SAPHANA-セキュリティの概要
セキュリティとは、会社の重要なデータを不正アクセスや不正使用から保護し、会社のポリシーに従ってコンプライアンスと基準が満たされていることを確認することを意味します。SAP HANAを使用すると、お客様はさまざまなセキュリティポリシーと手順を実装し、企業のコンプライアンス要件を満たすことができます。
SAP HANAは、単一のHANAシステムで複数のデータベースをサポートします。これはマルチテナントデータベースコンテナと呼ばれます。HANAシステムには、複数のマルチテナントデータベースコンテナを含めることもできます。マルチコンテナシステムには、常に1つのシステムデータベースと任意の数のマルチテナントデータベースコンテナがあります。この環境にインストールされているSAPHANAシステムは、単一のシステムID(SID)によって識別されます。HANAシステムのデータベースコンテナは、SIDとデータベース名で識別されます。HANAスタジオと呼ばれるSAPHANAクライアントは、特定のデータベースに接続します。
SAP HANAは、認証、承認、暗号化、監査などのすべてのセキュリティ関連機能と、他のマルチテナントデータベースではサポートされていない一部のアドオン機能を提供します。
以下は、SAPHANAが提供するセキュリティ関連機能のリストです。
- ユーザーと役割の管理
- 認証とSSO
- Authorization
- ネットワークでのデータ通信の暗号化
- 永続層でのデータの暗号化
マルチテナントHANAデータベースの追加機能-
Database Isolation −オペレーティングシステムメカニズムによるテナント間の攻撃の防止が含まれます
Configuration Change blacklist −テナントデータベース管理者が特定のシステムプロパティを変更できないようにする必要があります
Restricted Features −ファイルシステム、ネットワーク、またはその他のリソースへの直接アクセスを提供する特定のデータベース機能を無効にする必要があります。
SAPHANAのユーザーとロールの管理
SAP HANAのユーザーとロールの管理構成は、HANAシステムのアーキテクチャによって異なります。
SAP HANAがBIプラットフォームツールと統合され、レポートデータベースとして機能する場合、エンドユーザーとロールはアプリケーションサーバーで管理されます。
エンドユーザーがSAPHANAデータベースに直接接続する場合、エンドユーザーと管理者の両方にHANAシステムのデータベースレイヤーでのユーザーとロールが必要です。
HANAデータベースを使用するすべてのユーザーには、必要な権限を持つデータベースユーザーが必要です。HANAシステムにアクセスするユーザーは、アクセス要件に応じて、テクニカルユーザーまたはエンドユーザーのいずれかになります。システムへのログオンが成功すると、必要な操作を実行するためのユーザーの権限が確認されます。その操作の実行は、ユーザーに付与されている特権によって異なります。これらの権限は、HANAセキュリティのロールを使用して付与できます。HANA Studioは、HANAデータベースシステムのユーザーとロールを管理するための強力なツールの1つです。
ユーザータイプ
ユーザータイプは、セキュリティポリシーと、ユーザープロファイルに割り当てられたさまざまな特権によって異なります。ユーザータイプは、テクニカルデータベースユーザーまたはエンドユーザーがレポート目的またはデータ操作のためにHANAシステムにアクセスする必要がある場合があります。
標準ユーザー
標準ユーザーは、独自のスキーマでオブジェクトを作成でき、システム情報モデルで読み取りアクセス権を持つユーザーです。読み取りアクセスは、すべての標準ユーザーに割り当てられているPUBLICロールによって提供されます。
制限付きユーザー
制限付きユーザーとは、一部のアプリケーションでHANAシステムにアクセスし、HANAシステムに対するSQL権限を持たないユーザーです。これらのユーザーが作成されると、最初はアクセスできません。
制限付きユーザーと標準ユーザーを比較すると-
制限されたユーザーは、HANAデータベースまたは独自のスキーマにオブジェクトを作成できません。
標準ユーザーのようにプロファイルに追加された一般的なパブリックロールがないため、データベース内のデータを表示するためのアクセス権はありません。
HTTP / HTTPSを使用してのみHANAデータベースに接続できます。