# 7. Controle el acceso a sus cargas de trabajo de SAP a través de la identidad y los permisos
**¿Cómo controla el acceso a su carga de trabajo de SAP?** Utilice mecanismos proporcionados por AWS, SAP y demás proveedores externos para garantizar que los usuarios finales y los sistemas de interfaz estén correctamente identificados y autenticados. ¿Cómo se controlan los permisos para garantizar el privilegio mínimo? ¿Cómo se audita e informa el acceso? Empiece por identificar sus categorías de usuario y luego defina sistemáticamente los controles y su enfoque de administración de identidad para limitar el acceso a su carga de trabajo de SAP.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/design-principle-7.html)
# Práctica recomendada 7.1: comprenda sus categorías de usuario de SAP y los mecanismos de acceso
Los tipos de usuarios que acceden a su sistema SAP determinarán los controles de seguridad que debe aplicar. Al examinar cada caso de uso, puede desarrollar una estrategia. Esto debe incluir cómo administra las identidades, la autenticación, las herramientas y los mecanismos para respaldar esos requisitos.
**Sugerencia 7.1.1: comprenda los permisos de acceso a los datos y las acciones permitidas**
Los sistemas SAP a menudo contienen datos empresariales altamente confidenciales. A medida que define los tipos de usuarios, comprenda los permisos de acceso a los datos. (Por ejemplo, un usuario de una base de datos administrativa no tiene los controles pormenorizados de un usuario de la aplicación y, por lo tanto, puede ser más crítico). Consulte también [seguridad] [Práctica recomendada 5.2: clasifique los datos dentro de las cargas de trabajo de SAP](best-practice-5-2.md).
Considere las siguientes preguntas en relación con su acceso al sistema SAP:
+ ¿Las medidas que toma un usuario administrativo o de servicio deben poder rastrearse hasta un individuo identificable de manera única?
+ ¿En qué capa de la aplicación se otorgará el acceso?
+ ¿Puede restringir el acceso a un subconjunto de funcionalidades con ayuda de permisos?
+ ¿Puede restringir el acceso a un subconjunto de funcionalidades a través de otros controles, por ejemplo, exponiendo solo ciertos servicios?
+ ¿Existe un requisito para auditar las medidas tomadas?
**Sugerencia 7.1.2: comprenda la red o la ubicación desde la cual los usuarios accederán a los sistemas SAP**
La red o la ubicación a menudo contribuyen al perfil de riesgo de seguridad y pueden determinar si el usuario se considera de confianza o no. Por lo general, esto se combina con los controles para evitar el acceso no autorizado (consulte [Práctica recomendada 6.1: asegúrese de que la seguridad y la auditoría estén integradas en el diseño de la red de SAP](best-practice-6-1.md) ).
Esto puede repercutir en su diseño. Por ejemplo, un usuario o dispositivo de Internet que no sean de confianza pueden requerir factores de autenticación adicionales para acceder a su carga de trabajo de SAP, en comparación con un usuario de confianza de su red corporativa.
# Práctica recomendada 7.2: administre el acceso privilegiado a su carga de trabajo de SAP
Adopte un enfoque de privilegio mínimo cuando sea posible. Otorgue solo el acceso mínimo que se necesita para llevar a cabo un rol específico a un conjunto reducido de usuarios mientras administra la utilidad y la eficiencia. Existen cuentas administrativas (por ejemplo, `adm`) que, de manera predeterminada, tienen acceso para afectar significativamente la fiabilidad o la seguridad de los datos de su carga de trabajo de SAP. Considere cómo puede limitar este riesgo.
**Sugerencia 7.2.1: administre la autenticación y las credenciales de AWS**
AWS Identity and Access Management (IAM) permite administrar el acceso a los servicios y recursos de AWS de manera segura. Con IAM, puede crear y administrar usuarios y grupos de AWS para diferentes tareas de administración de SAP y de la nube. Utilice los permisos de IAM para permitir y denegar el acceso de los usuarios a los recursos de AWS. Se debe seguir la orientación estándar, en particular, restringir y asegurar el acceso privilegiado (raíz).
+ Documentación de AWS: [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
En el caso del acceso que no está asignado a un usuario, pero que es necesario para la operación de la aplicación SAP, sea lo suficientemente precavido de conceder privilegios mínimos.
+ Documentación de AWS: [Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)
**Sugerencia 7.2.2: administre la autenticación y las credenciales de SAP**
Implemente un proceso para aprobar y otorgar permisos elevados solo cuando sea necesario, por un tiempo limitado. Utilice la funcionalidad de auditoría que se encarga de determinar a quién y por qué se concedió el acceso.
Restrinja el uso de nombres de usuario o de contraseñas a cuentas privilegiadas. Desactive el acceso directo cuando sea posible. Almacene las credenciales de forma segura, por ejemplo, con ayuda de una solución de administración de acceso privilegiado o un almacén de contraseñas.
Evalúe cómo se podría utilizar Systems Manager para restringir el acceso directo al sistema operativo a tareas específicas utilizando manuales de procedimientos, RunCommand y Secrets Manager.
+ Documentación de AWS: [Restricción del acceso a los comandos de nivel raíz a través de SSM Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-restrict-root-level-commands.html)
+ Documentación de AWS: [Referencia a los secretos de AWS Secrets Manager desde los parámetros de Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/integration-ps-secretsmanager.html)
# Práctica recomendada 7.3: comprenda el enfoque de administración de identidad de su organización y cómo se aplica a SAP
Las cargas de trabajo típicas de SAP consistirán en múltiples sistemas y, por lo tanto, múltiples identidades. Un enfoque centralizado para administrar estos usuarios puede reducir el riesgo de seguridad y la complejidad operativa. El énfasis está en cómo puede utilizar los servicios de AWS y las herramientas de terceros en su enfoque, considerando la administración centralizada de usuarios, el inicio de sesión único y la autenticación multifactor.
**Sugerencia 7.3.1: determine un proveedor de identidad para usuarios designados**
Los usuarios se asociarán con un almacén de identidades, por ejemplo, Active Directory. Dicho almacén actúa como un repositorio central para administrar información de identidad, como roles, permisos e identificadores. Determine si cada conjunto de identidades se puede asociar con un proveedor de identidad. Un proveedor de identidad le permite desvincularse de la autenticación de los usuarios. Facilita el SSO y también administra el ciclo de vida de identidad de los usuarios (por ejemplo, los que ingresan, los que se trasladan y los que se van).
Considere excepciones para usuarios designados que no están asociados con un ser humano. Esto puede incluir lotes, programación de trabajos, integración y supervisión de usuarios.
+ Documentación de AWS: [AWS Directory Service \$1 Amazon Web Services (AWS)](https://aws.amazon.com/directoryservice/)
**Sugerencia 7.3.2: determine los mecanismos de autenticación**
Comprenda los mecanismos de autenticación admitidos (por ejemplo, SAML, Kerberos, X.509, tickets de inicio de sesión único de SAP) en cada una de las capas de su carga de trabajo de SAP. Evalúe los requisitos para integrarse con su aplicación. Siempre que sea posible, utilice el inicio de sesión único para evitar el impacto administrativo y de seguridad de administrar múltiples credenciales de usuarios.
+ Documentación de SAP: [User Authentication and single sign-on (Autenticación de usuario e inicio de sesión único)](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4a112f1a2228101ee10000000a42189b.html)
+ Documentación de AWS: [Aplicaciones de la nube: AWS Single Sign-On](https://docs.aws.amazon.com/singlesignon/latest/userguide/saasapps.html)
+ Blog de SAP on AWS: [Enable SAP Single Sign On with AWS SSO Part 1: Integrate SAP NetWeaver ABAP with AWS SSO (Habilite el SSO de SAP con AWS SSO parte 1: integre SAP NetWeaver ABAP con AWS SSO)](https://aws.amazon.com/blogs/awsforsap/enable-sap-single-sign-on-with-aws-sso-part1-integrate-sap-netweaver-abap-based-applications-sso-with-aws-sso/)
+ Blog de SAP on AWS: [Enable SAP Single Sign On with AWS SSO Part 2: Integrate SAP NetWeaver Java (Habilite el SSO de SAP en AWS SSO Parte 2: integre SAP NetWeaver Java)](https://aws.amazon.com/blogs/awsforsap/enable-sap-single-sign-on-with-aws-sso-part-2-integrate-sap-netweaver-java/)
+ Blog de SAP on AWS: [Enable Single Sign On for SAP Cloud Platform Foundry and SAP Cloud Platform Neo with AWS SSO (Habilite el SSO para SAP Cloud Platform Foundry y SAP Cloud Platform Neo con AWS SSO)](https://aws.amazon.com/blogs/awsforsap/enable-single-sign-on-for-sap-cloud-platform-foundry-and-sap-cloud-platform-neo-with-aws-sso/)
**Sugerencia 7.3.3: considere utilizar la autenticación multifactor**
La Multi-Factor Authentication (MFA, autenticación multifactor) es una práctica recomendada que añade una capa de protección adicional que se complementa con sus credenciales de inicio de sesión. Estos factores múltiples le brindan una mayor seguridad a su aplicación SAP. Entre los casos de uso, se encuentran el acceso a SAP desde un dispositivo que no es de confianza, acceso a AWS Management Console y actividades privilegiadas, como la eliminación de copias de seguridad o la terminación de instancias de EC2.
+ Blog de SAP on AWS: [Securing SAP Fiori with MFA (Protección de SAP Fiori con MFA)](https://aws.amazon.com/blogs/awsforsap/securing-sap-fiori-with-multi-factor-authentication/)
+ Documentación de AWS: [Uso de dispositivos MFA con la página de inicio de sesión de IAM:AWS Identity and Access](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_sign-in-mfa.html)
+ Documentación de AWS: [Configuración de la eliminación de MFA: Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html)
+ Documentación de AWS: [Amazon EC2: Requiere MFA (GetSessionToken) para operaciones EC2 específicas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2_require-mfa.html)
**Sugerencia 7.3.4: determine el enfoque para la administración de certificados**
Los certificados basados en el cliente se pueden utilizar para la autenticación sin la necesidad de credenciales. Determine un enfoque que incluya el vencimiento basado en el tiempo para la administración de sesiones y la rotación de certificados para la comunicación entre sistemas. AWS brinda una autoridad de certificación en la que confía SAP. Los certificados se pueden emitir y administrar utilizando [AWS Certificate Manager (ACM)](https://aws.amazon.com/certificate-manager/) .
+ Notas de SAP: [2801396 - SAP Global Trust List (Lista de confianza global de SAP)](https://launchpad.support.sap.com/#/notes/2801396) [Se necesita acceso al portal de SAP]
+ Notas de SAP: [3040959 - How to get a CA signed server certificate in ABAP (¿Cómo obtener un certificado de servidor firmado por CA en ABAP?)](https://launchpad.support.sap.com/#/notes/3040959) [Se necesita acceso al portal de SAP]
+ SAP Lens [excelencia operativa]: [Sugerencia 3.4.1: cree manuales de procedimientos específicos de operaciones de seguridad de SAP](best-practice-3-4.md)
+ SAP Lens [excelencia operativa]: [Sugerencia 4.1.2: lleve un calendario del vencimiento de las credenciales, los certificados y las licencias](best-practice-4-1.md)
# Práctica recomendada 7.4: implemente la creación de registros e informes cuando accedan usuarios y cuando se produzcan cambios en la autorización o eventos relacionados con esta
Los eventos de acceso y autorización de usuarios en sus sistemas SAP deben registrarse, analizarse y auditarse con regularidad. Consolide y correlacione los eventos de seguridad de sus aplicaciones y base de datos de SAP con otros componentes de su arquitectura. De esta forma, podrá permitir el seguimiento de extremo a extremo en caso de un problema de seguridad crítico o una vulneración. Automatice el análisis de eventos en un sistema central de Security Information and Event Management (SIEM, información de seguridad y administración de eventos). Así podrá permitir que su equipo de operaciones comprenda si ocurre alguna actividad inesperada o sospechosa fuera de los límites de los controles normales del sistema. Luego su equipo podrá aportar soluciones según sea necesario.
**Sugerencia 7.4.1: registre eventos de AWS Identity and Access Management (IAM)**
Considere mantener un registro histórico de los eventos de IAM en AWS. Esto se puede utilizar en la detección o auditoría de cambios de usuario y autorización dentro de las cuentas de AWS. Determine su período de retención de registros y los tipos de eventos por registrar en función de las políticas de seguridad requeridas por sus organizaciones.
Permita que su equipo de operaciones responda preguntas de auditoría relacionadas con la infraestructura de su sistema SAP:
+ ¿Quién creó la nueva consola de AWS o el nuevo usuario de la CLI y cuándo se hizo?
+ ¿Quién modificó el rol de IAM de AWS y cuándo se hizo?
+ ¿Cuándo fue la última vez que el usuario de AWS inició sesión con éxito?
+ ¿Hay una cantidad sospechosa de intentos de inicio de sesión fallidos en la cuenta de AWS?
Para obtener más información, considere consultar los siguientes recursos:
+ Documentación de AWS: [Prácticas recomendadas de IAM: monitorice la actividad en su cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#keep-a-log)
+ Documentación de AWS: [Registro de llamadas a la API de AWS STS y de IAM con AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html)
+ AWS Well-Architected Framework [seguridad]: [Detección](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-detection.html)
+ Blog de seguridad de AWS: [Visualizing Amazon GuardDuty findings (Visualización de hallazgos de Amazon GuardDuty)](https://aws.amazon.com/blogs/security/visualizing-amazon-guardduty-findings/)
**Sugerencia 7.4.2: registre los cambios de usuario y de autorización en su sistema operativo**
Considere mantener un registro histórico de los eventos relacionados con los usuarios y la autorización del sistema operativo, de modo que se puedan utilizar en la detección o la auditoría. Determine su período de retención de registros y los tipos de eventos por registrar en función de las políticas de seguridad requeridas por sus organizaciones.
Permita que su equipo de operaciones responda preguntas de auditoría relacionadas con el sistema operativo de su sistema SAP:
+ ¿Quién creó la nueva cuenta del sistema operativo del superusuario y cuándo se hizo?
+ ¿Quién modificó los permisos de la cuenta del sistema operativo y cuándo se hizo?
+ ¿Cuándo fue la última vez que el usuario del sistema operativo inició sesión con éxito?
+ ¿Hay una cantidad sospechosa de intentos de inicio de sesión fallidos en la cuenta del sistema operativo?
+ ¿Cuándo fue la última vez que el usuario de su sistema operativo utilizó permisos elevados?
Para obtener más información sobre la auditoría en el sistema operativo, considere consultar los siguientes recursos:
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/best-practice-7-4.html)
**Sugerencia 7.4.3: registre los eventos de autorización y de usuarios de la base de datos y de la aplicación SAP**
Considere mantener un registro histórico de los eventos de autorización y de usuarios de SAP, de modo que puedan utilizarse en detección o auditoría. Considere tanto la pila de aplicaciones (por ejemplo, autorizaciones de ABAP) como su base de datos (por ejemplo, SAP HANA). Determine su período de retención de registros y los tipos de eventos por registrar en función de las políticas de seguridad requeridas por sus organizaciones.
Permita que su equipo de operaciones responda preguntas de auditoría sobre la aplicación y la base de datos de SAP en el caso de que se produzcan eventos como los que se detallan a continuación:
+ ¿Quién creó la nueva cuenta de SAP o de la base de datos y cuándo se hizo?
+ ¿Quién modificó los permisos de la cuenta de SAP o de la base de datos y cuándo se hizo?
+ ¿Cuándo fue la última vez que el usuario de SAP o de la base de datos inició sesión con éxito?
+ ¿Hay una cantidad sospechosa de intentos de inicio de sesión fallidos en la cuenta?
+ ¿Qué códigos de transacción confidenciales o herramientas utilizó la cuenta por última vez?
Para obtener más información, considere consultar los siguientes recursos:
+ Documentación de SAP: [SAP Access Control and Governance \$1 User Access (Control de acceso y gobernanza de SAP \$1 Acceso de usuario)](https://www.sap.com/australia/products/access-control.html)
+ Documentación de SAP: [SAP NetWeaver ABAP: The Security Audit Log (SAP NetWeaver ABAP: el registro de auditoría de seguridad)](https://help.sap.com/viewer/280f016edb8049e998237fcbd80558e7/LATEST/en-US/4d41bec4aa601c86e10000000a42189b.html)
+ Documentación de SAP: [SAP NetWeaver JAVA: The Security Audit Log (SAP NetWeaver JAVA: el registro de auditoría de seguridad)](https://help.sap.com/viewer/56bf1265a92e4b4d9a72448c579887af/LATEST/en-US/c769bcb7f36611d3a6510000e835363f.html)
+ Documentación de SAP: [SAP HANA: Auditing Activity in SAP HANA (SAP HANA: actividad de auditoría en SAP HANA)](https://help.sap.com/viewer/b3ee5778bc2e4a089d3299b82ec762a7/LATEST/en-US/ddcb6ed2bb5710148183db80e4aca49b.html)
**Sugerencia 7.4.4: consolide los eventos de usuarios y de autorización en un sistema de SIEM para su análisis**
Considere enviar todos los eventos relacionados con los usuarios y con la autorización que ocurren en los componentes de la carga de trabajo de SAP a una herramienta de SIEM central para permitir la correlación y el análisis. Utilice herramientas como SAP Enterprise Threat Detection o complementos de terceros, o envíe directamente sus registros de auditoría de SAP desde sus servidores de aplicaciones y bases de datos a una herramienta de análisis y procesamiento de datos.
Establezca comportamientos de referencia para su carga de trabajo y supervise las anomalías para mejorar la detección de incidentes de seguridad.
Considere utilizar [las soluciones de SIEM de AWS Marketplace](https://aws.amazon.com/marketplace/solutions/control-tower/siem/) para supervisar su carga de trabajo en tiempo real, identificar problemas de seguridad y acelerar el análisis y la corrección de la causa raíz.
Para obtener más información, considere los siguientes recursos:
+ AWS Marketplace: [Soluciones de SIEM](https://aws.amazon.com/marketplace/solutions/control-tower/siem/)
+ Documentación de AWS: [AWS Security Hub](https://aws.amazon.com/security-hub/?aws-security-hub-blogs.sort-by=item.additionalFields.createdDate&aws-security-hub-blogs.sort-order=desc)
+ Documentación de SAP: [SAP Enterprise Threat Detection](https://help.sap.com/viewer/eb42e48f5e9c4c9ab58a7ad73ff3bc66/LATEST/en-US/e12aa17b106c4c6193b7d593328aad48.html)
+ Well-Architected Framework [seguridad]: [Respuesta ante incidentes](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-incresp.html)
+ Documentación de AWS: [AWS Security Incident Response Guide (Respuesta ante incidentes de seguridad de AWS: documento técnico)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)