Práctica recomendada 6.2: cree y proteja el sistema operativo
La protección del sistema operativo que subyace a su software de SAP disminuye la posibilidad de que un actor malicioso pueda obtener acceso no autorizado a los datos internos de la aplicación SAP, afectar la disponibilidad del software o desestabilizar las implementaciones esenciales para su empresa. Siga las recomendaciones de SAP, el proveedor del sistema operativo, el proveedor de la base de datos y AWS para proteger el sistema operativo. Según la solución y el sistema operativo de SAP que haya elegido, es posible que deba habilitar o desactivar servicios, establecer parámetros de kernel específicos y aplicar diferentes combinaciones de revisión de seguridad. Piense cómo los requisitos de SAP se alinean con los de su organización e identifique cualquier conflicto.
Sugerencia 6.2.1: determine un enfoque para el aprovisionamiento de un sistema operativo seguro
La imagen de máquina de Amazon (AMI) brinda la información requerida para lanzar una instancia de EC2. Debería estar convencido de que sus AMI son seguras a nivel del sistema operativo. De lo contrario, las brechas de seguridad podrían propagarse a cualquier cantidad de instancias a medida que las AMI se reutilizan y actualizan.
Las AMI pueden ser imágenes estándar del proveedor del sistema operativo o imágenes personalizadas que cree usted mismo. En ambos casos, necesita tener un enfoque coherente para garantizar que el sistema operativo sea seguro durante el lanzamiento y se mantenga de forma continua. Con herramientas de infraestructura como código (IaC), como
AWS CloudFormation,
Consulte la guía de AWS Well-Architected Framework [pilar de seguridad] sobre la protección de los recursos de computación, específicamente la información sobre cómo realizar la administración de vulnerabilidades y reducir la superficie expuesta a ataques, para obtener detalles adicionales.
-
Well-Architected Framework [seguridad]: Protección de recursos informáticos
Sugerencia 6.2.2: determine un enfoque para mantener un sistema operativo seguro
Como se mencionó en la discusión de Well-Architected Framework [pilar de seguridad] sobre la protección de la computación, si el sistema operativo elegido es compatible con EC2 Image Builder, puede simplificar la creación, prueba e implementación de sus AMI específicas de SAP y su administración continua de revisiones. También debería controlarse queAWS Systems Manager Patch Manager mantenga la posición de seguridad de su sistema operativo mediante la automatización de la aplicación de revisiones de seguridad.
-
Well-Architected Framework [seguridad]: Protección de recursos informáticos
-
Documentación de AWS: EC2 Image Builder
-
Documentación de AWS: AWS Systems Manager Patch Manager
Sugerencia 6.2.3: revise las recomendaciones de seguridad adicionales aplicables a su sistema operativo
Determine la lista completa de elementos que se requieren para fortalecer el sistema operativo subyacente al software de SAP. Por ejemplo, los permisos del sistema de archivos en los sistemas basados en Linux deben configurarse siguiendo las pautas de SAP. Por otro lado, limitar el acceso a grupos de administradores es una práctica recomendada en los sistemas basados en Windows.
Las siguientes recomendaciones específicas de SAP pueden ser relevantes para su entorno:
Sugerencia 6.2.4: valide la posición de seguridad del sistema operativo
Una vez que el sistema operativo se haya implementado y revisado de manera segura, la validación de la posición de seguridad del sistema operativo garantizará que el sistema operativo mantenga un nivel alto y continuo de seguridad sin vulneraciones. Considere automatizar esta validación utilizando software de terceros de protección contra intrusiones en el host, de detección de intrusiones, de antivirus y de firewall del sistema operativo.
Para más información, consulte la siguiente información:
-
Well-Architected Framework [seguridad]: Operación segura
-
Well-Architected Framework [seguridad]: Detección
-
Well-Architected Framework [seguridad]: Protección de recursos informáticos