ベストプラクティス 8.2 – 送信中のデータを暗号化する
送信中のデータの暗号化を使用すると、データがあるポイントから別のポイントへ移動しているときの傍受、アクセス、または改ざんがより困難になります。セキュアなプロトコルとネットワークレベルの暗号化が設定されていて、潜在的な脅威を最小化し、要件に応じた保護レベルを提供していることを確認します。
Well-Architected Framework [セキュリティ]: 伝送中のデータの保護
提案 8.2.1 – SAP およびデータベースプロトコルに基づくアプリケーショントラフィックを暗号化する
SAP プロトコルを使用するアプリケーショントラフィックの場合 (SAPGUI Dialog、RFC、および CPIC) は、SAP SNC を使用してトランスポートレイヤーセキュリティを適用します。
-
SAP ドキュメント: SAP システムにおける SNC で保護された通信パス
データベーストラフィックについては、可能な場合、クライアントとデータベース間のセキュアな接続を使用します。
| データベース | Guidance |
|---|---|
| SAP HANA |
SAP ドキュメント:
SAP HANA: データ通信の保護 |
| SAP ASE |
SAP ドキュメント:
SAP ASE における SSL |
| IBM Db2 |
SAP Note:
2385640 - DB6: database connection using SSL encryption (DB6: SSL 暗号化を使用したデータベース接続) |
| Oracle |
SAP Note:
973450 - Oracle Database network encryption and data integrity (Oracle データベースネットワークの暗号化とデータの整合性) |
| Microsoft SQL Server |
SAP Note:
1570930 - SQL Server network encryption with SAP (SAP による SQL Server ネットワークの暗号化) |
| SAP MaxDB |
SAP ドキュメント:
MaxDB ネットワークと通信 |
提案 8.2.2 – インターネットプロトコルに基づく SAP アプリケーショントラフィックを暗号化する
インターネットプロトコル (HTTP、P4 (RMI)、LDAP) に基づくアプリケーショントラフィックについては、SSL/TLS を使用して、トランスポートレイヤーセキュリティを適用します。
-
SAP ドキュメント: トランスポートレイヤーセキュリティ
提案 8.2.3 – ファイル転送またはメッセージ転送プロトコルに基づくデータ交換を暗号化する
ファイルベースの転送の場合、AWS は、SFTP または FTPS 経由でのセキュアなファイル交換のために、AWS Transfer Family を提供します。AWS Transfer Family は Amazon S3 と Amazon EFS 管のデータの転送をサポートします。
-
AWS ドキュメント: AWS Transfer Family
メッセージレベルのデータ整合性チェックを使用すると、データが送信中に改ざんされていないことを確認できます。SAP によってサポートされている 1 つ以上のメッセージレベルセキュリティスタンダードを使用して、メッセージ内のデータに署名し、その整合性を確認することを検討してください。
-
SAP ドキュメント: SAP ABAP ウェブサービスメッセージレベルセキュリティ
-
SAP ドキュメント: SAP NetWeaver プロセス統合セキュリティガイド
-
SAP ドキュメント: SAP クラウド統合メッセージレベルセキュリティ
IDOC ベースのメッセージについては、SNC を使用して、ALE によって使用される RFC 接続を保護します。
-
SAP ドキュメント: IDocs での機密データの取り扱い
提案 8.2.4 – 管理アクセスを暗号化する
SAP の管理には、Windows と SSH ベースの両方のツールを使用するのが一般的です。Bastian Hosts などのセキュリティコントロールに加えて、このトラフィックの暗号化が可能かどうか検討します。
または、AWS Systems Manager セッションマネージャー は、暗号化に TLS を使用して AWS 管理コンソール経由でオペレーティングシステムにアクセスするセキュアなメカニズムを提供します。
-
AWS ドキュメント: Amazon EC2 Windows ガイド - 送信中の暗号化
-
AWS ドキュメント: Amazon EC2 Linux ガイド - 送信中の暗号化
-
AWS ドキュメント: AWS Systems Manager でのデータ保護 – データ暗号化
提案 8.2.5 – 送信中の暗号化を可能にする AWS サービスの機能を評価する
アプリケーションベースの暗号化に加えて、多くの AWS サービスは送信中の暗号化機能を備えています。各サービスについて、会社のスタンダード、実装の取り組み、および関連する利点を評価します。以下は、SAP ワークロードに関連する例です。
-
AWS ドキュメント: Amazon S3 - 送信中の暗号化 - デフォルトで有効であり、Amazon S3 へのバックアップに推奨。
-
AWS ドキュメント: Amazon EFS - 送信中の暗号化 / Amazon FSx - 共有ファイルシステムの場合に必要なことがあります。
-
AWS ドキュメント: Elastic Load Balancing - この機能はすべてのタイプのロードバランサーで使用できるわけではないため、暗号化要件と、エンドツーエンドな TLS パススルーが必要かどうかをレビューします。
-
AWS ドキュメント: Amazon EC2 - 送信中の暗号化 - より新しい世代のインスタンスタイプのみが、この機能を備えています。
提案 8.2.6 – ネットワークレベルの暗号化を実装する
SAP のお客様は、一般に、Direct Connect または Direct Connect と VPN の組み合わせのいずれかを使用して、AWS 上のリソースへの信頼できる接続性を提供しています。
AWS Direct Connect は、送信中のトラフィックを暗号化しません。暗号化が必要な場合は、例えば、VPN over Direct Connect を使用して、トランスポートレベルの暗号化を実装してください。
AWS は、ネットワークチャネルの暗号化に使用できるサイト間 VPN を提供します。AWS Marketplace から、または Bring-Your-Own-License で Open VPN などのサードパーティー VPN ソリューションをデプロイすることもできます。
-
AWS ドキュメント: AWS マネージド VPN
-
AWS ドキュメント: AWS Direct Connect + VPN
-
AWS ドキュメント: ソフトウェアサイト間 VPN
