DevSecOps pour SAP ? Mais bien sûr !

Les DSI craignent parfois de ne pas pouvoir maintenir la sécurité en silo d'un environnement SAP et de milliers de développements internes Abap lorsqu'ils intègrent des systèmes et services modernes non-SAP basés sur le cloud dans l'environnement des processus. Ces réserves ne sont pas infondées dans le cas d'une configuration et d'une maintenance manuelles de centaines de modules et de services cloud supplémentaires.

L'utilisation d'une plateforme de conteneurs harmonisée et déjà pré-intégrée pour toutes les architectures cibles, de On-premises à Edge et Cloud, permet de mettre en œuvre dès le départ de nombreuses exigences en matière de gouvernance, de conformité, de sécurité du code et de contrôle pour tous les niveaux utilisés. Les fonctionnalités nécessaires à la sécurité des processus de bout en bout sont disponibles en standard.

Si une entreprise veut faire avancer les thèmes de l'innovation, elle ne peut pas faire l'impasse sur l'utilisation de nouvelles plates-formes, de nouveaux cadres, de nouvelles applications et de nouvelles technologies : Les plateformes hybrides intégrées multi-cloud, les applications natives du cloud, les conteneurs, les microservices et les API sont sans aucun doute des composants essentiels. Les plateformes cloud hybrides et le développement d'applications cloud-natives détermineront donc aussi durablement l'avenir de SAP.

Cela signifie également que les environnements SAP ne doivent plus être considérés comme des systèmes isolés, mais en tenant compte du concept de Side-by-Side-Extensibility de SAP. Il s'agit ici de relier les données, les processus et les interfaces utilisateur SAP aux environnements de programmation les plus modernes, aux systèmes d'intégration et de livraison continues et aux méthodes DevOps. Les extensions dites "side-by-side" pour les systèmes S/4 permettent, contrairement aux développements internes classiques basés sur Abap, la mise en œuvre simple de processus agiles de bout en bout et intègrent ainsi le paysage SAP également avec des systèmes non-SAP. 

Mais que signifient ces évolutions pour la sécurité ? Les infrastructures SAP doivent être intégrées de manière cohérente dans une stratégie de sécurité si les frontières entre les silos doivent être franchies. Les concepts de sécurité établis ainsi que la gestion des rôles et des droits SAP ne doivent pas être dilués ou affaiblis lors d'une intégration non-SAP - un "utilisateur technique" n'est pas une solution durable.

La sécurité est une priorité pour le développement d'applications natives du cloud computing, qui doit également être prise en compte dans le développement de logiciels modernes.
d'extensions SAP basées side-by-side et peut justifier le remplacement d'Abap du seul point de vue de la sécurité. En ce qui concerne la conteneurisation, il faut par exemple s'assurer qu'aucun accès non autorisé n'est possible entre les ressources utilisées par le système hôte. De même, les images de conteneurs ne devraient être mises à disposition qu'à partir de sources dignes de confiance, par exemple uniquement après vérification par l'IT interne à partir de catalogues prédéfinis.

Mais il est surtout important de disposer d'un Linux solide. Il existe plusieurs niveaux de sécurité pour protéger les conteneurs sous Linux, comme SELinux (Security-Enhanced Linux). SELinux est activé par défaut sur le système d'exploitation Linux Red Hat Enterprise Linux 8 et fonctionne souvent dans des environnements de haute sécurité, y compris avec Hana.

Globalement, la gestion moderne de la sécurité ne doit donc en aucun cas s'arrêter à la plate-forme SAP. La sécurité peut être mise en œuvre de manière cohérente dans les processus intégrés de bout en bout avec les systèmes SAP et non SAP. Les plateformes Kubernetes d'entreprise modernes comme Red Hat OpenShift constituent une base centrale à cet effet. Elle contient toutes les fonctionnalités et tous les services nécessaires pour exploiter de manière certifiée une plateforme de gestion de conteneurs pour des applications multiples et critiques sur des infrastructures très diverses. Cela comprend par exemple les SLA, plusieurs couches de sécurité, l'automatisation ou la gestion de clusters. Et les fonctions de sécurité sont ici complètes : de la gestion des vulnérabilités à la conformité continue ou à la priorisation des risques en passant par la segmentation du réseau.