ベストプラクティス 8.1 – 保管中のデータを暗号化する - SAP Lens

ベストプラクティス 8.1 – 保管中のデータを暗号化する

保管中のデータとは、デジタル的に保存されたデータを指します。このデータが承認されたユーザーにのみ表示され、ストレージまたはデータベースへのアクセスがアプリケーションとは無関係に侵害されるときには保護状態を保つように、暗号化を使用します。

提案 8.1.1 – 暗号化が適用されるレベルを定義する

一般に、暗号化をデプロイするスタックが多いほど、データの安全性は高まります。このセキュリティ強化には、デプロイと管理の複雑さの増加が伴います。AWS は、サービス内で使用可能な保管中の暗号化オプションを使用することをお勧めします。必要なときには、[セキュリティ] で定義されているオペレーティングシステムまたはデータベースの追加の暗号化を検討してください。 ベストプラクティス 5.3 - SAP ワークロードの特定のセキュリティコントロールの必要性を評価する.

提案 8.1.2 – SAP サービスおよびソリューション向けの AWS 暗号化オプションを理解する

保管中のデータについて SAP が依存するコアの AWS サービスは、Amazon EC2 (AMI プラス EBS ボリューム)、Amazon FSx for Windows File Server、または共有ファイルシステム向けの Amazon EFS とバックアップまたはその他のオブジェクトストアユースケース向けの Amazon S3 です。

これらのサービスの保存されたデータは、AWS または AWS KMS からの顧客管理キーを使用して、保管中に暗号化できます。

オペレーティングシステムの暗号化オプションには、BitLocker、DM-crypt、および SuSE Remote Disk があります。

以下のリンクを参考に、データベースの暗号化オプションに関する情報を見つけてください。

データベース Guidance
SAP HANA SAP ドキュメント: Server-Side Data Encryption Services (サーバー側のデータ暗号化サービス)
SAP ASE SAP ドキュメント: SAP ASE 暗号化の概要
IBM Db2 IBM ドキュメント: Db2 暗号化の概要
Oracle SAP Note: 2591575 - Oracle Transparent Data Encryption (TDE) と SAP NetWeaver の使用 [SAP ポータルへのアクセス権が必要]
Microsoft SQL Server SAP Note: 1380493 - SQL Server Transparent Data Encryption (TDE) [SAP ポータルへのアクセス権が必要]
SAP MaxDB SAP ドキュメント: SAP MaxDB データベース管理 - 暗号化

提案 8.1.3 – 暗号化の方法とキー管理ストアを定義する

一般に、キー管理はエンタープライズレベルで定義され、これにより、SAP ワークロードでの使用が許されるキー管理オプションが決まります。AWS KMS は、AWS サービスの暗号化キーの管理を簡素化するセキュアで回復性の高いサービスです。独自のハードウェアセキュリティモジュール (HSM) を管理する必要がある場合は、AWS CloudHSM を使用できます。

マスターキーを保護するメカニズムも検討してください。キーのアクセスの制限、ローテーションの管理、および復元力の確保をどのように行いますか?

HANA の保管中のデータの暗号化のルートキーは、ファイルシステム内のインスタンスセキュアストア (インスタンス SSFS) または SAP Data Custodian SaaS Solution でのみ安全に保存できることに注意してください。インスタンスストアを使用する場合、マスターキーは AWS Secrets Manager にローテーションポリシーとともに保存できます。