Ein Leitfaden für CISOs: SAP-Sicherheit in AWS und Azure

Die Migration geschäftskritischer SAP-Workloads in die Public Cloud zählt zu den größten Umbrüchen der Unternehmens-IT. Plattformen wie Amazon Web Services (AWS) und Microsoft Azure versprechen mehr Agilität, Skalierbarkeit und Innovationskraft – gleichzeitig wächst jedoch die Komplexität der Sicherheitsanforderungen.

Für CISOs und Sicherheitsverantwortliche ergibt sich daraus eine klare Aufgabe: Die Bedrohungslage in der Cloud unterscheidet sich grundlegend von klassischen Rechenzentren. Wer SAP-Systeme lediglich per „Lift and Shift“ verlagert, ohne die Sicherheitsstrategie anzupassen, setzt die wertvollsten Unternehmensressourcen erheblichen Risiken aus. Ein proaktiver Ansatz für SAP-Cloud-Sicherheit ist daher unverzichtbar, um die digitale Transformation abzusichern.

Grundlage: Das Modell der geteilten Verantwortung verstehen

Bevor SAP in einer Public Cloud bereitgestellt oder abgesichert wird, muss jedes Teammitglied das Modell der geteilten Verantwortung kennen. Es definiert die Sicherheitsaufgaben von Cloud-Anbietern wie AWS oder Azure und deren Kunden. Missverständnisse in diesem Bereich zählen zu den häufigsten Ursachen für Sicherheitsvorfälle in der Cloud.

Was regelt das Modell?

Der Anbieter ist für die Sicherheit der Cloud verantwortlich – also für den Schutz von Hardware, Software, Netzwerken und Rechenzentrumsinfrastruktur.

Der Kunde übernimmt die Sicherheit in der Cloud. Dazu gehören:

• Schutz und Klassifizierung der eigenen Daten

• Die Anwendungsschicht, einschließlich der SAP-Software

• Identitäts- und Zugriffsmanagement

• Konfiguration von Betriebssystemen und Netzwerken

• Clientseitige Datenverschlüsselung

Grafik Quelle: Onapsis

Warum das für die SAP-Sicherheit entscheidend ist

Die klare Abgrenzung der Verantwortlichkeiten ist für die Sicherheit von SAP-Systemen zentral. Weder AWS noch Azure übernehmen Aufgaben wie das Einspielen von Patches, die Verwaltung von Benutzerrechten oder den Schutz individuellen ABAP-Codes. Die Verantwortung für die Anwendungssicherheit liegt vollständig beim Kunden. Damit bleibt es Aufgabe des eigenen Teams, klassische SAP-Sicherheitsmaßnahmen wie Schwachstellenmanagement, Bedrohungserkennung und Zugriffskontrolle auch in der Cloud-Umgebung konsequent umzusetzen.

Wichtige Sicherheitsaspekte für SAP auf Microsoft Azure

Bei der Ausführung von SAP-Workloads auf Microsoft Azure können Sicherheitsteams eine Reihe leistungsstarker, integrierter Tools zum Schutz ihrer Umgebung nutzen. Der Schlüssel liegt darin, die Infrastruktursicherheit von Azure mit einem tiefgreifenden Verständnis der Anforderungen der SAP-Anwendung zu kombinieren.

Identitäts- und Zugriffsverwaltung mit Microsoft Entra ID

Einer der wichtigsten Vorteile der Verwendung von Azure ist die native Integration mit Microsoft Entra ID (ehemals Azure AD). Durch die Verbindung von SAP mit Microsoft Entra ID können Unternehmen die Identitätsverwaltung zentralisieren und die Sicherheit erheblich verbessern. Dies ermöglicht:

• Single Sign-On (SSO): Benutzer können sich mit ihren primären Unternehmensanmeldedaten bei SAP anmelden, sodass keine separaten SAP-spezifischen Passwörter erforderlich sind.
• Multi-Faktor-Authentifizierung (MFA): Sie können Unternehmensrichtlinien für MFA für den SAP-Zugriff durchsetzen und so einen wichtigen Schutz vor dem Diebstahl von Anmeldedaten bieten.

Bewährte Verfahren für die Netzwerksicherheit

Die Sicherung des Netzwerkperimeters für Ihre SAP-Systeme in Azure ist von grundlegender Bedeutung. Zu den bewährten Verfahren gehört die Verwendung von Azure Virtual Networks (VNets), um einen isolierten Netzwerkraum für Ihre SAP-Landschaft zu schaffen. Innerhalb dieses VNet sollten Sie Network Security Groups (NSGs) verwenden, die als zustandsorientierte Firewall fungieren, um den Datenverkehr zwischen Subnetzen (z. B. Trennung der Datenbank-, Anwendungs- und Präsentationsschichten) sowie zum und vom Internet streng zu kontrollieren.

Bedrohungserkennung mit Microsoft Sentinel

Für eine einheitliche Bedrohungsüberwachung ist die Integration von SAP mit Microsoft Sentinel, dem cloud-nativen SIEM von Microsoft, unerlässlich. Durch die Verwendung eines zertifizierten Konnektors können Sie wichtige SAP-Sicherheitsauditprotokolle an Sentinel weiterleiten. Auf diese Weise kann Ihr Security Operations Center (SOC) SAP-Sicherheitsereignisse mit Daten aus der zugrunde liegenden Azure-Infrastruktur korrelieren und bietet so eine zentrale Oberfläche zur Erkennung und Reaktion auf ausgefeilte Bedrohungen, die sowohl die Anwendungs- als auch die Infrastrukturebene betreffen.

Wichtige Sicherheitsaspekte für SAP auf AWS

Für Unternehmen, die ihre SAP-Workloads auf Amazon Web Services (AWS) ausführen, ist ein ähnlicher mehrschichtiger Sicherheitsansatz unerlässlich. Die Grundsätze sind zwar dieselben wie bei jedem anderen Cloud-Anbieter, die spezifischen Tools und Services sind jedoch einzigartig für das AWS-Ökosystem.

Unterscheidung zwischen AWS IAM- und SAP-Rollen

Ein wichtiges Konzept, das es zu verstehen gilt, ist die Trennung zwischen Infrastruktur- und Anwendungszugriff. AWS Identity and Access Management (IAM) wird verwendet, um zu steuern, wer auf die zugrunde liegenden AWS-Ressourcen zugreifen kann, z. B. zum Starten oder Stoppen der EC2-Instanzen, die Ihre SAP-Systeme hosten. Es steuert jedoch nicht, was ein Benutzer innerhalb der SAP-Anwendung tun kann. Der Zugriff auf Anwendungsebene wird weiterhin ausschließlich durch SAP-Rollen und -Berechtigungen verwaltet. Die Gewährung restriktiver IAM-Berechtigungen an einen Benutzer verhindert nicht, dass dieser seine Berechtigungen innerhalb der SAP-Anwendung selbst missbraucht.

Sichern Ihrer Virtual Private Cloud (VPC)

Die Netzwerkgrundlage für SAP auf AWS ist die Virtual Private Cloud (VPC), die einen logisch isolierten Bereich der Cloud bereitstellt. Um Ihre SAP-Landschaft zu sichern, müssen Sie eine Kombination aus verschiedenen Kontrollen verwenden:

• Sicherheitsgruppen: Diese fungieren als virtuelle Firewall für Ihre EC2-Instanzen und kontrollieren den ein- und ausgehenden Datenverkehr auf Instanzebene.
• Netzwerkzugriffskontrolllisten (NACLs): Diese sind eine zusätzliche Verteidigungsebene, die als Firewall für Subnetze fungiert und den ein- und ausgehenden Datenverkehr in einem oder mehreren Subnetzen kontrolliert.

Gemäß bewährten Verfahren sollten Sie Ihre SAP-Datenbank, Ihre Anwendung und Ihre Präsentationsschichten in separaten privaten Subnetzen mit strengen Regeln zur Kontrolle des Datenverkehrs zwischen ihnen platzieren.

Überwachung mit nativen AWS-Tools

AWS bietet leistungsstarke native Tools zur Überwachung der Sicherheit der Infrastruktur, die Ihre SAP-Systeme unterstützt. Zwei der wichtigsten sind:

• AWS CloudTrail: Dieser Service bietet einen vollständigen Prüfpfad aller API-Aufrufe und Benutzeraktivitäten innerhalb Ihres AWS-Kontos. Er ist für die Verfolgung von Änderungen an Ihrer Umgebung und für forensische Untersuchungen unerlässlich.
• Amazon CloudWatch: Dieser Dienst überwacht Ihre AWS-Ressourcen und -Anwendungen in Echtzeit und ermöglicht es Ihnen, Protokolle zu sammeln, Metriken zu verfolgen und Alarme für verdächtige oder anomale Aktivitäten auf Infrastruktur-Ebene festzulegen.

Wie Onapsis die SAP-Sicherheit in der Cloud verbessert

Die nativen Cloud-Sicherheitstools von AWS und Azure sind zwar für die Sicherung der zugrunde liegenden Infrastruktur unerlässlich, haben jedoch einen erheblichen blinden Fleck: die SAP-Anwendungsschicht. Diesen Tools fehlt die erforderliche Tiefe, um SAP-spezifische Schwachstellen, Bedrohungen und Compliance-Probleme zu verstehen.

Diese kritische Lücke schließt die Onapsis-Plattform. Sie bietet eine konsistente Sicherheitsebene, die unabhängig vom Cloud-Anbieter innerhalb der SAP-Anwendung funktioniert. Onapsis verbessert Ihre Cloud-Sicherheit durch:

• Umfassende Transparenz der Anwendung: Onapsis identifiziert und behebt Risiken innerhalb der SAP-Anwendung selbst, darunter Schwachstellen in benutzerdefiniertem Code, Fehlkonfigurationen und unbefugte Zugriffe – Risiken, die für Tools auf Infrastrukturebene nicht sichtbar sind.
• Gewährleistung einer einheitlichen Sicherheitslage: Sie können eine einzige, einheitliche Sicherheits- und Compliance-Richtlinie für alle Ihre SAP-Systeme durchsetzen, unabhängig davon, ob diese vor Ort, in einer privaten Cloud oder in hybriden und Multi-Cloud-Umgebungen als Teil einer sicheren Cloud-Transformation.
• Integration mit Cloud-nativen Tools: Onapsis speist wichtige, kontextreiche SAP-Sicherheitswarnungen in Cloud-SIEMs wie Azure Sentinel ein, sodass Ihr Sicherheitsteam einen wirklich einheitlichen Überblick über Bedrohungen erhält, die von der Infrastruktur bis zum Anwendungskern reichen.

Fazit: Aufbau einer resilienten Cloud-SAP-Strategie

Die Sicherung Ihrer SAP-Landschaft in AWS oder Azure erfordert einen mehrschichtigen Ansatz. Wenn Sie sich ausschließlich auf die nativen Sicherheitstools der Cloud-Plattform verlassen, bleibt die kritische SAP-Anwendungsschicht ungeschützt. Eine wirklich resiliente Cloud-Strategie integriert die Stärken der Infrastruktursicherheit des Cloud-Anbieters mit spezialisierten Lösungen, die eine umfassende Transparenz und Kontrolle über die SAP-Anwendung selbst bieten.

Letztendlich ist Cloud-Sicherheit kein einmaliges Projekt, sondern ein kontinuierlicher Prozess. Sie erfordert ein tiefes Verständnis des Modells der geteilten Verantwortung und eine kontinuierliche Zusammenarbeit zwischen Ihren SAP-, Sicherheits- und Cloud-Teams, um Ihre geschäftskritischen Assets beim Umzug in die Cloud und darüber hinaus zu schützen.

Häufig gestellte Fragen (FAQ)

Sichern AWS und Azure meine SAP-Anwendungen für mich?

Nein. Dies ist ein weit verbreiteter und gefährlicher Irrtum. Im Rahmen des Shared Responsibility Model sind AWS und Azure für die Sicherheit der zugrunde liegenden Cloud-Infrastruktur (Hardware, Einrichtungen usw.) verantwortlich, aber Sie als Kunde sind immer für die Sicherheit aller Daten verantwortlich, die Sie in die Cloud stellen. Dazu gehören die Sicherheit der SAP-Anwendung selbst, Ihrer Daten, des Benutzerzugriffs und der Konfigurationen.

Kann ich für AWS und Azure denselben Sicherheitsansatz verwenden?

Ja und nein. Die grundlegenden Sicherheitsprinzipien sind für beide Plattformen identisch: Sie müssen die Anwendungsschicht sichern, den Zugriff nach dem Prinzip der geringsten Privilegien verwalten und das Modell der geteilten Verantwortung befolgen. Die spezifischen Tools, die Sie zur Sicherung der Infrastruktur verwenden, unterscheiden sich jedoch (z. B. Azure Sentinel vs. AWS CloudTrail, Azure VNets vs. AWS VPCs). Eine erfolgreiche Strategie verwendet dieselben übergeordneten Prinzipien, passt sich jedoch an die nativen Tools der jeweiligen Cloud-Anbieter an.

Wie erhalte ich Einblick in Bedrohungen auf der SAP-Anwendungsebene, wenn ich mich in der Cloud befinde?

Sie benötigen eine spezialisierte Lösung, die sich mit SAP-Anwendungssicherheit auskennt. Native Tools von Cloud-Anbietern eignen sich hervorragend für die Überwachung der Infrastruktur, bieten jedoch keinen Einblick in die SAP-Anwendungsebene. Um Bedrohungen wie Schwachstellen in benutzerdefiniertem Code oder den Missbrauch von SAP-Berechtigungen zu erkennen, benötigen Sie eine Plattform mit Onapsis SAP-Produkten , die speziell für die Überwachung und den Schutz Ihrer geschäftskritischen Anwendungen entwickelt wurde.

Was ist der größte Sicherheitsfehler, den Unternehmen bei der Migration von SAP in die Cloud machen?

Der größte Fehler ist das Ignorieren oder Missverstehen des Shared Responsibility Model. Unternehmen gehen oft davon aus, dass der Cloud-Anbieter mehr für die Sicherheit tut, als er tatsächlich tut, was dazu führt, dass sie wichtige Sicherheitsaufgaben auf Anwendungsebene vernachlässigen. Dies kann dazu führen, dass eine sichere Infrastruktur ein hochgradig anfälliges und exponiertes SAP-System betreibt.

Das passt auch dazu

---

Bild/Quelle: https://depositphotos.com/de/home.html

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky