# 6 – 인프라 및 소프트웨어 제어를 사용하여 보안 구성 오류 감소
**SAP 애플리케이션과 기본 데이터베이스, 운영 체제, 스토리지 및 네트워크를 어떻게 보호합니까?** SAP 소프트웨어 솔루션과 관련 기본 구성(예: 운영 체제 및 데이터베이스 패치, 파라미터, 클라우드 서비스, 인프라)을 강화하는 것이 좋습니다. 강화는 조직이 결정한 적절한 수준에서 프로덕션 및 비프로덕션을 모두 포함한 모든 SAP 환경의 안전을 보장하는 데 도움이 됩니다.
SAP 환경의 보안 관련 작업에 대한 지침은 [AWS 공동 책임 모델](https://aws.amazon.com/compliance/shared-responsibility-model/) 을 참조합니다. 예를 들어, EC2 인스턴스에 대한 펌웨어 업데이트는 AWS의 책임인 ‘클라우드 자체의 보안’ 작업이지만, 동일한 EC2 인스턴스에 대한 운영 체제 및 애플리케이션 관리는 고객의 책임인 ‘클라우드 내부의 보안’ 작업입니다.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/wellarchitected/latest/sap-lens/design-principle-6.html)
자세한 내용은 다음 정보를 참조하세요.
+ AWS 설명서: [AWS 보안 백서](http://d0.awsstatic.com/whitepapers/aws-security-best-practices.pdf)
+ SAP Note: [2191528 - 보안 취약성을 보여주는 서드 파티 보고서](https://launchpad.support.sap.com/#/notes/2191528) [SAP 포털 액세스 권한 필요]
+ SAP 설명서: [ABAP 플랫폼 보안 가이드](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4aaf6fd65e233893e10000000a42189c.html)
# 모범 사례 6.1 - SAP 네트워크 설계에 보안 및 감사를 기본적으로 포함
SAP 워크로드를 호스트하는 네트워크에 대한 액세스를 보호하는 것은 악의적 활동에 대한 1차 방어선입니다. 비즈니스 요구 사항과 특정 SAP 솔루션을 평가하여 사용해야 하는 포트, 프로토콜 및 트래픽 패턴을 결정합니다. 조직의 보안 표준과 네트워크 설계를 단순화하는 데 사용할 수 있는 도구 및 패턴을 고려합니다. 정기적으로 또는 변경 사항이 발생할 때마다 감사를 실시합니다.
**제안 사항 6.1.1 – SAP의 네트워크 트래픽 흐름을 이해**
먼저 트래픽 흐름을 이해하는 데서 시작합니다. SAP 워크로드의 네트워크 트래픽 패턴은 인바운드 트래픽, 아웃바운드 트래픽 및 내부 트래픽으로 분류할 수 있습니다. 규칙 세트를 정의하는 데 도움이 되도록 소스 및 대상이 신뢰할 수 있는 네트워크 경계에 속하는지 여부를 식별해야 합니다.
알려진 인바운드 트래픽 및 아웃바운드 트래픽 흐름(예: 사용자 액세스 및 인터페이스 연결) 외에도 SAProuter를 통한 SAP Support, 소스 IP 주소를 기반으로 액세스를 제한하는 SAP SaaS 제품에 대한 연결 등 SAP 관련 요구 사항을 고려합니다.
내부 트래픽의 경우 구성 요소와 시스템 간 트래픽은 물론 AWS 및 공유 서비스도 고려합니다. 예를 들어 [VPC 흐름 로그](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html) 및 [VPC Reachability Analyzer](https://docs.aws.amazon.com/vpc/latest/reachability/what-is-reachability-analyzer.html) 같은 도구는 Amazon VPC로 들어오고 나가는 트래픽 흐름을 이해하는 데 도움이 될 수 있습니다.
자세한 내용은 다음 정보를 참조하세요.
+ SAP 설명서: [모든 SAP 제품용 TCP/IP 포트](https://help.sap.com/viewer/ports)
**제안 사항 6.1.2 – 트래픽 흐름을 허용 및 제한하는 옵션을 평가**
먼저 온프레미스 네트워크의 사용자 및 시스템을 SAP 시스템이 실행되는 AWS 계정에 연결하는 방법을 이해합니다. 자세한 내용은 다음을 참조하세요. [네트워크와 Amazon VPC 간 연결 옵션](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html) .
VPC로 들어오고 나가는 네트워크 트래픽의 흐름을 제어하는 두 가지 기본 방법에는 [보안 그룹](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html) 및 [네트워크 액세스 제어 목록](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html) (네트워크 ACL)을 사용하는 것이 포함됩니다. 보안 그룹은 EC2 인스턴스 수준에서 가상 방화벽 역할을 하여 인바운드 및 아웃바운드 트래픽을 통제합니다. 보안 그룹은 상태 유지 그룹입니다. 네트워크 ACL은 VPC에 대한 선택적 보안 계층으로, 하나 이상의 서브넷으로 들어오고 나가는 트래픽을 통제하는 방화벽 역할을 합니다. 보안 그룹과 달리 네트워크 ACL은 무상태 그룹입니다.
또한 VPC 외부 네트워크 구성 요소의 종속성도 고려합니다. 여기에는 Amazon CloudWatch 엔드포인트와 같이 AWS가 제공하는 외부 네트워크 구성 요소가 포함될 수 있습니다. 또한 운영 체제 패치를 위한 소프트웨어 리포지토리와 같은 인터넷 호스팅 서비스도 포함될 수 있습니다.
AWS의 표준 옵션 외에 SAP 자체에서도 [SAProuter](https://support.sap.com/content/dam/support/en_us/library/ssp/tools/connectivity-tools/saprouter/SAProuter.pdf) , [SAP Web Dispatcher](https://help.sap.com/doc/7b5ec370728810148a4b1a83b0e91070/1610%20002/en-US/frameset.htm?488fe37933114e6fe10000000a421937.html) 및 SAP Gateway [네트워크 액세스 제어 목록 사용 등 추가 네트워크 보안 옵션을 제공합니다](https://help.sap.com/viewer/62b4de4187cb43668d15dac48fc00732/LATEST/en-US/d0a4956abd904c8d855ee9d368bc510b.html) . 이러한 옵션은 AWS 서비스 및 구성과 함께 작동하여 SAP 시스템에 대한 네트워크 액세스를 허용 또는 제한합니다.
자세한 내용은 다음 정보를 참조하세요.
+ SAP on AWS 블로그: [SAP on AWS의 VPC 서브넷 영역 조정 패턴](https://aws.amazon.com/blogs/awsforsap/vpc-subnet-zoning-patterns-for-sap-on-aws/)
+ Well-Architected Framework [보안]: [인프라 보호 – 네트워크 보호](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-networks.html)
+ Well-Architected Framework [관리 및 거버넌스 렌즈]: [네트워크 연결](https://docs.aws.amazon.com/wellarchitected/latest/management-and-governance-lens/networkconnectivity.html)
+ SAP 설명서: [네트워크 및 통신 보안](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/492f0050d5ac612fe10000000a44176d.html)
**제안 사항 6.1.3 – 설계 지침 및 AWS 도구를 사용하여 네트워크 보안을 단순화**
SAP 시스템은 복잡한 통합 요구 사항이 있는 경우가 많으며 클라우드는 네트워크 보안 관리를 단순화하는 추가 방법을 제공합니다. 다음 접근 방식을 고려하세요.
+ 관리를 단순화하기 위해 가능하면 개별 IP 주소 또는 IP 범위를 참조하지 않습니다.
+ 모든 SAP 워크로드에서 표준 세트의 SAP 시스템 번호를 사용하여 필요한 네트워크 포트의 범위를 축소합니다.
+ [VPC 엔드포인트](https://docs.aws.amazon.com/vpc/latest/userguide/endpoint-services-overview.html) 를 사용하면 Amazon S3, Amazon CloudWatch와 같은 AWS 서비스에 액세스하기 위해 VPC로부터 아웃바운드 인터넷 액세스가 필요하지 않습니다. 가능한 경우 또한 비즈니스 요구 사항에 따라 필요하지 않은 경우 이러한 서비스로 들어오고 나가는 SAP 트래픽이 공용 인터넷을 통과하여 모든 트래픽이 AWS 관리형 네트워크 구성 요소를 통해 라우팅되는 것을 방지할 수 있습니다.
+ IP 주소 범위가 아닌 다른 보안 그룹을 참조하는 [VPC 접두사 목록](https://docs.aws.amazon.com/vpc/latest/userguide/managed-prefix-lists.html) 및/또는 [보안 그룹 규칙](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-group-rules.html) 을 사용하여 보안 그룹을 단순화합니다.
+ 자동화를 통해 보안 그룹을 생성, 업데이트 및 관리하여 구성 드리프트를 방지합니다.
+ VPC 및 AWS 계정 전체에 대한 중앙 집중식 보안 그룹 관리를 제공하기 위해 [AWS Firewall Manager](https://aws.amazon.com/firewall-manager/) 를 사용하는 것을 고려합니다.
+ 백엔드 시스템 진입 지점을 모호하게 만들기 위해 [SAProuter](https://support.sap.com/en/tools/connectivity-tools/saprouter.html) , [SAP Web Dispatcher](https://help.sap.com/doc/7b5ec370728810148a4b1a83b0e91070/1610 002/en-US/frameset.htm?488fe37933114e6fe10000000a421937.html) 및 Elastic Load Balancing을 사용하는 것을 고려합니다.
+ 보다 세부적인 액세스 제어를 제공하기 위해 여러 [SAP Internet Communication Manager(ICM)](https://help.sap.com/doc/d2ecfdfcaedc4e2ba46a99a6be7d5797/1610 002/en-US/frameset.htm#:~:text=The%20ICM%20is%20a%20component%20of%20the%20SAP%20NetWeaver%20Application%20Server.&text=The%20Internet%20Communication%20Manager%20ensures,processes%20requests%20from%20the%20Internet.) 진입 지점을 사용하는 것을 고려합니다.
자세한 내용은 다음 정보를 참조하세요.
+ SAP 설명서: [Network-based Access Control Lists](https://help.sap.com/viewer/62b4de4187cb43668d15dac48fc00732/LATEST/en-US/d0a4956abd904c8d855ee9d368bc510b.html)
+ SAP 설명서: [모든 SAP 제품용 TCP/IP 포트](https://help.sap.com/viewer/ports)
# 모범 사례 6.2 - 운영 체제 빌드 및 보호
SAP 소프트웨어의 기반이 되는 운영 체제를 보호하면 악의적인 행위자가 SAP 애플리케이션 내의 데이터에 무단으로 액세스하거나, 소프트웨어 가용성에 영향을 미치거나, 미션 크리티컬 구현을 교란할 가능성이 줄어듭니다. 운영 체제를 보호하는 데 도움이 되도록 SAP, 운영 체제 공급 업체, 데이터베이스 공급 업체 및 AWS의 지침을 따릅니다. 선택한 SAP 솔루션 및 운영 체제에 따라 서비스를 활성화/비활성화하고, 특정 커널 파라미터를 설정하고, 다양한 조합의 보안 패치를 적용해야 할 수 있습니다. SAP 요구 사항과 조직의 요구 사항이 부합하는지 확인하고 충돌을 식별합니다.
**제안 사항 6.2.1 – 안전한 운영 체제를 프로비저닝하기 위한 접근 방식을 결정**
Amazon Machine Image(AMI)는 EC2 인스턴스를 시작하는 데 필요한 정보를 제공합니다. AMI가 운영 체제 수준에서 안전하다고 확신할 수 있어야 합니다. 그렇지 않으면 AMI가 재사용되고 업데이트되는 과정에서 보안 허점이 많은 수의 인스턴스로 전파될 수 있습니다.
AMI는 운영 체제 공급 업체가 제공하는 표준 이미지일 수도 있고, 자체적으로 빌드하는 사용자 지정 이미지일 수 있습니다. 어떤 경우든 운영 체제가 처음부터 안전하고 지속적으로 유지 관리되도록 하기 위한 일관된 접근 방식이 필요합니다. 이미지 보안 일관성을 달성하는 데 [AWS CloudFormation](https://aws.amazon.com/cloudformation/) 같은 코드형 인프라(IaC) 도구를 사용하면 도움이 됩니다. HANA 기반 SAP 솔루션의 경우 [AWS Launch Wizard](https://aws.amazon.com/launchwizard/) for SAP는 보안 구성 요소의 설치를 자동화하도록 사용자 지정할 수 있는 사전 및 사후 설치 스크립트 등 설치 프로세스를 단순화합니다.
자세한 내용은 AWS Well-Architected Framework [보안 원칙]의 컴퓨팅 리소스 보호에 대한 지침, 특히 취약성 관리 수행 및 공격 표면 축소에 대한 정보를 참조하세요.
+ Well-Architected Framework [보안]: [컴퓨팅 보호](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-compute.html)
**제안 사항 6.2.2 – 안전한 운영 체제를 유지 관리하기 위한 접근 방식을 결정**
Well-Architected Framework [보안 원칙]의 컴퓨팅 보호에서 언급했듯이 선택한 운영 체제가 EC2 Image Builder에서 지원되는 경우 SAP 관련 AMI의 빌드, 테스트, 배포 및 지속적인 패치 관리를 단순화할 수 있습니다. 또한 보안 패치 적용을 자동화하여 운영 체제의 보안 태세를 유지하기 위해 AWS Systems Manager 패치 관리자도 조사해야 합니다.
+ Well-Architected Framework [보안]: [컴퓨팅 보호](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-compute.html)
+ AWS 설명서: [EC2 Image Builder](https://aws.amazon.com/image-builder/)
+ AWS 설명서: [AWS Systems Manager 패치 관리자](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-patch.html)
**제안 사항 6.2.3 – 운영 체제에 적용 가능한 추가 보안 권장 사항을 검토**
SAP 소프트웨어의 기본 운영 체제를 강화하는 데 필요한 항목의 전체 목록을 결정합니다. 예를 들어 Linux 기반 시스템에서는 파일 시스템 권한을 SAP 지침에 따라 설정해야 하며 Windows 기반 시스템에서는 관리자 그룹 액세스를 제한하는 것이 모범 사례입니다.
다음과 같은 SAP 관련 권장 사항이 환경에 관련될 수 있습니다.
+ SAP 설명서: [SAP NetWeaver 보안 가이드 - 운영 체제 보안](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4a6e3d96f90472dde10000000a42189b.html)
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/wellarchitected/latest/sap-lens/best-practice-6-2.html)
**제안 사항 6.2.4 – 운영 체제의 보안 태세를 검증**
운영 체제를 안전하게 배포하고 패치를 적용했으면 운영 체제 보안 태세를 검증함으로써 운영 체제가 위반 없이 지속적으로 고도의 보안을 유지하도록 할 수 있습니다. 서드 파티 호스트 침입 방지, 침입 탐지, 바이러스 백신 및 운영 체제 방화벽 소프트웨어를 사용하여 이 유효성 검사를 자동화하는 것을 고려합니다.
자세한 내용은 다음 정보를 참조하세요.
+ Well-Architected Framework [보안]: [안전한 작동](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/operating-your-workload-securely.html)
+ Well-Architected Framework [보안]: [탐지](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html)
+ Well-Architected Framework [보안]: [컴퓨팅 보호](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/protecting-compute.html)
# 모범 사례 6.3 - 데이터베이스 및 애플리케이션 보호
데이터베이스 및 애플리케이션 계층에서 보안 경계는 필수입니다. 읽기 전용 수준에서 액세스 권한을 얻더라도 악의적인 행위자가 중요한 비즈니스 데이터의 보안을 손상시킬 수 있기 때문입니다. 모든 경우에 데이터베이스 액세스 보호 및 애플리케이션 보안에 대한 표준 SAP 모범 사례를 따르세요. 이는 온프레미스 및 클라우드 기반 설치 모두에 적용되며 SAP 시스템에 지원되는 각 기본 데이터베이스에 대한 지침이 있습니다.
**제안 사항 6.3.1 - 선택한 데이터베이스의 데이터베이스 보안에 대한 SAP 지침을 준수**
해당 지침은 다음을 참조하세요.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/wellarchitected/latest/sap-lens/best-practice-6-3.html)
**제안 사항 6.3.2 – 애플리케이션 보안에 대한 SAP 지침을 준수**
SAP NetWeaver 기반 솔루션의 경우 SAP NetWeaver Security Guide에서 권장 지침을 참조할 수 있습니다.
+ SAP 설명서: [ABAP 플랫폼 보안 가이드](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4aaf6fd65e233893e10000000a42189c.html)
# 모범 사례 6.4 - 해당되는 모든 소프트웨어에 업그레이드 및 패치를 적용하기 위한 계획 수립
SAP와 기본 운영 체제 및 데이터베이스 공급 업체는 정기적으로 표준 보안 업데이트를 릴리스하고 취약성을 수정하기 위한 긴급 업데이트도 제공합니다. 각 공급 업체의 최신 보안 정보를 확인하세요. 보안 허점이 발생하지 않도록 SAP 애플리케이션과 모든 기본 구성 요소를 정기적으로 최신 보안 수정 사항으로 업데이트할 것을 권장합니다. 또한 중요한 보안 패치가 릴리스될 때 긴급 수정 사항을 적용할 계획을 수립하는 것이 좋습니다.
**제안 사항 6.4.1 - 운영 체제, 데이터베이스 및 소프트웨어 솔루션 공급 업체에서 알림을 구독**
다양한 공급 업체 포털에서 보안 업데이트를 구독하면 새로운 보안 문제 및 수정 사항이 릴리스될 경우 이를 인지하는 데 도움이 됩니다. 그러면 필요한 변경을 계획하는 데 도움이 됩니다.
+ AWS 설명서: [AWS 보안 공지](https://aws.amazon.com/security/security-bulletins/?card-body.sort-by=item.additionalFields.bulletinDateSort&card-body.sort-order=desc)
+ SAP 설명서: [SAP EarlyWatch Alert](https://support.sap.com/en/offerings-programs/support-services/earlywatch-alert.html)
+ SAP 설명서: [SAP Security News](https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html)
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/wellarchitected/latest/sap-lens/best-practice-6-4.html)
**제안 사항 6.4.2 – 비즈니스 및 구현 작업에 대한 권장 변경 사항 및 위험을 검토**
SAP 팀은 시스템 가동 시간의 필요성과 SAP 보안을 개선하기 위해 권장된 시스템 변경의 중요성을 합리적으로 절충하는 방법을 알아야 합니다. 그렇지 않으면 서비스 중단, 재정적 영향, 생산성 손실과 같은 불필요한 위험이 발생할 수 있습니다. 공급 업체가 취약성을 수정할 수 있도록 권장하는 변경 사항 및 구현 단계를 검토하고 즉시 구현 계획을 수립합니다. 이는 이 렌즈에서 논의된 운영 우수성 모범 사례, 특히 보안을 위한 런북 작성과 직접적인 관련이 있습니다.
+ SAP Lens [운영 우수성]: [제안 사항 3.4.1 - SAP 보안 작업용 런북을 작성](best-practice-3-4.md)
**제안 사항 6.4.3 – 적시에 취약성을 해결하기 위한 계획을 수립**
새로운 SAP 보안 권장 사항 및 보안 관련 패치를 최대한 신속하게 적용하는 것이 AWS 기반 SAP 솔루션 및 다른 위치에 설치된 솔루션 모두에 가장 중요합니다. 주기적으로 [SAP Security Notes and News](https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html) 를 검토하고 여기에 수록된 패치, 노트 및 권장 사항을 사용하여 보안 문제를 신속하게 수정하는 프로세스를 생성합니다. 경우에 따라 SAP 관리자는 근본적인 취약성을 해결할 수 있을 때까지 임시로 완화 또는 제어 조치를 취해야 할 수도 있습니다. 또한 사고 대응에 대한 보안 원칙 권장 사항을 따릅니다.
+ Well-Architected Framework [보안]: [사고 대응](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html)
+ SAP 설명서: [SAP Security Notes and News](https://support.sap.com/en/my-support/knowledge-base/security-notes-news.html)