次の方法で共有

SAP アプリケーション用の Azure インフラストラクチャをセキュリティで保護する

適切にセキュリティ保護された SAP ソリューションには、複数のドメインにまたがる多くのレイヤーを含む多くのセキュリティ概念が組み込まれています。

  • ID 管理、プロビジョニングとシングル サインオン (SSO)、多要素認証 (MFA)、グローバルセキュアアクセス、セキュアなネットワーク接続
  • 監査、ログ分析、およびイベント管理
  • セキュリティ情報イベント管理 (SIEM) およびセキュリティ オーケストレーション、自動化、応答 (SOAR) ソリューション
  • ウイルス対策とマルウェア対策のエンドポイント保護
  • 暗号化とキーの管理
  • オペレーティング システムのセキュリティ強化
  • Azure インフラストラクチャのセキュリティ強化

SAP アプリケーションは、IT ランドスケープ全体のゼロ トラスト セキュリティ ソリューション全体に組み込む必要があります。 詳細については、 ゼロ トラスト戦略とアーキテクチャに関する Microsoft セキュリティ ページを参照してください。

SAP セキュリティ ソリューションは、ゼロ トラスト セキュリティ モデルを参照する必要があります。 ゼロ トラスト セキュリティ ソリューションは、SAP アプリケーションとデータ アクセスを通じて、ID、エンドポイント ネットワーク アクセス、認証、MFA など、各レイヤーの各アクションを検証します。

Microsoft Zero Trust 設計の図。

この記事の目的は、Azure Hyperscale サービス レベルで実行されている SAP ソリューションの ID、セキュリティ、および監査関連の機能を実装する方法に関するリンクと簡単な説明を提供することです。 この記事では、リスク プロファイル、業界、規制環境によって要件が異なるため、実装する必要があるセキュリティ機能は指定されていません。 この記事では、Microsoft Defender for Endpoint の使用、透過的なデータ暗号化 (TDE)、すべてのシステムでのバックアップ暗号化など、いくつかの一般的な推奨事項について説明します。

SAP の ID、セキュリティ、監査ソリューションを設計して実装する場合は、「 Microsoft クラウド セキュリティ ベンチマークの概要」の概念を確認してください。 その他のチェックリストについては、「 セキュリティで保護された概要 (クラウド導入フレームワーク)」を参照してください。

デプロイのチェックリスト

Azure で実行されている SAP アプリケーションの包括的なセキュリティ ソリューションの設計と実装は、コンサルティング プロジェクトです。

この記事では、最小限のセキュリティ構成とより安全な構成について説明する基本的なデプロイ パターンについて説明します。 高いセキュリティ ソリューションを必要とする組織は、専門家のコンサルティングアドバイスを求める必要があります。 高度にセキュリティ保護された SAP ランドスケープは、運用の複雑さを増す可能性があります。 また、システムの更新、アップグレード、サポートのためのリモート アクセス、デバッグ、高可用性とディザスター リカバリーのテストなどのタスクが困難または複雑になる場合もあります。

最低限: セキュリティ展開のチェックリスト

  • Defender for Endpoint は、すべてのエンドポイント (SAP および非 SAP) でリアルタイム モードでアクティブです。 保護されていないエンドポイントは、攻撃者が保護されたエンドポイントを侵害するために使用できるゲートウェイです。
  • Defender XDR ルールは、危険度の高い実行可能ファイルに対するアラート (および Windows ではブロック) に対して行われます。
  • Microsoft Sentinel for SAP または別の SIEM/SOAR ソリューションが用意されています。
  • すべてのデータベース管理システム (DBMS) は TDE で保護されます。 お使いの環境でサポートされている場合、キーは Azure Key Vault またはハードウェア セキュリティ モジュール (HSM) に格納されます。
  • オペレーティング システム、DBMS、およびその他のパスワードは Key Vault に格納されます。
  • Linux サインインでパスワードが無効になっています。 ユーザーはキーを使用してのみサインインできます。
  • すべての仮想マシン (VM) は、信頼された起動が有効になっている第 2 世代です。
  • ストレージ アカウントでは、プラットフォームマネージド キー (PMK) が使用されます。
  • VM、HANA、SQL、Oracle のバックアップは、不変ストレージを備えた Azure Backup コンテナーに移動します。

セキュリティの強化: セキュリティ展開のチェックリスト

  • Defender for Endpoint は、すべてのエンドポイント (SAP および非 SAP) でリアルタイム モードでアクティブです。 保護されていないエンドポイントは、攻撃者が保護されたエンドポイントを侵害するために使用できるゲートウェイです。
  • Defender XDR ルールは、危険度の高い実行可能ファイルに対するアラート (および Windows ではブロック) に対して行われます。
  • Microsoft Sentinel for SAP または別の SIEM/SOAR ソリューションが用意されています。
  • すべての DBMS は TDE で保護されます。 お使いの環境でサポートされている場合、キーは Key Vault または HSM に格納されます。
  • オペレーティング システム、DBMS、およびその他のパスワードは Key Vault に格納されます。
  • Linux サインインでパスワードが無効になっています。 ユーザーはキーを使用してのみサインインできます。
  • すべての VM は第 2 世代です。 信頼された起動、ブート整合性の監視、およびホストベースの暗号化は、すべての VM で有効になります。
  • すべての VM で Intel Total Memory Encryption (TME) がサポートされます。
  • ストレージ アカウントでは、一般的なストレージには PMK を使用し、機密データにはカスタマー マネージド キー (CMK) を使用します。
  • VM、HANA、SQL、Oracle のバックアップは、不変ストレージを備えた Azure Backup コンテナーに移動します。
  • SAP Basis、バックアップ、サーバー チーム、およびセキュリティ/キー管理には、より強力な職務分離があります。

Defender for Endpoint(ディフェンダー フォー エンドポイント)

Defender for Endpoint は、SAP ベンチマーク ツールを使用して包括的にベンチマークおよびテストされ、SAP ワークロード用に文書化された、唯一の包括的なウイルス対策および SAP エンドポイントの検出と応答 (EDR) ソリューションです。

Defender for Endpoint は、例外なくすべての NetWeaver、S/4HANA、HANA、および AnyDB サーバーに展開する必要があります。 次のデプロイ ガイドでは、SAP アプリケーションを使用した Defender for Endpoint の正しいデプロイと構成について説明します。

Defender XDR

Defender は、ウイルス対策と EDR 保護に加えて、機能とサービスを通じてより多くの保護を提供できます。

Microsoft セキュア スコアと Defender 脆弱性管理については、この記事で後述する OS レベルのセキュリティ強化に関するセクション で説明します。

Microsoft Sentinel 用 SAP コネクタ

Microsoft Sentinel SIEM/SOAR ソリューションには、SAP 用のコネクタがあります。 ユーザー ログオンや機密性の高いトランザクションへのアクセスなどの SAP アプリケーション固有のシグナルは、ネットワーク アクセスやデータ流出などの他の SIEM/SOAR 信号と監視および関連付けることができます。 詳細については、以下を参照してください。

データベース レベルの暗号化: TDE とバックアップの暗号化

Azure で SAP アプリケーションを実行するすべての DBMS に対して TDE を有効にすることをお勧めします。 テストでは、パフォーマンスのオーバーヘッドが 0% ~ 2%であることが示されています。 TDE の利点は、欠点をはるかに上回ります。

データベースが TDE に対して有効になっている場合、ほとんどの DBMS プラットフォームでは暗号化されたバックアップが作成されます。 この構成により、バックアップの盗難という 1 つの一般的な攻撃ベクトルが軽減されます。

SAP HANA では、Azure Key Vault やその他の HSM デバイスへのキーの格納はサポートされていません。 詳細については、 SAP Note 3444154: HSM for SAP HANA Encryption Key Management を参照してください。 HANA で TDE を有効にするには、SAP ヘルプ ポータルで 暗号化を有効にする を参照してください。

SQL Server TDE は Key Vault に完全に統合されています。 詳細については、以下を参照してください。

Oracle DBMS では、SAP アプリケーションと組み合わせて TDE がサポートされます。 TDE のキーは、HSM PKCS#11 デバイスに格納できます。 詳細については、以下を参照してください。

DB2 ネイティブ暗号化は、SAP アプリケーションと組み合わせてサポートされます。 暗号化キーは、HSM PKCS#11 デバイスに格納できます。 詳細については、以下を参照してください。

キー管理: Azure Key Vault と HSM

Azure では、キー管理用に次の 2 つのソリューションがサポートされています。

  • Azure Key Vault: (PKCS#11 に準拠していない) キー管理サービスを提供するネイティブ Azure サービス。
  • Azure Cloud HSM: ハードウェア レベルの PKCS#11、FIPS 140-3 レベル 3、シングルテナント ソリューション。

これらのサービスの詳細については、以下を参照してください。

OS パスワードとアプリケーション パスワードは Key Vault に格納することをお勧めします。 シークレット管理のトレーニングについては、「 Azure Key Vault を使用してサーバー アプリのシークレットを管理する」を参照してください。

Defender for Key Vault は、Key Vault で疑わしいアクティビティが発生した場合にアラートを生成できます。 詳細については、「 Microsoft Defender for Key Vault の概要」を参照してください。

OS レベルのセキュリティ強化

オペレーティング システムのパッチ適用は、セキュリティで保護されたソリューションの 1 つの重要なレイヤーです。 パッチ管理ツールを使用しないと、VM を手動で一貫して確実に更新することはできません。 Azure Update Manager を使用して、このプロセスを高速化および自動化できます。

ターゲット VM が Defender for Endpoint を実行している場合、Linux カーネルのホットパッチには制限があります。 この記事で前述したように、SAP での Defender for Endpoint の使用に関するドキュメントを確認します。 OS の再起動を必要とする Linux 修正プログラムは、Pacemaker システムで手動で処理する必要があります。

Microsoft セキュア スコアを使用して、ランドスケープの状態を監視できます。

SUSE、Red Hat、Oracle Linux

Linux オペレーティング システムの優先度の高い項目は次のとおりです。

  • セキュア ブートで第 2 世代 VM を使用します。
  • サードパーティのリポジトリを許可しないでください (サプライ チェーン攻撃を回避するため)。
  • sshd_configでキーを使用し、パスワード サインインを無効にします。
  • サービス プリンシパル名 (SPN) ではなく、Pacemaker のマネージド ID を使用します。 詳細については、Azure の高可用性に関する SAP の Microsoft ブログ投稿を参照してください。 Azure フェンスを使用した Pacemaker クラスターの SPN から MSI への変更
  • ルート サインインを無効にします。

Linux OS ディストリビューションを強化するためのリソースを次に示します。

SELinux

SELinux は、最新の Red Hat Enterprise Linux (RHEL) リリースでサポートされています。 Microsoft では、SAP と Red Hat のガイダンスに従って、RHEL での SAP ワークロードの実行をサポートしています。 Microsoft では、SELinux ポリシーの管理に関する提供もサポートも行っていません。 お客様は、環境に必要な SELinux ポリシーの変更を構成、保守、検証する責任を負います。

RHEL 上の SELinux の詳細については、次を参照してください。

Windows オペレーティング システム

Windows オペレーティング システムの優先度の高い項目は次のとおりです。

  • セキュア ブートで第 2 世代 VM を使用します。
  • サードパーティ製ソフトウェアのインストールを最小限に抑えます。
  • グループ ポリシーを使用して、開いているポートを最小限に抑えた Windows ファイアウォールを構成します。
  • グループ ポリシーを使用して SMB 暗号化を適用します。 詳細については、「 Windows で暗号化を要求するように SMB クライアントを構成する」を参照してください。
  • インストール後、<」で説明されているように、>SID<adm ユーザー名をロックします。 サービス アカウント SAPService<SID> は、対話型ログインを拒否するように設定する必要があります (インストール後の既定の設定)。 SAPService<SID> および <sid>adm アカウントは削除しないでください。
  • Active Directory で認証されたサインインを許可した後、最後のユーザー名をクリアするように Windows グループ ポリシーを構成します。 この構成により、複製攻撃が軽減されます。 従来の TLS プロトコルと SMB プロトコルを無効にします。

Windows OS ディストリビューションのリソースを次に示します。

Azure インフラストラクチャのセキュリティ

Azure インフラストラクチャのセキュリティ構成を強化して、攻撃ベクトルを減らしたり排除したりすることができます。

第 2 世代 VM と信頼された起動

第 2 世代 VM のみをデプロイし、信頼された起動をアクティブにすることをお勧めします。 詳細については、次の Microsoft の記事とブログ記事を参照してください。

SUSE 15 の最新バージョンのみが、トラステッド起動をサポートしています。 サポートされているオペレーティング システムの一覧を参照してください。

第 1 世代から第 2 世代への変換は、特に Windows では複雑になる可能性があります。 既定では、第 2 世代の信頼された起動 VM のみをデプロイすることをお勧めします。 詳細については、「 既存の Azure Gen1 VM を信頼された起動にアップグレードする」を参照してください。

トラステッド起動でサポートされている Azure VM の一覧については、「 仮想マシンのサイズ」を参照してください。

Defender for Cloud では、信頼された起動を監視できます。 詳細については、「 Microsoft Defender for Cloud の統合」を参照してください。

Azure Files NFS と SMB の転送中の暗号化

Azure Files でネットワーク ファイル共有 (NFS) トラフィックを暗号化して、パケット トレースやその他の脅威から保護することができます。 詳細については、以下を参照してください。

SMB の場合、Azure Files では既定で転送中の暗号化がサポートされています。 詳細については、「 Azure Files の SMB ファイル共有」を参照してください。

ホストでの暗号化

M シリーズ VM に、ホストでの暗号化に必要な最新のドライバーがあることを確認するには、Microsoft にお問い合わせください。 M シリーズ v3、D シリーズ、および E シリーズの VM では、ホストでの暗号化を制限なく使用できます。

ホストでの暗号化は SAP でテストされ、最新の Azure VM に制限なく使用できます。 オーバーヘッドは約 2%です。

この機能の詳細については、次を参照してください。

ストレージ アカウントの暗号化

ストレージ アカウントでは、PMK または CMK が使用されます。 どちらも SAP アプリケーションで完全にサポートされています。 詳細については、「保存データ向け Azure ストレージの暗号化」をご覧ください。

1 つのテナント内またはテナント間の CMK がサポートされます。 詳細については、 テナント間のカスタマー マネージド キーを使用したマネージド ディスクの暗号化に関するページを参照してください。

高度にセキュリティで保護された SAP システムでは、保存時に二重暗号化を使用できます。 詳細については、「 マネージド ディスクの保存時の二重暗号化を有効にする」を参照してください。 この機能は、Azure Ultra Disk Storage または Premium SSD v2 ディスクではサポートされていません。

ディスク暗号化テクノロジの比較については、「 マネージド ディスク暗号化オプションの概要」を参照してください。

Important

Azure Disk Encryption は SAP システムではサポートされていません。

仮想ネットワーク暗号化

セキュリティの高いデプロイとゲートウェイには 、仮想ネットワーク暗号化 の使用を検討してください。 いくつかの機能の制限があります。 仮想ネットワーク暗号化は、現在、特定の高セキュリティ シナリオで使用されています。

インテル総合メモリ暗号化

最新の Azure VM では、最新の CPU に組み込まれている合計メモリ暗号化 - マルチキー (TME-MK) 機能が自動的に使用されます。 セキュリティの高いお客様は、最新の VM を使用し、すべての VM の種類で TME がサポートされていることを確認するには、Microsoft に直接お問い合わせください。 この機能の詳細については、 Intel TME-MK のドキュメントを参照してください

Azure Site Recovery エージェントの更新のための Azure Automation アカウント

Azure Site Recovery エージェントの更新に必要な Azure Automation ユーザー アカウントを共同作成者から低いセキュリティ コンテキストに変更するには、 Site Recovery の最新のドキュメントを確認してください。

パブリック エンドポイントの削除

ストレージ アカウントや Azure Files などの Azure オブジェクトのパブリック エンドポイントは削除する必要があります。 詳細については、以下を参照してください。

DNS ハイジャックとサブドメインの引き継ぎ

Azure App Service で Azure DNS エイリアス レコードとカスタム ドメイン検証を使用して、サブドメインの引き継ぎを防ぐことができます。 詳細については、「 未解決の DNS エントリを防止し、サブドメインの引き継ぎを回避する」を参照してください。

さらに、Defender for DNS を使用して、マルウェアやリモート アクセストロイの木馬 (RAT) のコマンド アンド コントロール ターゲットから保護できます。 詳細については、「 Microsoft Defender for DNS の概要」を参照してください。

Azure Bastion

Azure Bastion は、システム管理者のワークステーションがキー ロガーなどのマルウェアに感染するのを防ぐのに役立ちます。 詳細については、 Azure Bastion のドキュメントを参照してください

ランサムウェア対策

Azure プラットフォームには、強力なランサムウェア保護機能が含まれています。 バックアップがランサムウェアやその他のトロイの木馬によって暗号化されないようにするために、Azure 不変ボルトを使用することをお勧めします。 Azure では、この目的のために 1 回書き込み、多くの (WORM) ストレージを読み取る機能を提供しています。

SAP HANA および SQL Server 用の Azure Backup は、Azure Blob Storage に書き込むことができます。 詳細については、「 ランサムウェアから保護するためのバックアップと復元の計画」を参照してください。 誰もがバックアップを変更する前に、PIN または MFA を要求するようにストレージを構成できます。

完全にロックされた SEC 17a-4(f)準拠の不変ストレージ ポリシーを構成できます。 詳細については、「 時間ベースの保持ポリシーをロックする」を参照してください。

攻撃の前に実行する手順を確認し、適切な対策を選択することをお勧めします。

その他のリソースを次に示します。

さらに、Microsoft では、セキュリティ関連のトピックに関するサポートおよびコンサルティング サービスを提供しています。 Microsoft のブログ投稿 「DART: Microsoft サイバーセキュリティ チーム (できれば遭遇したくないチーム)」をご覧ください。

大規模な組織に対するその他の推奨事項には、職務の分離が含まれます。 たとえば、SAP 管理者とサーバー管理者は、Azure Backup コンテナーへの読み取り専用アクセス権を持っている必要があります。 マルチユーザー承認とリソース ガードを実装して、不正な管理者やランサムウェアから保護することができます。

Azure Firewall Premium をデプロイすることで、ランサムウェアからの追加の保護を実現できます。 詳細については、「 Azure Firewall Premium を使用したランサムウェア攻撃に対するセキュリティ防御の強化」を参照してください。

サポートされていないテクノロジ

Azure Disk Encryption は SAP ソリューションではサポートされていません。 SAP アプリケーション用の RHEL および SUSE Linux Enterprise Server (SLES) Linux イメージは カスタム イメージと見なされるため、テストもサポートもされません。 保存時暗号化の要件があるお客様は、通常、ホストで Azure 暗号化を使用します。

Important

Azure Disk Encryption は非推奨の機能になりました。 詳細については、「 Azure の更新プログラム」を参照してください。

SAP セキュリティに関する注意事項

SAP セキュリティノートの詳細については、 エントリ ポイント または 検索可能データベースを参照してください。

SAP は、製品の脆弱性に関する情報を 毎月第 2 火曜日にリリースします。 共通脆弱性スコアリング システム (CVSS) スコアが 9.0 ~ 10 の脆弱性は深刻であり、直ちに軽減することをお勧めします。

セキュリティ アナリストやフォーラムでは、SAP 固有の脆弱性の悪用の増加が報告されています。 認証を必要としない脆弱性は、SAP ランドスケープを通じて迅速化する必要があります。

関連コンテンツ

  • Last updated on