Durch IRAP-geschützte Compliance von der Infrastruktur in die SAP-Anwendungsschicht in Azure
Dieser Beitrag wurde von Rohit Kumar Cherukuri, Pankaj Badaya und Vineet Bulbule von Cloud4C mitverfasst.
Dieser Beitrag wurde von Rohit Kumar Cherukuri, Pankaj Badaya und Vineet Bulbule von Cloud4C mitverfasst.
Dieser Beitrag wurde von Rohit Kumar Cherukuri, Pankaj Badaya und Vineet Bulbule von Cloud4C mitverfasst.
Australische Regierungsorganisationen suchen nach Anbietern für verwaltete Clouddienste, die eine Platform-as-a-Service-Umgebung (PaaS-Umgebung) für das Verarbeiten, Speichern und Übertragen von Regierungsdaten mit der Klassifizierung „AU-PROTECTED“ bereitstellen können, die den Zielen des vom Australian Signals Directorate (ASD) erstellten Australian Government Information Security Manual (ISM) entspricht.
Eine der größten australischen Bundesbehörden, die für die Optimierung und Verwaltung der Staatsfinanzen zuständig ist, strebte die Implementierung des Information Security Registered Assessors Program (IRAP) an. Dieses Programm ist für den Schutz vertraulicher Daten und zur Einhaltung der Sicherheitskontrollen beim Übertragen, Speichern und Abrufen von Daten von erheblicher Bedeutung.
Das Information Security Registered Assessors Program ist eine Initiative des Australian Signals Directorate, mit dem hochwertige Sicherheitsbewertungsdienste für Informations- und Kommunikationstechnologien bereitgestellt werden sollen, die von der Regierung genutzt werden können.
Das Australian Signals Directorate empfiehlt demnach entsprechend qualifiziertes Fachpersonal für Informations- und Kommunikationstechnologien, um die Sicherheitsdienste bereitzustellen, die zum Schutz der allgemeinen Daten der Industrie und der australischen Regierung (und den jeweils zugehörigen Systemen) eingerichtet werden.
Cloud4C hat sich der Herausforderung angenommen, diesem Regierungskunden die entsprechenden Cloudplattformen zugänglich zu machen. Die Mitarbeiter von Cloud4C haben die strikten Complianceanforderungen analysiert und bewertet, die im Information Security Registered Assessors Program beschrieben werden.
Unter Befolgung der internen Baseline hat Cloud4C die Bewertung in die drei Kategorien „Physisch“, „Infrastruktur“ und „Verwaltete Dienste“ unterteilt. Das Information Security Registered Assessors Program schreibt strikte Sicherheitskontrollen für diese drei Bereiche vor.
Cloud4C hat festgestellt, dass diese Anforderungen am besten erfüllt werden können, indem eine Partnerschaft aufgebaut und die Verantwortung gemeinsam getragen wird. So kann zusammen eine ungewöhnliche, aber erfolgreiche und angemessene Bewertung ausgearbeitet werden. Im April 2018 hat das Australien Cyber Security Centre (ACSC) die Zertifizierung von Azure und Office 365 für die Klassifizierung „PROTECTED bekanntgegeben. Microsoft ist der erste und bisher einzige Anbieter für öffentliche Clouds, der diese Zertifizierungsstufe erreicht hat. Cloud4C ist eine Partnerschaft mit Microsoft eingegangen, um die SAP-Anwendungen und die SAP HANA-Datenbank in Azure bereitzustellen. So werden alle Vorteile der mit dem Information Security Registered Assessors Program konformen Infrastruktur genutzt, um die nahtlose Integration von nativ vorhandenen oder über den Marketplace erhältlichen Azure-Tools und -Technologien zu ermöglichen.
Cloud4C hat die geeigneten Azure-Rechenzentren in Australien ermittelt – Australien, Mitte und Australien, Mitte 2. Diese wurden einer strikten Bewertung anhand des Information Security Registered Assessors Program auf physische Sicherheit und die Standorte der Informations- und Kommunikationsgeräte unterzogen.
Durch die Compliance, die Azure für die Infrastruktur und die Notfallwiederherstellung bietet, konnte Cloud4C einen enormen Vorsprung als Anbieter für verwaltete Dienste erzielen. Mit vereinten Kräften soll der Großteil der verbleibenden Kontrollen bewältigt werden, die nur für den Cloud-Dienstanbieter gegolten haben.
Die Bewertung von Cloud4C anhand des Information Security Registered Assessors Program umfasste nach Abzug der durch die Azure-Notfallwiederherstellung bewältigten Kontrollen 412 große Risiken und die 19 wichtigsten Sicherheitsaspekte, die in 22 Hauptkategorien unterteilt waren.
Das Ziel der Beschäftigung bestand in der Konfiguration und Verwaltung der SAP-Landschaft in Azure. Hierfür werden bis zur SAP-Basisschicht verwaltete Dienste verwendet. Dabei werden die Klassifizierungsstandards des Information Security Registered Assessors Program für das Verarbeiten, Speichern und Abrufen von klassifizierten Informationen eingehalten. Da es sich um ein PaaS-Beschäftigungsmodell handelt, liegt die Zuständigkeitsmatrix in der SAP-Basisschicht, und die verwalteten Dienste für die Anwendung liegen außerhalb der Zuständigkeit für diese Beschäftigung.
Die vorgeschlagene Lösung enthält SAP-Lösungen wie SAP ERP, SAP BW, SAP CRM, SAP GRC, SAP IDM, SAP Portal, SAP Solution Manager, Web Dispatcher und Cloud Connector mit verschiedenen Datenbanken wie SAP HANA, SAP MaxDB und ehemalige Sybase-Datenbanken. Die Azure-Region „Australien, Mitte“, die primäre Region für die Notfallwiederherstellung, und „Australien, Mitte 2“, die sekundäre Region für die Notfallwiederherstellung, wurden als physische Standorte ausgewählt, um die mit dem Information Security Registered Assessors Program konforme Umgebung für die Notfallwiederherstellung einzurichten. Die vorgeschlagene Architektur umfasst zertifizierte VM-SKUs für SAP-Workloads, optimierte Speicher- und Datenträgerkonfigurationen, die geeigneten Netzwerk-SKUs mit entsprechendem Schutz, einen Hochverfügbarkeitsmechanismus, Notfallwiederherstellung, Sicherung und Überwachung, eine Kombination aus nativen und externen Sicherheitstools und vor allem Prozesse und Richtlinien für die Dienstbereitstellung.
Folgende Azure-Dienste sind in der vorgeschlagenen Architektur enthalten:
Cloud4C ist die Rahmenbedingungen für die Akkreditierung mit Unterstützung durch einen Prüfer für das Information Security Registered Assessors Program durchgegangen, um die Sicherheitsansprüche der australischen Regierung zu verinnerlichen und zu implementieren. So konnten die technischen Voraussetzungen für die Portierung von SAP-Anwendungen und der SAP HANA-Datenbank in ein durch das Information Security Registered Assessors Program geschütztes Setup in einer geschützten Azure-Cloud geschaffen werden.
Der für das Information Security Registered Assessors Program zuständige Prüfer hat die Implementierung, die Eignung und die Effektivität der Sicherheitskontrollen des Systems bewertet. Hierfür wurden gemäß dem Information Security Manual der australischen Regierung zwei Phasen für die Sicherheitsbewertung angesetzt:
Cloud4C hat durch die risikofreie Umgebung und den Schutz der wichtigen Informationssysteme durch die Unterstützung von Microsoft eine erfolgreiche Bewertung in allen zutreffenden Kontrollen des Information Security Manual erzielen können.
Das Microsoft-Team stellt Best Practices zur Nutzung der nativen Azure-Tools bereit, um die nötige Compliance zu erzielen. Ein Team aus Microsoft-Lösungsarchitekten und -Entwicklern hat sich an der Ausarbeitung des Aufbaus beteiligt und dabei eine vorhandene Wissensdatenbank zu nativen Azure-Sicherheitstools, Integrationsszenarios für Sicherheitstools von Drittanbietern und mögliche Architekturoptimierungen eingebracht.
Während der Bewertung haben Cloud4C und der Prüfer für das Information Security Registered Assessors Program Folgendes erarbeitet:
Für die Compliance mit dem Information Security Registered Assessors Program müssen die vom Australian Signals Directorate definierten Qualifikationen erfüllt und die Bewertungsphasen bestanden werden. Cloud4C hat folgende Vorteile angeboten:
Durch die Partnerschaft mit Microsoft konnte Cloud4C einen weiteren Meilenstein erreichen und auf sämtliche Sicherheitsfeatures der hyperskalierbaren Azure-Clouds zurückgreifen, um die strikten gesetzlichen und geografischen Complianceanforderungen zu erfüllen.
Cloud4C beherrscht die Verwendung vieler nativ in Azure verfügbaren Sicherheitslösungen sowie die Nutzung des Azure Marketplace für eine reduzierte Time-to-Market bereits. Cloud4C nutzt das Azure-Portfolio vollumfänglich, um die Infrastruktur des Kunden zu sichern und eine sichere Kultur zu fördern, indem Klienten als Azure Expert Managed Service Provider unterstützt werden. Mit dem wachsenden Azure-Sicherheitsportfolio steigt auch die Nutzung der Lösungsangebote durch Cloud4C.
Cloud4C und Microsoft planen einen weiteren Ausbau dieser Partnerschaft, um Kunden ein beispielloses Cloudangebot im Marketplace zu bieten, das für eine Vielzahl der Geografien und Branchen geeignet ist.