Prácticas de seguridad y cumplimiento en una migración de SAP on AWS

Migración segura SAP on AWS: mejores prácticas para el cumplimiento y la recuperación ante desastres

SAP se está trasladando cada vez más a la nube, siendo Amazon Web Services (AWS) una opción popular para alojar entornos SAP. Las ventajas de la migración SAP on AWS son evidentes en términos de escalabilidad, agilidad y rentabilidad. Sin embargo, las principales preocupaciones a la hora de realizar una migración son la seguridad y el cumplimiento o conformidad. En este post, profundizaremos en las mejores prácticas para asegurar su entorno SAP durante la migración a AWS.  

La seguridad debe ser inherente al diseño 

El principio de «security by design» o seguridad inherente al diseño enfatiza que las políticas y consideraciones de seguridad deben ser una parte integral de la estrategia de migración desde el principio. Este concepto implica diseñar todo el entorno de la nube –incluidos los buckets de almacenamiento, las redes, las comunicaciones, las claves compartidas y las claves privadas– con una estrategia de seguridad bien definida en mente. 

Para asegurarse de que la estrategia de seguridad se ajusta a sus requisitos, es crucial implicar desde el principio al director de Seguridad (CSO) o al responsable de Seguridad de Datos (DSO). Sus puntos de vista son muy valiosos para la gestión de claves, la monitorización, la auditabilidad y la observabilidad del entorno, por ejemplo, mediante la creación de alertas, junto con el uso de AWS CloudTrail con fines de auditoría. 

Al implicar a los expertos en seguridad desde el principio, puede establecer una base sólida para la seguridad de los datos, garantizando que todos los aspectos de su migración SAP on AWS cumplan con las políticas de seguridad y con los requisitos de conformidad de su organización. 

Identifique sus normativas de cumplimiento 

Los sistemas SAP a menudo manejan datos confidenciales y el cumplimiento de las normativas es obligatorio. Identificar los principios y las normas que se aplican a su organización es esencial en el contexto de la migración SAP on AWS. Esto incluye consideraciones como la residencia de datos debido a cuestiones de seguridad nacional y normativas de la UE como GDPR. 

La migración a un hiperescalador como AWS puede cambiar la forma de pensar sobre la elaboración de informes durante la migración. AWS proporciona varios certificados de cumplimiento. Ofrece toda una serie de herramientas para ayudar con el cumplimiento de las regulaciones y tiene identificado los requerimientos por país en el AWS Compliance Center. Estas incluyen aplicaciones como AWS Artifact –que proporciona acceso bajo demanda a la documentación de conformidad–; Amazon CloudWatch o CloudTrail, entre otras. Es importante entender cómo se alinean con los requisitos específicos de su organización para seleccionar las herramientas más adecuadas y utilizarlas de manera eficiente. 

La conformidad no es solo una casilla que marcar, sino un aspecto fundamental para garantizar la integridad y seguridad de sus datos. Su incumplimiento puede acarrear graves consecuencias, incluidas multas y acciones legales. 

Fortalezca la seguridad de la red para la migración SAP on AWS 

El primer paso para garantizar la seguridad de su entorno SAP durante la migración SAP on AWS es definir la arquitectura de red. Empiece por preguntarse si el sistema necesita publicarse en Internet. En la mayoría de los casos, SAP es utilizado internamente por las empresas y no es accesible públicamente. Esto es crucial durante la migración para evitar posibles vectores de ataque exterior. 

Al realizar la migración SAP on AWS, es fundamental evitar exponerlo a Internet para evitar accesos no autorizados y violaciones de datos. Asegúrese de identificar quién utiliza la plataforma y sus ubicaciones para definir la arquitectura de red en consecuencia. Asimismo, considere la posibilidad de implementar configuraciones de tránsito seguras para la comunicación y el control del acceso externo. El uso de plantillas y configuraciones predefinidas es una práctica recomendada al migrar su SAP a AWS para garantizar la coherencia y reducir el riesgo de configuraciones erróneas que puedan dar lugar a vulnerabilidades de seguridad. 

La seguridad de la red, especialmente en el contexto de la migración SAP on AWS, no consiste únicamente en crear barreras. Se trata de comprender el flujo de datos, el acceso de los usuarios y las amenazas potenciales. Trazar un diseño de red que se ajuste a sus requisitos empresariales es crucial para mantener un entorno SAP seguro. 

Seguridad en el entorno SAP en una migración de SAP a AWS

Domine el control de acceso 

La gestión eficaz del acceso es vital para la seguridad de SAP durante la migración SAP on AWS. Una gestión adecuada del acceso garantiza que solo las personas y los sistemas autorizados puedan interactuar con sus datos y cargas de trabajo SAP. Para garantizar la seguridad y el cumplimiento de su entorno SAP, emplee prácticas recomendadas como el uso de AWS Identity and Access Management (IAM) para la gestión de cuentas de usuario, la implementación de la autenticación multifactor (MFA) y la consideración de AWS Single Sign-On (SSO) para un acceso optimizado. También es aconsejable utilizar SAP Identity Management y seguir las directrices de gestión de usuarios de SAP, implementando el control de acceso basado en roles (RBAC), la comunicación segura con cifrado y establecer procesos claros de auditoría y monitorización. Las revisiones periódicas del acceso, la documentación, la formación y un plan de respuesta a incidentes son fundamentales. 

Es preferible evitar el uso de aplicaciones de terceros cuando no sea estrictamente necesario, y utilizar plantillas proporcionadas por AWS para que las imágenes reforzadas sean seguras, especialmente cuando se trata de la migración SAP on AWS, así como la implementación de una monitorización adicional de las transacciones para detectar cualquier actividad inusual. 

Las imágenes reforzadas desempeñan un papel importante en la gestión del acceso durante la migración de SAP a AWS. Personalice las imágenes para incluir sólo los componentes necesarios, reduciendo la superficie de ataque. No se trata solo de controlar quién tiene acceso, sino también de controlar a qué tienen acceso. 

Recuperación ante desastres 

La recuperación ante desastres es esencial para garantizar la continuidad del negocio en caso de fallos del sistema, especialmente en el contexto de la migración SAP on AWS. Para planificar eficazmente la recuperación ante desastres, las organizaciones deben definir objetivos de recuperación claros. Dos métricas esenciales son el Objetivo de Tiempo de Recuperación (RTO) y el Objetivo de Punto de Recuperación (RPO). RTO representa el tiempo de inactividad máximo aceptable para su entorno SAP, mientras que RPO significa la pérdida de datos máxima permitida. Estos objetivos guían sus estrategias de recuperación ante desastres y ayudan a determinar el nivel adecuado de continuidad y protección de datos necesario. 

AWS proporciona una gama de soluciones de recuperación ante desastres, estando cada una de ellas adaptada a diferentes objetivos de recuperación. Estas soluciones permiten diferentes opciones de recuperación: Backup and Restore, Pilot Light, Warm Standby y Multisite Deployments, esta última le permite distribuir sus cargas de trabajo SAP en varias zonas de disponibilidad o regiones de AWS para una alta disponibilidad y recuperación ante desastres. 

Al planificar la recuperación ante desastres (RD) durante la migración SAP on AWS, las organizaciones deben comenzar con una evaluación exhaustiva de los riesgos y un análisis del impacto empresarial para comprender los posibles riesgos y consecuencias. Tanto SAP como AWS proporcionan arquitecturas de referencia y guías para la configuración de la recuperación ante desastres, que deben consultarse para garantizar la alineación.  Deben definirse objetivos de recuperación claros para orientar las estrategias de recuperación ante desastres. La automatización es crucial para reducir la intervención manual y minimizar el tiempo de recuperación. La replicación de datos garantiza la coherencia, mientras que las pruebas y la supervisión periódicas son esenciales para validar los planes de RD. Una documentación adecuada, la consideración de los costes, el cumplimiento de la normativa y el mantenimiento continuo son componentes clave para el éxito de una estrategia de RD y la protección de los datos. 

Cifrado  

El cifrado es una piedra angular de la seguridad durante la migración SAP on AWS y debería formar parte de su fase de planificación y preparación. Asegúrese de que se implementa a todos los niveles, protegiendo los datos confidenciales de posibles infracciones durante la migración SAP on AWS. 

Es fundamental definir su estrategia de cifrado antes de la migración. Cifre los datos en reposo y en tránsito. Los datos en reposo son aquellos guardados en dispositivos de almacenamiento físicos o digitales, como discos duros, bases de datos o almacenamiento en la nube. Estos datos suelen estar inmóviles y no se transfieren activamente. 

El éxito de la migración depende de la aplicación meticulosa de medidas de cifrado específicas de SAP antes de iniciar el proceso de transferencia. Esto implica cifrar la base de datos de SAP S/4HANA y establecer la seguridad de la capa de transporte (TLS) en varios componentes de SAP, como servidores de aplicaciones, servidores de bases de datos, servidores de integración continua (CI), WebDispatchers, comunicaciones de red seguras (SNC) a través de RFC, TLS para aplicaciones Fiori, acceso web y servicios de Odata. 

En el contexto de AWS, se utilizan servicios como AWS Key Management Service (KMS) para administrar las claves de cifrado, y Amazon S3 ofrece opciones de cifrado del lado del servidor para cifrar automáticamente los datos almacenados en los buckets de S3. Esto garantiza que, aunque una persona no autorizada acceda al almacenamiento físico o a la infraestructura subyacente, los datos sigan siendo inaccesibles sin las claves de cifrado. 

Por otro lado, los datos en tránsito son aquellos que se están moviendo activamente de una ubicación a otra a través de una red, como cuando los datos se transmiten entre el dispositivo de un usuario y un servidor web, o entre dos servidores dentro de una red. En AWS, Secure Sockets Layer (SSL) y Transport Layer Security (TLS) son protocolos de cifrado utilizados habitualmente para proteger los datos en tránsito. 

La seguridad durante la migración queda garantizada gracias a las mejores prácticas 

La migración SAP on AWS ofrece numerosas ventajas, pero también plantea importantes desafíos de seguridad y compliance. La clave de una migración satisfactoria reside en adherirse a las prácticas recomendadas para los certificados de seguridad y cumplimiento desde el principio durante la migración SAP on AWS. 

Al diseñar su entorno SAP teniendo en cuenta la seguridad, implicando a su CSO o DSO, identificando las normativas de cumplimiento, implementando una sólida seguridad de red, gestionando adecuadamente el acceso, planificando una estrategia de recuperación ante desastres, e implementando alertas y estrategias de cifrado, puede garantizar la seguridad de sus datos y mantener la conformidad con los requisitos normativos. 

La experiencia de Syntax en el campo de la migración ha quedado demostrada por sus numerosos casos de éxito. Nuestros expertos están abiertos a cualquier pregunta relacionada con una migración SAP on AWS y están más que preparados para acompañarle en la definición de su estrategia de seguridad antes y durante la migración. 

Contacta con
nuestros expertos
Joaquim Alfaro Camps
Global Director Cloud
Advisory Services

Escríbenos

Whitepaper

Post relacionados

Fábrica Digital desafios principales

5 retos de una fábrica digital basada en la nube

Tendencias 2024 en la fabricación digital

Estos temas determinarán la fabricación digital en 2024

Las cinco tendencias en la nube para 2024

Cinco tendencias cloud de cara a 2024