SAP 보안-네트워크 통신

Secure Network Communication (SNC)또한 보안 인증 방법을 사용하여 응용 프로그램 서버에 로그인하는 데 사용할 수 있습니다. Windows 용 SAP GUI를 통해 또는 RFC 연결을 사용하여 사용자 인증에 SNC를 사용할 수 있습니다.

SNC는 외부 보안 제품을 사용하여 통신 파트너 간의 인증을 수행합니다. 공개 키 인프라 PKI와 같은 보안 조치와 키 쌍을 생성 및 배포하는 절차를 사용할 수 있습니다.

위협을 제거하고 네트워크 공격을 방지 할 수있는 네트워크 토폴로지를 정의해야합니다. 사용자가 애플리케이션 또는 데이터베이스 계층에 로그인 할 수없는 경우 공격자는 중요한 정보에 액세스하기 위해 SAP 시스템 또는 데이터베이스 시스템에 액세스 할 수 없습니다.

잘 정의 된 네트워크 토폴로지는 침입자가 회사의 LAN에 연결하는 것을 허용하지 않으므로 네트워크 서비스 또는 SAP 시스템의 보안 루프 홀에 액세스 할 수 없습니다.

SAP 시스템의 네트워크 토폴로지

물리적 네트워크 아키텍처는 SAP 시스템의 크기에 전적으로 의존합니다. SAP 시스템은 일반적으로 클라이언트-서버 아키텍처로 구현되며 각 시스템은 일반적으로 다음 세 계층으로 나뉩니다.

  • 데이터베이스 계층
  • 응용 계층
  • 프리젠 테이션 레이어

SAP 시스템이 작은 경우 별도의 애플리케이션 및 데이터베이스 서버가 없을 수 있습니다. 그러나 대규모 시스템에서는 많은 응용 프로그램 서버가 데이터베이스 서버 및 여러 프런트 엔드와 통신합니다. 이것은 시스템의 네트워크 토폴로지를 단순에서 복잡한 것으로 정의하며 네트워크 토폴로지를 구성 할 때 다른 시나리오를 고려해야합니다.

대규모 조직에서는 애플리케이션과 데이터베이스 서버를 서로 다른 시스템에 설치하고 프런트 엔드 시스템과 별도의 LAN에 배치하는 것이 좋습니다.

다음 이미지에서 SAP 시스템의 기본 네트워크 토폴로지를 볼 수 있습니다.

데이터베이스와 애플리케이션 서버를 프런트 엔드 VLAN과 별도의 VLAN에 배치하면 액세스 제어 시스템을 개선 할 수 있으므로 SAP 시스템의 보안이 향상됩니다. 프런트 엔드 시스템은 서로 다른 VLAN에 있으므로 서버 VLAN에 들어가기가 쉽지 않으므로 SAP 시스템의 보안을 우회합니다.

SAP 네트워크 서비스

SAP 시스템에는 다양한 서비스가 활성화되어 있지만 SAP 시스템을 실행하는 데 필요한 서비스는 거의 없습니다. SAP 시스템에서Landscape, DatabaseApplication Servers네트워크 공격의 가장 일반적인 표적입니다. 이러한 서버에 대한 액세스를 허용하는 많은 네트워크 서비스가 귀하의 환경에서 실행되고 있으며 이러한 서비스를주의 깊게 모니터링해야합니다.

Window / UNIX 시스템에서 이러한 서비스는 /etc/services. 다음 경로로 이동하여 Windows 시스템에서이 파일을 열 수 있습니다.

system32/drivers/etc/services

이 파일을 메모장에서 열고 서버에서 활성화 된 모든 서비스를 검토 할 수 있습니다.

랜드 스케이프 서버에서 불필요한 모든 서비스를 비활성화하는 것이 좋습니다. 때때로 이러한 서비스에는 침입자가 무단 액세스를 얻기 위해 사용할 수있는 몇 가지 오류가 포함되어 있습니다. 이러한 서비스를 비활성화하면 네트워크에 대한 공격 가능성이 줄어 듭니다.

높은 수준의 보안을 위해 SAP 환경에서 정적 암호 파일을 사용하는 것이 좋습니다.

개인 키

SNC는 외부 보안 제품을 사용하여 통신 파트너 간의 인증을 수행합니다. 다음과 같은 보안 조치를 사용할 수 있습니다.Public Key Infrastructure (PKI) 키 쌍을 생성 및 배포하고 사용자의 개인 키가 적절하게 보호되는지 확인하는 기타 절차.

네트워크 인증을 위해 개인 키를 보호하는 방법에는 여러 가지가 있습니다.

  • 하드웨어 솔루션
  • 소프트웨어 솔루션

이제 자세히 살펴 보겠습니다.

하드웨어 솔루션

개별 사용자에게 스마트 카드를 발급하는 하드웨어 솔루션을 사용하여 사용자의 개인 키를 보호 할 수 있습니다. 모든 키는 스마트 카드에 저장되며 사용자는 지문이나 PIN 암호를 사용하여 생체 인식을 통해 스마트 카드에 인증해야합니다.

이러한 스마트 카드는 각 개별 사용자의 도난 또는 분실로부터 보호되어야하며 사용자는 카드를 사용하여 문서를 암호화 할 수 있습니다.

사용자는 스마트 카드를 공유하거나 다른 사용자에게 제공 할 수 없습니다.

소프트웨어 솔루션

소프트웨어 솔루션을 사용하여 개별 사용자의 개인 키를 저장할 수도 있습니다. 소프트웨어 솔루션은 하드웨어 솔루션에 비해 비용이 저렴하지만 보안도 떨어집니다.

사용자가 파일 및 사용자 세부 정보에 개인 키를 저장할 때 무단 액세스를 위해 해당 파일을 보호해야합니다.