Seguridad SAP - Comunicación de red

Secure Network Communication (SNC)también se puede utilizar para iniciar sesión en un servidor de aplicaciones mediante un método de autenticación seguro. Puede utilizar SNC para la autenticación de usuarios a través de SAP GUI para Windows o mediante una conexión RFC.

El SNC utiliza un producto de seguridad externo para realizar la autenticación entre los socios de comunicación. Puede utilizar medidas de seguridad como PKI de infraestructura de clave pública y procedimientos para generar y distribuir pares de claves.

Debe definir la topología de la red que pueda eliminar las amenazas y prevenir los ataques a la red. Cuando los usuarios no pueden iniciar sesión en la capa de aplicación o base de datos, los atacantes no pueden acceder al sistema SAP o al sistema de base de datos para acceder a información crítica.

Una topología de red bien definida no permite que los intrusos se conecten a la LAN de la empresa y, por lo tanto, no tengan acceso a los agujeros de seguridad en los servicios de red o en el sistema SAP.

Topología de red en un sistema SAP

La arquitectura de su red física depende completamente del tamaño de su sistema SAP. Un sistema SAP se implementa comúnmente con una arquitectura cliente-servidor y cada sistema se divide comúnmente en las siguientes tres capas:

  • Capa de base de datos
  • Capa de aplicación
  • Capa de presentación

Cuando su sistema SAP es pequeño, es posible que no tenga una aplicación y un servidor de base de datos separados. Sin embargo, en un sistema grande, muchos servidores de aplicaciones se comunican con un servidor de base de datos y varias interfaces. Esto define la topología de red de un sistema de simple a complejo y debe considerar diferentes escenarios al organizar su topología de red.

En una organización a gran escala, se recomienda que instale su aplicación y servidor de base de datos en diferentes máquinas y lo coloque en una LAN separada del sistema frontend.

En la siguiente imagen, puede ver la topología de red preferida de un sistema SAP:

Cuando coloca su base de datos y el servidor de aplicaciones en una VLAN separada de la VLAN frontends, le permite mejorar el sistema de control de acceso y, por lo tanto, aumenta la seguridad de su sistema SAP. Los sistemas frontend están en diferentes VLAN, por lo que no es fácil ingresar a la VLAN del servidor y, por lo tanto, evitar la seguridad de su sistema SAP.

Servicios de red de SAP

En su sistema SAP, hay varios servicios que están habilitados, sin embargo, solo se requieren unos pocos para ejecutar el sistema SAP. En un sistema SAP, elLandscape, Database y Application Serversson el objetivo más común de los ataques a la red. Muchos servicios de red se están ejecutando en su entorno que permiten el acceso a estos servidores y estos servicios deben monitorearse cuidadosamente.

En sus máquinas Windows / UNIX, estos servicios se mantienen en /etc/services. Puede abrir este archivo en la máquina de Windows yendo a la siguiente ruta:

system32/drivers/etc/services

Puede abrir este archivo en un Bloc de notas y revisar todos los servicios activados en su servidor -

Se recomienda que desactive todos los servicios no necesarios en los servidores horizontales. A veces, estos servicios contienen algunos errores que pueden ser utilizados por intrusos para obtener acceso no autorizado. Cuando desactiva estos servicios, reduce las posibilidades de un ataque a su red.

Para un alto nivel de seguridad, también se recomienda utilizar archivos de contraseña estática en su entorno SAP.

Llaves privadas

SNC utiliza un producto de seguridad externo para realizar la autenticación entre los socios de comunicación. Puede utilizar medidas de seguridad comoPublic Key Infrastructure (PKI) y otros procedimientos para generar y distribuir pares de claves y garantizar que las claves privadas para los usuarios estén debidamente protegidas.

Hay diferentes formas de proteger las claves privadas para una autorización de red:

  • Solución de hardware
  • Solución de software

Analicemos ahora en detalle.

Solución de hardware

Puede proteger las claves privadas para los usuarios que utilizan una solución de hardware en la que emite tarjetas inteligentes a usuarios individuales. Todas las claves se almacenan en una tarjeta inteligente y el usuario debe autenticarse en sus tarjetas inteligentes a través de datos biométricos mediante huellas dactilares o una contraseña PIN.

Estas tarjetas inteligentes deben ser protegidas contra robo o pérdida por cada usuario individual y los usuarios pueden usar la tarjeta para cifrar los documentos.

Los usuarios no pueden compartir las tarjetas inteligentes ni dárselas a otros usuarios.

Solución de software

También es posible utilizar una solución de software para almacenar claves privadas para usuarios individuales. La solución de software es una solución menos costosa en comparación con la solución de hardware, pero también son menos seguras.

Cuando los usuarios almacenan claves privadas en archivos y detalles del usuario, existe la necesidad de proteger esos archivos para el acceso no autorizado.