Next Gen SAP Operations on Azure

Damit eine SAP-Systemlandschaft jederzeit störungsfrei, performant und sicher funktioniert, muss diese permanent überwacht, sorgfältig gewartet und konsequent im Rahmen eines Application Lifecycle aktualisiert und weiterentwickelt werden. Dies erzeugt im klassischen Operations steigende Aufwände und bindet Personal aus den IT-Bereichen.

Das Ziel ist dabei, Kunden von zusätzlichen Aufwänden für den Operations-Betrieb zu entlasten, sodass sie sich vollständig um ihr Kerngeschäft kümmern und ihre Unternehmensprozesse weiterentwickeln können. Zur Gewährleistung eines permanenten und reibungslosen Betriebes wird außerdem eine Reihe maschineller Tools und Services eingesetzt. Dies beginnt beim Monitoring, das den Betrieb der Systemlandschaften unterstützt – von der Administration und Security bis hin zum Business Process Monitoring auf applikatorischer Ebene. Teilweise werden diese Services künftig auch direkt aus dem Microsoft Azure Marketplace zu beziehen sein.

Darüber hinaus werden automatisch zur Verfügung stehende Dashboards und Services eingesetzt, die aktiv Auskunft über die aktuelle Auslastung der Ressourcen und die Systemperformance geben und eine maximale Transparenz für den Kunden liefern. Hiermit lassen sich ad hoc Möglichkeiten zur Kostenreduzierung erkennen und umsetzen. Periodische System Health Checks und weitere Optimierungspotenziale der Systemlandschaft werden ebenfalls unterstützt.

Außerdem finden sich auch weiterhin Security-Funktionen, wie einfache Remote-­Administration, detailliertes Sicherheitsmanagement, Benutzer-, Berechtigungs- und Zugriffsmanagement, innerhalb der Operations on Azure.

Bei einer zeitgemäßen Automatisierung wird auf Werkzeuge wie beispielsweise Hashi­Corps Terraform oder das von RedHat angebotene Ansible gesetzt. Terraform hat sich in den vergangenen Jahren als das Werkzeug der Stunde (Infrastructure as Code) herauskristallisiert. Mit einer eigenen, an Javascript angelehnten Sprache können komplette Cloud-IaaS-Umgebungen bis hin zur laufenden virtuellen Maschine erzeugt werden. Komplette SAP-Systemlandschaften inklusive Datenbank und S/4-Applika­tion lassen sich in wenigen Stunden automatisiert bereitstellen.

Vorteile dieses automatisierten Aufbaus sind aber nicht nur die enorme Geschwindigkeit, sondern auch die durch die Standardisierung vermiedenen menschlichen Konfigurationsfehler, die beim händischen Aufbau einer solchen Landschaft vorkommen können. Durch den Infrastructure- as-Code-Ansatz skaliert die Methode von kleineren bis sehr großen Landschaften.

Für die Orchestrierung auf dem laufenden Betriebssystem empfehlen sich moderne Werkzeuge wie Ansible. Ansible ist ein Orchestrierungstool, mit dem ein System in einen einheitlichen Zustand gebracht werden kann. Dieser Zustand kann zum Beispiel abbilden, dass auf dem Betriebssystem eine komplette Grundkonfiguration mit Härtungen, Tunings und anderen Best Practices angewendet oder eine Hana-Datenbank installiert und konfiguriert werden soll. Der Vorteil durch den sogenannten idempotenten Ansatz von Ansible ist, dass sich auch Bestandssysteme immer wieder auf den aktuellen Stand der Automatisierung bringen lassen können.

Eine der neuen Herausforderungen von Security Operations ist es, mit einem hohen Maß an Agilität und Flexibilität Schritt zu halten. Damit dies gelingt, ist Sichtbarkeit der wichtigste Erfolgsfaktor. Sichtbarkeit wird in der Azure-Landschaft vor allem durch das Azure Security Center (ASC) erreicht.

Das ASC ist eine Standardkomponente in der Azure-Landschaft und ermöglicht die Überwachung von Ressourcen. Mithilfe des Compliance Manager ist es möglich, eine schnelle Übersicht darüber zu erlangen, ob die Infrastruktur compliant ist oder nicht. In Kombination mit zuvor angelegten Policies gehört die Angst, bei Audits nicht zu bestehen, der Vergangenheit an.

Neben der Sichtbarkeit spielt das Thema Threat Detection und Response – das Reagieren auf Sicherheitsereignisse – eine wichtige Rolle. Zur Erkennung von Threats ist es nötig, verschiedene Datenquellen zusammenzubringen und Informationen einzusammeln. In der Korrelation dieser Daten ist es möglich, komplexe Angriffsmuster zu erkennen, diese in Form eines Tickets zu erfassen und entsprechende Schutzmaßnahmen einzuleiten. Für diese Security Operations Tasks bietet Azure Sentinel als cloudnatives SIEM sämtliche erforderlichen Features.