Jakub Jirsák - stock.adobe.com
Los tres pilares de la migración segura de entornos SAP a la nube
La estrategia de seguridad en la nube, dice Fortinet, debe tener en cuenta tres pilares principales: seguridad de la red, seguridad de las aplicaciones y protección de la plataforma en la nube.
La nube pública es hoy un instrumento importante para la innovación y el desarrollo de nuevos negocios. Sistemas y aplicaciones comerciales esenciales que antes solo se implementaban en centros de datos tradicionales están siendo transformados por esta nueva realidad, ya sea por ventajas tecnológicas, como escalabilidad y disponibilidad prácticamente ilimitadas, o por cuestiones relacionadas con inversiones y menores costos de mantenimiento.
Estas son algunas de las razones que motivan a muchas empresas a iniciar nuevas implementaciones, actualizaciones y conversiones de sistemas SAP a S/4HANA, utilizando nubes públicas.
La ciberseguridad necesita una reflexión seria en estos casos, ya que surgen nuevas superficies de ataque con la adopción de la nube pública, lo que requiere un cuidado especial para garantizar que los datos de los clientes y la información confidencial estén protegidos y que se respeten las leyes de privacidad.
La disciplina de aplicar correcciones de seguridad a sistemas críticos, tan importante para reducir el riesgo de incidentes que involucran activos de alto valor, siempre es un desafío para la mayoría de las empresas, ya que estas actualizaciones a menudo dan como resultado un tiempo de inactividad del sistema mientras la corrección es aplicada, probada y validada. Esto es algo que a menudo entra en conflicto con las demandas de disponibilidad impuestas por la empresa.
Al mismo tiempo, ha crecido la cantidad de amenazas que se aprovechan de los entornos SAP vulnerables, lo que demuestra que los agentes malintencionados buscan objetivos más críticos y valiosos, y eso provoca fugas de datos y daños a las empresas involucradas. Ejemplos recientes de estas amenazas son 10KBLAZE y RECON, dos exploits para SAP que están fácilmente disponibles para los delincuentes y no requieren de un gran conocimiento técnico para su uso. El propio SAP tiene plantillas con parámetros de seguridad que ayudan mucho en este proceso, pero que no detallan cómo prevenir los ataques avanzados más recientes.
Debido a la mayor superficie de ataque en la nube y a la dificultad de aplicar correcciones de seguridad, muchos ejecutivos terminan temiendo incidentes de seguridad y revisando su estrategia para migrar de SAP a la nube. La buena noticia es que existen arquitecturas de seguridad que se pueden emplear para mitigar todos estos riesgos y permitir una transición segura de SAP a la nube pública.
Desde Fortinet, recordamos que la estrategia de seguridad en la nube debe tener en cuenta tres pilares principales: seguridad de la red, seguridad de las aplicaciones y protección de la plataforma en la nube.
Usando una seguridad de red eficiente, a través de la segmentación y la inspección avanzada de amenazas y anomalías conocidas, es posible mitigar la mayoría de estos ataques. Los firewall de próxima generación (NGFW) se pueden utilizar como primera línea de defensa, pero es importante que tengan la capacidad de inspeccionar el tráfico cifrado, bloquear los ataques de red comunes y, especialmente, los ataques específicos del entorno SAP. Por lo tanto, es esencial verificar con el proveedor qué firmas de ataque están disponibles y cuáles serán relevantes para la protección específica de los sistemas SAP. Este componente de NGFW también se puede utilizar como un concentrador de VPN, tanto para el acceso de los usuarios como para la comunicación segura con otros entornos de nube o centros de datos.
El segundo pilar, la seguridad de las aplicaciones, es importante para mitigar los ataques específicos del front end (SAP Fiore o Web Dispatcher). La sugerencia es utilizar una amplia protección contra ataques de denegación de servicio, protección contra las principales vulnerabilidades (OWASP TOP10), bloqueo de bots maliciosos y que pueda comprender el comportamiento de la aplicación de forma dinámica, utilizando técnicas de aprendizaje automático. Con una buena solución de protección de aplicaciones web y API, que es la evolución del WAF tradicional, es posible mitigar la mayoría de los ataques que explotan vulnerabilidades como SQL Injection o Code Injection.
El tercer pilar es la seguridad de la plataforma en la nube. Existen herramientas que permiten el inventario y monitoreo en tiempo real de los activos y componentes utilizados en las distintas nubes públicas, mapeando flujos de red, identificando configuraciones que violan políticas o mejores prácticas. Esto permite una visibilidad completa del estado de seguridad de la nube y la capacidad de mitigar las brechas de manera efectiva y ágil.
Por último, pero no menos importante, se recomienda utilizar la tecnología de autenticación de múltiples factores (MFA). De esta forma, es posible proteger no solo las cuentas de acceso de los usuarios a los sistemas SAP, sino especialmente el acceso administrativo privilegiado a SAP o al plan de gestión de la nube.
Elija tecnologías probadas que proporcionen integración nativa con proveedores de nube. Busque proveedores de seguridad que le permitan administrar de manera centralizada entornos con múltiples proveedores de nube e incluso entornos de centros de datos tradicionales a través de la misma interfaz, facilitando mucho el trabajo de definir e implementar políticas de seguridad, reduciendo la carga administrativa y aumentando la visibilidad completa de los diversos entornos. De esta forma, es posible utilizar los sistemas SAP en la nube de forma segura sin comprometer la información crítica del negocio y posibilitando todos los beneficios derivados de esta transformación.
Sobre el autor: Daniel Romio es gerente de Negocios en la nube de Fortinet para América Latina. Rmio es un experto en ventas de soluciones de seguridad y asesor de ciberseguridad en Brasil. Antes de trabajar en Fortinet, estuvo en empresas como Check Point Software Technologies y Nokia.