SAP Cloud Platform Security
Die SAP Cloud Platform (SCP) ist eine von SAP entwickelte Platform-as-a-Service (PaaS) zur Erstellung neuer Anwendungen oder zur Erweiterung bestehender Anwendungen in einer sicheren und vom Unternehmen verwalteten Cloud-Computing-Umgebung.
Die SAP Cloud Platform integriert Daten und Geschäftsprozesse und umfasst das In-Memory-Datenbankmanagementsystem SAP HANA. Die SAP Cloud Platform unterstützt die Nutzung von Cloud-basierten Technologien und erweitert die On-Premise Software. Die Cloud-basierte Plattform erfordert Sicherheitsmaßnahmen sowohl vom Plattformanbieter (SAP) als auch vom Kunden (dem Benutzer der Plattform).
Die SAP Cloud Platform bietet Werkzeuge und eine Sicherheitsarchitektur, um die Sicherheit und den Datenschutz der Cloud und des Benutzers (z.B. seine persönlichen Daten) zu gewährleisten.
Inhaltsverzeichnis
On-Premise Security vs. Cloud Security
Die Sicherung von SAP-Systemen ist ein unverzichtbarer Aspekt des Geschäftsbetriebs. Wenn Ihre SAP-Systeme nicht sicher konfiguriert sind, riskieren Sie mögliche Angriffe, die den Systembetrieb massiv beeinträchtigen oder zum Stillstand bringen können. Zudem besteht das Risiko, dass Ihre Daten gestohlen oder gegen Lösegeld festgehalten werden. Daher ist es wichtig, die Cybersicherheitsaspekte eines Umzugs von On-Premise- zu Cloud-Systemen zu berücksichtigen.
Der Hauptunterschied zwischen der Sicherheit von On-Premise und der Sicherheit in der Cloud besteht darin, dass in der On-Premise-Welt die Server und Daten physisch auf Ihrem Eigentum gespeichert werden. Das bedeutet, dass Sie die volle Kontrolle, aber auch die volle Verantwortung haben.
In der Cloud-Welt hostet ein Drittanbieter (z. B. SAP) Ihre Server und Daten und ist für die Sicherung der Plattform verantwortlich. Diese Verlagerung der Verantwortung erfordert ein Umdenken auf Kundenseite, denn Sie müssen dem Cloud-Anbieter vertrauen und Sicherheitskontrollen einführen, die der Cloud-Anbieter einhalten muss.
Rechenzentren und physische Sicherheit
Die SAP Cloud Platform läuft in SAP-eigenen Rechenzentren sowie bei IaaS-Cloud-Providern (Infrastructure-as-a-Service), die weltweit stationiert sind. Diese Beziehungen bilden die Grundlage für das schnelle Wachstum der globalen Reichweite von SAP, da das Unternehmen die bestehende Infrastruktur von vertrauenswürdigen Partnern nutzen kann, anstatt eine eigene Infrastruktur von Grund auf neu zu schaffen.
Die Rechenzentren erfüllen die Stufe 3 des SAP-Bewertungssystems für Rechenzentren. SAP-Rechenzentren unterliegen hohen Industriesicherheitsstandards und sind nach ISO 27001 zertifiziert. ISO 27001 ist der bekannteste Standard für ein Informationssicherheitsmanagementsystem (ISMS).
Die Rechenzentren erfüllen außerdem eine Reihe weiterer Sicherheitsstandards:
- SAP überträgt keine Kundendaten außerhalb des vordefinierten Bereichs und gibt keine Informationen an unberechtigte Dritte weiter.
- Der Colocation-Anbieter hat keinen administrativen Zugriff auf die SAP-Cloud-Server.
- Die Leistungen des Cloud-Providers konzentrieren sich lediglich auf die Bereitstellung von Räumlichkeiten, Kühlung und Energie.
- Alle SAP-Rechenzentren werden rund um die Uhr per Video und Sicherheitspersonal überwacht.
SAP verfügt weltweit über 60+ Rechenzentren in 16+ Ländern mit 30+ Standorten aus verschiedenen regionalen Rechenzentren von großen Infrastructure-as-a-Service (IaaS)-Cloud-Anbietern. Die Kunden von SAP können die Region der Datenspeicherung frei wählen (z.B. ist ein reiner EU-Betrieb möglich), so dass die Kunden von lokalen Vorschriften profitieren können (z.B. von den strengen deutschen sowie EU-Vorschriften). Außerdem beschleunigt eine niedrige Latenzzeit den Zugriff.
Säulen der Sicherheitsarchitektur
Viele Unternehmen sind sich der Bedrohung, die von Schwachstellen in SAP-Anwendungen ausgeht, nicht bewusst. Aufgrund vieler sich verändernde Bestandteile und des Umfangs der betroffenen Bereiche und Prozesse – einschließlich Anwendungen, Infrastruktur und Betrieb – ist es entscheidend, dass SAP eine grundsolide Sicherheitsstrategie verfolgt, die sich auf die drei „Säulen“ der Sicherheit konzentriert, wie unten beschrieben.
- Sichere Produkte: Sicherheit, die in alle Anwendungen integriert ist, um den ultimativen Schutz von Inhalten und Transaktionen zu gewährleisten.
- Sicherer Betrieb: Durchgängig sicherer Cloud-Betrieb zum Schutz von Kundendaten und Geschäftsabläufen.
- Sicheres Unternehmen: Sicherheitsbewusste Mitarbeiter, durchgängige physische Sicherheit der SAP-Anlagen und ein umfassendes Business-Continuity-Framework.
Diese drei Säulen bilden die Grundlage für sicheres SAP.
Darüber hinaus zielt die Sicherheitsarchitektur der Plattform darauf ab, Kundendaten und Kundensysteme von den Diensten, die sie nutzen, zu isolieren.
Dies wird durch Sandboxing der Anwendung und des Netzwerks erreicht:
- Anwendungs-Sandboxing: Beschränkung und Verwaltung der Funktionalität einer Anwendung nur innerhalb des Containers, in dem die Anwendung läuft
- Netzwerk-Sandboxing: Beschränken und verwalten des Zugriffs der Anwendung auf andere Systemlandschaften.
Ohne Sandboxing könnten eine Anwendung oder andere Systemprozesse uneingeschränkten Zugriff auf alle Kundendaten und Systemressourcen auf der Plattform erhalten. Diese Trennung ist vor allem deshalb erforderlich, weil die SAP Cloud Platform die Ausführung von kundenspezifischem Code ermöglicht.
SAP Cloud Platform Security Services
Die SAP Cloud Platform bietet drei Sicherheitsservices zur Authentifizierung und Bereitstellung von Benutzern und Privilegien über die SAP-Cloud-Anwendungen hinweg sowie zu deren Verwaltung aus einer Governance-Perspektive.
SAP Cloud Platform Identity Authentication Service (IAS)
Mit dem Identity Authentication Service (IAS) der SAP Cloud Platform können Unternehmen ihren Mitarbeitern, Kunden und Partnern einen Cloud-basierten Zugriff auf die benötigten Unternehmensprozesse, Anwendungen und Daten bereitstellen. Authentifizierungsmechanismen wie Single-Sign-On-Funktionalität, On-Premise-Integration und Self-Service-Optionen sind integrierte Funktionen für SAP-Cloud-Anwendungen.
OAuth ist ein offenes Sicherheitsprotokoll, das den Benutzernamen und das Kennwort einer Person oder eines Services durch ein Token ersetzt. Folglich bieten OAuth-Clients einen sicheren delegierten Zugriff auf Serverressourcen im Namen eines Ressourcenbesitzers. Die SAP Cloud Platform unterstützt das OAuth 2.0-Protokoll als eine Methode zum Schutz von Anwendungs-APIs und Ressourcen.
Erfahren Sie hier mehr über IAS.
SAP Cloud Platform Identity Provisioning Service (IPS)
SAP Cloud Platform Identity Provisioning (IPS) automatisiert die Prozesse des Identitätslebenszyklus. Der Service ermöglicht die Bereitstellung von Identitäten und ihren Berechtigungen für verschiedene Cloud- und On-Premise-Geschäftsanwendungen. Die Software für die Identitätsbereitstellung verbessert die IT-Sicherheit und senkt die Compliance-Kosten. Die Verwaltung von Benutzerkonten und Berechtigungen kann automatisiert werden. Vorhandene Identitätsspeicher, wie das unternehmensbasierte Active Directory, können zur Unterstützung heterogener Landschaften genutzt werden.
Neben der Bereitstellung von Cloud-Benutzern On-Premise oder von Drittanbietern für SAP-Cloud-Anwendungen können Kunden während des Bereitstellungsprozesses auch die entsprechenden Benutzerberechtigungen für jede SAP-Cloud-Anwendung bereitstellen. Dies geschieht durch die Definition der Zugriffsrichtlinien vor dem Bereitstellungsprozess und durch die Zuordnung der Benutzergruppen zu den Benutzerrollen in der Cloud. Darüber hinaus unterstützt die SAP Cloud Platform die dynamische Rollenzuweisung.
SAP Cloud Identity Access Governance (IAG)
SAP Cloud Identity Access Governance Service bietet eine Reihe von Funktionen für das Identitäts- und Zugriffsmanagement, darunter (unter anderem) Self-Service-Zugriffsanfragen für On-Premise- und Cloud-Anwendungen, Zugriffsrisikoanalyse und Rollendesign. Jeder der Services, die mit SAP Cloud IAG geliefert werden, kann unabhängig oder in Kombination miteinander arbeiten.
Erfahren Sie hier mehr über IAG.
FAQs
The SAP Cloud Platform is not based on an SAP NetWeaver ABAP. However, with the SAP Cloud Platform ABAP environment, you can develop ABAP code in the cloud.
SAP Cloud Platform relies on open standards like Java, JavaScript, Node.js, and Cloud Foundry for integration options.
The SAP Cloud Platform is a platform-as-a-service (PaaS) offering from SAP that cannot be hosted elsewhere. You can, however, host your on-premise SAP S/4HANA system on Microsoft Azure and connect to SCP.
The responsibility in SCP is shared between the service provider of the cloud (SAP) and the customer’s SAP security team. That’s why it’s important that contracts are put in place that clearly define the responsibilities and liabilities of all parties involved.
Identity management can be achieved by using the IPS as your identity provider.
Fazit
Die SAP Cloud Platform (SCP) ist ein Platform-as-a-Service Angebot von SAP, dass Dienstleistungen für die Entwicklung, Integration und Bereitstellung moderner Cloud-Anwendungen sowie für die kundenspezifische Erweiterung von Cloud- und On-Premise-Landschaften bietet.
Die Verantwortlichkeiten hinsichtlich der Sicherung der Cloud-Plattform, wird zwischen dem Anbieter (SAP) und den Kunden aufgeteilt. Während sich SAP um die Sicherheit der Plattform kümmert, sind die Kunden weiterhin für die Bereitstellung und Betreuung der Nutzer der Cloud-Lösungen verantwortlich.
Dazu zählen insbesondere die sichere Konfiguration der beteiligten Infrastrukturkomponenten, der Sicherheitseinstellungen im SCP Cockpit und die sichere Konfiguration der SAP Cloud Connector Server und Destinationen zu den exponierten Systemen. Mit den Security Services der SAP Cloud Platform können Sie Ihre Endbenutzer für die Cloud-Services und Anwendungen von SAP authentifizieren und bereitstellen. Mit dem Service IAG kann eine Access Governance-Struktur, ähnlich wie sie SAP Access Control (GRC) On-Premise bietet, erreicht werden.
Erfahren Sie mehr über SAP Cloud Security:
