Conformidad protegida por el programa IRAP desde la infraestructura hasta la capa de aplicaciones SAP en Azure

Publicado el 22 agosto, 2019

Senior Cloud Solution Architect

Los autores de esta entrada son Rohit Kumar Cherukuri, Pankaj Badaya y Vineet Bulbule de Cloud4C

Las organizaciones públicas australianas buscan proveedores de servicios administrados en la nube capaces de ofrecer un entorno de plataforma como servicio (PaaS) adecuado para procesar, almacenar y transmitir datos de la administración pública AU-PROTECTED que sea conforme con los objetivos del Manual de Seguridad de la Información (ISM) del gobierno australiano producido por el Directorio de Señales de Australia (ASD).

Una de las mayores agencias federales de Australia que es responsable de mejorar y administrar las finanzas del estado quería implementar el Programa de asesores registrados para la seguridad de la información (IRAP), que es fundamental para proteger la información confidencial y garantizar la presencia de controles de seguridad en torno a la transmisión, el almacenamiento y la recuperación de la información.

El Programa de asesores registrados para la seguridad de la información es una iniciativa del Directorio de Señales de Australia cuyo fin es proporcionar a la administración pública servicios de alta calidad de evaluación de la seguridad de la tecnología de la información y las comunicaciones (TIC).

El Directorio de Señales de Australia acredita a profesionales de la tecnología de la información y las comunicaciones debidamente cualificados para que proporcionen los servicios de seguridad pertinentes para proteger la información de la industria y de la administración pública australiana, así como de los sistemas asociados.

Cloud4C aceptó este reto para que este cliente federal pudiera hacer uso de las plataformas de servicios en la nube. Cloud4C analizó y evaluó los estrictos requisitos de cumplimiento normativo que se especifican en las directrices del Programa de asesores registrados para la seguridad de la información.

Siguiendo directrices internas, Cloud4C dividió la evaluación en tres categorías: recursos físicos, infraestructura y servicios administrados. El Programa de asesores registrados para la seguridad de la información tiene controles de seguridad muy estrictos en torno a estas tres áreas específicas.

Cloud4C se dio cuenta de que la mejor forma de afrontar este desafío con éxito era asociarse y compartir responsabilidades para lograr juntos una evaluación inusual pero satisfactoria y de gran utilidad. En abril de 2018, el Centro Australiano de Ciberseguridad (ACSC) anunció la certificación de Azure y Office 365 en la clasificación PROTECTED. Microsoft se convirtió así en el primer y único proveedor de nube pública en lograr este nivel de certificación. Cloud4C se asoció con Microsoft para implementar las aplicaciones de SAP y la base de datos de SAP HANA en Azure, y utilizó todas las ventajas de la infraestructura conforme con el Programa de asesores registrados para la seguridad de la información con el fin de integrar sin problemas herramientas y tecnologías nativas y de Marketplace en Azure.

Cloud4C identificó los centros de datos de Azure adecuados en Australia, Centro de Australia y Centro de Australia 2, que ya se habían sometido a una estricta evaluación del Programa de asesores registrados para la seguridad de la información con el fin de valorar la seguridad física y la ubicación de los equipos de información y de comunicaciones.

El cumplimiento normativo por parte de Azure en cuanto a la infraestructura y la recuperación ante desastres supuso una ventaja tremenda para Cloud4C como proveedor de servicios administrados, ya que pudo dedicarse a solucionar la mayoría de los demás controles que conciernen únicamente al proveedor de servicios en la nube.

La evaluación de Cloud4C para el Programa de asesores registrados para la seguridad de la información supuso afrontar 412 riesgos importantes y 19 de los aspectos de seguridad más críticos distribuidos en 22 categorías principales, después de haber quitado los controles que solucionaba la recuperación ante desastres de Azure.

Información general de la solución

El ámbito de la asociación era configurar y administrar el entorno de SAP en Azure con servicios administrados hasta la capa base de SAP, al tiempo que se mantenían los estándares de la clasificación PROTECTED del Programa de asesores registrados para la seguridad de la información en cuanto al procesamiento, el almacenamiento y la recuperación de información clasificada. Puesto que el modelo de asociación es PaaS, la matriz de responsabilidades se extendía hasta la capa base de SAP y los servicios administrados de aplicaciones quedaban fuera del ámbito de esta asociación.

Plataforma como servicio con un único acuerdo de nivel de servicio y la clasificación PROTECTED del Programa de asesores registrados para la seguridad de la información

La solución propuesta incluía varias soluciones de SAP (como SAP ERP, SAP BW, SAP CRM, SAP GRC, SAP IDM, SAP Portal, SAP Solution Manager, Web Dispatcher y Cloud Connector) con una mezcla de bases de datos (como SAP HANA, SAP MaxDB y las antiguas bases de datos Sybase). La región Centro de Australia de Azure, la principal para la recuperación ante desastres, y Centro de Australia 2, la región secundaria para la recuperación ante desastres, se identificaron como ubicaciones físicas de recuperación ante desastres para crear el entorno protegido conforme con el Programa de asesores registrados para la seguridad de la información. La arquitectura propuesta incluía SKU de máquinas virtuales certificadas para cargas de trabajo de SAP, una configuración optimizada de almacenamiento y discos, SKU de red apropiadas con la protección adecuada, un mecanismo para ofrecer alta disponibilidad, recuperación ante desastres, copias de seguridad y supervisión, una combinación adecuada de herramientas de seguridad nativas y externas, y lo más importante, procesos y directrices para la prestación de servicios.

Los siguientes servicios de Azure se tuvieron en cuenta para la arquitectura propuesta:

  • Azure Availability Sets
  • Azure Active Directory
  • Azure Privileged Identity Management
  • Autenticación multifactor de Azure
  • Puerta de enlace de Azure ExpressRoute
  • Azure Application Gateway con firewall de aplicaciones web
  • Azure Load Balancer
  • Azure Monitor
  • Azure Resource Manager
  • Azure Security Center
  • Azure Storage y Disk Encryption
  • Azure DDoS Protection
  • Azure Virtual Machines (máquinas virtuales certificadas para aplicaciones SAP y la base de datos SAP HANA)
  • Azure Virtual Network
  • Azure Network Watcher
  • Grupos de seguridad de red

Programa de asesores registrados para la seguridad de la información: conformidad y proceso de evaluación

Cloud4C analizó el marco de acreditación con la asistencia del asesor del Programa de asesores registrados para la seguridad de la información, que les ayudó a comprender e implementar la seguridad de la administración pública australiana y a desarrollar la viabilidad técnica para migrar las aplicaciones de SAP y la base de datos de SAP HANA a la configuración protegida conforme al Programa de asesores registrados para la seguridad de la información en la nube protegida de Azure.

El asesor del Programa de asesores registrados para la seguridad de la información evaluó la implementación, la adecuación y la efectividad de los controles de seguridad del sistema. Esto se llevó a cabo en dos fases de evaluación de la seguridad, como estipula el Manual de Seguridad de la Información (ISM) del gobierno australiano:

  • Fase 1: La evaluación de la seguridad identifica problemas de seguridad que el propietario del sistema rectifica o mitiga
  • Fase 2: La evaluación de la seguridad analiza el cumplimiento normativo residual

Cloud4C ha obtenido una evaluación satisfactoria en todos los controles manuales de seguridad de la información aplicables, lo que asegura un entorno sin riesgos y la protección de los sistemas de información críticos con la ayuda de Microsoft.

El equipo de Microsoft ofreció asesoramiento en cuanto a los procedimientos recomendados para usar las herramientas nativas de Azure con el fin de satisfacer el cumplimiento normativo. El equipo de arquitectura e ingeniería de soluciones de Microsoft participó en las conversaciones sobre el diseño y aportó su base de conocimiento sobre las herramientas de seguridad nativas de Azure, escenarios de integración para herramientas de seguridad de terceros y posibles trabajos de optimización de la arquitectura.

Durante la evaluación, Cloud4C y el asesor del Programa de asesores registrados para la seguridad de la información realizaron las siguientes actividades:

  • Diseñaron la arquitectura del sistema, en la que incorporaron todos los componentes y las partes interesadas implicadas en la comunicación global.
  • Ajustaron el cumplimiento normativo en materia de seguridad a la directiva de seguridad de la administración pública australiana.
  • Identificaron las instalaciones físicas, los centros de datos de Azure Centro de Australia y Centro de Australia 2, que cuentan con la certificación del Programa de asesores registrados para la seguridad de la información.
  • Implementaron los controles de seguridad del Manual de Seguridad de la Información.
  • Definieron estrategias de mitigación para posibles brechas de cumplimiento normativo.
  • Identificaron los riesgos del sistema y definieron una estrategia de mitigación.

Placeholder

Pasos para asegurar la mejora de la automatización y los procesos

  • Implementación rápida usando plantillas de Azure Resource Manager (ARM) combinadas con herramientas. Esto facilitó la implementación de entornos de gran envergadura que contenían más de 100 máquinas virtuales y 10 soluciones de SAP en menos de un mes.
  • Automatización de los procesos con herramientas RPA (automatización robótica de procesos). Esto ayudó a identificar la fase de funcionamiento normal en el ecosistema de SAP implementado para el entorno del Programa de asesores registrados para la seguridad de la información y mejoró el proceso con el fin de asegurar una interrupción mínima de los procesos reales, además de la automatización que se ocupa de la infraestructura y que asegura la disponibilidad de las aplicaciones.

Aprendizaje y soluciones respectivas que se implementaron durante el proceso

  • Las regiones Centro de Australia y Centro de Australia 2 de Azure se conectaron entre sí con fibra óptica para ofrecer una latencia inferior a un ms, lo que permitió la replicación de las aplicaciones de SAP y las bases de datos de SAP HANA en modo asincrónico y un objetivo de punto de recuperación de cero.
  • Azure Active Directory Domain Services no estaba disponible en la región Centro de Australia, así que se aprovechó la región Sudeste de Australia para asegurar un servicio sin problemas.
  • Azure Site Recovery se usó con éxito para la replicación de una base de datos de SAP Max DB.
  • El tráfico que fluía por Azure ExpressRoute no se cifraba de forma predeterminada. Se cifró usando un dispositivo de red virtual de un asociado de seguridad de Microsoft.

La conformidad con el Programa de asesores registrados para la seguridad de la información requiere el cumplimiento de los requisitos de cualificación definidos por el Directorio de Señales de Australia y la superación de las fases de evaluación. Cloud4C ofreció las siguientes ventajas:

  • Reducción del tiempo de comercialización. Cloud4C completó el proceso de evaluación en nueve meses, en comparación con lo que se había conseguido en el sector de casi uno o dos años.
  • La experiencia y los conocimientos de Cloud4C en la oferta de varias regiones y el cumplimiento normativo específico del sector para los clientes de Azure ayudó a combinar los controles adecuados con las herramientas de seguridad nativas y externas de Azure.

La asociación con Microsoft ayudó a Cloud4C a alcanzar otro hito y a aprovechar todas las características de seguridad que ofrece el nivel Hiperescala de Azure con el fin de satisfacer los estrictos requisitos de cumplimiento normativo y geográfico.

Cloud4C ha madurado en el uso de muchas de las soluciones de seguridad que hay disponibles de forma nativa en Azure, así como en el uso de Azure Marketplace para reducir el tiempo de comercialización. Cloud4C usó toda la cartera de soluciones de Azure para proteger la infraestructura del cliente y promueve una cultura segura al atender a sus clientes como un proveedor de servicios administrados (MSP) experto en Azure. A medida que aumenta la cartera de seguridad de Azure, también lo hace el uso de Cloud4C de sus ofertas de soluciones.

Cloud4C y Microsoft planean ampliar esta asociación con el fin de proporcionar una experiencia en la nube inigualable a los clientes de Marketplace en diversas áreas geográficas y sectores industriales.

Más información