Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Eine gut gesicherte SAP-Lösung umfasst viele Sicherheitskonzepte mit vielen Ebenen, die mehrere Domänen umfassen:
- Identitätsverwaltung, Bereitstellung und Einmaliges Anmelden (Single Sign-On, SSO), mehrstufige Authentifizierung (MFA), Global Secure Access und sichere Netzwerkverbindung
- Überwachung, Protokollanalyse und Ereignisverwaltung
- Security Information and Event Management (SIEM) und Security Orchestration, Automation and Response (SOAR)-Lösungen
- Schutz vor Antiviren- und Antischadsoftware-Endpunkten
- Verschlüsselungs- und Schlüsselverwaltung
- Betriebssystemhärtung
- Azure-Infrastrukturhärtung
SAP-Anwendungen sollten in die gesamte Zero Trust-Sicherheitslösung für die gesamte IT-Landschaft integriert werden. Weitere Informationen finden Sie auf der Microsoft Security-Seite zu Zero Trust-Strategie und -Architektur.
Die SAP-Sicherheitslösung sollte auf das Zero Trust-Sicherheitsmodell verweisen. Eine Zero Trust-Sicherheitslösung überprüft jede Aktion auf jeder Ebene, z. B. Identität, Endpunktnetzwerkzugriff, Authentifizierung und MFA, über SAP-Anwendung und Datenzugriff.
Der Zweck dieses Artikels besteht darin, Links und kurze Beschreibungen zur Implementierung von Identitäts-, Sicherheits- und Überwachungsfunktionen für SAP-Lösungen bereitzustellen, die auf der Azure Hyperscale-Dienstebene ausgeführt werden. In diesem Artikel wird nicht angegeben, welche Sicherheitsfeatures Sie implementieren sollten, da die Anforderungen vom Risikoprofil, der Branche und der regulatorischen Umgebung abhängen. Dieser Artikel enthält einige allgemeine Empfehlungen, z. B. die Verwendung von Microsoft Defender für Endpunkt, die transparente Datenverschlüsselung (TDE) und die Sicherungsverschlüsselung auf allen Systemen.
Wenn Sie Identitäts-, Sicherheits- und Auditlösungen für SAP entwerfen und implementieren, lesen Sie die Konzepte in der Einführung in den Microsoft Cloud Security-Benchmark. Weitere Checklisten finden Sie in der Sicheren Übersicht (Cloud Adoption Framework).
Bereitstellungsprüfliste
Das Design und die Implementierung einer umfassenden Sicherheitslösung für SAP-Anwendungen, die auf Azure ausgeführt werden, ist ein Beratungsprojekt.
Dieser Artikel enthält ein grundlegendes Bereitstellungsmuster, das eine minimale Sicherheitskonfiguration und eine sicherere Konfiguration abdeckt. Organisationen, die hohe Sicherheitslösungen benötigen, sollten expertenberatung suchen. Hoch gesicherte SAP-Landschaften können die betriebliche Komplexität erhöhen. Sie können auch Aufgaben wie Systemaktualisierungen, Upgrades, Remotezugriff für Support, Debugging und Tests für hohe Verfügbarkeit und Notfallwiederherstellung schwierig oder komplex machen.
Mindestanforderungen: Checkliste für die Sicherheitsimplementierung
- Defender für Endpunkt ist im Echtzeitmodus auf allen Endpunkten (SAP und nicht SAP) aktiv. Nicht geschützte Endpunkte sind ein Gateway, mit dem ein Angreifer geschützte Endpunkte kompromittieren kann.
- Regeln des Defender XDR sind vorhanden, um bei ausführbaren Dateien mit hohem Risiko Warnungen auszugeben und unter Windows deren Ausführung zu blockieren.
- Microsoft Sentinel für SAP oder eine andere SIEM/SOAR-Lösung ist vorhanden.
- Alle Datenbankverwaltungssysteme (DBMSs) sind durch TDE geschützt. Schlüssel werden in Azure Key Vault- oder Hardwaresicherheitsmodulen (Hardware Security Modules, HSMs) gespeichert, wenn Ihre Umgebung sie unterstützt.
- Betriebssystem, DBMS und andere Kennwörter werden im Key Vault gespeichert.
- Bei der Linux-Anmeldung sind Kennwörter deaktiviert. Benutzer können sich nur mit Schlüsseln anmelden.
- Alle virtuellen Computer (VMs) sind Generation 2, wobei der vertrauenswürdige Start aktiviert ist.
- Speicherkonten verwenden plattformverwaltete Schlüssel (PMKs).
- VM-, HANA-, SQL- und Oracle-Sicherungen gehen zu einem Azure Backup Vault mit unveränderlichem Speicher.
Sicherer: Prüfliste für die Sicherheitsbereitstellung
- Defender für Endpunkt ist im Echtzeitmodus auf allen Endpunkten (SAP und nicht SAP) aktiv. Nicht geschützte Endpunkte sind ein Gateway, mit dem ein Angreifer geschützte Endpunkte kompromittieren kann.
- Regeln des Defender XDR sind vorhanden, um bei ausführbaren Dateien mit hohem Risiko Warnungen auszugeben und unter Windows deren Ausführung zu blockieren.
- Microsoft Sentinel für SAP oder eine andere SIEM/SOAR-Lösung ist vorhanden.
- Alle DBMSs sind durch TDE geschützt. Schlüssel werden in Key Vault oder HSMs gespeichert, wenn Ihre Umgebung sie unterstützt.
- Betriebssystem, DBMS und andere Kennwörter werden im Key Vault gespeichert.
- Bei der Linux-Anmeldung sind Kennwörter deaktiviert. Benutzer können sich nur mit Schlüsseln anmelden.
- Alle virtuellen Computer sind Generation 2. Die Funktionen Vertrauenswürdiger Start, Überwachung der Startintegrität und hostbasierte Verschlüsselung sind für alle virtuellen Maschinen aktiviert.
- Alle VMs unterstützen die Intel Total Memory Encryption (TME).
- Speicherkonten verwenden PMKs für allgemeine Speichervorgänge und kundenverwaltete Schlüssel (CMKs) für vertrauliche Daten.
- VM-, HANA-, SQL- und Oracle-Sicherungen gehen zu einem Azure Backup Vault mit unveränderlichem Speicher.
- Es gibt eine stärkere Trennung der Aufgaben zwischen SAP-Basis, Sicherung, Serverteam und Sicherheits-/Schlüsselverwaltung.
Defender für Endpunkt
Defender für Endpunkt ist die einzige umfassende Antiviren- und SAP Endpoint Detection and Response (EDR)-Lösung, die umfassend mit SAP-Benchmarking-Tools getestet und für SAP-Workloads dokumentiert ist.
Defender für Endpunkt sollte ohne Ausnahme auf allen NetWeaver-, S/4HANA-, HANA- und AnyDB-Servern bereitgestellt werden. Die folgenden Bereitstellungshandbücher behandeln die richtige Bereitstellung und Konfiguration von Defender für Endpunkt mit SAP-Anwendungen:
- Microsoft Defender für Endpunkt unter Linux mit SAP
- Microsoft Defender für Endpoint on Windows Server with SAP
Defender XDR
Zusätzlich zum Antivirus- und EDR-Schutz kann Defender durch Features und Dienste mehr Schutz bieten:
- Informationen zur Verwendung und Überwachung von SAPXPG finden Sie unter Benutzerdefinierte Erkennungsregeln mit erweiterter Bedrohungssuche: Schutz externer SAP-Betriebssystembefehle (SAPXPG).
- Die Defender-Sicherheitsrisikoverwaltung kann Sicherheitsrisiken auf der Betriebssystem- und Datenbankebene erkennen. Derzeit kann es keine Sicherheitsanfälligkeiten in Advanced Business Application Programming (ABAP) und Java erkennen. Weitere Informationen finden Sie im Dashboard zur Verwaltung von Sicherheitsrisiken in Microsoft Defender.
- Informationen zu Defender for Storage finden Sie unter "Was ist Microsoft Defender für Speicher".
- Informationen zur Unterstützung von Server Message Block (SMB) in Azure Files finden Sie im Microsoft-Blogbeitrag Azure Files-Unterstützung und neue Updates im erweiterten Bedrohungsschutz für Azure Storage.
Microsoft Secure Score und Defender Vulnerability Management werden im Abschnitt zur Härtung auf Betriebssystemebene weiter unten in diesem Artikel erläutert.
Microsoft Sentinel für SAP-Connector
Die Microsoft Sentinel SIEM/SOAR-Lösung verfügt über einen Connector für SAP. SAP-anwendungsspezifische Signale, z. B. Benutzeranmeldungen und Zugriff auf vertrauliche Transaktionen, können überwacht und mit anderen SIEM/SOAR-Signalen wie Netzwerkzugriff und Datenexfiltration korreliert werden. Weitere Informationen finden Sie unter:
Verschlüsselung auf Datenbankebene: TDE- und Sicherungsverschlüsselung
Es wird empfohlen, TDE für alle DBMSs zu aktivieren, die SAP-Anwendungen in Azure ausführen. Tests zeigen, dass der Leistungsaufwand 0% bis 2%beträgt. Die Vorteile von TDE überwiegen die Nachteile weit.
Die meisten DBMS-Plattformen erstellen verschlüsselte Sicherungen, wenn die Datenbank für TDE aktiviert ist. Diese Konfiguration entschärft einen gemeinsamen Angriffsvektor: Diebstahl von Sicherungen.
SAP HANA unterstützt nicht das Speichern von Schlüsseln in Azure Key Vault oder einem anderen HSM-Gerät. Weitere Informationen finden Sie im SAP-Hinweis 3444154: HSM für SAP HANA Encryption Key Management. Informationen zum Aktivieren von TDE auf HANA finden Sie unter Aktivieren der Verschlüsselung im SAP-Hilfeportal.
SQL Server TDE ist vollständig in Key Vault integriert. Weitere Informationen finden Sie unter:
Oracle DBMS unterstützt TDE in Kombination mit SAP-Anwendungen. Schlüssel für TDE können auf HSM PKCS#11-Geräten gespeichert werden. Weitere Informationen finden Sie unter:
- SAP-Hinweis 974876: Oracle Transparent Data Encryption
- SAP-Hinweis 2591575: Verwenden der oracle transparenten Datenverschlüsselung mit SAP NetWeaver
- Oracle Database Transparent Data Encryption (Dokumentation zu Thales)
Die systemeigene DB2-Verschlüsselung wird in Kombination mit SAP-Anwendungen unterstützt. Verschlüsselungsschlüssel können auf HSM PKCS#11-Geräten gespeichert werden. Weitere Informationen finden Sie unter:
- Ausführen eines SAP NetWeaver Application Servers auf DB2 für LUW mit der IBM DB2 Encryption Technology (SAP-Dokumentation)
- DB2 Native Encryption (IBM-Dokumentation)
- IBM DB2 und Thales Luna HSMs - Integrationsleitfaden (Dokumentation zu Thales)
Schlüsselverwaltung: Azure Key Vault und HSM
Azure unterstützt zwei Lösungen für die Schlüsselverwaltung:
- Azure Key Vault: Ein systemeigener Azure-Dienst, der Schlüsselverwaltungsdienste bereitstellt (nicht PKCS#11-kompatibel).
- Azure Cloud HSM: Eine Hardwareebene, PKCS#11, FIPS 140-3 Ebene 3, Einzelmandantenlösung.
Weitere Informationen zu diesen Diensten finden Sie unter:
- Grundlegende Konzepte von Azure Key Vault
- Was ist Azure Cloud HSM?
- Auswählen der richtigen Azure-Schlüsselverwaltungslösung
Es wird empfohlen, Betriebssystem- und Anwendungswörter im Key Vault zu speichern. Schulungen zur geheimen Verwaltung finden Sie unter Verwalten von geheimen Schlüsseln in Ihren Server-Apps mit Azure Key Vault.
Defender für Key Vault kann Sie benachrichtigen, wenn verdächtige Aktivitäten im Key Vault auftreten. Weitere Informationen finden Sie unter Übersicht über Microsoft Defender für Key Vault.
Härtung auf Betriebssystemebene
Das Patchen des Betriebssystems ist eine Schlüsselebene in einer sicheren Lösung. Es ist nicht möglich, VMs im großen Maßstab konsistent und zuverlässig zu aktualisieren, ohne dass Patchverwaltungstools verwendet werden. Sie können Azure Update Manager verwenden, um diesen Prozess zu beschleunigen und zu automatisieren.
Hinweis
Linux-Kernel-Hotpatching hat Einschränkungen, wenn die Ziel-VMs Defender für Endpunkt ausführen. Lesen Sie die Dokumentation zur Verwendung von Defender für Endpunkt mit SAP, wie weiter oben in diesem Artikel aufgeführt. Linux-Patching, für die ein Betriebssystemneustart erforderlich ist, sollte manuell auf Pacemaker-Systemen behandelt werden.
Sie können die Microsoft-Sicherheitsbewertung verwenden, um den Status einer Umgebung zu überwachen.
SUSE, Red Hat und Oracle Linux
Elemente mit hoher Priorität für Linux-Betriebssysteme umfassen:
- Verwenden Sie VMs der Generation 2 mit sicherem Start.
- Lassen Sie keine Repositorys von Drittanbietern zu (um Supply Chain-Angriffe zu vermeiden).
- Verwenden Sie Schlüssel und deaktivieren Sie die Passwortanmeldung in
sshd_config. - Verwenden Sie eine verwaltete Identität für Pacemaker, nicht für einen Dienstprinzipalnamen (Service Principal Name, SPN). Weitere Informationen finden Sie im Microsoft-Blogbeitrag SAP zur hohen Verfügbarkeit von Azure – Wechseln von SPN zu MSI für Pacemaker-Cluster mit Azure-Fencing.
- Deaktivieren Sie die Root-Anmeldung.
Hier sind Ressourcen für die Härtung von Linux-Betriebssystemverteilungen:
- Azure-Sicherheitsbasisplan für virtuelle Computer – Virtuelle Linux-Computer (Microsoft-Dokumentation)
- Die 18 CIS Critical Security Controls (CIS-Dokumentation)
- CIS-Benchmarks (CIS-Dokumentation)
- Handbuch zur Betriebssystemsicherheitshärtung für SAP HANA für SUSE Linux Enterprise Server 15 GA und SP1 (SUSE-Dokumentation)
- Sicherheitshärtungshandbuch für SAP HANA (Dokumentation zu Red Hat)
SELinux
SELinux wird auf den neuesten Red Hat Enterprise Linux (RHEL)-Versionen unterstützt. Microsoft unterstützt die Ausführung von SAP-Workloads auf RHEL gemäß sap- und Red Hat-Richtlinien. Microsoft liefert keine SELinux-Richtlinien und bietet keine Unterstützung für deren Verwaltung an. Kunden sind für das Konfigurieren, Warten und Validieren von SELinux-Richtlinienänderungen verantwortlich, die für ihre Umgebungen erforderlich sind.
Weitere Informationen zu SELinux auf RHEL finden Sie unter:
- Handbuch zur Sicherheitsverstärkung für SAP HANA auf RHEL 10 (Red Hat-Dokumentation)
- 3562909 - Red Hat Enterprise Linux 10.x: Installation und Konfiguration
- 3562919 - SAP HANA DB: Empfohlene Betriebssystemeinstellungen für RHEL 10 - SAP für mich
Windows-Betriebssysteme
Zu den Elementen mit hoher Priorität für Windows-Betriebssysteme gehören:
- Verwenden Sie VMs der Generation 2 mit sicherem Start.
- Minimieren Sie die Installation von Drittanbietersoftware.
- Konfigurieren Sie die Windows-Firewall mit minimal geöffneten Ports über Gruppenrichtlinien.
- Erzwingen sie die SMB-Verschlüsselung über Gruppenrichtlinien. Weitere Informationen finden Sie unter Configure the SMB client to require encryption in Windows.
- Sperren Sie nach der Installation den <SID-Adm-Benutzernamen>, wie in SAP Note 1837765 beschrieben: Sicherheitsrichtlinien für <SID>adm und SAPService<SID> unter Windows. Die SAPService-SID<> des Dienstkontos sollte so festgelegt werden, dass die interaktive Anmeldung verweigert wird (die Standardeinstellung nach der Installation). Die SAPService-SID<> und <sid>adm-Konten dürfen nicht gelöscht werden.
- Konfigurieren Sie die Windows-Gruppenrichtlinie, um den letzten Benutzernamen zu löschen, nachdem Sie die Anmeldung mit Active Directory-Authentifizierung gestattet haben. Diese Konfiguration entschärft Klonenangriffe. Deaktivieren Sie ältere TLS- und SMB-Protokolle.
Hier sind Ressourcen für Windows-Betriebssystemverteilungen:
- Azure-Sicherheitsbasisplan für virtuelle Computer – Virtuelle Windows-Computer
- Windows Server 2025 Security Book (Download)
- Windows Server Security-Dokumentation
Azure-Infrastruktursicherheit
Sie können Ihre Azure-Infrastruktursicherheitskonfiguration verbessern, um Angriffsvektoren zu reduzieren oder zu beseitigen.
VM der Generation 2 und vertrauenswürdiger Start
Es wird empfohlen, nur VMs der 2. Generation bereitzustellen und den vertrauenswürdigen Start zu aktivieren. Weitere Informationen finden Sie im folgenden Microsoft-Artikel und Blogbeitrag:
- Vertrauenswürdiger Start für virtuelle Azure-Computer
- Verbessern der Sicherheit von VMs der Generation 2 über den vertrauenswürdigen Start in Azure DevTest Labs
Hinweis
Nur die neuesten Versionen von SUSE 15 unterstützen Trusted Launch. Weitere Informationen finden Sie in der Liste der unterstützten Betriebssysteme.
Die Konvertierung von Generation 1 auf Generation 2 kann komplex sein, insbesondere für Windows. Es wird empfohlen, standardmäßig nur vertrauenswürdige Start-VMs der Generation 2 bereitzustellen. Weitere Informationen finden Sie unter Upgrade vorhandener Azure Gen1-VMs auf den vertrauenswürdigen Start.
Eine Liste der für den vertrauenswürdigen Start unterstützten Azure-VMs finden Sie unter "Größe virtueller Computer".
Defender für Cloud kann den Trusted Launch überwachen. Weitere Informationen finden Sie unter Microsoft Defender für Cloud-Integration.
Verschlüsselung während der Übertragung für Azure Files NFS und SMB
Sie können Netzwerkdateifreigabedatenverkehr (NETWORK File Share, NFS) in Azure Files verschlüsseln, um vor Paketablaufverfolgung und anderen Bedrohungen zu schützen. Weitere Informationen finden Sie unter:
- Verschlüsselung während der Übertragung für NFS Azure-Dateifreigaben
- Azure Files NFS-Verschlüsselung während der Übertragung für SAP in Azure-Systeme
Bei SMB unterstützt Azure Files standardmäßig die Verschlüsselung während der Übertragung. Weitere Informationen finden Sie unter SMB-Dateifreigaben in Azure Files.
Verschlüsselung auf dem Host
Wenden Sie sich an Microsoft, um zu überprüfen, ob VMs der M-Serie über die neuesten Treiber verfügen, die für die Verschlüsselung auf dem Host erforderlich sind. VMs der M-Serie v3, D-Serie und E-Serie können Verschlüsselung auf Host ohne Einschränkung verwenden.
Die Verschlüsselung auf host wird mit SAP getestet, und Sie können sie ohne Einschränkung für moderne Azure-VMs verwenden. Der Aufwand beträgt etwa 2%.
Weitere Informationen zu dieser Funktion finden Sie unter:
- Verschlüsselung auf host: End-to-End-Verschlüsselung für Ihre VM-Daten
- Übersicht über Verschlüsselungsoptionen für verwaltete Datenträger
Speicherkontoverschlüsselung
Speicherkonten verwenden entweder PMKs oder CMKs. Beide werden vollständig mit SAP-Anwendungen unterstützt. Weitere Informationen finden Sie unter Azure Storage-Verschlüsselung für ruhende Daten.
CMKs innerhalb eines Mandanten oder über Mandantengrenzen hinweg werden unterstützt. Weitere Informationen finden Sie unter Verschlüsseln verwalteter Datenträger mit mandantenübergreifenden vom Kunden verwalteten Schlüsseln.
Sie können für hochsichere SAP-Systeme eine Doppelverschlüsselung bei Daten im Ruhezustand verwenden. Weitere Informationen finden Sie unter Aktivieren der doppelten Verschlüsselung im Ruhezustand für verwaltete Datenträger. Diese Funktion wird auf Azure Ultra Disk Storage- oder Premium-SSD v2-Datenträgern nicht unterstützt.
Einen Vergleich der Datenträgerverschlüsselungstechnologien finden Sie unter Übersicht über die Verschlüsselungsoptionen für verwaltete Datenträger.
Von Bedeutung
Die Azure Disk Encryption wird für SAP-Systeme nicht unterstützt.
Verschlüsselung virtueller Netzwerke
Erwägen Sie die Verwendung der Verschlüsselung des virtuellen Netzwerks für Hochsicherheitsbereitstellungen und Gateways. Es gibt einige Featureeinschränkungen. Die Verschlüsselung des virtuellen Netzwerks wird derzeit für bestimmte Hochsicherheitsszenarien verwendet.
Intel Gesamtspeicher-Verschlüsselung
Moderne Azure-VMs verwenden automatisch die Gesamtspeicherverschlüsselung – Multischlüssel (TME-MK) Feature, das in moderne CPUs integriert ist. Kunden mit hoher Sicherheit sollten moderne VMs verwenden und Sich direkt an Microsoft wenden, um zu bestätigen, dass alle VM-Typen TME unterstützen. Weitere Informationen zum Feature finden Sie in der Intel TME-MK Dokumentation.
Azure Automation-Konto für Updates des Azure Site Recovery-Agents
Informationen zum Ändern des Azure Automation-Benutzerkontos erforderlich für die Aktualisierungen des Azure Site Recovery-Agenten von der Rolle „Mitwirkender“ zu einem niedrigeren Sicherheitskontext finden Sie in der neuesten Dokumentation für Site Recovery.
Entfernen von öffentlichen Endpunkten
Öffentliche Endpunkte für Azure-Objekte wie Speicherkonten und Azure Files sollten entfernt werden. Weitere Informationen finden Sie unter:
- Verwenden privater Endpunkte für Azure Storage
- Festlegen der Standardregel für den Zugriff auf öffentliche Netzwerke für ein Azure Storage-Konto
DNS-Entführer und Subdomänenübernahme
Sie können Unterdomänenübernahmen verhindern, indem Sie Azure DNS-Aliaseinträge und die benutzerdefinierte Domänenüberprüfung in Azure App Service verwenden. Weitere Informationen finden Sie unter Verhindern, dass DNS-Einträge ins Leere laufen, und vermeiden Sie die Subdomain-Übernahme.
Darüber hinaus können Sie Defender für DNS verwenden, um Schutz vor Malware und Remotezugriff-Trojanern (RAT) und ihren Befehls- und Kontrollzielen zu bieten. Weitere Informationen finden Sie unter Übersicht über Microsoft Defender für DNS.
Azure Bastion
Azure Bastion kann verhindern, dass die Arbeitsstationen von Systemadministratoren mit Schadsoftware wie Schlüsselloggern infiziert werden. Weitere Informationen finden Sie in der Azure Bastion-Dokumentation.
Schutz vor Ransomware
Die Azure-Plattform enthält leistungsstarke Ransomware-Schutzfunktionen. Wir empfehlen, einen unveränderlichen Azure-Tresor zu verwenden, um Ransomware oder andere Trojaner daran zu hindern, Sicherungen zu verschlüsseln. Azure bietet Speicher mit einmaligem Schreibzugriff und mehrfachem Lesezugriff (WORM) für diesen Zweck.
Azure Backup für SAP HANA und SQL Server kann in Azure Blob Storage schreiben. Weitere Informationen finden Sie unter Sicherungs- und Wiederherstellungsplan zum Schutz vor Ransomware. Es ist möglich, den Speicher so zu konfigurieren, dass eine PIN oder MFA erforderlich ist, bevor jeder Sicherungen ändern kann.
Sie können voll gesperrte, SEC 17a-4(f)-kompatible unveränderliche Speicherrichtlinien konfigurieren. Weitere Informationen finden Sie unter Festlegen einer zeitbasierten Aufbewahrungsrichtlinie.
Es wird empfohlen, die Schritte zu überprüfen, die vor einem Angriff ausgeführt werden sollen, und die entsprechenden Maßnahmen auszuwählen.
Hier sind weitere Ressourcen:
- Unveränderlicher Tresor für Azure Backup
- Dokumentation mit grundlegenden Azure-Sicherheitsinformationen
- Microsoft Digital Defense Report
- Microsoft Safety Scanner
- Tool zum Entfernen bösartiger Windows-Software 64-Bit
- Häufig gestellte Fragen: Schützen von Sicherungen vor Ransomware mit Azure Backup
Darüber hinaus bietet Microsoft Support- und Beratungsdienste für sicherheitsrelevante Themen an. Sehen Sie sich den Microsoft-Blogbeitrag DART: das Microsoft-Cybersicherheitsteam an, das wir hoffen, dass Sie sich nie treffen.
Weitere Empfehlungen für große Organisationen sind die Trennung von Aufgaben. Beispielsweise sollten SAP-Administratoren und Serveradministratoren schreibgeschützten Zugriff auf den Azure Backup Vault haben. Sie können die Mehrbenutzerautorisierung und einen Ressourcenschutz implementieren, um vor gefälschten Administratoren und Ransomware zu schützen.
Sie können zusätzlichen Schutz vor Ransomware erreichen, indem Sie Azure Firewall Premium bereitstellen. Weitere Informationen finden Sie unter Verbessern Ihrer Sicherheitsmaßnahmen für Ransomware-Angriffe mit Azure Firewall Premium.
Nicht unterstützte Technologien
Die Azure Disk Encryption wird für SAP-Lösungen nicht unterstützt. RHEL- und SUSE Linux Enterprise Server (SLES)-Linux-Images für SAP-Anwendungen gelten als benutzerdefinierte Images, daher werden sie nicht getestet oder unterstützt. Kunden, die über eine Anforderung für die Verschlüsselung im Ruhezustand verfügen, verwenden in der Regel die Azure-Verschlüsselung auf dem Host.
Von Bedeutung
Azure Disk Encryption ist jetzt ein veraltetes Feature. Weitere Informationen finden Sie unter Azure Updates.
SAP-Sicherheitshinweise
Informationen zu SAP-Sicherheitshinweisen finden Sie im Einstiegspunkt oder in der durchsuchbaren Datenbank.
SAP veröffentlicht Informationen zu Sicherheitsrisiken in seinen Produkten am zweiten Dienstag jedes Monats. Sicherheitsrisiken mit einer Bewertung des allgemeinen Bewertungssystems (CVSS) zwischen 9,0 und 10 sind schwerwiegend, und es wird empfohlen, sie sofort abzumildern.
Sicherheitsanalysten und Foren haben eine Zunahme der Nutzung von SAP-spezifischen Sicherheitsrisiken gemeldet. Sicherheitsrisiken, die keine Authentifizierung erfordern, sollten schnell durch die SAP-Landschaft bearbeitet werden.
Verwandte Inhalte
- Microsoft Security Response Center
- SAP-Hinweis 3356389: Antivirensoftware oder andere Sicherheitssoftware, die SAP-Vorgänge beeinträchtigen
- CVE: Allgemeine Schwachstellen und Gefährdungen
- Checkliste für Azure Operational Security
- Bewährte Methoden zur Datengovernance für Sicherheit
- Azure Bastion-Dokumentation
- Dokumentation mit grundlegenden Azure-Sicherheitsinformationen
- SAP HANA-Datenbankverschlüsselung - SAP Community
- SAP-Hinweis 3345490: Häufig gestellte Fragen zur Common Criteria Konformität
- Microsoft Security Compliance Toolkit-Handbuch
- SQL Server-Datenbanksicherheit für SAP in Azure
- Gemessener Start und Host-Attestierung