Práctica recomendada 8.1: cifre los datos en reposo - SAP Lens

Práctica recomendada 8.1: cifre los datos en reposo

Los datos en reposo se refieren a cualquier dato almacenado digitalmente. Utilizamos el cifrado para garantizar que solo los usuarios autorizados puedan ver estos datos y para que permanezcan protegidos cuando el acceso al almacenamiento o a la base de datos se vea comprometido independientemente de la aplicación.

Sugerencia 8.1.1: defina en qué niveles se aplicará el cifrado

En general, cuanto más arriba en la pila implemente su cifrado, más seguros estarán sus datos. Este aumento de seguridad va acompañado de una complejidad adicional para la implementación y supervisión. AWS recomienda utilizar las opciones de cifrado en reposo disponibles dentro de sus servicios. Considere implementar un cifrado adicional del sistema operativo o de la base de datos cuando sea necesario, como se define en [seguridad]: Práctica recomendada 5.3: evalúe la necesidad de aplicar controles de seguridad específicos para sus cargas de trabajo de SAP.

Sugerencia 8.1.2: comprenda las opciones de cifrado de AWS para los servicios y las soluciones de SAP

Los servicios fundamentales de AWS que SAP utiliza para los datos en reposo son Amazon EC2 (AMI y los volúmenes de EBS), Amazon FSx for Windows File Server o Amazon EFS para sistemas de archivos compartidos y Simple Storage Service (Amazon S3) para copias de seguridad u otros casos de uso del almacén de objetos.

Los datos almacenados en estos servicios se pueden cifrar en reposo mediante AWS o claves administradas por el cliente desde AWS KMS.

Las opciones de cifrado del sistema operativo incluyen BitLocker, DM-crypt y SuSE Remote Disk.

En los siguientes enlaces, podrá encontrar información sobre distintas opciones de cifrado de su base de datos:

Base de datos Guía
SAP HANA Documentación de SAP: Server-Side Data Encryption Services (Servicios de cifrado de datos del lado del servidor)
SAP ASE Documentación de SAP: SAP ASE Overview of Encryption (Información general de SAP ASE sobre el cifrado)
IBM Db2 Documentación de IBM: Db2 Encryption Overview (Información general del cifrado de Db2)
Oracle Notas de SAP: 2591575 - Using Oracle Transparent Data Encryption (TDE) with SAP NetWeaver (Uso del cifrado de datos transparente (TDE) de Oracle con SAP NetWeaver) [Se necesita acceso al portal de SAP]
Microsoft SQL Server Notas de SAP: 1380493 - SQL Server Transparent Data Encryption (TDE) (Cifrado de datos transparente (TDE) de SQL Server) [Se necesita acceso al portal de SAP]
SAP MaxDB Documentación de SAP: SAP MaxDB Database Administration - Encryption (Administración de base de datos de SAP MaxDB: cifrado)

Sugerencia 8.1.3: defina métodos de cifrado y almacenes de administración de claves

Generalmente, la administración de claves se define a nivel empresarial y, de esta forma, se determinará qué opciones de administración de claves se pueden utilizar con sus cargas de trabajo de SAP. AWS KMS es un servicio resiliente y seguro para simplificar la administración de claves de cifrado para los servicios de AWS. Si necesita administrar sus propios módulos de seguridad del hardware (HSM), puede utilizar AWS CloudHSM.

Considere también mecanismos para proteger las claves maestras. ¿Cómo restringe el acceso, administra la rotación y garantiza la capacidad de recuperación de las claves?

Debe estar al tanto de que las claves raíz de cifrado de datos en reposo de HANA solo se pueden almacenar de forma segura en el almacén seguro de la instancia dentro del sistema de archivos (Instancia SSFS) o dentro de la solución de SaaS SAP Data Custodian. Si utiliza el almacén de instancias, la clave maestra podría almacenarse en AWS Secrets Manager con una política de rotación.