ベストプラクティス 6.1 – セキュリティと監査が SAP ネットワーク設計に組み込まれていることを確認する
SAP ワークロードをホストするネットワークへのアクセスを保護することは、悪意あるアクティビティに対する防御の最前線です。ビジネス要件と特定の SAP ソリューションを評価して、有効にする必要があるポート、プロトコル、およびトラフィックパターンを決定します。組織のセキュリティスタンダードと、ネットワーク設計を単純化するために使用できるツールおよびパターンを検討します。定期的に、または変更が発生するたびに監査します。
提案 6.1.1 – SAP のネットワークトラフィックフローを理解する
まず、トラフィックフローを理解します。SAP ワークロードのネットワークトラフィックパターンは、インバウンドトラフィック、アウトバウンドトラフィック、および内部トラフィックに分類できます。ソースとデスティネーションが信頼できるネットワーク境界内にあるかどうかを特定して、ルールセットの定義を支援する必要があります。
ユーザーアクセスやインターフェイス接続など、既知のインバウンドトラフィックフローとアウトバウンドトラフィックフローに加えて、SAP サポートへの接続 (SAProuter 経由) や、ソース IP アドレスに基づいてアクセスを制限する SAP SaaS サービスなど、SAP 固有の要件を考慮します。
内部トラフィックについては、コンポーネントおよびシステム間のトラフィックの他、AWS と共有サービス間のトラフィックを考慮します。次のようなツール VPC フローログ と VPC Reachability Analyzer は、Amazon VPC へのトラフィックフローと Amazon VPC からのトラフィックフローの理解に役立ちます。
詳細については、次の情報を参照してください。
-
SAP ドキュメント: TCP/IP Ports for All SAP Products
提案 6.1.2 – トラフィックフローの許可と拒否のオプションを評価する
まず、SAP システムが運用されている AWS アカウントにオンプレミスネットワーク内のユーザーとシステムをどのように接続するかを理解します。これについては、 「ネットワークから Amazon VPC への接続オプション」で説明されています .
VPC へのネットワークトラフィックと VPC からのネットワークトラフィックのフローを制御するための 2 つの主な方法として、 セキュリティグループ と ネットワークアクセスコントロールリスト (ネットワーク ACL) の使用があります。セキュリティグループは、EC2 インスタンスレベルで仮想ファイアウォールの役目を果たし、インバウンドおよびアウトバウンドトラフィックを制御し、ステートフルです。ネットワーク ACL は、VPC のセキュリティのためのオプションのレイヤーであり、1 つ以上のサブネットとの間のトラフィックを制御するファイアウォールの役目を果たし、セキュリティグループとは違ってネットワーク ACL はステートレスです。
VPC の外側のネットワークコンポーネントの依存性も考慮してください。これには、Amazon CloudWatch エンドポイントなど、AWS によって提供される外部ネットワークコンポーネントが含まれることがあります。また、オペレーティングシステムのパッチ用のソフトウェアリポジトリなど、インターネットでホストされるサービスも含まれることがあります。
AWS の標準オプションに加えて、SAP 自体も追加のネットワークセキュリティオプションを提供しており、
SAProuter
詳細については、次の情報を参照してください。
-
SAP on AWS ブログ: VPC Subnet Zoning Patterns for SAP on AWS (SAP on AWSAWS の VPC サブネットゾーニングパターン)
-
Well-Architected Framework [セキュリティ]: インフラストラクチャ保護 – ネットワークの保護
-
Well-Architected Framework [マネジメントとガバナンスレンズ]: ネットワーク接続
-
SAP ドキュメント: Network and Communication Security (ネットワークと通信セキュリティ)
提案 6.1.3 – 設計ガイドラインと AWS ツーリングを使用して、ネットワークセキュリティを簡素化する
SAP システムは、多くの場合、複雑な統合要件を持ち、クラウドはネットワークセキュリティ管理を簡素化するための追加の手段となります。以下のアプローチを検討してください。
-
管理の簡素化が可能な場合、個々の IP アドレスまたは IP の範囲の参照は避けます。
-
すべての SAP ワークロードについて SAP システム番号の標準セットを使用して、必要なネットワークポートの範囲を減らします。
-
VPC エンドポイント は、Amazon S3 や Amazon CloudWatch などの AWS サービスにアクセスするための VPC からのアウトバウンドインターネットアクセスの要件をなくします。可能な場合や、ビジネス要件によって必要とされない場合は、これらのサービスとの間の SAP トラフィックがパブリックインターネットを経由せず、すべてのトラフィックが AWS によって管理されているネットワークコンポーネントを経由するようにできます。
-
以下を使用することによって、セキュリティグループを簡素化します。 VPC プレフィックスリスト や セキュリティグループのルール 。これらは、IP アドレスの範囲ではなく、他のセキュリティグループを参照します。
-
セキュリティグループの作成、更新、および管理にオートメーションを使用して、構成のズレを避けます。
-
以下の使用を検討します。 AWS Firewall Manager
これは VPC と AWS アカウント全体でのセキュリティグループの集中管理のためです。 -
以下の使用を検討します。 SAProuter
、 SAP Web Dispatcher 、および Elastic Load Balancing。これらを組み合わせることで、バックエンドシステムへのエントリポイントを難読化できます。 -
複数の SAP Internet Communication Manager (ICM)
エントリポイントを使用して、よりきめ細かなアクセスコントロールを提供することを検討します。
詳細については、次の情報を参照してください。
-
SAP ドキュメント: ネットワークベースのアクセスコントロールリスト
-
SAP ドキュメント: TCP/IP Ports for All SAP Products