SAP 사용자들의 오픈 커뮤니티

• 목록

안녕하세요, KSUG Admin입니다.

"[8월 패널 토크] SAP ERP 구축시 사용 효율 극대화를 위한 인프라 소개” 세션이 많은 SAP 사용자 여러분의 관심 속에 마무리 되었습니다!

KSUG 온라인 패널 토크 세션의 시청자 여러분께서 남겨 주신 질문에 대한 패널 분들의 답변을 올려 드립니다.

아직 답변드리지 못한 내용은 순차적으로 업데이트 될 예정입니다 :) 

이번 패널 토크에서 궁금했던 점을 풀어 보세요!

1. Micro Segmentation 솔루션은 SAP S4HANA PCE(Private Cloud Edition) 에도 적용 가능한가요?

[Akamai] SAP S4HANA PCE의 경우 SAP의 certification 이 필요합니다. 현재 아카마이는 제로트러스트 관련하여 EAA(Enterprise Application Access), SIA(Secure Internet Access), MFA(Multi Factor Authentication) 등의 솔루션은 certification이 되어있습니다. Micro Segmentation 솔루션인 가디코어(Guardicore)는 현재 Certification 진행중에 있으며 2~3달 내로 완료될 수 있을 것 같다는 아카마이 본사쪽 담당자 확인을 받았습니다. 

​2. 제로 트러스트 보안 모델을 적용할 때 기존에 사용하던 보안장비들과 연계 등 활용할 수 있는 방안이 있는지 궁금합니다

[Akamai] 제로트러스트 보안 모델 적용시 기존 자산의 활용방안을 마련하기 위해서는 전사 인프라와 솔루션에 대한 가시성 확보가 우선되어야 할 것으로 보고 있습니다. 아카마이의 가디코어를 활용한다면 우선 전사 인프라 및 솔루션에 대한 가시성을 확보할 수 있고, 이를 바탕으로 중복 투자되고 있거나 유휴 자산에 대한 확인을 할 수 있어 기존 자산들의 효율적인 사용전략을 세울 수 있습니다. 

3. 클라우드, 인프라 간의 워크로드 마이그레이션시, 해당 구성요소들에 대한 네트워크 규칙, 방화벽, 정책, 구성 등 매번 메뉴얼한 수정이 필요한 환경의 경우 akamai 솔루션이 유용할것 같은데 ai머신러닝등을 통한 커스토마이징 기능등은 있는지요?

[Akamai] 아카마이 가디코어의 경우 구성요소들에 대하여 AI 기반의 Labeling을 제공합니다. 이러한 labeling은 application, network 성격에 따라 그룹화할 수 있으며, 방화벽 정책, 규칙 등에 대해서도 template화 되어 있어서 필요한 정책 등에 대해서 추천하는 template를 간단하게 적용할 수 있습니다. 기존 방화벽 정책 등의 구성 대비하여 down time 없이 단 몇 번의 click만으로 간편하게 정책 적용이 가능합니다. 

4. SAP 를 도입할때 아카마이에 구성하면 마이크로세그멘테이션이 기본인지 궁금하고 운영측면에서 주의사항이나 고려사항은 무엇인지요

[Akamai] 마이크로 세그멘테이션은 선택적으로 도입하실 수 있습니다. 다만 기존 SAP 시스템의 Firewall 기반의 보안 솔루션은 L4 layer 처리만이 가능한 문제점이 있습니다. Malware(Ransomware)는 L7 Layer인데 이를 L4 Layer에서 통제 및 관찰 하는것에는 한계가 있으며, 기존 firewall 솔루션은 포트제어를 통한 경로관리를 하게 되어 프로세스 제어도 일부 정해진 프로세스(ex, telnet,ssh등)에 대하여 정해진 통제가 가능합니다. 마이크로 세그멘테이션 도입을 통해서 모든 프로세스에 대해 처리가 가능한 유연한 솔루션을 도입할 수 있습니다. 

5. SAP 클라우드를 사용할때도 마이크로세그멘테이션이 구성될 수 있는지 궁금하고 SAP클라우드에서 제로트러스트는 어떤식으로 구현되는지요

[Akamai] Public Cloud (AWS, Azure, GCP 등등) 으로의 이전시 VM을 직접 운영하실 경우에는 링펜싱(Ring-Fencing, 특정 Application 영역을 가상으로 구역을 나눠서 보호함)을 활용한 제로트러스트 구축이 가능합니다. (Whitelist 방식을 통한, 허용된 접속 이외의 모든 비 인가된 트래픽을 모두 차단을 통해 제로트러스트 구축이 가능합니다.)

6. SAP ECC를 계속 사용하면서 DB만을 HANA로 이전할 수 있나요? 이전한다면, 서버와 스토리지 구성을 어떻게 해야 하는지 알려주실 수 있나요?

[HPE] 네 가능합니다.

7. PCE 환경에서 인프라를 운영할때, 주의해야 할 사항은 무엇인가요? 인프라 이슈가 생길때 어떻게 운영이나 관리해야 하는지 궁금합니다.

[HPE] PCE(Hyperscaler) 도입시에 초기에는 성능을 검증, 외부 시스템과의 인터페이스 등을 주의해야 합니다. 운영하는 과정에서 장애분석 서비스가 되지 않는다는 점도 고려해야 합니다.

8. 온프레미스와 클라우드를 비교했을때, 커스터마이징이 더 잘되는 인프라는 어디인지요? 코어외에 커스터마이징은 인프라 구분없이 동일한지요?

[HPE] On-premise 입니다.

9. 기존에 온프레미스에서 ECC 버전의 SAP ERP를 사용하고 있는 기업이 차세대 SAP를 구축하고자 할때, Public Cloud / Private Cloud / On-Premise 중에서 TCO 관점에서 일반적으로 가장 유리한 방안은 무엇일까요?

[HPE] Managed Service 부분에 대한 TCO를 어떻게 볼지에 따라서 cloud로 가는 것이 유리할지, on-premise로 갈지가 유리할지에 대한 tco가 달라질 수 있습니다. 구축사이즈가 클수록 on-premise > private > public 가 유리합니다.

10. 서버분야에서 성능도 중요하지만 장시간운용시 장애 및 쓰로틀링으로 힌한 성능저하발생 등으로 가용성/신뢰성도 중요한데 경쟁사대비 이에 대한 비교평가등이 궁금합니다.

[HPE] S전자에서 경쟁사와 BMT를 통해서 성능과 가용성/신뢰성이 검증되어 도입되었습니다.

11. SAP ERP 구축시 사용 효율 극대화를 위한 인프라 최적화를 위한 고려사항이 있을까요?

[HPE] 가상화 통합방식으로 구성하는 것이 인프라 최적화 관점에서는 가장 효율적입니다.

12. SAP S/4HANA (클라우드환경 구축시)가 기본적으로 고객들이 이중화 구성으로 운영하는지 궁금합니다.

[HPE] 운영시스템의 경우 DB와 ASCS, ERS 를 이중화 구성합니다.

13. SAP ERP 구축에 따른 클라우드+온프렘의 하이브리드 구성 시, 비용 증가에 대한 절감 방안은 어떻게 세워야 하는지요? ESG 정책을 고려한 전력 사용량을 줄이는 방안과 보안 및 민감 데이터 처리에 대한 SAP ERP의 정책은 어떻게 되는지요?

[HPE] Cloud와 On-Premise 간의 하이브리드 구성의 경우 인터페이스를 최소화하는 구성이 비용절감을 위해서 바람직합니다. ESG정책을 고려할 경우 저전력설계가 가능한 On-Premise환경의 TDI(Tailored Datacenter Integration)을 지원합니다.

14. ZTNA 를 구성할때 OKTA와 연동해서 구성해서 SAP 의 모듈별 접속권한 관리가 가능한지 궁금합니다.

[Akamai] 가디코어는 Active Directory의 User Group별 접속 권한 관리를 지원하고 있습니다. OKTA가 AD 그룹과 연동시 지원가능하며 아카마이의 EAA(Enterprise Application Access) 솔루션의 경우에서도 OKTA와의 연동을 지원합니다. (예 SAML2.0)

15. 방화벽과 VPN을 통한 보안과 대비하여, 제로트러스트 솔루션은 어떤 차이가 있는지요? 온프레미스나 클라우드, 또는 하이브리드에서도 인프라 구분없이 제로트러스트 적용이 일괄 적용 가능한지 궁금합니다.

[Akamai] 아카마이의 제로트러스트 솔루션은 가디코어를 활용하여 온프레미스, 멀티클라우드, 하이브리드 환경 모두 마이크로 세그멘테이션 적용이 가능합니다. 아카마이 가디코어를 활용하여 마이크로 세그멘테이션 적용을 하게 되면 전체 인프라를 seamless 하게 하나의 인프라로 관리가 가능하며 방화벽 정책 설정 등을 몇 번의 클릭으로 간편하게 적용할 수 있습니다.  또한 VPN 대신 EAA를 활용할 경우 사용자의 권한에 따라 접속할 수 있는 Application을 할당할 수 있게 되며, 별도의 port를 open하지 않아도 되기 때문에 보안적으로 더 안전합니다. 

16. PECDC 관련 궁금하게 있는데 SAP SaasS 가 아닌 hp에서 재공하는 컴퓨팅에 sap를 올려서 사용하는 만큼 과금을 hp에 내는 방식으로 이해가 되는데 맞을까요? 맞다면 온프레미스 형태의 프라이빗 클라우드를 구축하고 거기에 sap 클라우드 라이선스를 사용하여 구축 혹은 ecc에서 s4hana 마이그레이션 가능 할까요?

[HPE] PECDC는 기본적으로 고객은 PCE와 마찬가지로 SAP와 계약을 맺고, HPE가 SAP에 infra와 infra에 대한 managed service를 제공합니다. (SAP Cloud license)

on-premise에서 sap cloud 라이선스를 이용해서 s4hana로 마이그레이션을 하실려면 pecdc로 하시면 됩니다.

17. Zero Trust 는 SAP 뿐만 아니라 모든 업무 시스템의 접속을 상세히 권한 구분을 하여 접근을 관리하는 것으로 알고 있는데요. 아카마이 솔루션이 SAP 이외에 온프레미스 환경 / 클라우드 환경의 다른 업무시스템의 접근 통제까지도 One-point Control이 가능한지요?

[Akamai] 네 가능합니다. 아카마이 가디코어를 활용할 경우 온프레미스/클라우드의 전체 환경을 하나의 콘솔에서 관리가 가능합니다.

18. 보안 솔루션에 비해 제로 트러스트 보안 모델이 가지고 있는 장점은 무엇인가요?

[Akamai] 기존 보안 솔루션 대비하여 가시성 측면에서 North-South의 종 이동 traffic 뿐만 아니라 East-West의 횡 이동 까지 포함한 전체 traffic에 대한 가시성을 확보할 수 있으며, SW 기반으로 내부 Network을 통제하기 때문에 변경영향이 적고, 더 세분화된 정책을 적용할 수 있습니다. 또한 보안 측면에서도 Layer4 뿐만 아니라 Application, Process 단까지 관리할 수 있게 됩니다. 

19. SASE와 ZTNA는 항상 같이 구축해야 하는건가요? 보안 모델 구축시 어떤 부분을 우선적으로 염두해 두어야 하는지요?

[Akamai] ZTNA와 SASE는 서로 다른 의미를 가지고 있습니다. 통상적으로 SASE는  ZTNA 기능을 포함합니다. (SASE >> ZTNA: Zero Trust Network Access), ZTNA을 먼저 구축합니다.

20. 요즘 데이터 보호 솔루션은 랜섬웨어 공격 시 프록시가 무력화되는 경우가 많은데, 이를 막기 위해 AI기반의 보안솔루션 은 프록시 솔루션을 효과적으로 지원하나요?

[Akamai] MITM (Man In the Middle) 기술을 활용하는 Proxy 솔루션의 경우 램섬웨어의 방어에는 적합하지 않는게 맞습니다. 램섬웨어의 방어는 Lateral Movement 보안 솔루션 (마이크로 세그멘테이션)이 요구됩니다. (예: 아카마이의 가디코어 솔루션)

21. SAP S/4HANA (클라우드환경 구축시)가 기본적으로 고객들이 이중화 구성으로 운영하는지 궁금합니다.

[HPE] 이중화 구성합니다.

22. 악성코드에 감염된 백업데이터를 감지하여 복원등을 통한 재감염을 방지하기위한 방법이 있는지 궁금합니다.

[Akamai] 백업데이터의 암호화등을 통한 복원을 불가능하게 하는 공격에 대한 사전 차단 기술(마이크로 세그멘테이션)을 제공하고 있습니다. (백업 복원 자체 기능은 제공하지 않습니다.)

23. 클라우드와 온프렘 시스템을 조화롭게 구현하는 데 필수적인 기술과 환경에 대해서 문의드려요

[HPE] 서버와 운영체제, 이중화 솔루션 등에 대한 기술지원 노하우가 가장 중요합니다

24. SAP HANA 서버와 관련해 HPE는 어떤 강점이 있는지 궁금합니다. HPE 그린레이크에 대해서도 설명 부탁드릴게요.

[HPE] SAP HANA 관련해서 HPE는 타사에서 제공이 불가능한 최신사양의 대용량 고가용성 서버를 제공합니다. HPE GreenLake는 private cloud 혹은 hybrid cloud 환경을 구축하기 위한 솔루션을 제공합니다.

25. 멀티클라우드 환경에서 각 클라우드 서비스와 연동하여 데이터 동기화 및 사용자 통합인증 방식과 국내 적용 사례는?

[Akamai] 가디코어의 마이크로 세그멘테이션에 적용되는 애플리케이션의 연동은 멀티 클라우드 환경에 영향을 받지 않습니다. 새로운 환경에서의 VM (Asset)에 Label를 설정하는 즉시 새로운 룰을 설정할 필요없이도, 기존 Policy가 그대로 적용 가능합니다. (환경에 무관한 일관된 정책 적용 제공 제공)

26. 하이브리드 업무 환경에 따른 감염 위험과 보안 취약점 증가로 인한 네트워크 보안과 데이터 유출 방지, 접근 통제에 대한 새로운 보안 기술은 어떻게 구성해야 하는지요? 보안 강화로 인한 업무 효율과 인증 지연에 대한 어려움은 어떻게 해결할 수 있는지요?

[Akamai] 하이브리드 멀티 클라우드환경에서의 애플리케이션에 대한 보안은 하나의 관리 화면 (UI)으로 전체적인 가시성 확보 할수 있는 통합적인 정책관리가 필요합니다. 애플리케이션 레벨 뿐만 아닌, Process 레벨의 제어를 통한 접근통제 기술은 더 높은  보안기술인 ZTA(제로트러스트 아키텍쳐)을 제공할 수 있습니다. 인증의 경우 SSO을 활용한 간소화가 지원 됩니다.

27. ZERO TRUST 기반의 보안망을 최적으로 구축하려는 경우 사전에 검토해야 할 사항들은 무엇인가요?

[Akamai] 세그먼테이션에 대한 영역및 애플리케이션에 분류등이 필요합니다. 좀더 자세한 검토 사항들은 KISA문서링크를 첨부 드립니다. (https://www.kisa.or.kr/2060205/form?postSeq=20&page=1)

28. 재택근무에 최적화된 ZERO TRUST 기반 보안망의 특징과 특성에 대해서 문의드려요

[Akamai] 재택근무 환경에서 Zero Trust 기반 보안망을 구축하기 위해서는 보안성과 사용자의 사용 편의성 등을 감안해야 합니다. 외부에서 접근하기 때문에 접근하는 Network에 대한 보안이 담보되어야 하며, 사용자별 접근할 수 있는 Application 에 따른 권한관리가 되어야 합니다. 그리고 사용자가 사내 서비스 이용중 외부 인터네망으로 나가게 될 때 Malware 등에 대한 감염여부를 탐지할 수 있어야 하며, 사내망을 사용할 때와 유사한 performance가 담보되어야 합니다. 아카마이에서는 사용자의 접근관리, 권한관리를 EAA(Enterprise Application Access)로 제공하고 있으며, SIA(Secure Internet Access)를 통해서 외부로 나가는 Traffic에 대한 Malware 등에 대한 감염여부를 확인합니다. 그리고 아카마이의 Global CDN Network를 이용한다면 performance 또한 담보가 될 수 있습니다. 

29. 원격근무를 하는 경우 ZERO TRUST 기반의 보안망을 어떻게 구축하는 것이 보다 효과적인가요?

[Akamai] 원격근무 환경에서 Zero Trust 기반 보안망을 구축하기 위해서는 보안성과 사용자의 사용 편의성 등을 감안해야 합니다. 외부에서 접근하기 때문에 접근하는 Network에 대한 보안이 담보되어야 하며, 사용자별 접근할 수 있는 Application 에 따른 권한관리가 되어야 합니다. 그리고 사용자가 사내 서비스 이용중 외부 인터네망으로 나가게 될 때 Malware 등에 대한 감염여부를 탐지할 수 있어야 하며, 사내망을 사용할 때와 유사한 performance가 담보되어야 합니다. 아카마이에서는 사용자의 접근관리, 권한관리를 EAA(Enterprise Application Access)로 제공하고 있으며, SIA(Secure Internet Access)를 통해서 외부로 나가는 Traffic에 대한 Malware 등에 대한 감염여부를 확인합니다. 그리고 아카마이의 Global CDN Network를 이용한다면 performance 또한 담보가 될 수 있습니다. 

30. 현재 HEC 환경에서 SAP 사용하고 있는데 S/4 HANA로 구축하게 되면 효율이 나서 의미 있는 ROI가 나올지 궁금합니다

[HPE] S4HANA가 제공하는 기능과 성능 상의 이점이 ROI를 보장한다고 할 수 있습니다.

31. AKAMAI질문: 보안 공격의 유형 및 방법이 다양한데 딥러닝을 통한 학습 및 추론을 통해서 과연 얼마나 효과적으로 보안 공격을 방어할수 있을지요. 자칫 의도하지 않게 보안 정책이 실행되어서 서비스에 영향을 줄수도 있을거 같은데 어떻게 보시는지요.

[Akamai] 기존의 DPI를 위한 AI 딥러닝과 달리 세그멘테이션을 위해 적용되는 딥러닝 및 ML의 기술은 거의 오탐(False Positive)이 발생되지 않습니다. 각각의 Rule 적용을 위한 분석을 수행하는것이 아닌, 하나의 정책 (Policy)을 수행하기 때문입니다. (Policy >> Rule)