SAP 安全解决方案

• SAP 系统安全现状
• 阿里云安全责任共担
• 阿里云安全架构
• SAP 系统网络安全规划
  • 网络隔离与规划
  • 安全策略
  • VPC 间互连
• SAP 系统安全架构
• 阿里云安全产品
  • 账户安全
  • 主机安全
  • 应用安全
  • 网络安全
  • 数据安全
  • 安全运营
  • 业务安全

本文档着重介绍对于部署在阿里云的 SAP 应用安全解决方案，通过阿里云丰富的云安全产品保障客户 SAP 系统平稳运行，降低 SAP 系统的安全风险，使客户更专注于其核心业务。

SAP 系统安全现状

根据 Onapsis 的调查报告，全世界超过25万企业因 SAP 系统中存在的一系列安全漏洞而受到影响，可能导致严重的企业数据泄露。SAP 是世界上最受欢迎的企业应用软件企业和解决方案提供商，为85%以上的全球500强企业和190个国家的282,000+家客户提供解决方案。

漏洞原因
最近在对 SAP 解决方案提供商进行的一项研究显示，超过95%的企业 SAP 存在严重的安全问题，这些问题将它们置于网络攻击风险之中并可能导致严重的数据泄露。影响包括98%的100个最有价值的品牌在内，全世界超过250000个 SAP 业务客户都因 SAP 系统中的一系列漏洞而暴露在网络攻击之下。

Onapsis 首席执行官 Mariano Nunez 说：
“最令人惊讶的是，因为 SAP 操作团队和 IT 安全团队之间的责任差距，大多数公司的 SAP 网络安全都面临着威胁。事实上，应用的大多数补丁都与安全无关、发布过迟或者引入了进一步的操作风险。”

该研究还报告说，在2014年 SAP 发布了391个安全补丁，而它们中的50%以上都被评定为高风险漏洞。

攻击方式及影响范围

针对 SAP 应用程序的主要网络攻击(也就是系统弱点)分为以下几类：

• 核心网络：执行远程功能的模块。
• 数据仓库：为了获取或修改 SAP 数据库中的信息，利用 SAP RFC网关中的漏洞执行管理员权限指令。
• 门户网站攻击：利用漏洞创建J2EE后门账户，以访问 SAP 门户和其他内部系统。

报告中提供了针对SAP系统最常见的三种网络攻击的细节信息，这些攻击向量使得黑客可以入侵SAP系统并能够访问公司数据的应用程序。经过专家研究确认，网络攻击将会严重影响以下关键业务进程：

• 在 SAP 系统之间使用 Pivoting，造成客户信息和信用卡信息泄漏。
• 客户和供应商门户攻击。
• 通过SAP私有协议对数据仓库发起攻击。

根据 Nunez 所说，SAP HANA 应该对新增加的450%的安全补丁负责：
“这一趋势不仅仅是持续的，而是随着 SAP HANA 更加恶化，因为 SAP HANA 导致新的安全补丁增加了450%。因为 SAP HANA 位于 SAP 生态系统的中心，所以存储在 SAP 平台的数据现在必须同时在云端和前端进行保护。”

阿里云安全责任共担

基于阿里云的 SAP 客户应用，其安全责任由双方共同承担：阿里云确保云服务平台的安全性，客户负责基于阿里云服务构建的应用系统的安全。

阿里云负责基础设施(包括跨地域、多可用区部署的数据中心，以及阿里巴巴骨干传输网络)、物理设备(包括计算、存储和网络设备)、⻜天分布式云操作系统及之上的各种云服务产品的安全控制、管理和运营，从而为客户提供高可用和高安全的云服务平台。

阿里云基于阿里巴巴集团多年攻防技术积累，为客户提供云盾安全服务，保护客户的应用系统。客户负责以安全的方式配置和使用云服务器(ECS)、数据库(RDS)实例及其他云产品，基于这些云产品以安全可控的方式构建自己的应用；客户可选择使用云盾安全服务或者阿里云安全生态里的第三方安全厂商的安全产品为其应用系统提供安全防护。

安全责任共担模式之下，阿里云提供并保障基础设施的安全，能够让用户降低 IaaS 层的安全性的顾虑，安心使用阿里云 IaaS 服务，更专注于核心业务发展。

阿里云安全架构

阿里云提供了共 11 个不同层面的安全架构保障，其中包括物理安全，硬件安全，虚拟化安全，云产品安全等 4 个云平台层面的安全架构保障；以及账户安全，主机安全，应用安全，网络安全，数据安全，安全运营，业务安全等 7 个云用户层面的安全架构保障。

本文在介绍 SAP 整体安全架构时，会简要介绍各个架构层面中的关键特性，同时会覆盖多种阿里云产品，包括云盾安全产品。

SAP 系统网络安全规划

网络隔离与规划

阿里云 SAP 的解决方案中，专有网络 VPC（Virtual Private Cloud）是阿里云推荐使用的网络类型，做为企业独有的的云上专有网络，专有网络之间逻辑上彻底隔离。如果在一个地域的多个 SAP 业务系统需要通过 VPC 进行严格隔离，比如生产环境和测试环境，那么也需要使用多个 VPC。VPC 是企业用户上云第一个考虑的产品，主要是因为：

• 隔离的网络环境
  VPC 基于隧道技术，实现数据链路层的隔离，为每个租户提供一张独立、隔离的安全网络。不同专有网络之间内部网络完全隔离，只能通过对外映射的 IP（弹性公网 IP 和 NAT IP）互连。

• 可控的网络配置
  您可以完全掌控自己的虚拟网络，例如选择自己的 IP 地址范围、配置路由表和网关等，从而实现安全而轻松地资源访问和应用程序访问。此外，您也可以通过专线或 VPN 等连接方式将您的专有网络与传统数据中心相连，形成一个按需定制的网络环境，实现应用的平滑迁移上云和对数据中心的扩展。

DMZ 区：介于内网（可信任区）和外网（不可信区）之间的一个中间公共访问区域（专有网络），该区域一般可以被外网用户所访问，承载公网用户以及 SAP 支持人员对业务系统的访问，在向外界提供在线服务的同时，阻止外部用户直接访问内网，以确保内部网络环境的安全。

运维管理区：DMZ 区的内部分区，部署阿里云的运维跳板机，是系统云运维人员管理其它区域云主机及系统的中转区域。

核心应用区：部署企业核心应用，如 SAP 和 非 SAP 应用，供企业内部用户接入和访问，安全级别最高，高于 DMZ 区。可按照企业 SAP 应用的安全规划，划分开发区、测试区、预生产区和生产区等。

灾备区：部署企业灾备环境，如同城灾备和异地灾备，保障系统的数据安全。通常通过网络复制技术，来实现数据库和应用级别的数据复制。

网络加速区：部署 CND 加速、全球加速实例等，提升企业应用的访问速度，满足企业的全球访问需求。

安全策略

通过以上安全策略，运维路径是：

• 拨入 VPN；
• 登录 G1（跳板机或堡垒机）；
• 登录 G2（Web Server）和 G3（Business Server），堡垒机对所有 ECS 进行操作审计。

VPC 间互连

您可以在不同的地域的 VPC 内部署 SAP 应用，构建多地域服务网络，实现就近提供服务降低网络时延并相互备份提高整个系统的可靠性。
阿里云高速通道和 VPN 网关都可以实现跨地域或同地域 VPC 互连。

• 高速通道
  高速通道支持同地或跨地域，同账号或跨账号的 VPC 之间的内网互通。您可以在两个 VPC 的路由器上分别创建路由器接口，基于骨干网络来搭建高速通道，轻松实现两个 VPC 之间安全可靠，方便快捷的通信。详情请参见跨地域 VPC 互通和跨账号 VPC 互通。

• VPN 网关
  VPN 网关是一款基于 Internet，通过加密通道将企业数据中心、企业办公网络、或 Internet 终端和 VPC 安全可靠连接起来的服务。您可以通过 VPN 网关实现跨地域、跨账号 VPC 互通。您需要分别为互连的 VPC 创建两个 VPN 网关和用户网关，然后在 VPN 网关和用户网关间建立 IPsec 加密隧道进行私网通信。

  

SAP 系统安全架构

在 SAP 应用的基础安全体系中，基于标准的 C/S 架构的 SAP 应用，无互联网或 Internet 接入需求。阿里云推荐部署安骑士、态势感知和堡垒机，对于 SAP 核心应用的数据库，如 SAP HANA、Oracle、DB2、Sybase等，建议部署数据库审计服务产品，保障您的数据库应用安全。

基于无互联网接入的 SAP 安全体系，从边界安全、服务器安全和安全审计3个维度构建 SAP 的安全体系，保证 SAP 应用的稳定运行。

当您部署了基于 B/S 架构的 SAP 应用，或部署了多种访问类型的 SAP 应用。基于 B/S 或混合架构的 SAP 安全体系，在 C/S 架构的安全体系下，阿里云推荐增加网络漏洞扫描，Web 应用防火墙和安全管家等阿里云安全产品。

除此之外，阿里云还提供了多种的安全产品，从不同的维度保障您的应用安全，可参加章节阿里云安全产品。

阿里云安全产品

账户安全

阿里云提供多种安全机制来帮助客户保护账户安全以防止未授权的用户操作。这些安全机制包括云账户登录及 MFA 管理、创建子用户、集中管理子用户权限、数据传输加密、子用户操作审计。客户可以使用这些机制来保护其云账户安全。

主机安全

入侵检测和漏洞管理，阿里云用户可以通过在主机上安装轻量级软件安骑士，实现与云端安全中心的联动，获取入侵检测、漏洞管理的安全能力。

镜像加固，阿里云保持对阿里云公共镜像操作系统漏洞以及三方软件漏洞的实时监测，以确保所有阿里云公共镜像高危漏洞在第一时间得到修复，阿里云公共镜像默认进行主机最佳安全实践配置，得到全面的安全保障。

自动宕机迁移，云服务器部署在宿主机(承载云服务器的物理服务器)上，宿主机可能因性能异常或者硬件原因导致故障，当检测到云服务器所在的宿主机发生故障时，系统会启动保护性迁移，把云服务器迁移到正常的宿主机上，恢复实例正常运行，保障应用的高可用性。

应用安全

Web 应用防火墙(Web Application Firewall, WAF)，基于云安全大数据能力实现，通过防御 SQL 注入、XSS 跨站脚本、常⻅ Web 服务器插件漏洞、木⻢上传、非授权核心资源访问等 OWASP 常⻅攻击，过滤海量恶意访问，避免网站资产数据泄露，保障网站的安全与可用性。

代码安全，在云产品安全生命周期(SPLC)中，阿里云的安全专家在各个开发节点中都会严格审核和评估代码的安全性，从而保障阿里云提供给用户的产品的代码安全质量。

数据库审计服务，是一款专业、主动、实时监控数据库安全的审计产品。数据库审计服务将数据库监控、审计技术与公共云环境相结合，支持对阿里云平台中的 RDS云数据库、ECS自建数据库（包括 SAP HANA）进行审计，针对数据库 SQL 注入、风险操作等数据库风险行为进行记录与告警，形成对核心数据的安全防护，为您的云端数据库提供完善的安全诊断、维护、管理功能。

网络安全

网络隔离，阿里云建议对生产环境网络与非生产环境网络，以及 SAP 应用网络与非 SAP 应用网络，进行了安全隔离，各子网络之间不能直接访问任何服务器和网络设备。

VPN 网关(Virtual Pirvate Network Gateway)，是一款基于 Internet，通过加密通道将企业数据中心，企业办公网络，阿里云专有网络(VPC)安全可靠连接起来的服务。

专有网络(Virtual Private Cloud)，可以帮助用户基于阿里云构建出一个隔离的网络环境，并可以自定义 IP 地址范围、网段、路由表和网关等；此外，也可以通过专线/VPN 等连接方式实现云上 VPC 与传统 IDC 的互联，构建混合云业务。

分布式防火墙，安全组是阿里云提供的分布式虚拟化防火墙，具备状态检测和包过滤功能。使用安全组可设置单台或多台云服务器的网络访问控制，它是重要的网络安全隔离手段，用于在云端划分网络安全域。

DDoS 防御，阿里云使用自主研发的 DDoS 防护系统保护所有数据中心，提供 DDoS 攻击自动检测、调度和清洗功能，可以在 5 秒钟内完成攻击发现、流量牵引和流量清洗全部动作，保证云平台网络的稳定性。

数据安全

数据安全体系，阿里云数据安全体系从数据安全生命周期角度出发，采取管理和技术两方面的手段，进行全面、系统的建设。通过对数据生命周期(数据生产、数据存储、数据使用、数据传输、数据传播、数据销毁)各环节进行数据安全管理管控，实现数据安全目标。

全栈加密，阿里云对于数据安全提供了全栈的加密保护能力，其中包括从应用程序敏感数据加密，RDS 数据库透明加密，块存储数据加密，对象存储系统加密，硬件加密模块和网络数据传输加密。

密钥管理，阿里云提供的密钥管理服务(Key Management Service，KMS)是一款安全易用的管理类服务。用户无需花费大量成本来保护密钥的保密性、完整性和可用性。

安全运营

态势感知，利用大数据技术，从攻击者的角度，有效捕捉高级攻击者使用的 0day 漏洞攻击、新型病毒攻击事件、和正在发生的安全攻击行为有效的展示，帮助云上租户实现云上业务安全可视和可感知。

操作审计，阿里云 ActionTrail 为客户提供统一的云资源操作安全日志管理，记录账户下的用户登录及资源访问操作，包括操作人、操作时间、源 IP 地址、资源对象、操作名称及操作状态。

应急响应，阿里云组建了专⻔的安全应急团队来应对云平台上可能的安全威胁，并对异常事件积极的进行响应和处理。

安全众测，阿里云建有先知平台，提供私密的安全众测服务。先知可以帮助企业全面发现业务漏洞和⻛险信息。

业务安全

业务安全服务，是基于阿里大数据⻛控能力，通过海量⻛险数据和机器学习模型，解决账号注册、认证、交易、运营等关键业务环节存在的各种⻛险问题，保障企业业务健康发展。