

# 7 – 자격 증명 및 권한을 통해 SAP 워크로드에 대한 액세스 제어
<a name="design-principle-7"></a>

 **SAP 워크로드에 대한 액세스는 어떻게 제어합니까?** AWS, SAP 및 서드 파티가 제공하는 메커니즘을 사용하여 최종 사용자와 인터페이스 시스템이 적절하게 식별되고 인증되도록 합니다. 최소 권한만 부여하도록 권한이 어떻게 제어됩니까? 액세스 감사 및 보고 방법은 무엇입니까? 먼저 사용자 범주를 식별한 다음 제어 및 자격 증명 관리 접근 방식을 통해 체계적으로 SAP 워크로드에 대한 액세스를 제한합니다. 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/wellarchitected/latest/sap-lens/design-principle-7.html)

# 모범 사례 7.1 - SAP 사용자 범주 및 액세스 메커니즘 이해
<a name="best-practice-7-1"></a>

SAP 시스템에 액세스하는 사용자의 유형이 적용해야 할 보안 제어를 결정합니다. 각 사용 사례를 검토하여 전략을 개발할 수 있습니다. 여기에는 해당 요구 사항을 지원하기 위해 자격 증명, 인증, 도구 및 메커니즘을 관리하는 방법이 포함되어야 합니다.

 **제안 사항 7.1.1 - 데이터 액세스 권한 및 허용된 작업을 이해** 

 SAP 시스템에는 고도로 민감한 비즈니스 데이터가 포함되는 경우가 많습니다. 사용자 유형을 정의할 때 데이터 액세스 권한을 이해해야 합니다. (예를 들어 관리 데이터베이스 사용자는 애플리케이션 사용자에 대한 세분화된 제어 권한이 없으며, 따라서 더 중요할 수 있습니다.) 또한 [보안]: [모범 사례 5.2 - SAP 워크로드 내에서 데이터 분류](best-practice-5-2.md)를 참조하세요. 

 SAP 시스템 액세스와 관련하여 다음 질문을 고려합니다. 
+ 관리 또는 서비스 사용자가 수행한 작업을 고유하게 식별 가능한 개인이 추적할 수 있어야 합니까?
+ 어느 애플리케이션 계층에서 액세스 권한이 부여됩니까?
+ 권한을 통해 기능 하위 집합에 대한 액세스를 제한할 수 있습니까?
+ 특정 서비스만 공개하는 것과 같이 다른 제어를 통해 기능 하위 집합에 대한 액세스를 제한할 수 있습니까?
+ 수행한 작업을 감사해야 합니까?

 **제안 사항 7.1.2 – 사용자가 SAP 시스템에 액세스하는 네트워크 및/또는 위치를 이해** 

 네트워크 및/또는 위치는 종종 보안 위험 프로필에 영향을 미치며 사용자를 신뢰할 수 있는지 여부를 결정할 수 있습니다. 일반적으로 이것은 무단 액세스를 방지하기 위한 제어와 결합됩니다( [모범 사례 6.1 - SAP 네트워크 설계에 보안 및 감사를 기본적으로 포함](best-practice-6-1.md) 참조). 

이는 설계에 영향을 미칠 수 있습니다. 예를 들어 신뢰할 수 없는 인터넷 사용자 또는 디바이스는 SAP 워크로드에 액세스하려면 회사 네트워크의 신뢰할 수 있는 사용자와 비교할 때 추가 인증 요소가 필요할 수 있습니다.

# 모범 사례 7.2 - SAP 워크로드에 대한 권한 있는 액세스 관리
<a name="best-practice-7-2"></a>

가능한 경우 최소 권한 접근 방식을 채택합니다. 사용성 및 효율성을 관리하면서 최소한의 사용자 집합에게 특정 역할을 수행하는 데 필요한 최소한의 액세스 권한만 부여합니다. 관리 계정(예: `<sid>adm`)이 있습니다. 기본적으로 이 계정은 SAP 워크로드의 안정성 및 데이터 보안에 상당한 영향을 미칩니다. 이 위험을 제한할 수 있는 방법을 고려합니다.

 **제안 사항 7.2.1 – AWS 자격 증명 및 인증을 관리** 

 AWS Identity and Access Management(IAM)를 사용하면 AWS 서비스 및 리소스에 대한 액세스를 안전하게 관리할 수 있습니다. IAM을 사용하여 다양한 SAP 및 클라우드 관리 작업에 대한 AWS 사용자 및 그룹을 생성하고 관리할 수 있습니다. IAM 권한을 사용하여 AWS 리소스에 대한 사용자 액세스를 허용 및 거부할 수 있습니다. 표준 지침, 특히 권한 있는(루트) 액세스 권한 제한 및 보호에 대한 지침을 준수해야 합니다. 
+  AWS 설명서: [IAM 보안 모범 사례](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 

 사용자에게 부여되지는 않지만 SAP 애플리케이션의 운영에 필요한 액세스 권한은 최소 권한만 부여하도록 특히 주의해야 합니다. 
+  AWS 설명서: [IAM 역할을 사용하여 Amazon EC2 인스턴스에서 실행되는 애플리케이션에 권한 부여하기](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html) 

 **제안 사항 7.2.2 – SAP 관리 자격 증명 및 인증을 관리** 

필요한 경우 제한된 기간 동안만 승격된 권한을 승인 및 부여하는 프로세스를 구현합니다. 액세스 권한이 부여된 사용자 및 이유를 기록하는 감사 기능을 사용합니다.

권한 있는 계정의 사용자 이름/암호의 사용을 제한합니다. 가능한 경우 직접 액세스를 비활성화합니다. 자격 증명을 안전하게 저장합니다(예: 권한 있는 액세스 관리 솔루션 또는 암호 저장소).

 런북, RunCommand 및 Secrets Manager를 사용하여 특정 작업을 위한 운영 체제 직접 액세스를 제한하기 위해 Systems Manager를 사용할 수 있는 방법을 평가합니다. 
+  AWS 설명서: [SSM Agent를 통해 루트 수준 명령에 대한 액세스 제한](https://docs.aws.amazon.com/systems-manager/latest/userguide/ssm-agent-restrict-root-level-commands.html) 
+  AWS 설명서: [Parameter Store에서 AWS Secrets Manager 비밀 참조](https://docs.aws.amazon.com/systems-manager/latest/userguide/integration-ps-secretsmanager.html) 

# 모범 사례 7.3 - 조직의 자격 증명 관리 접근 방식 및 SAP에 대한 적용 이해
<a name="best-practice-7-3"></a>

일반적인 SAP 워크로드는 여러 시스템으로 구성되므로 자격 증명도 여러 개입니다. 이러한 사용자를 관리하기 위한 중앙 집중식 접근 방식은 보안 위험과 운영 복잡성을 줄일 수 있습니다. 중앙 집중식 사용자 관리, 통합 인증(SSO) 및 멀티 팩터 인증을 고려하여 접근 방식에서 AWS 서비스 및 서드 파티 도구를 사용하는 방법에 초점을 맞춥니다.

 **제안 사항 7.3.1 – 명명된 사용자에 대한 자격 증명 공급자를 결정** 

사용자는 Active Directory와 같은 자격 증명 스토어와 연결됩니다. 이는 역할, 권한, 식별자와 같은 자격 증명 정보를 관리하기 위한 중앙 리포지토리 역할을 합니다. 각 자격 증명 세트에 대해 자격 증명 공급자와 연결할 수 있는지 여부를 판단합니다. 자격 증명 공급자를 사용하면 사용자 인증을 오프로드할 수 있습니다. 통합 인증(SSO)을 용이하게 하고 사용자 자격 증명 수명 주기(예: 입사, 전근, 퇴사)도 관리합니다.

 사람과 연결되지 않은 명명된 사용자에 대한 예외를 고려합니다. 여기에는 배치, 작업 예약, 통합 및 모니터링 사용자가 포함될 수 있습니다. 
+  AWS 설명서: [AWS Directory Service \$1 Amazon Web Services(AWS)](https://aws.amazon.com/directoryservice/) 

 **제안 사항 7.3.2 – 인증 메커니즘을 결정** 

 SAP 워크로드의 각 계층에서 지원되는 인증 메커니즘(예: SAML, Kerberos, X.509, SAP Single Sign-On 티켓)을 이해합니다. 애플리케이션과 통합하기 위한 요구 사항을 평가합니다. 여러 사용자 자격 증명을 관리할 때 관리 및 보안에 미치는 영향을 방지하려면 가능한 경우 통합 인증(SSO)을 사용합니다. 
+  SAP 설명서: [User Authentication and single sign-on(사용자 인증 및 통합 인증)](https://help.sap.com/viewer/621bb4e3951b4a8ca633ca7ed1c0aba2/LATEST/en-US/4a112f1a2228101ee10000000a42189b.html) 
+  AWS 설명서: [Cloud applications - AWS Single Sign-On(클라우드 애플리케이션 - AWS Single Sign-On)](https://docs.aws.amazon.com/singlesignon/latest/userguide/saasapps.html) 
+  SAP on AWS 블로그: [Enable SAP Single Sign On with AWS SSO Part 1: Integrate SAP NetWeaver ABAP with AWS SSO(AWS SSO를 사용하여 SAP Single Sign On 활성화 1부: SAP NetWeaver ABAP를 AWS SSO와 통합)](https://aws.amazon.com/blogs/awsforsap/enable-sap-single-sign-on-with-aws-sso-part1-integrate-sap-netweaver-abap-based-applications-sso-with-aws-sso/) 
+  SAP on AWS 블로그: [Enable SAP Single Sign On with AWS SSO Part 2: Integrate SAP NetWeaver Java(AWS SSO를 사용하여 SAP Single Sign On 활성화 2부: SAP NetWeaver Java 통합)](https://aws.amazon.com/blogs/awsforsap/enable-sap-single-sign-on-with-aws-sso-part-2-integrate-sap-netweaver-java/) 
+  SAP on AWS 블로그: [Enable Single Sign On for SAP Cloud Platform Foundry and SAP Cloud Platform Neo with AWS SSO(AWS SSO를 사용하여 SAP 클라우드 플랫폼 Foundry 및 SAP 클라우드 플랫폼 Neo용 통합 인증 활성화)](https://aws.amazon.com/blogs/awsforsap/enable-single-sign-on-for-sap-cloud-platform-foundry-and-sap-cloud-platform-neo-with-aws-sso/) 

 **제안 사항 7.3.3 – 멀티 팩터 인증을 고려** 

 멀티 팩터 인증(MFA)은 로그온 자격 증명 위에 추가 보호 계층을 더하는 모범 사례입니다. 이러한 멀티 팩터는 SAP 애플리케이션의 보안을 강화합니다. 사용 사례에는 신뢰할 수 없는 디바이스에서 SAP에 액세스, AWS Management Console에 액세스, 백업 삭제 또는 EC2 인스턴스 종료와 같은 권한 있는 작업이 포함됩니다. 
+  SAP on AWS 블로그: [Securing SAP Fiori with MFA(MFA를 사용하여 SAP Fiori 보호)](https://aws.amazon.com/blogs/awsforsap/securing-sap-fiori-with-multi-factor-authentication/) 
+  AWS 설명서: [Using MFA devices with your IAM sign-in page(IAM 로그인 페이지에서 MFA 디바이스 사용) - AWS Identity and Access](https://docs.aws.amazon.com/IAM/latest/UserGuide/console_sign-in-mfa.html) 
+  AWS 설명서: [Configuring MFA delete(MFA 삭제 구성) - Amazon Simple Storage Service](https://docs.aws.amazon.com/AmazonS3/latest/userguide/MultiFactorAuthenticationDelete.html) 
+  AWS 설명서: [Amazon EC2: Requires MFA (GetSessionToken) for specific EC2 operations(Amazon EC2: 특정 EC2 작업에 MFA(GetSessionToken) 필요)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2_require-mfa.html) 

 **제안 사항 7.3.4 – 인증서 관리 접근 방식을 결정** 

 클라이언트 기반 인증서는 자격 증명 필요 없이 인증에 사용할 수 있습니다. 세션 관리를 위한 시간 기반 만료와 시스템 간 통신을 위한 인증서 교체를 포함하는 접근 방식을 결정합니다. AWS는 SAP에서 신뢰하는 인증 기관을 제공합니다. 인증서는 [AWS Certificate Manager(ACM)](https://aws.amazon.com/certificate-manager/) 를 사용하여 발급 및 관리할 수 있습니다. 
+  SAP Note: [2801396 - SAP Global Trust List](https://launchpad.support.sap.com/#/notes/2801396) [SAP 포털 액세스 권한 필요] 
+  SAP Note: [3040959 - ABAP에서 CA 서명 서버 인증서를 얻는 방법](https://launchpad.support.sap.com/#/notes/3040959) [SAP 포털 액세스 권한 필요] 
+  SAP Lens [운영 우수성]: [제안 사항 3.4.1 - SAP 보안 작업용 런북을 작성](best-practice-3-4.md) 
+  SAP Lens [운영 우수성]: [제안 사항 4.1.2 - 자격 증명, 인증서 및 라이선스 만료 캘린더를 유지](best-practice-4-1.md) 

# 모범 사례 7.4 - 사용자 액세스 및 권한 부여 변경 및 이벤트에 대한 로깅 및 보고 구현
<a name="best-practice-7-4"></a>

SAP 시스템에서 사용자 액세스 및 권한 부여 이벤트는 정기적으로 기록, 분석 및 감사해야 합니다. SAP 애플리케이션 및 데이터베이스의 보안 이벤트를 아키텍처의 다른 구성 요소와 통합하고 상호 연결합니다. 그러면 심각한 보안 문제 또는 위반이 발생한 경우 엔드투엔드 추적이 가능합니다. 중앙 보안 정보 및 이벤트 관리(SIEM) 시스템에서 이벤트 분석을 자동화합니다. 이를 통해 운영 팀은 정상적인 시스템 제어 범위를 벗어나는 예상치 못한 활동 또는 의심스러운 활동이 발생하는지 파악할 수 있습니다. 그런 다음 필요에 따라 수정할 수 있습니다.

 **제안 사항 7.4.1 – AWS Identity and Access Management(IAM) 이벤트를 로그** 

AWS IAM 이벤트의 로그를 유지하는 것을 고려합니다. 이 로그는 AWS 계정 내의 사용자 및 권한 부여 변경 사항을 탐지 또는 감사하는 데 사용할 수 있습니다. 조직에 필요한 보안 정책에 따라 로그 보존 기간 및 로그할 이벤트 유형을 결정합니다.

 운영 팀이 SAP 시스템의 인프라 수준에서 감사 질문에 답변할 수 있도록 지원합니다. 
+ 새 AWS 콘솔/CLI 사용자를 누가 언제 생성했습니까?
+ AWS IAM 역할을 누가 언제 수정했습니까?
+ AWS 사용자가 마지막으로 로그인한 시간은 언제입니까?
+ AWS 계정에 대한 의심스러운 로그인 시도 실패가 있었습니까?

 자세한 내용은 다음을 참조하세요. 
+  AWS 설명서: [IAM 모범 사례: AWS 계정에서 활동 모니터링](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#keep-a-log) 
+  AWS 설명서: [AWS CloudTrail을 사용하여 IAM 및 AWS STS API 호출 로깅](https://docs.aws.amazon.com/IAM/latest/UserGuide/cloudtrail-integration.html) 
+  AWS Well-Architected Framework [보안]: [탐지](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-detection.html) 
+  AWS 보안 블로그 [Amazon GuardDuty 조사 결과 시각화](https://aws.amazon.com/blogs/security/visualizing-amazon-guardduty-findings/) 

 **제안 사항 7.4.2 – 운영 체제의 사용자 및 권한 부여 변경 사항을 로그** 

탐지 또는 감사에 사용할 수 있도록 운영 체제(OS) 사용자 및 권한 부여 이벤트의 로그를 유지하는 것을 고려합니다. 조직에 필요한 보안 정책에 따라 로그 보존 기간 및 로그할 이벤트 유형을 결정합니다.

 운영 팀이 SAP 시스템의 운영 체제 수준에서 다음과 같은 감사 질문에 답변할 수 있도록 지원합니다. 
+ 새 슈퍼 사용자 OS 계정을 누가 언제 생성했습니까?
+ OS 계정 권한을 누가 언제 수정했습니까?
+ OS 사용자가 마지막으로 로그인한 시간은 언제입니까?
+ OS 계정에 대한 의심스러운 로그인 시도 실패가 있었습니까?
+ OS 사용자가 승격된 권한을 마지막으로 사용한 시기는 언제입니까?

 운영 체제 수준 감사에 대한 자세한 내용은 다음을 참조하세요. 

[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/ko_kr/wellarchitected/latest/sap-lens/best-practice-7-4.html)

 **제안 사항 7.4.3 – SAP 애플리케이션, 데이터베이스 사용자 및 권한 부여 이벤트를 로그** 

탐지 또는 감사에 사용할 수 있도록 SAP 사용자 및 권한 부여 이벤트의 로그를 유지하는 것을 고려합니다. 애플리케이션 스택(예: ABAP 권한 부여)과 데이터베이스(예: SAP HANA)를 모두 고려합니다. 조직에 필요한 보안 정책에 따라 로그 보존 기간 및 로그할 이벤트 유형을 결정합니다.

 운영 팀이 SAP 애플리케이션 및 데이터베이스 수준에서 다음과 같은 이벤트에 대한 감사 질문에 답변할 수 있도록 지원합니다. 
+ 새 SAP 또는 데이터베이스 계정을 누가 언제 생성했습니까?
+ SAP 또는 데이터베이스 계정 권한을 누가 언제 수정했습니까?
+ SAP 또는 데이터베이스 사용자가 마지막으로 로그인한 시간은 언제입니까?
+ 계정에 대한 의심스러운 로그인 시도 실패가 있었습니까?
+ 계정이 마지막으로 사용한 민감한 트랜잭션 코드 또는 도구는 무엇입니까?

 자세한 내용은 다음을 참조하세요. 
+  SAP 설명서: [SAP Access Control and Governance \$1 User Access(SAP 액세스 제어 및 거버넌스 \$1 사용자 액세스)](https://www.sap.com/australia/products/access-control.html) 
+  SAP 설명서: [SAP NetWeaver ABAP: The Security Audit Log(SAP NetWeaver ABAP: 보안 감사 로그)](https://help.sap.com/viewer/280f016edb8049e998237fcbd80558e7/LATEST/en-US/4d41bec4aa601c86e10000000a42189b.html) 
+  SAP 설명서: [SAP NetWeaver JAVA: The Security Audit Log(SAP NetWeaver JAVA: 보안 감사 로그)](https://help.sap.com/viewer/56bf1265a92e4b4d9a72448c579887af/LATEST/en-US/c769bcb7f36611d3a6510000e835363f.html) 
+  SAP 설명서: [SAP HANA: Auditing Activity in SAP HANA(SAP HANA: SAP HANA의 감사 활동)](https://help.sap.com/viewer/b3ee5778bc2e4a089d3299b82ec762a7/LATEST/en-US/ddcb6ed2bb5710148183db80e4aca49b.html) 

 **제안 사항 7.4.4 – 분석을 위해 보안 정보 및 이벤트 관리(SIEM) 시스템에서 사용자 및 권한 부여 이벤트를 통합** 

상관 관계 및 분석이 가능하도록 SAP 워크로드 구성 요소 전체에서 모든 사용자 및 권한 부여 이벤트를 중앙 SIEM 도구로 보내는 것을 고려합니다. SAP Enterprise Threat Detection, 서드 파티 추가 기능 같은 도구를 사용하거나 SAP 감사 로그를 애플리케이션 및 데이터베이스 서버에서 수집 및 분석 도구로 직접 보냅니다.

워크로드의 기준 동작을 설정하고 이상 동작을 모니터링하여 보안 사고 탐지를 개선합니다.

 실시간으로 워크로드를 모니터링하고, 보안 문제를 식별하고, 근본 원인 분석 및 수정을 신속하게 처리할 수 있도록 [AWS Marketplace SIEM 솔루션](https://aws.amazon.com/marketplace/solutions/control-tower/siem/) 을 고려합니다. 

 자세한 내용은 다음 리소스를 참조하세요. 
+  AWS Marketplace: [SIEM 솔루션](https://aws.amazon.com/marketplace/solutions/control-tower/siem/) 
+  AWS 설명서: [AWS Security Hub](https://aws.amazon.com/security-hub/?aws-security-hub-blogs.sort-by=item.additionalFields.createdDate&aws-security-hub-blogs.sort-order=desc) 
+  SAP 설명서: [SAP Enterprise Threat Detection](https://help.sap.com/viewer/eb42e48f5e9c4c9ab58a7ad73ff3bc66/LATEST/en-US/e12aa17b106c4c6193b7d593328aad48.html) 
+  Well-Architected Framework [보안]: [Security Incident Response(보안 사고 대응)](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec-incresp.html) 
+  AWS 설명서: [AWS Security Incident Response(AWS 보안 사고 대응) - 기술 백서](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/welcome.html)