这篇博文由SAP on Azure的技术专家Chin Lai提供。这是一个由四部分组成的博客系列的第一篇，该系列文章讲述了如何设计一个很棒的基于Azure架构的SAP，并将重点介绍安全性设计。卓越的SAP on Azure体系结构建立在安全性、性能和可扩展性、可用性和可恢复性以及效率和运营等支柱之上。微软对Azure安全的投资微软每年在安全研发上投资10亿美元，在整个公司雇佣了3500名安全专家。高级人工智能用于分析来自微软云平台的6.5万亿个全球信号，并检测和应对威胁。企业级的安全性和隐私性被构建到Azure平台中，包括通过真实世界的测试（如红队演习）进行持久、严格的验证。这些测试使微软能够测试漏洞检测和响应，以及准确地测量真实世界攻击的准备情况和影响，并且只是为Azure提供一流安全性的众多操作过程之一。Azure是一个信任的平台，拥有90个跨国家、地区和特定行业（如健康、金融、政府和制造业）的合规认证。此外，Azure安全和合规蓝图可用于轻松创建、部署和更新您的合规环境。安全-共同责任了解作为客户的你和微软之间的共同责任模式是很重要的。责任划分取决于使用的云模型——SaaS、PaaS或IaaS。作为客户，您始终负责您的数据、端点、帐户/访问管理，而不考虑所选的云部署。sapaonazure使用IaaS云模型交付，这意味着微软在物理数据中心、物理网络和物理主机上将安全保护内置到服务中。但是，对于Azure hypervisor之外的所有领域，即操作系统和应用程序，客户需要确保其企业安全控制得到实施。在Azure上部署SAP的关键安全注意事项基于资源的访问控制和资源锁定基于角色的访问控制（RBAC）是一种为Azure资源管理提供细粒度访问的授权系统。RBAC可用于限制IT操作中不同团队对Azure资源的访问和控制权限。例如，可以授权sapbasis团队成员将虚拟机（vm）部署到Azure虚拟网络（VNets）中。但是，可以限制sapbasis团队创建或配置VNets。另一方面，网络团队的成员可以创建和配置VNets，但是他们被禁止在运行SAP应用程序的VNets中部署或配置vm。我们建议在sapaonazure项目的生命周期中尽早验证和测试RBAC设计。另一个重要的考虑因素是Azure资源锁定，它可用于防止意外删除或修改Azure资源（如VM和磁盘）。建议在SAP项目开始时创建所需的Azure资源。当所有加载项、移动和更改都完成，并且sapaonazure部署可以运行时，所有资源都可以被锁定。接下来，只有超级管理员才能解锁资源并允许修改资源（如VM）。安全身份验证单点登录（SSO）为SAP和微软产品的集成提供了基础，多年来，微软ActiveDirectory的Kerberos令牌在与第三方安全产品结合时，已经启用了SAP GUI和基于Web浏览器的应用程序这两种能力。当用户登录到他们的工作站并成功地根据microsoftactivedirectory进行身份验证时，将向他们颁发Kerberos令牌。然后，第三方安全产品可以使用Kerberos令牌来处理对SAP应用程序的身份验证，而无需用户重新进行身份验证。此外，通过将安全产品与用于DIAG（sapgui）的安全网络通信（SNC）、用于HTTPS的RFC和SPNEGO集成，还可以对从用户前端传输到SAP应用程序的数据进行加密。带有SAML 2.0的Azure Active Directory（Azure AD）还可用于为一系列SAP应用程序和平台（如SAP NetWeaver、SAP HANA和SAP云平台）提供SSO。本视频演示了Azure AD和SAP NetWeaver之间SSO的端到端支持保护您的应用程序和数据不受网络漏洞的影响网络安全组（NSG）包含允许或拒绝对Azure VNet内资源的网络流量的安全规则列表。NSG可以与子网或连接到VM的单个网络接口相关联。可以根据源/目标、端口和协议配置安全规则。NSG影响SAP系统的网络流量。在下图中，实现了三个子网，每个子网都有一个NSG分配的-FE（前端）、App和DB。公共internet用户可以通过端口443与SAP Web Dispatcher联系SAP Web Dispatcher可以通过端口443访问SAP应用程序服务器应用子网接受端口443上来自10.0.0.0/24的流量SAP应用服务器将端口30015上的流量发送到sapdb服务器DB子网接受端口30015上来自10.0.1.0/24的流量。公用Internet访问在应用子网和数据库子网上都被阻止。使用Azure虚拟Ddatacenter架构的SAP部署将使用中心辐射模型实现。集线器VNet是连接的中心点，在这里实施Azure防火墙或其他类型的网络虚拟设备（NVA）来检查和控制到SAP应用程序所在的分支VNet的流量路由。在您的SAP on Azure项目中，建议验证检查设备和NSG安全规则是否按预期工作，这将确保您的SAP资源受到适当的保护，以防网络漏洞。通过加密方法维护数据完整性默认情况下，在你的Azure存储帐户上启用了Azure存储服务加密，但无法禁用它。因此，默认情况下，Azure存储上的静态客户数据是安全的，其中数据是使用256位AES透明地加密/解密的。加密/解密过程对Azure存储性能没有影响，而且是免费的。您可以选择Microsoft管理加密密钥，也可以使用Azure密钥保险库管理自己的密钥。Azure密钥库可用于管理SSL/TLS证书，这些证书用于保护SAP系统内的接口和内部通信。Azure还提供虚拟机磁盘加密，使用BitLocker for Windows和DM Crypt for Linux，为虚拟机操作系统和数据磁盘提供卷加密。默认情况下未启用磁盘加密。我们推荐的静态SAP数据加密方法如下：用于SAP应用服务器的Azure磁盘加密-操作系统磁盘和数据磁盘。SAP数据库服务器的Azure磁盘加密-操作系统磁盘和DBMS未使用的数据磁盘。SAP数据库服务器—利用DBMS提供商提供的透明数据加密来保护您的数据和日志文件，并确保备份也被加密。强化操作系统安全性是Microsoft和作为客户的您之间的共同责任，您的客户特定安全控制需要应用于操作系统、数据库和SAP应用程序层。例如，您需要确保操作系统经过加固，以消除可能导致SAP数据库受到攻击的漏洞。在Azure上运行SAP应用程序支持Windows、SUSE-Linux、RedHat-Linux等，这些操作系统的各种映像都可以在Azure Marketplace中获得。您可以进一步强化这些映像，以符合企业的安全策略，并在Internet安全中心（CIS）的指导下（Microsoft Azure Foundation benchmark）。企业通常有适当的操作流程来更新和修补其IT软件（包括操作系统）。一旦操作系统漏洞暴露出来，它就会发布在安全警告中，并且通常会很快进行修复。操作系统供应商定期提供安全更新和补丁。您可以使用Azure Automation中的更新管理解决方案来管理Azure中Windows和Linux虚拟机的操作系统更新。最佳实践方法是定期有选择地为操作系统安装安全更新，并在维护窗口期间安装其他更新，如新功能。了解更多在这个博客中，我们讨论了一些与在Azure上部署SAP相关的安全主题。整合可靠的安全实践将导致在Azure上安全部署SAP。Azure安全中心是学习保护和监视Azure部署的最佳实践的地方。此外，请阅读Azure安全中心技术文档以及Azure Sentinel，以了解如何检测漏洞，在发生攻击时生成警报，并提供修复指导。在本系列的第二篇博客中，我们将介绍性能和可伸缩性的设计。