# 8. Proteja sus datos de SAP en reposo y en tránsito
<a name="design-principle-8"></a>

 **¿Cómo protege sus datos de SAP?** Los sistemas SAP a menudo ejecutan las funciones principales dentro de una empresa y almacenan datos empresariales privados. La práctica que se recomienda emplear es cifrar los datos en reposo y en tránsito utilizando al menos un mecanismo de cifrado para cumplir con los requisitos y controles de seguridad internos o externos. Además de los controles enumerados en el [Modelo de responsabilidad compartida de AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) , AWS brinda múltiples soluciones de cifrado. Muchos servicios de AWS tienen características que le permiten habilitar el cifrado con un mínimo esfuerzo e impacto en el rendimiento. Le recomendamos considerar opciones de cifrado disponibles para la base de datos y la capa de la aplicación SAP. 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/design-principle-8.html)

# Práctica recomendada 8.1: cifre los datos en reposo
<a name="best-practice-8-1"></a>

Los datos en reposo se refieren a cualquier dato almacenado digitalmente. Utilizamos el cifrado para garantizar que solo los usuarios autorizados puedan ver estos datos y para que permanezcan protegidos cuando el acceso al almacenamiento o a la base de datos se vea comprometido independientemente de la aplicación.

 **Sugerencia 8.1.1: defina en qué niveles se aplicará el cifrado** 

En general, cuanto más arriba en la pila implemente su cifrado, más seguros estarán sus datos. Este aumento de seguridad va acompañado de una complejidad adicional para la implementación y supervisión. AWS recomienda utilizar las opciones de cifrado en reposo disponibles dentro de sus servicios. Considere implementar un cifrado adicional del sistema operativo o de la base de datos cuando sea necesario, como se define en [seguridad]: [Práctica recomendada 5.3: evalúe la necesidad de aplicar controles de seguridad específicos para sus cargas de trabajo de SAP](best-practice-5-3.md). 

 **Sugerencia 8.1.2: comprenda las opciones de cifrado de AWS para los servicios y las soluciones de SAP** 

 Los servicios fundamentales de AWS que SAP utiliza para los datos en reposo son Amazon EC2 (AMI y los volúmenes de EBS), Amazon FSx for Windows File Server o Amazon EFS para sistemas de archivos compartidos y Simple Storage Service (Amazon S3) para copias de seguridad u otros casos de uso del almacén de objetos. 
+  Documentación de AWS: [Cifrado con AMI respaldadas por EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) 
+  Documentación de AWS: [Cifrado de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) 
+  Documentación de AWS: [Cifrado de Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) / [Cifrado de Amazon FSx](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption.html) 
+  Documentación de AWS: [Cifrado de Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) 

Los datos almacenados en estos servicios se pueden cifrar en reposo mediante AWS o claves administradas por el cliente desde AWS KMS.

Las opciones de cifrado del sistema operativo incluyen BitLocker, DM-crypt y SuSE Remote Disk.

 En los siguientes enlaces, podrá encontrar información sobre distintas opciones de cifrado de su base de datos: 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/best-practice-8-1.html)

 **Sugerencia 8.1.3: defina métodos de cifrado y almacenes de administración de claves** 

 Generalmente, la administración de claves se define a nivel empresarial y, de esta forma, se determinará qué opciones de administración de claves se pueden utilizar con sus cargas de trabajo de SAP. AWS KMS es un servicio resiliente y seguro para simplificar la administración de claves de cifrado para los servicios de AWS. Si necesita administrar sus propios módulos de seguridad del hardware (HSM), puede utilizar AWS CloudHSM. 
+  Documentación de AWS: [Opciones de servicio y herramientas de cifrado de AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-choose-toplevel.html) 
+  Documentación de AWS: [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) 
+  Documentación de AWS: [AWS CloudHSM](https://aws.amazon.com/cloudhsm/) 

 Considere también mecanismos para proteger las claves maestras. ¿Cómo restringe el acceso, administra la rotación y garantiza la capacidad de recuperación de las claves? 

 Debe estar al tanto de que las claves raíz de cifrado de datos en reposo de HANA solo se pueden almacenar de forma segura en el almacén seguro de la instancia dentro del sistema de archivos (Instancia SSFS) o dentro de la solución de SaaS SAP Data Custodian. Si utiliza el almacén de instancias, la clave maestra podría almacenarse en [AWS Secrets Manager](https://aws.amazon.com/systems-manager/) con una política de rotación. 
+  Notas de SAP: [2154997 - Migration of hdbuserstore entries to ABAP SSFS (Migración de entradas de hdbuserstore a ABAP SSFS)](https://launchpad.support.sap.com/#/notes/2154997) [Se necesita acceso al portal de SAP] 
+  Notas de SAP: [2755815 - How to Ensure Recoverability of Hana's Data-At-Rest Encryption (¿Cómo garantizar la capacidad de recuperación del cifrado de datos en reposo de Hana?)](https://launchpad.support.sap.com/#/notes/2755815) [Se necesita acceso al portal de SAP] 

# Práctica recomendada 8.2: cifre los datos en tránsito
<a name="best-practice-8-2"></a>

El uso del cifrado de datos en tránsito hace que sea más difícil interceptar, acceder o manipular sus datos mientras se mueven de un punto a otro. Asegúrese de que existan protocolos seguros y cifrado a nivel de red para minimizar amenazas potenciales y brindar un nivel de protección acorde con sus requisitos.

 Well-Architected Framework [seguridad]: [Protección de los datos en tránsito](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-in-transit.html) 

 **Sugerencia 8.2.1: cifre el tráfico de aplicaciones de acuerdo con los protocolos de SAP y de base de datos** 

 En el caso del tráfico de aplicaciones que utiliza protocolos de SAP (SAPGUI Dialog, RFC, y CPIC), utilice SAP SNC para garantizar la seguridad de la capa de transporte. 
+  Documentación de SAP: [SNC-Protected Communication Paths in SAP Systems (Rutas de comunicación protegidas por SNC en sistemas SAP)](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/ad38ff4fa187622fe10000000a44176d.html) 

 En el caso del tráfico de la base de datos, utilice una conexión segura entre el cliente y la base de datos cuando esté disponible. 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/best-practice-8-2.html)

 **Sugerencia 8.2.2: cifre el tráfico de aplicaciones SAP según los protocolos de Internet** 

 Para el tráfico de aplicaciones basadas en protocolos de Internet (HTTP, P4 (RMI), LDAP), utilice SSL/TLS para garantizar la seguridad de la capa de transporte (TLS). 
+  Documentación de SAP: [Transport Layer Security (Seguridad de la capa de transporte)](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/5f0f558b8a7841049139f0fb558ac62c.html) 

 **Sugerencia 8.2.3: cifre el intercambio de datos basado en protocolos de transferencia de archivos o transferencia de mensajes** 

 En lo que respecta a las transferencias de archivos, AWS pone a su disposición el servicio AWS Transfer Family para el intercambio seguro de archivos a través de SFTP o FTPS. AWS Transfer Family admite la transferencia de datos hacia y desde Amazon S3 y Amazon EFS. 
+  Documentación de AWS: [AWS Transfer Family](https://aws.amazon.com/aws-transfer-family) 

 El uso de comprobaciones de integridad de datos a nivel de mensaje ayuda a garantizar que los datos no se alteren mientras se transfieren. Considere utilizar uno o más de los estándares de seguridad de mensajes compatibles con SAP para firmar y verificar la integridad de los datos en los mensajes. 
+  Documentación de SAP: [SAP ABAP Web Services Message-Level Security (Seguridad a nivel de mensaje de SAP ABAP Web Services)](https://help.sap.com/viewer/684cffda9cbc4187ad7dad790b03b983/1709 000/en-US/47ac469337a24845e10000000a421138.html?q=netweaver%20security%20guide%20message%20level%20security) 
+  Documentación de SAP: [SAP NetWeaver Process Integration Security Guide (Guía de seguridad de integración de procesos de SAP NetWeaver)](https://help.sap.com/doc/saphelp_nwpi711/7.1.1/en-US/f7/c2953fc405330ee10000000a114084/frameset.htm) 
+  Documentación de SAP: [SAP Cloud Integration Message-Level Security (Seguridad a nivel de mensaje de SAP Cloud Integration)](https://help.sap.com/viewer/368c481cd6954bdfa5d0435479fd4eaf/Cloud/en-US/463a9085156d4672bc4ee9095277e453.html) 

 En el caso de los mensajes basados en IDOC, utilice SNC para proteger la conexión RFC que utiliza ALE. 
+  Documentación de SAP: [Handling Sensitive Data in IDocs (Manipulación de información confidencial en IDocs)](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/7f2e71922f4a4d7081e1d2032b0934f7.html) 

 **Sugerencia 8.2.4: cifre el acceso administrativo** 

Es frecuente utilizar herramientas basadas en Windows y SSH para la administración de SAP. Además de emplear controles de seguridad como hosts bastión, considere, en la medida de lo posible, cifrar este tráfico.

 Como alternativa, [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) brinda un mecanismo seguro para acceder al sistema operativo a través de AWS Management Console utilizando TLS para el cifrado. 
+  Documentación de AWS: [Guía de Windows de Amazon EC2: cifrado en tránsito](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html) 
+  Documentación de AWS: [Guía de Linux para Amazon EC2: cifrado en tránsito](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html) 
+  Documentación de AWS: [Protección de datos en AWS Systems Manager: cifrado de datos](https://docs.aws.amazon.com/systems-manager/latest/userguide/data-protection.html#data-encryption) 

 **Sugerencia 8.2.5: evalúe las características de los servicios de AWS que permiten el cifrado en tránsito** 

 Además del cifrado basado en aplicaciones, muchos servicios de AWS brindan capacidades de cifrado en tránsito. Evalúe sus estándares corporativos, el esfuerzo de implementación y los beneficios asociados para cada servicio. Los siguientes son algunos ejemplos que son relevantes para las cargas de trabajo de SAP. 
+  Documentación de AWS: [Simple Storage Service (Amazon S3): cifrado en tránsito](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) - Activado de forma predeterminada y recomendado para copias de seguridad de Simple Storage Service (Amazon S3). 
+  Documentación de AWS: [Amazon EFS: cifrado en tránsito](https://docs.aws.amazon.com/efs/latest/ug/encryption-in-transit.html) / [Amazon FSx](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html) - Puede ser necesario para los sistemas de archivos compartidos. 
+  Documentación de AWS: [Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/data-protection.html) - Revise sus requisitos de cifrado y si se requiere TLS de extremo a extremo con transferencia, ya que esta característica no esté disponible para todos los tipos de equilibradores de carga. 
+  Documentación de AWS: [Amazon EC2: cifrado en tránsito](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html) - Solo tipos de instancias de generaciones posteriores tienen esta característica. 

 **Sugerencia 8.2.6: implemente cifrado a nivel de red** 

Los clientes de SAP normalmente utilizarán tanto Direct Connect o una combinación de Direct Connect y VPN para brindar conectividad confiable para sus recursos en AWS.

AWS Direct Connect no cifra su tráfico en tránsito. Si se requiere cifrado, se debe implementar el cifrado de nivel de transporte, por ejemplo, utilizando una VPN para Direct Connect.

 AWS brinda una VPN de sitio a sitio que se puede utilizar para el cifrado de canales de red. También puede elegir implementar soluciones de VPN de terceros como OpenVPN, que podrá encontrar en AWS Marketplace, o traer su propia licencia. 
+  Documentación de AWS: [AWS Managed VPN (VPN administrada por AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-managed-vpn.html) 
+  Documentación de AWS: [AWS Direct Connect \$1 VPN](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-direct-connect-vpn.html) 
+  Documentación de AWS: [Software Site-to-Site VPN (Software de VPN de sitio a sitio)](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/software-site-to-site-vpn.html) 

# Práctica recomendada 8.3: proteja sus mecanismos de recuperación de datos para resguardarse contra amenazas
<a name="best-practice-8-3"></a>

 Para ayudarlo a protegerse contra actividades maliciosas, siga las pautas establecidas en el marco de seguridad de su organización. El [libro electrónico Securing your AWS Cloud environment from ransomware (Proteger su entorno de la nube de AWS contra el ransomware)](https://d1.awsstatic.com/WWPS/pdf/AWSPS_ransomware_ebook_Apr-2020.pdf) brinda información general sobre los elementos claves que se deben tratar antes de un incidente y en una respuesta ante un incidente, incluidos los controles de red, la revisión y los permisos de privilegios mínimos. En el caso de los sistemas SAP, la amenaza es similar a la de otras aplicaciones, pero el impacto es potencialmente mayor. Si SAP es un sistema de registro o se requiere para transacciones esenciales, tenga en cuenta las siguientes sugerencias para proteger una copia de seguridad contra un ataque malicioso. 
+  Notas de SAP: [2663467 - Tips to avoid a Ransomware situation (Consejos para evitar una situación de ransomware)](https://launchpad.support.sap.com/#/notes/2663467) [Se necesita acceso al portal de SAP] 
+  Notas de SAP: [2496239 - Ransomware / malware on Windows (Ransomware y malware en Windows)](https://launchpad.support.sap.com/#/notes/2496239) [Se necesita acceso al portal de SAP] 

 **Sugerencia 8.3.1: proteja las copias de seguridad en una cuenta separada con controles adicionales** 

Al proteger las copias de seguridad en una cuenta aislada de la copia principal de sus datos, ya sea de forma directa o mediante replicación, es posible minimizar el riesgo de que un sistema comprometido también afecte sus mecanismos de recuperación de datos.

La cuenta secundaria se puede ver como un “búnker de datos” con requisitos de acceso coherentes con el caso de uso.

 Cuando se trata de copias de seguridad realizadas con Simple Storage Service (Amazon S3), los controles adicionales pueden incluir el uso de S3 Object Lock para almacenar objetos utilizando un modelo de escritura única y de lectura múltiple (WORM) o [la eliminación con autenticación multifactor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) . 

 Si se recurre a la replicación, comprenda las diferentes opciones disponibles, entre las que se encuentran [la replicación de marcador de eliminación](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-marker-replication.html) (De forma predeterminada, los marcadores de eliminación no se replican) y [el control de tiempo de replicación de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-time-control.html) . Para optimizar los costos, asegúrese de que la organización se realice tanto en los buckets principales como en los secundarios. 

 **Sugerencia 8.3.2: valide su capacidad de recuperación** 

Las copias de seguridad son la última línea de defensa cuando protege sus datos contra actividades maliciosas, pero pueden resultar inútiles si la recuperación no es posible debido a copias de seguridad incompletas o copias de seguridad que no son válidas. Es posible que la recuperación no sea posible si no puede acceder o descifrar las copias de seguridad. Considere cómo protege las credenciales y las claves de cifrado.

Realice pruebas de recuperación en una situación maliciosa hipotética, por ejemplo, volver a crear en una cuenta alternativa.
+  SAP Lens [excelencia operativa]: [Práctica recomendada 4.3: pruebe periódicamente los planes de continuidad de la empresa y la recuperación de errores](best-practice-4-3.md)