Wie definieren Sie Berechtigungskonzepte?
Lukardi > Blog > Sicherheit > Wie definieren Sie Berechtigungskonzepte?
- Sicherheit
SAP HANA ist ein In-Memory-Hochgeschwindigkeits-Datenzugriffskonzept. Es ermöglicht es, große, oft unaggregierte Datenmengen viel schneller zu analysieren als in anderen Datenbanken. Das Datenhandling in SAP HANA unterscheidet sich stark von dem, was wir von SAP NetWeaver kennen. Es verfügt über ein eigenes System zur Verwaltung von Benutzern und Berechtigungen.
Architektura bezpieczeństwa SAP HANA
Koncepcja autoryzacji zaimplementowana w bazach SAP HANA bazuje na autoryzacjach.
Szyfrowanie SSL powinno być skonfigurowane na każdym z trzech typów połączeń:
- połączenie klienta i bazy SAP HANA
- wewnętrzne połączenia pomiędzy komponentami SAP HANA
- połączenie do data center (na przykład backup z użyciem SAP HANA System Replication)
SAP HANA pozwala również na logowanie krytycznych zdarzeń, takich jak zmiany na użytkownikach, rolach, uprawnieniach oraz zmiany konfiguracji i nieprawidłowe logowania. Dodatkowo logowane są odczyt i zapis danych (na przykład via tabele) oraz uruchomienia. Dostępny jest również pewien rodzaj logowania awaryjnego.
SAP HANA – Zarządzanie autoryzacjami i użytkownikami
Baza danych SAP HANA rozróżnia 3 typy użytkowników:
- użytkownik
- użytkownik SYSTEM
- wewnętrzny użytkownik techniczny
Operacje na SAP HANA dla tych użytkowników wymagają odpowiednich uprawnień. Można przypisywać uprawnienia bezpośrednio do użytkowników lub grupować je ze sobą w role.
SAP HANA – Uprawnienia
Podstawowa zasada – dostęp dozwolony jest tylko wtedy, gdy odpowiednie uprawnienia zostały użytkownikowi udzielone. Tak zwana pozytywna autoryzacja.
Żadne autoryzacje w SAP HANA nie są za to negatywne, czyli nie istnieje sposób, dla których użytkownikowi BLOKUJEMY jakiekolwiek dostępy. Dokładnie tak jak w SAP NetWeaver – autoryzacje są jedynie addytywne.
Są trzy typy uprawnień:
- do obiektów
- systemowe
- analityczne
Role SAP HANA
W SAP HANA role są zbiorem uprawnień (lub w niektórych przypadkach zbiorem ról). Role mogą być dziedziczone (zagnieżdżone). Pozwala to dokładnie odwzorować role biznesowe w koncepcją autoryzacji.
Aby zarządzać rolami, powinieneś zawsze pracować w Repozytorium HANA i tworzyć role jako obiekty design-time (role Repozytorium), które później przetransportujesz. Po przetransportowaniu, rola jest aktywowana automatycznie. Tylko te role runtime’owe (role katalogowe) mogą być przypisane.
Koncepcja autoryzacji – Ramy i podstawy
Udzielenie dostępów do obiektów SAP HANA odbywa się standardowo poprzez przypisanie autoryzacji. Ramowa koncepcja określa zasady przypisania uprawnień i ról. Koncepcja taka to gwarant bezpieczeństwa (pod warunkiem, że będą istnieć odpowiednie mechanizmy weryfikujące jej przestrzeganie).
Ramowa koncepcja pomaga poprawić poziom bezpieczeństwa IT przez wdrożenie odpowiednich polityk dostępów. Dlatego ramowa koncepcja autoryzacji powinna odpowiadać na następujące pytania:
- kto jest uprawniony do tworzenia i zmieniania użytkowników?
- kto jest uprawniony do tworzenia ról?
- kto jest uprawniony do przydzielania/zmieniania ról?
- kto jest odpowiedzialny za administrowanie bazą danych?
- jak będą zarządzani użytkownicy awaryjni (emergency user/firefighter) i przez kogo?
- kto będzie kontrolował, którzy użytkownicy?
- kto jest uprawniony do tworzenia ról XSA?
- kto jest uprawniony do transportu ról?
- jakie ograniczenia muszą mieć role?
- kto jest uprawniony do tworzenia widoków analitycznych?
Koncepcja ramowa musi posiadać następujące informacje:
- opis podziału funkcji pomiędzy administracją IT, a działami biznesowymi
- opis typów użytkowników (standard i restricted)
- obsługę użytkowników SYSTEM
- użycie takich użytkowników jak: Administrator, Użytkownik techniczny, Użytkownik kokpitu, Deweloper XSA
- opis ról dla konkretnych grup użytkowników
- opis ról z rekomendacjami i wymaganiami: DATA ADMIN, ROLE ADMIN, CATALOG READ
- użycie repozytorium i ról HDI
- korzystanie z autoryzacji: Obiekty, Analityka, Standard
- ustawienia dla weryfikacji bazy SAP HANA: Weryfikacja logów audytowych, Linux syslog, Przypisanie użytkownikom uprawnień audytorskich
- opis metod dostępów
Dodatkowo (opcjonalnie) można opisać użycie użytkowników awaryjnych oraz dostęp LDAP (jeśli jest). Również należy uwzględnić ewentualne wymogi prawne (takie jak RODO).
Jeśli chcesz dowiedzieć się czegoś więcej o SAP HANA i zarządzaniu autoryzacjami – zapraszamy.
Tomasz Jurgielewicz
Head of Security Department w Lukardi. Od 10 lat prowadzi zespół specjalistów SAP Security, dostarczając kompleksowe usługi i narzędzia do zabezpieczenia systemów SAP oraz optymalizacji licencji. Doświadczenie w obszarze: - identyfikacji konfliktów uprawnień i reorganizacji autoryzacji, - identyfikacja podatności SAP, - integracja rozwiązań SIEM z SAP, - optymalizacja licencji SAP.