A nuvem pública é hoje um importante instrumento de inovação e desenvolvimento de novos negócios.

Da mesma forma, sistemas e aplicações empresariais essenciais que antes eram implantados somente em data centers tradicionais estão sendo transformados por esta nova realidade, seja pelas vantagens tecnológicas – como capacidade virtualmente ilimitada de escalabilidade e disponibilidade – seja por questões relacionadas a investimentos e menores custos de manutenção.

Estes são alguns dos motivos que mobilizam muitas empresas a iniciarem novas implementações de sistemas SAP, upgrades e conversões para S/4HANA utilizando nuvens públicas.Mas a segurança cibernética precisa ser seriamente pensada nestes casos, pois novas superfícies de ataque surgem com a adoção de nuvem pública, demandando cuidados adicionais para garantir que os dados de clientes e informações confidenciais sejam protegidos e que as leis de privacidade sejam respeitadas.

A disciplina de aplicação de correções de segurança nos sistemas críticos, tão importante para reduzir os riscos de incidentes, principalmente aqueles envolvendo ativos de alto valor, é sempre um desafio para a maioria das empresas, pois essas atualizações frequentemente resultam em paradas de sistemas para que a correção seja aplicada, testada e validada, algo que geralmente entra em conflito com as demandas de disponibilidade impostas pelo negócio.

Ao mesmo tempo, o número de ameaças que tiram proveito de ambientes SAP vulneráveis tem crescido, demonstrando que agentes maliciosos vêm buscando alvos de maior criticidade e valor, causando vazamentos de dados e danos às empresas envolvidas. Exemplos recentes destas ameaças são o 10KBLAZE e o RECON, dois exploits para SAP facilmente disponíveis para os criminosos e que não demandam grandes conhecimentos técnicos para serem utilizados.

A própria SAP possui templates com parâmetros de segurança que ajudam muito neste processo, mas que não detalham como prevenir os ataques avançados mais recentes.

Assim, devido à maior superfície de ataque na nuvem e à dificuldade de aplicação de correções de segurança, muitos executivos acabam temendo por incidentes de segurança e revendo sua estratégia de migração de SAP para a nuvem.

A boa notícia é que existem arquiteturas de segurança que podem ser empregadas para mitigar todos estes riscos e viabilizar uma transição segura de SAP para a nuvem pública.

Lembrando que a estratégia de segurança em nuvem precisa levar em conta três principais pilares: segurança de rede, aplicações e plataforma de cloud.

Utilizando uma segurança de rede eficiente, por meio de segmentação e inspeção avançada de ameaças conhecidas e anomalias, é possível mitigar grande parte destes ataques. Os chamados Next Generation Firewalls (NGFW) podem ser empregados como uma primeira linha de defesa, mas é importante que tenham a capacidade de inspecionar o tráfego encriptado, bloquear ataques comuns de rede e principalmente ataques específicos ao ambiente SAP. Desta forma, é fundamental verificar junto ao fornecedor quais assinaturas de ataques estão disponíveis e quais serão relevantes para proteção especifica de sistemas SAP. Este componente NGFW pode ser utilizado também como concentrador de VPN, tanto de acessos dos usuários como para comunicação segura com outros ambientes de cloud ou data centers.

O segundo pilar, a segurança de aplicação, é importante para mitigar os ataques específicos ao Front End (SAP Fiore ou ao Web Dispatcher). A sugestão é utilizar uma proteção ampla contra ataques de negação de serviço, proteção contra as principais vulnerabilidades (OWASP TOP10), bloqueio de bots maliciosas e que consiga entender o comportamento da aplicação de forma dinâmica, empregando técnicas de machine learning. Utilizando uma boa solução de Web Application & API Protection, que é a evolução do WAF tradicional, é possível mitigar grande parte dos ataques que exploram vulnerabilidades como SQL Injection ou Code Injection.

O terceiro pilar é a segurança da plataforma de cloud. Existem ferramentas que permitem inventariar e monitorar em tempo real os ativos e componentes utilizados nas diversas nuvens públicas, mapeando fluxos de rede, identificando configurações que violem políticas ou boas práticas, permitindo uma visibilidade completa do estado de segurança da nuvem e mitigando as violações de forma adequada e ágil.

Por último, mas não menos importante, recomenda-se utilizar tecnologia de Múltiplos Fatores de Autenticação (MFA). Desta forma, é possível proteger não somente as contas de acesso dos usuários aos sistemas SAP, mas principalmente acessos administrativos privilegiados ao SAP ou ao plano de gerenciamento das nuvens.

Escolha tecnologias comprovadas e que proporcionem integração nativa com os provedores de nuvem. Muitos fabricantes de segurança permitem gerenciar de forma centralizada ambientes com múltiplos provedores de nuvem e até mesmo ambientes de data center tradicionais através da mesma interface, o que facilita muito o trabalho de definição e implementações de políticas de segurança, reduzindo a carga administrativa e ampliando a visibilidade completa dos diversos ambientes.

Desta maneira, é possível utilizar sistemas SAP em nuvem com segurança sem comprometer as premissas de negócio, viabilizando todos os benefícios decorrentes desta transformação.