Práctica recomendada 8.2: cifre los datos en tránsito
El uso del cifrado de datos en tránsito hace que sea más difícil interceptar, acceder o manipular sus datos mientras se mueven de un punto a otro. Asegúrese de que existan protocolos seguros y cifrado a nivel de red para minimizar amenazas potenciales y brindar un nivel de protección acorde con sus requisitos.
Well-Architected Framework [seguridad]: Protección de los datos en tránsito
Sugerencia 8.2.1: cifre el tráfico de aplicaciones de acuerdo con los protocolos de SAP y de base de datos
En el caso del tráfico de aplicaciones que utiliza protocolos de SAP (SAPGUI Dialog, RFC, y CPIC), utilice SAP SNC para garantizar la seguridad de la capa de transporte.
En el caso del tráfico de la base de datos, utilice una conexión segura entre el cliente y la base de datos cuando esté disponible.
| Base de datos | Guía |
|---|---|
| SAP HANA |
Documentación de SAP:
SAP HANA: Securing Data Communication (SAP HANA: protección de la comunicación de datos) |
| SAP ASE |
Documentación de SAP:
SSL in SAP ASE (SSL en SAP ASE) |
| IBM Db2 |
Notas de SAP:
2385640 - DB6: database connection using SSL encryption (DB6: conexión de base de datos mediante cifrado SSL) |
| Oracle |
Notas de SAP:
973450 - Oracle Database network encryption and data integrity (Cifrado de red e integridad de datos de la base de datos de Oracle) |
| Microsoft SQL Server |
Notas de SAP:
1570930 - SQL Server network encryption with SAP (Cifrado de red de SQL Server con SAP) |
| SAP MaxDB |
Documentación de SAP:
MaxDB Network and Communication (Comunicación y red de MaxDB) |
Sugerencia 8.2.2: cifre el tráfico de aplicaciones SAP según los protocolos de Internet
Para el tráfico de aplicaciones basadas en protocolos de Internet (HTTP, P4 (RMI), LDAP), utilice SSL/TLS para garantizar la seguridad de la capa de transporte (TLS).
-
Documentación de SAP: Transport Layer Security (Seguridad de la capa de transporte)
Sugerencia 8.2.3: cifre el intercambio de datos basado en protocolos de transferencia de archivos o transferencia de mensajes
En lo que respecta a las transferencias de archivos, AWS pone a su disposición el servicio AWS Transfer Family para el intercambio seguro de archivos a través de SFTP o FTPS. AWS Transfer Family admite la transferencia de datos hacia y desde Amazon S3 y Amazon EFS.
-
Documentación de AWS: AWS Transfer Family
El uso de comprobaciones de integridad de datos a nivel de mensaje ayuda a garantizar que los datos no se alteren mientras se transfieren. Considere utilizar uno o más de los estándares de seguridad de mensajes compatibles con SAP para firmar y verificar la integridad de los datos en los mensajes.
-
Documentación de SAP: SAP ABAP Web Services Message-Level Security (Seguridad a nivel de mensaje de SAP ABAP Web Services)
-
Documentación de SAP: SAP NetWeaver Process Integration Security Guide (Guía de seguridad de integración de procesos de SAP NetWeaver)
-
Documentación de SAP: SAP Cloud Integration Message-Level Security (Seguridad a nivel de mensaje de SAP Cloud Integration)
En el caso de los mensajes basados en IDOC, utilice SNC para proteger la conexión RFC que utiliza ALE.
-
Documentación de SAP: Handling Sensitive Data in IDocs (Manipulación de información confidencial en IDocs)
Sugerencia 8.2.4: cifre el acceso administrativo
Es frecuente utilizar herramientas basadas en Windows y SSH para la administración de SAP. Además de emplear controles de seguridad como hosts bastión, considere, en la medida de lo posible, cifrar este tráfico.
Como alternativa, AWS Systems Manager Session Manager brinda un mecanismo seguro para acceder al sistema operativo a través de AWS Management Console utilizando TLS para el cifrado.
-
Documentación de AWS: Guía de Windows de Amazon EC2: cifrado en tránsito
-
Documentación de AWS: Guía de Linux para Amazon EC2: cifrado en tránsito
-
Documentación de AWS: Protección de datos en AWS Systems Manager: cifrado de datos
Sugerencia 8.2.5: evalúe las características de los servicios de AWS que permiten el cifrado en tránsito
Además del cifrado basado en aplicaciones, muchos servicios de AWS brindan capacidades de cifrado en tránsito. Evalúe sus estándares corporativos, el esfuerzo de implementación y los beneficios asociados para cada servicio. Los siguientes son algunos ejemplos que son relevantes para las cargas de trabajo de SAP.
-
Documentación de AWS: Simple Storage Service (Amazon S3): cifrado en tránsito - Activado de forma predeterminada y recomendado para copias de seguridad de Simple Storage Service (Amazon S3).
-
Documentación de AWS: Amazon EFS: cifrado en tránsito / Amazon FSx - Puede ser necesario para los sistemas de archivos compartidos.
-
Documentación de AWS: Elastic Load Balancing - Revise sus requisitos de cifrado y si se requiere TLS de extremo a extremo con transferencia, ya que esta característica no esté disponible para todos los tipos de equilibradores de carga.
-
Documentación de AWS: Amazon EC2: cifrado en tránsito - Solo tipos de instancias de generaciones posteriores tienen esta característica.
Sugerencia 8.2.6: implemente cifrado a nivel de red
Los clientes de SAP normalmente utilizarán tanto Direct Connect o una combinación de Direct Connect y VPN para brindar conectividad confiable para sus recursos en AWS.
AWS Direct Connect no cifra su tráfico en tránsito. Si se requiere cifrado, se debe implementar el cifrado de nivel de transporte, por ejemplo, utilizando una VPN para Direct Connect.
AWS brinda una VPN de sitio a sitio que se puede utilizar para el cifrado de canales de red. También puede elegir implementar soluciones de VPN de terceros como OpenVPN, que podrá encontrar en AWS Marketplace, o traer su propia licencia.
-
Documentación de AWS: AWS Managed VPN (VPN administrada por AWS)
-
Documentación de AWS: AWS Direct Connect + VPN
-
Documentación de AWS: Software Site-to-Site VPN (Software de VPN de sitio a sitio)
