Sicurezza SAP - Comunicazione di rete

Secure Network Communication (SNC)può essere utilizzato anche per accedere a un server delle applicazioni utilizzando un metodo di autenticazione sicuro. È possibile utilizzare SNC per l'autenticazione utente tramite SAP GUI per Windows o utilizzando una connessione RFC.

SNC utilizza un prodotto di sicurezza esterno per eseguire l'autenticazione tra i partner di comunicazione. È possibile utilizzare misure di sicurezza come PKI dell'infrastruttura a chiave pubblica e procedure per generare e distribuire coppie di chiavi.

È necessario definire la topologia di rete in grado di eliminare le minacce e prevenire gli attacchi di rete. Quando gli utenti non possono accedere all'applicazione o al livello del database, gli aggressori non possono accedere al sistema SAP o al sistema del database per accedere alle informazioni critiche.

Una topologia di rete ben definita non consente agli intrusi di connettersi alla LAN aziendale e quindi nessun accesso ai buchi del circuito di sicurezza sui servizi di rete o sul sistema SAP.

Topologia di rete in un sistema SAP

La tua architettura di rete fisica dipende completamente dalle dimensioni del tuo sistema SAP. Un sistema SAP è comunemente implementato con un'architettura client-server e ogni sistema è comunemente suddiviso nei seguenti tre livelli:

  • Livello database
  • Livello applicazione
  • Livello di presentazione

Quando il tuo sistema SAP è piccolo, potrebbe non avere un'applicazione e un database server separati. Tuttavia, in un sistema di grandi dimensioni, molti server delle applicazioni comunicano con un server di database e diversi frontend. Questo definisce la topologia di rete di un sistema da semplice a complesso e dovresti considerare diversi scenari quando organizzi la tua topologia di rete.

In un'organizzazione su larga scala, si consiglia di installare l'applicazione e il server di database su macchine diverse e posizionarli in una LAN separata dal sistema frontend.

Nell'immagine seguente, puoi vedere la topologia di rete preferita di un sistema SAP:

Quando si posiziona il database e il server delle applicazioni in una VLAN separata dalla VLAN frontend, è possibile migliorare il sistema di controllo degli accessi e quindi aumentare la sicurezza del sistema SAP. I sistemi frontend si trovano in diverse VLAN, quindi non è facile entrare nella VLAN del server e quindi aggirare la sicurezza del proprio sistema SAP.

Servizi di rete SAP

Nel tuo sistema SAP, ci sono vari servizi abilitati, ma solo pochi sono necessari per eseguire il sistema SAP. In un sistema SAP, ilLandscape, Database e Application Serverssono l'obiettivo più comune degli attacchi di rete. Molti servizi di rete sono in esecuzione nel tuo ambiente che consente l'accesso a questi server e questi servizi dovrebbero essere attentamente monitorati.

Nelle vostre macchine Windows / UNIX, questi servizi vengono mantenuti in formato /etc/services. Puoi aprire questo file sulla macchina Windows andando nel seguente percorso:

system32/drivers/etc/services

Puoi aprire questo file in un Blocco note e rivedere tutti i servizi attivati ​​nel tuo server -

Si consiglia di disabilitare tutti i servizi non richiesti sui server orizzontali. A volte questi servizi contengono alcuni errori che possono essere utilizzati dagli intrusi per ottenere un accesso non autorizzato. Quando disabiliti questi servizi, riduci le possibilità di un attacco alla tua rete.

Per un elevato livello di sicurezza, si consiglia inoltre di utilizzare file di password statici nell'ambiente SAP.

Chiavi private

SNC utilizza un prodotto di sicurezza esterno per eseguire l'autenticazione tra i partner di comunicazione. Puoi usare misure di sicurezza comePublic Key Infrastructure (PKI) e altre procedure per generare e distribuire coppie di chiavi e per garantire che le chiavi private per gli utenti siano adeguatamente protette.

Esistono diversi modi per proteggere le chiavi private per un'autorizzazione di rete:

  • Soluzione hardware
  • Soluzione software

Vediamoli ora in dettaglio.

Soluzione hardware

È possibile proteggere le chiavi private per gli utenti utilizzando una soluzione hardware in cui si rilascia la smart card a singoli utenti. Tutte le chiavi sono memorizzate in una smart card e l'utente deve autenticarsi sulle proprie smart card tramite biometria utilizzando impronte digitali o utilizzando una password PIN.

Queste smart card dovrebbero essere protette dal furto o dallo smarrimento da parte di ogni singolo utente e gli utenti possono utilizzare la carta per crittografare i documenti.

Agli utenti non è consentito condividere le smart card o fornirle ad altri utenti.

Soluzione software

È anche possibile utilizzare una soluzione software per archiviare chiavi private per singoli utenti. La soluzione software è una soluzione meno costosa rispetto alla soluzione hardware, ma è anche meno sicura.

Quando gli utenti memorizzano le chiavi private nei file e nei dettagli dell'utente, è necessario proteggere tali file per l'accesso non autorizzato.