Firmenfachbeitrag
13.09.2021, 08:00 Uhr
SAP S/4HANA: Sichere Azure Cloud-Migration
Applikationsmodernisierung ist risikoreich, Aussitzen aber auch! Hinzu kommen die Herausforderungen bei der Cloud-Migration. Applikationen wie SAP sind allerdings unverzichtbar für den Geschäftserfolg, insbesondere ihre Performance und Sicherheit.
Applikationen bestehen nur vor dem Urteil ihrer Anwender, wenn sie performant und sicher sind
(Quelle: unsplash.com/Luis Villasmil)
Bis zum Jahr 2027 sollen laut SAP alle Business Suite 7 Kunden auf die neue S/4Hana Umgebung migrieren. In diesem Kontext und auf Basis der Datenbankvorteile von SAP Hana stellt sich für viele Anwender nun auch die Frage nach der optimalen Cloud für ihre SAP Applikationen. Gestützt wird dieser Gedanke von der konsequenten Strategie der SAP zur Integration hybrider Systemlandschaften. Mit Bekanntwerden der Entwicklung der SAP Cloud Platform auf Azure Cloudfoundry rückte die Azure Cloud als optimale, zertifizierte Plattform für SAP S/4Hana Umgebungen in die engere Auswahl für eine Migration.
Wir glauben: Applikationen bestehen nur vor dem Urteil ihrer Anwender, wenn sie performant und sicher sind. Es braucht eine gute Balance zwischen diesen beiden Eckpunkten. Daher haben sich Microsoft und F5 unter Berücksichtigung der Anforderungen an moderne SAP-Umgebungen und nach Abstimmung mit SAP auf eine Modellarchitektur für eine sichere und gleichzeitig performante SAP S/4HANA Migration verständigt.
SAP hat Voraussetzungen für sichere Migrationen definiert
Nach einem Wechsel zu S/4HANA sind fünf wesentliche Kriterien baldmöglichst von SAP-Kunden zu berücksichtigen, auch bei einer Migration ihrer Umgebung in Azure:
- Anpassen der Rollen und Berechtigungen
- Absichern der gesamten Umgebung
- Sicherstellen einer starken Sicherheitsarchitektur
- Integration von optimierenden Cloud-Applikationen
- Managen der Zugriffe und Authentifizierung von Nutzern
Herausforderungen gibt es einige – alle Services dürfen miteinander kommunizieren. Diese Kommunikation muss auch innerhalb der Cloud gewährleistet werden. Damit multiplizieren sich die Anforderungen an die Absicherung, Transparenz und Einheitlichkeit in der Architektur.
Einheitlichkeit, Transparenz und Geschwindigkeit
Ein konsistentes Sicherheitskonzept beinhaltet eine Zugriffsarchitektur, die eine Identifizierung der Nutzer sowie korrekte Rollenzuweisungen einschliesst. F5 bietet auf dem BIG-IP Proxy mit dem Service Access Policy Manager (APM) ein weltweit erprobtes Identitäten- und Zugriffsmanagement an. BIG-IP APM hilft Organisationen, ihre Sicherheitskonzepte und -policies umzusetzen, auch bei einem hybriden SAP-Zugriff in Verbindung mit Identitätsdiensten wie Azure Active Directory.
Die Vorteile dabei: Einheitlichkeit, Transparenz und Geschwindigkeit, die Unternehmen häufig bereits von ihren on-Premise Instanzen kennen. BIG-IP APM bietet Multi-Faktor Authentifizierung, Single-Sign-On und Cloud-Identity-Federation, zentrales Logging zur Compliance Sicherstellung, IPSec & SSL VPN sowie die Unterstützung von SAML und Kerberos Constrained Delegation.
Web Frontend SAP Fiori: Gefahren ausgesetzt
Durch die stark proliferierte Anwenderstruktur, durch verstärkte Home-Office-Nutzung, aber auch durch die geschäftskritischen Integrationen von Lieferanten, Kunden und Partnern sind Web-Frontends sehr verbreitet. Das erklärt auch die Beliebtheit der S/4Hana Benutzeroberfläche SAP Fiori.
SAP empfiehlt in diesem Zusammenhang den Einsatz einer Web Application Firewall, die alle Sicherheitsaspekte vereint und damit das Management vereinheitlicht und performant gestaltet. Dieser Einsatz gewährleistet die Absicherung aller Web-Frontends gegen fortschrittliche Angriffe von aussen und innen.
Überlebensgarant: Bestmögliche Absicherung
Die Reduktion der Angriffsrisiken bei gleichzeitiger Kontrolle und Einhaltung der Compliance-Richtlinien stehen heute in jedem Lastenheft. Eine Absicherung gegen Bots, Denial of Service Angriffe, die Übernahme von Nutzerkonten und andere Angriffsvektoren ist daher unabdingbar geworden. Dazu braucht es umgebungskonsistente und standardisierte Sicherheits-Policies. Klingt erstmal einleuchtend, die Realität ist jedoch oft eine andere.
Hier helfen vorkonfigurierte, hochwertige und voll integrationsfähige Application-Security-Lösungen sowie die Absicherung von Schnittstellen für z.B. Odata-basierte Zugriffe. Die Absicherung von Odata-Vorgängen, des von Microsoft definierten http-basierten Protokolls für Datenzugriffe, ist in Zusammenhang mit Funktionen zur Sicherung von APIs auch ein wichtiger Bestandteil der AdvWAF von F5.
Moderne Applikationen leben von APIs
SAP und andere moderne Applikationen bieten über APIs, Umgebungs-unabhängig, die Möglichkeit eines schnellen Austauschs von Informationen und Daten zwischen einer Vielzahl von sehr unterschiedlichen Anwendungen. Sie stellen sich damit den Anforderungen heutiger, verteilter Unternehmensstrukturen.
Der Traffic von APIs und Microservices multipliziert sich dann nochmals bei der Migration verbundener Anwendungen in die Cloud. Ein transparentes, selbst lernendes Sicherheitskonzept sowie die Möglichkeit der Vernetzung von eingesetzten Security-Systemen sind die tragenden Bauteile für mehr Sicherheit und Geschwindigkeit bei der SAP-Migration in die Azure Cloud.
Transparenz ist entscheidend
Security Information and Event Management Systeme (SIEMs) bieten heute eine zusätzliche Möglichkeit zur Optimierung der Applikationssicherheit an. Dies aber nur, wenn generierte Firewall-Daten vollständig integriert und angebunden werden können. Damit können SIEMs, wie Microsoft Azure Sentinel, ein umfassendes Bild der Absicherung liefern. F5 hat sich in den vergangenen Monaten intensiv mit dieser Integration ihrer WAF zur optimalen Absicherung von SAP S/4Hana Umgebungen auseinandergesetzt.
Neben der Bereitstellung und Integration der Daten für das SIEM, erlaubt die Integration der F5 AdvWAF nun auch den Aufbau von Security Operation and Response (SOAR) Plattformen auf Basis der Daten des SIEM. Dabei übernimmt die F5 AdvWAF auf Wunsch Anpassungen automatisch und kann zusätzlich vom eingesetzten Service Provider nachgesteuert werden. Dieser Best Practice Ansatz erlaubt es Unternehmen von den bestmöglichen Steuerungsmöglichkeiten zu profitieren, bevor ihr IT-Team selbst alle Erfahrungen machen muss.
Was ist also zu tun? Mit den Security-Services BIG-IP AdvWAF und APM haben Organisationen alle wesentlichen Elemente für eine sichere, moderne und flexible Infrastruktur in der Hand. Dabei helfen ihnen die F5 OPEX Modelle bei der budgetfreundlichen Cloud-Migration.
Interessierte bekommen auch abseits der Marketplace-Services Zugang zu den notwendigen Lizenzen und finden geeignete Dienstleister für eine Umsetzung eines solch komplexen Security-Projekts: Wenden Sie sich hierzu am besten an die Arrow ECS. Als langjähriger Partner und Value-Add IT Distributor der F5 Networks verfügt Arrow über ein breites Experten- und Service-Provider-Netzwerk für die Bereiche Application Security und Access.
Zur Person
Marcus Slawik ist seit 2013 bei F5 Networks als Senior Solutions Engineer verantwortlich für die Architektur-Planung bei Managed Service Provider & Global System Integrators.
Über F5: F5 ist ein Unternehmen für Multi-Cloud-Anwendungssicherheit und -bereitstellung. Es ermöglicht seinen Kunden – zu denen die weltweit grössten Unternehmen, Finanzinstitute, Service Provider und Regierungen gehören – aussergewöhnliche digitale Erlebnisse zu schaffen. Weitere Informationen unter f5.com, @F5 auf LinkedIn und Facebook.
Über Arrow: Arrow ECS ist ein Value-Add IT Distributor, der sich auf die Bereitstellung von Produkten und Lösungen führender Technologieanbieter für den unternehmensweiten Einsatz in den Bereichen Enterprise und Midrange Computing fokussiert hat. Arrow blickt mit F5 Networks auf eine 16-jährige Partnerschaft zurück und verfügt über ein umfangreiches und praxisorientiertes Wissen. Arrow ECS begleitet die Partner von der Pre-Sales- bis zur Post-Sales-Phase.
Für weitere Informationen wenden Sie sich bitte an Ihren Arrow- oder F5-Ansprechpartner.
Dieser Beitrag wurde von der F5 zur Verfügung gestellt und stellt die Sicht des Unternehmens dar. Computerworld übernimmt für dessen Inhalt keine Verantwortung.
Autor(in)
f
5