Mantenerse al día con las actualizaciones de la plataforma SAP y el código ABAP personalizado puede ser un desafío para las empresas. Para superar esto, muchos clientes e incluso el propio SAP optan por un enfoque bien conocido llamado Side-by-Side para la extensión funcional de SAP . Este enfoque mantiene los propios módulos de SAP lo más estándar posible mientras coloca personalizaciones, extensiones e integraciones externas con terceros.

Esto es posible gracias a los puntos de conexión API y los protocolos de integración que ofrece SAP, desde aplicaciones ABAP tradicionales hasta S4/HANA más nuevo u ofertas de servicios de nube administrados como SAP RISE.

Si bien SAP ha proporcionado durante mucho tiempo esas API para interactuar con su plataforma, dos desarrollos recientes han hecho de Side-by-side una opción más atractiva para extender SAP: la adopción de API estandarizadas, como REST y oData, y el surgimiento de microservicios como un manera de diseñar soluciones de software. Los microservicios son especialmente útiles para ampliar las aplicaciones existentes, como SAP, ya que permiten a los desarrolladores crear servicios pequeños e independientes que interactúan a través de las API. Junto con las potentes API de SAP y el middleware nativo de la nube existente, los microservicios constituyen un modelo de extensión ideal.

El próximo hito importante al definir un enfoque de extensión es una plataforma donde se ejecutarán todos esos microservicios e integraciones. Afortunadamente, tenemos un ganador en Kubernetes, el entorno operativo estándar para aplicaciones modernas basadas en microservicios. Esto significa que ahora tenemos un conjunto claro de metodologías, estándares y plataformas que ofrecen una base sólida tanto para extender nuestras aplicaciones SAP como para integrarlas en un ecosistema más amplio.

Si bien este enfoque tiene sentido desde la perspectiva de la arquitectura de software, también abre posibles problemas de seguridad. Al colocar el código comercial fuera de SAP e interactuar con SAP a través de las API, las empresas deben asegurarse de que sus sistemas permanezcan seguros en un escenario con una superficie de ataque más amplia. Afortunadamente, SUSE ofrece un entorno operativo sólido y seguro tanto para la pila de software tradicional de SAP como para la capa de software de microservicios en paralelo que se ejecuta sobre Kubernetes.

¿Cómo protegemos el entorno de Kubernetes?

Kubernetes se ha convertido en una opción popular para la orquestación de contenedores debido a su flexibilidad y escalabilidad. Sin embargo, asegurar un entorno de Kubernetes puede ser un desafío. En este artículo, cubriremos dos etapas para proteger un entorno de Kubernetes: proteger la plataforma en sí y proteger la capa de la aplicación.

Protección de la plataforma Kubernetes

Hay varias herramientas disponibles para asegurar la plataforma Kubernetes, pero Rancher y RKE2 se destacan como las soluciones más seguras del mercado . Ambos cuentan con la certificación STIG y tienen soporte nativo para el cifrado FIPS y otras funciones de seguridad clave.

Rancher Prime y RKE2 se pueden implementar en una amplia variedad de sistemas operativos Linux, pero SUSE Linux Enterprise Server (SLES) es la combinación perfecta cuando la seguridad entra en juego. SLES es el único sistema operativo de propósito general certificado por EAL4+ y también tiene certificación STIG , lo que lo convierte en la mejor opción para asegurar la base de la plataforma Kubernetes.

El endurecimiento para SLES y el endurecimiento para SLES para SAP utilizan el mismo enfoque, y las herramientas relacionadas con la seguridad, como SUSE Manager , pueden trabajar y administrar juntas ambas variantes de SLES para una experiencia de administración de seguridad unificada a nivel del sistema operativo.

Protección de la capa de aplicación

SUSE NeuVector es un paquete de seguridad nativo de Kubernetes que puede cubrir el ciclo de vida completo de la aplicación. Con sus complementos, SUSE NeuVector puede integrarse con proveedores de Git y herramientas de CI como Jenkins para realizar escaneos de seguridad sobre artefactos de software lo antes posible en los procesos de compilación.

Una vez que las aplicaciones de microservicios se compilan, prueban y empaquetan como contenedores, SUSE NeuVector también puede escanear los contenedores creados en los registros de contenedores en los que están almacenados. Para las aplicaciones en contenedores que se ejecutan en un entorno de Kubernetes, SUSE NeuVector puede monitorear el comportamiento de la aplicación en tiempo de ejecución, aprender sobre procesos, archivos, conexiones de red y cualquier interacción de la aplicación para modelar un contexto de seguridad . Se puede implementar un enfoque conductual de la seguridad para controlar, auditar y rechazar nuevos comportamientos sospechosos.

SUSE NeuVector proporciona una inspección profunda de paquetes con reconocimiento de protocolo para inspeccionar todo el tráfico que generan las aplicaciones de contenedor mientras se comunican entre sí y con el mundo exterior. Además, SUSE NeuVector ofrece prevención de pérdida de datos y funciones de cortafuegos L7 para controlar los puntos de conexión entre nuestro entorno SAP y los microservicios con los que interactúa.

En conclusión, proteger un entorno de Kubernetes requiere un enfoque de varias capas que comienza con la protección de la plataforma y sus dependencias y continúa con la protección de la capa de la aplicación. Con herramientas como Rancher Prime , RKE2 , SLES , SLES for SAP , SUSE Manager y SUSE NeuVector , las organizaciones pueden implementar una estrategia de seguridad integral para proteger sus entornos SAP. Además, este enfoque permite a las organizaciones explorar de manera segura el paradigma de extensión en paralelo para hacer evolucionar su entorno SAP mientras mantienen un entorno seguro y confiable.