SAPセキュリティ-ネットワーク通信

Secure Network Communication (SNC)安全な認証方法を使用してアプリケーションサーバーにログインするためにも使用できます。SNCは、SAP GUI forWindowsまたはRFC接続を使用したユーザー認証に使用できます。

SNCは、外部セキュリティ製品を使用して、通信パートナー間の認証を実行します。公開鍵インフラストラクチャPKIや手順などのセキュリティ対策を使用して、鍵ペアを生成および配布できます。

脅威を排除し、ネットワーク攻撃を防ぐことができるネットワークトポロジを定義する必要があります。ユーザーがアプリケーションまたはデータベース層にログインできない場合、攻撃者はSAPシステムまたはデータベースシステムにアクセスして重要な情報にアクセスすることはできません。

明確に定義されたネットワークトポロジでは、侵入者が会社のLANに接続できないため、ネットワークサービスまたはSAPシステムのセキュリティの抜け穴にアクセスできません。

SAPシステムのネットワークトポロジ

物理ネットワークアーキテクチャは、SAPシステムのサイズに完全に依存します。SAPシステムは通常、クライアントサーバーアーキテクチャで実装され、各システムは通常、次の3つの層に分割されます。

  • データベースレイヤー
  • アプリケーション層
  • プレゼンテーション層

SAPシステムが小さい場合、個別のアプリケーションとデータベースサーバーがない場合があります。ただし、大規模なシステムでは、多くのアプリケーションサーバーがデータベースサーバーおよびいくつかのフロントエンドと通信します。これにより、システムのネットワークトポロジが単純なものから複雑なものまで定義され、ネットワークトポロジを編成するときにさまざまなシナリオを検討する必要があります。

大規模な組織では、アプリケーションとデータベースサーバーを別のマシンにインストールし、フロントエンドシステムとは別のLANに配置することをお勧めします。

次の画像では、SAPシステムの優先ネットワークトポロジを確認できます-

データベースとアプリケーションサーバーをフロントエンドVLANとは別のVLANに配置すると、アクセス制御システムを改善できるため、SAPシステムのセキュリティが向上します。フロントエンドシステムは異なるVLANにあるため、サーバーVLANに入るのは簡単ではなく、SAPシステムのセキュリティをバイパスします。

SAPネットワークサービス

SAPシステムには、有効になっているさまざまなサービスがありますが、SAPシステムを実行するために必要なサービスはごくわずかです。SAPシステムでは、LandscapeDatabase そして Application Serversネットワーク攻撃の最も一般的なターゲットです。これらのサーバーへのアクセスを許可する多くのネットワークサービスがランドスケープで実行されているため、これらのサービスを注意深く監視する必要があります。

Window / UNIXマシンでは、これらのサービスは /etc/services。次のパスに移動すると、Windowsマシンでこのファイルを開くことができます-

system32/drivers/etc/services

このファイルをメモ帳で開いて、サーバーでアクティブ化されているすべてのサービスを確認できます-

ランドスケープサーバーで不要なサービスをすべて無効にすることをお勧めします。これらのサービスには、侵入者が不正アクセスを取得するために使用できるいくつかのエラーが含まれている場合があります。これらのサービスを無効にすると、ネットワークへの攻撃の可能性が低くなります。

高レベルのセキュリティを確保するために、SAP環境で静的パスワードファイルを使用することもお勧めします。

秘密鍵

SNCは、外部セキュリティ製品を使用して、通信パートナー間の認証を実行します。次のようなセキュリティ対策を使用できますPublic Key Infrastructure (PKI) キーペアを生成および配布し、ユーザーの秘密キーが適切に保護されるようにするためのその他の手順。

ネットワーク認証用の秘密鍵を保護する方法はいくつかあります-

  • ハードウェアソリューション
  • ソフトウェアソリューション

それでは、それらについて詳しく説明しましょう。

ハードウェアソリューション

個々のユーザーにスマートカードを発行するハードウェアソリューションを使用して、ユーザーの秘密鍵を保護できます。すべてのキーはスマートカードに保存されており、ユーザーは指紋またはPINパスワードを使用して生体認証を介してスマートカードを認証する必要があります。

これらのスマートカードは、個々のユーザーによる盗難や紛失から保護する必要があり、ユーザーはカードを使用してドキュメントを暗号化できます。

ユーザーは、スマートカードを共有したり、他のユーザーに渡したりすることはできません。

ソフトウェアソリューション

ソフトウェアソリューションを使用して、個々のユーザーの秘密鍵を保存することもできます。ソフトウェアソリューションは、ハードウェアソリューションと比較して安価なソリューションですが、安全性も低くなります。

ユーザーが秘密鍵をファイルとユーザーの詳細に保存する場合、不正アクセスからそれらのファイルを保護する必要があります。