# 6. Utilice controles de infraestructura y de software para reducir los errores de configuraciones de seguridad
**¿Cómo protege su aplicación SAP y la base de datos, sistema operativo, almacenamiento y redes subyacentes?** Recomendamos que se refuercen las soluciones de software de SAP y las configuraciones subyacentes asociadas, como las revisiones del sistema operativo y la base de datos, los parámetros, los servicios en la nube y la infraestructura. El fortalecimiento ayuda a garantizar la seguridad de todos los entornos de SAP, tanto de producción como de no producción, en el nivel correcto determinado por su organización.
Utilice el [Modelo de responsabilidad compartida de AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) para guiar sus actividades con respecto a la seguridad de su entorno de SAP. Por ejemplo, las actualizaciones del firmware de sus instancias de EC2 son actividades de “seguridad de la nube” de las que AWS es responsable, mientras que la administración de las aplicaciones y del sistema operativo de esas mismas instancias de EC2 son actividades de “seguridad en la nube” de las que usted es responsable.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/design-principle-6.html)
Para más información, consulte la siguiente información:
+ Documentación de AWS: [AWS Security Whitepaper (Documento técnico de seguridad de AWS)](http://d0.awsstatic.com/whitepapers/aws-security-best-practices.pdf)
+ Notas de SAP: [2191528 - Third-party report showing security vulnerabilities (informe de terceros en el que se muestran vulnerabilidades de seguridad)](https://launchpad.support.sap.com/#/notes/2191528) [Se necesita acceso al portal de SAP]
+ Documentación de SAP: [ABAP Platform Security Guide (Guía de seguridad de ABAP Platform)](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4aaf6fd65e233893e10000000a42189c.html)
# Práctica recomendada 6.1: asegúrese de que la seguridad y la auditoría estén integradas en el diseño de la red de SAP
Proteger el acceso a la red que aloja su carga de trabajo de SAP es la primera línea de defensa contra la actividad maliciosa. Evalúe los requisitos de su empresa y la solución específica de SAP para determinar los puertos, protocolos y patrones de tráfico que deben habilitarse. Considere los estándares de seguridad de su organización y las herramientas y los patrones disponibles para simplificar el diseño de la red. Realice auditorías periódicamente o cuando se produzcan cambios.
**Sugerencia 6.1.1: comprenda los flujos de tráfico de red para SAP**
Empiece por comprender sus flujos de tráfico. Los patrones de tráfico de red para las cargas de trabajo de SAP se pueden clasificar como tráfico entrante, tráfico saliente y tráfico interno. Debe identificar si el origen y el destino se encuentran dentro de los límites de su red de confianza para ayudar a definir sus conjuntos de reglas.
Además de los flujos de tráfico entrante y saliente conocidos, como el acceso de usuarios y las conexiones de interfaz, tenga en cuenta los requisitos específicos de SAP, incluidas las conexiones a SAP Support (a través de SAProuter) y las ofertas de SaaS de SAP que restringen el acceso en función de las direcciones IP de origen.
Para el tráfico interno, considere el tráfico entre los componentes y el sistema, así como AWS y servicios compartidos. Herramientas como [Registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) y [VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) pueden ayudarlo a comprender los flujos de tráfico que entran y salen de Amazon VPC.
Para más información, consulte la siguiente información:
+ Documentación de SAP: [TCP/IP Ports for All SAP Products (Puertos TCP/IP para todos los productos SAP)](https://help.sap.com/viewer/ports)
**Sugerencia 6.1.2: evalúe opciones para permitir y restringir flujos de tráfico**
Primero, comprenda cómo conecta usuarios y sistemas de su red en las instalaciones a la cuenta de AWS en la que se ejecutan sus sistemas SAP. Esto se trata en [Network-to-Amazon VPC connectivity options (Opciones de conectividad entre redes y Amazon VPC)](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) .
Dos métodos principales para controlar el flujo de tráfico de red hacia y desde su VPC consisten en el uso de [grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) y [listas de control de acceso de red](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) (ACL de red). Un grupo de seguridad actúa como un firewall virtual con estado que funciona a nivel de la instancia de EC2 para controlar el tráfico entrante y saliente. Una Access Control List (ACL, lista de control de acceso) de red es una capa opcional de seguridad para su VPC que actúa como firewall para controlar el tráfico de entrada y de salida de una o más subredes, y, a diferencia de los grupos de seguridad, un ACL de red no tiene estado.
Considere también las dependencias de los componentes de red fuera de su VPC. Esto puede incluir componentes de red externos proporcionados por AWS, como los puntos de conexión de Amazon CloudWatch. Esto también puede incluir servicios alojados en Internet, como repositorios de software para revisiones del sistema operativo.
Además de las opciones estándar en AWS, SAP brinda opciones de seguridad de red adicionales, que incluyen el uso de [SAProuter](https://support.sap.com/content/dam/support/en_us/library/ssp/tools/connectivity-tools/saprouter/SAProuter.pdf) , [SAP Web Dispatcher](https://help.sap.com/doc/7b5ec370728810148a4b1a83b0e91070/1610%20002/en-US/frameset.htm?488fe37933114e6fe10000000a421937.html) y las listas de control de acceso [basadas en la red de SAP Gateway](https://help.sap.com/viewer/62b4de4187cb43668d15dac48fc00732/LATEST/en-US/d0a4956abd904c8d855ee9d368bc510b.html) . Estas opciones trabajan en conjunto con servicios y configuraciones de AWS para permitir o restringir el acceso a la red de los sistemas SAP.
Para más información, consulte la siguiente información:
+ Blog de SAP on AWS: [VPC Subnet Zoning Patterns for SAP on AWS (Patrones de zonificación de la subred de VPC para SAP on AWS)](https://aws.amazon.com/blogs/awsforsap/vpc-subnet-zoning-patterns-for-sap-on-aws/)
+ Well-Architected Framework [seguridad]: [Protección de infraestructura: protección de redes](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-networks.html)
+ Well-Architected Framework [enfoque de administración y gobernanza]: [Conectividad a la red](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-lens/networkconnectivity.html)
+ Documentación de SAP: [Seguridad de comunicaciones y redes](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/492f0050d5ac612fe10000000a44176d.html)
**Sugerencia 6.1.3: utilice pautas de diseño y herramientas de AWS para simplificar la seguridad de la red**
Los sistemas SAP con frecuencia tienen requisitos de integración complejos y la nube ofrece formas adicionales de simplificar la administración de la seguridad de la red. Considere los siguientes enfoques:
+ Evite referirse a rangos IP o direcciones IP individuales cuando sea posible para simplificar la administración.
+ Utilice un conjunto estándar de números del sistema SAP en todas sus cargas de trabajo de SAP para disminuir el rango de puertos de red necesarios.
+ [Los puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) eliminan el requisito de acceso a Internet saliente desde su VPC para acceder a servicios de AWS como Amazon S3 y Amazon CloudWatch. Cuando sea posible y no sea obligatorio por los requisitos de la empresa, puede evitar que el tráfico de SAP hacia y desde estos servicios atraviesen la Internet pública mediante el enrutamiento de todo el tráfico a través de componentes de red administrados de AWS.
+ Simplifique los grupos de seguridad mediante el uso de [listas de prefijos de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html) o [reglas del grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) que hacen referencia a otros grupos de seguridad en lugar de rangos de direcciones IP.
+ Utilice la automatización para crear, actualizar y administrar grupos de seguridad para evitar sesgos en la configuración.
+ Considere utilizar [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/) para brindar una administración centralizada de grupos de seguridad en VPC y cuentas de AWS.
+ Considere utilizar [SAProuter](https://support.sap.com/en/tools/connectivity-tools/saprouter.html) , [SAP Web Dispatcher](https://help.sap.com/doc/7b5ec370728810148a4b1a83b0e91070/1610 002/en-US/frameset.htm?488fe37933114e6fe10000000a421937.html) y AWS Elastic Load Balancing para ocultar los puntos de entrada a los sistemas de backend.
+ Considere utilizar múltiples [puntos de entrada de SAP Internet Communication Manager (ICM)](https://help.sap.com/doc/d2ecfdfcaedc4e2ba46a99a6be7d5797/1610 002/en-US/frameset.htm#:~:text=The%20ICM%20is%20a%20component%20of%20the%20SAP%20NetWeaver%20Application%20Server.&text=The%20Internet%20Communication%20Manager%20ensures,processes%20requests%20from%20the%20Internet.) para brindar un control de acceso más detallado.
Para más información, consulte la siguiente información:
+ Documentación de SAP: [Network-based Access Control Lists (Listas de control de acceso basadas en red)](https://help.sap.com/viewer/62b4de4187cb43668d15dac48fc00732/LATEST/en-US/d0a4956abd904c8d855ee9d368bc510b.html)
+ Documentación de SAP: [TCP/IP Ports for All SAP Products](https://help.sap.com/viewer/ports)
# Práctica recomendada 6.2: cree y proteja el sistema operativo
La protección del sistema operativo que subyace a su software de SAP disminuye la posibilidad de que un actor malicioso pueda obtener acceso no autorizado a los datos internos de la aplicación SAP, afectar la disponibilidad del software o desestabilizar las implementaciones esenciales para su empresa. Siga las recomendaciones de SAP, el proveedor del sistema operativo, el proveedor de la base de datos y AWS para proteger el sistema operativo. Según la solución y el sistema operativo de SAP que haya elegido, es posible que deba habilitar o desactivar servicios, establecer parámetros de kernel específicos y aplicar diferentes combinaciones de revisión de seguridad. Piense cómo los requisitos de SAP se alinean con los de su organización e identifique cualquier conflicto.
**Sugerencia 6.2.1: determine un enfoque para el aprovisionamiento de un sistema operativo seguro**
La imagen de máquina de Amazon (AMI) brinda la información requerida para lanzar una instancia de EC2. Debería estar convencido de que sus AMI son seguras a nivel del sistema operativo. De lo contrario, las brechas de seguridad podrían propagarse a cualquier cantidad de instancias a medida que las AMI se reutilizan y actualizan.
Las AMI pueden ser imágenes estándar del proveedor del sistema operativo o imágenes personalizadas que cree usted mismo. En ambos casos, necesita tener un enfoque coherente para garantizar que el sistema operativo sea seguro durante el lanzamiento y se mantenga de forma continua. Con herramientas de infraestructura como código (IaC), como [AWS CloudFormation,](https://aws.amazon.com/cloudformation/) puede lograr la coherencia de la seguridad de la imagen. Para las soluciones de SAP basadas en HANA, [AWS Launch Wizard](https://aws.amazon.com/launchwizard/) para SAP simplifica el proceso de instalación, incluidos los scripts previos y posteriores a la instalación que se pueden personalizar para automatizar la instalación de los componentes de seguridad.
Consulte la guía de AWS Well-Architected Framework [pilar de seguridad] sobre la protección de los recursos de computación, específicamente la información sobre cómo realizar la administración de vulnerabilidades y reducir la superficie expuesta a ataques, para obtener detalles adicionales.
+ Well-Architected Framework [seguridad]: [Protección de recursos informáticos](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-compute.html)
**Sugerencia 6.2.2: determine un enfoque para mantener un sistema operativo seguro**
Como se mencionó en la discusión de Well-Architected Framework [pilar de seguridad] sobre la protección de la computación, si el sistema operativo elegido es compatible con EC2 Image Builder, puede simplificar la creación, prueba e implementación de sus AMI específicas de SAP y su administración continua de revisiones. También debería controlarse queAWS Systems Manager Patch Manager mantenga la posición de seguridad de su sistema operativo mediante la automatización de la aplicación de revisiones de seguridad.
+ Well-Architected Framework [seguridad]: [Protección de recursos informáticos](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-compute.html)
+ Documentación de AWS: [EC2 Image Builder](https://aws.amazon.com/image-builder/)
+ Documentación de AWS: [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
**Sugerencia 6.2.3: revise las recomendaciones de seguridad adicionales aplicables a su sistema operativo**
Determine la lista completa de elementos que se requieren para fortalecer el sistema operativo subyacente al software de SAP. Por ejemplo, los permisos del sistema de archivos en los sistemas basados en Linux deben configurarse siguiendo las pautas de SAP. Por otro lado, limitar el acceso a grupos de administradores es una práctica recomendada en los sistemas basados en Windows.
Las siguientes recomendaciones específicas de SAP pueden ser relevantes para su entorno:
+ Documentación de SAP: [SAP NetWeaver Security Guide - Operating System Security (Guía de seguridad de SAP NetWeaver: seguridad del sistema operativo)](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4a6e3d96f90472dde10000000a42189b.html)
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/best-practice-6-2.html)
**Sugerencia 6.2.4: valide la posición de seguridad del sistema operativo**
Una vez que el sistema operativo se haya implementado y revisado de manera segura, la validación de la posición de seguridad del sistema operativo garantizará que el sistema operativo mantenga un nivel alto y continuo de seguridad sin vulneraciones. Considere automatizar esta validación utilizando software de terceros de protección contra intrusiones en el host, de detección de intrusiones, de antivirus y de firewall del sistema operativo.
Para más información, consulte la siguiente información:
+ Well-Architected Framework [seguridad]: [Operación segura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/operating-your-workload-securely.html)
+ Well-Architected Framework [seguridad]: [Detección](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html)
+ Well-Architected Framework [seguridad]: [Protección de recursos informáticos](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-compute.html)
# Práctica recomendada 6.3: proteja la base de datos y la aplicación
La vigilancia de la seguridad es imperativa en las capas de la base de datos y de la aplicación, ya que un actor malicioso que obtenga acceso incluso a un nivel donde solo se puedan hacer operaciones de lectura podría poner en riesgo la seguridad de los datos críticos de la empresa. En todos los casos, siga las prácticas recomendadas estándar de SAP para la protección del acceso a la base de datos y para garantizar la seguridad de las aplicaciones. Estas prácticas aplican tanto a las instalaciones como a la infraestructura basadas en la nube, y existen guías para cada base de datos subyacente compatible para los sistemas SAP.
**Sugerencia 6.3.1: siga las pautas de SAP sobre la seguridad de la base de datos para su base de datos predilecta**
Consulte los siguientes recursos para obtener las pautas apropiadas:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/best-practice-6-3.html)
**Sugerencia 6.3.2: siga las guías de SAP sobre la seguridad de las aplicaciones**
En el caso de las soluciones basadas en SAP NetWeaver, puede encontrar orientación prescriptiva en la Guía de seguridad de SAP NetWeaver.
+ Documentación de SAP: [ABAP Platform Security Guide](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4aaf6fd65e233893e10000000a42189c.html)
# Práctica recomendada 6.4: establezca un plan para actualizar y revisar todo el software aplicable.
SAP y los proveedores de los sistemas operativos y las bases de datos subyacentes publican actualizaciones de seguridad estándar de acuerdo con una programación definida y brindan actualizaciones de emergencia para corregir vulnerabilidades. Manténgase al tanto de la información en materia de seguridad más reciente de cada proveedor Recomendamos que mantenga su aplicación SAP y todos sus componentes subyacentes actualizados con las últimas correcciones de seguridad de manera planificada para evitar brechas de seguridad. También recomendamos que establezca un plan para aplicar correcciones de emergencia cuando se publiquen revisiones de seguridad fundamentales.
**Sugerencia 6.4.1: suscríbase a las alertas de los proveedores de soluciones de sistemas operativos, bases de datos y software.**
Si se suscribe a los portales de sus diversos proveedores para obtener actualizaciones de seguridad, podrá estar al tanto de nuevos problemas de seguridad y de sus soluciones a medida que se publican. Esto puede ayudarlo a planificar los cambios requeridos.
+ Documentación de AWS: [Boletines de seguridad de AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc)
+ Documentación de SAP: [SAP EarlyWatch Alert](https://support.sap.com/en/offerings-programs/support-services/earlywatch-alert.html)
+ Documentación de SAP: [SAP Security News](https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html)
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/best-practice-6-4.html)
**Sugerencia 6.4.2: revise los cambios recomendados, el riesgo que suponen para su empresa y el esfuerzo de implementación**
Los equipos de SAP deben aprender a buscar un equilibrio entre la necesidad de maximizar los tiempos de disponibilidad (uptime) del sistema y la importancia de aplicar cambios recomendados a fin de mejorar la seguridad de SAP. No hacerlo puede dar lugar a riesgos innecesarios, como interrupciones del servicio, impacto financiero o pérdida de productividad. Revise los cambios recomendados y los pasos de implementación para reparar las vulnerabilidades de sus proveedores y planee implementarlos de inmediato. Esto se relaciona directamente con las prácticas recomendadas del pilar de excelencia operativa que se trataron en este enfoque, sobre todo, con la creación de manuales de procedimientos de seguridad.
+ SAP Lens [excelencia operativa]: [Sugerencia 3.4.1: cree manuales de procedimientos específicos de operaciones de seguridad de SAP](best-practice-3-4.md)
**Sugerencia 6.4.3: establezca un plan para tratar vulnerabilidades de manera oportuna.**
Aplicar nuevas recomendaciones de seguridad de SAP y revisiones relacionadas con la seguridad lo más rápido posible es fundamental tanto para las soluciones de SAP basadas en AWS como para aquellas que se instalan en otros lugares. Revise con regularidad [SAP Security Notes and News (Noticias y notas de seguridad de SAP)](https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html) y cree un proceso para solucionar los problemas de seguridad rápidamente con las revisiones, notas y recomendaciones que se encuentran allí. En algunos casos, es posible que los administradores de SAP también deban implementar medidas temporales de control o mitigación hasta que se puedan tratar las vulnerabilidades subyacentes. Siga también las recomendaciones del pilar de seguridad que tratan sobre la respuesta a incidentes.
+ Well-Architected Framework [seguridad]: [Respuesta a incidentes](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html)
+ Documentación de SAP: [SAP Security Notes and News](https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html)