Samouczek bezpieczeństwa SAP dla początkujących: co to jest, podstawy i Definicja

W tym samouczku dotyczącym bezpieczeństwa SAP dla początkujących poznamy podstawowe pojęcia dotyczące bezpieczeństwa SAP.

Co to jest bezpieczeństwo SAP?

SAP Security to równoważenie działań mające na celu ochronę danych i aplikacji SAP przed nieautoryzowanym użyciem i dostępem. SAP oferuje różne narzędzia, procesy i środki kontroli bezpieczeństwa w celu ochrony tych danych. Bezpieczeństwo SAP pomaga zapewnić, że użytkownicy mogą korzystać tylko z funkcjonalności SAP, która jest częścią ich pracy.

Systemy SAP zawierają bardzo wrażliwe i poufne dane klientów i firm. Stąd potrzeba regularnego audytu systemu komputerowego SAP w celu sprawdzenia jego bezpieczeństwa i integralności danych.

Na przykład pracownik magazynu, który jest odpowiedzialny za utworzenie zamówienia zakupu, nie powinien zatwierdzać zgodnego z prawem zamówienia lub w inny sposób może utworzyć i zatwierdzić dowolną liczbę zamówień bez żadnego pożytku.

W takim scenariuszu zatwierdzanie zamówienia powinno być kontrolowane przez wyższą władzę, co jest standardowym zabezpieczeniem.

Następnie w tym samouczku SAP Security dla początkujących dowiemy się o różnych koncepcjach bezpieczeństwa w SAP.

Koncepcje bezpieczeństwa dla SAP

Poniżej znajdują się główne koncepcje bezpieczeństwa w SAP:

1. Dane STAD

Kody transakcji są drzwiami wejściowymi do dostępu do funkcjonalności SAP. Dane STAD zapewniają ochronę przed nieautoryzowanym dostępem do transakcji. Czy rejestruje informacje, takie jak kto uzyskał dostęp do pewnych krytycznych funkcji? I kiedy? Dane STAD mogą być wykorzystywane do monitorowania, analizowania, audytu i utrzymywania koncepcji bezpieczeństwa.

2. Biblioteka kryptograficzna SAP

Biblioteka kryptograficzna SAP to domyślny produkt szyfrujący dostarczany przez firmę SAP. Służy do zapewnienia bezpiecznej komunikacji sieciowej (SNC) między różnymi komponentami serwera SAP. W przypadku komponentów front-end należy kupić produkt partnerski z certyfikatem SNC.

3. Bezpieczeństwo internetowego serwera transakcyjnego (ITS)

Aby aplikacja systemu SAP była dostępna z poziomu przeglądarki internetowej, używany jest komponent oprogramowania pośredniego o nazwie Internet Transaction Server (ITS). Architektura ITS ma wiele wbudowanych funkcji bezpieczeństwa, takich jak uruchamianie Wgate i Agate na osobnych hostach.

4. Podstawy sieci (SAPRouter, zapory i DMZ, porty sieciowe)

Podstawowymi narzędziami bezpieczeństwa używanymi przez SAP są zapory i DMZ, porty sieciowe, SAPRouter itp. Zapora ogniowa to system komponentów oprogramowania i sprzętu, który definiuje połączenia, które powinny przechodzić tam i z powrotem między partnerami komunikacyjnymi. SAP Web Dispatcher i SAPRouter to przykłady bram na poziomie aplikacji, których można używać do filtrowania ruchu sieciowego SAP.

5. Bezpieczeństwo Web-AS (równoważenie obciążenia, SSL, zabezpieczenia portalu korporacyjnego)

SSL (Secure Socket Layer) to standardowa technologia zabezpieczeń służąca do tworzenia szyfrowanego łącza między serwerem a klientem. Dzięki SSL możesz uwierzytelniać partnerów komunikacyjnych (serwer i klienta), określając zmienne szyfrowania.

Dzięki bezpieczeństwu cybernetycznemu SAP obaj partnerzy są uwierzytelnieni. Dane przesyłane między serwerem a klientem będą chronione, więc wszelkie manipulacje w danych zostaną wykryte. Oprócz tego dane przesyłane między klientem a serwerem są również szyfrowane. Przewodnik bezpieczeństwa portalu korporacyjnego może być pomocny w zabezpieczaniu systemu, postępując zgodnie z jego wytycznymi.

6. Jednokrotne logowanie

Funkcja pojedynczego logowania SAP umożliwia skonfigurowanie tych samych poświadczeń użytkownika w celu uzyskania dostępu do wielu systemów SAP. Pomaga zmniejszyć koszty administracyjne i ryzyko bezpieczeństwa związane z utrzymywaniem poświadczeń wielu użytkowników. Zapewnia poufność poprzez szyfrowanie podczas transmisji danych.

7. AIS (Audit Information System)

AIS lub Audit Information System to narzędzie audytowe, którego można użyć do szczegółowej analizy aspektów bezpieczeństwa systemu SAP. AIS jest przeznaczony do audytów biznesowych i audytów systemów. AI prezentuje swoje informacje w Audit InfoStructure.

Następnie w tym samouczku dotyczącym bezpieczeństwa SAP dowiemy się o bezpieczeństwie SAP dla aplikacji mobilnych.

SAP Security for Mobile SAP Apps

Aplikacje SAP są teraz dostępne na urządzeniach mobilnych, a liczba użytkowników mobilnych rośnie. Ale ta ekspozycja jest potencjalnym zagrożeniem. Największym zagrożeniem dla aplikacji SAP jest ryzyko utraty przez pracownika ważnych danych klientów.

Zaletą mobilnego SAP jest to, że większość urządzeń mobilnych obsługuje funkcję zdalnego czyszczenia. Wiele funkcji związanych z CRM, które organizacje chcą zmobilizować, jest opartych na chmurze, co oznacza, że ​​poufne dane nie znajdują się na samym urządzeniu.

Niektórzy z popularnych dostawców zabezpieczeń mobilnych SAP to SAP Afaria, SAP Netweaver Gateway, SAP Mobile Academy i SAP Hana cloud.

Następnie w tym samouczku SAP Security dla początkujących dowiemy się o najlepszych praktykach w zakresie bezpieczeństwa SAP.

Lista kontrolna najlepszych praktyk SAP w zakresie bezpieczeństwa

1. Ocena ustawień sieci i architektury krajobrazu
2. Ocena bezpieczeństwa systemu operacyjnego, w którym wdrożono SAP
3. Ocena bezpieczeństwa DBMS.
4. Ocena bezpieczeństwa SAP NetWeaver
5. Wewnętrzna ocena kontroli dostępu
6. Ocena komponentów SAP, takich jak SAP Gateway, SAP Messenger Server, SAP Portal, SAP Router, SAP GUI
7. Ocena zmian i procedur transportowych
8. Ocena zgodności ze standardami SAP, ISACA, DSAG, OWASP

Podsumowanie

• Definicja bezpieczeństwa SAP: SAP Security to działanie równoważące mające na celu ochronę danych i aplikacji SAP przed nieautoryzowanym użyciem i dostępem.
• Koncepcje bezpieczeństwa dla SAP
  1. Dane STAD
  2. Biblioteka kryptograficzna SAP
  3. Bezpieczeństwo internetowego serwera transakcyjnego (ITS)
  4. Podstawy sieci (SAPRouter, zapory i DMZ, porty sieciowe)
  5. Bezpieczeństwo Web-AS (równoważenie obciążenia, SSL, zabezpieczenia portalu korporacyjnego)
  6. Jednokrotne logowanie
  7. AIS (Audit Information System)
• Zaletą zabezpieczeń SAP dla aplikacji mobilnych jest to, że większość urządzeń mobilnych obsługuje funkcje zdalnego czyszczenia.
• SAP Security Best Practices
1. Ocena ustawień sieci i architektury krajobrazu
2. Ocena bezpieczeństwa systemu operacyjnego, w którym wdrożono SAP
3. Ocena bezpieczeństwa DBMS
4. Ocena bezpieczeństwa SAP NetWeaver