Wie Sie mit SUSE sicher auf SAP S/4HANA und die SAP Edge Integration Cell migrieren

Tausende Unternehmen müssen auch den Umstieg auf die SAP Integration Suite in Verbindung mit der SAP Edge Integration Cell meistern und dabei Datenschutz- und Sicherheitsanforderungen erfüllen, zu denen sie durch Regularien wie NIS2 angehalten werden. Lösungen des SAP-Technologiepartners SUSE können ihnen dabei helfen.

Wie geht es nach der Abkündigung von SAP ERP ECC 6.0 weiter? Diese Frage beschäftigt viele SAP-Kunden seit Jahren. Mit dem nahenden Supportende ist es an der Zeit, eine strategische Entscheidung zu treffen. Einige Unternehmen verbinden die Migration mit einem Wechsel zu RISE with SAP und beziehen künftig die Cloud-Version von SAP S/4HANA als Managed Service von SAP. Andere Kunden wollen ihre SAP-Umgebung auch in Zukunft selbst betreiben – bei einem Hyperscaler oder im eigenen Rechenzentrum.

Für welche Variante sich ein Unternehmen auch entscheidet: Ziel sollte immer sein, den Übergang so reibungslos wie möglich zu gestalten und künftig von einer sicheren, skalierbaren und hochverfügbaren Infrastruktur für die geschäftskritischen SAP-Anwendungen zu profitieren.

SUSE Technologie-Blueprint beschleunigt den Umstieg

Als langjähriger strategischer Technologiepartner von SAP unterstützt SUSE Unternehmen beim Wechsel auf die neue ERP-Generation von SAP. Rund 80 Prozent aller SAP HANA-Installationen laufen heute auf SUSE Linux Enterprise Server (SLES) for SAP Applications – und auch SAP selbst betreibt das Angebot SAP S/4HANA Cloud auf dem Betriebssystem von SUSE.

In Hunderten erfolgreichen Transformationsprojekten wurden zudem Best Practices für die Migration auf SAP S/4HANA gesammelt, die jetzt in einen Technologie-Blueprint eingeflossen sind. Das siebenstufige Modell deckt alle Phasen der Implementierung ab – von der Provisionierung der Betriebssystem-Images über den Aufbau einer gehärteten, ausfallsicheren Infrastruktur bis hin zur kontinuierlichen Optimierung, Überwachung und Dokumentation der Umgebung. Unternehmen können diesen Technologie-Blueprint sowohl für Cloud- als auch für On-Premises-Implementierungen nutzen und damit den Umstieg auf SAP S/4HANA erheblich beschleunigen.

Nach den Erfahrungen der gemeinsamen Kunden von SAP und SUSE sind vor allem drei Aspekte entscheidend, um den Übergang zu erleichtern und Migrations­risiken zu vermeiden: eine weitgehende Automatisierung des Betriebs, eine hochverfügbare Architektur und kompromisslose Sicherheit auf allen Ebenen.

Infrastruktur automatisiert bereitstellen mit SUSE Manager

Beim Betrieb von SAP S/4HANA sollten IT-Abteilungen so wenig Zeit wie möglich mit zeitraubenden manuellen Tätigkeiten verbringen. Ein hoher Automatisierungsgrad entlastet die Systemadministratoren und ermöglicht es Unternehmen gleichzeitig, ihre neue SAP-Umgebung flexibel zu skalieren, wenn die Geschäftsanforderungen steigen. Automatisierte Prozesse sind zudem weniger fehleranfällig und verbessern so die Zuverlässigkeit und Stabilität der SAP-Infrastruktur.

Viele Unternehmen, die SAP S/4HANA selbst betreiben, setzen heute Werkzeuge von SUSE zur Automatisierung ihrer operativen Prozesse ein. Der SUSE Manager fungiert dabei als zentrale Verwaltungsplattform. Die Lösung standardisiert das Konfigurations- und Patch-Management über alle Staging-Ebenen hinweg und arbeitet nahtlos mit Automatisierungslösungen wie Terraform, Salt und Ansible zusammen.

Trento und SAPtune optimieren den Betrieb

Mit Trento bietet SUSE ein Tool für die Echtzeit-Überwachung und Analyse von SAP S/4HANA-Systemen. Die Lösung liefert detaillierte Einblicke in den Zustand und die Performance der Systeme, sodass Administratoren proaktiv auf potenzielle Probleme reagieren können, bevor diese zu ernsthaften Störungen führen.

Darüber hinaus implementiert Trento automatisiert SAP Best Practices für die Konfiguration und den Betrieb von SAP S/4HANA-Systemen. Diese Best Practices helfen dabei, die Systemstabilität und -leistung zu maximieren, und stellen sicher, dass die Systeme jederzeit optimal eingerichtet sind. Zudem kann Trento selbstständig Schwachstellen, Konfi­gurationsprobleme und Performance-Bottle­necks identifizieren und konkrete Empfehlungen zur Behebung dieser Probleme geben.

Mit SAPtune stellt SUSE schließlich ein Tool zur Verfügung, das die Optimierung der Systemleistung automatisiert. Erreicht wird dies durch anpassbare Tu­ning-Profile, die speziell für SAP S/4HANA entwickelt wurden. Die Performance-Optimierungen von SAPtune können ohne tiefgreifendes Expertenwissen implementiert werden, was den operativen Aufwand weiter reduziert.

Hochverfügbarkeit durch automatisches Failover und Live Patching

SAP garantiert eine Verfügbarkeit von 99,9 Prozent für die SAP S/4HANA Cloud Public Edition. Unternehmen, die SAP S/4HANA selbst betreiben, streben heute ähnliche Werte an. Jeder längere Ausfall hätte in der Regel sofort erhebliche Auswirkungen auf die Geschäftsprozesse des Unternehmens.

Die auf Pacemaker basierende SUSE High Availability (HA) Extension unterstützt IT-Abteilungen dabei, maximale Verfügbarkeit und Ausfallsicherheit beim Betrieb ihrer SAP S/4HANA-Umgebungen zu erreichen. Pacemaker verwaltet und überwacht die Ressourcen in einem Cluster und schaltet Dienste bei Ausfall eines Knotens automatisch auf einen anderen Knoten um. Funktionen wie Geo-Clustering, standortübergreifende Datenreplikation und regelbasierte Fail­over stellen sicher, dass der Geschäftsbetrieb auch nach unvorhersehbaren Ereignissen schnell wieder aufgenommen werden kann.

Mit SUSE Live Patching können Kernel-Updates ohne Neustart des Systems durchgeführt werden. Unternehmen halten so ihre Umgebung stets auf dem neuesten Stand und können sich darauf verlassen, dass ihre SAP S/4HANA-Umgebung bei Updates ohne Unterbrechung weiterläuft. Diese Funktion ist besonders wichtig für geschäftskritische Anwendungen, die auf die kontinuierliche Verfügbarkeit und Stabilität der SAP S/4HANA-Systeme angewiesen sind.

Nicht zuletzt trägt auch der SUSE Priority Support für SAP zur Hochverfügbarkeit von SAP S/4HANA bei. SUSE unterstützt SAP-Kunden rund um die Uhr bei allen technischen Fragen zu ihrer Infrastruktur. Dabei koordinieren die Supportspezialisten von SUSE alle Anfragen mit anderen beteiligten Herstellern wie Hardware- und Softwarelieferanten und liefern dann schnell eine Lösung, die sofort weiterhilft. Auch dadurch wird das Risiko von ungeplanten Unterbrechungen und längeren Ausfällen erheblich reduziert.

BSI-Zertifizierung für NIS2-Vorgabe

SAP S/4HANA ist für viele Unternehmen das Herzstück ihrer Unternehmens-IT. Die sensiblen Daten und Geschäftsprozesse, die darüber verarbeitet werden, müssen umfassend geschützt werden. Daher sollte das Thema Sicherheit bereits bei der Planung der neuen Infrastruktur oberste Priorität haben.

Die Live Patching-Funktion von SUSE ist ein wichtiges Werkzeug, um Sicherheitsrisiken in der SAP-Infrastruktur zu minimieren. Unternehmen können Sicherheitspatches für den Kernel im laufenden Betrieb einspielen und müssen nicht bis zum nächsten Wartungsfenster warten, wenn eine Sicherheitslücke entdeckt wurde. Dies erhöht die Sicherheit der SAP S/4HANA-Umgebung und schützt vor potenziellen Angriffen und Datenverlusten.

SAP-Anwender profitieren zudem davon, dass SUSE Linux Enterprise Server vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach Common Criteria EAL 4+ zertifiziert wurde. Grundlage dafür waren eine umfassende Evaluierung des Produkts sowie aller Entwicklungs- und Sicherheitsupdate-Prozesse. Die Evaluation Assurance Level 4 augmented by ALC_FLR.3 (EAL4+) bestätigt, dass SLES die höchsten Sicherheitsanforderungen für das Produkt und die gesamte Lieferkette für kritische Infrastrukturen erfüllt.

Mit dieser staatlich anerkannten Zertifizierung sparen sich auch Anwender von SLES for SAP Applications eine eigene Evaluierung ihrer Softwarelieferkette und können jederzeit nachweisen, dass die Supply Chain Security von unabhängiger Stelle geprüft wurde. Dies ist eine wichtige Voraussetzung, um neue gesetzliche Anforderungen wie NIS2 und den EU Cyber Resilience Act zu erfüllen, denen viele SAP-Kunden heute unterliegen.

Sicherheit für SAP S/4HANA

Zur Stärkung der Cyberresilienz hat SUSE zudem einen Hardening Guide für SLES veröffentlicht. Dieser bietet Anleitungen und Best Practices zur Verbesserung der Sicherheit des Betriebssystems und deckt dabei Bereiche wie Benutzer- und Passwortverwaltung, System- und Netzwerkdienste, Dateisystem- und Gerätesicherheit sowie Protokollierung und Auditing ab.

Mit SUSE Manager können die Sicherheitsrichtlinien und Best Practices des Hardening Guide automatisch auf alle Server in der SAP S/4HANA-Umgebung angewendet werden. So lässt sich sehr einfach sicherstellen, dass alle Systeme den im Hardening Guide beschriebenen Sicherheitsanforderungen entsprechen.

Zur Sicherheitskontrolle kann SUSE Manager zudem regelmäßig OpenSCAP-Scans auf allen verwalteten Systemen durchführen. Der Scan untersucht das System auf bekannte Schwachstellen in installierten Paketen und Konfigurationen, basierend auf Datenbanken wie CVE (Common Vulnerabilities and Exposures).

Bei dem Scan wird auch überprüft, ob das System den vom Kunden definierten Sicherheitsstandards und Best Practices entspricht, wie zum Beispiel den Sicherheitsanforderungen des Unternehmens oder branchenspezifischen Standards (wie etwa PCI-DSS, HIPAA). OpenSCAP bewertet die Systemkonfigurationen und vergleicht sie mit den empfohlenen Einstellungen, um sicherzustellen, dass die Sicherheitsvorgaben korrekt implementiert sind.

Nach dem Scan generiert SUSE Manager detaillierte Berichte über gefundene Schwachstellen, Konfigurationsabweichungen und Compliance-Verletzungen. Diese Berichte helfen Administratoren, notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen. Zudem können die Reports als Nachweis bei Audits oder anderen Compliance-Prüfungen genutzt werden.

Die Edge Integration Cell von SAP für sensible Daten

Bis 2027 steht für viele SAP-Kunden nicht nur die Migration auf SAP S/4HANA an – auch für SAP PI/PO wird eine Nachfolgelösung benötigt. Die Middleware-Lösungen zur Orchestrierung und Integration von Prozessen sollen künftig durch die SAP Integration Suite abgelöst werden.
Nicht alle Kunden sind jedoch bereit, auf eine vollständig cloudbasierte Inte­grationslösung umzusteigen, und möchten auch in Zukunft die Kontrolle über sensible Daten und Schnittstellen im eigenen Haus behalten. Organisationen aus stark regulierten Branchen können dazu auch durch Compliance-Vorgabe oder gesetzliche Bestimmungen verpflichtet sein. Für diese Kunden hat SAP die Edge Integration Cell entwickelt.

Die Edge Integration Cell ist eine hy­bride Lösung für die SAP Integration ­Suite, die es Unternehmen ermöglicht, APIs und Integrationsdienste lokal im ­eigenen Rechenzentrum oder in einer ­Private-Cloud-Umgebung auszuführen. Entwickler entwerfen also ihre Integra­tion Flows mit dem Integration Designer in der Cloud und stellen sie dann in einer Laufzeitumgebung im eigenen Netzwerk bereit. So können Unternehmen verhindern, dass sensible Daten ihr Netzwerk verlassen.

Technologisch basiert die erste Version der SAP Edge Integration Cell auf dem Lösungsstack von SUSE. Die containerisierte Anwendung läuft in einer Kubernetes-Umgebung, die mit Rancher Prime verwaltet wird. Als Betriebssystem kommt SUSE Linux Enterprise (SLE) Micro zum Einsatz. Darüber hinaus nutzt die SAP Edge Integration Cell weitere Open- Source-Komponenten wie MetalLB, Redis, PostgreSQL und die Cloud-native verteilte Speicherplattform Longhorn.

Umfassender Schutz der gesamten Software Supply Chain

Anwender der Edge Integration Cell profitieren auch von allen Sicherheitsvorteilen des SUSE-Lösungsstacks und sind so beispielsweise in der Lage, die Edge Integration Cell für NIS2-Anforderungen vorzubereiten. SLE Micro entspricht durch die gemeinsame Code-Basis dem Sicherheitsstandard des Common Criteria EAL 4+-zertifizierten Betriebssystems SLES – inklusive der unabhängig validierten Software Supply Chain.

Rancher Prime – die Container-Management-Plattform der Edge Integration Cell – verfügt ebenfalls über eine abgesicherte Softwarelieferkette. Die Lösung wurde kürzlich nach Supply-chain Levels for Software Artifacts (SLSA) zertifiziert. Dieses von Google entwickelte Framework zielt darauf ab, die Integrität von Software beim Erzeugen der Binaries zu sichern. Maßnahmen wie ein automatisierter Build-Prozess und eine lückenlose Herkunftsdokumentation (Software Bill of Material = SBOM) schützen die Software vor Manipulationen und ermöglichen eine sichere Nachverfolgbarkeit des Quellcodes.

Basis für Cloud-native Integrationsszenarien im SAP-Umfeld

Die Systemarchitektur der SAP Edge Inte­gration Cell ist nicht nur auf maximale Sicherheit, sondern auch auf hohe Verfügbarkeit ausgelegt. Große SAP-Kunden betreiben oft mehr als 1000 Integrationsdienste über die Komponente und wickeln damit teilweise jeden Tag mehr als eine Million Transaktionen ab. Ein Ausfall der Edge Integration Cell würde daher eine Vielzahl von Geschäftsprozessen zum Erliegen bringen.

Mit Rancher Prime können SAP-Kunden sehr einfach eine hochverfügbare Kubernetes-Umgebung für den Betrieb der con­tainerisierten Anwendung aufbauen und die Anzahl der Nodes flexibel skalieren, wenn die Leistungsanforderungen steigen.

Die sichere und hochverfügbare Kubernetes-Infrastruktur lässt sich übrigens nicht nur für die SAP Edge Integration Cell nutzen. Auch andere containerisierte Anwendungen im SAP-Umfeld – eigenentwickelte Tools ebenso wie Apps von Drittanbietern – können über denselben Lösungsstack bereitgestellt werden. Damit erleichtert SUSE die nahtlose Anbindung beliebiger Cloud-nativer Anwendungen an SAP-Systeme und schafft eine zukunftssichere Architektur für neue Integrationsszenarien.

Produktinformationen

Zum Partnereintrag: