Os três pilares da migração segura de ambientes SAP para a nuvem

A nuvem pública é hoje um importante instrumento de inovação e desenvolvimento de novos negócios. Os aplicativos e sistemas de negócios críticos, que antes eram implantados apenas em data centers tradicionais, estão sendo transformados por essa nova realidade, seja por causa dos benefícios tecnológicos, como escalabilidade e disponibilidade virtualmente ilimitadas, ou por causa de problemas de investimento e menores custos de manutenção.

Esses são alguns dos motivos que motivam muitas empresas a iniciar novas implementações, upgrades e conversões de sistemas SAP para S/4HANA, usando nuvens públicas.

A cibersegurança precisa de uma reflexão séria nesses casos, à medida que novas superfícies de ataque surgem com a adoção da nuvem pública, exigindo cuidados especiais para garantir que os dados e informações confidenciais do cliente sejam protegidos e que as leis sejam respeitadas.

A disciplina de aplicar correções de segurança a sistemas críticos, tão importante para reduzir o risco de incidentes envolvendo ativos de alto valor, é sempre um desafio para a maioria das empresas, pois essas atualizações geralmente resultam em tempo de inatividade do sistema enquanto a correção é aplicada, testado e validado. Isso é algo que muitas vezes entra em conflito com as demandas de disponibilidade impostas pela empresa.

Ao mesmo tempo, o número de ameaças que tiram proveito de ambientes SAP vulneráveis ​​tem crescido, mostrando que agentes mal-intencionados estão buscando alvos mais críticos e valiosos, levando a vazamentos de dados e danos às empresas envolvidas. Exemplos recentes dessas ameaças são 10KBLAZE e RECON, dois exploits para SAP que estão facilmente disponíveis para criminosos e não requerem muito conhecimento técnico para serem usados. O próprio SAP possui templates com parâmetros de segurança que ajudam muito nesse processo, mas não detalham como evitar os ataques avançados mais recentes.

Devido ao aumento da superfície de ataque na nuvem e à dificuldade de aplicar correções de segurança, muitos executivos acabam temendo incidentes de segurança e revisando sua estratégia de migração do SAP para a nuvem. A boa notícia é que existem arquiteturas de segurança que podem ser empregadas para mitigar todos esses riscos e permitir uma transição segura do SAP para a nuvem pública.

Da Fortinet, lembramos que a estratégia de segurança em nuvem deve levar em consideração três pilares principais: segurança de rede, segurança de aplicativos e proteção da plataforma de nuvem.

Usando uma segurança de rede eficiente, por meio da segmentação e inspeção avançada de ameaças e anomalias conhecidas, é possível mitigar a maioria desses ataques. Os firewalls de última geração (NGFWs) podem ser usados ​​como uma primeira linha de defesa, mas é importante que eles tenham a capacidade de inspecionar o tráfego criptografado, bloquear ataques de rede comuns e, especialmente, ataques específicos ao ambiente SAP. Portanto, é essencial verificar com o fornecedor quais assinaturas de ataque estão disponíveis e quais serão relevantes para a proteção específica dos sistemas SAP. Este componente do NGFW também pode ser usado como um concentrador de VPN, tanto para acesso do usuário quanto para comunicação segura com outros ambientes de nuvem ou data centers.

O segundo pilar, a segurança do aplicativo, é importante para mitigar ataques específicos do front-end (SAP Fiore ou Web Dispatcher). A sugestão é usar proteção abrangente contra ataques de negação de serviço, proteção contra grandes vulnerabilidades (OWASP TOP10), bloqueio de bots maliciosos e que seja possível entender o comportamento da aplicação de forma dinâmica, utilizando técnicas de aprendizado de máquina. Com uma boa solução de API e proteção de aplicativos web, que é a evolução do WAF tradicional, é possível mitigar a maioria dos ataques que exploram vulnerabilidades como SQL Injection ou Code Injection.

O terceiro pilar é a segurança da plataforma em nuvem. São ferramentas que permitem o inventário e monitoramento em tempo real dos ativos e componentes utilizados nas diferentes nuvens públicas, mapeando fluxos de rede, identificando configurações que violam políticas ou melhores práticas. Isso permite uma visibilidade completa do status de segurança da nuvem e a capacidade de mitigar violações de maneira eficaz e ágil.

Por último, mas não menos importante, é recomendável usar a tecnologia de autenticação multifator (MFA). Desta forma, é possível proteger não apenas as contas de acesso do usuário aos sistemas SAP, mas especialmente o acesso administrativo privilegiado ao SAP ou ao plano de gerenciamento da nuvem.

Escolha tecnologias comprovadas que fornecem integração nativa com provedores de nuvem. Procure provedores de segurança que permitem gerenciar centralmente ambientes de fornecedores com várias nuvens e até mesmo ambientes de data center tradicionais por meio da mesma interface, tornando o trabalho de definição e implementação de políticas de segurança muito mais fácil, reduzindo a carga administrativa e aumentando a visibilidade total de vários ambientes. Dessa forma, é possível usar os sistemas SAP na nuvem com segurança, sem comprometer as informações críticas de negócios e possibilitando todos os benefícios derivados dessa transformação.

Sobre o autor: Daniel Romio é Cloud Business Manager da Fortinet para a América Latina. Rmio é especialista em vendas de soluções de segurança e consultor de segurança cibernética no Brasil. Antes de trabalhar na Fortinet, trabalhou em empresas como Check Point Software Technologies e Nokia.