SAP S/4HANA: Sichere Azure Cloud-Migration

Bis zum Jahr 2027 sollen laut SAP alle Business Suite 7 Kunden auf die neue S/4Hana Umgebung migrieren. In diesem Kontext und auf Basis der Datenbankvorteile von SAP Hana stellt sich für viele Anwender nun auch die Frage nach der optimalen Cloud für ihre SAP Applikationen. Gestützt wird dieser Gedanke von der konsequenten Strategie der SAP zur Integration hybrider Systemlandschaften. Mit Bekanntwerden der Entwicklung der SAP Cloud Platform auf Azure Cloudfoundry rückte die Azure Cloud als optimale, zertifizierte Plattform für SAP S/4Hana Umgebungen in die engere Auswahl für eine Migration.

Wir glauben: Applikationen bestehen nur vor dem Urteil ihrer Anwender, wenn sie performant und sicher sind. Es braucht eine gute Balance zwischen diesen beiden Eckpunkten. Daher haben sich Microsoft und F5 unter Berücksichtigung der Anforderungen an moderne SAP-Umgebungen und nach Abstimmung mit SAP auf eine Modellarchitektur für eine sichere und gleichzeitig performante SAP S/4HANA Migration verständigt.

Nach einem Wechsel zu S/4HANA sind fünf wesentliche Kriterien baldmöglichst von SAP-Kunden zu berücksichtigen, auch bei einer Migration ihrer Umgebung in Azure:

Herausforderungen gibt es einige – alle Services dürfen miteinander kommunizieren. Diese Kommunikation muss auch innerhalb der Cloud gewährleistet werden. Damit multiplizieren sich die Anforderungen an die Absicherung, Transparenz und Einheitlichkeit in der Architektur.

Ein konsistentes Sicherheitskonzept beinhaltet eine Zugriffsarchitektur, die eine Identifizierung der Nutzer sowie korrekte Rollen­zuweisungen einschliesst. F5 bietet auf dem BIG-IP Proxy mit dem Service Access Policy Manager (APM) ein weltweit erprobtes Identitäten- und Zugriffsmanagement an. BIG-IP APM hilft Organisationen, ihre Sicherheitskonzepte und -policies umzusetzen, auch bei einem hybriden SAP-Zugriff in Verbindung mit Identitätsdiensten wie Azure Active Directory.

Die Vorteile dabei: Einheitlichkeit, Transparenz und Geschwindigkeit, die Unternehmen häufig bereits von ihren on-Premise Instanzen kennen. BIG-IP APM bietet Multi-Faktor Authentifizierung, Single-Sign-On und Cloud-Identity-Federation, zentrales Logging zur Compliance Sicherstellung, IPSec & SSL VPN sowie die Unterstützung von SAML und Kerberos Constrained Delegation.

Durch die stark proliferierte Anwenderstruktur, durch verstärkte Home-Office-Nutzung, aber auch durch die geschäftskritischen Integrationen von Lieferanten, Kunden und Partnern sind Web-Frontends sehr verbreitet. Das erklärt auch die Beliebtheit der S/4Hana Benutzeroberfläche SAP Fiori.

SAP empfiehlt in diesem Zusammenhang den Einsatz einer Web Application Firewall, die alle Sicherheitsaspekte vereint und damit das Management vereinheitlicht und performant gestaltet. Dieser Einsatz gewährleistet die Absicherung aller Web-Frontends gegen fortschrittliche Angriffe von aussen und innen.

Die Reduktion der Angriffsrisiken bei gleichzeitiger Kontrolle und Einhaltung der Compliance-Richtlinien stehen heute in jedem Lastenheft. Eine Absicherung gegen Bots, Denial of Service Angriffe, die Übernahme von Nutzerkonten und andere Angriffsvektoren ist daher unabdingbar geworden. Dazu braucht es umgebungskonsistente und standardisierte Sicherheits-Policies. Klingt erstmal einleuchtend, die Realität ist jedoch oft eine andere.

Hier helfen vorkonfigurierte, hochwertige und voll integrationsfähige Application-Security-Lösungen sowie die Absicherung von Schnittstellen für z.B. Odata-basierte Zugriffe. Die Absicherung von Odata-Vorgängen, des von Microsoft definierten http-basierten Protokolls für Datenzugriffe, ist in Zusammenhang mit Funktionen zur Sicherung von APIs auch ein wichtiger Bestandteil der AdvWAF von F5.

SAP und andere moderne Applikationen bieten über APIs, Umgebungs-unabhängig, die Möglichkeit eines schnellen Austauschs von Informationen und Daten zwischen einer Vielzahl von sehr unterschiedlichen Anwendungen. Sie stellen sich damit den Anforderungen heutiger, verteilter Unternehmensstrukturen.

Der Traffic von APIs und Microservices multipliziert sich dann nochmals bei der Migration verbundener Anwendungen in die Cloud. Ein transparentes, selbst lernendes Sicherheitskonzept sowie die Möglichkeit der Vernetzung von eingesetzten Security-Systemen sind die tragenden Bauteile für mehr Sicherheit und Geschwindigkeit bei der SAP-Migration in die Azure Cloud.

Security Information and Event Management Systeme (SIEMs) bieten heute eine zusätzliche Möglichkeit zur Optimierung der Applikationssicherheit an. Dies aber nur, wenn generierte Firewall-Daten vollständig integriert und angebunden werden können. Damit können SIEMs, wie Microsoft Azure Sentinel, ein umfassendes Bild der Absicherung liefern. F5 hat sich in den vergangenen Monaten intensiv mit dieser Integration ihrer WAF zur optimalen Absicherung von SAP S/4Hana Umgebungen auseinandergesetzt.

Neben der Bereitstellung und Integration der Daten für das SIEM, erlaubt die Integration der F5 AdvWAF nun auch den Aufbau von Security Operation and Response (SOAR) Plattformen auf Basis der Daten des SIEM. Dabei übernimmt die F5 AdvWAF auf Wunsch Anpassungen automatisch und kann zusätzlich vom eingesetzten Service Provider nachgesteuert werden. Dieser Best Practice Ansatz erlaubt es Unternehmen von den bestmöglichen Steuerungsmöglichkeiten zu profitieren, bevor ihr IT-Team selbst alle Erfahrungen machen muss.

Was ist also zu tun? Mit den Security-Services BIG-IP AdvWAF und APM haben Organisationen alle wesentlichen Elemente für eine sichere, moderne und flexible Infrastruktur in der Hand. Dabei helfen ihnen die F5 OPEX Modelle bei der budgetfreundlichen Cloud-Migration.

Interessierte bekommen auch abseits der Marketplace-Services Zugang zu den notwendigen Lizenzen und finden geeignete Dienstleister für eine Umsetzung eines solch komplexen Security-Projekts: Wenden Sie sich hierzu am besten an die Arrow ECS. Als langjähriger Partner und Value-Add IT Distributor der F5 Networks verfügt Arrow über ein breites Experten- und Service-Provider-Netzwerk für die Bereiche Application Security und Access.