scripts previos y posteriores a la instalación que se pueden personalizar para automatizar la instalación de los componentes de seguridad.

Consulte la guía de AWS Well-Architected Framework [pilar de seguridad] sobre la protección de los recursos de computación, específicamente la información sobre cómo realizar la administración de vulnerabilidades y reducir la superficie expuesta a ataques, para obtener detalles adicionales.

Sugerencia 6.2.2: determine un enfoque para mantener un sistema operativo seguro

Como se mencionó en la discusión de Well-Architected Framework [pilar de seguridad] sobre la protección de la computación, si el sistema operativo elegido es compatible con EC2 Image Builder, puede simplificar la creación, prueba e implementación de sus AMI específicas de SAP y su administración continua de revisiones. También debería controlarse queAWS Systems Manager Patch Manager mantenga la posición de seguridad de su sistema operativo mediante la automatización de la aplicación de revisiones de seguridad.

Sugerencia 6.2.3: revise las recomendaciones de seguridad adicionales aplicables a su sistema operativo

Determine la lista completa de elementos que se requieren para fortalecer el sistema operativo subyacente al software de SAP. Por ejemplo, los permisos del sistema de archivos en los sistemas basados en Linux deben configurarse siguiendo las pautas de SAP. Por otro lado, limitar el acceso a grupos de administradores es una práctica recomendada en los sistemas basados en Windows.

Las siguientes recomendaciones específicas de SAP pueden ser relevantes para su entorno:

Sistema operativo Guía
Todos los sistemas operativos de UNIX/Linux compatibles
SUSE Linux Enterprise Server
Red Hat Enterprise Linux
Microsoft Windows
Oracle Enterprise Linux
  • (Consulte la documentación de SAP o del proveedor a modo de guía)

Sugerencia 6.2.4: valide la posición de seguridad del sistema operativo

Una vez que el sistema operativo se haya implementado y revisado de manera segura, la validación de la posición de seguridad del sistema operativo garantizará que el sistema operativo mantenga un nivel alto y continuo de seguridad sin vulneraciones. Considere automatizar esta validación utilizando software de terceros de protección contra intrusiones en el host, de detección de intrusiones, de antivirus y de firewall del sistema operativo.

Para más información, consulte la siguiente información: