# Seguridad
<a name="security"></a>

 El pilar de la seguridad abarca la capacidad para proteger los datos, sistemas y activos para aprovechar las tecnologías en la nube a fin de mejorar la seguridad. En este enfoque, se destacan algunos de los principios y recursos centrales de SAP. Dado que muchas de estas prácticas no son exclusivas de SAP, sugerimos que considere los principios centrales para su empresa y se centre en establecer controles en toda la infraestructura. El [Pilar de seguridad](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) se ponen de manifiesto principios y recomendaciones generales de diseño que recomendamos que lea junto con la guía de SAP que sigue a continuación. 

Independientemente de su estrategia de implementación, ya sea que esté basada en AWS, en las instalaciones o sea híbrida, asegúrese de seguir las pautas recomendadas por SAP Security Notes y News, y manténgase al tanto de las recomendaciones de seguridad más actualizadas relacionadas específicamente con las cargas de trabajo de SAP.

# 5. Comprenda los estándares de seguridad y cómo se aplican a su carga de trabajo de SAP
<a name="design-principle-5"></a>

 **¿Cómo define los estándares y los controles de seguridad para alinearlos con la criticidad de su carga de trabajo de SAP?** Los estándares son documentos publicados en los que se definen las políticas y los procedimientos requeridos para asegurar sus sistemas a través de una práctica recomendada para un producto, una organización, una industria o una jurisdicción. Proporcionan un marco con el que se puede evaluar su carga de trabajo de SAP. Algunos estándares son obligatorios para garantizar la conformidad con los requisitos normativos, mientras que otros son opcionales, pero ayudan a establecer roles y responsabilidades. 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/design-principle-5.html)

# Práctica recomendada 5.1: defina los roles y las responsabilidades de seguridad
<a name="best-practice-5-1"></a>

Al definir los requisitos para asegurar sus cargas de trabajo de SAP, puede identificar riesgos que se deben abordar y asegurarse de que se asignen debidamente los roles y las responsabilidades relacionadas con la seguridad. En las sugerencias, analizamos los estándares de AWS, SAP y cualquier proveedor de servicio para formar una base de referencia sobre la que puede crear su estrategia de seguridad.

 **Sugerencia 5.1.1: comprenda el modelo de responsabilidad compartida de AWS** 

 AWS es responsable de la seguridad de la nube y usted, como cliente, es responsable de la seguridad en la nube. Esté al tanto y comprenda los siguientes recursos: 
+  Documentación de AWS: [Modelo de responsabilidad compartida de AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) 
+  Documentación de AWS: [Respuesta al abuso y compromiso de AWS](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/abuse-and-compromise.html) 
+  Documentación de AWS: [Política de uso aceptable de AWS](https://aws.amazon.com/aup) 

Comprenda la división de responsabilidades entre usted y sus socios en el contexto del modelo de responsabilidad compartida de AWS

 **Sugerencia 5.1.2: comprenda las bases de la seguridad entre SAP y AWS, incluidos los certificados de conformidad, los informes y las confirmaciones** 

Comprenda los estándares de seguridad y las certificaciones de conformidad que SAP y AWS admiten. Determine cuáles son pertinentes para su industria y su país (por ejemplo, PCI-DSS, GDPR, HIPAA). Estos controles pueden ayudar a fortalecer sus propios programas de conformidad y certificación, y reducir los esfuerzos necesarios para cumplir con los estándares de seguridad.

 Consulte la documentación de SAP y de AWS para obtener más detalles: 
+  Documentación de AWS: [Conformidad de AWS](https://aws.amazon.com/compliance) 
+  Documentación de AWS: [AWS Compliance Center (Centro de conformidad de AWS)](https://aws.amazon.com/financial-services/security-compliance/compliance-center/) 
+  Documentación de AWS: [Programas de conformidad](https://aws.amazon.com/compliance/programs/) 
+  Documentación de AWS: [Servicios de conformidad en el ámbito](https://aws.amazon.com/compliance/services-in-scope/) 
+  Documentación de SAP: [Trust Center](https://www.sap.com/about/trust-center.html) 

 **Sugerencia 5.1.3: evalúe las bases de la seguridad de los proveedores de servicios que admiten su carga de trabajo de SAP** 

Si usted depende de organizaciones de terceros para administrar toda o parte de su carga de trabajo de SAP, evalúe la capacidad de ese tercero para cumplir con los controles de seguridad requeridos. Esto comprende los requisitos legales y regulatorios que su empresa debe cumplir.

# Práctica recomendada 5.2: clasifique los datos dentro de las cargas de trabajo de SAP
<a name="best-practice-5-2"></a>

La sensibilidad de los datos puede afectar los controles necesarios para mitigar el riesgo. AWS sugiere consultar los marcos del estándar dentro de su industria o su organización y adoptarlos para clasificar sus cargas de trabajo de SAP y los datos que contienen.

 **Sugerencia 5.2.1: determine la clasificación de los datos y los requisitos de manipulación** 

 Identifique cualquier marco de clasificación de datos ya implementado en su organización. Estos marcos pueden ayudarle a categorizar los datos en función de la sensibilidad de la información, como, por ejemplo, los datos que deben protegerse por cuestiones de confidencialidad, integridad y disponibilidad. Existen modelos de clasificación estándar, por ejemplo, el [Esquema de categorización de información de EE. UU.,](https://docs.aws.amazon.com/whitepapers/latest/data-classification/u.s.-information-categorization-scheme.html) que se pueden personalizar en función de su industria, empresa o requisitos de TI. 

 Comprenda cómo se deben manipular los datos según las pautas apropiadas para la clasificación. Esto incluye los controles de seguridad específicos relacionados con los requisitos estándar o normativos (por ejemplo, PCI-DSS o GDPR) y las consideraciones de privacidad comunes (por ejemplo, el manejo de Información personal identificable [PII]). En los siguientes documentos, podrá encontrar información adicional: 
+  Documentación de AWS: [Data Classification: Secure Cloud Adoption Whitepaper (Clasificación de datos: documento técnico de adopción segura de la nube)](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification-overview.html) 
+  Documentación de AWS: [Reglamentación General de Protección de Datos (RGPD)](https://aws.amazon.com/compliance/gdpr-center/) 
+  [NIST Security and Privacy Controls for Information Systems and Organizations (Controles de seguridad y privacidad del NIST para organizaciones y sistemas de Información)](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) 
+  [ISO 27001 – Annex A.8: Asset Management (Anexo A.8: administración de activos)](https://www.iso.org/isoiec-27001-information-security.html) 
+  Well-Architected Framework [seguridad]: [Protección de los datos](https://docs.aws.amazon.com/wellarchitected/latest/framework/a-data-protection.html) 

 **Sugerencia 5.2.2: identifique los tipos de datos de SAP con reglas de manejo específicas** 

 En función de los procesos empresariales que admite su sistema SAP, podrían existir requisitos para la manipulación y el almacenamiento de datos. Familiarícese con las pautas que rigen para su ubicación y su industria. Entre algunos ejemplos vinculados a SAP, se encuentran los siguientes: 
+ Evaluar si es necesario un complemento digital para pagos a fin de proteger los datos del titular de la tarjeta almacenados y garantizar la conformidad con la Payment Card Industry (PCI, industria de tarjetas de pagos).
+ Evaluar los datos de RR. HH. para conocer los requisitos de residencia de los datos, por ejemplo, algunos países y jurisdicciones podrían requerir que los datos se almacenen dentro de una ubicación geográfica específica.
+ Considere qué datos podrían tener que estar cifrados en sistemas que no sean de producción para ocultar información confidencial, pero mantener la integridad de los datos.

 **Sugerencia 5.2.3: clasifique todas sus cargas de trabajo según el marco definido** 

Clasifique sus sistemas SAP según su uso comercial y la existencia de tipos de datos críticos. Los sistemas de transacciones, como SAP ERP, tienen más probabilidades de contener información confidencial que los sistemas analíticos, tales como SAP BW, o los sistemas de administración, como Solution Manager, aunque esto deberían validarlo expertos funcionales y de seguridad.

Además, debe evaluar si los mismos controles se aplican a cargas de trabajo que no son de producción. Por ejemplo, las cargas de trabajo que no son de producción incluyen datos de producción y, por lo tanto, ¿deben cumplir con los mismos controles de seguridad?

# Práctica recomendada 5.3: evalúe la necesidad de aplicar controles de seguridad específicos para sus cargas de trabajo de SAP
<a name="best-practice-5-3"></a>

En función de la clasificación de datos, evalúe los controles que pueden ayudarlo a cumplir con los estándares y los requisitos establecidos en las prácticas recomendada anteriores. Estas prácticas incluyen ubicación, estrategia de cuenta de AWS y requisitos de aleatorización para cargas de trabajo de SAP que no sean de producción.

 **Sugerencia 5.3.1: evalúe cualquier requisito de ubicación geográfica** 

 Sus cargas de trabajo de SAP podrían implementarse en una o varias regiones y AZ de AWS. Cada región de AWS consta de varias AZ aisladas y separadas físicamente dentro de un área geográfica. Además de evaluar la región en busca de latencia y resiliencia, debería considerar si se cumplen los requisitos de seguridad y conformidad. Entre algunos de las regiones aisladas con jurisdicciones operativas específicas, se encuentran las siguientes: 
+ AWS GovCloud (EE. UU.): designada para alojar información confidencial, cargas de trabajo reglamentadas, y seguir los requisitos de seguridad y conformidad más estrictos del gobierno de los EE. UU.
+ Amazon Web Services en China: AWS ha colaborado con socios locales para garantizar que se cumplan los requisitos legales y normativos de China.

 Algunas industrias o países tienen requisitos de residencia de datos que establecen que todo el contenido de los clientes que se procesa y se almacena en un sistema de TI debe permanecer dentro de las fronteras de un país en particular. 
+  Documentación de AWS: [Addressing Data Residency with AWS (Cómo abordar la residencia de los datos con AWS)](https://aws.amazon.com/blogs/security/addressing-data-residency-with-aws/) 

 Antes de decidir una ubicación, revise la disponibilidad de los servicios para esa región de AWS a fin de asegurarse de que los servicios que requiere estén disponibles. 
+  Documentación de AWS: [Servicios regionales de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/) 

 **Sugerencia 5.3.2: determine la estrategia de cuenta de AWS requerida para sus cargas de trabajo de SAP** 

Una importante consideración al ejecutar las cargas de trabajo de SAP en AWS es la estrategia de cuenta de AWS que adopte para cumplir con los controles de seguridad de la organización. Debería considerar separar las cargas de trabajo de SAP de las que no son de SAP y ejecutar las cargas de trabajo de producción en una cuenta distinta a la que destina para ejecutar cargas que no son de producción.

 Comprenda la estrategia de administración de cuentas de AWS de su organización, incluido el uso de AWS Organizations y AWS Control Tower. Considere aislar las capacidades de seguridad y registro en una cuenta aislada. Consulte los siguientes recursos para obtener detalles adicionales: 
+  Well-Architected Framework [seguridad]: [Separación y administración de cuentas de AWS](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/aws-account-management-and-separation.html) 
+  Documentación de AWS: [Establecer su entorno de acuerdo con las practicas recomendadas de AWS](https://aws.amazon.com/organizations/getting-started/best-practices/) 
+  Documentación de AWS: [Organizing Your AWS Environment Using Multiple Accounts (Organizar su entorno de AWS utilizando varias cuentas)](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/advanced-organization.html) 

 La estrategia de cuenta que adopte también afectará la configuración de la red dentro de AWS. Al determinar la estrategia de cuenta de AWS adecuada para sus cargas de trabajo de SAP, debe considerar lo siguiente: 
+  Requisitos para el acceso entre cuentas, como la necesidad de configurar [Interconexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html) o [Gateway de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) para permitir la comunicación entre sistemas de producción y de no producción. Por ejemplo, el movimiento de transportes de SAP en su infraestructura. 
+ Las dependencias de servicios compartidos (como recursos de administración de directorios) y los componentes de administración de red que se implementan en diferentes cuentas de AWS desde sus cargas de trabajo de SAP.

 **Sugerencia 5.3.3: revise los controles para la aleatorización de datos (si corresponde)** 

Muchos clientes de SAP confían en las copias de datos de producción con fines de pruebas, incluidas las pruebas de rendimiento y regresión. Si crea una copia de datos de producción, decida qué controles debe añadir para asegurarse de que sus datos de producción estén protegidos contra accesos y modificaciones no deseados.

 Considere las siguientes opciones: 
+ Mecanismos tradicionales de aleatorización de datos proporcionados por SAP o terceros
+ Uso de cuentas tradicionales o controles de red para limitar el acceso durante una copia de datos de producción
+ Uso de una cuenta que no es de producción con los mismos controles que la de producción

# Práctica recomendada 5.4: cree una estrategia para implementar controles de seguridad
<a name="best-practice-5-4"></a>

Después de evaluar los requisitos empresariales en función de la clasificación de datos, cree una estrategia que equilibre los controles de seguridad de toda su organización con las guías de aplicación y los estándares abiertos disponibles. Tenga en cuenta el esfuerzo de implementación y reconozca el riesgo.

 **Sugerencia 5.4.1: identifique una matriz para evaluar el riesgo** 

 Existen una variedad de marcos de administración de riesgos para geografías e industrias específicas. Comprenda el marco de riesgo adoptado por su organización y cómo aplica a la administración de riesgos relacionados con sus cargas de trabajo de SAP. 
+  Documentación de AWS: [Ejemplo de matriz de riesgo](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/governance.html) 
+  Documentación de AWS: [Scaling a governance, risk, and compliance program for the cloud (Escalar un programa de gobernanza, riesgo y conformidad para la nube)](https://aws.amazon.com/blogs/security/scaling-a-governance-risk-and-compliance-program-for-the-cloud/) 
+  [NIST Risk Management Framework (Marco de administración de riesgos del NIST)](https://www.nist.gov/cyberframework/risk-management-framework) 

 **Sugerencia 5.4.2: evalúe los requisitos de seguridad y conformidad exigidos por su organización** 

Consulte con su centro de excelencia en la nube, su equipo legal, los equipos de conformidad y con su proveedor de servicios administrados para comprender su base de referencia de seguridad y cómo se aplican los controles. Evalúe si todos estos controles se pueden aplicar fácilmente a su carga de trabajo de SAP e identifique áreas que podrían requerir una excepción, por ejemplo, listas de permitidos y denegados para servicios de AWS, flujo de tráfico entrante y saliente y restricciones de acceso.

 **Sugerencia 5.4.3: identifique y convenga un proceso de excepciones** 

En algunas situaciones, los requisitos de software, empresariales y de soporte para SAP podrían requerir que se desvíe de los patrones de seguridad estándar. Identifique un proceso para acordar y documentar cualquier excepción con un foro de asesoramiento de cambios o una autoridad de diseño de seguridad, y vuelva a evaluar el proceso periódicamente.

 Documentación de AWS: [Change Management in the Cloud (Administración de cambios en la nube)](https://docs.aws.amazon.com/whitepapers/latest/change-management-in-the-cloud/change-management-in-the-cloud.html) 

# 6. Utilice controles de infraestructura y de software para reducir los errores de configuraciones de seguridad
<a name="design-principle-6"></a>

 **¿Cómo protege su aplicación SAP y la base de datos, sistema operativo, almacenamiento y redes subyacentes?** Recomendamos que se refuercen las soluciones de software de SAP y las configuraciones subyacentes asociadas, como las revisiones del sistema operativo y la base de datos, los parámetros, los servicios en la nube y la infraestructura. El fortalecimiento ayuda a garantizar la seguridad de todos los entornos de SAP, tanto de producción como de no producción, en el nivel correcto determinado por su organización. 

 Utilice el [Modelo de responsabilidad compartida de AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) para guiar sus actividades con respecto a la seguridad de su entorno de SAP. Por ejemplo, las actualizaciones del firmware de sus instancias de EC2 son actividades de “seguridad de la nube” de las que AWS es responsable, mientras que la administración de las aplicaciones y del sistema operativo de esas mismas instancias de EC2 son actividades de “seguridad en la nube” de las que usted es responsable. 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/design-principle-6.html)

 Para más información, consulte la siguiente información: 
+  Documentación de AWS: [AWS Security Whitepaper (Documento técnico de seguridad de AWS)](http://d0.awsstatic.com/whitepapers/aws-security-best-practices.pdf) 
+  Notas de SAP: [2191528 - Third-party report showing security vulnerabilities (informe de terceros en el que se muestran vulnerabilidades de seguridad)](https://launchpad.support.sap.com/#/notes/2191528) [Se necesita acceso al portal de SAP] 
+  Documentación de SAP: [ABAP Platform Security Guide (Guía de seguridad de ABAP Platform)](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4aaf6fd65e233893e10000000a42189c.html) 

# Práctica recomendada 6.1: asegúrese de que la seguridad y la auditoría estén integradas en el diseño de la red de SAP
<a name="best-practice-6-1"></a>

Proteger el acceso a la red que aloja su carga de trabajo de SAP es la primera línea de defensa contra la actividad maliciosa. Evalúe los requisitos de su empresa y la solución específica de SAP para determinar los puertos, protocolos y patrones de tráfico que deben habilitarse. Considere los estándares de seguridad de su organización y las herramientas y los patrones disponibles para simplificar el diseño de la red. Realice auditorías periódicamente o cuando se produzcan cambios.

 **Sugerencia 6.1.1: comprenda los flujos de tráfico de red para SAP** 

Empiece por comprender sus flujos de tráfico. Los patrones de tráfico de red para las cargas de trabajo de SAP se pueden clasificar como tráfico entrante, tráfico saliente y tráfico interno. Debe identificar si el origen y el destino se encuentran dentro de los límites de su red de confianza para ayudar a definir sus conjuntos de reglas.

Además de los flujos de tráfico entrante y saliente conocidos, como el acceso de usuarios y las conexiones de interfaz, tenga en cuenta los requisitos específicos de SAP, incluidas las conexiones a SAP Support (a través de SAProuter) y las ofertas de SaaS de SAP que restringen el acceso en función de las direcciones IP de origen.

 Para el tráfico interno, considere el tráfico entre los componentes y el sistema, así como AWS y servicios compartidos. Herramientas como [Registros de flujo de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) y [VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) pueden ayudarlo a comprender los flujos de tráfico que entran y salen de Amazon VPC. 

 Para más información, consulte la siguiente información: 
+  Documentación de SAP: [TCP/IP Ports for All SAP Products (Puertos TCP/IP para todos los productos SAP)](https://help.sap.com/viewer/ports) 

 **Sugerencia 6.1.2: evalúe opciones para permitir y restringir flujos de tráfico** 

 Primero, comprenda cómo conecta usuarios y sistemas de su red en las instalaciones a la cuenta de AWS en la que se ejecutan sus sistemas SAP. Esto se trata en [Network-to-Amazon VPC connectivity options (Opciones de conectividad entre redes y Amazon VPC)](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) . 

 Dos métodos principales para controlar el flujo de tráfico de red hacia y desde su VPC consisten en el uso de [grupos de seguridad](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) y [listas de control de acceso de red](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) (ACL de red). Un grupo de seguridad actúa como un firewall virtual con estado que funciona a nivel de la instancia de EC2 para controlar el tráfico entrante y saliente. Una Access Control List (ACL, lista de control de acceso) de red es una capa opcional de seguridad para su VPC que actúa como firewall para controlar el tráfico de entrada y de salida de una o más subredes, y, a diferencia de los grupos de seguridad, un ACL de red no tiene estado. 

Considere también las dependencias de los componentes de red fuera de su VPC. Esto puede incluir componentes de red externos proporcionados por AWS, como los puntos de conexión de Amazon CloudWatch. Esto también puede incluir servicios alojados en Internet, como repositorios de software para revisiones del sistema operativo.

 Además de las opciones estándar en AWS, SAP brinda opciones de seguridad de red adicionales, que incluyen el uso de [SAProuter](https://support.sap.com/content/dam/support/en_us/library/ssp/tools/connectivity-tools/saprouter/SAProuter.pdf) , [SAP Web Dispatcher](https://help.sap.com/doc/7b5ec370728810148a4b1a83b0e91070/1610%20002/en-US/frameset.htm?488fe37933114e6fe10000000a421937.html) y las listas de control de acceso [basadas en la red de SAP Gateway](https://help.sap.com/viewer/62b4de4187cb43668d15dac48fc00732/LATEST/en-US/d0a4956abd904c8d855ee9d368bc510b.html) . Estas opciones trabajan en conjunto con servicios y configuraciones de AWS para permitir o restringir el acceso a la red de los sistemas SAP. 

 Para más información, consulte la siguiente información: 
+  Blog de SAP on AWS: [VPC Subnet Zoning Patterns for SAP on AWS (Patrones de zonificación de la subred de VPC para SAP on AWS)](https://aws.amazon.com/blogs/awsforsap/vpc-subnet-zoning-patterns-for-sap-on-aws/) 
+  Well-Architected Framework [seguridad]: [Protección de infraestructura: protección de redes](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-networks.html) 
+  Well-Architected Framework [enfoque de administración y gobernanza]: [Conectividad a la red](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-lens/networkconnectivity.html) 
+  Documentación de SAP: [Seguridad de comunicaciones y redes](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/492f0050d5ac612fe10000000a44176d.html) 

 **Sugerencia 6.1.3: utilice pautas de diseño y herramientas de AWS para simplificar la seguridad de la red** 

 Los sistemas SAP con frecuencia tienen requisitos de integración complejos y la nube ofrece formas adicionales de simplificar la administración de la seguridad de la red. Considere los siguientes enfoques: 
+ Evite referirse a rangos IP o direcciones IP individuales cuando sea posible para simplificar la administración.
+ Utilice un conjunto estándar de números del sistema SAP en todas sus cargas de trabajo de SAP para disminuir el rango de puertos de red necesarios.
+  [Los puntos de conexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) eliminan el requisito de acceso a Internet saliente desde su VPC para acceder a servicios de AWS como Amazon S3 y Amazon CloudWatch. Cuando sea posible y no sea obligatorio por los requisitos de la empresa, puede evitar que el tráfico de SAP hacia y desde estos servicios atraviesen la Internet pública mediante el enrutamiento de todo el tráfico a través de componentes de red administrados de AWS. 
+  Simplifique los grupos de seguridad mediante el uso de [listas de prefijos de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html) o [reglas del grupo de seguridad](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) que hacen referencia a otros grupos de seguridad en lugar de rangos de direcciones IP. 
+ Utilice la automatización para crear, actualizar y administrar grupos de seguridad para evitar sesgos en la configuración.
+  Considere utilizar [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/) para brindar una administración centralizada de grupos de seguridad en VPC y cuentas de AWS. 
+  Considere utilizar [SAProuter](https://support.sap.com/en/tools/connectivity-tools/saprouter.html) , [SAP Web Dispatcher](https://help.sap.com/doc/7b5ec370728810148a4b1a83b0e91070/1610 002/en-US/frameset.htm?488fe37933114e6fe10000000a421937.html) y AWS Elastic Load Balancing para ocultar los puntos de entrada a los sistemas de backend. 
+  Considere utilizar múltiples [puntos de entrada de SAP Internet Communication Manager (ICM)](https://help.sap.com/doc/d2ecfdfcaedc4e2ba46a99a6be7d5797/1610 002/en-US/frameset.htm#:~:text=The%20ICM%20is%20a%20component%20of%20the%20SAP%20NetWeaver%20Application%20Server.&text=The%20Internet%20Communication%20Manager%20ensures,processes%20requests%20from%20the%20Internet.) para brindar un control de acceso más detallado. 

 Para más información, consulte la siguiente información: 
+  Documentación de SAP: [Network-based Access Control Lists (Listas de control de acceso basadas en red)](https://help.sap.com/viewer/62b4de4187cb43668d15dac48fc00732/LATEST/en-US/d0a4956abd904c8d855ee9d368bc510b.html) 
+  Documentación de SAP: [TCP/IP Ports for All SAP Products](https://help.sap.com/viewer/ports) 

# Práctica recomendada 6.2: cree y proteja el sistema operativo
<a name="best-practice-6-2"></a>

La protección del sistema operativo que subyace a su software de SAP disminuye la posibilidad de que un actor malicioso pueda obtener acceso no autorizado a los datos internos de la aplicación SAP, afectar la disponibilidad del software o desestabilizar las implementaciones esenciales para su empresa. Siga las recomendaciones de SAP, el proveedor del sistema operativo, el proveedor de la base de datos y AWS para proteger el sistema operativo. Según la solución y el sistema operativo de SAP que haya elegido, es posible que deba habilitar o desactivar servicios, establecer parámetros de kernel específicos y aplicar diferentes combinaciones de revisión de seguridad. Piense cómo los requisitos de SAP se alinean con los de su organización e identifique cualquier conflicto.

 **Sugerencia 6.2.1: determine un enfoque para el aprovisionamiento de un sistema operativo seguro** 

La imagen de máquina de Amazon (AMI) brinda la información requerida para lanzar una instancia de EC2. Debería estar convencido de que sus AMI son seguras a nivel del sistema operativo. De lo contrario, las brechas de seguridad podrían propagarse a cualquier cantidad de instancias a medida que las AMI se reutilizan y actualizan.

 Las AMI pueden ser imágenes estándar del proveedor del sistema operativo o imágenes personalizadas que cree usted mismo. En ambos casos, necesita tener un enfoque coherente para garantizar que el sistema operativo sea seguro durante el lanzamiento y se mantenga de forma continua. Con herramientas de infraestructura como código (IaC), como [AWS CloudFormation,](https://aws.amazon.com/cloudformation/) puede lograr la coherencia de la seguridad de la imagen. Para las soluciones de SAP basadas en HANA, [AWS Launch Wizard](https://aws.amazon.com/launchwizard/) para SAP simplifica el proceso de instalación, incluidos los scripts previos y posteriores a la instalación que se pueden personalizar para automatizar la instalación de los componentes de seguridad. 

 Consulte la guía de AWS Well-Architected Framework [pilar de seguridad] sobre la protección de los recursos de computación, específicamente la información sobre cómo realizar la administración de vulnerabilidades y reducir la superficie expuesta a ataques, para obtener detalles adicionales. 
+  Well-Architected Framework [seguridad]: [Protección de recursos informáticos](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-compute.html) 

 **Sugerencia 6.2.2: determine un enfoque para mantener un sistema operativo seguro** 

 Como se mencionó en la discusión de Well-Architected Framework [pilar de seguridad] sobre la protección de la computación, si el sistema operativo elegido es compatible con EC2 Image Builder, puede simplificar la creación, prueba e implementación de sus AMI específicas de SAP y su administración continua de revisiones. También debería controlarse queAWS Systems Manager Patch Manager mantenga la posición de seguridad de su sistema operativo mediante la automatización de la aplicación de revisiones de seguridad. 
+  Well-Architected Framework [seguridad]: [Protección de recursos informáticos](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-compute.html) 
+  Documentación de AWS: [EC2 Image Builder](https://aws.amazon.com/image-builder/) 
+  Documentación de AWS: [AWS Systems Manager Patch Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html) 

 **Sugerencia 6.2.3: revise las recomendaciones de seguridad adicionales aplicables a su sistema operativo** 

Determine la lista completa de elementos que se requieren para fortalecer el sistema operativo subyacente al software de SAP. Por ejemplo, los permisos del sistema de archivos en los sistemas basados en Linux deben configurarse siguiendo las pautas de SAP. Por otro lado, limitar el acceso a grupos de administradores es una práctica recomendada en los sistemas basados en Windows.

 Las siguientes recomendaciones específicas de SAP pueden ser relevantes para su entorno: 
+  Documentación de SAP: [SAP NetWeaver Security Guide - Operating System Security (Guía de seguridad de SAP NetWeaver: seguridad del sistema operativo)](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4a6e3d96f90472dde10000000a42189b.html) 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/best-practice-6-2.html)

 **Sugerencia 6.2.4: valide la posición de seguridad del sistema operativo** 

Una vez que el sistema operativo se haya implementado y revisado de manera segura, la validación de la posición de seguridad del sistema operativo garantizará que el sistema operativo mantenga un nivel alto y continuo de seguridad sin vulneraciones. Considere automatizar esta validación utilizando software de terceros de protección contra intrusiones en el host, de detección de intrusiones, de antivirus y de firewall del sistema operativo.

 Para más información, consulte la siguiente información: 
+  Well-Architected Framework [seguridad]: [Operación segura](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/operating-your-workload-securely.html) 
+  Well-Architected Framework [seguridad]: [Detección](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) 
+  Well-Architected Framework [seguridad]: [Protección de recursos informáticos](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-compute.html) 

# Práctica recomendada 6.3: proteja la base de datos y la aplicación
<a name="best-practice-6-3"></a>

La vigilancia de la seguridad es imperativa en las capas de la base de datos y de la aplicación, ya que un actor malicioso que obtenga acceso incluso a un nivel donde solo se puedan hacer operaciones de lectura podría poner en riesgo la seguridad de los datos críticos de la empresa. En todos los casos, siga las prácticas recomendadas estándar de SAP para la protección del acceso a la base de datos y para garantizar la seguridad de las aplicaciones. Estas prácticas aplican tanto a las instalaciones como a la infraestructura basadas en la nube, y existen guías para cada base de datos subyacente compatible para los sistemas SAP.

 **Sugerencia 6.3.1: siga las pautas de SAP sobre la seguridad de la base de datos para su base de datos predilecta** 

 Consulte los siguientes recursos para obtener las pautas apropiadas: 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/best-practice-6-3.html)

 **Sugerencia 6.3.2: siga las guías de SAP sobre la seguridad de las aplicaciones** 

 En el caso de las soluciones basadas en SAP NetWeaver, puede encontrar orientación prescriptiva en la Guía de seguridad de SAP NetWeaver. 
+  Documentación de SAP: [ABAP Platform Security Guide](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4aaf6fd65e233893e10000000a42189c.html) 

# Práctica recomendada 6.4: establezca un plan para actualizar y revisar todo el software aplicable.
<a name="best-practice-6-4"></a>

SAP y los proveedores de los sistemas operativos y las bases de datos subyacentes publican actualizaciones de seguridad estándar de acuerdo con una programación definida y brindan actualizaciones de emergencia para corregir vulnerabilidades. Manténgase al tanto de la información en materia de seguridad más reciente de cada proveedor Recomendamos que mantenga su aplicación SAP y todos sus componentes subyacentes actualizados con las últimas correcciones de seguridad de manera planificada para evitar brechas de seguridad. También recomendamos que establezca un plan para aplicar correcciones de emergencia cuando se publiquen revisiones de seguridad fundamentales.

 **Sugerencia 6.4.1: suscríbase a las alertas de los proveedores de soluciones de sistemas operativos, bases de datos y software.** 

 Si se suscribe a los portales de sus diversos proveedores para obtener actualizaciones de seguridad, podrá estar al tanto de nuevos problemas de seguridad y de sus soluciones a medida que se publican. Esto puede ayudarlo a planificar los cambios requeridos. 
+  Documentación de AWS: [Boletines de seguridad de AWS](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc) 
+  Documentación de SAP: [SAP EarlyWatch Alert](https://support.sap.com/en/offerings-programs/support-services/earlywatch-alert.html) 
+  Documentación de SAP: [SAP Security News](https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html) 

 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/best-practice-6-4.html)

 **Sugerencia 6.4.2: revise los cambios recomendados, el riesgo que suponen para su empresa y el esfuerzo de implementación** 

 Los equipos de SAP deben aprender a buscar un equilibrio entre la necesidad de maximizar los tiempos de disponibilidad (uptime) del sistema y la importancia de aplicar cambios recomendados a fin de mejorar la seguridad de SAP. No hacerlo puede dar lugar a riesgos innecesarios, como interrupciones del servicio, impacto financiero o pérdida de productividad. Revise los cambios recomendados y los pasos de implementación para reparar las vulnerabilidades de sus proveedores y planee implementarlos de inmediato. Esto se relaciona directamente con las prácticas recomendadas del pilar de excelencia operativa que se trataron en este enfoque, sobre todo, con la creación de manuales de procedimientos de seguridad. 
+  SAP Lens [excelencia operativa]: [Sugerencia 3.4.1: cree manuales de procedimientos específicos de operaciones de seguridad de SAP](best-practice-3-4.md) 

 **Sugerencia 6.4.3: establezca un plan para tratar vulnerabilidades de manera oportuna.** 

 Aplicar nuevas recomendaciones de seguridad de SAP y revisiones relacionadas con la seguridad lo más rápido posible es fundamental tanto para las soluciones de SAP basadas en AWS como para aquellas que se instalan en otros lugares. Revise con regularidad [SAP Security Notes and News (Noticias y notas de seguridad de SAP)](https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html) y cree un proceso para solucionar los problemas de seguridad rápidamente con las revisiones, notas y recomendaciones que se encuentran allí. En algunos casos, es posible que los administradores de SAP también deban implementar medidas temporales de control o mitigación hasta que se puedan tratar las vulnerabilidades subyacentes. Siga también las recomendaciones del pilar de seguridad que tratan sobre la respuesta a incidentes. 
+  Well-Architected Framework [seguridad]: [Respuesta a incidentes](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) 
+  Documentación de SAP: [SAP Security Notes and News](https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html) 

# 7. Controle el acceso a sus cargas de trabajo de SAP a través de la identidad y los permisos
<a name="design-principle-7"></a>

 **¿Cómo controla el acceso a su carga de trabajo de SAP?** Utilice mecanismos proporcionados por AWS, SAP y demás proveedores externos para garantizar que los usuarios finales y los sistemas de interfaz estén correctamente identificados y autenticados. ¿Cómo se controlan los permisos para garantizar el privilegio mínimo? ¿Cómo se audita e informa el acceso? Empiece por identificar sus categorías de usuario y luego defina sistemáticamente los controles y su enfoque de administración de identidad para limitar el acceso a su carga de trabajo de SAP. 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/design-principle-7.html)

# Práctica recomendada 7.1: comprenda sus categorías de usuario de SAP y los mecanismos de acceso
<a name="best-practice-7-1"></a>

Los tipos de usuarios que acceden a su sistema SAP determinarán los controles de seguridad que debe aplicar. Al examinar cada caso de uso, puede desarrollar una estrategia. Esto debe incluir cómo administra las identidades, la autenticación, las herramientas y los mecanismos para respaldar esos requisitos.

 **Sugerencia 7.1.1: comprenda los permisos de acceso a los datos y las acciones permitidas** 

 Los sistemas SAP a menudo contienen datos empresariales altamente confidenciales. A medida que define los tipos de usuarios, comprenda los permisos de acceso a los datos. (Por ejemplo, un usuario de una base de datos administrativa no tiene los controles pormenorizados de un usuario de la aplicación y, por lo tanto, puede ser más crítico). Consulte también [seguridad] [Práctica recomendada 5.2: clasifique los datos dentro de las cargas de trabajo de SAP](best-practice-5-2.md). 

 Considere las siguientes preguntas en relación con su acceso al sistema SAP: 
+ ¿Las medidas que toma un usuario administrativo o de servicio deben poder rastrearse hasta un individuo identificable de manera única?
+ ¿En qué capa de la aplicación se otorgará el acceso?
+ ¿Puede restringir el acceso a un subconjunto de funcionalidades con ayuda de permisos?
+ ¿Puede restringir el acceso a un subconjunto de funcionalidades a través de otros controles, por ejemplo, exponiendo solo ciertos servicios?
+ ¿Existe un requisito para auditar las medidas tomadas?

 **Sugerencia 7.1.2: comprenda la red o la ubicación desde la cual los usuarios accederán a los sistemas SAP** 

 La red o la ubicación a menudo contribuyen al perfil de riesgo de seguridad y pueden determinar si el usuario se considera de confianza o no. Por lo general, esto se combina con los controles para evitar el acceso no autorizado (consulte [Práctica recomendada 6.1: asegúrese de que la seguridad y la auditoría estén integradas en el diseño de la red de SAP](best-practice-6-1.md) ). 

Esto puede repercutir en su diseño. Por ejemplo, un usuario o dispositivo de Internet que no sean de confianza pueden requerir factores de autenticación adicionales para acceder a su carga de trabajo de SAP, en comparación con un usuario de confianza de su red corporativa.

# Práctica recomendada 7.2: administre el acceso privilegiado a su carga de trabajo de SAP
<a name="best-practice-7-2"></a>

Adopte un enfoque de privilegio mínimo cuando sea posible. Otorgue solo el acceso mínimo que se necesita para llevar a cabo un rol específico a un conjunto reducido de usuarios mientras administra la utilidad y la eficiencia. Existen cuentas administrativas (por ejemplo, `<sid>adm`) que, de manera predeterminada, tienen acceso para afectar significativamente la fiabilidad o la seguridad de los datos de su carga de trabajo de SAP. Considere cómo puede limitar este riesgo.

 **Sugerencia 7.2.1: administre la autenticación y las credenciales de AWS** 

 AWS Identity and Access Management (IAM) permite administrar el acceso a los servicios y recursos de AWS de manera segura. Con IAM, puede crear y administrar usuarios y grupos de AWS para diferentes tareas de administración de SAP y de la nube. Utilice los permisos de IAM para permitir y denegar el acceso de los usuarios a los recursos de AWS. Se debe seguir la orientación estándar, en particular, restringir y asegurar el acceso privilegiado (raíz). 
+  Documentación de AWS: [Prácticas recomendadas de seguridad en IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 

 En el caso del acceso que no está asignado a un usuario, pero que es necesario para la operación de la aplicación SAP, sea lo suficientemente precavido de conceder privilegios mínimos. 
+  Documentación de AWS: [Uso de un rol de IAM para conceder permisos a aplicaciones que se ejecutan en instancias Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) 

 **Sugerencia 7.2.2: administre la autenticación y las credenciales de SAP** 

Implemente un proceso para aprobar y otorgar permisos elevados solo cuando sea necesario, por un tiempo limitado. Utilice la funcionalidad de auditoría que se encarga de determinar a quién y por qué se concedió el acceso.

Restrinja el uso de nombres de usuario o de contraseñas a cuentas privilegiadas. Desactive el acceso directo cuando sea posible. Almacene las credenciales de forma segura, por ejemplo, con ayuda de una solución de administración de acceso privilegiado o un almacén de contraseñas.

 Evalúe cómo se podría utilizar Systems Manager para restringir el acceso directo al sistema operativo a tareas específicas utilizando manuales de procedimientos, RunCommand y Secrets Manager. 
+  Documentación de AWS: [Restricción del acceso a los comandos de nivel raíz a través de SSM Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-restrict-root-level-commands.html) 
+  Documentación de AWS: [Referencia a los secretos de AWS Secrets Manager desde los parámetros de Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/integration-ps-secretsmanager.html) 

# Práctica recomendada 7.3: comprenda el enfoque de administración de identidad de su organización y cómo se aplica a SAP
<a name="best-practice-7-3"></a>

Las cargas de trabajo típicas de SAP consistirán en múltiples sistemas y, por lo tanto, múltiples identidades. Un enfoque centralizado para administrar estos usuarios puede reducir el riesgo de seguridad y la complejidad operativa. El énfasis está en cómo puede utilizar los servicios de AWS y las herramientas de terceros en su enfoque, considerando la administración centralizada de usuarios, el inicio de sesión único y la autenticación multifactor.

 **Sugerencia 7.3.1: determine un proveedor de identidad para usuarios designados** 

Los usuarios se asociarán con un almacén de identidades, por ejemplo, Active Directory. Dicho almacén actúa como un repositorio central para administrar información de identidad, como roles, permisos e identificadores. Determine si cada conjunto de identidades se puede asociar con un proveedor de identidad. Un proveedor de identidad le permite desvincularse de la autenticación de los usuarios. Facilita el SSO y también administra el ciclo de vida de identidad de los usuarios (por ejemplo, los que ingresan, los que se trasladan y los que se van).

 Considere excepciones para usuarios designados que no están asociados con un ser humano. Esto puede incluir lotes, programación de trabajos, integración y supervisión de usuarios. 
+  Documentación de AWS: [AWS Directory Service \$1 Amazon Web Services (AWS)](https://aws.amazon.com/directoryservice/) 

 **Sugerencia 7.3.2: determine los mecanismos de autenticación** 

 Comprenda los mecanismos de autenticación admitidos (por ejemplo, SAML, Kerberos, X.509, tickets de inicio de sesión único de SAP) en cada una de las capas de su carga de trabajo de SAP. Evalúe los requisitos para integrarse con su aplicación. Siempre que sea posible, utilice el inicio de sesión único para evitar el impacto administrativo y de seguridad de administrar múltiples credenciales de usuarios. 
+  Documentación de SAP: [User Authentication and single sign-on (Autenticación de usuario e inicio de sesión único)](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4a112f1a2228101ee10000000a42189b.html) 
+  Documentación de AWS: [Aplicaciones de la nube: AWS Single Sign-On](https://docs.aws.amazon.com/singlesignon/latest/userguide/saasapps.html) 
+  Blog de SAP on AWS: [Enable SAP Single Sign On with AWS SSO Part 1: Integrate SAP NetWeaver ABAP with AWS SSO (Habilite el SSO de SAP con AWS SSO parte 1: integre SAP NetWeaver ABAP con AWS SSO)](https://aws.amazon.com/blogs/awsforsap/enable-sap-single-sign-on-with-aws-sso-part1-integrate-sap-netweaver-abap-based-applications-sso-with-aws-sso/) 
+  Blog de SAP on AWS: [Enable SAP Single Sign On with AWS SSO Part 2: Integrate SAP NetWeaver Java (Habilite el SSO de SAP en AWS SSO Parte 2: integre SAP NetWeaver Java)](https://aws.amazon.com/blogs/awsforsap/enable-sap-single-sign-on-with-aws-sso-part-2-integrate-sap-netweaver-java/) 
+  Blog de SAP on AWS: [Enable Single Sign On for SAP Cloud Platform Foundry and SAP Cloud Platform Neo with AWS SSO (Habilite el SSO para SAP Cloud Platform Foundry y SAP Cloud Platform Neo con AWS SSO)](https://aws.amazon.com/blogs/awsforsap/enable-single-sign-on-for-sap-cloud-platform-foundry-and-sap-cloud-platform-neo-with-aws-sso/) 

 **Sugerencia 7.3.3: considere utilizar la autenticación multifactor** 

 La Multi-Factor Authentication (MFA, autenticación multifactor) es una práctica recomendada que añade una capa de protección adicional que se complementa con sus credenciales de inicio de sesión. Estos factores múltiples le brindan una mayor seguridad a su aplicación SAP. Entre los casos de uso, se encuentran el acceso a SAP desde un dispositivo que no es de confianza, acceso a AWS Management Console y actividades privilegiadas, como la eliminación de copias de seguridad o la terminación de instancias de EC2. 
+  Blog de SAP on AWS: [Securing SAP Fiori with MFA (Protección de SAP Fiori con MFA)](https://aws.amazon.com/blogs/awsforsap/securing-sap-fiori-with-multi-factor-authentication/) 
+  Documentación de AWS: [Uso de dispositivos MFA con la página de inicio de sesión de IAM:AWS Identity and Access](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_sign-in-mfa.html) 
+  Documentación de AWS: [Configuración de la eliminación de MFA: Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) 
+  Documentación de AWS: [Amazon EC2: Requiere MFA (GetSessionToken) para operaciones EC2 específicas](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2_require-mfa.html) 

 **Sugerencia 7.3.4: determine el enfoque para la administración de certificados** 

 Los certificados basados en el cliente se pueden utilizar para la autenticación sin la necesidad de credenciales. Determine un enfoque que incluya el vencimiento basado en el tiempo para la administración de sesiones y la rotación de certificados para la comunicación entre sistemas. AWS brinda una autoridad de certificación en la que confía SAP. Los certificados se pueden emitir y administrar utilizando [AWS Certificate Manager (ACM)](https://aws.amazon.com/certificate-manager/) . 
+  Notas de SAP: [2801396 - SAP Global Trust List (Lista de confianza global de SAP)](https://launchpad.support.sap.com/#/notes/2801396) [Se necesita acceso al portal de SAP] 
+  Notas de SAP: [3040959 - How to get a CA signed server certificate in ABAP (¿Cómo obtener un certificado de servidor firmado por CA en ABAP?)](https://launchpad.support.sap.com/#/notes/3040959) [Se necesita acceso al portal de SAP] 
+  SAP Lens [excelencia operativa]: [Sugerencia 3.4.1: cree manuales de procedimientos específicos de operaciones de seguridad de SAP](best-practice-3-4.md) 
+  SAP Lens [excelencia operativa]: [Sugerencia 4.1.2: lleve un calendario del vencimiento de las credenciales, los certificados y las licencias](best-practice-4-1.md) 

# Práctica recomendada 7.4: implemente la creación de registros e informes cuando accedan usuarios y cuando se produzcan cambios en la autorización o eventos relacionados con esta
<a name="best-practice-7-4"></a>

Los eventos de acceso y autorización de usuarios en sus sistemas SAP deben registrarse, analizarse y auditarse con regularidad. Consolide y correlacione los eventos de seguridad de sus aplicaciones y base de datos de SAP con otros componentes de su arquitectura. De esta forma, podrá permitir el seguimiento de extremo a extremo en caso de un problema de seguridad crítico o una vulneración. Automatice el análisis de eventos en un sistema central de Security Information and Event Management (SIEM, información de seguridad y administración de eventos). Así podrá permitir que su equipo de operaciones comprenda si ocurre alguna actividad inesperada o sospechosa fuera de los límites de los controles normales del sistema. Luego su equipo podrá aportar soluciones según sea necesario.

 **Sugerencia 7.4.1: registre eventos de AWS Identity and Access Management (IAM)** 

Considere mantener un registro histórico de los eventos de IAM en AWS. Esto se puede utilizar en la detección o auditoría de cambios de usuario y autorización dentro de las cuentas de AWS. Determine su período de retención de registros y los tipos de eventos por registrar en función de las políticas de seguridad requeridas por sus organizaciones.

 Permita que su equipo de operaciones responda preguntas de auditoría relacionadas con la infraestructura de su sistema SAP: 
+ ¿Quién creó la nueva consola de AWS o el nuevo usuario de la CLI y cuándo se hizo?
+ ¿Quién modificó el rol de IAM de AWS y cuándo se hizo?
+ ¿Cuándo fue la última vez que el usuario de AWS inició sesión con éxito?
+ ¿Hay una cantidad sospechosa de intentos de inicio de sesión fallidos en la cuenta de AWS?

 Para obtener más información, considere consultar los siguientes recursos: 
+  Documentación de AWS: [Prácticas recomendadas de IAM: monitorice la actividad en su cuenta de AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#keep-a-log) 
+  Documentación de AWS: [Registro de llamadas a la API de AWS STS y de IAM con AWS CloudTrail](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) 
+  AWS Well-Architected Framework [seguridad]: [Detección](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-detection.html) 
+  Blog de seguridad de AWS: [Visualizing Amazon GuardDuty findings (Visualización de hallazgos de Amazon GuardDuty)](https://aws.amazon.com/blogs/security/visualizing-amazon-guardduty-findings/) 

 **Sugerencia 7.4.2: registre los cambios de usuario y de autorización en su sistema operativo** 

Considere mantener un registro histórico de los eventos relacionados con los usuarios y la autorización del sistema operativo, de modo que se puedan utilizar en la detección o la auditoría. Determine su período de retención de registros y los tipos de eventos por registrar en función de las políticas de seguridad requeridas por sus organizaciones.

 Permita que su equipo de operaciones responda preguntas de auditoría relacionadas con el sistema operativo de su sistema SAP: 
+ ¿Quién creó la nueva cuenta del sistema operativo del superusuario y cuándo se hizo?
+ ¿Quién modificó los permisos de la cuenta del sistema operativo y cuándo se hizo?
+ ¿Cuándo fue la última vez que el usuario del sistema operativo inició sesión con éxito?
+ ¿Hay una cantidad sospechosa de intentos de inicio de sesión fallidos en la cuenta del sistema operativo?
+ ¿Cuándo fue la última vez que el usuario de su sistema operativo utilizó permisos elevados?

 Para obtener más información sobre la auditoría en el sistema operativo, considere consultar los siguientes recursos: 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/best-practice-7-4.html)

 **Sugerencia 7.4.3: registre los eventos de autorización y de usuarios de la base de datos y de la aplicación SAP** 

Considere mantener un registro histórico de los eventos de autorización y de usuarios de SAP, de modo que puedan utilizarse en detección o auditoría. Considere tanto la pila de aplicaciones (por ejemplo, autorizaciones de ABAP) como su base de datos (por ejemplo, SAP HANA). Determine su período de retención de registros y los tipos de eventos por registrar en función de las políticas de seguridad requeridas por sus organizaciones.

 Permita que su equipo de operaciones responda preguntas de auditoría sobre la aplicación y la base de datos de SAP en el caso de que se produzcan eventos como los que se detallan a continuación: 
+ ¿Quién creó la nueva cuenta de SAP o de la base de datos y cuándo se hizo?
+ ¿Quién modificó los permisos de la cuenta de SAP o de la base de datos y cuándo se hizo?
+ ¿Cuándo fue la última vez que el usuario de SAP o de la base de datos inició sesión con éxito?
+ ¿Hay una cantidad sospechosa de intentos de inicio de sesión fallidos en la cuenta?
+ ¿Qué códigos de transacción confidenciales o herramientas utilizó la cuenta por última vez?

 Para obtener más información, considere consultar los siguientes recursos: 
+  Documentación de SAP: [SAP Access Control and Governance \$1 User Access (Control de acceso y gobernanza de SAP \$1 Acceso de usuario)](https://www.sap.com/australia/products/access-control.html) 
+  Documentación de SAP: [SAP NetWeaver ABAP: The Security Audit Log (SAP NetWeaver ABAP: el registro de auditoría de seguridad)](https://help.sap.com/viewer/280f016edb8049e998237fcbd80558e7/LATEST/en-US/4d41bec4aa601c86e10000000a42189b.html) 
+  Documentación de SAP: [SAP NetWeaver JAVA: The Security Audit Log (SAP NetWeaver JAVA: el registro de auditoría de seguridad)](https://help.sap.com/viewer/56bf1265a92e4b4d9a72448c579887af/LATEST/en-US/c769bcb7f36611d3a6510000e835363f.html) 
+  Documentación de SAP: [SAP HANA: Auditing Activity in SAP HANA (SAP HANA: actividad de auditoría en SAP HANA)](https://help.sap.com/viewer/b3ee5778bc2e4a089d3299b82ec762a7/LATEST/en-US/ddcb6ed2bb5710148183db80e4aca49b.html) 

 **Sugerencia 7.4.4: consolide los eventos de usuarios y de autorización en un sistema de SIEM para su análisis** 

Considere enviar todos los eventos relacionados con los usuarios y con la autorización que ocurren en los componentes de la carga de trabajo de SAP a una herramienta de SIEM central para permitir la correlación y el análisis. Utilice herramientas como SAP Enterprise Threat Detection o complementos de terceros, o envíe directamente sus registros de auditoría de SAP desde sus servidores de aplicaciones y bases de datos a una herramienta de análisis y procesamiento de datos.

Establezca comportamientos de referencia para su carga de trabajo y supervise las anomalías para mejorar la detección de incidentes de seguridad.

 Considere utilizar [las soluciones de SIEM de AWS Marketplace](https://aws.amazon.com/marketplace/solutions/control-tower/siem/) para supervisar su carga de trabajo en tiempo real, identificar problemas de seguridad y acelerar el análisis y la corrección de la causa raíz. 

 Para obtener más información, considere los siguientes recursos: 
+  AWS Marketplace: [Soluciones de SIEM](https://aws.amazon.com/marketplace/solutions/control-tower/siem/) 
+  Documentación de AWS: [AWS Security Hub](https://aws.amazon.com/security-hub/?aws-security-hub-blogs.sort-by=item.additionalFields.createdDate&aws-security-hub-blogs.sort-order=desc) 
+  Documentación de SAP: [SAP Enterprise Threat Detection](https://help.sap.com/viewer/eb42e48f5e9c4c9ab58a7ad73ff3bc66/LATEST/en-US/e12aa17b106c4c6193b7d593328aad48.html) 
+  Well-Architected Framework [seguridad]: [Respuesta ante incidentes](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-incresp.html) 
+  Documentación de AWS: [AWS Security Incident Response Guide (Respuesta ante incidentes de seguridad de AWS: documento técnico)](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html) 

# 8. Proteja sus datos de SAP en reposo y en tránsito
<a name="design-principle-8"></a>

 **¿Cómo protege sus datos de SAP?** Los sistemas SAP a menudo ejecutan las funciones principales dentro de una empresa y almacenan datos empresariales privados. La práctica que se recomienda emplear es cifrar los datos en reposo y en tránsito utilizando al menos un mecanismo de cifrado para cumplir con los requisitos y controles de seguridad internos o externos. Además de los controles enumerados en el [Modelo de responsabilidad compartida de AWS](https://aws.amazon.com/compliance/shared-responsibility-model/) , AWS brinda múltiples soluciones de cifrado. Muchos servicios de AWS tienen características que le permiten habilitar el cifrado con un mínimo esfuerzo e impacto en el rendimiento. Le recomendamos considerar opciones de cifrado disponibles para la base de datos y la capa de la aplicación SAP. 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/design-principle-8.html)

# Práctica recomendada 8.1: cifre los datos en reposo
<a name="best-practice-8-1"></a>

Los datos en reposo se refieren a cualquier dato almacenado digitalmente. Utilizamos el cifrado para garantizar que solo los usuarios autorizados puedan ver estos datos y para que permanezcan protegidos cuando el acceso al almacenamiento o a la base de datos se vea comprometido independientemente de la aplicación.

 **Sugerencia 8.1.1: defina en qué niveles se aplicará el cifrado** 

En general, cuanto más arriba en la pila implemente su cifrado, más seguros estarán sus datos. Este aumento de seguridad va acompañado de una complejidad adicional para la implementación y supervisión. AWS recomienda utilizar las opciones de cifrado en reposo disponibles dentro de sus servicios. Considere implementar un cifrado adicional del sistema operativo o de la base de datos cuando sea necesario, como se define en [seguridad]: [Práctica recomendada 5.3: evalúe la necesidad de aplicar controles de seguridad específicos para sus cargas de trabajo de SAP](best-practice-5-3.md). 

 **Sugerencia 8.1.2: comprenda las opciones de cifrado de AWS para los servicios y las soluciones de SAP** 

 Los servicios fundamentales de AWS que SAP utiliza para los datos en reposo son Amazon EC2 (AMI y los volúmenes de EBS), Amazon FSx for Windows File Server o Amazon EFS para sistemas de archivos compartidos y Simple Storage Service (Amazon S3) para copias de seguridad u otros casos de uso del almacén de objetos. 
+  Documentación de AWS: [Cifrado con AMI respaldadas por EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIEncryption.html) 
+  Documentación de AWS: [Cifrado de Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSEncryption.html) 
+  Documentación de AWS: [Cifrado de Amazon EFS](https://docs.aws.amazon.com/efs/latest/ug/encryption.html) / [Cifrado de Amazon FSx](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption.html) 
+  Documentación de AWS: [Cifrado de Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) 

Los datos almacenados en estos servicios se pueden cifrar en reposo mediante AWS o claves administradas por el cliente desde AWS KMS.

Las opciones de cifrado del sistema operativo incluyen BitLocker, DM-crypt y SuSE Remote Disk.

 En los siguientes enlaces, podrá encontrar información sobre distintas opciones de cifrado de su base de datos: 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/best-practice-8-1.html)

 **Sugerencia 8.1.3: defina métodos de cifrado y almacenes de administración de claves** 

 Generalmente, la administración de claves se define a nivel empresarial y, de esta forma, se determinará qué opciones de administración de claves se pueden utilizar con sus cargas de trabajo de SAP. AWS KMS es un servicio resiliente y seguro para simplificar la administración de claves de cifrado para los servicios de AWS. Si necesita administrar sus propios módulos de seguridad del hardware (HSM), puede utilizar AWS CloudHSM. 
+  Documentación de AWS: [Opciones de servicio y herramientas de cifrado de AWS](https://docs.aws.amazon.com/crypto/latest/userguide/awscryp-choose-toplevel.html) 
+  Documentación de AWS: [AWS Key Management Service (AWS KMS)](https://aws.amazon.com/kms/) 
+  Documentación de AWS: [AWS CloudHSM](https://aws.amazon.com/cloudhsm/) 

 Considere también mecanismos para proteger las claves maestras. ¿Cómo restringe el acceso, administra la rotación y garantiza la capacidad de recuperación de las claves? 

 Debe estar al tanto de que las claves raíz de cifrado de datos en reposo de HANA solo se pueden almacenar de forma segura en el almacén seguro de la instancia dentro del sistema de archivos (Instancia SSFS) o dentro de la solución de SaaS SAP Data Custodian. Si utiliza el almacén de instancias, la clave maestra podría almacenarse en [AWS Secrets Manager](https://aws.amazon.com/systems-manager/) con una política de rotación. 
+  Notas de SAP: [2154997 - Migration of hdbuserstore entries to ABAP SSFS (Migración de entradas de hdbuserstore a ABAP SSFS)](https://launchpad.support.sap.com/#/notes/2154997) [Se necesita acceso al portal de SAP] 
+  Notas de SAP: [2755815 - How to Ensure Recoverability of Hana's Data-At-Rest Encryption (¿Cómo garantizar la capacidad de recuperación del cifrado de datos en reposo de Hana?)](https://launchpad.support.sap.com/#/notes/2755815) [Se necesita acceso al portal de SAP] 

# Práctica recomendada 8.2: cifre los datos en tránsito
<a name="best-practice-8-2"></a>

El uso del cifrado de datos en tránsito hace que sea más difícil interceptar, acceder o manipular sus datos mientras se mueven de un punto a otro. Asegúrese de que existan protocolos seguros y cifrado a nivel de red para minimizar amenazas potenciales y brindar un nivel de protección acorde con sus requisitos.

 Well-Architected Framework [seguridad]: [Protección de los datos en tránsito](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-data-in-transit.html) 

 **Sugerencia 8.2.1: cifre el tráfico de aplicaciones de acuerdo con los protocolos de SAP y de base de datos** 

 En el caso del tráfico de aplicaciones que utiliza protocolos de SAP (SAPGUI Dialog, RFC, y CPIC), utilice SAP SNC para garantizar la seguridad de la capa de transporte. 
+  Documentación de SAP: [SNC-Protected Communication Paths in SAP Systems (Rutas de comunicación protegidas por SNC en sistemas SAP)](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/ad38ff4fa187622fe10000000a44176d.html) 

 En el caso del tráfico de la base de datos, utilice una conexión segura entre el cliente y la base de datos cuando esté disponible. 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/best-practice-8-2.html)

 **Sugerencia 8.2.2: cifre el tráfico de aplicaciones SAP según los protocolos de Internet** 

 Para el tráfico de aplicaciones basadas en protocolos de Internet (HTTP, P4 (RMI), LDAP), utilice SSL/TLS para garantizar la seguridad de la capa de transporte (TLS). 
+  Documentación de SAP: [Transport Layer Security (Seguridad de la capa de transporte)](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/5f0f558b8a7841049139f0fb558ac62c.html) 

 **Sugerencia 8.2.3: cifre el intercambio de datos basado en protocolos de transferencia de archivos o transferencia de mensajes** 

 En lo que respecta a las transferencias de archivos, AWS pone a su disposición el servicio AWS Transfer Family para el intercambio seguro de archivos a través de SFTP o FTPS. AWS Transfer Family admite la transferencia de datos hacia y desde Amazon S3 y Amazon EFS. 
+  Documentación de AWS: [AWS Transfer Family](https://aws.amazon.com/aws-transfer-family) 

 El uso de comprobaciones de integridad de datos a nivel de mensaje ayuda a garantizar que los datos no se alteren mientras se transfieren. Considere utilizar uno o más de los estándares de seguridad de mensajes compatibles con SAP para firmar y verificar la integridad de los datos en los mensajes. 
+  Documentación de SAP: [SAP ABAP Web Services Message-Level Security (Seguridad a nivel de mensaje de SAP ABAP Web Services)](https://help.sap.com/viewer/684cffda9cbc4187ad7dad790b03b983/1709 000/en-US/47ac469337a24845e10000000a421138.html?q=netweaver%20security%20guide%20message%20level%20security) 
+  Documentación de SAP: [SAP NetWeaver Process Integration Security Guide (Guía de seguridad de integración de procesos de SAP NetWeaver)](https://help.sap.com/doc/saphelp_nwpi711/7.1.1/en-US/f7/c2953fc405330ee10000000a114084/frameset.htm) 
+  Documentación de SAP: [SAP Cloud Integration Message-Level Security (Seguridad a nivel de mensaje de SAP Cloud Integration)](https://help.sap.com/viewer/368c481cd6954bdfa5d0435479fd4eaf/Cloud/en-US/463a9085156d4672bc4ee9095277e453.html) 

 En el caso de los mensajes basados en IDOC, utilice SNC para proteger la conexión RFC que utiliza ALE. 
+  Documentación de SAP: [Handling Sensitive Data in IDocs (Manipulación de información confidencial en IDocs)](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/7f2e71922f4a4d7081e1d2032b0934f7.html) 

 **Sugerencia 8.2.4: cifre el acceso administrativo** 

Es frecuente utilizar herramientas basadas en Windows y SSH para la administración de SAP. Además de emplear controles de seguridad como hosts bastión, considere, en la medida de lo posible, cifrar este tráfico.

 Como alternativa, [AWS Systems Manager Session Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager.html) brinda un mecanismo seguro para acceder al sistema operativo a través de AWS Management Console utilizando TLS para el cifrado. 
+  Documentación de AWS: [Guía de Windows de Amazon EC2: cifrado en tránsito](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/data-protection.html) 
+  Documentación de AWS: [Guía de Linux para Amazon EC2: cifrado en tránsito](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html) 
+  Documentación de AWS: [Protección de datos en AWS Systems Manager: cifrado de datos](https://docs.aws.amazon.com/systems-manager/latest/userguide/data-protection.html#data-encryption) 

 **Sugerencia 8.2.5: evalúe las características de los servicios de AWS que permiten el cifrado en tránsito** 

 Además del cifrado basado en aplicaciones, muchos servicios de AWS brindan capacidades de cifrado en tránsito. Evalúe sus estándares corporativos, el esfuerzo de implementación y los beneficios asociados para cada servicio. Los siguientes son algunos ejemplos que son relevantes para las cargas de trabajo de SAP. 
+  Documentación de AWS: [Simple Storage Service (Amazon S3): cifrado en tránsito](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingEncryption.html) - Activado de forma predeterminada y recomendado para copias de seguridad de Simple Storage Service (Amazon S3). 
+  Documentación de AWS: [Amazon EFS: cifrado en tránsito](https://docs.aws.amazon.com/efs/latest/ug/encryption-in-transit.html) / [Amazon FSx](https://docs.aws.amazon.com/fsx/latest/WindowsGuide/encryption-in-transit.html) - Puede ser necesario para los sistemas de archivos compartidos. 
+  Documentación de AWS: [Elastic Load Balancing](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/data-protection.html) - Revise sus requisitos de cifrado y si se requiere TLS de extremo a extremo con transferencia, ya que esta característica no esté disponible para todos los tipos de equilibradores de carga. 
+  Documentación de AWS: [Amazon EC2: cifrado en tránsito](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html) - Solo tipos de instancias de generaciones posteriores tienen esta característica. 

 **Sugerencia 8.2.6: implemente cifrado a nivel de red** 

Los clientes de SAP normalmente utilizarán tanto Direct Connect o una combinación de Direct Connect y VPN para brindar conectividad confiable para sus recursos en AWS.

AWS Direct Connect no cifra su tráfico en tránsito. Si se requiere cifrado, se debe implementar el cifrado de nivel de transporte, por ejemplo, utilizando una VPN para Direct Connect.

 AWS brinda una VPN de sitio a sitio que se puede utilizar para el cifrado de canales de red. También puede elegir implementar soluciones de VPN de terceros como OpenVPN, que podrá encontrar en AWS Marketplace, o traer su propia licencia. 
+  Documentación de AWS: [AWS Managed VPN (VPN administrada por AWS)](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-managed-vpn.html) 
+  Documentación de AWS: [AWS Direct Connect \$1 VPN](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/aws-direct-connect-vpn.html) 
+  Documentación de AWS: [Software Site-to-Site VPN (Software de VPN de sitio a sitio)](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/software-site-to-site-vpn.html) 

# Práctica recomendada 8.3: proteja sus mecanismos de recuperación de datos para resguardarse contra amenazas
<a name="best-practice-8-3"></a>

 Para ayudarlo a protegerse contra actividades maliciosas, siga las pautas establecidas en el marco de seguridad de su organización. El [libro electrónico Securing your AWS Cloud environment from ransomware (Proteger su entorno de la nube de AWS contra el ransomware)](https://d1.awsstatic.com/WWPS/pdf/AWSPS_ransomware_ebook_Apr-2020.pdf) brinda información general sobre los elementos claves que se deben tratar antes de un incidente y en una respuesta ante un incidente, incluidos los controles de red, la revisión y los permisos de privilegios mínimos. En el caso de los sistemas SAP, la amenaza es similar a la de otras aplicaciones, pero el impacto es potencialmente mayor. Si SAP es un sistema de registro o se requiere para transacciones esenciales, tenga en cuenta las siguientes sugerencias para proteger una copia de seguridad contra un ataque malicioso. 
+  Notas de SAP: [2663467 - Tips to avoid a Ransomware situation (Consejos para evitar una situación de ransomware)](https://launchpad.support.sap.com/#/notes/2663467) [Se necesita acceso al portal de SAP] 
+  Notas de SAP: [2496239 - Ransomware / malware on Windows (Ransomware y malware en Windows)](https://launchpad.support.sap.com/#/notes/2496239) [Se necesita acceso al portal de SAP] 

 **Sugerencia 8.3.1: proteja las copias de seguridad en una cuenta separada con controles adicionales** 

Al proteger las copias de seguridad en una cuenta aislada de la copia principal de sus datos, ya sea de forma directa o mediante replicación, es posible minimizar el riesgo de que un sistema comprometido también afecte sus mecanismos de recuperación de datos.

La cuenta secundaria se puede ver como un “búnker de datos” con requisitos de acceso coherentes con el caso de uso.

 Cuando se trata de copias de seguridad realizadas con Simple Storage Service (Amazon S3), los controles adicionales pueden incluir el uso de S3 Object Lock para almacenar objetos utilizando un modelo de escritura única y de lectura múltiple (WORM) o [la eliminación con autenticación multifactor](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) . 

 Si se recurre a la replicación, comprenda las diferentes opciones disponibles, entre las que se encuentran [la replicación de marcador de eliminación](https://docs.aws.amazon.com/AmazonS3/latest/userguide/delete-marker-replication.html) (De forma predeterminada, los marcadores de eliminación no se replican) y [el control de tiempo de replicación de S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/replication-time-control.html) . Para optimizar los costos, asegúrese de que la organización se realice tanto en los buckets principales como en los secundarios. 

 **Sugerencia 8.3.2: valide su capacidad de recuperación** 

Las copias de seguridad son la última línea de defensa cuando protege sus datos contra actividades maliciosas, pero pueden resultar inútiles si la recuperación no es posible debido a copias de seguridad incompletas o copias de seguridad que no son válidas. Es posible que la recuperación no sea posible si no puede acceder o descifrar las copias de seguridad. Considere cómo protege las credenciales y las claves de cifrado.

Realice pruebas de recuperación en una situación maliciosa hipotética, por ejemplo, volver a crear en una cuenta alternativa.
+  SAP Lens [excelencia operativa]: [Práctica recomendada 4.3: pruebe periódicamente los planes de continuidad de la empresa y la recuperación de errores](best-practice-4-3.md) 

# 9. Implemente una estrategia de seguridad para registrar, probar y responder a eventos de seguridad
<a name="design-principle-9"></a>

 **¿Tiene un plan de seguridad estratégico respaldado por la metodología correcta de registro, prueba y respuesta documentada?** Tener un plan de seguridad estratégico ayuda a dar forma a las tareas proactivas y reactivas que se deben realizar para garantizar que todos los desafíos de seguridad se cumplan con éxito. Los procesos de registro, detección y protección adicional para ayudar a identificar y solucionar los incidentes de seguridad en cargas de trabajo de SAP on AWS son idénticos a los que se detallan en el pilar de seguridad de Well-Architected Framework. Revise las prácticas recomendadas que se encuentran en el pilar de seguridad que abarcan la detección de incidentes y las respuestas ante ellos y complemente con la guía que se presenta en esta sección. 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/design-principle-9.html)

 
+  Well-Architected Framework [seguridad]: [Detección](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html) 
+  Well-Architected Framework [seguridad]: [Respuesta a incidentes](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html) 

# Práctica recomendada 9.1: comprenda su estrategia de análisis de los registros de seguridad de la base de datos y de las aplicaciones SAP
<a name="best-practice-9-1"></a>

 Si los registros de seguridad no se mantienen en los niveles adecuados de granularidad, se pueden perder los datos vitales necesarios para la respuesta ante incidentes, el análisis de seguridad forense y el moldeado de amenazas. El personal de seguridad de SAP debe poder evaluar los posibles incidentes de seguridad que afectan a los sistemas SAP que cumplen con los requisitos de seguridad de su empresa. En el caso de las cargas de trabajo de SAP que se ejecutan en AWS, los servicios de AWS descritos en el pilar de seguridad de Well-Architected Framework son un punto de inicio útil junto con las siguientes sugerencias. 
+  Well-Architected Framework [seguridad]: [Detección: configuración](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/configure.html) 

 **Sugerencia 9.1.1: determine qué registros se requieren para detectar eventos de seguridad** 

 En el caso de software individuales de SAP y bases de datos compatibles, consulte SAP NetWeaver Guide Finder y la guía de seguridad de SAP NetWeaver para descubrir qué registros pueden ser aplicables (por ejemplo, [registros de acceso de lectura](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/631dfbf00a604784b69fc30570bfb69d.html) ). Le recomendamos también revisar la guía de SAP [sobre registros de seguridad](https://help.sap.com/viewer/1a93b7a44ac146b5ad9b6fd95c1223cc/LATEST/en-US/182e167819f6405792686e94c177b9eb.html) y los temas relacionados con las prácticas recomendadas para sus actividades de desarrollo. 
+  Documentación de SAP: [SAP NetWeaver Guide Finder](https://help.sap.com/viewer/nwguidefinder) 
+  Documentación de SAP: [ABAP Platform Security Guide](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4aaf6fd65e233893e10000000a42189c.html) 
+  Documentación de SAP: [Security Logging (Registro de seguridad)](https://help.sap.com/viewer/1a93b7a44ac146b5ad9b6fd95c1223cc/LATEST/en-US/182e167819f6405792686e94c177b9eb.html) 

 **Sugerencia 9.1.2: desarrolle mecanismos para almacenar y analizar registros** 

 Es necesario tener datos relevantes sobre posibles eventos de seguridad para cualquier instalación segura de SAP, pero es igualmente importante almacenar esos datos de forma segura y tener las herramientas necesarias para buscar y analizar los datos de manera eficiente y oportuna. Una posible opción dentro de AWS es utilizar [CloudWatch Agent](https://docs.aws.amazon.com/systems-manager/latest/userguide/monitoring-cloudwatch-agent.html) para almacenar registros de instancias y de aplicaciones SAP con contenido pertinente para la seguridad en un [grupo de registro de Amazon CloudWatch](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html) . Dichos registros también podrían [exportarse a Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/S3Export.html) para llevar a cabo un análisis integral de registros y para integrarlos con [soluciones de análisis de registros de terceros](https://aws.amazon.com/marketplace/solutions/control-tower/siem) . 

 Consulte los siguientes materiales si necesita asistencia para ensamblar, combinar y analizar sus registros de seguridad de SAP on AWS: 
+  SAP Lens [seguridad]: [Sugerencia 7.4.4: consolide los eventos de usuarios y de autorización en un sistema de SIEM para su análisis](best-practice-7-4.md) 
+  Blog de SAP on AWS: [SAP HANA monitoring: A serverless approach using Amazon CloudWatch (Supervisión de SAP HANA: un enfoque sin servidor que utiliza Amazon CloudWatch)](https://aws.amazon.com/blogs/awsforsap/sap-hana-monitoring-a-serverless-approach-using-amazon-cloudwatch/) 
+  Blog de SAP on AWS: [SAP Monitoring: A serverless approach using Amazon CloudWatch (Supervisión de SAP: un enfoque sin servidor que utiliza Amazon CloudWatch)](https://aws.amazon.com/blogs/awsforsap/sap-monitoring-a-serverless-approach-using-amazon-cloudwatch/) 

# Práctica recomendada 9.2: realice pruebas periódicas para detectar errores de seguridad
<a name="best-practice-9-2"></a>

Tal como se describe en las secciones de respuesta a incidentes del pilar de seguridad de Well-Architected Framework sobre simulaciones, confección de manuales de procedimientos y organización de simulaciones de fallos, se recomienda realizar todas estas acciones con todas las cargas de trabajo, incluidas las de SAP on AWS. Este tipo de pruebas periódicas puede identificar nuevos vectores de ataque y vulnerabilidades, así como preparar sus recursos de seguridad de SAP para una respuesta rápida y efectiva en caso de que se produzca un incidente de seguridad.

 Well-Architected Framework [seguridad]: [Respuesta ante incidentes: simulación](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/simulate.html) 

 **Sugerencia 9.2.1: incluya aplicaciones SAP dentro de sus blancos y realice pruebas estándar de seguridad y penetración** 

 Las pruebas de seguridad son una parte importante del mantenimiento de un entorno seguro. Además de realizar pruebas de penetración estándar en AWS, asegúrese de incluir a su solución de SAP dentro de los posibles blancos de una actividad maliciosa. Tenga en cuenta las soluciones de software específicas de SAP que a menudo se exponen públicamente en su arquitectura, como SAProuter, Web Dispatcher, Cloud Connector y SAP Fiori. 
+  Documentación de AWS: [Pruebas de penetración](https://aws.amazon.com/security/penetration-testing/) 

# Práctica recomendada 9.3: tenga un plan documentado para responder ante eventos de seguridad
<a name="best-practice-9-3"></a>

Sin un plan documentado para tratar un evento de seguridad que involucre sus aplicaciones SAP, la respuesta del equipo de seguridad puede demorarse o ser menos integral y efectiva tanto para mitigar el evento como para comprender su causa. Documente detalladamente los patrones de respuesta de seguridad para sus aplicaciones SAP.

 **Sugerencia 9.3.1: prepárese para los eventos de seguridad con la ayuda de un plan de supervisión de incidentes consignado por escrito** 

 Esto está directamente relacionado con la guía del pilar de seguridad de AWS Well-Architected Framework sobre la preparación de respuesta a incidentes. Consulte esta documentación y asegúrese de incluir sus aplicaciones SAP: 
+  Well-Architected Framework [seguridad]: [Respuesta ante incidentes: preparación](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/prepare.html)