SAP RISE를 사용하는 Azure ID 및 보안 서비스

이 문서에서는 SAP RISE 워크로드와 Azure ID 및 보안 서비스의 통합에 대해 자세히 설명합니다. 또한 일부 Azure 모니터링 서비스의 사용은 SAP RISE 환경용으로 설명됩니다.

SAP용 Single Sign-On

SSO(Single Sign-On)는 다양한 SAP 환경용으로 구성됩니다. ECS/RISE에서 실행되는 SAP 워크로드 사용 시 구현 단계는 고유하게 실행되는 SAP 시스템과 다르지 않습니다. Microsoft Entra ID 기반 SSO와의 통합 단계는 일반적인 ECS/RISE 관리 워크로드에서 사용할 수 있습니다.

• 자습서: SAP NetWeaver와 Microsoft Entra SSO(Single Sign-On) 통합
• 자습서: SAP Fiori와 Microsoft Entra SSO(Single Sign-On) 통합
• 자습서: SAP HANA와 Microsoft Entra 통합

SAP SSO 보안 로그인 클라이언트를 사용하는 ECS/RISE 관리형 SAP 환경에서 Windows 도메인의 AD(Active Directory)에 대한 SSO를 사용하려면 최종 사용자 디바이스에 AD를 통합해야 합니다. SAP RISE를 사용하면 모든 Windows 시스템이 고객의 Active Directory 도메인과 통합되지 않습니다. 도메인 보안 토큰을 클라이언트 디바이스에서 읽고 이 토큰이 SAP 시스템과 안전하게 교환되기 때문에 AD/Kerberos를 사용하는 SSO에는 도메인 통합이 필요하지 않습니다. RISE 관리 시스템에서 일부 사항을 구성해야 할 수 있으므로, AD 기반 SSO를 통합하거나 SAP SSO 보안 로그인 클라이언트 이외의 타사 제품을 사용하도록 변경해야 하는 경우 SAP에 문의하세요.

SAP RISE가 있는 Copilot for Security

Copilot for Security는 보안 및 IT 전문가가 사이버 위협에 대응하고, 신호를 처리하고, AI의 속도와 규모로 위험 노출을 평가할 수 있도록 하는 생성형 AI 보안 제품입니다. Microsoft Defender XDR, Microsoft Sentinel 및 Intune에는 자체 포털 및 포함된 환경이 있습니다.

SAP RISE/ECS를 포함하여 Defender XDR 및 Sentinel에서 지원하는 모든 데이터 원본에서 사용할 수 있습니다. 다음은 독립 실행형 환경을 보여 줍니다.

또한 Copilot for Security 환경은 Defender XDR 포털에 포함되어 있습니다. AI 생성 요약 옆에는 SAP에 대한 암호 재설정과 같은 권장 사항 및 수정 작업이 기본적으로 제공됩니다. 여기에서 자동 SAP 공격 중단에 대해 자세히 알아보세요.

SAP RISE를 사용하는 Microsoft Sentinel

SAP 애플리케이션용 SAP RISE 인증 Microsoft Sentinel 솔루션을 사용하면 의심스러운 활동을 모니터링, 감지 및 대응할 수 있습니다. Microsoft Sentinel은 Azure, 기타 클라우드 또는 온-프레미스 인프라에서 호스트되는 SAP 시스템에 대한 정교한 사이버 공격으로부터 중요한 데이터를 보호합니다. SAP BTP용 Microsoft Sentinel Solution은 적용 범위를 SAP BTP(Business Technology Platform)로 확장합니다.

이 솔루션을 사용하면 SAP RISE/ECS 및 SAP 비즈니스 논리 레이어에서 사용자 활동을 파악하고 Sentinel의 기본 제공 콘텐츠를 적용할 수 있습니다.

• 단일 콘솔을 사용하여 Azure 및 기타 클라우드, SAP Azure 네이티브/온-프레미스 자산의 SAP RISE/ECS에 있는 SAP 인스턴스를 비롯한 모든 엔터프라이즈 자산 모니터링
• 위협을 탐지하고 이에 자동으로 대응: 기본 제공되는 탐지 기능을 사용해 권한 상승, 무단 변경, 중요한 트랜잭션, 데이터 반출 등을 비롯한 의심스러운 활동 탐지
• SAP 활동을 다른 신호와 서로 연결: 엔드포인트, Microsoft Entra 데이터 등에서 상호 연결하여 SAP 위협을 보다 정확하게 탐지
• 필요에 따라 사용자 지정 - 중요한 트랜잭션과 기타 비즈니스 위험을 모니터링하기 위한 자체 탐지 기능 빌드
• 기본 제공되는 통합 문서로 데이터 시각화

SAP RISE/ECS의 경우 Microsoft Sentinel 솔루션을 고객의 Azure 구독에 배포해야 합니다. Sentinel 솔루션의 모든 부분은 SAP가 아닌 고객이 관리합니다. SAP RISE/ECS에서 관리하는 SAP 환경에 도달하려면 고객의 vnet에서 개인 네트워크를 연결해야 합니다. 일반적으로 이 연결 작업은 설정된 vnet 피어링이나 이 문서에 설명된 대안을 통해 수행됩니다.

솔루션을 사용하도록 설정하기 위해서는 권한 있는 RFC 사용자만 필요할 뿐 SAP 시스템에 아무것도 설치할 필요가 없습니다. 솔루션에 포함된 컨테이너 기반 SAP 데이터 수집 에이전트는 VM 또는 AKS/Kubernetes 환경에 설치할 수 있습니다. 수집기 에이전트는 SAP 서비스 사용자를 이용해 표준 RFC 호출을 이용하는 RFC 인터페이스를 통해 SAP 환경에서 애플리케이션 로그 데이터를 사용합니다.

• SAP RISE에서 지원되는 인증 방법: SAP 사용자 이름과 암호 또는 X509/SNC 인증서
• 현재 SAP RISE/ECS 환경에서는 RFC 기반 연결만 가능

Sentinel의 SOAR 기능을 사용한 자동 응답

SOAR(보안, 오케스트레이션, 자동화, 대응 기능)을 위해 사전 빌드된 플레이북을 사용하여 위협에 신속하게 대응하세요. 흔히 사용되는 첫 번째 시나리오는 Microsoft Teams의 개입 옵션으로 SAP 사용자를 차단하는 것입니다. 통합 패턴은 공격 표면 감소와 관련하여 SAP BTP(Business Technology Platform) 또는 Microsoft Entra ID를 포괄하는 인시던트 유형 및 대상 서비스에 적용될 수 있습니다.

Microsoft Sentinel 및 SAP용 SOAR에 대한 자세한 내용은 중요한 SAP 보안 신호에 대해 Microsoft Sentinel을 사용하여 0부터 최소 수준까지 보안 범위 확보 블로그 시리즈를 참조하세요.

배포 가이드를 포함하여 Microsoft Sentinel 및 SAP에 대한 자세한 내용은 Sentinel 제품 설명서를 참조하세요.

SAP RISE를 사용하는 Azure Monitoring for SAP

SAP용 Azure 모니터링 솔루션은 SAP 시스템을 모니터링하기 위한 Azure 네이티브 솔루션입니다. SAP NetWeaver, 데이터베이스 및 운영 체제 세부 정보에 대한 데이터를 수집하도록 지원하여 Azure Monitor 플랫폼 모니터링 기능을 확장합니다.

SAP RISE/ECS는 SAP 환경을 위한 완전 관리형 서비스이므로 Azure Monitoring for SAP는 이러한 관리형 환경에 활용되지 않습니다. SAP RISE/ECS는 SAP용 Azure 모니터링 솔루션과의 통합을 지원하지 않습니다. SAP의 자체 모니터링 및 보고는 SAP와 관련된 서비스 설명에 정의된 대로 사용되고 고객에게 제공됩니다.

Azure Center for SAP Solutions

SAP용 Azure 모니터링 솔루션과 마찬가지로 SAP RISE/ECS는 어떤 기능에서도 SAP용 Azure 센터 솔루션과의 통합을 지원하지 않습니다. 모든 SAP RISE 워크로드는 고객이 Azure 리소스에 액세스하지 않아도 SAP에 의해 배포되고 SAP의 Azure 테넌트 및 구독에서 실행됩니다.

다음 단계

다음 설명서를 확인하세요.

• SAP RISE와 Azure 통합 개요
• SAP RISE를 사용하는 Azure의 네트워크 연결 옵션
• SAP RISE를 사용하는 Azure 서비스 통합
• SAP® 애플리케이션용 Microsoft Sentinel 솔루션 배포
• SAP® BTP용 Microsoft Sentinel 솔루션 배포