모범 사례 6.1 - SAP 네트워크 설계에 보안 및 감사를 기본적으로 포함
SAP 워크로드를 호스트하는 네트워크에 대한 액세스를 보호하는 것은 악의적 활동에 대한 1차 방어선입니다. 비즈니스 요구 사항과 특정 SAP 솔루션을 평가하여 사용해야 하는 포트, 프로토콜 및 트래픽 패턴을 결정합니다. 조직의 보안 표준과 네트워크 설계를 단순화하는 데 사용할 수 있는 도구 및 패턴을 고려합니다. 정기적으로 또는 변경 사항이 발생할 때마다 감사를 실시합니다.
제안 사항 6.1.1 – SAP의 네트워크 트래픽 흐름을 이해
먼저 트래픽 흐름을 이해하는 데서 시작합니다. SAP 워크로드의 네트워크 트래픽 패턴은 인바운드 트래픽, 아웃바운드 트래픽 및 내부 트래픽으로 분류할 수 있습니다. 규칙 세트를 정의하는 데 도움이 되도록 소스 및 대상이 신뢰할 수 있는 네트워크 경계에 속하는지 여부를 식별해야 합니다.
알려진 인바운드 트래픽 및 아웃바운드 트래픽 흐름(예: 사용자 액세스 및 인터페이스 연결) 외에도 SAProuter를 통한 SAP Support, 소스 IP 주소를 기반으로 액세스를 제한하는 SAP SaaS 제품에 대한 연결 등 SAP 관련 요구 사항을 고려합니다.
내부 트래픽의 경우 구성 요소와 시스템 간 트래픽은 물론 AWS 및 공유 서비스도 고려합니다. 예를 들어 VPC 흐름 로그 및 VPC Reachability Analyzer 같은 도구는 Amazon VPC로 들어오고 나가는 트래픽 흐름을 이해하는 데 도움이 될 수 있습니다.
자세한 내용은 다음 정보를 참조하세요.
-
SAP 설명서: 모든 SAP 제품용 TCP/IP 포트
제안 사항 6.1.2 – 트래픽 흐름을 허용 및 제한하는 옵션을 평가
먼저 온프레미스 네트워크의 사용자 및 시스템을 SAP 시스템이 실행되는 AWS 계정에 연결하는 방법을 이해합니다. 자세한 내용은 다음을 참조하세요. 네트워크와 Amazon VPC 간 연결 옵션 .
VPC로 들어오고 나가는 네트워크 트래픽의 흐름을 제어하는 두 가지 기본 방법에는 보안 그룹 및 네트워크 액세스 제어 목록 (네트워크 ACL)을 사용하는 것이 포함됩니다. 보안 그룹은 EC2 인스턴스 수준에서 가상 방화벽 역할을 하여 인바운드 및 아웃바운드 트래픽을 통제합니다. 보안 그룹은 상태 유지 그룹입니다. 네트워크 ACL은 VPC에 대한 선택적 보안 계층으로, 하나 이상의 서브넷으로 들어오고 나가는 트래픽을 통제하는 방화벽 역할을 합니다. 보안 그룹과 달리 네트워크 ACL은 무상태 그룹입니다.
또한 VPC 외부 네트워크 구성 요소의 종속성도 고려합니다. 여기에는 Amazon CloudWatch 엔드포인트와 같이 AWS가 제공하는 외부 네트워크 구성 요소가 포함될 수 있습니다. 또한 운영 체제 패치를 위한 소프트웨어 리포지토리와 같은 인터넷 호스팅 서비스도 포함될 수 있습니다.
AWS의 표준 옵션 외에 SAP 자체에서도
SAProuter
자세한 내용은 다음 정보를 참조하세요.
-
SAP on AWS 블로그: SAP on AWS의 VPC 서브넷 영역 조정 패턴
-
Well-Architected Framework [보안]: 인프라 보호 – 네트워크 보호
-
Well-Architected Framework [관리 및 거버넌스 렌즈]: 네트워크 연결
-
SAP 설명서: 네트워크 및 통신 보안
제안 사항 6.1.3 – 설계 지침 및 AWS 도구를 사용하여 네트워크 보안을 단순화
SAP 시스템은 복잡한 통합 요구 사항이 있는 경우가 많으며 클라우드는 네트워크 보안 관리를 단순화하는 추가 방법을 제공합니다. 다음 접근 방식을 고려하세요.
-
관리를 단순화하기 위해 가능하면 개별 IP 주소 또는 IP 범위를 참조하지 않습니다.
-
모든 SAP 워크로드에서 표준 세트의 SAP 시스템 번호를 사용하여 필요한 네트워크 포트의 범위를 축소합니다.
-
VPC 엔드포인트 를 사용하면 Amazon S3, Amazon CloudWatch와 같은 AWS 서비스에 액세스하기 위해 VPC로부터 아웃바운드 인터넷 액세스가 필요하지 않습니다. 가능한 경우 또한 비즈니스 요구 사항에 따라 필요하지 않은 경우 이러한 서비스로 들어오고 나가는 SAP 트래픽이 공용 인터넷을 통과하여 모든 트래픽이 AWS 관리형 네트워크 구성 요소를 통해 라우팅되는 것을 방지할 수 있습니다.
-
IP 주소 범위가 아닌 다른 보안 그룹을 참조하는 VPC 접두사 목록 및/또는 보안 그룹 규칙 을 사용하여 보안 그룹을 단순화합니다.
-
자동화를 통해 보안 그룹을 생성, 업데이트 및 관리하여 구성 드리프트를 방지합니다.
-
VPC 및 AWS 계정 전체에 대한 중앙 집중식 보안 그룹 관리를 제공하기 위해 AWS Firewall Manager
를 사용하는 것을 고려합니다. -
백엔드 시스템 진입 지점을 모호하게 만들기 위해 SAProuter
, SAP Web Dispatcher 및 Elastic Load Balancing을 사용하는 것을 고려합니다. -
보다 세부적인 액세스 제어를 제공하기 위해 여러 SAP Internet Communication Manager(ICM)
진입 지점을 사용하는 것을 고려합니다.
자세한 내용은 다음 정보를 참조하세요.
-
SAP 설명서: Network-based Access Control Lists
-
SAP 설명서: 모든 SAP 제품용 TCP/IP 포트
