高安全

特性定义

为了保障业务系统正常运转，提升安全维护效率，特别是要管理分布式的系统环境时，需要充分利用华为云全栈的安全服务，针对SAP业务系统进一步增强安全控制，提高网络以及SAP系统的安全性，保障各种业务应用的可靠运行。

• SAP系统安全网络接入
  • 所有SAP系统在云上都在一个VPC 中（专属网络），所有系统IP 都为内网地址，屏蔽其他租户访问。
  • Access server内部安装HANA Studio/NAT/SAP Router，安装在公有子网，绑定弹性IP，SAP工程师可以通过该server访问处于私有子网的SAP系统做技术支持。
• SAP系统网络隔离与访问控制

  各区域采用相应的安全策略(使用安全组、网络ACL实现)，限制区域间以及外网的访问，策略的设置建议遵从“默认失败”、“最小化”原则：针对特定的访问源，仅开放业务必须的[IP]:[PORT]。

• SAP系统安全边界能力

  根据业务特点，由于生产环境需对公网提供服务，同时也需要与其它IDC进行互联，需建立与企业内网(IDC)互联的VPN通道，同时需要设置云上与云下以及云上与互联网之间的访问控制策略。

  针对DMZ区、内网应用区、管理区，由于能够被外部访问，建议采取相应的边界防护措施。

• SAP系统主机安全
  • 与公网有交互的云服务器建议参考华为云主机防暴力破解解决方案进行相应的加固。主要涉及系统加固，以及主机安全产品(HIDS/AV等)的应用。
  • 为了增加业务关键云主机的可靠性，建议(云服务器创建阶段)将同类的关键节点关联到一个云服务器组，将云主机尽量分散到不同的物理主机上(反亲和策略)，提高业务可靠性。比如ELB的后端主机、SAP DB云主机等，可以设置相应的云服务器组。
• SAP系统安全维护通道
  • 提供SAP Support安全维护通道
  • 提供华为维护人员安全维护通道

详情请参见SAP安全白皮书。

客户价值

避免遭受大流量DDoS攻击、病毒、黑客等攻击后导致服务不可用，确保业务稳定可靠，T3级别的数据中心，运营商级别的安全架构，不采集租户数据。

应用限制

本特性无应用限制。

特性规格

本特性无特殊规格。

特性配置

请参考华为云SAP安全架构配置相应的云服务。

发布记录

无。