SAP HANA - Sicherheitsübersicht
Sicherheit bedeutet, die kritischen Daten des Unternehmens vor unbefugtem Zugriff und unbefugter Verwendung zu schützen und sicherzustellen, dass Compliance und Standards gemäß den Unternehmensrichtlinien eingehalten werden. Mit SAP HANA kann der Kunde verschiedene Sicherheitsrichtlinien und -verfahren implementieren und die Compliance-Anforderungen des Unternehmens erfüllen.
SAP HANA unterstützt mehrere Datenbanken in einem einzigen HANA-System. Dies wird als Datenbankcontainer mit mehreren Mandanten bezeichnet. Das HANA-System kann auch mehr als einen Datenbankcontainer mit mehreren Mandanten enthalten. Ein System mit mehreren Containern verfügt immer über genau eine Systemdatenbank und eine beliebige Anzahl von Datenbankcontainern mit mehreren Mandanten. Ein in dieser Umgebung installiertes SAP-HANA-System wird durch eine einzelne System-ID (SID) identifiziert. Datenbankcontainer im HANA-System werden durch eine SID und einen Datenbanknamen identifiziert. Der als HANA Studio bekannte SAP-HANA-Client stellt eine Verbindung zu bestimmten Datenbanken her.
SAP HANA bietet alle sicherheitsrelevanten Funktionen wie Authentifizierung, Autorisierung, Verschlüsselung und Überwachung sowie einige Zusatzfunktionen, die in anderen Datenbanken mit mehreren Mandanten nicht unterstützt werden.
Nachstehend finden Sie eine Liste sicherheitsrelevanter Funktionen, die von SAP HANA bereitgestellt werden.
- Benutzer- und Rollenverwaltung
- Authentifizierung und SSO
- Authorization
- Verschlüsselung der Datenkommunikation im Netzwerk
- Verschlüsselung von Daten in der Persistenzschicht
Zusätzliche Funktionen in der HANA-Datenbank mit mehreren Mandanten -
Database Isolation - Es geht darum, mandantenübergreifende Angriffe durch Betriebssystemmechanismen zu verhindern
Configuration Change blacklist - Es wird verhindert, dass bestimmte Systemeigenschaften von Mandanten-Datenbankadministratoren geändert werden
Restricted Features - Dabei werden bestimmte Datenbankfunktionen deaktiviert, die direkten Zugriff auf das Dateisystem, das Netzwerk oder andere Ressourcen ermöglichen.
SAP HANA Benutzer- und Rollenverwaltung
Die Konfiguration des SAP HANA-Benutzer- und Rollenmanagements hängt von der Architektur Ihres HANA-Systems ab.
Wenn SAP HANA in BI-Plattform-Tools integriert ist und als Berichtsdatenbank fungiert, werden der Endbenutzer und die Rolle auf dem Anwendungsserver verwaltet.
Wenn der Endbenutzer eine direkte Verbindung zur SAP-HANA-Datenbank herstellt, sind Benutzer und Rolle in der Datenbankebene des HANA-Systems sowohl für Endbenutzer als auch für Administratoren erforderlich.
Jeder Benutzer, der mit der HANA-Datenbank arbeiten möchte, muss über einen Datenbankbenutzer mit den erforderlichen Berechtigungen verfügen. Benutzer, die auf das HANA-System zugreifen, können je nach Zugriffsanforderung entweder ein technischer Benutzer oder ein Endbenutzer sein. Nach erfolgreicher Anmeldung am System wird die Berechtigung des Benutzers zur Ausführung des erforderlichen Vorgangs überprüft. Die Ausführung dieses Vorgangs hängt von den Berechtigungen ab, die dem Benutzer gewährt wurden. Diese Berechtigungen können mithilfe von Rollen in HANA Security gewährt werden. HANA Studio ist eines der leistungsstarken Tools zum Verwalten von Benutzern und Rollen für das HANA-Datenbanksystem.
Benutzertypen
Die Benutzertypen variieren je nach Sicherheitsrichtlinien und unterschiedlichen Berechtigungen, die dem Benutzerprofil zugewiesen wurden. Der Benutzertyp kann ein technischer Datenbankbenutzer sein, oder der Endbenutzer benötigt Zugriff auf das HANA-System für Berichtszwecke oder zur Datenmanipulation.
Standardbenutzer
Standardbenutzer sind Benutzer, die Objekte in ihren eigenen Schemas erstellen und Lesezugriff in Systeminformationsmodellen haben können. Der Lesezugriff wird durch die PUBLIC-Rolle bereitgestellt, die jedem Standardbenutzer zugewiesen ist.
Eingeschränkte Benutzer
Eingeschränkte Benutzer sind Benutzer, die mit einigen Anwendungen auf das HANA-System zugreifen und auf dem HANA-System keine SQL-Berechtigungen haben. Wenn diese Benutzer erstellt werden, haben sie zunächst keinen Zugriff.
Wenn wir eingeschränkte Benutzer mit Standardbenutzern vergleichen -
Eingeschränkte Benutzer können keine Objekte in der HANA-Datenbank oder in ihren eigenen Schemas erstellen.
Sie haben keinen Zugriff auf die Anzeige von Daten in der Datenbank, da dem Profil keine generische öffentliche Rolle wie Standardbenutzer hinzugefügt wurde.
Sie können nur über HTTP / HTTPS eine Verbindung zur HANA-Datenbank herstellen.